網(wǎng)絡(luò)安全防護(hù)　　安全行業(yè)從業(yè)10年以上，就會(huì)特別注意確保關(guān)鍵基礎(chǔ)設(shè)施安全可靠。

畢竟，如果關(guān)鍵基礎(chǔ)設(shè)施崩潰，后果不堪設(shè)想。

　　　　2011年起，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的大規(guī)模攻擊威脅，便已頻現(xiàn)報(bào)端，且不僅覆蓋面廣，絕對(duì)數(shù)量也在持續(xù)增長。

就在最近，惡意軟件/勒索軟件成了坊間熱議話題。

壞人真的很有可能控制我們的電網(wǎng)，毀壞我們的污水處理廠，鎖定我們的系統(tǒng)要求贖金。

　　面對(duì)這些威脅，如果一家公司沒有安全防護(hù)，那可真是難以置信了。

　　然而，從安全部署的角度出發(fā)，事實(shí)真相是：大家普遍認(rèn)為安全只需占公司整體預(yù)算的一點(diǎn)點(diǎn)。

控制系統(tǒng)安全預(yù)算　　雖然從數(shù)字上看起來似乎是挺大一筆錢，但想想英國石油公司、殼牌公司、艾克森石油公司這樣的大企業(yè)，這可都是千億美元級(jí)的企業(yè)航母。

安全預(yù)算的極小比例不禁讓人深思。

在安全實(shí)現(xiàn)上，到底有哪些阻礙呢?　　1. 鴕鳥算法　　當(dāng)你對(duì)某一件事情沒有一個(gè)很好的解決方法時(shí)，那就忽略它，就像鴕鳥面對(duì)危險(xiǎn)時(shí)會(huì)把它深埋在沙礫中，裝作看不到。

在計(jì)算機(jī)科學(xué)中，鴕鳥算法是解決潛在問題的一種方法。

假設(shè)的前提是，這樣的問題出現(xiàn)的概率很低。

　　其中關(guān)鍵在于“出現(xiàn)概率極低”。

基本上，該算法就是對(duì)可能出現(xiàn)的任何問題視而不見。

　　客戶中經(jīng)常能聽到這樣的言論：“我們不會(huì)發(fā)生這種事啦。

”或者，“我們是小公司，沒人有工夫?qū)ξ覀兿率帧?/p>

”聽到此類觀點(diǎn)時(shí)，最好想想被藏了勒索軟件的承包商筆記本電腦。

這已經(jīng)超出了可以簡單地?zé)o視可能外部威脅的范疇——我們得積極主動(dòng)，要有安全防護(hù)計(jì)劃。

　　2. 有個(gè)中央防火墻就夠了　　有個(gè)常見的誤解：中央防火墻就是所需的全部。

有這種認(rèn)知的人不少。

但實(shí)際上，依賴單點(diǎn)故障從來不是什么好事，比如裝防火墻的案例。

深度防御作為幾千年來行之有效的方法不是沒有道理的。

　　基本上，如果按操作邏輯分組分隔了公司網(wǎng)絡(luò)，并連接防火墻保護(hù)每一個(gè)區(qū)域，就可以限制潛在問題的影響，受到指向問題發(fā)生確切位置的警報(bào)。

而只有單一防火墻的情況下，網(wǎng)絡(luò)缺乏內(nèi)部阻斷，惡意軟件這樣的威脅就可以很容易地傳播。

所以，中央防火墻就是全部所需的說法站不住腳。

　　3. 安全確認(rèn)　　“我們有防火墻”，或者，“該區(qū)域是物理隔離的。

”一切看起來都很不錯(cuò)，直到，又增加了一個(gè)防火墻，然后發(fā)現(xiàn)網(wǎng)絡(luò)Y的 X IP 地址在發(fā)送廣播消息，某種程度上穿透了物理隔離&helpp;&helpp;這怎么可能?!　　這里面的希望大概是：只要增加一個(gè)防火墻，或者異常檢測，或者DPI設(shè)備，就萬事搞定了。

但實(shí)際上，保護(hù)網(wǎng)絡(luò)安全是一項(xiàng)齊心協(xié)力的工作，是永不停歇且非常悲觀的一項(xiàng)工作;所謂悲觀，是要占滿壘包，不給對(duì)手留一絲機(jī)會(huì)，而不是說服自己“好了，沒問題了，我們已經(jīng)物理隔離了。

”　　很多情況下，都是架構(gòu)師進(jìn)場，規(guī)劃好網(wǎng)絡(luò)，然后第三方設(shè)置起OT部分。

最后，總體擁有者來管理網(wǎng)絡(luò)。

因?yàn)槭怯晒铝⒌母鞣礁髯酝瓿勺约旱牟糠郑K端客戶便無法真正理解網(wǎng)絡(luò)的形式和功能，只是簡單地被告知有個(gè)防火墻。

　　4. 開銷　　售賣防火墻產(chǎn)品就跟賣保險(xiǎn)似的。

保險(xiǎn)有保費(fèi)支出，運(yùn)氣好的話，終身都用不上保險(xiǎn)。

如果確實(shí)需要保險(xiǎn)但又沒買，那你很可能會(huì)為自己的一時(shí)吝嗇追悔莫及。

因?yàn)榇蠖鄶?shù)安全事件造成的損失，會(huì)比你一開始就買了保險(xiǎn)要高得多。

　　理想很豐滿，現(xiàn)實(shí)很骨感。

很多公司里，安全預(yù)算都是微乎其微的，尤其是與PLC和HMI軟件支出相對(duì)比的話——很諷刺，因?yàn)槿绻刂破魇强煽啃宰钪匾脑兀敲幢Ｗo(hù)控制器的安全預(yù)算難道不應(yīng)該更多嗎?　　盡管前期投入可能看起來很多，但若生產(chǎn)網(wǎng)絡(luò)發(fā)生負(fù)面事件，損失掉的收益就會(huì)比防止宕機(jī)的防火墻設(shè)備初始投入要高得多了。

　　5. 無知　　這不是貶義，只是個(gè)純粹的事實(shí)——“我們從哪兒開始?”看看市場上有多少公司提供狀態(tài)防火墻、深度包檢測防火墻、下一代防火墻、異常檢測防火墻、監(jiān)視工具和修改檢測機(jī)制，安全真是一項(xiàng)艱巨的工作。

尤其是當(dāng)你只是控制工程師，而不是擔(dān)負(fù)網(wǎng)絡(luò)框架設(shè)計(jì)職責(zé)的安全或IT專家時(shí)。

　　如前文所述，安全不是買個(gè)設(shè)備就可以高枕無憂的。

這是一項(xiàng)不斷迭代的工作，需要大量工具和過程來真正理解并保護(hù)你的網(wǎng)絡(luò)。

　　6. 在OT世界實(shí)現(xiàn)IT　　IT專家試圖在OT網(wǎng)絡(luò)中應(yīng)用IT范例：“重啟一下那個(gè)交換機(jī)吧!”眾所周知，IT世界對(duì)正常運(yùn)行時(shí)間的要求不像OT網(wǎng)絡(luò)的那么嚴(yán)格。

　　IT人和OT人甚至不能同處一室的例子也不是沒有，更不用說設(shè)計(jì)出貼合OT環(huán)境的安全策略了。

這是一個(gè)非常現(xiàn)實(shí)的障礙，只有IT和OT的逐漸趨同匯聚才能解決。