工業控制系統(ICS)網絡基礎結構面臨的威脅持續增加，復雜程度也比以往任何時候都大。這些攻擊的數量及復雜性的增加，使得ICS成為網絡犯罪者容易得手的目標。主要原因就是它的基礎設施老化，缺乏安全規劃和設計，以及長期以來對ICS網絡的保護不夠重視。對企業的基礎設施和運營方面進行詳細分析，可以深入了解風險水平，并找出保護關鍵資產的潛在對策。應該采取這種整體方法來確保考慮所有方面，以充分了解對生產系統造成的實際風險水平。這包括網絡和物理安全，以及系統生命周期的狀態。為了幫助識別確切的風險水平，應對每個因素進行徹底評估，以了解設計、運營和維護差異，并保持生產系統的正常運行。

工業控制系統的演化

過去，工業控制系統提供商使用與外部連接物理隔離的專有硬件和軟件。而現在，工業控制系統使用商用現貨（COTS）組件、標準操作系統和通用的通信協議。從專有系統向開放技術的轉變，允許使用第三方硬件和軟件組件，這有助于推動ICS整體生命周期成本的下降。

此外，采用標準的通用組件和通信協議，有助于和IT或業務系統的連接。將生產系統中的數據共享到業務系統中，只需要極少的努力就可以收集和分析數據，從而為企業帶來寶貴的洞察力。

這些功能提高了生命周期并使連接性更好，但也將ICS應用程序的漏洞暴露出來，因為這些程序設計的第一要務并不是安全性。ICS提供商通常會發布推薦的安全實踐，這些實踐定義了允許連接到外部系統的特定方法，但最終部署和維護ICS網絡安全的責任完全在最終用戶身上。保護這些網絡，以確保生產可用性和保護不受安全方面的困擾，應該是管理層制定和支持的綜合業務目標。

管理IT和ICS基礎架構

無論是IT還是ICS基礎設施，都使用常見的網絡部件，但在維護、運行和安全管理方面，它們之間非常不同。IT業務網絡和ICS網絡安全目標是不同的概念，但它們基于相同的保密性、完整性和可用性原則。

對IT來講，企業主要關注的是知識產權的泄露，保密具有最高優先級。接下來，數據的完整性非常重要，其次采是網絡的可用性。

由于生產系統數據的關鍵性，ICS網絡具有不同的優先級。對人機界面的依賴性，使系統可用性要求成為工業部門的最高優先事項。

數據的完整性和信息的準確性對工業系統來說也非常重要。保密通常不是工業網絡的主要關注事項。在系統優先級上的這些差異，使IT與ICS在網絡運行和安全管理方面大相徑庭。

雖然這兩種系統的基礎結構都使用通用部件，但IT和ICS網絡的運營差別很大。通常，IT網絡操作由用戶觸發，基本是不規則的，或者是按需啟動。業務網絡上生成的通信量可能是零星、不可預知的。因此需要刪除或添加網絡組件(如服務器、網絡設備和計算機)以支持業務需求。業務系統通信協議圍繞此類操作構建，通常不包括任何類型的確定性機制，這主要是因為數據的零散性。

另一方面，ICS網絡需要非常高的可用性來支持連續和不間斷的生產系統需求。這些系統設計旨在以確定的速率提供數據，以實現可預測性和可重復性。ICS通信協議支持捕獲時間臨界事件的確定性活動。這些系統旨在提供高可用性和對時間敏感的關鍵數據。IT和工業控制系統網絡操作之間的差異，導致它們實現安全的方法也有很大的不同。

標準IT的"修復"可能會損害ICS

IT通常會部署廣泛的安全對策，以防止網絡攻擊。然而，由于需要確定的高可用數據，大多數常見的IT安全方法可能會對ICS網絡產生不利影響。標準IT安全實踐的一個實例，包括為操作系統升級打補丁、應用程序升級和服務器系統升級。在IT界，這被認為是常見的做法。但是，在ICS網絡上，這些操作可能會對系統和相關組件產生非常負面的影響。

由于相關軟件、系統組件和數據交付的關鍵特性，其它常見的IT實踐，如域的更改、病毒掃描程序更新、反惡意軟件更新、路由器配置更改和端口阻止策略，可能會對ICS網絡造成不利影響。對ICS網絡或相關組件的任何此類更改的實施，都必須仔細考慮，并應首先在測試系統上進行，以在真正部署到生產系統上之前對其性能進行分析。

此外，必須特別注意安全，以確保ICS網絡操作不致受阻。確定正確的方法并應用最具成本效益的風險緩解解決方案，對于支持IT和ICS基礎架構的業務至關重要。ICS網絡的可用性需求，使它們對生產系統中的任何細微變化都更加敏感。

準確評估風險級別

由于缺乏對所有潛在漏洞的認知和理解，往往無法確定ICS網絡的實際風險水平。就像IT系統一樣，使ICS網絡就緒所需的努力必須是管理層認可的全面努力，以確保生產系統的可用性。考慮到現代黑客的復雜性，如果僅僅在ICS系統和IT網絡之間放置防火墻，并不能提供足夠的保護來消除風險。

"風險"被定義為獲得或失去某種價值的潛力。要充分了解生產系統的實際風險水平，必須評估暴露漏洞的所有方面，比如生產損失、環境損害、設備損壞和人身安全。這可能包括來自內部、外部、惡意和無意事件所導致的網絡、物理和本地接口漏洞造成的所有威脅。必須定義工業控制系統生命周期的所有方面，以確保考慮到所有潛在的風險。

ICS基礎結構中的很多漏洞都可能引入風險，如使用舊式平臺、系統體系結構設計、與外部網絡的連接、無線訪問點和遠程接口點。通常，工業控制系統部署所需的時間，比標準IT系統所需的時間要長得多，這可以歸因于成本，為避免生產中斷而遷移到較新系統的愿望，以及在運行老舊系統時缺乏相關的風險知識。

導致潛在漏洞的另一個因素是未能設計和維護安全的ICS網絡，這可能是由于多名工程師多年來沒有適當的安全計劃或程序而對網絡負責或者，也可能是快速部署多個項目，急于升級或已經危及到安全性的添加的結果。

為了成功地管理風險，企業必須完全定義哪些內容需要就位，了解ICS系統生命周期的不同階段，并確保他們有一個計劃來維護生產系統免受所有可能的漏洞的攻擊。這些章程應由管理層授權，以確保生產系統資產在整個系統生命周期中保持不變。

對ICS系統的威脅

對IT和ICS基礎結構的威脅正在不斷演變，并且越來越難以防止、監測和緩解。由于生產要求的關鍵性，ICS網絡在安全方面受到的挑戰日益增加。因此，負責監控ICS網絡的技術人員和工程師必須具有更嚴格、更有計劃和更有紀律的方法來部署安全措施。

即使將ICS網絡與因特網連接完全斷開，也不會消除所有相關的風險。如果連接到互聯網，外部威脅似乎更是顯而易見的，但有時候內部威脅比外部威脅更具潛在的危害。這些內容包括內部惡意操作和可能會對ICS網絡造成破壞的、無意識的人為錯誤。

對生產系統的威脅，包括對系統能夠連續、準確地顯示運行數據等功能的任何方面的損害。還包括操作員訪問桌面功能、本地登錄權限以及系統端口或接口功能。在物理和程序上保護自動化系統的努力，可能是非常廣泛和耗時的。但是，防止常見系統故障的唯一方法是，刪除普通用戶訪問這些系統的能力，包括軟件、硬件和物理訪問。

缺乏充分管理ICS安全和生命周期的規劃和程序，是對ICS關鍵基礎設施的最大威脅。通過數字網絡或物理方面都可以對安全性造成危害。在老舊平臺上的操作還可能會損害生產系統的壽命。老舊的硬件、軟件和對系統的支持力度較小，并且比較昂貴（如果還有支持的話）。

通常情況下，IT系統的升級周期為3到5年，而生產系統可能會保持更長的時間。由于生產系統的高可用性要求，對新系統的更改也會有風險。新系統很可能需要重新編程，邏輯將需要被破譯或編譯為一種新語言。這就有可能引入人為錯誤，并可能對生產系統產生不利影響。

新的操作界面可能會與現有老舊系統的外觀和操作不同。從老舊到新系統的遷移，可能涉及到詳細邏輯規范的許多方面，以定義安全操作、廣泛的測試和操作員培訓，從而充分評估生產系統。完全更換可能需要一段時間，包括多個復雜階段，以最大限度地減少生產中斷。ICS生命周期的管理，應該包括一個全面的路線圖，規劃好所有的更換細節，以盡量減少為生產系統帶來的風險。

減輕風險和保護資產

減輕風險和確定一個整體計劃來保護企業資產，需要對所有生產系統風險進行全面評估。資產保護應包括安全層，不應依賴單個軟件或硬件，以便使風險最小化。工業控制系統受損的后果，可能會造成生產損失、環境損害、加工設備損壞，甚至可能危及人身安全。

資產保護從上層管理的指示開始，以識別主動行動，并確保ICS系統已經做好準備，能夠處理不斷變化的威脅。整體計劃記錄安全任務和過程，并概述保護、緩解過程和遷移計劃的層次，以涵蓋ICS系統的生命周期。對危及生產系統事件的反應應該是所有人員都清楚理解的計劃，從而將其影響降至最低。

遷移計劃應包括一個系統路線圖，以最大限度地減少生產中斷，并確保在變更期內系統的安全可靠。從本質上講，威脅持續變得更加復雜，因此強烈建議每年對保護層進行一次審計，以確保它們不會受到損害。風險因素永遠不會被完全消除，但是資產所有者可以通過盡可能減少風險來保護生產系統的正常運營。