關(guān)鍵基礎(chǔ)設(shè)備系統(tǒng)網(wǎng)絡(luò)攻擊干擾事件越來(lái)越頻繁,，對(duì)于許多工業(yè)控制系統(tǒng)來(lái)說(shuō)，網(wǎng)絡(luò)入侵不是是否會(huì)發(fā)生的問(wèn)題,，而是什么時(shí)候會(huì)發(fā)生,。國(guó)外的烏克蘭停電事故,，最近的委內(nèi)瑞拉停電事故都帶來(lái)了嚴(yán)重的社會(huì)影響,。這些事件證明了攻擊者的能力,，網(wǎng)絡(luò)安全事件的頻率和復(fù)雜性正在持續(xù)增加,。傳統(tǒng)的工業(yè)控制系統(tǒng)保護(hù)認(rèn)識(shí),，比如絕對(duì)的隔離帶來(lái)絕對(duì)的安全,，沒(méi)有人會(huì)攻擊工業(yè)控制系統(tǒng)等，這些認(rèn)知顯然是錯(cuò)誤的，也是不合時(shí)宜的,，針對(duì)工業(yè)控制系統(tǒng)的保護(hù),，常見(jiàn)的有幾種策略，則可以對(duì)付常見(jiàn)的可利用的弱點(diǎn),。

　　應(yīng)用白名單可以有效檢測(cè)和阻止由攻擊者上傳的惡意軟件的執(zhí)行,。工業(yè)控制系統(tǒng)的生產(chǎn)環(huán)境的主機(jī)操作相對(duì)比較固定，而且主機(jī)操作系統(tǒng)老舊,，和外網(wǎng)隔離,，部署需要經(jīng)常升級(jí)的耗費(fèi)資源多的殺毒軟件不現(xiàn)實(shí)，這些現(xiàn)實(shí)情況使得運(yùn)行應(yīng)用白名單成為可能,。部署應(yīng)用白名單時(shí),，需要和供應(yīng)商合作，建立基線(xiàn)進(jìn)行,。

　　系統(tǒng)入侵者往往發(fā)動(dòng)攻擊時(shí)經(jīng)常利用未打補(bǔ)丁的系統(tǒng),。比如臭名昭著的勒索病毒和挖礦病毒，都利用445端口,。如果在病毒爆發(fā)時(shí),，就封閉445端口，則可避免很多不必要的損失,。優(yōu)先處理工程師站,，操作員站,，數(shù)據(jù)庫(kù)服務(wù)器的補(bǔ)丁和配置,，可以有效增加攻擊者的攻擊難度。在現(xiàn)實(shí)情況中,，對(duì)于更新和配置,，需要在測(cè)試機(jī)上進(jìn)行，測(cè)試合格后,，在部署到實(shí)際運(yùn)行的操作系統(tǒng)上,。

　　將工業(yè)控制系統(tǒng)與其它不可信的網(wǎng)絡(luò)隔離，尤其是互聯(lián)網(wǎng),。關(guān)閉不使用的端口和服務(wù),。如果需要單向通信，則可部署單向網(wǎng)閘,。如果必須使用雙向通信,，則在受限的網(wǎng)絡(luò)路徑上開(kāi)發(fā)單個(gè)端口。

　　將網(wǎng)絡(luò)劃分為邏輯分區(qū),，并限制主機(jī)間的通信路徑,，可阻止攻擊者擴(kuò)大攻擊訪(fǎng)問(wèn)范圍，同時(shí)允許正常的系統(tǒng)通信繼續(xù)運(yùn)行。這樣,，即使一個(gè)區(qū)域被攻擊,，其余區(qū)域也不受影響，降低損失,。攻擊者在攻擊時(shí),，需要獲得合法的用戶(hù)憑證，偽裝成合法的用戶(hù)對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊,，可提高操作的權(quán)限,，也可留下較少的記錄和證據(jù)。

　　采用多因素認(rèn)證,，實(shí)現(xiàn)特權(quán)用戶(hù)權(quán)限最小化,。用戶(hù)口令要設(shè)置安全策略，長(zhǎng)度,，復(fù)雜度要求,，并且口令強(qiáng)制更改日期，盡可能的強(qiáng)化管理,。

　　建議采用VPN的方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn),，尤其是第三方接入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中時(shí)。使用堡壘機(jī),，可以有效監(jiān)控接入的各類(lèi)操作和時(shí)間,，實(shí)現(xiàn)有效的監(jiān)管和追蹤。對(duì)于現(xiàn)代威脅要積極監(jiān)控,，今早發(fā)現(xiàn)黑客攻擊滲透,，并迅速執(zhí)行應(yīng)急響應(yīng)，切斷攻擊鏈,，保護(hù)工業(yè)控制系統(tǒng),。