为工厂做一次网络健康体检 全面评估网络安全风险
工业控制从专用系统向开放式系统的转变使跨商业系统和跨网络的无缝整合得以实现,这种整合使控制进一步优化,使商业运营更加灵活。然而,也恰恰是由于系统之间存在交互工作,这些系统才更加容易受到攻击。从病毒、蠕虫到木马和数据篡改,各种各样的网络威胁对控制系统造成了影响,甚至扰乱了工厂作业。过程控制领域近期的网络安全事件表明,如果不具备综合安全策略,那么工业控制系统是十分脆弱的。
然而,即使具备了所有的安全策略,有统计显示工厂工程师所面临的最主要的威胁并非来自于外部——而大部分来自于工厂内部。
超过60%的受访工程师表示工业安全问题确实来自于内部原因。这并非意味着工厂雇员或者承包商有意使系统暴露于恶意攻击,安全问题都来自于雇员的无意之为,因为他们并不知晓正确的安全规程。
从上报的恶意事件分析,很多情况都是由恶意软件导致,包括病毒、蠕虫和木马,它们并非专门针对受影响的工厂。其他的情况呢?剩下大多数的安全问题就是纯粹的事故,包括用户失误或者配置故障所导致。
例如,2006年Browns Ferry核电站控制系统网络上来自于两家供应商的产品之间产生了巨量数据流,导致控制循环水系统的冗余驱动器失效,进而导致核电站紧急停机。又例如2008年Edwin I. Hatch核电站在对其工厂的商务网络中一台计算机进行软件更新之后发生了紧急停机。
保护过程控制系统并非难如登天,实际上它是很容易实现的。将它看做一种健康的生活规律:就像人体需要规律的生活,控制系统亦需要建立规律的检查和评估机制。通过对网络健康状况进行检查,获得控制系统性能信息,工厂操作人员能够判断采取何种措施才能为系统建立起良好的安全策略。
完整的工作规程
Stuxnet病毒的威力依旧令人胆寒,很多工厂操作人员试图寻找到一种可以免受攻击的方法。实际上包治百病的方法并不存在。医生无法开出能够确保健康的药方,健康是合理饮食、锻炼、睡眠和控制体重的结果。确保控制系统不易受攻击不能仅依靠单一方法,而需要依靠多种方法从多个方面抵御攻击。
“Stuxnet病毒的威力依旧令人胆寒,很多工厂操作人员试图寻找到一种可以免受攻击的方法,实际上包治百病的方法并不存在。”
具有安全网络的工厂必定能够达到各种技术、策略和程序的稳固结合以有效应对潜在威胁。这与健康计划很类似,工厂首先需要定义各种目标,明确当前状态,然后努力达到既定目标。
那么,良好的网络健康状况应该是什么样子的?有些例子还是很明显的,但是并未被广泛地落实。例如,供应商的产品通常都有默认密码,而令人惊讶的是,大多数情况下默认密码并未被改动而是沿用下去。使用默认的密码和默认的安全设置就如同在开车时不关车门一样。
其他简单却又经常被忽视的步骤包括微软 Windows操作系统补丁管理和防病毒更新,这些步骤对于确保网络的安全性至关重要。补丁可以使控制系统保持最新,通常发现新漏洞的同时,新的补丁都会发布。如果不及时更新补丁,即使知道漏洞所在,系统仍旧易受攻击。
过程控制供应商在测评防病毒软件上也有用武之地,在评估微软安全升级之类的补丁中他们也应该有所作为。选择经过评估的防病毒软件对工厂大有裨益,先进的防病毒软件必定比同类软件有见长之处。供应商也可以采用有利于系统安全性的锁定模式,为用户提供预设的文件、地址和注册码等安全设置,抵御来自恶意用户和无意失误造成的恶意软件攻击。
例如存储卡之类的便携式存储设备的使用方针必须定义并严格执行,在USB端口上插入存储卡能够避开用来抵御感染的所有网络安全机制。例如,Stuxnet蠕虫的感染机制之一就是通过USB存储卡进入毫无防备的系统。
理解深度防御
并非所有用来获得网络安全的步骤都显而易见并且易于理解,特别是当讨论深度防御时。构建深度防御的首要前提是构建多层防御体系用来抵御威胁。网络安全手段怎样才能实现分层呢?
依据ANSI/ISA-99或者IEC 62443标准,网络安全最佳方式是分层或者分区,这种方法能够帮助抵御威胁,并能够阻止病毒在整个网络中传播。关键的自动化和控制设备应该分在一组,分享共同的安全层级要求。这些区域之间的通讯必须经过受保护和监控的通路来实现,在这些区域之间规范数据的流通以实现更安全的通讯。
ISA-99定义了高、中、低三层的安全区。通过分析工厂的风险分析,并考虑到可能出现的威胁的严重程度和范围,每个区域都需要定义安全级别目标。每个区域内的设备都需要具有相应安全级别的能力,当这种能力低于该区域的安全级别目标时,必须使用安全技术或者安全策略来平衡这两者之间的关系,这有助于降低风险。
使用这种方法,网络安全更加容易管理。通过划分安全区域,只有在安全级别目标需要调整的时候才会提高安全层级,而这一切都可通过潜在的风险来判断。
基于安全区域同样会提升威胁检测能力(假设威胁检测能力是安全区策略的一部分)。确定那些必定会发生的问题的来源是较为简单的,因为工厂操作人员能够在源头解决问题,并找到其他直接的威胁。合理的分隔能够将区域之间的通讯限制在必要程度之下,并且仅仅通过被定义的和受到保护的通路进行通讯。这会阻止问题向其他区域扩散,包括关键的控制系统。这种强大的防御能够搭建一步一步深入的安全策略,在区域内创建更多区。这种机制能够阻止在其中一个小区域内发生的内部操作人员的失误在整个区域内蔓延,为多个安全层次搭建防御系统。
“全面的评估覆盖了网络所有部分,工厂管理人员从而知晓工厂距离工业标准和那些优秀的案例还有哪些需要改进之处。”
分层的原则遵循重要性的逻辑排序。分层网络提供了多层防御系统,并将最关键的系统位于最深层。
层1:关键设备、过程控制器和I/O工作于层1。大体来说,这些关键的嵌入式控制器件应该使用控制防火墙与网络隔离开来。
层2:过程控制操作员站点和监管控制工作于此层级中。操作员站点一般就是Windows站点,需要使用高等级的安全模型来锁定节点,使用基于节点的防火墙并采用专用的网络技术来限制网络异常,并考虑到可能出现的威胁的严重程度和范围,每个区域都需要定义安全级别目标。每个区域内的设备都需要具有相应安全级别的能力,当这种能力低于该区域的安全级别目标时,必须使用安全技术或者安全策略来平衡这两者之间的关系,这有助于降低风险。
使用这种方法,网络安全更加容易管理。通过划分安全区域,只有在安全级别目标需要调整的时候才会提高安全层级,而这一切都可通过潜在的风险来判断。
基于安全区域同样会提升威胁检测能力(假设威胁检测能力是安全区策略的一部分)。确定那些必定会发生的问题的来源是较为简单的,因为工厂操作人员能够在源头解决问题,并找到其他直接的威胁。合理的分隔能够将区域之间的通讯限制在必要程度之下,并且仅仅通过被定义的和受到保护的通路进行通讯。这会阻止问题向其他区域扩散,包括关键的控制系统。这种强大的防御能够搭建一步一步深入的安全策略,在区域内创建更多区。这种机制能够阻止在其中一个小区域内发生的内部操作人员的失误在整个区域内蔓延,为多个安全层次搭建防御系统。
分层的原则遵循重要性的逻辑排序。分层网络提供了多层防御系统,并将最关键的系统位于最深层。
层1:关键设备、过程控制器和I/O工作于层1。大体来说,这些关键的嵌入式控制器件应该使用控制防火墙与网络隔离开来。
层2:过程控制操作员站点和监管控制工作于此层级中。操作员站点一般就是Windows站点,需要使用高等级的安全模型来锁定节点,使用基于节点的防火墙并采用专用的网络技术来限制网络异常,例如广播风暴。
层3:此层级包括现场或者工厂范围的控制应用,例如先进控制和优化作业。在层3和层2的过程控制系统之间必须使用安全网关,仅允许控制所需的通讯。具有准入控制和通讯过滤规则的防火墙能够帮助实现这种隔离。
层4:商业系统通常位于这一层并与工厂网络连接。层3和层4之间的连接是安全问题易发的环节。对于过程控制网络和商业系统网络之间的连接必须额外留意并采取隔离措施,实现方法之一就是构建隔离区(DMZ),谨慎管理过程和商业系统之间的通讯。
DMZ:过程控制DMZ也是安置企业历史数据、系统管理服务器和固定管理/防病毒服务器的好地方。
采用多层安全防护之后,就可以降低安全风险,并依旧保留网络和系统的交互性。
网络健康体检
一旦明确了工业工厂健康的网络安全体系结构的要件,工厂管理层就可以对工厂的现状进行评估,识别易受攻击点,如果必要的话,采取措施提升网络安全状况。
通过彻查工厂网络、政策和流程,风险评估可以发现系统中存在的易受攻击点。例如,彻查网络可以发现何处的设计图纸已经需要更新了,以及哪个区域是风险程度最高的区域。然后,就可以识别出全部的危险,而不会仅仅将目光局限在一些特殊攻击上,例如Stuxnet类型的攻击。一旦发现并评估了所有的威胁,工厂管理人员就能够将这些威胁排序,先从具有最高发生可能性和影响最大的威胁入手。
正如需要对现有技术手段进行全部评估一样,对现有人事政策和流程的有效性进行评估也是十分关键的。例如,来访人员和供应商在参观工厂之前必须经过一定的步骤才能够准入,这些步骤大多数都会包括一些安全培训,并且会采取一些措施来屏蔽工厂内在的安全风险,例如硬质帽子、防护服和铁头靴之类。
考虑网络安全同样重要,对来访人员和供应商进行培训并制定一定的工厂行为规范,可以将网络威胁的风险降低。对于外部人员必须明确告知他们在何处可以使用自己的电脑,如何监控这些计算机以及对于USB磁盘采取什么限制措施。例如,在进入工厂之前来访人员必须将USB驱动器放置在门卫处保管。严格且面面俱到的政策能够帮助外来人员明确工厂网络安全文化的严肃性。
当然,对于雇员也需要建立起类似的文化。一旦有了各项政策,首要任务就是明确哪些雇员具有准入资格。必须根据员工职责所在的层级明确限制准入条件。可以考虑引入工程角色策略,也就是根据预先设置的小组和小组政策所允许的计算机行为来搭建模型。例如,如果工程角色定义对于操作人员的政策是锁定,那么这些操作人员就严禁操作过程应用。工厂也应该考虑在操作人员计算机上采用这些程序。监督人员具有受保护访问权限,而工程师虽然具有更多的准入权限,但是仍旧限制其触及很多相关的工程功能。管理员具有不受限制的准入权限,但是要求采用更高等级的安全设置并对于准入密码做更频繁地更改。需要指出的是,只有更可靠的用户才能拥有更高的权限。
全面的评估将覆盖网络所有部分,工厂管理人员从而知晓工厂距离工业标准和那些优秀的案例还有哪些需要改进之处。通过这种评估,工厂管理人员就能识别并将易受攻击点排序,以确定需要采取何种策略来提供网络安全性。
下一步就是使用根据自身需求定制的安全管理程序来纠正网络、策略和程序。正如每个不同的个人,每个网络也是独一无二的。每个工业工厂的安全管理程序应该根据自身需求定制,以保护工厂最有价值的功能,抵御最大的威胁。
新的文化
维护网络安全性很容易被忽视,曾经更换过锻炼计划或者更换过食谱的人都熟知采纳并保持新规律是一项挑战。然而,如果不能自律,后果很严重,没有严格的规章制度可循,工业工厂安全性就会降低,更容易受到内部威胁的攻击。
严守网络健康检查规程的重要性不亚于建立这个规程。知识是确保网络安全的关键,在抵御网络攻击上,人员是工业工厂最强大的资源。明确网络易受攻击点并知道何为安全网络的员工将是工作策略的最好证明,这也能减少常见事故发生的可能性。
例如,建立一个跨职能部门的员工组成的安全响应团队,可以监视网络的每一个部分。这能降低有意暴露于恶意软件的可能性。通过举行定期举行会议探讨最新的威胁和技术,安全团队可以确保领先于潜在威胁,及时发现和解决安全隐患。
健康不是简单的没有疼痛或者疾病,健康是肉体和精神同时达到优良状态。因此,网络安全也不仅仅是摒除网络威胁,而是具有强健的预先抵御机制,克服任何问题,确保作业不间断。坚守这些优秀的应用案例和程序能够帮助工厂管理人员保护网络远离内部危险。
国内知名的学术专家和企业代表就上述内容结合中国实际发表了各自的观点:
王志良主任、教授
北京科技大学物联网系
物联网已经成为一种信息技术大趋势,随之而来的物联网安全问题也开始凸现出来。尤其是在工业控制领域,设备安全、控制安全、信息安全、网络安全,将会成为控制工程师的技术课题研究内容,这些都会改变未来工业领域的技术与产品格局。
肖维荣 总经理
贝加莱工业自动化(上海)有限公司
功能安全、设备(人身)安全以及信息安全是工业安全的基本内涵。功能安全和设备或人身安全属于工业安全标准的范畴控制工程网版权所有,而信息安全则属于企业信息管理的概念。前者是由标准(如SIL)来保证的,后者则需要安全方案来保证。
华镕全球标准及贸易部中国区经理
罗克韦尔自动化(中国)有限公司
伊朗的核设施遭受“震网”的攻击,引起了世界工业界的震惊和警惕,各自动化厂商也采取了应对措施,帮助企业用户解决类似危机。中国的企业特别是在关键性行业,如能源、交通、通信等,应利用这个契机,对企业内的网络进行一次清查,排除隐患。
郝培 产品及市场经理
百通赫思曼亚太区工业以太网
经由企业的内部网络,来自控制室/中心的远程访问链路、USB闪存、移动笔记本电脑,病毒和骇客攻击可以很轻易的到访任何一个不设防的关键部件。更何况你也许还不知道,改变一个基于Modbus这一广泛使用的通讯协议的控制器内的功能代码或寄存器数据使其误动作或离线、死机,居然不需要任何认证和加密!
陈建铭 产品经理
Moxa公司工业以太网事业部
网络安全已成为中国工业自动化发展中必需考虑项目,除了作者提及的”深度防御”的方式外,工业网络的安全性还可以注意2点: (1) 使用VPN技术(Virtual Private Network),以提高远程连入、监控(Remote Access)的安全性。(2)选用工业规格如无风扇、-40~75度下操作的产品,以提高系统稳定度。
刘艳强 博士
EtherCAT技术协会 北京航空航天大学
堡垒往往都是从内部被攻破的,在建立了完善的软硬件防护体系之后,重要的是提高工厂内部的管理人员和操作人员的安全意识,并建立严格的规章制度,实施规范化的工厂网络访问和操作流程,从而避免各种有意无意的网络安全问题。
文章版权归西部工控xbgk所有,未经许可不得转载。