对工控系统的网络安全攻击正在切实的发生,已经给一些制造业的企业造成了严重的经济损失。2019年中国公安部正式发布的信息安全技术等级保护2.0的相关规范中也增加了工业控制系统相关的要求。为了避免损失,满足国家相关法规和技术规范要求,工业控制系统的用户正在将一系列的技术手段和管理制度应用到工业控制系统的日常维护和使用中。
然而,我国工业控制系统安全的体系建设仍处于摸索和成长阶段,其相关标准和管理规定未尽完善。ABB作为在自动化领域深耕百年的企业,在网络安全和工业过程控制两大领域拥有丰富经验。对于在流程中对工控系统实施网络保护,ABB在《生产型企业的网络安全》白皮书中给出了建议:
1 先从评估入手
先从坦诚的评估入手来了解网络安全需求的总体范围。可以尝试回答这几个问题:
- 你要保护什么?
- 系统的架构是怎样的?
- 它能否支持强力的网络安全措施?
- 系统中有哪些资产?
- 整个链条中最薄弱的环节是什么?
如果不清楚这些问题,就很难知道从何处着手,也很难评估用于防护任务的资源能否真正带来网络安全防御的明显改善。
2 没有备份,你将一无所有
良好的备份可以确保有效保护对DCS系统的投资。一旦发生硬件或软件故障,备份可以让你轻松恢复全部或部分DCS系统,然后相对快速地恢复生产。
关于备份值得注意的是业务连续性计划,它定义了你能容忍的数据丢失量,以及灾难发生后必须多快恢复生产。这些因素决定了备份系统的设置、备份方案和价格。与不注重超快恢复生产的业务连续性计划相比,RPO和/或RTO较低的业务连续性计划通常对备份系统的要求更高。
3 将基本的安全控制落实到位
备份完成后,就可以开始应对安全控制问题了。最常见的安全控制是恶意软件防护和安全更新。在IT人士看来,采取这些措施最基本不过,无法想象任何计算机系统在没有这些措施的情况下运行。然而,现实情况是,许多工业系统在运行时就没有这些控制措施或者只有过时的控制措施。实施恶意软件防护和安全更新程序时必须慎重,要避免在实施过程中对生产产生负面影响。只能安装DCS供应商认可的安全更新,并且只使用经过验证的恶意软件防护。
其他的安全控制措施还包括应用程序白名单、资产管理和系统加固。这些措施都可通过增加多维度的保护来改善网络安全防御。
人员的安全意识培训切不可遗漏。无数成功的破坏性攻击都是利用公司员工才进入目标系统的,如利用网络钓鱼的方式(如电子邮件)让接收者点击链接,将病毒下载到用户的计算机上。一旦进入计算机,病毒就可以自行传播并造成危害或建立连接来让黑客进入并操纵计算机,以达成攻击的目的。
4 合作值得考虑
管理网络安全往往成本高昂,费时费力。除了软硬件成本,还需考虑培训、工具和程序等很多方面。与专业的公司合作不失为一种经济且高效的方法。专业的网络安全提供商拥有高效的流程和工具,这些流程和工具是经过多年研发且经过反复改进不断得到完善和更新。由于服务多个客户并与其他供应商合作,他们了解全球和各行业动态,往往能更及时通报网络趋势和威胁。您可以从以下几个方面评估网络安全提供商:
- DCS系统技能
- 提供24/7全天候服务
- 提供一站式服务
- 提供广泛的网络解决方案
- 拥有实施网络安全所需的资源,
- 无论全球还是本地
如果按照上述步骤采取网络安全防护措施,您的工控系统应该已经能够应对风险并避免大多数威胁了。但如ABB在《生产型企业的网络安全》白皮书中所述,对工控系统实施网络保护需要循序渐进。实现真正的安全没有捷径。