工業(yè)世界聯(lián)網(wǎng)程度的提升有一個(gè)關(guān)鍵問(wèn)題：如果發(fā)生網(wǎng)絡(luò)攻擊且攻擊成功，后果不堪設(shè)想，比如，網(wǎng)絡(luò)罪犯入侵計(jì)算機(jī)系統(tǒng)并切斷城市供電或供水。而且，不僅網(wǎng)絡(luò)犯罪團(tuán)伙會(huì)盯上ICS，民族國(guó)家黑客也常將ICS列為攻擊敵對(duì)國(guó)關(guān)鍵基礎(chǔ)設(shè)施的入口點(diǎn)。

正如2017年6月NotPetya數(shù)據(jù)清除惡意軟件爆發(fā)所展現(xiàn)的，ICS已經(jīng)成為網(wǎng)絡(luò)犯罪的主要目標(biāo)。然而，很多工控設(shè)備都面臨安全措施老化過(guò)時(shí)的風(fēng)險(xiǎn)，需要進(jìn)行替換或升級(jí)。如何應(yīng)對(duì)ICS面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的事實(shí)?公共事業(yè)機(jī)構(gòu)該從哪里開始防御這種之前從未考慮過(guò)的威脅?
為確保ICS能抵御今天的在線安全威脅，公司企業(yè)需采取足夠的措施以創(chuàng)建有效工業(yè)安全項(xiàng)目并合理排定企業(yè)風(fēng)險(xiǎn)優(yōu)先級(jí)。這聽起來(lái)似乎是令人生畏的浩大工程，但健壯的多層安全方法可以分解為基本的3步：1) 保護(hù)網(wǎng)絡(luò);2) 保護(hù)終端;3) 保護(hù)控制器。
一、保護(hù)網(wǎng)絡(luò)
工業(yè)公司應(yīng)確保自身網(wǎng)絡(luò)設(shè)計(jì)良好，有著防護(hù)周全的邊界。企業(yè)應(yīng)按 ISA IEC 62443 標(biāo)準(zhǔn)劃分自身網(wǎng)絡(luò)，保護(hù)所有無(wú)線應(yīng)用，部署能快速排除故障的安全遠(yuǎn)程訪問(wèn)解決方案。公司網(wǎng)絡(luò)，包括其工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，都應(yīng)列入監(jiān)視對(duì)象范圍。
二、保護(hù)終端
運(yùn)營(yíng)技術(shù)(OT)團(tuán)隊(duì)可能會(huì)覺得公司的終端受到邊界防火墻、專利安防軟件、專業(yè)協(xié)議和物理隔離的防護(hù)，可以抵御數(shù)字攻擊。但事實(shí)不是這樣的，雇員、承包商和供應(yīng)鏈員工將他們的筆記本電腦或U盤帶入企業(yè)網(wǎng)絡(luò)時(shí)，這些安全防護(hù)措施就被繞過(guò)了。
必須確保所有終端都是安全的，要防止員工將自己的設(shè)備接入公司網(wǎng)絡(luò)。事實(shí)上，黑客可以侵入OT環(huán)境中基于PC的終端。公司企業(yè)還應(yīng)保護(hù)其IT終端不受OT環(huán)境中橫向移動(dòng)的數(shù)字攻擊侵襲。
購(gòu)買資產(chǎn)發(fā)現(xiàn)產(chǎn)品，或者實(shí)現(xiàn)網(wǎng)上終端清點(diǎn)過(guò)程，是保護(hù)終端安全的不錯(cuò)開端。可以定義控制措施和自動(dòng)化以確保防護(hù)到位。然后公司企業(yè)必須保證每臺(tái)終端上的配置是安全的，并監(jiān)視這些終端以防遭到未授權(quán)修改。
總體上，IT和OT環(huán)境通用的解決方案是公司企業(yè)明智的選擇。應(yīng)定義一個(gè)足夠靈活的安全平臺(tái)，既能夠深度覆蓋IT，又適用于敏感的OT環(huán)境。
三、保護(hù)控制器
每個(gè)工業(yè)環(huán)境都有其物理系統(tǒng)——致動(dòng)器、校準(zhǔn)器、閥門、溫度感應(yīng)器、壓力傳感器一類機(jī)械裝置。這些與現(xiàn)實(shí)世界交互的物理系統(tǒng)被稱為控制器，也就是橋接物理系統(tǒng)控制和網(wǎng)絡(luò)指令接收行為的特殊計(jì)算機(jī)。很多案例中惡意黑客都曾獲取過(guò)這些設(shè)備的控制權(quán)，引發(fā)設(shè)備故障，造成物理破壞，或?qū)镜膿p害。不過(guò)，如果僅僅是能訪問(wèn)而不能控制，惡意黑客也無(wú)法直接造成破壞。
通過(guò)加強(qiáng)檢測(cè)能力和對(duì)ICS修改及威脅的可見性，實(shí)現(xiàn)脆弱控制器的安全防護(hù)措施，監(jiān)視可疑訪問(wèn)及控制修改，以及及時(shí)檢測(cè)/控制威脅，公司企業(yè)可有效防止工業(yè)控制器遭到數(shù)字攻擊。
網(wǎng)絡(luò)犯罪已成當(dāng)今世界發(fā)展最快的產(chǎn)業(yè)之一。其范圍涵蓋僅僅出于好玩就發(fā)起攻擊的腳本小子，以及像跨國(guó)公司一樣運(yùn)營(yíng)的犯罪組織。隨著ICS成為網(wǎng)絡(luò)罪犯的主要目標(biāo)，公司企業(yè)需采取措施做好ICS對(duì)數(shù)字威脅的防護(hù)。而要做好防護(hù)，就需要重點(diǎn)放在網(wǎng)絡(luò)安全、終端安全和工業(yè)控制器安全的多層安全措施。