監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)以及包括人機界面(HMI)、樓宇管理系統(tǒng)(BMS)、制造執(zhí)行系統(tǒng)(MES)和計算機維護管理系統(tǒng)(CMMS)等在內(nèi)的范圍更大的工業(yè)控制系統(tǒng)(ICS)都是專有的技術(shù)，通常來說都會與企業(yè)信息技術(shù)(IT)基礎(chǔ)設(shè)施隔離開來。這些系統(tǒng)初并不是為網(wǎng)絡(luò)安全設(shè)計的。
 

　　ICS傳統(tǒng)的控制和安全的角色已經(jīng)擴展到包括為工廠和過程提供信息，或?qū)碜訣RP以及其他企業(yè)系統(tǒng)的指令做出響應(yīng)。根據(jù)國家基礎(chǔ)設(shè)施保護中心的關(guān)于“確保安全轉(zhuǎn)移至基于IP的SCADA/PLC網(wǎng)絡(luò)”的規(guī)定，這會讓ICS系統(tǒng)面臨潛在的網(wǎng)絡(luò)威脅。
 

　　時下對于物聯(lián)網(wǎng)(IoT)以及與之密切相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)或者工業(yè)4.0之間的網(wǎng)絡(luò)連接的關(guān)注，為數(shù)據(jù)聚合戰(zhàn)略和態(tài)勢感知帶來了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網(wǎng)協(xié)議(IP)，將增加暴露在網(wǎng)絡(luò)威脅下的機會。
 

　　IIoT的變革打亂了傳統(tǒng)控制室的角色，使其朝用于監(jiān)視和控制功能的可移動裝置轉(zhuǎn)化方向變化。例如，正在出現(xiàn)的具有IIoT功能的ICS的情境式HMI組件，為生產(chǎn)和維護單位提供了產(chǎn)能方面的提升，同時擴展了ICS的應(yīng)用領(lǐng)域。然而，它也擴大了網(wǎng)絡(luò)威脅管理的范圍。
 

　　NIST的網(wǎng)絡(luò)安全支柱有四個元素：識別、保護、檢測和應(yīng)對。

 

　　網(wǎng)絡(luò)安全的支柱
 

　　現(xiàn)代的ICS平臺供應(yīng)商將網(wǎng)絡(luò)風險和彈性管理納入到ISO9001質(zhì)量流程中去用于研發(fā)和生產(chǎn)。其目的是讓內(nèi)部和外部上報的漏洞做到透明管理，并快速采取行動，盡可能減少給客戶造成的風險。
 

　　美國國家標準技術(shù)研究所(NIST)已經(jīng)提供了一個架構(gòu)，對于系統(tǒng)地識別一個機構(gòu)的重要資產(chǎn)、識別威脅以及確保重要資產(chǎn)安全方面具有非常重要的價值。該架構(gòu)具有四個元素：識別、保護、檢測以及應(yīng)對。
 

　　識別與鑒別
 

　　資產(chǎn)和數(shù)據(jù)流的詳細清單對于ICS建立正常行為的基準很重要。工業(yè)網(wǎng)絡(luò)可以很大很復雜，而工業(yè)協(xié)議又有別于企業(yè)IT網(wǎng)絡(luò)所用的協(xié)議。使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)對網(wǎng)絡(luò)設(shè)備進行尋址和監(jiān)控的自動化工具提高了詳細清單的效率和性。
 

　　控制系統(tǒng)感知的清單和監(jiān)控工具是建立可靠的ICS基準的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準模板的技術(shù)來監(jiān)控ICS是至關(guān)重要的。理想中的這個系統(tǒng)應(yīng)該可以做到：
 

　　•使用無源傳感器從網(wǎng)絡(luò)數(shù)據(jù)流中提取元數(shù)據(jù)；
 

　　•動態(tài)地建立組件的視覺清單以及連接圖；
 

　　•學習ICS并為正常的運行提供統(tǒng)計學以及行為方面的描述；
 

　　•推薦預防性行為；
 

　　•根據(jù)需要啟動應(yīng)急響應(yīng)。
 

　　IIoT裝置通常使用無線技術(shù)進行通訊。通用IT網(wǎng)絡(luò)與ICS網(wǎng)絡(luò)之間的區(qū)別是使用靜態(tài)IP。隨著工業(yè)網(wǎng)絡(luò)變化得與更廣泛的互聯(lián)網(wǎng)連在一起，健康監(jiān)控系統(tǒng)會尋找變化的或者重復的IP和MAC地址、設(shè)備或電纜移動以及未經(jīng)授權(quán)的連接。增加了通過具有動態(tài)IP連接的無線接入點所連接的移動式傳感器，整個環(huán)境會變得更加復雜。
 

　　保護正在消融的邊界
 

　　在近舉行的一次技術(shù)峰會上，Centrify公司區(qū)域經(jīng)理Mike Ratte討論了當今的網(wǎng)絡(luò)安全境況。“我們需要識別是新的邊界”，他指出，幾乎一半的被攻擊的情況是因為認證不嚴格；黑客將所有級別的用戶都設(shè)定為目標，包括享有特權(quán)的用戶；基于邊界的傳統(tǒng)的安全措施已經(jīng)不夠了；應(yīng)當將安全的基礎(chǔ)建立在基于情境的政策上。這個戰(zhàn)略很適合正在消融的ICS邊界，其已經(jīng)享受了開放連接帶來的好處，因此也將會受益于企業(yè)安全專業(yè)人士。
 

　　據(jù)統(tǒng)計，63%的數(shù)據(jù)外泄涉及安全性弱的、默認的或被盜的密碼，在ICS網(wǎng)絡(luò)威脅的排名中認證管理排名靠前。通過被盜的或丟失的移動裝置物理訪問的可能性增加了對強有力的認證管理的需求。工業(yè)網(wǎng)絡(luò)通過防火墻、虛擬私人網(wǎng)絡(luò)(VPN)以及交換機實現(xiàn)了層防護。
 

　　ICS供應(yīng)商必須對配置文件加密、對于異常連接嘗試提供監(jiān)控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動態(tài)目錄整合在一起的用戶權(quán)限。ICS可以采用強大的識別管理系統(tǒng)。使用動態(tài)目錄作為核心的識別管理資源庫，一個ICS用戶可以通過一個登陸賬號使用所有的應(yīng)用。
 

　　(原文標題：物聯(lián)網(wǎng)時代的SCADA網(wǎng)絡(luò)安全)