保護工業控制系統(ICS)網絡安全是一項***挑戰性的任務，主要是因為ICS網絡缺乏IT基礎設施中的威脅監控、檢測以及響應能力。為了將ICS安全落實到實際情況中，每個組織機構在保護ICS網絡安全時，需考慮以下三個首要問題：

1.我們知道要保護的內容嗎?

為了保護網絡，***步就是創建技術和關鍵資產詳細目錄。缺乏基線理解就談不上保護。一般而言，工業控制器(PLC、RTU和DCS)最ICS網絡最關鍵的組件，因為工業控制器負責工業過程的整個生命周期。自動化控制器確保持續安全的運作。

保護控制器需要準確了解運行的固件、執行的代碼和邏輯以及當前配置。控制器固件、邏輯或配置發生任何變化都有可能導致運行中斷。

因為大多數ICS網絡是幾十年前部署的，某些資產被遺忘也是司空見慣的事。大多數組織對環境中需要保護的關鍵資源不明晰。手動記錄這些關鍵資產的手工流程不僅不準確，還乏味、耗費資源。

缺乏自動化資產發現和管理迫使許多組織依賴使用電子表格的手動文檔。這種過時的方法不僅導致員工倦怠和誤差，還給網絡泄露創造可乘之機。

自動化資產發現和管理為ICS安全團隊提供***的精準詳細目錄，賦予他們規劃并推行有效安全控制的能力。

2. ICS網絡情況如何?不幸的是，很多發生在ICS網絡中情況未知。ICS網絡本質上不同于IT網絡，它們不止缺乏可見性和安全控制，還使用專門技術和廠商特定通信協議。這就使得IT控制不適用于這些環境。

一些ICS網絡監控解決方案專注于發生在ICS網絡數據平面的HMI/SCADA應用活動。這種活動在容易監控的已知和標準化通信協議下執行。

然而，在工業控制器上執行的核心工程活動，包括控制、邏輯、配置設置和固件上傳/下載的變化無法在這些數據平面網絡協議中被監控，那是因為這些控制平面的活動在專有廠商特定協議中執行。這些協議通常無正式文件且匿名，這就使得監控難上加難。本文由E安全(搜索“E安全”公眾號關注)獨家編譯，未經授權不得轉載。

IT網絡中，執行控制平面活動通常需要專門特權。然而，大多數ICS網絡缺乏驗證或加密控制。因此，具有網絡訪問權的任何人可以執行以上活動。此外，缺乏捕捉變化和活動的審計跟蹤或日志(用來支持取證調查)。

了解工業控制平面中的工程活動應該是ICS安全團隊的首要任務。這是惡意活動和人為錯誤會造成重大損失的地方。

3. 我們能有效管理并響應安全事件嗎?由于缺乏ICS網絡的可見性和控制，大多數組織無法及時有效響應事件，這樣一來，不僅削弱了防御力，還增加了緩解的總體成本。

實時了解工業網絡是ICS安全的關鍵。為了保護ICS網絡免受外部威脅、惡意內部人員以及人為錯誤的威脅，工業組織必須監控所有ICS活動—無論通過未知或受信任的內部人員執行，以及活動是否授權。

只有全面了解數據平面和控制平面的網絡活動，組織機構才能運用有效的安全和訪問管理政策。

實施準確的安全策略還能確保ICS安全團隊在未授權和意外活動發生時及時提醒。這些安全策略可以提供必需信息快速查明問題源并進行緩解，將損害和破壞最小化。