2015 年，黑色能源木馬襲擊了烏克蘭西部的伊萬諾-弗蘭科夫斯克電站，導致 80,000 戶家庭斷電。該漏洞是通過魚叉式網(wǎng)絡釣魚電子郵件發(fā)送的，偽裝成烏克蘭議會的 Microsoft Office 附件，并且能夠刪除關鍵系統(tǒng)文件，特別是破壞工業(yè)系統(tǒng)。

隨著惡意軟件爆發(fā)的頻率越來越高，能源、化工、石油和天然氣等工業(yè)控制系統(tǒng) (ICS) 以及其他制造市場的網(wǎng)絡安全已成為一個緊迫的問題。數(shù)字世界中的惡意攻擊會損害物理世界中的人和設備的想法有點發(fā)人深省。

根據(jù)卡巴斯基實驗室進行的一項廣泛而詳細的研究，威脅只會增加，近 40% 的工業(yè)計算機在 2016 年下半年遭受了網(wǎng)絡攻擊。



 

要阻止專門為利用已建立工廠和工廠中的所有漏洞和間隙而制造的東西，將需要比普通防火墻更多的時間。隨著新的智能制造技術和工業(yè)物聯(lián)網(wǎng) (IIoT) 的日益普及，弄清楚網(wǎng)絡到底發(fā)生了什么似乎更令人頭疼，更不用說保護它了。

與其信任一個非常非常強大的防火墻（并希望它能夠抵御各種攻擊），關鍵是建立一個多層、多策略的防御系統(tǒng)，可以防止來自許多不同方面的安全漏洞，以及減慢攻擊者的速度，為您爭取時間做出反應和反擊。

縱深防御是眾所周知的網(wǎng)絡安全理念，美國國土安全部和眾多國家組織已發(fā)布出版物，詳細介紹了推薦的 ICS 安全計劃和架構。

基于縱深防御模型和我們在 ICS 網(wǎng)絡方面的豐富實踐經驗，我們?yōu)榭刂葡到y(tǒng)工程師或負責管理網(wǎng)絡安全的主管匯總了一系列非常實用的操作項目。本白皮書的目標是向您展示您現(xiàn)在可以解決的容易實現(xiàn)的目標（以及一些容易實現(xiàn)的目標），以加強您的 ICS。

你無法保護你不了解的東西，所以創(chuàng)建防御系統(tǒng)的步就是把所有東西都映射出來。在開始之前確保所有文檔都是新的，并查看網(wǎng)絡圖以研究整個系統(tǒng)。

準確了解當前環(huán)境中運行的內容，例如網(wǎng)絡設備交換機、路由器、服務器、PLC、OIT 的 VFD 和其他工廠以太網(wǎng)設備。這還包括軟件組件，例如防火墻和訪問網(wǎng)絡的應用程序。了解您的硬件固件和軟件補丁是否是新的，甚至是否可以升級。供應商可能不再積極支持某些較舊的產品，這可能會留下安全漏洞。

由于我們的目標之一是堵住墻上的任何漏洞，因此您需要能夠區(qū)分什么是數(shù)據(jù)流的必要路徑（例如，發(fā)送數(shù)據(jù)用于報告目的）與什么是不必要的差距（例如，不再需要后門訪問的舊設備）。

通過了解系統(tǒng)的目的及其終產品，您可以決定應該發(fā)生哪些數(shù)據(jù)流以及允許哪些設備進行通信以實現(xiàn)總體目標。