Steve Ward explains further."> 保护您的PLC系统免受安全威胁 - 必威betway西

保护您的PLC系统免受安全威胁

2020年5月12日

虽然增加连接可以带来显著的好处,但也会增加需要控制的网络安全风险。史蒂夫·沃德进一步解释了。

网络攻击在不断发展,越来越难以检测和应对。出于这个原因,使应对这些威胁的方式现代化应该成为当务之急。采用基于风险的网络安全方法可以帮助识别潜在的漏洞,并根据每个漏洞的可能性和影响做出战略决策。在应对风险和试图领先于新出现的威胁时,有一些重要的问题需要提出。

监控网络活动越容易,一旦检测到攻击,设备的响应速度就越快,这最终将减少攻击的影响。因此,保护您的可编程逻辑控制器(PLC)和可编程自动化控制器(PAC)控制系统免受安全威胁的最重要步骤之一应该在检测到攻击之前就开始。

使用网络通信端口监视将使检查意外的网络协议、连接或通信类型更容易。虽然网络上的意外活动可能不会最终成为威胁,但它应该引起警觉,并始终值得调查。

大多数企业都知道,他们应该在HMI和SCADA服务器上实现反恶意软件,但在连接到这些控制系统的每台设备上设置反恶意软件同样重要——包括笔记本电脑、平板电脑、智能手机或任何其他可能与控制系统共享网络的设备,因为被破坏的辅助设备可能为黑客提供获取系统数据的完美门户。

当在整个设施中实施集中的反恶意软件时,可以防止、检测和删除恶意软件,使监控过程更加有效和高效。

限制损害
无论你做了怎样的准备,安全攻击和破坏仍然可能发生。因此,重要的是,不仅要设法防止它们的发生,而且要确保如果它们真的发生,损害尽可能小。

限制网络破坏的一种方法是拥有多个安全控制;实现一个健壮的、分层的方法,在许多独立的级别上使用安全控制,攻击者必须破坏这些安全控制,才能真正破坏整个系统。拥有正确的网络安全防御深度战略有助于避免安全问题和工厂关闭。

将网络划分为逻辑区域有助于阻止内部威胁,虽然这种威胁不太常见,但往往会造成最大的破坏。与传统的网络分割相比,拥有独立的区域——通常被称为“增强的网络分割”——在实现和维护方面更具挑战性;然而,它被认为是保护控制资产的最佳方法之一。
至少,设备应该确保安全部署,使用防火墙和分段来阻止未经请求的传入流量,并隔离网络以限制数据传输到其预定位置。使用高级或应用层防火墙是提高此功能的好方法。

限制漏洞影响的另一种方法是利用冗余或在系统中包含备份组件,以便在组件故障或安全漏洞的情况下,itm能够继续工作。

最后,限制安全漏洞影响的最重要的方法之一是建立有效和可靠的业务连续性或已实施的恢复流程和策略,以便在漏洞的影响有机会扩散和减轻未来威胁之前对其进行处理。

锁定所有未使用的通信端口和关闭所有未使用的服务是应采取的其他简单步骤,以减少可被攻击的表面积。

设施应与已获得plc和PAC系统认证(如Achilles)的供应商合作,这些认证跨越了控制系统的设计和工程技术安全要求。认证使控制系统供应商能够正式说明其控制系统符合网络安全要求。

在努力确保攻击不发生时,监控设施内的机对机通信是另一个关键步骤。所有通信都应该通过OPC UA等工业自动化协议安全完成,该协议提供了强大的安全性,包括认证和授权、加密和数据完整性。通过监视网络通信,新打开的端口或正在使用的协议会向您发出潜在威胁的警报。

PLC用户认证管理
无意的行为可能是对一个组织最关键的威胁之一。要领导变革,重要的是采取最好的群体行为,并帮助教育员工如何降低风险。例如,对安全性最大的威胁之一是密码选择。在一个最常见的密码是“password”或“123456”的世界里,指导用户选择强密码并提供如何使用的指导是多么重要。

要求客户端应用程序和服务器之间的用户身份验证,以确保只有授权的用户正在访问服务器。如果系统能够支持这种级别的安全,那么多因素身份验证和基于角色的访问控制是最佳选择。

PLC网络隔离
远程网络访问带来的最大风险是,黑客有可能从外部更深入地访问组织,一旦他们这样做了,防止计划外停机、失控、数据丢失等就变得非常具有挑战性。企业还应该审计他们的PLC网络,以定位黑客可能使用的任何模糊访问向量,并定期监控接入点。公司可以实现多因素认证,这要求用户成功地向认证机制提交两个或多个证据(或因素),以便被授予对设备、应用程序或信息的访问权。

双因素身份验证是多因素身份验证的一个常用子集。这种方法通过使用以下两个不同因素的组合来确认用户声称的身份:他们知道的东西,比如密码;他们有的东西,比如钥匙卡或软件令牌;或者其他类似的东西,比如指纹或面部识别。

Steve Ward是艾默生自动化解决方案公司应用工程EMEA部门的主管。


联系方式和档案…

相关文章…

列印本页|通过电子邮件发送此页面