工業(yè)控制系統(tǒng)(ICS)網絡基礎結構面臨的威脅持續(xù)增加，復雜程度也比以往任何時候都大。這些攻擊的數(shù)量及復雜性的增加，使得ICS成為網絡犯罪者容易得手的目標。主要原因就是它的基礎設施老化，缺乏安全規(guī)劃和設計，以及長期以來對ICS網絡的保護不夠重視。對企業(yè)的基礎設施和運營方面進行詳細分析，可以深入了解風險水平，并找出保護關鍵資產的潛在對策。應該采取這種整體方法來確保考慮所有方面，以充分了解對生產系統(tǒng)造成的實際風險水平。這包括網絡和物理安全，以及系統(tǒng)生命周期的狀態(tài)。為了幫助識別確切的風險水平，應對每個因素進行徹底評估，以了解設計、運營和維護差異，并保持生產系統(tǒng)的正常運行。

工業(yè)控制系統(tǒng)的演化

過去，工業(yè)控制系統(tǒng)提供商使用與外部連接物理隔離的專有硬件和軟件。而現(xiàn)在，工業(yè)控制系統(tǒng)使用商用現(xiàn)貨（COTS）組件、標準操作系統(tǒng)和通用的通信協(xié)議。從專有系統(tǒng)向開放技術的轉變，允許使用第三方硬件和軟件組件，這有助于推動ICS整體生命周期成本的下降。

此外，采用標準的通用組件和通信協(xié)議，有助于和IT或業(yè)務系統(tǒng)的連接。將生產系統(tǒng)中的數(shù)據共享到業(yè)務系統(tǒng)中，只需要極少的努力就可以收集和分析數(shù)據，從而為企業(yè)帶來寶貴的洞察力。

這些功能提高了生命周期并使連接性更好，但也將ICS應用程序的漏洞暴露出來，因為這些程序設計的第一要務并不是安全性。ICS提供商通常會發(fā)布推薦的安全實踐，這些實踐定義了允許連接到外部系統(tǒng)的特定方法，但最終部署和維護ICS網絡安全的責任完全在最終用戶身上。保護這些網絡，以確保生產可用性和保護不受安全方面的困擾，應該是管理層制定和支持的綜合業(yè)務目標。

管理IT和ICS基礎架構

無論是IT還是ICS基礎設施，都使用常見的網絡部件，但在維護、運行和安全管理方面，它們之間非常不同。IT業(yè)務網絡和ICS網絡安全目標是不同的概念，但它們基于相同的保密性、完整性和可用性原則。

對IT來講，企業(yè)主要關注的是知識產權的泄露，保密具有最高優(yōu)先級。接下來，數(shù)據的完整性非常重要，其次采是網絡的可用性。

由于生產系統(tǒng)數(shù)據的關鍵性，ICS網絡具有不同的優(yōu)先級。對人機界面的依賴性，使系統(tǒng)可用性要求成為工業(yè)部門的最高優(yōu)先事項。

數(shù)據的完整性和信息的準確性對工業(yè)系統(tǒng)來說也非常重要。保密通常不是工業(yè)網絡的主要關注事項。在系統(tǒng)優(yōu)先級上的這些差異，使IT與ICS在網絡運行和安全管理方面大相徑庭。

雖然這兩種系統(tǒng)的基礎結構都使用通用部件，但IT和ICS網絡的運營差別很大。通常，IT網絡操作由用戶觸發(fā)，基本是不規(guī)則的，或者是按需啟動。業(yè)務網絡上生成的通信量可能是零星、不可預知的。因此需要刪除或添加網絡組件(如服務器、網絡設備和計算機)以支持業(yè)務需求。業(yè)務系統(tǒng)通信協(xié)議圍繞此類操作構建，通常不包括任何類型的確定性機制，這主要是因為數(shù)據的零散性。

另一方面，ICS網絡需要非常高的可用性來支持連續(xù)和不間斷的生產系統(tǒng)需求。這些系統(tǒng)設計旨在以確定的速率提供數(shù)據，以實現(xiàn)可預測性和可重復性。ICS通信協(xié)議支持捕獲時間臨界事件的確定性活動。這些系統(tǒng)旨在提供高可用性和對時間敏感的關鍵數(shù)據。IT和工業(yè)控制系統(tǒng)網絡操作之間的差異，導致它們實現(xiàn)安全的方法也有很大的不同。

標準IT的"修復"可能會損害ICS

IT通常會部署廣泛的安全對策，以防止網絡攻擊。然而，由于需要確定的高可用數(shù)據，大多數(shù)常見的IT安全方法可能會對ICS網絡產生不利影響。標準IT安全實踐的一個實例，包括為操作系統(tǒng)升級打補丁、應用程序升級和服務器系統(tǒng)升級。在IT界，這被認為是常見的做法。但是，在ICS網絡上，這些操作可能會對系統(tǒng)和相關組件產生非常負面的影響。

由于相關軟件、系統(tǒng)組件和數(shù)據交付的關鍵特性，其它常見的IT實踐，如域的更改、病毒掃描程序更新、反惡意軟件更新、路由器配置更改和端口阻止策略，可能會對ICS網絡造成不利影響。對ICS網絡或相關組件的任何此類更改的實施，都必須仔細考慮，并應首先在測試系統(tǒng)上進行，以在真正部署到生產系統(tǒng)上之前對其性能進行分析。

此外，必須特別注意安全，以確保ICS網絡操作不致受阻。確定正確的方法并應用最具成本效益的風險緩解解決方案，對于支持IT和ICS基礎架構的業(yè)務至關重要。ICS網絡的可用性需求，使它們對生產系統(tǒng)中的任何細微變化都更加敏感。

準確評估風險級別

由于缺乏對所有潛在漏洞的認知和理解，往往無法確定ICS網絡的實際風險水平。就像IT系統(tǒng)一樣，使ICS網絡就緒所需的努力必須是管理層認可的全面努力，以確保生產系統(tǒng)的可用性?？紤]到現(xiàn)代黑客的復雜性，如果僅僅在ICS系統(tǒng)和IT網絡之間放置防火墻，并不能提供足夠的保護來消除風險。

"風險"被定義為獲得或失去某種價值的潛力。要充分了解生產系統(tǒng)的實際風險水平，必須評估暴露漏洞的所有方面，比如生產損失、環(huán)境損害、設備損壞和人身安全。這可能包括來自內部、外部、惡意和無意事件所導致的網絡、物理和本地接口漏洞造成的所有威脅。必須定義工業(yè)控制系統(tǒng)生命周期的所有方面，以確?？紤]到所有潛在的風險。

ICS基礎結構中的很多漏洞都可能引入風險，如使用舊式平臺、系統(tǒng)體系結構設計、與外部網絡的連接、無線訪問點和遠程接口點。通常，工業(yè)控制系統(tǒng)部署所需的時間，比標準IT系統(tǒng)所需的時間要長得多，這可以歸因于成本，為避免生產中斷而遷移到較新系統(tǒng)的愿望，以及在運行老舊系統(tǒng)時缺乏相關的風險知識。

導致潛在漏洞的另一個因素是未能設計和維護安全的ICS網絡，這可能是由于多名工程師多年來沒有適當?shù)陌踩媱澔虺绦蚨鴮W絡負責或者，也可能是快速部署多個項目，急于升級或已經危及到安全性的添加的結果。

為了成功地管理風險，企業(yè)必須完全定義哪些內容需要就位，了解ICS系統(tǒng)生命周期的不同階段，并確保他們有一個計劃來維護生產系統(tǒng)免受所有可能的漏洞的攻擊。這些章程應由管理層授權，以確保生產系統(tǒng)資產在整個系統(tǒng)生命周期中保持不變。

對ICS系統(tǒng)的威脅

對IT和ICS基礎結構的威脅正在不斷演變，并且越來越難以防止、監(jiān)測和緩解。由于生產要求的關鍵性，ICS網絡在安全方面受到的挑戰(zhàn)日益增加。因此，負責監(jiān)控ICS網絡的技術人員和工程師必須具有更嚴格、更有計劃和更有紀律的方法來部署安全措施。

即使將ICS網絡與因特網連接完全斷開，也不會消除所有相關的風險。如果連接到互聯(lián)網，外部威脅似乎更是顯而易見的，但有時候內部威脅比外部威脅更具潛在的危害。這些內容包括內部惡意操作和可能會對ICS網絡造成破壞的、無意識的人為錯誤。

對生產系統(tǒng)的威脅，包括對系統(tǒng)能夠連續(xù)、準確地顯示運行數(shù)據等功能的任何方面的損害。還包括操作員訪問桌面功能、本地登錄權限以及系統(tǒng)端口或接口功能。在物理和程序上保護自動化系統(tǒng)的努力，可能是非常廣泛和耗時的。但是，防止常見系統(tǒng)故障的唯一方法是，刪除普通用戶訪問這些系統(tǒng)的能力，包括軟件、硬件和物理訪問。

缺乏充分管理ICS安全和生命周期的規(guī)劃和程序，是對ICS關鍵基礎設施的最大威脅。通過數(shù)字網絡或物理方面都可以對安全性造成危害。在老舊平臺上的操作還可能會損害生產系統(tǒng)的壽命。老舊的硬件、軟件和對系統(tǒng)的支持力度較小，并且比較昂貴（如果還有支持的話）。

通常情況下，IT系統(tǒng)的升級周期為3到5年，而生產系統(tǒng)可能會保持更長的時間。由于生產系統(tǒng)的高可用性要求，對新系統(tǒng)的更改也會有風險。新系統(tǒng)很可能需要重新編程，邏輯將需要被破譯或編譯為一種新語言。這就有可能引入人為錯誤，并可能對生產系統(tǒng)產生不利影響。

新的操作界面可能會與現(xiàn)有老舊系統(tǒng)的外觀和操作不同。從老舊到新系統(tǒng)的遷移，可能涉及到詳細邏輯規(guī)范的許多方面，以定義安全操作、廣泛的測試和操作員培訓，從而充分評估生產系統(tǒng)。完全更換可能需要一段時間，包括多個復雜階段，以最大限度地減少生產中斷。ICS生命周期的管理，應該包括一個全面的路線圖，規(guī)劃好所有的更換細節(jié)，以盡量減少為生產系統(tǒng)帶來的風險。

減輕風險和保護資產

減輕風險和確定一個整體計劃來保護企業(yè)資產，需要對所有生產系統(tǒng)風險進行全面評估。資產保護應包括安全層，不應依賴單個軟件或硬件，以便使風險最小化。工業(yè)控制系統(tǒng)受損的后果，可能會造成生產損失、環(huán)境損害、加工設備損壞，甚至可能危及人身安全。

資產保護從上層管理的指示開始，以識別主動行動，并確保ICS系統(tǒng)已經做好準備，能夠處理不斷變化的威脅。整體計劃記錄安全任務和過程，并概述保護、緩解過程和遷移計劃的層次，以涵蓋ICS系統(tǒng)的生命周期。對危及生產系統(tǒng)事件的反應應該是所有人員都清楚理解的計劃，從而將其影響降至最低。

遷移計劃應包括一個系統(tǒng)路線圖，以最大限度地減少生產中斷，并確保在變更期內系統(tǒng)的安全可靠。從本質上講，威脅持續(xù)變得更加復雜，因此強烈建議每年對保護層進行一次審計，以確保它們不會受到損害。風險因素永遠不會被完全消除，但是資產所有者可以通過盡可能減少風險來保護生產系統(tǒng)的正常運營。