如何在工业控制系统中安全使用可移动存储设备？

发布时间：2017-03-29 来源：控制工程网

　　最近，德国某核电厂内发生了一起恶意软件入侵事件，鉴于此，我们应该在这个方面多加留意，防范使用可移动存储设备在工业控制系统（ICS）环境中所带来的风险。类似事件的发生促进了更实用和全面法规的出台，以便于管理在配置了ICS系统的关键基础设施环境中使用可移动存储设备所带来的风险。 关于合规性监管的假设或考虑，包括禁止或严格限制可移动存储设备在某些行业的使用。
　　合规行为只是描述了一个美好的愿景，但现实则很残酷，规则经常被打破。由于潜在的破坏可能是灾难性的，因此公司和用户需要更为严格的使用方法。以下8个步骤可以帮助防止可怕情况的发生。
　　1、使用可移动存储设备就如同玩火。如果公司能够避免使用，那它们就应该这么做。这也许并不是适用于所有的应用情况，但至少，可移动存储设备的使用应被控制、限制和依据目的而确定。通过政策和规定在企业内传递关于使用可移动存储设备的要求，并用行政和技术控制来确保政策的执行。
　　2、评估在企业内对可移动存储设备使用的接受度和成熟度。有许多方法可以做到这一点，但是一个有效的机制是进行调查验证。技术审计，可以追踪特定可移动存储设备过去以及现在插入到目标系统的详细信息。使用适当的工具，可以从网络上自动检索这些信息。为系统配置检测系统，在可移动存储设备插入时发出报警，并用日志集中记录这些事件，这一切都构成了更强大的连续监测环境。

“使用更先进的防御系统检查可移动存储设备上的每个可执行文件，有助于进一步提高检测到恶意软件的机会。”
　　3、建立一个经批准的可移动存储设备库，在控制系统环境使用之前，可用该系统扫描可移动存储设备,防止恶意软件篡改。事实证明，反病毒软件不是100%有效，但即使只有40%到50%的效果，也要好于没有保护。对你想在控制系统环境使用的可移动存储设备，限制使用那些只扫描可移动存储设备的蜻蜓点水式系统，而是考虑使用更先进的防御系统，检查可移动存储设备上的每个可执行文件，进一步提高检测到恶意软件的机会。 可移动存储设备也应做出境扫描，也就是说当用户完成使用该设备时，应该再次对其进行扫描，以确保没有拷贝“安全”区内的受限资料。虽然这听起来可能有点费时费力，但是如果疏于防范，一旦发生事故，要从事故中恢复（更不用提费用了），需要花费的精力就更多了。
　　4、实施或整合经授权的系统，利用相关的工作安全和危害分析来识别危险和潜在的结果，获得最终的风险确认，并制定工作计划，最大限度地减少可移动存储设备的使用。在开始工作前，立即进行最后一刻风险评估，以确保该过程经过深思熟虑，并且和计划一致。
　　5、为使用可移动存储设备提供另一种替代方案，包括使用互联网内容适配协议（ICAP）管理的文件传输解决方案，或利用能在数据流中检测恶意软件的应用层防火墙来扫描所有跨安全区传输的文件和数据。选择这种替代方案，也将迫使公司对加密数据流负责，或者在数据和文件的输入输出过程中使用代理加密会话，或者在安全区域内完全使用不加密数据传输。
　　6、实施补偿控制。即使有效性受限，也应安装病毒扫描软件。同时，强烈推荐使用应用程序白名单。在所有节点上，从物理上或逻辑上禁用USB大容量存储设备预防未经授权的接入，禁止随意使用可移动存储设备。对于不能支持最新的AV引擎或补丁（如微软的Windows XP系统）的老旧系统，建议：a）禁用自动运行/自动播放，b）实施应用程序白名单，事实证明，如果实施正确会非常有效的（尽管实施具有挑战性）。
　　7、有效管理组织的期望绩效，使之与组织对员工直接设定的绩效目标保持一致。通过合同强制约定的绩效，可以清晰的规定需求和义务。美国能源部制定了非常丰富的文件资源，可以帮助企业调研，指导网络安全设备的采购。
　　8、建立一种公司文化，加强员工对可移动存储设备使用行为的风险意识。为允许可移动存储设备使用，创建书面的政策、过程、和流程。并且，实施必要的培训，让员工认识到违反流程的危害。组织的安全文化应该作为推进器，加速行为模式的转变，像其它过程安全或健康环境安全一样管理风险。（作者：Steven Paul Romero）