网络安全的脆弱性评估

一些决定启用网络安全程序的企业往往在开始之初就碰壁了，因为他们并不明确一些最为基本的安全概念。没有这些知识就无法做出规划，没有规划，好一点的结果是杂乱无章，不好的结果是很有可能使事态恶化。合理的开端是首先明确系统之中哪里最脆弱。从理论上讲，这种分析是很直观的，但是如果操作不得当，实际操作会变得很复杂。在大多数情况下，事情总是令人感到棘手，因为情况总是比预期的更糟。

第一步要进行的工作之一就是明确需要遵循什么安全标准或者指导。控制系统组件是否已经经过测评，是否符合NERC CIP-005、CIP- 007、INGAA, CPNI和DHS CFATS之类的要求。你的应用领域和过程的特性会指引最终的决定。你可能会认为选择标准这种事情有些过于“高高在上”了，你真正想要做的是切实行动，比如购买防火墙，但是让我们做一个类比：比如说你希望建造一个食品加工厂，所以你希望使用卫生标准，但是如果你并不知道3-A和FDA之类的组织是如何建立卫生标准的，那么你建立起来的工厂通过审查的机会就很小。对于工厂安全系统来说，情况差不多。修补一些明显的危险没有问题，但最终，你仍旧需要只有标准才能给你的指引。

下一步，你自己需要明白，脆弱性评估并非一劳永逸，它是一个持续不断的过程，你必须每天都考虑这个问题，因为系统并非静态的，威胁也一样。主动接纳网络安全团队提供的信息，比如来自DHS ICS-CERT（美国国土安全部“工业控制系统的网络紧急应变小组”）的警告，这会帮助你实时了解网络状况，为你自己的分析提供方向。

棘手的过程

或许在这个过程中，从身体和心理上来说，企业觉得最为棘手的部分就是编制所有网络资产的清单，包括它们之间是如何连接和编程的。如果你的备案资料不充足，或者你的资料并非最新版本，那么工作量将是十分巨大的。它包含：

•服务器；

•网络交换机；

•台式计算机和笔记本计算机；

• PLC和控制器；

•端子排；

•无线变送器和接收器；

•网络上的移动设备；

•所有其他设备。

只要找到了所有这些设备，就可以备案每台设备上安装了什么软件，以及设备之间是如何互联的。这样的任务量的确很大，但那绝对是必要的。这不仅仅包括服务器文件、数据库、打印和网络，还包括各种应用，例如微软Word和系统硬件。编写好备案文件之后，必须在每次进行更改时都对备案文件进行更新，包括软件补丁和升级。否则，你根本无法阻止黑客找到系统中的脆弱点。

在理想世界中，这不应该是一项重要的工作，因为所有这些信息都完备齐全，实时更新。但是，我从没见到过这种状态，没有任何一家公司能够保证所有信息完备齐全且实时更新，所以，你并不是一个人在战斗。

如果你计划周密，那么这个过程就会比较简单：

与员工沟通——直接使用网络的员工对系统的特定部分会很熟悉，或许对于系统何处更脆弱颇有建树。如果你希望员工配合，那就不要让你的讨论变成询问，而且必须保证你们之间的谈话记录受到保护。最后你需要做的就是进行脆弱性分析，然后将这些信息交付责任人手中。

检查备案文档——有总比没有好。哪怕是过时的和不完整的图表都可以作为任务的开始，并最终完善。

检查设备配置——这是一个十分枯燥的过程，但你确实需要知晓设备中运行的所有软件，包括软件版本。如果代码存储于特定的区域或者设备来自于OEM厂商或者系统集成商，那么这个问题就有些棘手。这类第三方供应商可能不想公布这些信息，当然越来越多的供应商开始意识到这些信息对于用户来说确实很有必要。有了这些信息，就可以彻查一切非授权设备，例如在控制室终端插入的MP3播放器。

理清走线——买好护膝，开始趴在办公桌下或者在置物架后面理线。你需要找到接口在哪里，以及是否存在你并不知道的连接。基于各种各样的理由，有些人认为将设备捆绑在一起是个好主意，你的任务就是想方设法找到其中的原因。