ICS(工業(yè)控制系統(tǒng)，Industrial Control Systems)網(wǎng)絡(luò)最近的新聞鬧得很大。因?yàn)槌霈F(xiàn)了一連串的弱點(diǎn)、熱門入侵外泄事件以及其他各種安全上的問(wèn)題。

ICS網(wǎng)絡(luò)的定義是由各個(gè)在機(jī)電組件上控制和提供自動(dòng)測(cè)量資料的元件所組合成的網(wǎng)絡(luò)或網(wǎng)絡(luò)集合。這些機(jī)電組件包括閥門、調(diào)節(jié)器、開(kāi)關(guān)和其他機(jī)電設(shè)備，你可以在各種產(chǎn)業(yè)里看到它們，像是石化與天然氣、自來(lái)水處理、環(huán)境控制、發(fā)電和配電、制造業(yè)、運(yùn)輸業(yè)以及許多其他產(chǎn)業(yè)。

這里并不需要深入探討各個(gè)特定產(chǎn)業(yè)，這些ICS應(yīng)用環(huán)境都有一個(gè)共同特色，就是它們并不是“傳統(tǒng)”的IT網(wǎng)絡(luò)環(huán)境，也不該被同等對(duì)待。而大多數(shù)ICS網(wǎng)絡(luò)也因?yàn)樗鼈兊莫?dú)特性質(zhì)而面對(duì)相同的安全問(wèn)題。這些問(wèn)題因?yàn)镮CS元件和實(shí)體工業(yè)組件互動(dòng)而變得更加復(fù)雜。

如果不能妥善地控制或限制這些元件的存取可能會(huì)導(dǎo)致災(zāi)難性的事故。許多這些元件所管理的工業(yè)系統(tǒng)被認(rèn)為是“關(guān)鍵基礎(chǔ)設(shè)施(CI，Critical Infrastructure)”，被要求使用比傳統(tǒng)IT環(huán)境更特制化的安全架構(gòu)。

監(jiān)視控制和資料擷取(Supervisory Control and Data Acquisition，SCADA)網(wǎng)絡(luò)可以被定義為網(wǎng)絡(luò)層，提供ICS網(wǎng)絡(luò)和控制監(jiān)視ICS網(wǎng)絡(luò)元件的主機(jī)系統(tǒng)界面。

SCADA / ICS網(wǎng)絡(luò)和其他網(wǎng)絡(luò)不同處只在于網(wǎng)絡(luò)元件、管理平臺(tái)和靈敏度。它們所會(huì)面對(duì)的一切都和其他網(wǎng)絡(luò)上會(huì)遇到的威脅完全一樣，但可能會(huì)出現(xiàn)更災(zāi)難性的后果。

SCADA / ICS安全最大的問(wèn)題是，ICS社交(大部分人)多年來(lái)都生活在“泡泡”里 – 他們使用專有協(xié)定，特制和專有平臺(tái)。專用低速通訊基礎(chǔ)設(shè)施(有些甚至是用撥號(hào)網(wǎng)絡(luò))，并完全和其他網(wǎng)絡(luò)分隔開(kāi)。

現(xiàn)在，SCADA / ICS社交正努力解決使用一般商業(yè)化硬件和軟件(如微軟操作系統(tǒng))以及連接其他外部網(wǎng)絡(luò)(企業(yè)網(wǎng)絡(luò)，最終可能是網(wǎng)際網(wǎng)絡(luò))所帶來(lái)的安全問(wèn)題，還有混亂而失控的弱點(diǎn)披露制度(ICS的弱點(diǎn)也是攻擊的目標(biāo))，跟許多其他一般IT安全產(chǎn)業(yè)已經(jīng)面對(duì)多年的問(wèn)題。

是的，有些ICS網(wǎng)絡(luò)營(yíng)運(yùn)商已經(jīng)落后于時(shí)代潮流了。是的，有些已經(jīng)要被這些狀況給擊倒了。但整體來(lái)說(shuō)，SCADA / ICS社交正加緊地提昇他們的安全狀態(tài)。

每個(gè) ICS網(wǎng)絡(luò)整合時(shí)都必須考慮的元件，包括了跟?SCADA和現(xiàn)行組織網(wǎng)絡(luò)整合時(shí)的最佳實(shí)踐作法，以及每個(gè)建議架構(gòu)元件的說(shuō)明。它的目標(biāo)并不是成為完整的ICS / SCADA安全指南，而只是以宏觀角度來(lái)提出在布署ICS時(shí)，能增加安全狀態(tài)的一些基本架構(gòu)元件。