在一系列政策文件的引導下，行業(yè)安全廠商也在不斷強化自身安全產品對工業(yè)控制系統(tǒng)的安全防護能力。近年來，包括匡恩網絡、威努特、谷神星、力控華安等國內工控安全廠商都針對工業(yè)控制系統(tǒng)面臨的安全問題推出了成體系的解決方案，取得了不錯的效果。

    筆者認為，隨著封閉式的工業(yè)控制網絡開始走向開放，在工業(yè)控制系統(tǒng)中已經出現(xiàn)了越來越多的標準化硬件和軟件，這是未來工業(yè)轉型的趨勢。SCADA系統(tǒng)作為辦公網絡和工控網絡的紐帶，構建完善的SCADA系統(tǒng)安全防護體系將是降低工控系統(tǒng)安全風險的重要一環(huán)。對此，我們建議可從以下幾個方面入手強化對SCADA系統(tǒng)的安全防護：

    1、評估需求，進行SCADA網絡的連接。對SCADA網絡所剩下的連接進行深入的測試和脆弱性分析，來評估這些路徑所處的安全狀態(tài)。使用這些信息和SCADA和風險管理程序來為SCADA網絡的所有鏈路生成一個強健的保護策略。由于SCADA網絡的安全取決于它的最薄弱的連接點，所以在每個進入點使用工業(yè)級邊界隔離系統(tǒng)、工業(yè)級入侵檢測系統(tǒng)和一些其它的安全策略十分重要。

    2、通過取消或是減少一些沒有必要的服務來鞏固SCADA網絡。建立在商業(yè)或是開放源碼的基礎上的操作系統(tǒng)可以通過很多默認的網絡服務遭到攻擊。要在最大程度上減少、忽略、取消不用的網絡服務或是后臺，以減少直接的網絡攻擊。除非經過風險評估顯示，這項服務的好處遠遠大于其潛在的風險所帶來的危害，否則絕對不能允許SCADA網絡使用某項服務或是性能。

    3、不要依靠專有的協(xié)議來保護系統(tǒng)。一些SCADA系統(tǒng)為了支持在現(xiàn)場設備和服務器之間的通訊而使用獨立、專有的協(xié)議。通常這些SCADA系統(tǒng)的安全性只是基于對這些協(xié)議的保密性上。然而不幸的是，保密的協(xié)議所提供的真正的安全少的可憐。所以不要因為是私有協(xié)議，就認為它是安全的。另外，要要求供應商關閉SCADA系統(tǒng)上所有的后門或是供應商接口，并要求他們提供可以得到保護的系統(tǒng)。

    4、嚴格控制作為SCADA網絡后門的所有途徑。如果SCADA網絡上真的存在后門或是供應商連接時，要嚴格執(zhí)行驗證以保證安全通訊。調制解調器、通訊和維護用的無線及有線的網絡是SCADA網絡和遠程站點的最脆弱部分。

    5、執(zhí)行內部監(jiān)測審計，外部入侵檢測，保證每天24小時監(jiān)控。為了對網絡襲擊具有有效的響應，要使用一種監(jiān)測策略，包括由來自互聯(lián)網或是外部的資源的惡意行為時，對網絡管理員提出警示。檢測系統(tǒng)是24小時連續(xù)工作的，這項功能可以很容易的被設置。另外，事故響應程序必須要恰當，在攻擊發(fā)生時可以有效的做出動作。為了執(zhí)行網絡的監(jiān)控功能，要在所有系統(tǒng)上增強日志功能，并且每天審核日志，即時的監(jiān)測到可疑行為。

    6、進行物理上的安全調查并對連接到SCADA網絡上的遠程站點進行評估，對他們的安全性作出評價。任何連接到SCADA網絡上的部分都是被檢查和評估的目標，尤其是無人場站。在每個設備上，都要進行物理上的安全檢查。確認并評估所有的信息資源，包括可能被竊聽的電話和計算機網絡、光纜；可能被利用的無線電和微波線路；可能被訪問的計算機終端；無線網絡的訪問點。消除單純的點失敗。這些點的安全性可以足夠阻止未授權訪問，不允許只為了方便，在遠程或是沒有任何保護的站點設置活動訪問點。