北美電力可靠性協(xié)會所做的調(diào)查顯示�,控制系統(tǒng)的這10個軟肋,也正是解決控制系統(tǒng)安全弊病的最佳著手點���。
北美電力可靠性協(xié)會(NERC)致力于提高北美大型電力系統(tǒng)的可靠性和安全性�����,作為更大型的基礎設施提供保護���。為了確保電力供應不間斷�����,NERC對基于計算機網(wǎng)絡控制的電網(wǎng)進行監(jiān)控���。它監(jiān)視著一系列的網(wǎng)絡安全漏洞,作為保護整個工業(yè)網(wǎng)絡的模型��,它在電力工業(yè)之外也是可以接受的��。
負責現(xiàn)場和基礎設施安全的國際注冊信息系統(tǒng)安全師Scott R. Mix說:“《10大控制系統(tǒng)漏洞和相關的解決方案(2006版)》是網(wǎng)絡安全弊病列表的第三次修改��。這些文件由隸屬于NERC關鍵基礎設施保護委員會(CIPC)的控制系統(tǒng)安全工作組(CSSWG)負責維護��,并且這些文件每年都要更新�,還要記錄上改進的解決辦法���!彼f�,由最初的2004版的簡單列表發(fā)展到今天���,對于每一個記錄的漏洞都有三個層次的解決方案��。
以下就是這10個弊病�,以及工業(yè)產(chǎn)品供應商和顧問就每一項對整個系統(tǒng)的影響而提出的建議。
沒有足夠的政策����、制度和文化來監(jiān)管控制系統(tǒng)的安全性。
安全性開始于一種文化或者說是一種警戒的傳統(tǒng)��。艾默生過程管理的產(chǎn)品經(jīng)理Bob
Huba Delta V說:“當提及安全性的技術解決方案時����,你可能會想到防火墻、密碼等等�,但是這些只占了所有解決方案的20%,而員工的安全常識卻要占到80%����。引用一位從業(yè)者的話����,“停止你的愚蠢行為”,然后問一句��,“你的工廠有沒有安全規(guī)范����?”這個問題就和問陌生人為什么會在控制室里��,或者確保用戶了解不要攜帶便攜式播放器以及不許安裝未經(jīng)授權的程序一樣簡單���。”
ABB公司的電站工程解決方案經(jīng)理Kim Fenrich說:“如果沒有一個有效的安全法規(guī)�、解決策略和定期培訓,其他的安全措施也不會很成功�����。為此�,保障安全性必須被看成一個長期的過程,而不是對防火墻��、屏蔽����、掃描火加密技術的一次性投資��!
賽門鐵克咨詢服務公司的主管Bryan Geraldo說:“操作員們相信�����,對于隨機的攻擊和非針對性的破壞來說,控制系統(tǒng)是相對安全的���,因為它們并非直接與Internet互聯(lián)��,或者有不同的軟硬件組成�,其中一些甚至還嵌入了供應商的‘獨家嵌入式安全特性’”�����。Geraldo說:“然而���,雖然大多數(shù)IT產(chǎn)品帶有嵌入式安全手段例如密碼和加密選項���,或者基本的防火墻/準入限制機制,很多這些特性都是未激活的����,或者被置于默認設置以及錯誤的設置,這就會產(chǎn)生對安全性的錯誤監(jiān)管��!
霍尼韋爾過程控制部公司負責生命周期服務的高級市場經(jīng)理Marilyn Guhr建議道:“通用的解決方案與系統(tǒng)結構不同,它需要變化�����。由于控制系統(tǒng)的環(huán)境正在向開放式轉變,需要新的政策和法規(guī)�����,然而通常情況下�,系統(tǒng)使用者們并不清楚是否需要這些法規(guī),或者他們認為這些事應該由其他人負責�����。公司內(nèi)的IT部門對此倒是非常清楚��,但是他們卻沒有責任在過程控制中幫助解決這些問題�����!
無知將導致錯誤�����。Byres安全公司的首席執(zhí)行官Eric Byres說:“我看到了越來越多由于工廠安全方面的工作做的不夠而導致的事故���。例如���,在一次我參與的審核項目中,發(fā)現(xiàn)網(wǎng)絡電纜越過SCADA 防火墻�����。后來提供的解釋說�����,經(jīng)過分險分析��,表明防火墻并不重要�,而且也沒有法規(guī)上明確防火墻是必須的����!
網(wǎng)絡設計不完善,并且深度保護不夠�。
安全防護需要的不僅僅是強大的外圍措施。西門子能源與自動化集團PCS 7的市場經(jīng)理Todd Stauffer建議道:“成功地保護一個控制系統(tǒng)����,需要一個全面系統(tǒng)的方法���。一個最常見的誤解也是最危險的誤解是�����,只要給控制系統(tǒng)安裝了防火墻���,那么它就被保護了��。這是非常錯誤的�����。實際上��,包括美國的國土安全部在內(nèi)的負責安全的專業(yè)人員和代理人����,經(jīng)常建議采用一種叫做‘深度保護’的分層防護的方法�����。深度保護提倡采用嵌套安全體系結構�����,工廠被分成多個安全封閉的單元(區(qū)域)。每個區(qū)域都有明確的定義�,它們的控制和通訊的輸入輸出接口也被嚴密監(jiān)控���!
“控制系統(tǒng)必須有分層次的保護措施�������!被裟峋S爾過程解決方案公司的全球安全設計師Kevin Staggs說:“越是關鍵的接口���,例如控制和人機界面,越是需要深層次的防護����。控制系統(tǒng)至少需要一個防火墻����,以使其與商業(yè)網(wǎng)絡分離開,并且它們永遠也不要和互聯(lián)網(wǎng)相連�����。IT領域內(nèi)深知如何深度保護網(wǎng)絡,但是這些相關知識并不必要應用到控制系統(tǒng)�������!
Byrnes說:“沒有一個IT部門會僅僅安裝一個防火墻之后就說‘我們已經(jīng)防護好了’�����。IT部門會在每一臺服務器�����、臺式機和筆記本電腦上都安裝殺毒軟件���、個人防火墻和更新補丁等等,這樣一來�,無論有沒有外圍防火墻,這些計算機本身也足夠保護自己了����。然而���,在SCADA和控制系統(tǒng)的世界,公司如果僅僅在控制網(wǎng)路和商業(yè)網(wǎng)絡之間安裝防火墻����,那么就忽略了對那些關鍵器件的保護,例如PLC���、RTU或者DCS��。整個控制安全范例是外層脆弱中間強韌的��,可惜那不起作用����。就像防護設計一樣�,良好的安全設計,會提供多層保護��,一層失效的時候��,其他層仍舊堅守崗位�����。這就意味著要使控制網(wǎng)絡上的每一個設備都足夠安全,即使有惡意入侵或漏洞的時候也能保護自己�,雖然這些惡意入侵和漏洞很難穿過防火墻,但確實是有可能的��������!
“安全本身也有其弊端����!盡u 安全公司的銷售部副主管Adam Stein警告說:“對于基于SCADA的控制系統(tǒng),深度防護實際上加強了網(wǎng)絡的外圍防護����。用戶無法忍受由系統(tǒng)內(nèi)部防護帶來的延時。當操作員發(fā)送指令�����,意圖關閉一個閥門或者停止一個危險進程的時候���,他可不想為了讓指令通過多層防火墻而額外付出時間���!
艾默生公司的Huba看到了時下廣泛采用的多平臺解決方案的負面影響:“今天很多控制網(wǎng)絡是由來自于不同公司、帶有通用的人機接口(HMI)和通用的通訊硬件的集成控制器組合而成�。通常,這些工作是由系統(tǒng)集成商基于專門平臺完成的����,而安全性并不在考慮范圍之內(nèi)。隨著這種系統(tǒng)的普及����,最終用戶有必要對控制網(wǎng)路增加適當?shù)南拗疲鳛榻鉀Q方案的一部分���������!
無適當準入控制的遠程接入
Stauffer建議道:“對人員和程序的進入加以控制,這對保持系統(tǒng)的安
全性將是很重要的����。通常,用戶帳戶是否批準通過,是要通過其角色來判斷(工程師��、操作員���、技術維護人員和遠程瀏覽等等)��。原則是在滿足申請進入人可以完成其工作的前提下��,給予其最少的操作權限��!
Guhr說,拒絕任何遠程連接申請會阻礙最終用戶從控制系統(tǒng)供應商獲得遠程服務�,而這對供應商又是很有利的,比如消費者在被服務的時候可以提出更有創(chuàng)意的建議�。
制造和控制系統(tǒng)安全委員會ISA SP99主席����、FluidIQs 公司的工業(yè)安全首席顧問、國際注冊信息系統(tǒng)安全師(CISSP)��、注冊信息安全員(CISM)Bryan Singer說:“終端服務�����、無線網(wǎng)絡���、無線電設備��、調(diào)制解調(diào)器和無保護的計算機���,這些設備的安全防護是很不容易的�����,我們需要良好的物理層面的安全防護�����。這也幫助我們遠離流氓節(jié)點和其他的一些東西��。然而大多數(shù)的網(wǎng)絡并不具有設置和屏蔽非授權設備的能力�����,所以附加控制系統(tǒng)�、PCs或者甚至入侵者的工作站都可以經(jīng)常進入網(wǎng)絡而不被檢測到�������!
分散、可追查的管理機制
這些包括系統(tǒng)升級�����、用戶定制以及類似的不屬于控制系統(tǒng)一部分的工作������!跋到y(tǒng)弊病歸咎于運行控制系統(tǒng)的人,”Guhr說:“核心問題可能不屬于IT的范疇����,但是系統(tǒng)中的問題總是和IT相關的。你的系統(tǒng)需要有這樣的能力��,它能夠知道最近你給系統(tǒng)安裝了什么新設備����,或者最近一次正常工作之后你做了什么改動���。如果有問題產(chǎn)生�����,你需要知道哪里做過改動����������!
Stauffer支持這種觀點:因為黑客們一直在研究有什么新的漏洞����,他說,必須一直監(jiān)控控制系統(tǒng)以確保系統(tǒng)的軟件保持實時更新���。
對系統(tǒng)和軟件進行審查的工作并不一定該由過程操作人員完成�,他們可能需要學習新的技術����。Singer解釋道:“大多數(shù)過程控制系統(tǒng)和相關程序,設計了報警和事件觸發(fā)功能����,但是它是面向過程的����。要檢測到攻擊或者從日志中分析得到結論是很難的�,而且對于控制設備來說,計算機取證技術也過于復雜了��。令人沮喪的是��,一些在線審核和監(jiān)控解決方案����,例如入侵檢測系統(tǒng)等,都無法處理控制協(xié)議�����,而且很多情況下����,即使系統(tǒng)和防火墻正常工作,日志也無法監(jiān)控������!
無線通訊安全性不足
Staggs說:“無線安全不只對于控制系統(tǒng)來說是個大問題,對于所有用戶都是�。這主要是因為無線網(wǎng)絡變得太普遍了。幾乎在任何地方你都可以很容易地連入無線網(wǎng)絡�。但是你必須找到信號并知道是否有非授權節(jié)點接入了���!
“在安裝無線網(wǎng)絡之前��,需要先做一番全面的評估�,確定無線網(wǎng)絡的最佳使用地點�����,并確保泄露到工廠之外的無線網(wǎng)絡覆蓋區(qū)域最小����。當有工作人員帶著步話機、筆記本和手持設備移動的時候��,就會發(fā)生無線網(wǎng)絡泄露�����,使無線網(wǎng)絡覆蓋到工廠之外�����。”
Singer鼓勵研究無線傳播機理:“對于無線網(wǎng)絡�����,諸如802.1 1b和g的技術在廣泛使用�����,以2.4GHz的頻率工作���。通常在搭建無線網(wǎng)絡之前都沒有經(jīng)過仔細的調(diào)查��,所以也無從知道無線網(wǎng)絡覆蓋區(qū)域是否足夠�����,也不知道雜散發(fā)射是否限制在一定范圍內(nèi)����,以使外部人員無法輕易找到網(wǎng)絡�������!
Savant 防護公司的CEO Ken Steinberg說����,開放式發(fā)散技術的問題主要有四個方面:非授權使用、空中信息截取���、頻率干擾和非授權擴展��。他補充道:“安全專家應該覆蓋所有區(qū)域����,以保證網(wǎng)絡安全有效����。”
無線工業(yè)網(wǎng)絡聯(lián)盟(WINA)的負責人和技術總監(jiān)Hash Kagan說:“危險往往在網(wǎng)絡管理不當����,以及錯誤的技術。一個沒有保密的網(wǎng)絡往往是脆弱的���。運作缺乏穩(wěn)定性就如同IT缺乏安全性一樣糟糕���������!
有時,隔離是最好的方法��,賽門鐵克公司的Geraldo建議道:“如果可能的話�,應該把無線網(wǎng)絡同其余的控制網(wǎng)絡隔離開。而且����,在從無線網(wǎng)絡進入其他控制網(wǎng)絡的地方,強烈建議采取無線網(wǎng)絡準入控制��,要求授權并強制準入控制�。”
在非專用通道上傳輸命令和控制信號
這就是基于Internet的SCADA所面臨的問題���。這種弊端也會出現(xiàn)在將控制系統(tǒng)網(wǎng)絡的帶寬錯誤地用于非控制應用時���,例如VoIP(網(wǎng)絡通話)。
Singer說:“很多IT人都購買了成套網(wǎng)絡設備,而且感覺不錯�。我們發(fā)現(xiàn)攝像頭、網(wǎng)絡通話�����、商業(yè)系統(tǒng)處理薪資單和其他一些無關控制的工作�����,這些會引起對控制服務的拒絕��。IT專家觀察網(wǎng)絡性能��,發(fā)現(xiàn)所謂的接近實時對于控制很不合適���。300到500ms的延時,對接受一封郵件或打開一個網(wǎng)頁是可以忽略不計的���。但是對于控制信號和安全信號來說��,300到500毫秒的延時就是一個災難��。通常�����,對于IT人員可以接受的帶寬飽和度和利用度���,對控制來說就完全不可接受���。”
Staggs告誡說���,一個沒有惡意的人也可以對基礎設施造成破壞�����,這是因為“額外搭建一條通道是昂貴的���,而且在原有的設備上增加基礎設施也是很困難的。但是你確實需要明白信息來自于哪里�����,將要流向哪里����,然后相應地鋪設網(wǎng)絡。保持控制信號不在商業(yè)網(wǎng)絡內(nèi)流動,反之亦然��。不要使用同一個通道����,這不是一個好的嘗試�!
Huba說:“將控制系統(tǒng)用于非控制通訊,而不管是否還有額外的帶寬可以用����,只會引起問題�,使關鍵的控制信號無法及時到達����!
缺乏簡易設備監(jiān)控和報告異常行為
這包括不完善的或不成文的審核方法。Invensys公司負責控制系統(tǒng)安全性的商務開發(fā)部經(jīng)理Ernest Rakaczky說:“開發(fā)一種工廠控制系統(tǒng)保護方案���,需要一種能在工廠網(wǎng)絡層和商業(yè)網(wǎng)絡系統(tǒng)中間保證網(wǎng)絡安全性的新技術�。我們可以在系統(tǒng)上搭建很嚴密的控制層����,同時在技術允許的情況下滿足商業(yè)網(wǎng)絡的不間斷運行,但這只在邏輯上說得通����!
Verano公司的市場主管Todd Nicholson補充說:“工具的范圍很廣泛。風險減弱工具包括外圍保護(防火墻��、殺毒軟件�、入侵防護和內(nèi)容過濾等等)、網(wǎng)絡入侵監(jiān)測(掃描網(wǎng)絡入侵��、未授權設備��、傳輸層級的變化等等)���、主機入侵監(jiān)測(掃描文件��、進程和數(shù)據(jù)包��、監(jiān)控消息序列����、登錄失敗�����、移動設備插入、異常退出等等)和性能監(jiān)控������!
“控制系統(tǒng)設計的獨特性也會影響到減弱網(wǎng)絡安全風險。例如����,控制系統(tǒng)網(wǎng)絡安全解決方案必須是完全被動的,從實際的控制應用中提取信息����、監(jiān)控系統(tǒng)性能并且能從前的系統(tǒng)或網(wǎng)絡上有效運行���!
方法的不完善也是一個問題。Staggs說:“工具確實存在�,而且也在商業(yè)網(wǎng)絡和IT網(wǎng)絡中廣泛使用,但是并沒有被控制系統(tǒng)完全接受和采用��。當前���,控制系統(tǒng)確實沒有足夠的安全能力�����,在發(fā)生問題之后����,進行故障跟蹤�!
Singer同意但并不完全肯定,他相信眼見為實:“有一些工具已經(jīng)開始出現(xiàn)��,但是通常是‘IT相關的工具’���,由IT專家開發(fā)���、針對IT專家、只用于傳統(tǒng)的IT系統(tǒng)��,對控制也不一定必要����。”
在主機上安裝不適當?shù)某绦?BR> 更重要的是����,控制系統(tǒng)需要安全有效地控制流程���。Stauffer說:“唯一必要的應用就是和控制直接相關的程序。額外的軟件如e-mail��、游戲和播放器都不是必要的�����,并且會給系統(tǒng)帶來漏洞�����。為了強化系統(tǒng)�,要刪除所有不必要的應用并盡量避免安裝新程序。只要控制系統(tǒng)與外界進行數(shù)據(jù)交換��,非法程序就隨時有可能被引入����。”
Guhr回憶道:“一個客戶發(fā)現(xiàn)工作站變得緩慢�,而且找不到到底哪里出了錯誤����。后來的故障追蹤結果顯示這是由連在工作站上的電視引起的��!
不夠精細的控制系統(tǒng)軟件
Singer指出:“給系統(tǒng)帶來問題一些最常見的原因就是糟糕的編碼,例如使用靜態(tài)緩存或者數(shù)據(jù)庫��,這很明顯帶有漏洞��。通常���,開發(fā)人員在寫好代碼之后依靠某種‘工具’來分析��,這就意味著漏洞的監(jiān)測被局限在所使用工具的能力范圍之內(nèi)�����。今天�����,編碼規(guī)則和書寫安全代碼是可行的規(guī)范���,應該被嚴格遵守。最終用戶����,系統(tǒng)集成人員和顧問應該堅持交付測試���、查看編碼標準����!
Steinberg警告說一些漏洞總會存在:“沒有方法可以從系統(tǒng)中移除全部的代碼漏洞,測試結果也不一定都可以立刻分辨優(yōu)劣��。最好的減少潛在故障的方法是降低程序的復雜度�,嚴格地對操作系統(tǒng)和應用的代碼進行復查,并盡可能地避免主觀臆斷����������?紤]到成本和時間����,使用兩組團隊編寫不同的程序是可行的,可以盡量避免產(chǎn)生同樣的邏輯錯誤������!
未授權的命令和控制數(shù)據(jù)
Staggs指出:“現(xiàn)在,不是所有的控制器都可以鑒別到底是誰在做改動�,然后再由控制器對相應的用戶進行授權,準許這種改動���。在大多數(shù)控制系統(tǒng)中��,這個安全步驟是由控制器的上層機構完成的���。這就給控制器留下了弊端,而且這也是為什么需要進行多層保護的原因���。你已經(jīng)知道了控制器位于安全基礎設施的下層�,其上有多層保護����。如果你不那么做,你的控制器就要暴露于網(wǎng)絡之中了�����。”
Steinberg強調(diào)了人員管理:“當涉及到鑒別命令和控制�����,現(xiàn)在唯一的辦法就是人工鑒別�。對于問題分析、指令序列和通訊流尤其如此�����。合理的制度�、練習和流程會節(jié)省下對命令基礎設施重新評估更換的時間�!
下一步
對所有這些病端都有減輕策略,從軟件包到改變接口環(huán)境不等���。(NERC文件的網(wǎng)絡完全版本將每一種病端歸納為三層策略)���。重新回到文章開篇的論題,技術解決方案只占了所有方法的20%���。其他80%包括常識和規(guī)范人員行為���。這才是更大的挑戰(zhàn)�。 更多的弊病減輕策略
NERC 和CSSWG 感謝美國政府能源部國家SCADA監(jiān)測中心(NSTB)發(fā)布的弊病減輕策略的最初版本�����。今年下半年����,下一個版本將會發(fā)布��,增加對這些弊端詳細描述��。這里提到的弊病減輕策略的完全版本將會刊登在下面的網(wǎng)站上 www.esisac.com/library-cip-doc.htm
|
