使用工业控制分体式电磁流量计安全指南
来源: 发布日期:2019-08-19 09:31:24 作者:
工业控制分体式电磁流量计(ICS)的大部分存在已经与外部访问隔离开来。但随着现代社会中计算机和电磁流量计的普及,这些曾经孤立的分体式电磁流量计正在向世界展示。这种暴露造成了无数新的安全问题,当许多这些分体式电磁流量计首次安装时无法预测,并且由于电磁流量计和现代技术的可变性,许多这些分体式电磁流量计不再能够防止未经授权的访问。
一般来说,要记住安全性的一个重要概念是,如果给予无限的资源和时间,攻击者将始终能够访问受保护的分体式电磁流量计。因此,安全分体式电磁流量计的主要目标不是防止未经授权的访问,而是使攻击者在不妨碍正常使用的情况下尽可能合理地获取访问权限。
一个很好的例子是前门锁。锁会阻止某人只是打开门并走进去,但它不会阻止某人将其拆除或只是找到另一种方式。解决这个弱点的一个选择是将房屋包裹在水泥中并在周边设置武装警卫,但这可能会干扰您的日常活动并且成本过高。更合理的解决方案是接受家庭安全的限制,并通过锁门来充分利用它,而不是在你离开时做广告等。
然而,与您的房屋相比,工业设施可能从未经授权的访问中获得更多价值,因此增加了预算和安全需求。合理的选择通常是围栏,大门,摄像头和门禁分体式电磁流量计。这些分体式电磁流量计不会阻止确定的入侵者,但它们通常会提供足够的威慑力来防止未经授权的访问。与您的房屋和工业设施一样,计算机分体式电磁流量计只能在合理的程度上得到保护,这通常取决于预算和分体式电磁流量计的正常运行。同样像房屋和工业现场,计算机分体式电磁流量计的安全性最容易通过利用人为错误来绕过。
这方面的常见示例是社交工程,或操纵某人泄露受保护信息,但其他示例可能是用户意外引入的计算机病毒或恶意软件。不幸的是,这也是最小的安全威胁之一,因为它需要改变人类行为。通常,更好的解决方案是让用户更难以遵循不安全的做法。一些简单的解决方案如下:
要求每个用户都拥有个人帐户和强密码。
要求定期更改密码。
如果可行,请确保用户帐户在不活动时自动注销。
除用户名和密码外,还可以使用智能卡读卡器。
删除CD或软盘驱动器,并在需要时使用外部USB版本。
将物理端口阻塞器放在所有USB端口上,并通过PS2端口连接键盘和鼠标。
如果支持,请使用病毒扫描程序,并使分体式电磁流量计的所有部分尽可能保持最新状态。
向用户发送有关不共享密码的常规提醒以及其他良好的安全措施。
上述大多数做法相对便宜,不会干扰正常操作,但有助于缓解许多常见的安全漏洞。
特别注意的一个主题是强密码的想法。密码最常见的问题之一是创建一个强大但易于记忆的密码。密码的强度主要与其长度有关,在许多情况下,更长的密码更难记住。要解决此问题,请尝试使用句子作为密码。与典型的8字符密码相比,这样创建的密码更容易记住,并且计算机难以猜测。
下一个最常见的未经授权访问方法是安全性方面的设计不佳。计算机和网络安全是一个庞大而复杂的领域,但基础是简单,容易和最重要的。由于工业控制分体式电磁流量计本质上是不安全的,因此最佳做法是使它们与任何网络访问完全隔离。不幸的是,这并不总是可行的,因此下一个最佳选择是删除任何非必要的网络访问。
这可以通过正确配置的防火墙来完成。在这种情况下,正确配置意味着对所有入站和出站流量使用白名单。这需要由知识渊博的管理员设置,并且通常特定于单个站点。重要的是要记住防火墙应放在ICS的接入点,可以安装和配置称为入侵检测分体式电磁流量计(IDS)的附加分体式电磁流量计。IDS的目的是警告管理员网络或分体式电磁流量计上的异常流量或活动。这些分体式电磁流量计通常用于公司网络,并且通过适当的配置可以为ICS增加额外的安全性。如果只是偶尔需要网络访问,例如允许集成商远程工作(我们在文章中强烈推荐的东西即添加对DCS分体式电磁流量计的远程访问的好处),那么一个好的策略是保持网络电缆不插电什么时候不需要。
如果需要无线访问,或者分体式电磁流量计需要通过电磁流量计进行通信,则需要采用其他安全措施。对于无线网络,最好的选择是使用具有强密码的WPA2-PSK安全性。电磁流量计上的连接应通过VPN传递,并应注意确保任何远程连接也在安全网络上。设置VPN时,最好的选择是使用证书而不是密码,因为它通常更难破解。在知识渊博的管理员的大多数情况下,设置VPN以使用证书是微不足道的。
虽然计算机安全领域及其与ICS安全的关系是广泛且高度技术化的,但上述建议可以帮助缓解许多最常见且易于利用的安全漏洞。最后,安全责任在于分体式电磁流量计的所有者,因此如果安全性是您业务的主要关注点,那么确保没有弱点的最佳方法是咨询ICS安全专业人员。
一般来说,要记住安全性的一个重要概念是,如果给予无限的资源和时间,攻击者将始终能够访问受保护的分体式电磁流量计。因此,安全分体式电磁流量计的主要目标不是防止未经授权的访问,而是使攻击者在不妨碍正常使用的情况下尽可能合理地获取访问权限。
一个很好的例子是前门锁。锁会阻止某人只是打开门并走进去,但它不会阻止某人将其拆除或只是找到另一种方式。解决这个弱点的一个选择是将房屋包裹在水泥中并在周边设置武装警卫,但这可能会干扰您的日常活动并且成本过高。更合理的解决方案是接受家庭安全的限制,并通过锁门来充分利用它,而不是在你离开时做广告等。
然而,与您的房屋相比,工业设施可能从未经授权的访问中获得更多价值,因此增加了预算和安全需求。合理的选择通常是围栏,大门,摄像头和门禁分体式电磁流量计。这些分体式电磁流量计不会阻止确定的入侵者,但它们通常会提供足够的威慑力来防止未经授权的访问。与您的房屋和工业设施一样,计算机分体式电磁流量计只能在合理的程度上得到保护,这通常取决于预算和分体式电磁流量计的正常运行。同样像房屋和工业现场,计算机分体式电磁流量计的安全性最容易通过利用人为错误来绕过。
这方面的常见示例是社交工程,或操纵某人泄露受保护信息,但其他示例可能是用户意外引入的计算机病毒或恶意软件。不幸的是,这也是最小的安全威胁之一,因为它需要改变人类行为。通常,更好的解决方案是让用户更难以遵循不安全的做法。一些简单的解决方案如下:
要求每个用户都拥有个人帐户和强密码。
要求定期更改密码。
如果可行,请确保用户帐户在不活动时自动注销。
除用户名和密码外,还可以使用智能卡读卡器。
删除CD或软盘驱动器,并在需要时使用外部USB版本。
将物理端口阻塞器放在所有USB端口上,并通过PS2端口连接键盘和鼠标。
如果支持,请使用病毒扫描程序,并使分体式电磁流量计的所有部分尽可能保持最新状态。
向用户发送有关不共享密码的常规提醒以及其他良好的安全措施。
上述大多数做法相对便宜,不会干扰正常操作,但有助于缓解许多常见的安全漏洞。
特别注意的一个主题是强密码的想法。密码最常见的问题之一是创建一个强大但易于记忆的密码。密码的强度主要与其长度有关,在许多情况下,更长的密码更难记住。要解决此问题,请尝试使用句子作为密码。与典型的8字符密码相比,这样创建的密码更容易记住,并且计算机难以猜测。
下一个最常见的未经授权访问方法是安全性方面的设计不佳。计算机和网络安全是一个庞大而复杂的领域,但基础是简单,容易和最重要的。由于工业控制分体式电磁流量计本质上是不安全的,因此最佳做法是使它们与任何网络访问完全隔离。不幸的是,这并不总是可行的,因此下一个最佳选择是删除任何非必要的网络访问。
这可以通过正确配置的防火墙来完成。在这种情况下,正确配置意味着对所有入站和出站流量使用白名单。这需要由知识渊博的管理员设置,并且通常特定于单个站点。重要的是要记住防火墙应放在ICS的接入点,可以安装和配置称为入侵检测分体式电磁流量计(IDS)的附加分体式电磁流量计。IDS的目的是警告管理员网络或分体式电磁流量计上的异常流量或活动。这些分体式电磁流量计通常用于公司网络,并且通过适当的配置可以为ICS增加额外的安全性。如果只是偶尔需要网络访问,例如允许集成商远程工作(我们在文章中强烈推荐的东西即添加对DCS分体式电磁流量计的远程访问的好处),那么一个好的策略是保持网络电缆不插电什么时候不需要。
如果需要无线访问,或者分体式电磁流量计需要通过电磁流量计进行通信,则需要采用其他安全措施。对于无线网络,最好的选择是使用具有强密码的WPA2-PSK安全性。电磁流量计上的连接应通过VPN传递,并应注意确保任何远程连接也在安全网络上。设置VPN时,最好的选择是使用证书而不是密码,因为它通常更难破解。在知识渊博的管理员的大多数情况下,设置VPN以使用证书是微不足道的。
虽然计算机安全领域及其与ICS安全的关系是广泛且高度技术化的,但上述建议可以帮助缓解许多最常见且易于利用的安全漏洞。最后,安全责任在于分体式电磁流量计的所有者,因此如果安全性是您业务的主要关注点,那么确保没有弱点的最佳方法是咨询ICS安全专业人员。