随着新一年的到来,发电厂和大型电力企业对网络安全的重视程度也迈上了一个新的台阶。NERC CIP(北美电力保障组织,关键基础设施保护)条例的生效意味着电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。一旦有人违反了条例中的要求,就会被处以巨额罚款。
而许多行业外人士也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规,而且是越早越好。在过去的一、两年中,工业网络安全经历了迅猛的发展。大约一年前,美国中央情报局(CIA)的一份报告中记录了这样一起事件:一项勒索行动中,一部放置在海外的设备被网络黑客成功破坏。严重黑客攻击(如图所示)的性质,已经从单纯的娱乐,扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。我们必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
NERC CIP条例自2002年颁布以来,经常有人将其执行效果与那部在执行上充满混乱的Sarbanes-Oxley (SOX) 法案相比较。艾默生电力和水力部门的SCADA及安全业务发展经理Eric Casteel承认,两者在执行效果上有相似之处。他说:“SOX法案颁布之后,相关的指导很少而且对该法案的理解差异很大。NERC CIP标准颁布之后,情况也是如此。有些客户正在走高质量线路,并希望采取最佳做法,以求在审查中获得‘A’。而有些客户则只想拿一个‘C’了事。更有些工厂的相关人员还会以‘我们不属于关键资产’为理由进行搪塞。如果他们的工厂没有停电启动设施,同时也不是重要的兆瓦级发电站,那么他们就可能以此作为理由。但是从整体来看,一组电网的整体安全性仅等同于其中最薄弱部分的安全性。在这种情况下,标准条例监管机构会对这些企业下达强制命令:每个发电、传输和配送部门,不论是否属于关键资产部门,都必须履行这些条例。”
黑客能够以各种手段和动机闯入你的系统。他们的特征具有普遍性,但也有特别之处。
要抵御业余爱好者的入侵并不困难,但是若想抵御训练有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。
从何入手?
如果你是从事电力或其他行业工作的,那么你应该如何在你的DCS(集散控制系统)、SCADA(监控与数据采集系统)、或其它工业控制网络中实施基本的网络安全措施呢?通常在一个项目开始之前,应该首先对当前的情况进行一次评估,尤其要对网络中的所有设备做一次清查。你需要弄清楚设备是怎样连接的,以及设备上运行着何种软件。如果你希望找出黑客从外部进入系统的方式并建立起适当的屏障,那么这就是你要做的第一件事。
“用户对他们系统的实际架构和连接方式的认识往往非常肤浅,”西门子能源与自动化集团过程自动化系统市场营销经理Todd Stauffer说道,“很多设备通过直接或间接的方式连接到控制网络中,而生产过程负责人几乎无法控制它们。因此,相关人员首先要做的事情之一,就是确认系统的实际架构。应该说,实际架构很可能与他们想象中的大相径庭。可以肯定的是,相关人员在确认系统架构的过程中几乎总会发现意想不到的连接。”
艾默生过程管理的数据管理解决方案高级顾问David Rehbein,在Microsoft任职期间,从事了很多年网络评估工作。他也认为进行评估是关键的第一步。 “在系统清查过程中,你可以发觉网络上的每个IP地址,一些IP地址往往是在无人知晓的情况下悄然出现的。有些人连进网络、在上面放了点东西,却忘了告诉管理员(IT)。于是,你的系统上就有了一个非法客户端或服务器。如果你对它的存在一无所知,那么你就无法知道它是否打了正确的安全补丁。你更无法知道它是否安全,有没有运行查毒软件。
了解你的连接
独立的控制系统很容易保护,但这样的系统已经很少存在了。如果管理员要了解工厂当前的情况,那么他获取信息的最简单方法就是查看控制系统。这样的话,控制系统就要连接到公司的网络中,而公司网络毫无疑问是连接互联网的。如果这类连接没有得到很好的保护,那么就可能成为了一个主要的突破口。控制系统与公司网络结合得越全面,潜在的突破口就越多。这就是所谓的攻击面积。
Rehbein回顾了一个他在微软工作时参与的项目:“我们一天就完成了第一次评估,因为那是一个非常简单的连接。他们没有把工厂网络连接到其他地方,能够进入该网络的唯一方式是进到建筑内部。与这种情况形成鲜明对比的是:有些人希望和客户或是位于瑞士的公司IT部门分享项目清单或者目前的生产水平。这就需要直接的互联网连接,这也为其他任何人进入你的系统打开了方便之门。
出于商业目的的连接会可能会招来更多潜在的攻击,这给操作人员和控制系统带来了更多的压力。霍尼韦尔过程解决方案开放系统服务的全球项目经理Shawn Gold担心各企业正在失去自行处理问题的能力。日益依赖外部支持就意味着增加突破口。“任何与外部世界的连接都是有风险的,”他警告说,“但是为了获得有帮助的服务和资源,你又必须连接到外部,这在当今的经济环境下更是如此。你可能已经记录了所有的连接,这是一件好事。但也会有潜在的未被记录的连接,或为应对紧急情况而特设的连接,可能造成安全风险。因此你必须知道在紧急情况下该做些什么,以及在遇到困难时,如何保护自己。”
监控软件
除了连接之外,你还需要知道网络上有什么软件。这一点至关重要的,主要的原因有两个:一些软件存在可以被黑客利用的漏洞;编写不良的程序可能会引起内部问题。
“每次增加软件的同时,你也增加了被攻击范围。” 霍尼韦尔过程解决方案的全球安全架构师Kevin Staggs建议道,“你安装的一些不必要的软件可能会与其他一些必要的控制软件形成冲突,导致系统失灵。有些故障甚至是你无法看到的。有时候,软件在编写时的错误会造成内存溢出。我们发现一个反病毒系统补丁里有内存溢出,而运行该程序的控制系统在出现内存不足前大约能运行35天。到那时候,系统就会出现严重的减速或者显示警告,而操作人员会不知所措。”
Staggs补充说,这些有问题的程序可以产生和黑客引入的恶意软件同样的后果。如果软件没有被你的控制系统供应商完全核实,那么就可能导致隐性冲突。他建议:“你应该遵循一个非常良好的变化执行过程。在你执行一个变化之前,务必先检查其基本的性能;在执行变化之后,立刻再检查一次,并观察一段时间。如果你严谨到这种程度,应该就能够侦测到任何可能发生的问题。”
当你了解了自己网络的情况之后,如果出现了问题,你就会知道是否需要处理它了。西门子的Stauffer提到,白帽(white hat)组织发布了他们在公用软件平台上发现的漏洞,敦促供应商修正它们,并警告说:“他们没有意识到,他们的这一举动是在为系统添乱,当传统系统的漏洞被公布在互联网上供所有人浏览的时候,相关人员不得不去做那些他们原先不准备做的事情。这足以告诉黑客,对于一个给定的系统应该从何着手实施攻击。你还打算通过隐藏漏洞以保证安全吗?忘了它吧。你的系统弱点早已经被公布在网上了。”
咨询你的供应商
你可以采取的一个最简单方法,就是向最初为你打造系统的供应商进行咨询。大多数公司会提供指导、案例研究、最佳做法以及根据积累的经验得出的其他意见。
网络安全还包含了许多方面,但在此处讨论并不合适。人事政策,外部管理收购,实体安全,纵深防御等等,都会对网络安全策略产生影响。许多组织和公司为工业系统提供了网络安全资源。如果你希望对此作深入研究,那么最好看一下这篇文章的边栏。你应该始终牢记,没有解决一切的答案,也没有绝对的安全。你能够指望的最好情况是你的保护等级强于攻击者的攻击力度。