專家一致同意，按深度防御的方法是防止針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵的最佳方法。這里介紹兩種脫穎而出的技術(shù)，為深度防御的策略提供更多的方法。

        控制安全部門被去年夏天發(fā)現(xiàn)的“震網(wǎng)”（Stuxnet）蠕蟲所震懾，這是首次發(fā)現(xiàn)專門針對工業(yè)控制系統(tǒng)（ICS）的惡意軟件。而且現(xiàn)在已經(jīng)發(fā)現(xiàn)這樣的蠕蟲非常瘋狂，很多人相信其他類似情況還一定會出現(xiàn)。

        “有人已經(jīng)證明了一種概念：你可以發(fā)動針對一個工業(yè)控制系統(tǒng)的進攻，攜帶一個面向工業(yè)控制系統(tǒng)的有效載荷，不僅在理論上可以演示，而且在實際中可以操作。因此我們還會看到更多類似情況的發(fā)生，這幾乎是不可避免的，”專家評論道。

        “震網(wǎng)”當(dāng)時針對的目標(biāo)是西門子（Siemens）的控制系統(tǒng), 這是一家德國自動化的巨頭，蠕蟲使用過去不知名的微軟操作系統(tǒng)漏洞，獲取了對計算機系統(tǒng)的訪問，然后再對自動化控制系統(tǒng)進行攻擊。專家警告：控制系統(tǒng)的制造商會成為今后攻擊的目標(biāo)，特別是使用流行的微軟技術(shù)而進入ICS空間。

        自動化的擁有者和操作員應(yīng)采取哪些步驟來保護他們的控制系統(tǒng)資產(chǎn)呢？因為”震網(wǎng)”蠕蟲是通過通用串行總線（USB）設(shè)備感染系統(tǒng)的，所以要實施一項嚴(yán)格的USB設(shè)備在控制環(huán)境中的管理政策－或者簡單地使所有USB端口失效－可以對這種特殊的惡意軟件起屏蔽作用，這是一些專家的建議。但工業(yè)界的同仁也同意，沒有一種單一方法能夠預(yù)防所有進攻。將來攻擊的方向目前未知，有可能是被稱為“0天”病毒的攻擊－就像”震網(wǎng)”一樣－可以通過以前不知名的系統(tǒng)漏洞，目前還沒有反病毒軟件可以提供保護。

深度防御

        通常，工業(yè)網(wǎng)絡(luò)安全從業(yè)人員推薦使用深度防御策略做為防止黑客侵入ICS網(wǎng)絡(luò)的最佳方法。這個概念包含使用多個保護層和不同防御方法，所以如果攻擊者通過一道保護層或者一種防御策略，新的保護層或者新的防御策略就馬上呈現(xiàn)，給攻擊者的進攻帶來難度。常用的防御方法包括物理控制、人員政策和管理控制、電子測量，諸如防火墻、加密和反病毒工具。

        多種電子保護的方法已經(jīng)不斷成熟，并且近年來很好地抗擊了ICS的網(wǎng)絡(luò)入侵者和惡意軟件。各種各樣的工業(yè)網(wǎng)絡(luò)安全咨詢公司，以及控制系統(tǒng)供應(yīng)商，可以幫助用戶使用最新技術(shù)和已經(jīng)證明的知識，應(yīng)用于控制系統(tǒng)環(huán)境。

        在本文中，我們將介紹兩種較為突出的新技術(shù)，可能對ICS網(wǎng)絡(luò)來說也比較陌生。一個是著名的白名單技術(shù)，建議者認(rèn)為它對付“震網(wǎng)”非常有效。第二個被稱為單向通信技術(shù)，或稱為數(shù)據(jù)二極管－它是基于硬件設(shè)備的技術(shù)。
   
        上述兩個方法為ICS網(wǎng)絡(luò)提供了一種“銀彈”，可減緩各種類型的網(wǎng)絡(luò)威脅。最近，這兩種方法引起了一些工業(yè)行業(yè)的興趣和關(guān)注，諸如電力設(shè)施。在某些情況下，這些方法還可以提供更多的工具，用于ICS多層保護的實施。

白名單

        白名單的概念與“黑名單”相對應(yīng)。黑名單啟用后，列入到黑名單的用戶（或IP地址、IP包、郵件、病毒等）被阻止通過。當(dāng)設(shè)立了白名單后，列入進白名單的用戶（或IP地址、IP包、郵件等）則可優(yōu)先通過，不會被當(dāng)成垃圾郵件拒收，安全性和快捷性都大大提高。

         專家用這樣的語言解釋這種技術(shù)：“白名單為所有已證明可執(zhí)行文件提供了一種碎片加密。無論操作系統(tǒng)何時試圖加載一個可執(zhí)行文件，包括動態(tài)鏈接庫（DLL）和其他類型的可執(zhí)行文件，碎片會被重新計算，并且與已證明的文件表進行比較。如果沒有相同的文件存在，就意味著加載的文件要么不允許運行，要么已經(jīng)損壞?！?BR>  
        這就確保了只有干凈的、已證明的應(yīng)用可以執(zhí)行，白名單阻止了所有無授權(quán)的應(yīng)用，包括與“震網(wǎng)”差不多的“0天”病毒，而它以前是未知的。這與黑名單處理病毒的方法不一樣，黑名單使用先前中毒的經(jīng)驗，對其的特征進行分析，然后開發(fā)一個“簽名”來反對它；這個簽名之后下載到系統(tǒng)，防止將來出現(xiàn)相同的情況發(fā)生，用于反對特定的惡意軟件，而使系統(tǒng)得到相應(yīng)的保護。從這里可以看出，黑名單的方法比較被動，是在病毒發(fā)生后才采取行動，并且只針對一種病毒；而白名單只運行已經(jīng)證明的程序，新的病毒根本沒有機會進入系統(tǒng)，所以是一種主動防御。

        在2010年8月19日關(guān)于“震網(wǎng)”的網(wǎng)絡(luò)研討會中，工業(yè)防衛(wèi)者的安全方案副總裁提供了一個示范，演示了當(dāng)一個受感染的USB設(shè)備插入進一個未保護的計算機時，成功阻止了“震網(wǎng)”蠕蟲?！鞍酌麊我龅氖虑榫褪穷A(yù)防它”該副總裁說。

        雖然白名單概念已經(jīng)出現(xiàn)了很多年，工業(yè)網(wǎng)絡(luò)追趕IT的步伐還是有點慢，因為要管理的問題經(jīng)常變化。這包括在IT世界，需要頻繁的補丁程序和新病毒簽名的下載。每當(dāng)一種變化發(fā)生，這種變化必須加到白名單中?！叭绻谖业腜C機上，經(jīng)常使用新軟件和新應(yīng)用，這對白名單是一種痛苦?！币粋€安保公司工業(yè)安全部的主技術(shù)官說。

        但白名單“實際上很好適應(yīng)了”工業(yè)控制系統(tǒng)，這位技術(shù)官提到，因為傳統(tǒng)上ICS有嚴(yán)格的更改規(guī)則。事實上，控制應(yīng)用的改變比IT環(huán)境的變化要慢得多?！爱?dāng)你做好了像人機界面HMI這樣的畫面時，在6－8個月之內(nèi)是不會改變的，并且要改變也是非常慎重的，一般在升級和打補丁周期，這么說來，使用白名單是比較適合的，” 技術(shù)官認(rèn)為。

[DividePage:NextPage]

緩慢變化

        “在控制系統(tǒng)使用白名單的好處是控制系統(tǒng)的相對穩(wěn)定性。這是對它認(rèn)可的最佳描述，因為名單的變化非常緩慢，所以你不會遇到一天有若干個新（反病毒）簽名的問題，”工業(yè)防衛(wèi)者的副總裁增加道，“你保佑你的軟件，并且運行它，這就是全部。不需要變化?！?

        在對能源部門提供控制中心咨詢時，弗勞爾控制中心解決方案LLC主席－湯姆弗勞爾認(rèn)為，白名單特別適合用于控制環(huán)境，在分段網(wǎng)絡(luò)上實施，弗勞爾解釋道“當(dāng)你進行了網(wǎng)絡(luò)的劃分，你可以真正得到白名單的詳細(xì)內(nèi)容。你可以說，‘我僅想這5個應(yīng)用運行在這個特殊網(wǎng)段?！绻渌魏螒?yīng)用試圖運行在這個網(wǎng)段，那它會引起標(biāo)記變化，并且產(chǎn)生報警。這非常有效?！?BR>   
        弗勞爾以前是主設(shè)備控制系統(tǒng)經(jīng)理，知道白名單的方法早在2004年或者2005年就已經(jīng)用于領(lǐng)先的電廠設(shè)施中。他對市場出現(xiàn)更多的商用白名單產(chǎn)品并不感到驚奇，這些產(chǎn)品瞄準(zhǔn)了特定的領(lǐng)域。

        艾默生過程管理與核心軌跡的合作，為公司提供白名單技術(shù)的產(chǎn)品，做為其Ovation安保中心（OSC）的一個部分，銷售到發(fā)電和水/污水處理行業(yè)。

        “要實現(xiàn)縱深防御的理念，我們有多種解決方案做為OSC的一部分，強化整體安保形態(tài)。核心軌跡產(chǎn)品是其中的一種，用于防止惡意軟件。并且我們有其他工具針對補丁管理和安保信息管理，”O(jiān)vation的安保項目經(jīng)理解釋到。第一個OSC系統(tǒng)在2009年秋交付用戶, 并且艾默生現(xiàn)在已有大約十幾套OSC系統(tǒng)在北美的現(xiàn)場運行。

較少補丁

        在艾默生同一個部門的網(wǎng)絡(luò)和安保技術(shù)經(jīng)理指出，白名單方法已被證明對電力設(shè)施具有獨特的吸引力，可以滿足北美電力可靠性公司（NERC）的反惡意軟件需求—關(guān)鍵基礎(chǔ)架構(gòu)保護（CIP）標(biāo)準(zhǔn)，覆蓋了整個電力行業(yè)，這個行業(yè)是由北美電力可靠性公司管理的。

        對于電力設(shè)施，在地方有一份白名單解決方案，可以減少安裝補丁程序和對防病毒軟件的頻繁升級。CIP－007要求新補丁和升級程序必須要有30天的評估和測試，然后才能用到現(xiàn)場。對于白名單，也要進行30天在視窗下的評估，但白名單減少了用戶要進行固定期限的維護、安裝和貯運成本，有了更多的靈活性。

        換個說法，根據(jù)CoreTrace的市場副總監(jiān)提到，即使一個蠕蟲、木馬或者其他惡意件擺脫防衛(wèi)并且滲透到一個設(shè)備中，白名單軟件仍可以防止它的執(zhí)行?！耙驗樗辉诎酌麊紊?，所以它無法運行，這給了用戶回應(yīng)NERC的能力，并且說‘是的，我們知道那里的漏洞，我們有對策和測試步驟，’”。

        不令人驚訝，核心軌跡的市場副總監(jiān)聲明：他的公司看到白名單做為“反病毒的未來?！彼c縱深防御的概念一致，他也相信兩種技術(shù)會共存?！鞍酌麊未蛩阌糜诘谝坏婪烙鶛C制，而“防病毒”黑名單將用于報告和清除?！?/FONT>