20世紀(jì)70年代初期，世界上第一款計(jì)算機(jī)病毒 Creeper 浮出水面。過去50年間，網(wǎng)絡(luò)威脅愈演愈烈，黑客變得更加老練的同時(shí)，原本隔離工業(yè)控制系統(tǒng)（ICS）逐漸聯(lián)網(wǎng)并暴露在網(wǎng)絡(luò)攻擊之中。

雖然此類工業(yè)系統(tǒng)中包含安全功能和培訓(xùn)協(xié)議，但工控系統(tǒng)安全管理解決方案提供商 PAS 公司的創(chuàng)始人兼首席執(zhí)行官埃迪·哈比比表示，連接性加強(qiáng)也就意味著網(wǎng)絡(luò)安全必須引起足夠的重視。

工業(yè)類企業(yè)可通過五種方式提高網(wǎng)絡(luò)威脅意識(shí)，以便更好地保護(hù)員工、客戶及數(shù)據(jù)。

1.使網(wǎng)絡(luò)安全成為“第二天性”

企業(yè)必須優(yōu)先考慮兩大網(wǎng)絡(luò)安全方向：工業(yè)系統(tǒng)和企業(yè)系統(tǒng)的網(wǎng)絡(luò)安全。哈比比表示，將網(wǎng)絡(luò)安全融入企業(yè)文化至關(guān)重要，其中最重要的是開展網(wǎng)絡(luò)意識(shí)培訓(xùn)。例如，美國知名的私人能源公司 Consolidated Edison 就在企業(yè)內(nèi)部創(chuàng)建了專門的安全團(tuán)隊(duì)，其成員包括美國執(zhí)法機(jī)構(gòu)的前雇員。

2.“自上而下”很重要

新舉措和培訓(xùn)往往由企業(yè)的人力資源部或?qū)ｉT的團(tuán)隊(duì)推出，這可能會(huì)導(dǎo)致指令太過抽象或缺乏情景。有效提高網(wǎng)絡(luò)培訓(xùn)需要企業(yè)領(lǐng)導(dǎo)層的高度關(guān)注。網(wǎng)絡(luò)意識(shí)培訓(xùn)需要從董事會(huì)開始，例如，企業(yè)首席執(zhí)行官（CEO）有必要提出舉措，要求首席信息官（CIO）和首席信息安全官（CISO）接受這種想法，這將有助于推動(dòng)網(wǎng)絡(luò)意識(shí)培訓(xùn)和文化變革。

3.提防陌生危險(xiǎn)

到目前為止，仍有相當(dāng)一部分行業(yè)人認(rèn)為一般的網(wǎng)絡(luò)安全建議不足以引起重視，尤其不足以引起管理層的重視，但往往是常見的網(wǎng)絡(luò)攻擊方式帶來了嚴(yán)重的后果。比如，網(wǎng)絡(luò)釣魚電子郵件活動(dòng)變得越來越復(fù)雜，對特定目標(biāo)發(fā)送具有針對性的電子郵件有助于誘騙目標(biāo)上鉤。且多數(shù)案例說明，仍有眾多專業(yè)人士被誘騙點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件。

同樣的邏輯適用于諸如 U 盤之類的移動(dòng)媒體設(shè)備，如若撿到來路不明的 U 盤，切記不可插入自己的電腦。

四年前，美國國土安全部（DHS）發(fā)出警告，指出針對能源控制系統(tǒng)的惡意軟件部署方式包括搜索網(wǎng)絡(luò)連接的文件共享和可刪除媒介，以便在受影響的環(huán)境中橫向移動(dòng)。

Consolidated Edison 等公司會(huì)標(biāo)記來自外部的電子郵件，網(wǎng)絡(luò)釣魚是攻擊者慣用的策略，打標(biāo)記有助于提醒員工提高警惕。

4.持續(xù)開展安全活動(dòng)

建議采用其它策略提高這類企業(yè)的網(wǎng)絡(luò)安全性，例如舉行會(huì)議時(shí)強(qiáng)調(diào)網(wǎng)絡(luò)安全。例如，北美電力可靠性公司（NERC）一直在開展持續(xù)的培訓(xùn)，其電力信息共享和分析中心（E-ISAC）就提供行業(yè)教育和培訓(xùn)機(jī)會(huì)，包括每月一次的行業(yè)與政府安全專家網(wǎng)絡(luò)研討會(huì)。

5.多參加網(wǎng)絡(luò)安全演習(xí)

參加網(wǎng)絡(luò)安全演習(xí)有助于提高網(wǎng)絡(luò)安全響應(yīng)能力。就北美地區(qū)而言，NERC 每兩年都會(huì)舉辦 GridEx 網(wǎng)絡(luò)演習(xí)，這樣的模擬攻擊演習(xí)可讓參與公共事業(yè)公司執(zhí)行網(wǎng)絡(luò)響應(yīng)計(jì)劃，加強(qiáng)組織機(jī)構(gòu)與個(gè)人之間的聯(lián)系，并確定有待改進(jìn)的空間。除此之外，NERC 每年還會(huì)舉辦能源安全會(huì)議 GridSecCon。2017年，北美地區(qū)有400個(gè)組織機(jī)構(gòu)，6000多人參與了 GridEx IV 演習(xí)，相比前幾年，參與人數(shù)正逐漸增多。