本文轉(zhuǎn)載自微信公眾號(hào)「河南等級(jí)保護(hù)測(cè)評(píng)」，作者河南等級(jí)保護(hù)測(cè)評(píng)。轉(zhuǎn)載本文請(qǐng)聯(lián)系河南等級(jí)保護(hù)測(cè)評(píng)公眾號(hào)。

介紹

工業(yè)控制系統(tǒng)對(duì)我們的日常生活至關(guān)重要?？刂浦覀冿嬘玫乃⑽覀円蕾嚨碾娏σ约巴苿?dòng)我們所有人的交通工具。了解和適當(dāng)減輕對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)威脅至關(guān)重要，以確保繼續(xù)為每個(gè)人提供基本服務(wù)。

為工業(yè)控制系統(tǒng)提供網(wǎng)絡(luò)安全存在幾個(gè)獨(dú)特的挑戰(zhàn)，包括：

• 工程協(xié)議缺乏安全性
• 升級(jí)后需要重新測(cè)試工程系統(tǒng)
• 長(zhǎng)生命周期(20 至 50 年)
• 在工程環(huán)境中添加了許多 IT 協(xié)議，例如網(wǎng)絡(luò)時(shí)間協(xié)議和地址解析協(xié)議
• 設(shè)備可能未設(shè)置為接收或響應(yīng)來自標(biāo)準(zhǔn) IT 調(diào)試和分析工具的消息。

了解威脅環(huán)境

在選擇適當(dāng)?shù)木徑獠呗灾?，必須了解?/p>

• 誰可能針對(duì)組織?
• 他們可能針對(duì)哪些特定的基礎(chǔ)設(shè)施?
• 攻擊對(duì)基礎(chǔ)設(shè)施的每個(gè)部分的影響會(huì)有多嚴(yán)重?

對(duì)您的組織進(jìn)行威脅建模將有助于回答其中一些問題，以確定哪些系統(tǒng)對(duì)于提供基本服務(wù)至關(guān)重要，并允許適當(dāng)?shù)卦O(shè)置網(wǎng)絡(luò)安全活動(dòng)的優(yōu)先級(jí)和預(yù)算。

基本緩解策略

以下是您可以實(shí)施的基本緩解策略，以保護(hù)您的工業(yè)控制系統(tǒng)免受一系列網(wǎng)絡(luò)威脅。根據(jù)威脅建?；顒?dòng)的結(jié)果在適當(dāng)?shù)牡胤绞褂盟鼈儯?/p>

• 嚴(yán)密控制或阻止對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的外部訪問。將其與公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)隔離。
• 為特權(quán)賬戶和來自公司或外部網(wǎng)絡(luò)的訪問實(shí)施多因素身份驗(yàn)證。
• 禁用設(shè)備上未使用的外部端口。
• 使用獨(dú)特的防篡改貼紙?jiān)诠た叵到y(tǒng)環(huán)境內(nèi)明顯標(biāo)記授權(quán)設(shè)備。
• 定期備份系統(tǒng)配置并保持隔離。定期測(cè)試恢復(fù)過程并驗(yàn)證備份完整性。
• 定期檢查防火墻設(shè)置是否處于預(yù)期狀態(tài)。
• 防止工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的設(shè)備連接到公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)。
• 在設(shè)備上啟用日志記錄并將日志存儲(chǔ)在集中位置。制定定期監(jiān)控和事件響應(yīng)實(shí)踐，以確保及時(shí)發(fā)現(xiàn)、調(diào)查和管理異常情況。
• 定義將軟件和補(bǔ)丁引入工業(yè)控制系統(tǒng)的流程。必要時(shí)(例如在非常關(guān)鍵的組件上)，審查代碼并只允許批準(zhǔn)的二進(jìn)制文件。
• 使用供應(yīng)商支持的應(yīng)用程序和操作系統(tǒng)，并及時(shí)修補(bǔ)相關(guān)的安全漏洞。