大多數(shù)工業(yè)控制系統(tǒng)(ICS)都是幾十年前設(shè)計和部署的。因而，它們?nèi)狈T網(wǎng)絡(luò)中基本的資產(chǎn)發(fā)現(xiàn)和管理功能。

制造工業(yè)從傳統(tǒng)上就一直掙扎于維護(hù)準(zhǔn)確的資產(chǎn)清單。自動化營銷軟件公司TechValidate為工程和地理空間軟件供應(yīng)商鷹圖公司做了一次針對185位制造工業(yè)從業(yè)者的調(diào)查，發(fā)現(xiàn)61%的業(yè)主經(jīng)營人對自己找到支持應(yīng)急響應(yīng)所需信息的能力缺乏完全自信。超過半數(shù)的受訪者20-80%的時間都耗費(fèi)在查找和驗(yàn)證工廠信息上，包括進(jìn)行工程驗(yàn)收。

隨著網(wǎng)絡(luò)威脅日益嚴(yán)重，很多制造工業(yè)公司希望能捍衛(wèi)自身ICS網(wǎng)絡(luò)。然而，缺了對資產(chǎn)的全面掌握，風(fēng)險評估和有效防御應(yīng)用都是不可能的。

為什么ICS網(wǎng)絡(luò)缺乏資產(chǎn)管理

不同于高度進(jìn)化的IT網(wǎng)絡(luò)世界，工業(yè)網(wǎng)絡(luò)常依賴于人工過程、注釋和電子表格，沒有自動化發(fā)現(xiàn)解決方案和非常高級的資產(chǎn)管理實(shí)踐。很多工廠存儲了一堆各種雜亂工程信息系統(tǒng)的設(shè)備信息，難以獲得自身資產(chǎn)的完整視圖。隨著自身操作人員的離職，跟蹤這些資產(chǎn)的改變就變得更加困難了。

ICS網(wǎng)絡(luò)中實(shí)現(xiàn)資產(chǎn)管理需要什么

ICS網(wǎng)絡(luò)資產(chǎn)管理通常在3個主要方面存在缺陷：發(fā)現(xiàn)、維護(hù)準(zhǔn)確的當(dāng)前資產(chǎn)清單，以及跟蹤資產(chǎn)變化。

自動化資產(chǎn)發(fā)現(xiàn)是保護(hù)這些網(wǎng)絡(luò)安全的關(guān)鍵。發(fā)現(xiàn)剛部署的新資產(chǎn)，或者退役的舊資產(chǎn)，可提供保護(hù)ICS網(wǎng)絡(luò)所需的可見性，有助于安排安全工作優(yōu)先級。因?yàn)榫W(wǎng)絡(luò)部署往往伴隨著對原始設(shè)計的有記錄更改，依賴原始藍(lán)圖是不靠譜的。

典型的ICS網(wǎng)絡(luò)包含各家廠商出品的控制器(PLC(可編程邏輯控制器)、RTU(遠(yuǎn)程終端單元)、DCS(分布式控制系統(tǒng)))，比如通用電氣、羅克韋爾自動化、西門子和施耐德電氣。每種技術(shù)都尤其獨(dú)特的要求和難點(diǎn)。若不清楚范圍內(nèi)都部署了哪種資產(chǎn)，就難以規(guī)劃維護(hù)項目和設(shè)計有效防護(hù)。一份包含制造商、當(dāng)前固件版本、最新補(bǔ)丁和當(dāng)前配置的，全面完整的資產(chǎn)清單，可以為這些設(shè)備帶來更好的持續(xù)管理，在需要重置設(shè)備時也能提供支持備份和恢復(fù)。

同時，清單管理通常采用人工過程來跟蹤變更，這往往是不準(zhǔn)確且易出錯的。由于這些網(wǎng)絡(luò)隨時間流逝不斷改變，確保完整準(zhǔn)確資產(chǎn)清單的唯一辦法，就是實(shí)現(xiàn)自動化的持續(xù)發(fā)現(xiàn)過程。由此，網(wǎng)絡(luò)上新增資產(chǎn)可被及時發(fā)現(xiàn)，也有助于跟蹤和確認(rèn)資產(chǎn)是否恰當(dāng)部署或退役。

結(jié)論

自動化資產(chǎn)發(fā)現(xiàn)和管理是確保操作連續(xù)性、可靠性和安全性的第一步。缺了這一步，就不可能知道存在哪些設(shè)備，在什么時候設(shè)備做了哪些變更，以及怎樣將設(shè)備重置回“已知安全”狀態(tài)。規(guī)劃維護(hù)項目、部署防御機(jī)制和進(jìn)行有效事件響應(yīng)與緩解工作，同樣需要自動化資產(chǎn)發(fā)現(xiàn)的有力支持。