近几年,公用事业公司在进行他们的商务活动时,已经经历了很多改变。增加收益和降低开支的压力使他们把SCADA系统与商务网络集成在一起进行流线型操作。互联网的流行使用户要求他们可以对自己的帐户进行在线访问,在线转帐,进一步增加网络的暴露程度。另外,公共事业公司已经通过使用互联网使一些核心的商务操作,如故障的管理,更加便利。
2003年八月的大规模停电引起了公众对于互联网故障的关注。结果,北美电力可靠性委员会(NERC)生成了紧急行动标准1200,这个行动方案的目的就是保证所有的实体都要对北美的大规模电网系统做出反应,保护控制或是可能影响大规模电力系统的网络资产。2004年,NECR发行了一个续集和标准1200保持控制区域和可靠性协调机构的强制性。在2005年第一季度,所有的控制区域和可靠性协调机构必须要完成和提交适当的区域自我诊断更新表格,来显示他们与网络安全标准的要求符合或是不符合度。
另外全球的恐怖主义,已经引起了公众对于公共事业公司关键基础设施和SCADA系统的关注。尽管公众十分担忧,但是公共事业公司也不会因此而拒绝集成SCADA和互联网所带来的好处。危险可能
也许,来自公共事业公司的最大的危险就是来自他们缺乏对更加安全的保护的关注。许多国有或是私有的企业,控制着天然气、能源、水等公共事业,但是却从来没有想过他们就是网络袭击的目标,现在他们必须要采取有效的措施来保证网络的安全了。虽然很多公共事业公司为他们SCADA系统提供了风险评估机制,但是很多公司却没有。他们已经越来越依赖紧密联系的数字信息系统,而没有充分意识到网络袭击的潜在危害。
传统意义上的SCADA系统是与其它系统隔离开的,他们在网络上独立操作。由于先前考虑到可能的攻击,这样看起来就为SCADA系统提供了所有必要的保护。具有这种有限访问和很难破解密码的通常是大型的专有系统,这样,几乎没有人可以随意进入其系统并进行攻击。但是时过境迁,他们现在已经集成到公司的网络系统当中,可以使他们的数据在网络上共享,增加了工厂效率。所以,现在的情况是,目前的SCADA网路的安全性网络的安全性。
保护你的SCADA网络
保护SCADA网络的第一步就是生成一个书面的安全原则,这是保护整个网络的重要组成部分。没有一个适当的安全原则,就是使该公司处于网络攻击的危险地位、造成季度损失、甚是会导致法律诉讼。一个安全原则是一个动态而非静态的文件,它不是一旦生成永不更改的。管理团队需要提出一个明确的、可理解的目的、目标、规则和正式的流程来定义整个计划的地位和构架。
高级管理人员、IT部门、人力资源和一些合法的部门等这些关键的人员都应该包含在这个计划当中。而且应该包含以下几个关键因素:
● 原则所涉及到的相关人员的角色和责任
● 允许的和不允许的行为和进程
● 不遵从原则的后果
漏洞评估
准备一个书面的原则之前,要进行一个漏洞评估。漏洞评估的旨在明确两点,一是与SCADA相关的IT构架的不同方面的潜在危险,二是这些不同构架的优先权。这通常以等级的形式表示出来,然后,这也排出了对安全的关注程度的优先权,以及不同漏洞区域的投资等级。
例如,在一个典型的SCADA系统中,一些关键词和相关的等级如下:
● 操作员站的操作的有效性
● 实时数据的准确性
● 系统配置数据的保护
● 与商业网络的连接
● 历史数据的有效性
● 临时用户站的有效性
一个漏洞评估系统执行时类似一个理解一个系统是如何构成的,威胁到系统的危险是如何生成的这样一个确认漏洞和缺点的机制。
为了成功的运行一个漏洞评估机制,需要在物理上确认所有的网络和计算机设备,需要用到的软件和网络路由器。在进行检查之后,应该随网络构架生成一个清晰的结构图。
进一步的安全方法
如前所述,SCADA系统以前是与其它网络分开的,要进行攻击,只有在物理上穿越此系统。随着公司网络在电子上连接到了互联网或是无线技术,物理访问对于网络攻击来说已经不需要了。其中一个解决方法就是隔离SCADA网络,但是对于预算思想的操作来说,这不是一个实用的方法。这还会需要在远程地点的监控工厂和远程终端单元。所以需要采用安全方法来保护网络,一些常见的方法可以应用与本质上属于所有的SCADA的网络,例如那些以WAN形式出现的网络,或是又基于互联网访问要求的网络。核心的因素包括:
● 网络设计
● 防火墙
● 虚拟专用网络
● 隔离区
网络设计——尽量保持简洁
简单的网络比比较复杂的、相互连接的网络危险要少。要保持网络的简洁性,更重要的是,从一开始就要有良好的构架。
确保一个安全的网络的关键因 素就是控制接触点的数目。接触点应该尽可能的少。虽然防火墙可以保护来自互联网的访问,但是很多现行的控制系统拥有自己的调制解调器,允许用户在远程访问系统进行调试。这些调制解调器往往直接与子站的控制器相连。如果确实需要访问点,应该是一个具有密码保护的单点,使得用户的登录行为可以成功。
防火墙
防火墙是装在网关服务器上,保护专有网络计算机资源的免受外部用户攻击的一套安全程序。防火墙与路由程序紧密配合工作,它可以检查每个网络信息包,判断是否允许它传递到目的地。防火墙还会包含一个代理服务器或是与其工作,这就可以使网络要求可以代表工作站用户。防火墙通常安装在特别设计的计算机上,与网络的其它部分分开,所以,任何引入的信息都不可能直接进入网络资源。
在信息包交换的网络中,例如,互联网,路由器是判断一个网络点是否是信息包的目的地的设备或是软件。路由器最少连接到两个网络上,基于对它所连接的网络,以及他对网络现状的理解,来判断每个信息包的传送路径。路由器安装在网关上(两个网络的交汇处),包含互联网上的每个点。路由器通常看作网络交换机的一部分。
在公司网络和互联网上使用安全放火墙十分重要。作为
在更大的站点,需要保护控制系统免受SCADA网络内部的攻击。在公司网络和SCADA系统之间使用防火墙可以达到这个目的,并且也高度建议使用防火墙。
虚拟专有网络(VPN)
现在更加复杂的网络所面临的一个主要的安全问题之一就是远程访问。VPN是一个连接到远程SCADA网络的安全方法。使用VPN,所有的数据在一定程度上是保密的,只对有限的人群开放,例如供应商公司的员工。VPN是一个使用公用电缆把点连接起来的网络。例如,有一些系统允许使用互联网作为传输数据的媒质来生成网络。这些系统使用密码技术和安全方法来保证只有授权用户才可以访问网络,并保证数据不被干扰。基于现存的网络构架,使用一体化的数据密码和隧道技术,VPN提供了一个高水平的数据安全等级。一个典型的VPN服务器或者是作为防火墙的一部分或是作为一个独立的设备安装,外部人员进入SCADA网络之前要进行验证。
IP安全(IPsec)
IP安全是互联网工程任务组为了支持IP层安全的信息包交换而开发的一套协议。VPN已经广泛的应用了IPsec。
IPsec可以在一个网络范围内使用,提供计算机等级的认证和数据加密。IPsec可以被用来把使用高度安全的L2TP/IPsec的远程网络生成连接。
IPsec支持两种加密模式:transport和tunnel。Transport加密只对每个信息包的一部分(有效载荷)进行加密,不涉及报头部分。更加安全的tunnel模式可以同时对报头和有效载荷进行加密。在接收方,IPsec兼容设备为每个信息包解码。
为了IPsec有效工作,发送和接收方应该共享相同的公钥。这通过ISAKMP/Oakley(安全联盟和密钥交换协议),这就允许接收者可以得到公钥,并对发送者进行数字验证。
在网络硬件,如路由器、交换机和网关的选择阶段,考虑到设备要支持IPsec来支持安全VPN连接的能力十分重要。
隔离区
隔离区是在信任区域(SCADA网络)和公司网络或互联网之间的缓冲区域,通过额外的防火墙和路由器分离开,为地址网络攻击提供了额外的安全层。使DMZ已经成为把商务网络和SCADA网络分离开的越来越普遍的方法,是一种强烈建议使用的安全方法。
网络和操作环境的安全
在处理SCADA构架时,需要明白在与SCADA有关的IT安全性能和关注于典型的商务网络的安全性能方面具有相同和不同点。例如,在商务系统中,访问服务器时非常典型的关注问题,而在SCADA环境下,访问主要集中在操作员控制台上。这些不同点产生了不同的网络拓扑图来提供必要的有效性,同时,SCADA系统下什么样的问题是保证安全最需要关注的也是与商务网络不同的。
认证和授权
认证是一个处理确认访问SCADA系统的授权用户的软件。授权是定义一个访问许可,允许用户使用这个许可来访问系统的相关内容。验证和授权是确认和允许只有授权用户访问SCADA系统的单点控制机制,因此保证了对系统安全性的高度控制。
为了提供有效的验证,系统要求每个用户使用各自的用户名和密码进入。共享的用户名意味着该用户对密码和所完成的行为缺乏责任感。
用户必须在系统内生成、编辑和取消,而且该系统是活跃的,可以把个人密码保存起来。密码过期保证操作人员在一个可控的时间周期内例如一周或一个月等定期修改他们的密码。
可靠的数据存储和通讯
对于SCADA系统来说很关键的数据应该在保存和通讯时保证安全。建 议关键数据例如密码使用加密算法保存。相似地,远程登录处理应该使用VPN或是加密技术把用户名或是密码在网络上通讯。关键数据如用户名和密码必须储存在一个安全的数据库中,使用Windows认证和基于角色的安全系统对访问权进行监控和管理。
入侵检测
防火墙和其它的防御设备在进行观测、识别和确认攻击特性的时候往往汇缺乏一定程度的智能性,这将会在他们所监控的通讯中或是所收集的日志文件中显出来。这些不足就解释了入侵检测系统(IDS)为什么在维护网络安全方面越来越重要。
简而言之,IDS是一个知道如何从防火墙、路由器、服务器上阅读和翻译的专门工具。进一步,IDS经常保存具有显著攻击特征的文件,然后把一些动作和行为与它在日志中所存储的特征进行比较,如果现存的或是最近发生的行为与日志发生的匹配度很高,它就会察觉到了。
有很多IDS监控方法:
● 网络型IDS特征:基于网络的IDS可以用很简单少量的设备或是配置点对网络几乎不施加任何影响,对完整大型的网络进行监控。
● 主机型IDS特性:主机型IDS可以在它所监控的主机上进行非常细节化的行为分析。
● 应用型IDS特性:应用型ID
实际应用中,大多数商业环境使用网络型、主机型或是应用型的IDS的某些综合体来观察网络上发生的情况,对关键的主机和应用程序的监控更加密切。
规范对SCADA网络的物理访问
应该对网络的物理访问倍加关注。
1、 使用Microsoft Windows的内置特性,如NTFS在浏览网络共享资源时进行验证
2、 禁止任何非该组织内部人员连接到该组织的以太网上,或是对其IT服务器室进行访问。
3、 对网络上日常运行的可能的可以行为进行监控,当运行嗅探软件或是硬件时注意其IP地址。
4、 确保没在列表上有陌生的IP地址。如果发现陌生的IP地址,要对其进行跟踪,一旦你确定这个IP地址的出处,就可以采取行动了。如果你不确定,就在物理上断开可能会发生入侵的网段。
无线网络的特别提示
得到未授权访问无线网络的最常见的方法有两种:一是使用未授权的客户程序,例如笔记本电脑或是掌上电脑,二是对无线访问点进行复制。如果无线网络没有采取任何保护措施,那么上述任何一种方法都可以对无线网路提供完全的访问。
现在已经应用了很多商用无线网络,他们在价格、复杂性、和安全水平上有所不同。
当使用无线网络时,可以采用以下几个标准的安全方法来对攻击者获得访问无线网络的机会最小化。
● 审核用户——无线网络的访问点包含所有的被授权可以访问无线网络的客户MAC地址的配置列表。没有在列表上的客户将不能取得访问。
● 网络名(SSID)——这是一个可以在所有的客户机和访问点上配置的认证字符串。共同使用无线网络的客户机和访问点必须享有相同的网络名。然而网络名是一个在网络上传播的可读的文本字符串,所以,只是使用网络名不能够完全保护无线网络安全。
● 有线等效保密(WEP)——所有的用户和访问点应该拥有可配置的静态WEP。这是一个40、64、128位的字符串,所有的客户和访问点都必须要输入。没有正确的WEP字符串,就不会得到无线网络访问,SSID也是通过这种字符串进行加密的。大多数情况下,只是使用SSID和WEP就可以提供安全的解决办法了。
● VPN(前边已经描述)可以为互联网或是国内企业网络提供一个安全的连接。VPN只是在开放的互联网上或是无线网络上生成一个安全的通道。通过这个通道的传输的数据在客户机上被加密,在无线访问点内部的网关上被解密并时期生效。使用VPN的另外一个优点就是可以为两种网络:无线或是有线的,提供安全,而且维护费用相对较低。
