關(guān)鍵基礎(chǔ)設(shè)備系統(tǒng)網(wǎng)絡(luò)攻擊干擾事件越來越頻繁，對于許多工業(yè)控制系統(tǒng)來說，網(wǎng)絡(luò)入侵不是是否會發(fā)生的問題，而是什么時候會發(fā)生。國外的烏克蘭停電事故，最近的委內(nèi)瑞拉停電事故都帶來了嚴(yán)重的社會影響。這些事件證明了攻擊者的能力，網(wǎng)絡(luò)安全事件的頻率和復(fù)雜性正在持續(xù)增加。傳統(tǒng)的工業(yè)控制系統(tǒng)保護(hù)認(rèn)識，比如絕對的隔離帶來絕對的安全，沒有人會攻擊工業(yè)控制系統(tǒng)等，這些認(rèn)知顯然是錯誤的，也是不合時宜的，針對工業(yè)控制系統(tǒng)的保護(hù)，常見的有幾種策略，則可以對付常見的可利用的弱點。

　　應(yīng)用白名單可以有效檢測和阻止由攻擊者上傳的惡意軟件的執(zhí)行。工業(yè)控制系統(tǒng)的生產(chǎn)環(huán)境的主機操作相對比較固定，而且主機操作系統(tǒng)老舊，和外網(wǎng)隔離，部署需要經(jīng)常升級的耗費資源多的殺毒軟件不現(xiàn)實，這些現(xiàn)實情況使得運行應(yīng)用白名單成為可能。部署應(yīng)用白名單時，需要和供應(yīng)商合作，建立基線進(jìn)行。

　　系統(tǒng)入侵者往往發(fā)動攻擊時經(jīng)常利用未打補丁的系統(tǒng)。比如臭名昭著的勒索病毒和挖礦病毒，都利用445端口。如果在病毒爆發(fā)時，就封閉445端口，則可避免很多不必要的損失。優(yōu)先處理工程師站，操作員站，數(shù)據(jù)庫服務(wù)器的補丁和配置，可以有效增加攻擊者的攻擊難度。在現(xiàn)實情況中，對于更新和配置，需要在測試機上進(jìn)行，測試合格后，在部署到實際運行的操作系統(tǒng)上。

　　將工業(yè)控制系統(tǒng)與其它不可信的網(wǎng)絡(luò)隔離，尤其是互聯(lián)網(wǎng)。關(guān)閉不使用的端口和服務(wù)。如果需要單向通信，則可部署單向網(wǎng)閘。如果必須使用雙向通信，則在受限的網(wǎng)絡(luò)路徑上開發(fā)單個端口。

　　將網(wǎng)絡(luò)劃分為邏輯分區(qū)，并限制主機間的通信路徑，可阻止攻擊者擴大攻擊訪問范圍，同時允許正常的系統(tǒng)通信繼續(xù)運行。這樣，即使一個區(qū)域被攻擊，其余區(qū)域也不受影響，降低損失。攻擊者在攻擊時，需要獲得合法的用戶憑證，偽裝成合法的用戶對工業(yè)控制系統(tǒng)進(jìn)行攻擊，可提高操作的權(quán)限，也可留下較少的記錄和證據(jù)。

　　采用多因素認(rèn)證，實現(xiàn)特權(quán)用戶權(quán)限最小化。用戶口令要設(shè)置安全策略，長度，復(fù)雜度要求，并且口令強制更改日期，盡可能的強化管理。

　　建議采用VPN的方式進(jìn)行遠(yuǎn)程訪問，尤其是第三方接入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中時。使用堡壘機，可以有效監(jiān)控接入的各類操作和時間，實現(xiàn)有效的監(jiān)管和追蹤。對于現(xiàn)代威脅要積極監(jiān)控，今早發(fā)現(xiàn)黑客攻擊滲透，并迅速執(zhí)行應(yīng)急響應(yīng)，切斷攻擊鏈，保護(hù)工業(yè)控制系統(tǒng)。