北美电力可靠性协会所做的调查显示,控制系统的这10个软肋,也正是解决控制系统安全弊病的最佳着手点。
北美电力可靠性协会(NERC)致力于提高北美大型电力系统的可靠性和安全性,作为更大型的基础设施提供保护。为了确保电力供应不间断,NERC对基于计算机网络控制的电网进行监控。它监视着一系列的网络安全漏洞,作为保护整个工业网络的模型,它在电力工业之外也是可以接受的。
负责现场和基础设施安全的国际注册信息系统安全师Scott R. Mix说:“《10大控制系统漏洞和相关的解决方案(2006版)》是网络安全弊病列表的第三次修改。这些文件由隶属于NERC关键基础设施保护委员会(CIPC)的控制系统安全工作组(CSSWG)负责维护,并且这些文件每年都要更新,还要记录上改进的解决办法。”他说,由最初的2004版的简单列表发展到今天,对于每一个记录的漏洞都有三个层次的解决方案。
以下就是这10个弊病,以及工业产品供应商和顾问就每一项对整个系统的影响而提出的建议。
没有足够的政策、制度和文化来监管控制系统的安全性。
安全性开始于一种文化或者说是一种警戒的传统。艾默生过程管理的产品经理Bob
ABB公司的电站工程解决方案经理Kim Fenrich说:“如果没有一个有效的安全法规、解决策略和定期培训,其他的安全措施也不会很成功。为此,保障安全性必须被看成一个长期的过程,而不是对防火墙、屏蔽、扫描火加密技术的一次性投资。”
赛门铁克咨询服务公司的主管Bryan Geraldo说:“操作员们相信,对于随机的攻击和非针对性的破坏来说,控制系统是相对安全的,因为它们并非直接与Internet互联,或者有不同的软硬件组成,其中一些甚至还嵌入了供应商的‘独家嵌入式安全特性’”。Geraldo说:“然而,虽然大多数IT产品带有嵌入式安全手段例如密码和加密选项,或者基本的防火墙/准入限制机制,很多这些特性都是未激活的,或者被置于默认设置以及错误的设置,这就会产生对安全性的错误监管。”
霍尼韦尔过程控制部公司负责生命周期服务的高级市场经理Marilyn Guhr建议道:“通用的解决方案与系统结构不同,它需要变化。由于控制系统的环境正在向开放式转变,需要新的政策和法规,然而通常情况下,系统使用者们并不清楚是否需要这些法规,或者他们认为这些事应该由其他人负责。公司内的IT部门对此倒是非常清楚,但是他们却没有责任在过程控制中帮助解决这些问题。”
无知将导致错误。Byres安全公司的首席执行官Eric Byres说:“我看到了越来越多由于工厂安全方面的工作做的不够而导致的事故。例如,在一次我参与的审核项目中,发现网络电缆越过SCADA 防火墙。后来提供的解释说,经过分险分析,表明防火墙并不重要,而且也没有法规上明确防火墙是必须的。”
网络设计不完善,并且深度保护不够。
安全防护需要的不仅仅是强大的外围措施。西门子能源与自动化集团PCS 7的市场经理Todd Stauffer建议道:“成功地保护一个控制系统,需要一个全面系统的方法。一个最常见的误解也是最危险的误解是,只要给控制系统安装了防火墙,那么它就被保护了。这是非常错误的。实际上,包括美国的国土安全部在内的负责安全的专业人员和代理人,经常建议采用一种叫做‘深度保护’的分层防护的方法。深度保护提倡采用嵌套安全体系结构,工厂被分成多个安全封闭的单元(区域)。每个区域都有明确的定义,它们的控制和通讯的输入输出接口也被严密监控。”
“控制系统必须有分层次的保护措施。”霍尼维尔过程解决方案公司的全球安全设计师Kevin Staggs说:“越是关键的接口,例如控制和人机界面,越是需要深层次的防护。控制系统至少需要一个防火墙,以使其与商业网络分离开,并且它们永远也不要和互联网相连。IT领域内深知如何深度保护网络,但是这些相关知识并不必要应用到控制系统。”
Byrnes说:“没有一个IT部门会仅仅安装一个防火墙之后就说‘我们已经防护好了’。IT部门会在每一台服务器、台式机和笔记本电脑上都安装杀毒软件、个人防火墙和更新补丁等等,这样一来,无论有没有外围防火墙,这些计算机本身也足够保护自己了。然而,在SCADA和控制系统的世界,公司如果仅仅在控制网路和商业网络之间安装防火墙,那么就忽略了对那些关键器件的保护,例如PLC、RTU或者DCS。整个控制安全范例是外层脆弱 中间强韧的,可惜那不起作用。就像防护设计一样,良好的安全设计,会提供多层保护,一层失效的时候,其他层仍旧坚守岗位。这就意味着要使控制网络上的每一个设备都足够安全,即使有恶意入侵或漏洞的时候也能保护自己,虽然这些恶意入侵和漏洞很难穿过防火墙,但确实是有可能的。”
“安全本身也有其弊端。”Mu 安全公司的销售部副主管Adam Stein警告说:“对于基于SCADA的控制系统,深度防护实际上加强了网络的外围防护。用户无法忍受由系统内部防护带来的延时。当操作员发送指令,意图关闭一个阀门或者停止一个危险进程的时候,他可不想为了让指令通过多层防火墙而额外付出时间。”
艾默生公司的Huba看到了时下广泛采用的多平台解决方案的负面影响:“今天很多控制网络是由来自于不同公司、带有通用的人机接口(HMI)和通用的通讯硬件的集成控制器组合而成。通常,这些工作是由系统集成商基于专门平台完成的,而安全性并不在考虑范围之内。随着这种系统的普及,最终用户有必要对控制网路增加适当的限制,作为解决方案的一部分。”
无适当准入控制的远程接入
Stauffer建议道:“对人员和程序的进入加以控制,这对保持系统的安
Guhr说,拒绝任何远程连接申请会阻碍最终用户从控制系统供应商获得远程服务,而这对供应商又是很有利的,比如消费者在被服务的时候可以提出更有创意的建议。
制造和控制系统安全委员会ISA SP99主席、FluidIQs 公司的工业安全首席顾问、国际注册信息系统安全师(CISSP)、注册信息安全员(CISM)Bryan Singer说:“终端服务、无线网络、无线电设备、调制解调器和无保护的计算机,这些设备的安全防护是很不容易的,我们需要良好的物理层面的安全防护。这也帮助我们远离流氓节点和其他的一些东西。然而大多数的网络并不具有设置和屏蔽非授权设备的能力,所以附加控制系统、PCs或者甚至入侵者的工作站都可以经常进入网络而不被检测到。”
分散、可追查的管理机制
这些包括系统升级、用户定制以及类似的不属于控制系统一部分的工作。“系统弊病归咎于运行控制系统的人,”Guhr说:“核心问题可能不属于IT的范畴,但是系统中的问题总是和IT相关的。你的系统需要有这样的能力,它能够知道最近你给系统安装了什么新设备,或者最近一次正常工作之后你做了什么改动。如果有问题产生,你需要知道哪里做过改动。”
Stauffer支持这种观点:因为黑客们一直在研究有什么新的漏洞,他说,必须一直监控控制系统以确保系统的软件保持实时更新。
对系统和软件进行审查的工作并不一定该由过程操作人员完成,他们可能需要学习新的技术。Singer解释道:“大多数过程控制系统和相关程序,设计了报警和事件触发功能,但是它是面向过程的。要检测到攻击或者从日志中分析得到结论是很难的,而且对于控制设备来说,计算机取证技术也过于复杂了。令人沮丧的是,一些在线审核和监控解决方案,例如入侵检测系统等,都无法处理控制协议,而且很多情况下,即使系统和防火墙正常工作,日志也无法监控。”
无线通讯安全性不足
Staggs说:“无线安全不只对于控制系统来说是个大问题,对于所有用户都是。这主要是因为无线网络变得太普遍了。几乎在任何地方你都可以很容易地连入无线网络。但是你必须找到信号并知道是否有非授权节点接入了。”
“在安装无线网络之前,需要先做一番全面的评估,确定无线网络的最佳使用地点,并确保泄露到工厂之外的无线网络覆盖区域最小。当有工作人员带着步话机、笔记本和手持设备移动的时候,就会发生无线网络泄露,使无线网络覆盖到工厂之外。”
Singer鼓励研究无线传播机理:“对于无线网络,诸如802.1 1b和g的技术在广泛使用,以2.4GHz的频率工作。通常在搭建无线网络之前都没有经过仔细的调查,所以也无从知道无线网络覆盖区域是否足够,也不知道杂散发射是否限制在一定范围内,以使外部人员无法轻易找到网络。”
Savant 防护公司的CEO Ken Steinberg说,开放式发散技术的问题主要有四个方面:非授权使用、空中信息截取、频率干扰和非授权扩展。他补充道:“安全专家应该覆盖所有区域,以保证网络安全有效。”
无线工业网络联盟(WINA)的负责人和技术总监Hash Kagan说:“危险往往在网络管理不当,以及错误的技术。一个没有保密的网络往往是脆弱的。运作缺乏稳定性就如同IT缺乏安全性一样糟糕。”
有时,隔离是最好的方法,赛门铁克公司的Geraldo建议道:“如果可能的话,应该把无线网络同其余的控制网络隔离开。而且,在从无线网络进入 其他控制网络的地方,强烈建议采取无线网络准入控制,要求授权并强制准入控制。”
在非专用通道上传输命令和控制信号
这就是基于Internet的SCADA所面临的问题。这种弊端也会出现在将控制系统网络的带宽错误地用于非控制应用时,例如VoIP(网络通话)。
Singer说:“很多IT人都购买了成套网络设备,而且感觉不错。我们发现摄像头、网络通话、商业系统处理薪资单和其他一些无关控制的工作,这些会引起对控制服务的拒绝。IT专家观察网络性能,发现所谓的接近实时对于控制很不合适。300到500ms的延时,对接受一封邮件或打开一个网页是可以忽略不计的。但是对于控制信号和安全信号来说,300到500毫秒的延时就是一个灾难。通常,对于IT人员可以接受的带宽饱和度和利用度,对控制来说就完全不可接受。”
Staggs告诫说,一个没有恶意的人也可以对基础设施造成破坏,这是因为“额外搭建一条通道是昂贵的,而且在原有的设备上增加基础设施也是很困难的。但是你确实需要明白信息来自于哪里,将要流向哪里,然后相应地铺设网络。保持控制信号不在商业网络内流动,反之亦然。不要使用同一个通道,这不是一个好的尝试。”
缺乏简易设备监控和报告异常行为
这包括不完善的或不成文的审核方法。Invensys公司负责控制系统安全性的商务开发部经理Ernest Rakaczky说:“开发一种工厂控制系统保护方案,需要一种能在工厂网络层和商业网络系统中间保证网络安全性的新技术。我们可以在系统上搭建很严密的控制层,同时在技术允许的情况下满足商业网络的不间断运行,但这只在逻辑上说得通。”
Verano公司的市场主管Todd Nicholson补充说:“工具的范围很广泛。风险减弱工具包括外围保护(防火墙、杀毒软件、入侵防护和内容过滤等等)、网络入侵监测(扫描网络入侵、未授权设备、传输层级的变化等等)、主机入侵监测(扫描文件、进程和数据包、监控消息序列、登录失败、移动设备插入、异常退出等等)和性能监控。”
“控制系统设计的独特性也会影响到减弱网络安全风险。例如,控制系统网络安全解决方案必须是完全被动的,从实际的控制应用中提取信息、监控系统性能并且能从前的系统或网络上有效运行。”
方法的不完善也是一个问题。Staggs说:“工具确实存在,而且也在商业网络和IT网络中广泛使用,但是并没有被控制系统完全接受和采用。当前,控制系统确实没有足够的安全能力,在发生问题之后,进行故障跟踪。”
Singer同意但并不完全肯定,他相信眼见为实:“有一些工具已经开始出现,但是通常是‘IT相关的工具’,由IT专家开发、针对IT专家、只用于传统的IT系统,对控制也不一定必要。”
在主机上安装不适当的程序
更重要的是,控制系统需要安全有效地控制流程。Stauffer说:“唯一必要的应用就是和控制直接相关的程序。额外的软件如e-mail、游戏和播放器都不是必要的,并且会给系统带来漏洞。为了强化系统,要删除所有不必要的应用并尽量避免安装新程序。只要控制系统与外界进行数据交换,非法程序就随时有可能被引入。”
Guhr回忆道:“一个客户发现工作站变得缓慢,而且找不到到底哪里出了错误。后来的故障追踪结果显示这是由连在工作站上的电视引起的。”
不够精细的控制系统软件
Singer指出:“给系统带来问题一些最常见的原因就是糟糕的编码,例如使用静态缓存或者数据库,这很明显带有漏洞。通常,开发人员在写好代码之后依靠某种‘工具’来分析,这就意味着漏洞的监测被局限在所使用工具的能力范围之内。今天,编码规则和书写安全代码是可行的规范,应该被严格遵守。最终用户,系统集成人员和顾问应该坚持交付测试、查看编码标准。”
Steinberg警告说一些漏洞总会存在:“没有方法可以从系统中移除全部的代码漏洞,测试结果也不一定都可以立刻分辨优劣。最好的减少潜在故障的方法是降低程序的复杂度,严格地对操作系统和应用的代码进行复查,并尽可能地避免主观臆断。考虑到成本和时间,使用两组团队编写不同的程序是可行的,可以尽量避免产生同样的逻辑错误。”
未授权的命令和控制数据
Staggs指出:“现在,不是所有的控制器都可以鉴别到底是谁在做改动,然后再由控制器对相应的用户进行授权,准许这种改动。在大多数控制系统中,这个安全步骤是由控制器的上层机构完成的。这就给控制器留下了弊端,而且这也是为什么需要进行多层保护的原因。你已经知道了控制器位于安全基础设施的下层,其上有多层保护。如果你不那么做,你的控制器就要暴露于网络之中了。”
Steinberg强调了人员管理:“当涉及到鉴别命令和控制,现在唯一的办法就是人工鉴别。对于 问题分析、指令序列和通讯流尤其如此。合理的制度、练习和流程会节省下对命令基础设施重新评估更换的时间。”
下一步
对所有这些病端都有减轻策略,从软件包到改变接口环境不等。(NERC文件的网络完全版本将每一种病端归纳为三层策略)。重新回到文章开篇的论题,技术解决方案只占了所有方法的20%。其他80%包括常识和规范人员行为。这才是更大的挑战。
更多的弊病减轻策略
NERC 和CSSWG 感谢美国政府能源部国家SCADA监测中心(NSTB)发布的弊病减轻策略的最初版本。今年下半年,下一个版本将会发布,增加对这些弊端详细描述。这里提到的弊病减轻策略的完全版本将会刊登在下面的网站上:www.esisac.com/library-cip-doc.htm
翻译:陈廷炯
文章编号:070801
发送短信“ 文章编号+ 评语代码” 至13816124995,告诉我们您对此文的意见。
1- 很好,有很高的参考价值
2- 一般,有一定的参考价值
3- 不好,没有参考价值
