无论生产的是什么产品,面临的基本工厂底层安全问题是一样的,其中包括:对工厂及其IT环境的物理或电子形式访问的控制,入侵检测和防范,及时更新系统补丁和防病毒软件,定期检查系统,以及针对安全程序和政策的培训。
对于过程工业(如连续流程或批量生产的工业)来说,其安全问题的不同之处并不是以上所列的各项问题本身,而是这些问题在过程工业中的解决方式。没有哪家制造商希望自己的生产线因为计算机故障或遭到恶意攻击而停顿,过程工业中的事故不仅会产生生产损失,而且会带来经济和安全方面的影响。
“过程操作通常都是连续的,”美国马塞诸塞州ARC Advisory Group公司的分析师Dave Woll说,“当操作情况发生异常时,必须及时地调整恢复到正常状态,否则会产生破坏性的后果。”以化工厂为例,一个失去控制的工艺过程可能会向周边环境泄漏有毒物质,甚至是引起爆炸。在制药或食品工厂,如果一名失职的操作员粗心大意改变了配方,则可能使顾客的健康面临危险。因此,过程控制安全不仅仅是一个商业或者生产问题,它已
必须明确,在生产环境中仅依靠加密技术和防火墙技术来保障安全是远远不够的。专家们的建议是:建立企业安全和生产安全双重的安全屏障;采用基于规则的访问控制,包括安全的权限和需验证的权限;分别为I/O网络、工厂网络、数据中心、企业网络和互联网设立独立的安全区域;使用文件完整性检验工具;以及在必要时,实行与生产环境完全隔离。
美国仪表系统与自动化学会(ISA)ISA-SP99 过程控制安全委员会的主席Bryan Singer指出,过程控制系统的变化可能引起重大事故,过程管理中的可溯源性就成为系统安全中一个核心的模块。
分布式控制(DC)和遥控遥测(SCADA)系统是很多过程操作的关键组成部分,但它们更容易遭受恶性攻击。关于其原因,美国审计总署在2004年发布的报告《对关键基础设施的防护》中列举了以下几条:
● 广泛采用具有公开安全漏洞的标准化系统;
● 更多的控制系统与其他网络的接口;
● 现有安全技术和措施的局限性;
● 缺乏安全保护的远程连接;
● 控制系统信息泄露。
技术进步带来了很多好处,如方便的互联网连接;标准化和互操作性的兴起;与不同地域的公司部门或供应链合作伙伴进行实时数据交换,然而,带来这些好处的同时,也增加了控制工业系统遭受攻击的风险。
控制系统面临的问题
保证过
“这些系统往往不支持最新的安全技术,”全球著名的技术咨询和测试认证机构KEMA公司的执行顾问Joseph M. Weiss在向美国众议院的技术、信息政策、政府间关系委员会作证时如是说。
过程控制系统是确定性系统:系统当前的每一个动作都取决于上一个动作。确定性系统设有任务优先级、严格而精确的时间要求和性能规格要求,而这些一旦确定后就很难改
美国仪表系统与自动化学会(ISA)ISA-SP99 过程控制安全委员会的主席Bryan Singer指出,过程控制系统的变化可能引起重大事故,过程管理中的可溯源性就成为系统安全中一个核心的模块。
此外,大多数控制系统采用的工业标准通信协议是根据过去较安全、情况较简单的情况制定的,在那个时候,安全问题远没有现在这么严重。Weiss同时还指出,作为最主要的安全设备的防火墙,大多数防火墙的设计是用来过滤互联网协议的,而不是过滤控制系统协议。增加额外的保护屏障可能会导致无法接受的性能下降。
工厂底层的文化也是保证安全的一个障碍,很多控制工程师已经习惯使用各种专用软件,并坚信“隐秘即安全”,意即只要采用了大多数黑客所不熟悉的系统,那么安全就有了充分的保障。
控制工程师和IT技术人员在文化理念上的冲突也增加了解决问题的难度。双方往往并不了解彼此的技术和需求。部门间的政治文化使在实现更高的商业目标过程中保证控制系统的安全变得更加困难。
不同的维度
最基本的工厂底层安全策略,如访问控制、变更管理以及网络强化和隔离等,对所有的生产环境都是适用的。但在过程生产环境下,这些防护措施又有了不同的维度。例如,任何网络都必须有严格的访问控制。对整个网络的访问必须仅限于授权用户。任何安全方案都必须包含对工作站和整个厂区的物理访问控制。
Bryan Singer是美国仪表系统与自动化学会(ISA)ISA-SP99 过程控制安全委员会的主席和Rockwell Automation公司的高级咨询顾问。他说:“过程工业的灵活性比较差,我们不能把传统的密码锁定设置和访问控制应用在过程控制中。”
对于那些需要立即进入安全系统的紧急情况,“密码输入错误三次即被锁定”的规则显然不合适。
Singer建议在整个企业部署一整套的安全系统,如防火墙、虚拟专网和防病毒工具等,同时,还要针对工厂底层和控制系统在企业内部建立一个由另一个防火墙和其他的安全工具和程序组成的安全屏障。基于规则的访问控制也能有效地增强安全保护。
Rashesh Mody, OPC基金会的首席设计师。他推荐一种两层的访问控制方案,即把对关键系统的访问权限划分为安全检查和权限的身份验证两种。
“必须在数据级就进行安全访问控制,” OPC基金会的开放标准总设计师和工业自动化和信息软件厂商Wonderware公司的首席技术官Rashesh Mody说,“当前,多数SCADA系统只在操作员显示屏这个层面进行安全强化。如果你能接近HMI(人机界面)计算机,你就能控制整个过程。比如说,有一个能开能合的阀门,那么应该由谁来操纵这个阀门?系统应该认定只有成员A、B、C以及他们的上级才有权开启这个阀门。这样,便需要有一个两级权限的系统,即安全的权限和需验证的身份识别。”
在轮班开始时,具有安全权限的工作人员向系统输入自己的姓名和密码,验证通过后,他们可以自由访问系统中已授权的部分并进行相应的操作。对于需验证的权限,需要有两名员工同时登陆才能访问系统。例如,在改变配方这个操作中就可以使用需验证的权限。
Mody还建议将工厂划分为五个区域,并在每个区域内部以及它们之间的
变更管理是过程生产中的另一个重要议题。“你不希望别人随便更改你的配方,” Mody说。但麻烦不仅仅来自于那些所谓的“坏人”。品性良好的内部人员也可能会造成灾难性的后果。据ARC公司的调查显示,80%的过程控制系统破坏行为发生在工厂内部,而且往往是工作人员在无意间所为。
“为了防范无意识的破坏行为,” Singer说,“可以采用文件完整性检验工具来发现文件是否被改动,从而采取应对措施。”
过程控制系统的最后一道安全防线是完全的隔离。Singer指出,有些至关重要的系统不能允许有任何未经授权的进入,且必须与其他企业系统隔离。但这种决策必须在安全性和系统关联性之间找到平衡点。
可借助的资源
主要的工业自动化系统供应商,如ABB、GE Fanuc、Honeywell、Roc
同时,很多行业组织,如ISA辖下的ISA-SP99委员会,正在全力开发标准和方案来指导制造商们实现控制层的安全。美国卡内基-梅隆大学的计算机应急响应小组(CERT)和美国国家标准技术研究所(NIST)在该领域也取得了很多研究进展。
最近十年来Microsoft公司也一直活跃在工厂底层领域。微软制造企业用户组织 (MSMUG)和软件供应商一起合作帮助使用Windows操作系统的制造企业用户解决安全问题。
虽然有以上进展,但保证过程控制系统安全的难点却在于如何确定某一特定业务过程的安全等级,制定最合适的安全策略,并从大量的可用系统中挑选出最合适的一个。
最后,正如自由的代价是永恒的警戒一样,控制系统安全的代价也是永恒的警戒。确保运行的安全是一个长期的过程,而不是一个最终的目的。安全产品供应商和制造商与安全破坏者之间的争斗就好比一场旷日持久的“军备竞赛”。同时,公司首席财务官们也在不断地提醒运行部门:实施安全措施消耗了太多的资金。因此,任何控制系统安全方案都必须充分考虑到企业的整体安全计划和商业计划。
公司必须在寻求安全和过分谨慎之间取得平衡。“安全风险的代价和实施措施的成本之间有一个平衡点,过分的安全控制可能会阻碍工厂底层的正常运行,” Singer说,“你必须在安全性和工厂底层运行效率间进行权衡。”
制造工厂安全问题牵涉到很多复杂的因素,必须根据具体情况加以分析解决。
袭击,可能就在你身边
在“9.11”恐怖袭击以前,多数制造商都认为,只要把他们的控制系统与其他系统分隔开来并以相对隐蔽的方式运行,他们就可以高枕无忧了。然而,“9.11”恐怖袭击却将他们抛入了残酷的现实之中。
“整体的意识觉醒是近三年来的事,” Invensys Foxboro公司网络安全项目主管Ernest Rakaczky说,“企业界已经对监控安全问题有了更深入的认识,但仍有很多工作要做。”
据美国卡内基-梅隆大学的计算机应急响应小组(CERT)的一项调查显示,在2003年上半年报告的与互联网连接的系统遭袭事件有76404起,而在1999年上半年仅为9859起。这还仅仅是报告的袭击事件的数量,除此以外,还有很多公司由于不愿批露自己的系统遭到攻击而选择了沉默,有些公司甚至在遭到攻击后还浑然不觉。
该组织在2004年停止了对入侵事件的统计。CERT在其官方网站上解释说:“目前,与互联网连接的系统遭袭事件已经太普遍了。对事件发生次数的统计已经对评估袭击的范围和影响没有任何意义。”同时,CERT还在2004年的一次调查中指出,有43%的受访公司报告说他们遇到的网络犯罪和入侵事件的次数比上一年有所上升。该调查还指出在2003年由互联网犯罪导致
那么,过程制造商们该怎么办?Wonderware公司的首席技术官Rashesh Mody建议说:“有些事情你是掌控不了的,但至少可以做到保证网络安全。”你所需要做的只是:制定安全措施、积极执行,时刻警惕和投入资金。
