最近���,美國最大燃油運(yùn)輸管道商遭受網(wǎng)絡(luò)安全暫停運(yùn)營���,導(dǎo)致國家宣布進(jìn)入緊急狀態(tài)一事,引起安全業(yè)界熱議�。隨著OT技術(shù)不斷與信息技術(shù)(IT)相融合,IT技術(shù)的利用越來越成為攻擊OT系統(tǒng)并產(chǎn)生破壞性影響的樞紐����,如何保護(hù)工業(yè)互聯(lián)網(wǎng)絡(luò),阻止攻擊者成功執(zhí)行控制命令并產(chǎn)生破壞性網(wǎng)絡(luò)影響?
公司主營業(yè)務(wù):成都網(wǎng)站設(shè)計(jì)���、成都網(wǎng)站制作�、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)���。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳���,提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)��、勤奮敬業(yè)����、活力青春激揚(yáng)、勤奮敬業(yè)����、活力澎湃、和諧高效的團(tuán)隊(duì)���。公司秉承以“開放�、自由��、嚴(yán)謹(jǐn)�、自律”為核心的企業(yè)文化,感謝他們對(duì)我們的高要求���,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)�,讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜����。成都創(chuàng)新互聯(lián)公司推出昭通免費(fèi)做網(wǎng)站回饋大家。
早先�,美國國家安全局(NSA)發(fā)布工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)建議的公告,指出關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域中將出現(xiàn)的安全威脅��,并就如何保護(hù)工控系統(tǒng)的OT網(wǎng)絡(luò)環(huán)境提供了建議�����。本文翻譯和引用了該公告的主要內(nèi)容,供工業(yè)網(wǎng)絡(luò)和OT系統(tǒng)的管理人員參考評(píng)估����,提升OT網(wǎng)絡(luò)環(huán)境的監(jiān)控和檢測能力,防止網(wǎng)絡(luò)入侵帶來的災(zāi)難性影響����。
改善網(wǎng)絡(luò)安全的措施
從企業(yè)領(lǐng)導(dǎo)到OT系統(tǒng)運(yùn)營商,許多人都在問:“在有限的資源下��,我們怎么能改善OT和控制系統(tǒng)的網(wǎng)絡(luò)安全并確保成功?"為了回答這個(gè)問題��,NSA提出了OT網(wǎng)絡(luò)的實(shí)用評(píng)估方法和基本的網(wǎng)絡(luò)安全改進(jìn)方法�����。
全面評(píng)估企業(yè)IT-to-OT連接的價(jià)值�、風(fēng)險(xiǎn)和成本
(1) 認(rèn)識(shí)到獨(dú)立的、未連接的孤島式OT系統(tǒng)比通過外部連接連接到企業(yè)IT系統(tǒng)的(不管外部連接被認(rèn)為是多么安全)的系統(tǒng)更安全��。間歇連接的OT系統(tǒng)可能是一個(gè)不錯(cuò)的折衷方案�,因?yàn)樗挥性谶B接時(shí)才有風(fēng)險(xiǎn),只有在需要時(shí)才可以這樣做�,例如下載更新或在有限的時(shí)間內(nèi)需要遠(yuǎn)程訪問的時(shí)間����。
(2) 將IT系統(tǒng)連接到OT網(wǎng)絡(luò)和/或控制系統(tǒng)環(huán)境對(duì)企業(yè)有價(jià)值,涉及許多方面�����,包括:
- 便于連接和使用數(shù)據(jù)/信息����。
- 充分利用現(xiàn)有的能力��,如 TT 技術(shù)人員����。
- 利用或與IT工具結(jié)合進(jìn)行系統(tǒng)監(jiān)視。
- 通過IT集成實(shí)現(xiàn)理論上的協(xié)同效應(yīng)���,例如管理OT資產(chǎn)的更新�����。
(3) 將IT系統(tǒng)連接到OT環(huán)境給企業(yè)帶來的風(fēng)險(xiǎn)����,可能涉及的方面,包括:
- 難以控制����。
- 安全系統(tǒng)/設(shè)備不能正常運(yùn)作。
- 程序中斷或關(guān)閉造成的收入損失�����。
- 如果安全系統(tǒng)/設(shè)備運(yùn)行不正常���,嚴(yán)重時(shí)會(huì)造成人員傷亡����。
(4) 量化因連接現(xiàn)有OT網(wǎng)絡(luò)和設(shè)備到企業(yè)IT系統(tǒng)而額外增加的成本���,相關(guān)成本可能涉及許多方面���,包括:
- 對(duì)OT網(wǎng)絡(luò)和基礎(chǔ)設(shè)施進(jìn)行分段和保護(hù),以減少大規(guī)模危害的風(fēng)險(xiǎn)���。
- 下載和更新OT資產(chǎn)到最新版本所需的更新產(chǎn)品或系統(tǒng)許可費(fèi)用���。這對(duì)于減輕關(guān)于過時(shí)固件���、軟件等的潛在漏洞是至關(guān)重要的,并且對(duì)于減少連接環(huán)境中被利用的風(fēng)險(xiǎn)也是必要的����。
- 如果OT資產(chǎn)中包含使用壽命即將到期的設(shè)備或即將提供產(chǎn)品支持的設(shè)備,則OT系統(tǒng)的升級(jí)成本將會(huì)增加���。 這不僅應(yīng)包括設(shè)備成本,還應(yīng)包括因OT設(shè)備更換和測試而造成的任何潛在收入損失或任務(wù)可用性�。
- 需要額外的人員和資源來正確維護(hù)和保護(hù)OT資產(chǎn)。
(5) 向領(lǐng)導(dǎo)提供報(bào)告結(jié)果�����,以便他們能夠有效地評(píng)估價(jià)值�、風(fēng)險(xiǎn)和費(fèi)用/資源。
改善連接企業(yè) IT-to-OT 網(wǎng)絡(luò)的網(wǎng)絡(luò)安全
戰(zhàn)略上�����,現(xiàn)有的IT資源和免費(fèi)可用的工具應(yīng)更安全的應(yīng)用于企業(yè)IT-to-OT網(wǎng)絡(luò)����,也適用于孤島式和間歇性連接的網(wǎng)絡(luò)和系統(tǒng)����,以提高網(wǎng)絡(luò)恢復(fù)能力和確保任務(wù)準(zhǔn)備就緒���。
(1) 全面管理�、加密保護(hù)(加密和認(rèn)證) ���,并對(duì)所有訪問通道設(shè)置允許訪問的列表�����,確保記錄所有訪問嘗試�����。訪問通道可包括許多方面�,例如:
- 供應(yīng)商或任何外包的IT資產(chǎn)支持�����,包括具有已知和未知遠(yuǎn)程監(jiān)控連接的供應(yīng)商便攜式計(jì)算機(jī)���。
- 用于監(jiān)視和/或警報(bào)通知的遠(yuǎn)程連接��。
- 內(nèi)部訪問��,特別是通過現(xiàn)有的開放式��,不受管網(wǎng)絡(luò)����,服務(wù)器或設(shè)備連接。
- 直接的物理訪問���。
(2) 在允許遠(yuǎn)程訪問的任何地方,添加監(jiān)控探針并監(jiān)視所有跨域連接�。建議斷開所有遠(yuǎn)程訪問連接,直到進(jìn)行主動(dòng)監(jiān)視為止���。
(3) 創(chuàng)建OT網(wǎng)絡(luò)地圖和設(shè)備設(shè)置基線����,并驗(yàn)證所有設(shè)備在網(wǎng)絡(luò)上��。
- 利用地形和物理網(wǎng)絡(luò)繪圖和盤點(diǎn)���。
- 利用可滿足要求的現(xiàn)有開源工具���。
(4) 創(chuàng)建OT網(wǎng)絡(luò)通信基準(zhǔn)
- 利用可滿足要求的現(xiàn)有開源工具�����。
(5) 評(píng)估OT網(wǎng)絡(luò)的網(wǎng)絡(luò)安全需求并確定其優(yōu)先級(jí)����,以識(shí)別所需的緩解措施并定義短期���、中期和長期的網(wǎng)絡(luò)安全改進(jìn)成果��。
- 根據(jù)內(nèi)部IT/OT專業(yè)知識(shí)和能力��,制定有效的網(wǎng)絡(luò)安全改進(jìn)計(jì)劃將確定并優(yōu)先考慮具體的OT網(wǎng)絡(luò)安全風(fēng)險(xiǎn).它還將為持續(xù)應(yīng)用緩解措施��、近期改進(jìn)和實(shí)現(xiàn)長期網(wǎng)絡(luò)安全目標(biāo)的策略提供路線圖�����。
(6) 創(chuàng)建備份基準(zhǔn)�����,以使所有OT網(wǎng)絡(luò)和設(shè)備都能得到修復(fù)和重建.
- 關(guān)鍵備份文件應(yīng)保持一份副本存儲(chǔ)在未連接位置�����, 通過在線或網(wǎng)絡(luò)方式無法訪問的區(qū)域��。
在發(fā)生安全問題或惡意攻擊時(shí)���,重新還原OT網(wǎng)絡(luò)���,采取措施確保成功,以縮短OT網(wǎng)絡(luò)的停機(jī)時(shí)間�����。
雖然對(duì)于網(wǎng)絡(luò)連接和自動(dòng)化流程有著非?��,F(xiàn)實(shí)的需求,但是OT網(wǎng)絡(luò)和控制系統(tǒng)連接到企業(yè) IT系統(tǒng)本身是存在風(fēng)險(xiǎn)的��。在連接(或保持連接)企業(yè)IT網(wǎng)絡(luò)之前�,要認(rèn)真評(píng)估風(fēng)險(xiǎn)、收益和成本���。
在允許企業(yè) IT-to-OT 連接之前����,謹(jǐn)慎地區(qū)分優(yōu)先級(jí)和考慮風(fēng)險(xiǎn)。雖然OT系統(tǒng)很少需要外部連接才能正常運(yùn)作���,但為了方便起見����,它們經(jīng)常連接起來而沒有適當(dāng)考慮到真正的風(fēng)險(xiǎn)以及潛在的不利因素����。建議遵循以上方法,立即采取行動(dòng)幫助它們提高網(wǎng)絡(luò)安全���。
網(wǎng)站名稱:工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的應(yīng)對(duì)之道
文章位置:
http://uogjgqi.cn/article/dpddedc.html
