重工業正逐漸成為網路攻擊的目標。金融機構或或許也承受著種種壓力，但無論是以次數或類型來看，工業網路遭受到更嚴重的攻擊。目前看來，這些攻擊唯一的目的似乎都在探測弱點，但卻足以危害到整個工業網路。為了保護工業控制網路免于遭受網路攻擊，美國國土安全部(DHS)建議采取七項保護措施。

　　DHS所屬的工業控制系統緊急應變小組(ICS-CERT)在日前發布了有效防御工業控制系統的7個步驟。ICS-CERT首先指出根據其研究，在2015年至少發生295起與工業網路有關的入侵事件，此外還有更多可能是未發布或未偵測到入侵事件。再者，這些事件還有愈演愈烈的趨勢。

　　ICS-CERT強調，簡單地增強外圍防護(如防火墻)的網路已經不再適用了。

　　為了協助減輕遭受網路攻擊的可能性，ICS-CERT建議必須為工業網路建置7項重要策略，以提高其防護能力。該機構宣稱，這7大步驟可讓FY2015年所舉報的攻擊中，有98%的事件都能幸免。

七大神器保護工業安全

　　這七大關鍵策略是：

　　1.建置應用程式白名單：只允許預先經認可的應用程式來執行，讓網路能偵測并防止惡意軟體。SCADA系統、人機介面(HMI)電腦與資料庫系統特別適用這一策略。

　　2.確保正確配置與管理增補程式：隨著對手不斷提高其能力，安全的實際作法也逐漸過時。其結果是，未經增補的軟體越來越容易成為目標。關鍵是必須落實安全輸入程序以及更新可信任的軟體增補程式。

　　3.降低易受攻擊的表面范圍：關閉未使用的埠以及未用的服務。只有在絕對必要時才允許即時的外部連接。隔絕你的工業網路與不受信賴的外部網路。還有一個有用的技巧是，如果只需要單向通訊(如報告資料)，盡量使用光學隔離方案(資料二極體)，以預防回程訊號進入。

4.建立可防御的環境：正確的架構有助于限制從外圍入侵的潛在損害。就像城堡擁有外墻和內部防御工事一樣，將網路設計成一個可限制主機對主機通訊的系統集合，可避免因其中一個系統受損而影響其余系統。

　　5.認證管理：使用竊取而來的憑證可能讓攻擊者幾乎無法被系統偵測到。因此，透過雙重因素認證、限制使用者權限的存取、為企業與控制網路存取提供不同的認證，以及各種保護機制，都有助于強化認證。

　　6.安全的遠端存取：如果有必要使用遠端存取，更要采取保護措施，如使用硬體(而非軟體)資料二極體進行唯讀存取、限時遠端存取、要求操作員透過遠端存取請求進行控制，以及避免為供應商與員工采用不同存取路徑的“雙重標準”。同時，關閉任何可疑的存取物件、隱藏的后門等等。特別是防護數據機基本上并不安全。

　　7.監測與因應計劃：網路攻擊正不斷地成熟壯大，所以目前看來足以因應的措施可能成為明日的破綻。持續地監測網路以避免可能的入侵跡象或其他攻擊，并且預先擬定偵測到攻擊時的因應計劃。迅速采取行動可限制受損害的程度，而且也有利于盡快恢復。