安全控制系统：你需要了解什么.doc

固然广泛应用的Internet网络技术已经带来了效率和生产力发展的新机会，但它同时也带来了很大的风险，比如网络系统易受攻击。对控制工程师和治理职员来说，在满足普通贸易需求的同时，如何隔离和保护监控和数据采集(SCADA)系统免受Internet的攻击，这是一个关键的题目。在产业中利用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)，这些我们都称为SCADA系统。 伴随着自动化控制系统与基于Internet网络的IT贸易系统之间的连通性越来越多，最棘手的便是SCADA系统的安全题目。特别明显的缺点是SCADA系统的最初工程设计并未预想到与Internet网络的连接，为什么呢？SCADA系统是从私人的产品发展而来的，它应用开放式的、基于Internet网络的技术，具有众所周知的操纵性能和安全缺陷。为了达到因经营规模扩大而得到的经济节约，对于多种重要基础设施，现在销售商通常应用同一系列的控制系统元件产品。威胁的存在在很多行业中，已经发生了对SCADA系统的攻击，比如在油/气、电力、水、造纸和制造业的控制系统都遭受过影响。这些行业中，多数要求具有保密性。但是一些已经被泄露，其中包括： (1)、在亚洲损失了1000MW的水电； (2)、在澳洲的一个污水处理厂，由于排出阀的数据被计算机黑客随意删改，导致开释了数百万公升的污水； (3)、计算机网络蠕虫病毒Slammer和Blaster攻击了很多电力和供水设备的控制系统，包括美国俄亥俄州的Davis-Besse核动力设备，以及其它的产业制造业的控制系统。 安全攻击是存在的，威胁也是存在的，现在是回顾SCADA安全要素的时侯了。 为了使SCADA系统安全运行，它必须和外界的消极影响相隔离。这些消极影响可能包括从一个工程师需要的大量数据到由电脑黑客的蠕虫病毒产生的大规模的电子邮件传输。 为了实现这个隔离，所有和SCADA原函数关联的机器必须依靠一个公共的网络工厂控制网络(PCN)，应用一个内部的防火墙把它和其它的网络保护起来(图1)。 图1： 控制网络隔离（工厂网络应被隔离并用防火墙保护）建立防火墙是为了治理防火墙内部机器和防火墙外部机器的连接。可以编写防火墙的规则答应任何网络通讯，或是对指定的设备和应用限制网络通讯。 需要向SCADA系统发送数据的系统类型将根据应用而变化。实验室信息系统(LIS)就是一个很好的例子，在现代的精炼厂操纵中，它和精炼厂的SCADA系统周期性的交换有关产品质量和产量的数据。在假定情况下，我们把称得上网络的LIS看作工厂信息网络(PIN)。 为了和SCADA系统软件代理商发生数据转换，需要与LIS软件通讯或建立一个连接。新的防火墙规则应明确识别LIS系统，因此仅仅它能应用这个规则(图2)。 图2：由工厂网络获得数据（通过网络交换数据之前，建立安全协议）很多公司发现在数据进进SCADA控制系统进行计算之前，答应职员外在的检查与确认是最优方法。为了完成他们的职责，几乎每个雇员都需有权使用企业电子邮件和Internet网络。进行两个网络连接时不慎将病毒或者计算机网络蠕虫引进到控制网络，便会出现很多的题目。防火墙规则必须是来自控制网络类型的访问，也将开放控制网络，使其布满由病毒和计算机网络蠕虫产生的大量的有害数据，即便控制网络上的计算机没被感染病毒。应避免类似事件的发生。 为了给操纵员提供企业电子邮件和Internet网络功能但又不危及PCN网络的安全，和PIN网络分开的连接应该对所有地点工作的操纵员都是适用的。仅仅连接到PIN网络的工作站能提供操纵员访问电子邮件和Internet网络功能，分离PCN网络，以便其免受来自Internet的危险(图3)。 图3：操纵员进进E-mail和Internet保持畅通对远程设备的软件上载和系统诊断，大多数销售商更喜欢应用调制解调器进行访问。在这种情况下，在要求服务之前，与调制解调器连接的电话线应该是畅通的，销售商一旦结束连接，线路也应该是畅通的。当销售商需要进行诊断时，就适当的安全策略和安全实施而言，假如公司在现场有工作职员，这可能是一个可以接受的方法。 对那些并不是现场24/7小时都有雇员的公司，这可能是一个主要争论点，可选择的折衷方法包括：回拨功能的调制解调器可以对一个指定的销售商电话号码回拨，口令保护功能的调制解调器，加密功能的调制解调器，以及安全套接层协议虚拟专用网络(SSL VPN)连接。 通常，回拨功能的调制解调器是不切实际的，由于它要求销售商始终为同一个电话号码提供服务。假如你的电话线能够一直保持畅通，密码保护的调制解调器也许是保护销售商访问的最大本钱效益的方法。当设置多次注册失败之后(通常选择3次或者4次)，密码保护的调制解调器应该支持帐户失活，并能处理复杂的密码。 加密调制解调器的主要目的是保持在两个调制解调器之间的数据通讯是机密的。在这样的情况下，这个方法是吸引人的，由于同一个制造商必须使用调制解调器建立一个连接并共享同一个密码钥匙。这就大大减少了未授权职员连接到这个SCADA系统的机会。 深层防御策略 另外一个以策略制胜电脑黑客的方法是在你的网络DeMilitarized Zone（DMZ）隔离区设置一个SSL VPN网络应用，建立DMZ隔离区就是通过一个防火墙隔离两个网络。SSL VPN网络安全技术应用的访问规则能够限制销售商对他们负责的特定设备的访问。固然这种方法的本钱比较高，但是增加了安全系数，由于你可以通过单一的网关切断调制解调器，并对所有的销售商进行中心治理控制。对那些在控制网络上从来都不答应销售商访问的设备，除非在进行维修服务时明确的授权他们，而且在他们的操纵被监控的情况下，这是一个最优方法。 在不同的网络上，SCADA数据被相关的系统需求，比如早期提到的LIS系统。工厂治理职员通常想要一个高层次的控制视窗观看发生了什么，有时调整代理商要求有权访问的数据，比如来自监控系统发出的数据。对满足这样的贸易要求，这个模型工作最好，它和我们应用的从LIS系统到SCADA系统的数据传送很相似，只是这次的传送是颠倒的。 这个模型需要被SCADA系统收集和计算的数据“副本”，这个副本是在工厂和公司网络较低的安全等级建立的。能按照要求建立多个等级或者副本。就副本来说，并不意味着精确的复制，但是以SCADA数据库为基础的有相关数据的数据库：5分钟的均匀或者每小时的均匀，而不是一个变量的每次时间标记情况。 为了保持控制网络的安全性，数据应该增加从控制网络到下一个较低层的安全性，这个较低层经常是工厂网络。假如另外的层需要安全性，比如合作伙伴或者治理机构需要的数据，那么应该增加从工厂网络到下一个较低层的数据安全性。 从历史数据上说，应用专利代码已经实现这个模型，但幸运的是，围绕这个概念，销售商已经开发出了贸易上可利用的产品，比如Wonderware和OSI PI数据库。 尽可能避免远程访问 应该避免操纵员的远程访问。一旦建立了远程访问(除了销售商推荐的访问)，要保证PCN免受电脑黑客、病毒、计算机网络蠕虫和其它的恶毒代码的攻击是很困难的。 假如必须应用远程访问，那么首先可供选择的数据测定方法是从操纵员的远程位置到PCN网络装设一个专用线。倘若使用一个计算机专门进行控制功能也是非常公道的。假如操纵员使用他们个人的家用电脑，那么在某些方面将受到感染或者危及安全的可能性也会增加，而且可能危及控制网络的安全。 假如SCADA的控制功能是激活的网络浏览器，那么在DMZ隔离区设置一个SSL VPN网络应用是一个切实可行的方法，它可以对操纵员和PCN网络之间的连接进行加密。为了增加安全性的附加测试，操纵员需要高速Internet网络访问，也需要对附加的网络访问采取措施，比如时常的到期、多次的不成功的登录上网之后禁止复杂的密码。这种解决方案的附加值是：除非你答应操纵员上载文件到SCADA系统，你已经在操纵员的远程计算机上保护SCADA系统不受恶意代码或者病毒的攻击。 假如上述两个可选择的方法都是不可行的，那么第三个方法是建立普通的众所周知的3EDS(数据加密标准)或者AES(高级加密标准)的IPSec(IP保护协议) VPN网络。IPSec是访问Internet网络进行封装通讯的相对新的方法，3DES和AES是进行加密信息包公认的加密算法。那些建立的隧道几乎能保证不让电脑黑客侵进。 比如选择SSL VPN网络远程访问技术，这个方法要求在DMZ隔离区有一些昂贵的硬件。和SSL VPN网络远程访问不同，通过远程计算机，IPSec VPN网络远程访问可能使控制网络受到恶毒代码或者未授权访问的攻击，除非在操纵员应用的计算机上保持严格的控制。 当操纵员的实际位置不在一个安全的控制室时，对于操纵员的鉴定，需要三个要素。前两个要素是用户ID和密码(操纵员知道这个密码)。第三个要素是确认包括USB接口激活标记、智能卡、或者有生命特征的ID比如他的声音或拇指的指纹。 无线通讯 固然在精炼厂或化工厂的SCADA操纵员设置可能不需要配置无线通讯系统，但对于某些应用，比如生产现场位置或远程的管道泵站，无线通讯几乎是必须的。在一些情况中，比如从地理位置上分布式的传感器到SCADA系统，几乎没有其它本钱效益的方法来反馈数据点。 在他们现成的产品中，配置简单轻易。无线站点(WAPs登陆PCN网络的无线站点)是一个安全的噩梦。他们能接收来自任何方向的信号，假如使用天线来加强信号强度，客户端能在很远的地方接收。任何一个有膝上型电脑或PDA，以及便宜的传送器和天线的人就能够有权访问你的控制系统。 有几种方法可以使WAPs安全可靠。最不安全的方法是有线对等保密(WEP)。说它缺少安全是由于它在无线客户端传感器间的加密通讯是薄弱的，而且在数小时内就能被破坏。 在保护你的无线访问时，动态WEP能做得更好。当一个随机的字节传送之后，动态WEP能改变WEP的加密钥匙，因此使那些试图破坏WEP的企图更困难。事实上，在一个无线SCADA系统环境中应用动态WEP应该是必须的。 一个更安全的方法是应用动态WEP加密，在所有的无线传输上，它将强制所有来自WAPs的通讯都通过一个IPsec 3DES加密驱动程序。但是，这可能是昂贵的，而且对于这个方案通常是不需要的。 第二步应该采取的措施是应用一个WAP，让你指定答应和它通讯的机器地址(MACs)。结合动态WEP，对于这种类型的环境，对指定的MAC地址访问进行限时经常是足够安全的。 通过合并以上的措施，假如可能，对那些未获得授权而通过WAP访问你的PCN网络，使用一个行之有效的方法是困难的，但是我们没有涉及到电力的干扰，它可能妨碍传感器数据的有效性。不管是来自恶毒源码还是自然发生现象的干扰，这仍然干扰从传感器到SCADA系统的信号，危及控制的安全。为了弥补这个题目，系统说明符应该考虑配置定向的天线、微波或其它的技术来增强来自传感器信号的强度，以保证WAP仅仅接收来自传感器的信号。 安全的策略、标准、指导方针 标准是指定的操纵或程序，