《電子技術應用》
您所在的位置:首頁 > 模擬設計 > 業(yè)界動態(tài) > 常見的工業(yè)控制系統(tǒng)保護策略有哪些

常見的工業(yè)控制系統(tǒng)保護策略有哪些

2020-05-22
來源:21IC中國電子網(wǎng)
關鍵詞: 工業(yè)控制 VPN

  關鍵基礎設備系統(tǒng)網(wǎng)絡攻擊干擾事件越來越頻繁,對于許多工業(yè)控制系統(tǒng)來說,網(wǎng)絡入侵不是是否會發(fā)生的問題,而是什么時候會發(fā)生。國外的烏克蘭停電事故,最近的委內(nèi)瑞拉停電事故都帶來了嚴重的社會影響。這些事件證明了攻擊者的能力,網(wǎng)絡安全事件的頻率和復雜性正在持續(xù)增加。傳統(tǒng)的工業(yè)控制系統(tǒng)保護認識,比如絕對的隔離帶來絕對的安全,沒有人會攻擊工業(yè)控制系統(tǒng)等,這些認知顯然是錯誤的,也是不合時宜的,針對工業(yè)控制系統(tǒng)的保護,常見的有幾種策略,則可以對付常見的可利用的弱點。

  應用白名單可以有效檢測和阻止由攻擊者上傳的惡意軟件的執(zhí)行。工業(yè)控制系統(tǒng)的生產(chǎn)環(huán)境的主機操作相對比較固定,而且主機操作系統(tǒng)老舊,和外網(wǎng)隔離,部署需要經(jīng)常升級的耗費資源多的殺毒軟件不現(xiàn)實,這些現(xiàn)實情況使得運行應用白名單成為可能。部署應用白名單時,需要和供應商合作,建立基線進行。

  

5e98756207063-1.png

  系統(tǒng)入侵者往往發(fā)動攻擊時經(jīng)常利用未打補丁的系統(tǒng)。比如臭名昭著的勒索病毒和挖礦病毒,都利用445端口。如果在病毒爆發(fā)時,就封閉445端口,則可避免很多不必要的損失。優(yōu)先處理工程師站,操作員站,數(shù)據(jù)庫服務器的補丁和配置,可以有效增加攻擊者的攻擊難度。在現(xiàn)實情況中,對于更新和配置,需要在測試機上進行,測試合格后,在部署到實際運行的操作系統(tǒng)上。

  將工業(yè)控制系統(tǒng)與其它不可信的網(wǎng)絡隔離,尤其是互聯(lián)網(wǎng)。關閉不使用的端口和服務。如果需要單向通信,則可部署單向網(wǎng)閘。如果必須使用雙向通信,則在受限的網(wǎng)絡路徑上開發(fā)單個端口。

  將網(wǎng)絡劃分為邏輯分區(qū),并限制主機間的通信路徑,可阻止攻擊者擴大攻擊訪問范圍,同時允許正常的系統(tǒng)通信繼續(xù)運行。這樣,即使一個區(qū)域被攻擊,其余區(qū)域也不受影響,降低損失。攻擊者在攻擊時,需要獲得合法的用戶憑證,偽裝成合法的用戶對工業(yè)控制系統(tǒng)進行攻擊,可提高操作的權(quán)限,也可留下較少的記錄和證據(jù)。

  采用多因素認證,實現(xiàn)特權(quán)用戶權(quán)限最小化。用戶口令要設置安全策略,長度,復雜度要求,并且口令強制更改日期,盡可能的強化管理。

  建議采用VPN的方式進行遠程訪問,尤其是第三方接入工業(yè)控制系統(tǒng)網(wǎng)絡中時。使用堡壘機,可以有效監(jiān)控接入的各類操作和時間,實現(xiàn)有效的監(jiān)管和追蹤。對于現(xiàn)代威脅要積極監(jiān)控,今早發(fā)現(xiàn)黑客攻擊滲透,并迅速執(zhí)行應急響應,切斷攻擊鏈,保護工業(yè)控制系統(tǒng)。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。