工控網安全：該做和不該做的

隨著網絡作戰以及有組織黑客越來越多地開始針對工控網進行攻擊，工控網的安全問題日益成為很多企業的網絡安全的頭等大事。不幸的是，目前絕大多數的工控網基本處于不設防的狀態，而由于在大多數企業里，工控網的管理往往不在IT部門的范圍之內，因此，在工控網安全方面，存在著很多漏洞和誤區。

很多企業并沒有意識到ICS（Industrial Control System 工業控制系統）或多或少存在在它們的網絡里。 事實上，ICS無所不在，差不多每個數據中心，每個建筑里的環境控制，門禁系統，安全系統以及很多自動化系統都是工控系統。而在很多行業里，工控系統是企業運營最重要的部分。由于這些系統的專業性與復雜性，很多工控系統并不是由企業的IT部門來管理的。這也使得傳統的網絡安全管理和風險管理并不涵蓋這一部分。而有些工控系統甚至是由企業外的第三方來通過遠程進行管理和維護的，這往往成為企業信息安全的一個薄弱環節。

在我們與客戶的交流中，有很多人問我應該如何更好地管理工控網的安全風險。這里，我們總結了一些工控網安全該做的與不該做的原則。?

我們首先說說哪些不該做：

不要用傳統的漏洞掃描工具去掃描工控網設備：

很多工控網設備很脆弱，而且并不是為了能夠經受頻繁掃描而設計的。有一次我們問一個設備供應商為什么簡單的端口掃描就會導致它的設備崩潰。他回答說:“我們才用的是工控系統的TCP/IP堆棧。”

不要指望傳統的漏洞掃描工具能夠發現工控網軟件的漏洞：

傳統的漏洞管理工具會漏掉很多工控網的漏洞，而更加糟糕的是，有些工控網的漏洞，比如說硬編碼，后門密碼等，會被認為是產品功能而不是漏洞。

不要指望能夠及時得到漏洞通知

很多企業漏洞管理工具已經非常成熟，它們會定期地并且及時地通知企業相關的漏洞。而在工控網領域情況有很大不同?漏洞的通知以及相關的風險信息通常并不能做到定期和及時。

不要以為外包給第三方就完事大吉了

工控網的運維外包很常見,比如在一座大廈的自動化系統可能就是外包給第三方的。企業應該意識到，工控網的運維外包同時也把工控網的安全交給了第三方。企業應該對第三方充分了解，了解他們如何訪問設備，企業應該要求他們對企業工控系統的安全采取措施。如果企業的重要系統是租用場地（如IDC），那么企業也需要了解場地的安全管理規章。

不要指望工控網設備商有集中式的補丁管理系統：

給工控網打補丁是個很困難的事。工控網常常擔負著企業最重要的生產流程。而停掉這些流程往往會產生巨大的成本以及運營風險。因此，集中式的自動化的補丁管理系統是不存在的。幾乎所有的工控網補丁都必須手動下載并安裝。而且很多情況下，只能由供應商認證的技術人員進行安裝。

那么， 在工控網安全方面， 哪些是應該做的呢？

辨明系統中的工控設備：

如果你想要開始積極管理工控網的安全風險，那么辨明網絡中的工控網設備非常重要。理解并且登記在企業網絡環境中的工控網系統是工控網安全的基礎。

了解訪問工控設備的途徑：

在了解登記的網絡中的工控網設備后，你需要了解這些設備是如何被訪問的。它們能夠從Internet上訪問嗎？它們有沒有在防火墻的保護下？?非工控網操作人員有沒有可能訪問這些設備等等。

?監控對工控設備的訪問：

工控網可能承擔了企業的一些最重要的運營，而由于工控網補丁升級的困難以及很多設備自身的安全防護薄弱?企業應該嚴格監控對工控網的訪問。在大多數情況下，對工控網設備的訪問應該是一些常規的的流量。

了解哪些用戶/工程師能夠操作工控網設備：

對工控網的安全防護，不僅僅是在設備端，人的因素同樣重要，了解對工控設備的操作人員及工程師是非常重要的一步。像要求每個操作人員只能操作自己的工位上的工控設備這樣簡單的管理方式，在實際中往往都很難做到。?