保护控制系统及其通信可以帮助保护您的操作免受不断发展的威胁景观。

罗克韦尔自动化的杰克视觉10bet在线娱乐

在会议室和外面有不断增长的需求，以保护来自网络威胁的工业控制系统（ICS）。2021年SANS ICS / OT调查（SANS INSTITUTE，N.Bethesda，MD，Sans.org.）发现，在10名受访者中，7人表示，他们的环境风险高或严重，而大约有3个在10中表示未受保护的设备是一个主要问题。过去一年我们还看到了涉及食品，水和能源供应的高调事件。

白宫甚至发表了一份声明，过去夏季解决了需要加强在关键基础设施中的控制系统网络安全。它说：“网络安全构成的网络安全威胁控制和运营我们所有人所取决于我们国家面临的最重要和日益增长的问题之一。”

在保护您的ICS设备和从网络攻击中的整体操作方面，深入的安全方法被认为是最好的实践。在该方法中，通过拥抱CIP安全性，ICS设备中的安全机制是一种机会来加强设备层。

自卫设备

ICS通信协议本质上缺少安全性质，如身份验证，完整性和机密性。这可以使ICS设备容易受到诸如拒绝服务攻击的威胁，可以将设备留下无法操作的设备和中间人攻击，可以改变通信。

CIP安全有助于解决这些风险。它使用现代，标准，并经过验证的IT技术，以帮助最大限度地减少ICS设备及其通信中的潜在漏洞。

CIP Security帮助设备使用三个安全性属性防御Cyber​​Actacks：

设备标识和认证有助于防止威胁演员连接到设备。通过要求设备确认在允许彼此通信之前确认彼此的身份是真实的。设备可以使用数字证书或预共享密钥执行此确认。

数据完整性有助于防止ICS设备通信通过将身份验证代码附加到每个消息来在传输中篡改或修改。由于公司认识到安全性和安全性的相互关联性质，这种能力成为更高的优先事项。例如，用ICS通信的威胁演员，例如通过进行配置和程序改变，可能具有潜在的危险后果。他们可以改变产品配方，损坏设备，威胁人类或环境安全。保护与数据完整性的IC篡改可以帮助降低这些风险。

数据机密性有助于防止通过加密通信在运输过程中未经授权查看数据。这有助于保护敏感或机密数据。

CIP启用安全系统

CIP安全性在设备级别部署，特别是使用CIP安全性的设备。现在可以使用CIP安全性的越来越多的设备，包括控制器，伺服驱动器和交流驱动器。更多在路上。

还有方法使用旧设备部署CIP安全性。例如，某些控制系统可以使用专用通信模块用CIP安全性进行改装。许多不使用CIP安全性的设备也可以使用CIP安全代理设备连接到您的系统。安全服务器和通信软件还可以在基于PC的工具之间创建安全通信，例如ICS设计软件和启用CIP安全性的设备。

当然，您可以在部署CIP安全性的情况下以及您的安全姿势以及您需要达到可接受的风险状态所需的缓解级别。要了解这一点，您需要进行安全评估。

安全评估

安全评估应成为运营技术（OT）和信息技术（IT）人员之间的协作过程。目标是最大限度地提高机密性，完整性和可用性保护，同时保持功能和可用性。该过程涉及执行三个子评估：

首先，威胁评估考虑了可能攻击您的生产基地的威胁范围，包括犯罪，恐怖主义，自然和意外威胁。您的威胁评估应根据您的特定业务需求评估每个威胁的可能性。

其次，漏洞评估标识了可以利用威胁的方法，并为如何解决这些漏洞提供建议。您可以通过评估其概率或易于利用，以及在剥削成功的情况下，为每种漏洞进行规范的风险分数，以及在成本或伤害方面产生的影响。

第三，风险评估评估您的风险分数并分配应为每个人采取的行动。

这三个步骤帮助您了解您的风险以及如何减轻它们。

简化部署

Configuration软件可以在帮助减少在您的操作中减少设计和部署CIP安全所需的时间方面发挥重要作用。

对于初学者，管理员可以使用该软件从中央位置创建和部署到许多设备的安全策略。集中部署CIP安全配置的能力有助于降低人为错误的风险，因为它允许将配置进行建模，验证和部署。

该软件还可以隐藏一些复杂的技术，即CIP安全使用，例如证书颁发机构和加密算法。这允许管理员专注于在可信设备之间创建更安全的通信。

在软件中，管理员创建具有区域和导管的安全模型。区域会创建较小的信任域，并由基于常用功能和安全要求组成的ICS设备。例如，区域可以包括生产单元或一组监督PC。

导管控制区之间的通信。您还可以使用具有“可信IP”功能的CIP安全配置软件在非CIP安全设备和支持安全性的设备之间创建导管。

绩效考虑因素

威胁缓解是使用CIP安全性的目标。但有时候还需要将设备性能呈现为安全策略。

第一个是当您考虑使用数据机密性时。并非所有ICS通信都需要通过加密保护，影响网络适配器容量。因此，您不应该对延迟敏感的ICS通信使用数据机密性。

当您确定受信任设备如何识别和互相认证时，还要考虑设备性能。您为此安全性物业 - 证书和预共享密钥的两个选项 - 包含一些权衡。证书提供更高级别的安全性。但是，在建立连接时，预共享密钥对性能的影响较小，因为它们不需要证书解析和签名验证。

另一个考虑因素是您是否应该备份CIP安全模型。创建备用备份不是要求，但它是一个很好的做法和对系统操作至关重要。它有助于确保您的文件与当前的安全策略同步。如果软件问题发生，它也可以减少停机时间，并且您需要将设备重置为出厂设置。

CIP Security可以通过帮助强化控制系统的最后一级，在您的防御深度战略中发挥重要作用。但您可能无法自信地部署在您的设施中的相对较新的安全机制。

自由可用的资源可以提供帮助。例如，应用技术手册解释了实现过程和标准对齐的设计指南提供了用于在站点的应用程序中设计和部署CIP安全性的用例。ep.

Jack Visoky是罗克韦尔自动化，密尔沃基的主要工程师和安全架构师（10bet在线娱乐Rockwell10bet在线娱乐automation.com.）。他的职责专注于产品安全技术，包括CIP安全等安全协议。