黑客也头痛：七大神器保护工业安全（一）

导语：为了协助减轻遭受网路攻击的可能性，ICS-CERT建议必须为工业网路建置7项重要策略，以提高其防护能力。该机构宣称，这7大步骤可让FY2015年所举报的攻击中，有98%的事件都能幸免。

重工业正逐渐成为网路攻击的目标。金融机构或或许也承受着种种压力，但无论是以次数或类型来看，工业网路遭受到更严重的攻击。目前看来，这些攻击唯一的目的似乎都在探测弱点，但却足以危害到整个工业网路。为了保护工业控制网路免于遭受网路攻击，美国国土安全部(DHS)建议采取七项保护措施。

DHS所属的工业控制系统紧急应变小组(ICS-CERT)在日前发布了有效防御工业控制系统的7个步骤。ICS-CERT首先指出根据其研究，在2015年至少发生295起与工业网路有关的入侵事件，此外还有更多可能是未发布或未侦测到入侵事件。再者，这些事件还有愈演愈烈的趋势。

ICS-CERT强调，简单地增强外围防护(如防火墙)的网路已经不再适用了。

为了协助减轻遭受网路攻击的可能性，ICS-CERT建议必须为工业网路建置7项重要策略，以提高其防护能力。该机构宣称，这7大步骤可让FY2015年所举报的攻击中，有98%的事件都能幸免。

这七大关键策略是：

1.建置应用程式白名单：只允许预先经认可的应用程式来执行，让网路能侦测并防止恶意软体。SCADA系统、人机介面(HMI)电脑与资料库系统特别适用这一策略。