文章来源：由「百度新聞」平台非商業用途取用"https://baijiahao.baidu.com/s?id=1631078126508590915&wfr=spider&for=pc"

蝦哥聊網絡安全發布時間：19-04-1800:08關鍵基礎設備系統網絡攻擊干擾事件越來越頻繁，對于許多工業控制系統來說，網絡入侵不是是否會發生的問題，而是什麼時候會發生。國外的烏克蘭停電事故，最近的委內瑞拉停電事故都帶來了嚴重的社會影響。這些事件證明了攻擊者的能力，網絡安全事件的頻率和復雜性正在持續增加。傳統的工業控制系統保護認識，比如絕對的隔離帶來絕對的安全，沒有人會攻擊工業控制系統等，這些認知顯然是錯誤的，也是不合時宜的，針對工業控制系統的保護，常見的有幾種策略，則可以對付常見的可利用的弱點。1. 使用應用程序白名單策略應用白名單可以有效檢測和阻止由攻擊者上傳的惡意軟件的執行。工業控制系統的生產環境的主機操作相對比較固定，而且主機操作系統老舊，和外網隔離，部署需要經常升級的耗費資源多的殺毒軟件不現實，這些現實情況使得運行應用白名單成為可能。部署應用白名單時，需要和供應商合作，建立基線進行。2. 安全配置，及時更新補丁系統入侵者往往發動攻擊時經常利用未打補丁的系統。比如臭名昭著的勒索病毒和挖礦病毒，都利用445端口。如果在病毒爆發時，就封閉445端口，則可避免很多不必要的損失。優先處理工程師站，操作員站，數據庫服務器的補丁和配置，可以有效增加攻擊者的攻擊難度。在現實情況中，對于更新和配置，需要在測試機上進行，測試合格后，在部署到實際運行的操作系統上。3. 縮小攻擊面將工業控制系統與其它不可信的網絡隔離，尤其是互聯網。關閉不使用的端口和服務。如果需要單向通信，則可部署單向網閘。如果必須使用雙向通信，則在受限的網絡路徑上開發單個端口。4. 構建防御環境將網絡劃分為邏輯分區，并限制主機間的通信路徑，可阻止攻擊者擴大攻擊訪問范圍，同時允許正常的系統通信繼續運行。這樣，即使一個區域被攻擊，其余區域也不受影響，降低損失。5. 身份鑒別管理攻擊者在攻擊時，需要獲得合法的用戶憑證，偽裝成合法的用戶對工業控制系統進行攻擊，可提高操作的權限，也可留下較少的記錄和證據。采用多因素認證，實現特權用戶權限最小化。用戶口令要設置安全策略，長度，復雜度要求，并且口令強制更改日期，盡可能的強化管理。6. 安全的遠程訪問建議采用VPN的方式進行遠程訪問，尤其是第三方接入工業控制系統網絡中時。使用堡壘機，可以有效監控接入的各類操作和時間，實現有效的監管和追蹤。7. 監控與應急響應對于現代威脅要積極監控，今早發現黑客攻擊滲透，并迅速執行應急響應，切斷攻擊鏈，保護工業控制系統。沒有100%的網絡安全，但是采用有效的策略可以提升攻擊難度，提升系統的保護狀態。舉報反饋

關鍵字標籤：小型嵌入式工業電腦