本文作者HeatherMacKenzie，最初發(fā)表于2013年12月17日。由青島多芬諾信息安全技術(shù)有限公司進(jìn)行采編和整理，轉(zhuǎn)載請(qǐng)注明出處。

博客正文：     

      美國(guó)輪軸與制造公司(AAM)的Jeff Smith是工業(yè)以太網(wǎng)網(wǎng)絡(luò)和ICS（工業(yè)控制系統(tǒng)）安全領(lǐng)域的權(quán)威。我們很榮幸地邀請(qǐng)他出席2013百通工業(yè)以太網(wǎng)基礎(chǔ)設(shè)施設(shè)計(jì)研討會(huì)并發(fā)表演講。

      在之前的一篇博客中，我概括了AAM公司選擇以太網(wǎng)/IP通信的原因，以及他們?cè)鯓訄?zhí)行最佳實(shí)踐，例如規(guī)范化網(wǎng)絡(luò)分區(qū)配置。今天我將介紹Jeff的ICS安全策略。

      Jeff曾經(jīng)公開發(fā)表言論稱沒(méi)有人會(huì)在安全上花費(fèi)金錢。然而現(xiàn)在，他發(fā)覺(jué)自己看錯(cuò)了問(wèn)題的角度。人們應(yīng)當(dāng)關(guān)心的是：“我需要花費(fèi)多少金錢才能在面臨如此風(fēng)險(xiǎn)的情況下感到安心？”

      為解決這一問(wèn)題，Jeff建議先評(píng)估一下自身目前的安全性水平，然后確定出提高安全性水平的目標(biāo)。

Jeff Smit表示最終用戶和供應(yīng)商們現(xiàn)在不能再和以前一樣，每次提起ICS安全就如同面對(duì)10噸重的大象

確定你的ICS安全優(yōu)先區(qū)域

在AAM的實(shí)例中，他們劃分出了以下四個(gè)優(yōu)先區(qū)域：

1. 保護(hù)制造網(wǎng)絡(luò)（以太網(wǎng)/IP協(xié)議）網(wǎng)絡(luò)免受企業(yè)（非信任）網(wǎng)絡(luò)的影響。

2. 保障企業(yè)從內(nèi)部外部提供安全可靠的遠(yuǎn)程支持的能力不受侵害。

3. 控制并跟蹤供應(yīng)商連接入制造控制系統(tǒng)的動(dòng)向——這是最大的挑戰(zhàn)！

4. 采取以下方式保護(hù)制造商網(wǎng)絡(luò)免受來(lái)自PC機(jī)的惡意攻擊：

a. 從控制網(wǎng)絡(luò)中移除該PC機(jī)，并將其合理安置在企業(yè)網(wǎng)絡(luò)中。

b. 將網(wǎng)絡(luò)邊界的PC機(jī)隔離并安裝具備深度包檢測(cè)和VPN能力的防火墻，從而將其與控制網(wǎng)絡(luò)連網(wǎng)。

      Jeff的這一圖解強(qiáng)調(diào)了他對(duì)此問(wèn)題的看法。對(duì)AAM來(lái)說(shuō)，這一策略（包括移除能夠使PC機(jī)連入現(xiàn)場(chǎng)總線的NIC）能夠阻止雙宿主機(jī)器的干擾。

      在確定好你的優(yōu)先對(duì)象后，你就需要執(zhí)行解決方案了。在演講中，Jeff演示了AAM的遠(yuǎn)程連接系統(tǒng)，并展示了AAM的標(biāo)準(zhǔn)網(wǎng)絡(luò)圖。

Jeff對(duì)ICS安全的深入思考

      在Jeff的演講中我最看好的一點(diǎn)是他強(qiáng)調(diào)出對(duì)ICS安全要有恰當(dāng)?shù)恼J(rèn)識(shí)。他幽默地引用SNL出版的《與Jack Handey一起深入思考》的說(shuō)法將此也稱之為“深入思考”，并且他指出這些想法對(duì)最終用戶、供應(yīng)商及集成商等組織都適用。以下列示了部分：

• 大部分企業(yè)都已經(jīng)不需要一個(gè)“10噸安全模型”——那種包含復(fù)雜的縮略術(shù)語(yǔ)和很多安全“物件”的策略了。供應(yīng)商也應(yīng)該停止用這樣的方式談?wù)摪踩易罱K用戶也不應(yīng)該就這樣什么都不做。而應(yīng)該評(píng)估用戶的需求，并圍繞這些需求進(jìn)行討論。

• 強(qiáng)化基礎(chǔ)。提高安全的第一步是“修復(fù)”你的控制系統(tǒng)以太網(wǎng)策略，然后再使它更加安全。（對(duì)此如果您需要幫助，那么百通公司可以提供適當(dāng)?shù)慕鉀Q方案）

• 應(yīng)從管理組織的角度出發(fā)解決安全問(wèn)題。例如，在企業(yè)界，安全防護(hù)已是一項(xiàng)成熟的規(guī)范運(yùn)作。但在以太網(wǎng)為基礎(chǔ)的現(xiàn)場(chǎng)總線界，安全才剛剛引起管理組織的注意。而且ICS安全也還處于起步階段。

• 因此不要去跟控制工程師們討論關(guān)于以太網(wǎng)的太過(guò)寬泛的話題，縮小范圍至跟他們切身相關(guān)的。

• 要記住很多工程師并沒(méi)有以太網(wǎng)為基礎(chǔ)的控制網(wǎng)絡(luò)的工作經(jīng)驗(yàn)。與此同時(shí)，企業(yè)的培訓(xùn)經(jīng)費(fèi)也很緊張。這些都導(dǎo)致了員工們只能在工作中學(xué)習(xí)，即使工作中技術(shù)變更的進(jìn)程緩慢。因此，請(qǐng)為他們提供幫助。

• 面對(duì)以太網(wǎng)挑戰(zhàn)的工程師們，你對(duì)“從傳統(tǒng)的現(xiàn)場(chǎng)總線X向以太網(wǎng)現(xiàn)場(chǎng)總線轉(zhuǎn)變”的工程計(jì)劃是什么樣的？這是你馬上就要面臨的問(wèn)題……所以，行動(dòng)起來(lái)吧！

• 要記住“控制工程師們可以做控制相關(guān)的事情”，而且應(yīng)該考慮一下把精力投注在提高自己實(shí)施安全防護(hù)解決方案的相關(guān)技能上

• 不要忽略那些來(lái)自內(nèi)部的有意或無(wú)意的網(wǎng)絡(luò)攻擊。

• 同樣要考慮入侵檢測(cè)和快速恢復(fù)。要成功阻止每一次攻擊是很困難的，因此你需要制定一個(gè)在遭受攻擊后能迅速恢復(fù)的計(jì)劃。

將這些深入想法付諸實(shí)踐

• 如果你有足夠的資金，那么用可管理的開關(guān)替換掉那些無(wú)法管理的。

• 增加ICS安全應(yīng)用。他們應(yīng)該：

l  易于配置

l  易于重復(fù)應(yīng)用和部署

l  應(yīng)專門針對(duì)具有較長(zhǎng)生命周期的控制設(shè)備而設(shè)計(jì)

l  不需要過(guò)多的IT知識(shí)來(lái)輔助使用

l  即使線路在凌晨?jī)牲c(diǎn)出現(xiàn)故障也不需要IT人員來(lái)幫忙

 （這里有符合以上條件的設(shè)備的信息）

保持它的實(shí)用性

      當(dāng)你聽Jeff講起他的安全理念，似乎都是非常直接和實(shí)用的。在你面對(duì)現(xiàn)實(shí)中學(xué)習(xí)新技術(shù)的挑戰(zhàn)時(shí)也要記住這兩點(diǎn)，這能讓你更好地完成工作，改變你做事情的方式，也將引領(lǐng)你的企業(yè)向正確的航向前進(jìn)。

      要一直牢記的是安全防護(hù)工作不應(yīng)該太復(fù)雜。如Jeff所言：

    “我們需要做一些事情，今天一小步明天一大步。最后一次性解決這項(xiàng)大問(wèn)題?！?/span>