3种方法保护遗留基础设施安全

        毫无疑问，遗留下机器设备(Legacy)仍将再次在重要基础设施建设的延续性和可靠性层面具有关键功效，特别是在是在工业控制系统(ICS)中。大数字政府部门管理中心近期的多次调查报告发觉，75%的采访组织依靠遗留下基础设施建设保持运行。

　　德勤会计事务所和MAPI的另这份汇报《智能制造中的互联网风险性》，注重了维护遗留下自动控制系统的必要性。结果显示，当代工业控制系统比其老前辈非常容易维护得多。对150好几家生产制造公司的调研发觉，以往1年里，50%的采访公司都遭受了互联网恶性事件的危害，较大的风险性存有于遗留下ICS中。

　　遗留下基础设施建设是啥？为何遗留下基础设施建设必须遭受维护？

　　与智能电网或智能工厂这类当代智能化公司中常用的最新消息技术设备反过来，遗留下机器设备一般甚为老迈，一些乃至已存有了30年、40年，乃至更久時间。这种机器设备仍然可用，有时由于更新换代需要的极大资产资金投入而因此没被替换成。一些状况下，由于通讯协议的难题，该类系统软件乃至了解不上IP协议书(网际协议)，将会应用一些专有权通讯体制。如此一来，升级工作中就更最让人失落了，由于不但自动控制系统机器设备必须升级，全部互联网基础设施建设必须推倒重来。

　　另外极大的挑戰是，一些年久自动控制系统运作的是落伍的电脑操作系统或系统软件，已不受其生产商适用，乃至全部开发软件小区都忽视了这种电脑操作系统或系统软件的升级。该类漏洞裸跑，对进攻和漏洞利用程序流程彻底对外开放。很糟的是，他们有时还不兼容安全性套接字层(SSL)和/或传输层安全性(TLS)协议书，通讯信道自身没什么身份认证和数据加密维护。相近的，就算适用SSL或TLS的机器设备，其版本号也大多数落伍且没打补丁。

　　乃至即便有软件更新或傻瓜包能用，也难以解决最后的难题，由于一些系统软件本质也不升級。期间阻拦包含这种系统软件所在部位的偏僻性和无法抵达性，也有升級步骤的复杂性。并且，对重要基础设施建设来讲，只是是升級全过程导致的那一丢丢关机時间，都是不能接纳的。

　　左右不利条件导致了这种系统软件应对漏洞利用绝不布防的现况，如果被侵入，将极为无法检验和减轻。漏洞利用不但可让这种自动控制系统没法再次一切正常实际操作，还会对全部工业生产经营导致比较严重而灾难性的严厉打击。

　　维护遗留下基础设施建设的3种方式

　　1. 维护终端设备

　　终端设备包含多种多样自动控制系统机器设备，例如远程控制终端设备模块(RTU)、程控逻辑控制器(PLC)、智能化电子产品(IED)这些。这种终端设备只容许实际操作需要的通讯信息能够连接。清除通讯信道中全部多余的总流量能够避免终端设备曝露在漏洞利用或进攻的威协之中。

　　工业控制系统行业有一个行驶的核心理念：没坏你就修。要是自动控制系统按预估运作，软件更新或维护保养总有将会产生让系统软件不平稳的风险性。殊不知，与此同时，在线升级以避免系统漏洞或协议书出现异常的要求又一直存有的。这种情况下，协议书出现异常检验服务器防火墙，并不是深度1包检验服务器防火墙(由于不仅查询统计数据呼和浩特，还查询藏于在数据文件里的协议书信息內容以运用过虑标准)，就是说只容许安全性合理的协议书信息到达智能终端而缓解修补手机软件系统漏洞要求的必需方式了。

　　机器设备级服务器防火墙维护遗留下智能终端不染上故意总流量和非必要总流量平面图

        2. 维护互联网

　　许多状况下，遗留下机器设备自身常用的通信网络协议书就是说不安全性的。就算的确有某种意义上的安全性，也最多是SSL或SSH的减弱版本号，可被随便攻克或运用。维护这种通讯信道以避免中间人攻击十分关键，那样才能够防止对自动控制系统的一切风险危害。信道维护的方式之首，是根据 IPSec VPN 隧道施工来数据加密通讯。朝向单独或好几个自动控制系统终端设备的VPN网关ip，能够保证这种信息被基本上不能破译的强计算方法数据加密。

　　置于不兼容IP协议书的终端设备，例如传送Modbus、Profinet或相近协议书信息的遗留下串行机器设备，设定将串行数据转换为TCP/IP信息的界限终端服务器，还应在传输数据前维护IP网络信息安全。许多方式都能达到需要的安全性，SSL和 IPSec VPN 是最流行的。

　　界限服务器防火墙维护遗留下互联网没受故意总流量和中间人攻击危害平面图

　　3. 监控互联网和终端设备

　　即便终端设备和互联网早已安全性，仍需不断监控互联网，搜索危害安全性平稳情况的一切更改。互联网和自动控制系统总在飞速发展转变中，新的威协和系统漏洞不断不断涌现。互联网本身也在不断澎涨，很多的通讯设备融进互联网，随着导入各种各样网络安全问题。必须设定一整套系统软件不断追踪互联网中全部财产(或是通讯设备)，近即时地发觉将会是潜在性威协的新机器设备。这一财产发觉系统软件应遮盖IP和非IP通讯，例如串行机器设备。

　　最少，保证合乎制造行业特殊规范(如 NERC CIP、NIST 700、IEC 62443 等)的财务审计体制，有利于维持自动控制系统的安全性和易用性。

　　德勤与MAPI出的《智能制造中的互联网风险性》汇报原文地址：

　　https://www2.deloitte.com/us/en/pages/manufacturing/articles/cyber-risk-in-advanced-manufacturing.html