随着新一年的到来,发电厂和大型电力企业对网络安全的重视程度也迈上了一个新的台阶。NERC CIP(北美电力保障组织,关键基础设施保护)条例的生效意味着电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。一旦有人违反了条例中的要求,就会被处以巨额罚款。
而许多行业外人士也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规,而且是越早越好。在过去的一、两年中,工业网络安全经历了迅猛的发展。大约一年前,美国中央情报局(CIA)的一份报告中记录了这样一起事件:一项勒索行动中,一部放置在海外的设备被网络黑客成功破坏。严重黑客攻击(如图所示)的性质,已经从单纯的娱乐,扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。我们必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
NERC CIP条例自2002年颁布以来,经常有人将其执行效果与那部在执行上充满混乱的Sarbanes-Oxley (SOX) 法案相比较。艾默生电力和水力部门的SCADA及安全业务发展经理Eric Casteel承认,两者在执行效果上有相似之处。他说:“SOX法案颁布之后,相关的指导
黑客能够以各种手段和动机闯入你的系统。他们的特征具有普遍性,但也有特别之处。
要抵御业余爱好者的入侵并不困难,但是若想抵御训练有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。
从何入手?
如果你是从事电力或其他行业工作的,那么你应该如何在你的DCS(集散控制系统)、SCADA(监控与数据采集系统)、或其它工业控制网络中实施基本的网络安全措施呢?通常在一个项目开始之前,应该首先对当前的情况进行一次评估,尤其要对网络中的所有设备做一次清查。你需要弄清楚设备是怎样连接的,以及设备上运行着何种软件。如果你希望找出黑客从外部进入系统的方式并建立起适当的屏障,那么这就是你要做的第一件事。
“用户对他们系统的实际架构和连接方式的认识往往非常肤浅,”西门子能源与自动化集团过程自动化系统市场营销经理Todd Stauffer说道,“很多设备通过直接或间接的方式连接到控制网络中,而生产过程负责人几乎无法控制它们。因此,相关人员首先要做的事情之一,就是确认系统的实际架构。应该说,实际架构很可能与他们想象中的大相径庭。可以肯定的是,相关人员在确认系统架构的过程中几乎总会发现意想不到的连接。”
艾默生过程管理的数据管理解决方案高级顾问David Rehbein,在Microsoft任职期间,从事了很多年网络评估工作。他也认为进行评估是关键的第一步。 “在系统清查过程中,你可以发觉网络上的每个IP地址,一些IP地址往往是在无人知晓的情况下悄然出现的。有些人连进网络、在上面放了点东西,却忘了告诉管理员(IT)。于是,你的系统上就有了一个非法客户端或服务器。如果你对它的存在一无所知,那么你就无法知道它是否打了正确的安全补丁。你更无法知道它是否安全,有没有运行查毒软件。
了解你的连接
独立的控制系统很容易保护,但这样的系统已经很少存在了。如果管理员要了解工厂当前的情况,那么他获取信息的最简单方法就是查看控制系统。这样的话,控制系统就要连接到公司的网络中,而公司网络毫无疑问是连接互联网的。如果这类连接没有得到很好的保护,那么就可能成为了一个主要的突破口。控制系统与公司网络结合得越全面,潜在的突破口就越多。这就是所谓的攻击面积。
Rehbein回顾了一个他在微软工作时参与的项目:“我们一天就完成了第一次评估,因为那是一个非常简单的连接。他们没有把工厂网络连接到其他地方,能够进入该网络的唯一方式是进到建筑内部。与这种情况形成鲜明对比的是:有些人希望和客户或是位于瑞士的公司IT部门分享项目清单或者目前的生产水平。这就需要直接的互联网连接,这也为其他任何人进入你的系统打开了方便之门。
出于商业目的的连接会可能会招来更多潜在的攻击,这给操作人员和控制系统带来了更多的压力。霍尼韦尔过程解决方案开放系统服务的全球项目经理Shawn Gold担心各企业正在失去自行处理问题的能力。日益依赖外部支持就意味着增加突破口。“任何与外部世界的连接都 是有风险的,”他警告说,“但是为了获得有帮助的服务和资源,你又必须连接到外部,这在当今的经济环境下更是如此。你可能已经记录了所有的连接,这是一件好事。但也会有潜在的未被记录的连接,或为应对紧急情况而特设的连接,可能造成安全风险。因此你必须知道在紧急情况下该做些什么,以及在遇到困难时,如何保护自己。”
监控软件
除了连接之外,你还需要知道网络上有什么软件。这一点至关重要的,主要的原因有两个:一些软件存在可以被黑客利用的漏洞;编写不良的程序可能会引起内部问题。
“每次增加软件的同时,你也增加了被攻击范围。” 霍尼韦尔过程解决方案的全球安全架构师Kevin Staggs建议道,“你安装的一些不必要的软件可能会与其他一些必要的控制软件形成冲突,导致系统失灵。有些故障甚至是你无法看到的。有时候,软件在编写时的错误会造成内存溢出。我们发现一个反病毒系统补丁里有内存溢出,而运行该程序的控制系统在出现内存不足前大约能运行35天。到那时候,系统就会出现严重的减速或者显示警告,而操作人员会不知所措。”
Staggs补充说,这些有问题的程序可以产生和黑客引入的恶意软件同样的后果。如果软件没有被
当你了解了自己网络的情况之后,如果出现了问题,你就会知道是否需要处理它了。西门子的Stauffer提到,白帽(white hat)组织发布了他们在公用软件平台上发现的漏洞,敦促供应商修正它们,并警告说:“他们没有意识到,他们的这一举动是在为系统添乱,当传统系统的漏洞被公布在互联网上供所有人浏览的时候,相关人员不得不去做那些他们原先不准备做的事情。这足以告诉黑客,对于一个给定的系统应该从何着手实施攻击。你还打算通过隐藏漏洞以保证安全吗?忘了它吧。你的系统弱点早已经被公布在网上了。”
咨询你的供应商
你可以采取的一个最简单方法,就是向最初为你打造系统的供应商进行咨询。大多数公司会提供指导、案例研究、最佳做法以及根据积累的经验得出的其他意见。
网络安全还包含了许多方面,但在此处讨论并不合适。人事政策,外部管理收购,实体安全,纵深防御等等,都会对网络安全策略产生影响。许多组织和公司为工业系统提供了网络安全资源。如果你希望对此作深入研究,那么最好看一下这篇文章的边栏。你应该始终牢记,没有解决一切的答案,也没有绝对的安全。你能够指望的最好情况是你的保护等级强于攻击者的攻击力度。
翻译:辛磊夫
你的网络安全实施资源
Control Engineering的网络安全博客作家Matt Luallen和Steve Hamburg已编制了一份清单,列出了他们最推崇的相关资源,并对每项资源作了评价。如果你希望获得这些出版物的实时链接,那么请登陆www.controleng.com在线阅读此边栏。
我们需要利用多种资源,或者说通过适当的纵深防御控制来“保障”过程控制系统的安全。譬如获取管理支持,进行评估,确定风险因素,选择修复方案,在获取管理支持后对适当的技术、程序和安全意识作高效整合并开展培训计划。总之,请千万记得获取管理支持。
网络安全的学习方式是多种多样的,要根据具体的过程而定。但是,最佳出发点无疑是先回顾并深入理解以下内容:
1. NERC CIP(北美电力保障组织,关键基础设施保护)条例:这套重要的网络安全标准对大型电力系统组织有着深远的影响。它还牵扯到其他涉及过程控制的领域,如航空、铁路、废水处理、天然气、炼油、化工和制造业。因为这些领域在国际上也被公认是关键的基础设施。NERC CIP是第一部具有制裁力的网络安全标准。不符合该标准的情况一经发现,可能被处以高达每天100万美元的罚款。由于该标准被界定为一套大型关键基础设施保护标准,其他用到SCADA和DCS的领域也正在对它进行审核。NERC CIP标准可在www.nerc.com获得。该标准需要结合具体的情况解释执行,遵守标准的方式不止一种。
2. 美国爱达荷国家实验室的国家SCADA系统试验平台和DHS控制系统安全计划:这项计划提供了许多关于安全意识、安全评估和安全架构方面的细节。它涉及的范围非常广泛,其中,我们特别推荐的一项是控制系统的网络安全获取语言,相应链接为:www.us-cert.gov/control_systems。这份文件将有助于你辨识哪些控制对于保护系统而言是必须的。
3. NIST SP 800-82(国家标准与技术学会特别出版):这份新的文档为保障工业控制系统安全提供了指导。最终版本即将在第三次也是最后一 次公开讨论期后推出。而讨论的截止日期为2008年11月30日。你可以在csrc.nist.gov/publications下载最终版本的草案。
4. ISA 99:这个标准提供了建立和执行控制系统安全计划的详细说明。该标准的第4部分进一步说明了控制系统安全与传统IT安全的不同之处。具体请访问www.isa.org/isasp99。
5. 传统的IT解决方案,譬如信息及相关技术的控制目标(CObIT),ISO 27005和ISO 17799标准:许多现有的IT控制和安全框架能够在工业控制系统环境内提供基本的操作。传统IT业务系统和过程控制系统的连接往往要考虑到效率和成本控制。因此,最好的做法是对特定的IT和过程控制系统进行优势互补。关键问题是如何划定连接系统与独立操作系统之间的界限?寻找这一答案对相关组织和行业来说无疑是个挑战,却有着特别的意义。www.isaca.org;www.iso.org。
许多组织为SCADA系统特别制定了标准,包括:ISA,ISO,IEC,API,AGA,ChemITC,DHS CSSP,PCSF,CIGRE,NSTB,IEEE,EPRI,I3P,NE
RC和NIST。Control Engineering将继续通过其网络安全博客,以实践和应用的方式解读这些标准,从而为解决所有基础设施普遍面临的安全挑战助一臂之力。
纵深防御的一个关键参考
由David Kuipers和Mark Fabro撰写的 《控制系统的网络安全:纵深防御策略》(2006年5月)一文被看作是工业网络安全方面的经典之作。Fabro是Lofty Perch总裁兼首席安全科学家,并曾经与美国DHS和INL(爱达荷国家实验室)开展过广泛的合作。关于撰写这篇报告,他这样说道:
“随着DHS的控制系统安全计划(CSSP)在私营部门密切开展,其中一个主要的想法是探讨如何在以前独立的大型系统内建立有效的网络安全。考虑到其中一些‘专用’技术的‘年龄’和操作上的差别,我们无法用当代的网络安全解决方案对它们进行合并。这些资产所有者和经营者已经告诉我们,诸如IDS(入侵检测系统)和防火墙之类的措施在起到积极效果的同时,又不会对操作造成任何影响。资产所有者需要一种平衡的安全策略,既不会打乱他们的系统,又能够减少网络风险。”
“纵深防御模型工作的理念是:针对控制架构中不同层次采用与其相适的安全水平等级,并将各层次的安全元素结合在一起构成一个全面的安全防御态势。编写这本实践指南主要是为了指导读者一些在控制系统环境中处理较常见的漏洞,以及如何部署适当的安全解决方案以帮助弥补这些漏洞。该计划的目标是综合CSSP收集的来自利益相关者的反馈,深入研究如何满足他们的需求,并建立指导以备相关部门进行评估。最终的指导经过寻求它的利益相关者核实和审查,必定能够产生非常积极的影响。目前,我们推荐的做法是对那些经过论证确实能对控制系统架构起到保护作用的方法作深入分析,尽量在提升安全性的同时不降低原有性能。”
www.inl.gov/technicalpublications
www.loftyperch.com