工业网络安全挑战清单

automation.com在2014年4月8日发表的霍尼韦尔网络安全解决方案全球总监Eric D. Knapp撰写的文章编译而得，有改动。

曾经一部电影中有这么一个场景：一个包含恶意病毒的软件悄悄潜伏在核浓缩设施系统中，潜伏了一年，了解了系统所有的操作后默默等待命令发起攻击。监视图像和控制参数显示完全正常，运营者完全没发现任何异常，突然，离心机疯狂失控，一瞬间整个系统发生了毁灭性破坏。

这个原本科幻小说中的场景，自世界上首个专门针对工业控制系统编写的破坏性病毒——震网Stuxnet(超级工厂病毒)的诞生，而变成了现实，曾经被认为坚不可摧的工业控制系统开始成为恶意软件大肆攻击的目标。今天的恶意软件已经可以进化、突变和隐藏，能在系统或者设备中嵌入病毒代码。

震网Stuxnet是第一个军用级的网络攻击武器，其成功破坏伊朗核浓缩设施系统，造成了伊朗核电站的延迟发电。震网Stuxnet巨大的破坏力迅速催生了全世界对工业设施的保护意识。但，道高一尺魔高一丈，比震网Stuxnet更厉害的新一代工业病毒如Night Dragon、Duqu, Shamoon、Flame 和Gauss等等不断涌现出来。

工业网路的威胁越来越难以忽视，人们对工业安全的防护意识也随着频繁的攻击，而逐渐增强。据统计，在过去7年，工业控制系统网络攻击的年复合增长率达54%。

根据BAE系统公司应用智能部门的一份关于企业安全的调研显示，53%的被调查的美国公司都认为网络攻击是公司三大风险之一。这也说明了大型跨国公司在网络安全方面日益增长的需求。世界经济论坛（World Economic Forum）表示网络攻击将成为2014年全球最严重的威胁之一。

美国贝恩咨询公司（Bain & Company）的报告也显示网络安全以及成为企业发展的战略级综合规划。随着网络威胁的频率和复杂性的不断提高，其对企业整体业务的影响程度也越来越大。安全研究机构SANS研究所的报告显示，其实，大多数的企业都是在网络已经遭受攻击或者即将遭受攻击的假想下运行。赛门铁克（Symantec）的调研显示，顶级公司采用了正确的安全策略可提高对重大网络攻击的防护能力和减少停机时间。

虽然现在人们网络安全意识已经不断加强，但是，决策者常常会面临信息鸿沟的问题，因此，很难恰当的调整风险投资，来充分应对网络威胁，有效保障企业战略价值。

开始迎接挑战

面对恶意软件的攻击，首先，我们需要的理顺思想，克服固有文化中信息网络安全的一些误区，建立正确的认知。一旦清晰的认识到恶意软件对工业网络的巨大危害，制造商将需要重新开始对网络的安全进行新思考。

可喜的是，网络安全是获得可靠性和安全性的必要步骤，已经被广泛认可。很多公司在工业安全方面已经取得了实质性的进展，已经展开了固化的安全计划，并已经开始有些成效。人们也越来越明白在工业领域到底我们利用网络安全在保护哪些资产，哪些地方容易出错，我们应该防止哪些带来危害的事情的发生。

当涉及网络安全的时候，企业还是有很多简单的方法可以寻的，比如建立正确的网络架构来保证网络的固有安全性，同时，通过禁用端口和去掉一些不必要的服务与应用来增强系统的安全性。

风险评估

当企业要实施安全计划的时候，他们必须进行详细风险分析和评估，要建立风险公式。比如，什么情况下会发生恶意入侵和攻击？发生的可能性有多大？如果发生攻击将带来怎样的损失？如果评估表明，系统处于高风险，则企业有必要花费大量金钱来严格完善其安全控制，包括网络安全监控、入侵防御系统、防火墙、反恶意软件等等，综合利用安全措施，形成立体的纵深安全防御系统。

同时，企业必须将网络安全视为企业文化的一部分，将网络安全与生产安全一视同仁。从思想和认识层面提高对网络安全的重视，才能更有效的避免网络安全事件。比如，为了网络安全要全面的对员工进行培训防止其使用USB等易带来安全隐患的行为。创造安全的系统是非常具有挑战性的，企业必须确保安全计划已经深入每个员工的内心，得到了大家的认同，并能坚决执行。

为了加快对安全措施的实施，企业还需要采取行之有效的风险评估方法，通过与成本挂钩的方法，可以快速加强人们对安全风险的重视程度。

安全是一个过程，不是一个产品，拥有安全意识、正确的网络架构、正确的应对措施和安全人员的勤勉都是安全这个过程中的关键要素。提高安全意识、理解安全技术、采纳安全文化等转变，可以为企业带来显著的商业优势。

忽视网络安全的日子已经一去不复返了！

安全挑战清单

安全计划具有非常大的挑战性，而且，很容易变得不知所措。关键是要把重点放在如何实现增强安全性的目标上，而不是着眼于挑战整个网络的安全性方面。要有正确的心态和认识，才能确保建立强大的安全保障系统。

下面列出的一份安全挑战清单，希望对企业建立完善的网络安全系统有一定的帮助：

1、确保参与各方交流无障碍

2、确保IT与OT之间的互通

3、网络安全文化的建立与灌输

4、对安全系统可能会涉及的方方面面做详细的了解，剔除认知误区

5、确保所有供应商使用安全产品

6、确保对安全生产和网络安全一视同仁，都遵循相同的风险管理策略

7、确立风险方程式

8、了解所涉及的风险，以及应对的策略

9、知道没有一劳永逸的安全策略，安全策略需要随需调整

10、确保由正确人来实施安全发展策略

11、确保企业从上到下对安全建设的共识与支持

12、沟通、沟通、沟通