隨著不同設備和網絡之間連接的不斷發(fā)展，對工業(yè)自動化和工業(yè)物聯網 (IIoT) 系統(tǒng)的攻擊也在不斷發(fā)展。制造企業(yè)必須規(guī)劃和執(zhí)行有效的縱深防御戰(zhàn)略，并對其安全措施進行持續(xù)的評價和調整。

根據Symantec公司2018年《互聯網安全威脅報告》，在過去一年中，與工業(yè)控制系統(tǒng) (ICS) 相關的漏洞增加了29%。鑒于這些系統(tǒng)所連接和控制的過程，對于安全至關重要，安全漏洞可能會導致代價高昂、影響廣泛且異常危險的危害。

惡意工業(yè)控制系統(tǒng)攻擊，可能包括喪失顯示、操縱顯示、拒絕控制、操縱控制和失去控制。后果可能包括危險故障和長時間停機。未經授權的進入，可能會危害員工和公眾的安全，并會造成停機、知識產權泄露和市場份額損失，從而影響公司的利益。

事關重大，想要弄清楚從哪里開始，可能會倍感壓力。通過分析和審核工業(yè)控制系統(tǒng)資產和工藝流程，企業(yè)可以更好地了解對安全、可靠性和安保的威脅。

安全審核是一個很好的起點，應該包括以下3個簡單步驟:

1 清點資產

雖然看起來很簡單，但大多數企業(yè)并不完全清楚，他們需要保護的資產有哪些，如可編程邏輯控制器（PLC)、人機界面(HMI)、監(jiān)控和數據采集 (SCADA)系統(tǒng)等等。根據資產的共同屬性將其分類，并了解每個資產的數據屬性。該工作是非常重要的起始點，因為如果企業(yè)不知道需要保護什么，就無法提供保護。

2 清點網絡

資產庫存使企業(yè)能夠了解連接到網絡的有形資產。下一步是了解這些資產是如何通過網絡結構和配置連接起來的。了解數據可能的傳輸路徑，可以顯示攻擊者如何訪問此數據。企業(yè)網絡的物理和邏輯圖，將為企業(yè)安全審計的第3步取得成功奠定基礎。

3 清點數據流

了解數據流至關重要。由于工業(yè)自動化中使用的許多協議，沒有提供保護流量的措施，因此許多攻擊可以在沒有任何阻力的情況下進行：只需訪問網絡并了解協議即可。了解端口、協議、終點和時間需求 (確定性與否) ，可幫助了解在第2步中確定的網絡資產，哪些資產會有數據流經。

設計和維護工業(yè)控制系統(tǒng)和網絡基礎設施的團隊成員，可以執(zhí)行這些步驟。這些步驟完成后，就對資產、它們之間的連接方式以及數據如何在網絡上流動到每個終端有一定的了解。要進入網絡及資產，攻擊者必須突破這三個已知域中的一個。他們需要在網絡中增加新資產；修改網絡配置以獲得對網絡各層的訪問權限；操縱現有設備與新的終端對話，并創(chuàng)建新的數據流。

有了安全措施，并不意味著“設定，忘記它”。在這種不斷演變的威脅格局中，昨天的最佳做法，今天也許已經不能滿足要求。通過安全審計，企業(yè)可以深入了解工業(yè)控制系統(tǒng)系統(tǒng)中的資產和數據流，為實施縱深防御策略、工業(yè)控制系統(tǒng)網絡安全計劃做好準備。為了獲得收益，確保知識產權和生產線上工作人員的安全，采取必要措施提高工業(yè)控制系統(tǒng)的安全性，這比以往任何時候都更加重要。