監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)以及包括人機(jī)界面(HMI)、樓宇管理系統(tǒng)(BMS)、制造執(zhí)行系統(tǒng)(MES)和計(jì)算機(jī)維護(hù)管理系統(tǒng)(CMMS)等在內(nèi)的范圍更大的工業(yè)控制系統(tǒng)(ICS)都是專(zhuān)有的技術(shù)，通常來(lái)說(shuō)都會(huì)與企業(yè)信息技術(shù)(IT)基礎(chǔ)設(shè)施隔離開(kāi)來(lái)。這些系統(tǒng)初并不是為網(wǎng)絡(luò)安全設(shè)計(jì)的。
 

　　ICS傳統(tǒng)的控制和安全的角色已經(jīng)擴(kuò)展到包括為工廠(chǎng)和過(guò)程提供信息，或?qū)?lái)自ERP以及其他企業(yè)系統(tǒng)的指令做出響應(yīng)。根據(jù)國(guó)家基礎(chǔ)設(shè)施保護(hù)中心的關(guān)于“確保安全轉(zhuǎn)移至基于IP的SCADA/PLC網(wǎng)絡(luò)”的規(guī)定，這會(huì)讓ICS系統(tǒng)面臨潛在的網(wǎng)絡(luò)威脅。
 

　　時(shí)下對(duì)于物聯(lián)網(wǎng)(IoT)以及與之密切相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)或者工業(yè)4.0之間的網(wǎng)絡(luò)連接的關(guān)注，為數(shù)據(jù)聚合戰(zhàn)略和態(tài)勢(shì)感知帶來(lái)了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網(wǎng)協(xié)議(IP)，將增加暴露在網(wǎng)絡(luò)威脅下的機(jī)會(huì)。
 

　　IIoT的變革打亂了傳統(tǒng)控制室的角色，使其朝用于監(jiān)視和控制功能的可移動(dòng)裝置轉(zhuǎn)化方向變化。例如，正在出現(xiàn)的具有IIoT功能的ICS的情境式HMI組件，為生產(chǎn)和維護(hù)單位提供了產(chǎn)能方面的提升，同時(shí)擴(kuò)展了ICS的應(yīng)用領(lǐng)域。然而，它也擴(kuò)大了網(wǎng)絡(luò)威脅管理的范圍。
 

　　NIST的網(wǎng)絡(luò)安全支柱有四個(gè)元素：識(shí)別、保護(hù)、檢測(cè)和應(yīng)對(duì)。

 

　　網(wǎng)絡(luò)安全的支柱
 

　　現(xiàn)代的ICS平臺(tái)供應(yīng)商將網(wǎng)絡(luò)風(fēng)險(xiǎn)和彈性管理納入到ISO9001質(zhì)量流程中去用于研發(fā)和生產(chǎn)。其目的是讓內(nèi)部和外部上報(bào)的漏洞做到透明管理，并快速采取行動(dòng)，盡可能減少給客戶(hù)造成的風(fēng)險(xiǎn)。
 

　　美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)已經(jīng)提供了一個(gè)架構(gòu)，對(duì)于系統(tǒng)地識(shí)別一個(gè)機(jī)構(gòu)的重要資產(chǎn)、識(shí)別威脅以及確保重要資產(chǎn)安全方面具有非常重要的價(jià)值。該架構(gòu)具有四個(gè)元素：識(shí)別、保護(hù)、檢測(cè)以及應(yīng)對(duì)。
 

　　識(shí)別與鑒別
 

　　資產(chǎn)和數(shù)據(jù)流的詳細(xì)清單對(duì)于ICS建立正常行為的基準(zhǔn)很重要。工業(yè)網(wǎng)絡(luò)可以很大很復(fù)雜，而工業(yè)協(xié)議又有別于企業(yè)IT網(wǎng)絡(luò)所用的協(xié)議。使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行尋址和監(jiān)控的自動(dòng)化工具提高了詳細(xì)清單的效率和性。
 

　　控制系統(tǒng)感知的清單和監(jiān)控工具是建立可靠的ICS基準(zhǔn)的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準(zhǔn)模板的技術(shù)來(lái)監(jiān)控ICS是至關(guān)重要的。理想中的這個(gè)系統(tǒng)應(yīng)該可以做到：
 

　　•使用無(wú)源傳感器從網(wǎng)絡(luò)數(shù)據(jù)流中提取元數(shù)據(jù)；
 

　　•動(dòng)態(tài)地建立組件的視覺(jué)清單以及連接圖；
 

　　•學(xué)習(xí)ICS并為正常的運(yùn)行提供統(tǒng)計(jì)學(xué)以及行為方面的描述；
 

　　•推薦預(yù)防性行為；
 

　　•根據(jù)需要啟動(dòng)應(yīng)急響應(yīng)。
 

　　IIoT裝置通常使用無(wú)線(xiàn)技術(shù)進(jìn)行通訊。通用IT網(wǎng)絡(luò)與ICS網(wǎng)絡(luò)之間的區(qū)別是使用靜態(tài)IP。隨著工業(yè)網(wǎng)絡(luò)變化得與更廣泛的互聯(lián)網(wǎng)連在一起，健康監(jiān)控系統(tǒng)會(huì)尋找變化的或者重復(fù)的IP和MAC地址、設(shè)備或電纜移動(dòng)以及未經(jīng)授權(quán)的連接。增加了通過(guò)具有動(dòng)態(tài)IP連接的無(wú)線(xiàn)接入點(diǎn)所連接的移動(dòng)式傳感器，整個(gè)環(huán)境會(huì)變得更加復(fù)雜。
 

　　保護(hù)正在消融的邊界
 

　　在近舉行的一次技術(shù)峰會(huì)上，Centrify公司區(qū)域經(jīng)理Mike Ratte討論了當(dāng)今的網(wǎng)絡(luò)安全境況。“我們需要識(shí)別是新的邊界”，他指出，幾乎一半的被攻擊的情況是因?yàn)檎J(rèn)證不嚴(yán)格；黑客將所有級(jí)別的用戶(hù)都設(shè)定為目標(biāo)，包括享有特權(quán)的用戶(hù)；基于邊界的傳統(tǒng)的安全措施已經(jīng)不夠了；應(yīng)當(dāng)將安全的基礎(chǔ)建立在基于情境的政策上。這個(gè)戰(zhàn)略很適合正在消融的ICS邊界，其已經(jīng)享受了開(kāi)放連接帶來(lái)的好處，因此也將會(huì)受益于企業(yè)安全專(zhuān)業(yè)人士。
 

　　據(jù)統(tǒng)計(jì)，63%的數(shù)據(jù)外泄涉及安全性弱的、默認(rèn)的或被盜的密碼，在ICS網(wǎng)絡(luò)威脅的排名中認(rèn)證管理排名靠前。通過(guò)被盜的或丟失的移動(dòng)裝置物理訪(fǎng)問(wèn)的可能性增加了對(duì)強(qiáng)有力的認(rèn)證管理的需求。工業(yè)網(wǎng)絡(luò)通過(guò)防火墻、虛擬私人網(wǎng)絡(luò)(VPN)以及交換機(jī)實(shí)現(xiàn)了層防護(hù)。
 

　　ICS供應(yīng)商必須對(duì)配置文件加密、對(duì)于異常連接嘗試提供監(jiān)控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動(dòng)態(tài)目錄整合在一起的用戶(hù)權(quán)限。ICS可以采用強(qiáng)大的識(shí)別管理系統(tǒng)。使用動(dòng)態(tài)目錄作為核心的識(shí)別管理資源庫(kù)，一個(gè)ICS用戶(hù)可以通過(guò)一個(gè)登陸賬號(hào)使用所有的應(yīng)用。
 

　　(原文標(biāo)題：物聯(lián)網(wǎng)時(shí)代的SCADA網(wǎng)絡(luò)安全)