大多數(shù)工業(yè)控制系統(tǒng)(ICS)都是幾十年前設(shè)計和部署的。因而，它們?nèi)狈T網(wǎng)絡(luò)中基本的資產(chǎn)發(fā)現(xiàn)和管理功能。

制造工業(yè)從傳統(tǒng)上就一直掙扎于維護準確的資產(chǎn)清單。自動化營銷軟件公司TechValidate為工程和地理空間軟件供應(yīng)商鷹圖公司做了一次針對185位制造工業(yè)從業(yè)者的調(diào)查，發(fā)現(xiàn)61%的業(yè)主經(jīng)營人對自己找到支持應(yīng)急響應(yīng)所需信息的能力缺乏完全自信。超過半數(shù)的受訪者20-80%的時間都耗費在查找和驗證工廠信息上，包括進行工程驗收。

隨著網(wǎng)絡(luò)威脅日益嚴重，很多制造工業(yè)公司希望能捍衛(wèi)自身ICS網(wǎng)絡(luò)。然而，缺了對資產(chǎn)的全面掌握，風(fēng)險評估和有效防御應(yīng)用都是不可能的。

為什么ICS網(wǎng)絡(luò)缺乏資產(chǎn)管理

不同于高度進化的IT網(wǎng)絡(luò)世界，工業(yè)網(wǎng)絡(luò)常依賴于人工過程、注釋和電子表格，沒有自動化發(fā)現(xiàn)解決方案和非常高級的資產(chǎn)管理實踐。很多工廠存儲了一堆各種雜亂工程信息系統(tǒng)的設(shè)備信息，難以獲得自身資產(chǎn)的完整視圖。隨著自身操作人員的離職，跟蹤這些資產(chǎn)的改變就變得更加困難了。

ICS網(wǎng)絡(luò)中實現(xiàn)資產(chǎn)管理需要什么

ICS網(wǎng)絡(luò)資產(chǎn)管理通常在3個主要方面存在缺陷：發(fā)現(xiàn)、維護準確的當前資產(chǎn)清單，以及跟蹤資產(chǎn)變化。

自動化資產(chǎn)發(fā)現(xiàn)是保護這些網(wǎng)絡(luò)安全的關(guān)鍵。發(fā)現(xiàn)剛部署的新資產(chǎn)，或者退役的舊資產(chǎn)，可提供保護ICS網(wǎng)絡(luò)所需的可見性，有助于安排安全工作優(yōu)先級。因為網(wǎng)絡(luò)部署往往伴隨著對原始設(shè)計的有記錄更改，依賴原始藍圖是不靠譜的。

典型的ICS網(wǎng)絡(luò)包含各家廠商出品的控制器(PLC(可編程邏輯控制器)、RTU(遠程終端單元)、DCS(分布式控制系統(tǒng)))，比如通用電氣、羅克韋爾自動化、西門子和施耐德電氣。每種技術(shù)都尤其獨特的要求和難點。若不清楚范圍內(nèi)都部署了哪種資產(chǎn)，就難以規(guī)劃維護項目和設(shè)計有效防護。一份包含制造商、當前固件版本、最新補丁和當前配置的，全面完整的資產(chǎn)清單，可以為這些設(shè)備帶來更好的持續(xù)管理，在需要重置設(shè)備時也能提供支持備份和恢復(fù)。

同時，清單管理通常采用人工過程來跟蹤變更，這往往是不準確且易出錯的。由于這些網(wǎng)絡(luò)隨時間流逝不斷改變，確保完整準確資產(chǎn)清單的唯一辦法，就是實現(xiàn)自動化的持續(xù)發(fā)現(xiàn)過程。由此，網(wǎng)絡(luò)上新增資產(chǎn)可被及時發(fā)現(xiàn)，也有助于跟蹤和確認資產(chǎn)是否恰當部署或退役。

結(jié)論

自動化資產(chǎn)發(fā)現(xiàn)和管理是確保操作連續(xù)性、可靠性和安全性的第一步。缺了這一步，就不可能知道存在哪些設(shè)備，在什么時候設(shè)備做了哪些變更，以及怎樣將設(shè)備重置回“已知安全”狀態(tài)。規(guī)劃維護項目、部署防御機制和進行有效事件響應(yīng)與緩解工作，同樣需要自動化資產(chǎn)發(fā)現(xiàn)的有力支持。