安全七：保护工厂免受当今威胁的 7 种方法

这是 2 部分系列的第 1 部分。下周我们将揭晓第 2 部分。

更擅长将工厂系统与企业网络连接起来的制造商无疑会创造出更加敏捷、高效、灵活和有利可图的业务，正如我们最近与戴姆勒卡车北美公司进行的一项案例研究所示。问题是更多的连接也为新的安全风险打开了大门。此外，前几代工业控制系统在构思时并未考虑安全性或 IP 连接性。最终效果是，当您将更多企业 IT 与工业资产和技术集成时，漏洞会真正开始扩散。与此同时，恶意黑客也变得越来越老练。

工业自动化和控制系统 (IACS) 有使用难以与网络安全集成的专有硬件和协议的历史。它们可能与工业 IP 网络隔离，但它们仍然存在风险，因为它们通常设置为简单的开放网络机器孤岛，安全性有限或没有安全性。如果您甚至没有真正建立健全的系统安全性，为什么要建立自动化孤岛来创建未开发的信息孤岛——限制业务敏捷性、效率和增长潜力？我们的购买者指南：向您的工业控制网络安全供应商提出的 10 个问题是一个很好的资源，可以提出更多问题并深入了解如何保护您的工业控制系统 .

制造商的赌注很高。根据最近的思科互联工厂白皮书，如果网络安全问题延迟了数字化实施，则可能需要长达五年的时间才能实现价值并赶上竞争对手。我们最近的思科 2016 年度安全报告声称，工业部门拥有一些最不成熟的安全实践和政策以及质量最低的安全基础设施。所有这一切都意味着安全提供了一个机会，让您的业务持续脱颖而出。

正如他们所说，最好的进攻（即成长）是很好的防守（即安全）。虽然七在许多文化中被认为是幸运数字，但运气不是 安全策略。

考虑这些“安全七项”方法，让您的工厂发挥出色的防御作用。

1. 制定、教育和执行安全政策 .

许多工厂甚至没有写下最基本的安全策略。首先为您的工厂起草和实施一套书面安全政策和程序，例如，概述谁应该能够访问哪些资产、定义可接受的资产使用以及定义事件报告机制。您的书面政策还应包含事件响应计划，包括在安全事件发生后恢复关键生产系统的任何程序。

2. 使用纵深防御安全措施锁定您的工厂。

您在制造环境中拥有的连接越多，发生破坏的可能性就越大。没有任何一种技术、产品或方法可以完全保护您的网络。保护关键制造资产需要一种整体方法，该方法使用多层防御——物理、程序和数字（网络、设备、应用程序）——来应对不同类型的威胁。基本的映射练习将帮助您入门，提供网络上所有设备和软件的清单。

请记住，“气隙”策略是容易出错的——仅仅因为机器人或设备未连接到网络并不意味着它是完全安全的。一个损坏或恶意的 U 盘会使孤立的机器面临意外停机或更糟糕的安全事故风险。

https://youtu.be/H4Nmz62RAKQ?list=PL6FEA443253B44EC2

3. 加强您的第一道防线。

物理安全在制造业中尤为重要。当从工厂车间进入时，一些最严重的损坏来自内部。无论是防止库存增加、数据丢失还是知识产权盗窃，公司都可以从与安全有线和无线工业网络集成的综合物理安全解决方案中受益。您可以使用锁、钥匙卡和视频监控等物理访问限制来保护 PLC 和其他游戏资产。在实用的地方，还可以添加设备鉴权授权，加上加密。

例如，区域饮料分销商 Del Papa Distributing 需要保护其位于德克萨斯州 27 英亩的新总部。 Del Papa 使用思科解决方案构建了一个安全的 IP 网络，用于视频监控、物理访问控制、数字标牌、温度传感器等。

IP 摄像机监控物业周边、100,000 平方英尺的仓库、办公走廊和所有送货门。当进入禁区的门打开时，系统警报会通知员工，并提供实时视频链接。按下 IP 电话上的按钮即可打开和关闭门。

4. 通过设备分析控制谁在网络上。

人们将自己的平板电脑、手机和其他移动设备带入制造工作场所，这使得完成网络可见性和控制变得比以往任何时候都更加困难。借助设备和身份分析服务，您可以使用基于策略的集中式安全方法来监控、验证和控制连接到网络的所有用户、设备甚至应用程序。

例如，Diebold, Inc. 建立了包括思科身份服务引擎 (ISE) 的思科解决方案，以帮助保护其在 77 个国家/地区的 87,000 台设备网络。该解决方案让 Diebold 能够轻松地分析网络中的所有设备并简化访客和承包商的访问。

如果外部承包商（例如，每天每小时为许多工厂提供服务的 OEM 设备）将笔记本电脑连接到工厂车间的开放端口，思科 ISE 会检测到连接和身份，然后拒绝访问。这可以避免因有意或无意的安全漏洞而导致计划外停机和其他不良后果。

我们将分享其余的安全七 下周和你在一起。如需更多工厂安全最佳实践，请下载我们最新的白皮书：

直接在您的收件箱中接收未来的制造博客：