东方测控

行业企业市场标准科技新品会议展会政策原创

七大策略减轻工业网路攻击 保护工业安全

行业上下游中国仪表网2016年02月18日 11:19人气:21550

  【中国仪表网 行业上下游】为保护工业安全,减轻工业遭受网路攻击的可能性,美国国土安全部(DHS)建议采取七项保护措施。据机构宣称,这7大步骤可让FY2015年所举报的攻击中,有98%的事件都能幸免。

  重工业正逐渐成为网路攻击的目标。金融机构或或许也承受着种种压力,但无论是以次数或类型来看,工业网路遭受到更严重的攻击。目前看来,这些攻击唯一的目的似乎都在探测弱点,但却足以危害到整个工业网路。
  
  DHS所属的工业控制系统紧急应变小组(ICS-CERT)在日前发布了有效防御工业控制系统的7个步骤。ICS-CERT首先指出根据其研究,在2015年至少发生295起与工业网路有关的入侵事件,此外还有更多可能是未发布或未侦测到入侵事件。再者,这些事件还有愈演愈烈的趋势。
  
  ICS-CERT强调,简单地增强外围防护(如防火墙)的网路已经不再适用了。
  
  为了协助减轻遭受网路攻击的可能性,ICS-CERT建议必须为工业网路建置7项重要策略,以提高其防护能力。该机构宣称,这7大步骤可让FY2015年所举报的攻击中,有98%的事件都能幸免。
  
  这七大关键策略是:
  
  1.建置应用程式白名单:只允许预先经认可的应用程式来执行,让网路能侦测并防止恶意软体。SCADA系统、人机介面(HMI)电脑与资料库系统特别适用这一策略。
  
  2.确保正确配置与管理增补程式:随着对手不断提高其能力,安全的实际作法也逐渐过时。其结果是,未经增补的软体越来越容易成为目标。关键是必须落实安全输入程序以及更新可信任的软体增补程式。
  
  3.降低易受攻击的表面范围:关闭未使用的埠以及未用的服务。只有在绝对必要时才允许即时的外部连接。隔绝你的工业网路与不受信赖的外部网路。还有一个有用的技巧是,如果只需要单向通讯(如报告资料),尽量使用光学隔离方案(资料二极体),以预防回程讯号进入。
  
  4.建立可防御的环境:正确的架构有助于限制从外围入侵的潜在损害。就像城堡拥有外墙和内部防御工事一样,将网路设计成一个可限制主机对主机通讯的系统集合,可避免因其中一个系统受损而影响其余系统。
  
  5.认证管理:使用窃取而来的凭证可能让攻击者几乎无法被系统侦测到。因此,透过双重因素认证、限制使用者权限的存取、为企业与控制网路存取提供不同的认证,以及各种保护机制,都有助于强化认证。
  
  6.安全的远端存取:如果有必要使用远端存取,更要采取保护措施,如使用硬体(而非软体)资料二极体进行唯读存取、限时远端存取、要求操作员透过远端存取请求进行控制,以及避免为供应商与员工采用不同存取路径的“双重标准”。同时,关闭任何可疑的存取物件、隐藏的后门等等。特别是防护数据机基本上并不安全。
  
  7.监测与因应计划:网路攻击正不断地成熟壮大,所以目前看来足以因应的措施可能成为明日的破绽。持续地监测网路以避免可能的入侵迹象或其他攻击,并且预先拟定侦测到攻击时的因应计划。迅速采取行动可限制受损害的程度,而且也有利于尽快恢复。
(本文来源:eettaiwan转载请注明出处
仪表网官方微信
@仪表网
已推荐
0

全年征稿 / 资讯合作

联系邮箱:ybzhan@QQ.com
  • 凡本网注明"来源:中国仪表网"的所有作品,版权均属于中国仪表网,转载请必须注明中国仪表网,http://www.ybzhan.cn/。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
成丰仪表——中国第三代流量计领军品牌


返回首页