评估工业安全风险为什么这么难？

6月21日讯 网络威胁影响日益引起政企事业单位甚至个人的关注和重视，确保工业控制系统（ICS）安全从未像如今这般紧迫。

缺乏自动化管理难以全面评估真实风险

英国制造商组织 EEF 和 美国国际集团AIG（美国国际性跨过保险金融服务机构）最近联合发布的一份制造商网络安全报告显示，41%的企业认为其未获得足够的信息和建议来评估真实的网络风险。原因在于许多 ICS 网络缺乏一项重要的安全功能，即自动化资产管理。

自动化资产管理的优势有哪些？

企业 ICS 网络缺乏自动化资产管理这一点并不令人意外，因为 ICS 系统是在几十年前设计并实现的，当时的人根本想象不到如今互联网科技这么繁荣，网络犯罪活动也没有出现过，并且这些系统与网络的其它部分是隔离的。

若缺乏准确的最新 ICS 资产清单（包括负责管理物理过程的自动化控制器），几乎不可能评估风险并应用有效的防御措施。自动化资产管理对于运营可靠性和安全性至关重要，因为它可让管理人员跟踪对设备的更改变化，优先考虑威胁缓解工作，将错误配置的设备恢复到“已知的良好”状态，并规划维护和替换安排。

消除人为错误、节约时间

使用手动流程管理资产既费时，还容易出现人为出错，从而造成信息缺失、过期或出现错误。

此外，手动流程无法准确有效地处理持续进入网络的新资产，而不准确的数据会引发安全缺陷和漏洞，可被网络犯罪分子轻易利用实施入侵。

确保资产清单完整且准确的唯一方法是，将持续的发现过程自动化。自动化可提高效率，并将繁琐任务简单化，例如编译和维护电子表格。通过自动化解决方案，工程师可将时间和知识投入到更重要的任务当中。

划分关键资产，简化合规性监管

如今对关键基础设施的网络攻击逐渐增多，美国已制定新的标准和法规，按照规定，相关方必须部署基本的网络安全措施，以最大限度地降低关键基础设施的风险，确保公共安全和运营连续性。

美国国家标准与技术研究院（NIST）制定的网络安全框架提供了一套工业标准和最佳实践，以帮助组织机构管理并降低关键基础设施及 ICS 的网络安全风险。为了全面了解关键控制资产及其相关活动，NIST 要求组织机构采用资产管理功能，以便识别、盘点和管理所有物理设备和系统。

北美电力可靠性公司关键基础设施保护（NERC CIP）标准提出一系列要求，旨在确保北美电力系统运作所需资产的安全性。NIST 网络安全框架和 NERC CIP 均要求确定关键资产和关键网络资产。

满足 NIST 网络安全标准、NERC CIP 以及全球类似法规的合规性，组织机构须采用部署有效的自动化资产发现措施，并持续管理资产清单。

确定优先级、提升效率

自动化资产发现与管理对满足 ICS 网络的安全性至关重要，但大部分组织机构却不清楚工厂的设备。典型的 ICS 网络包含不同厂商（例如 GE、罗克韦尔自动化、西门子、施耐德电气）的各种控制器，包括 PLC（可编程逻辑控制器）、RTU（远程终端单元）或DCS（集散控制系统）控制器。

要构建有效的安全策略，组织机构需了解网络中每项资产的制造商、型号、固件版本、最新补丁和当前配置。这项工作相当繁重且乏味。

自动化资产发现和管理系统可帮助组织机构优先处理需要升级、维护和其它操作计划的资产，例如识别最新发布的漏洞影响的设备。这些信息可帮助组织机构优先修复最严重的漏洞。

确保运营连续性

如果因网络攻击或人为错误引起故障，组织机构应将受影响的设备恢复到“已知的良好”状态，以最大限度减少故障影响。若要快速恢复设备，组织机构有必要掌握设备相关的准确的最新信息，包括完整的更改历史记录，以便了解何时发生何种情况以及谁可能负有责任等问题。

自动化资产清单可提供恢复设备所需的大量历史信息，便于组织机构更快速地从网络攻击和未经授权的设备更改中恢复过来，从而最大限度地降低运营和安全影响。

资产管理在综合工业网络安全计划中扮演着至关重要的角色，组织机构不够充分了解情况，很可能失去抵御网络攻击的先机。