在过去若干年中,网络安全已经成为了一项核心问题,它的受关注程度似乎在与日俱增。新的IT 以及工业控制系统平台整合了改进后的安全功能,然而工业界面临的问题是:大量控制系统在网络安全措施推出之前就已经投入运行,许多还是在互联网大规模普及之前就已经存在了。如果这些系统缺乏适当的防御措施,黑客就可能通过它们与外围网络的连接路径侵入系统,并实施各种破坏。我们面对的问题是:能否为老式系统提供充足的安全保障?
Invensys Process Systems的首席安全架构师Ernie Rakaczky说:“一般而言,一套控制系统经过采购、安装、组态之后一旦投入使用,在之后20年左右的时间里就会被完全遗忘。多数情况下,这只是控制工程师的一般看法。在过去的5到10年中,这样的问题层出不穷。这些早期的控制系统中,许多都不具备网络连接功能。它们的设计目标只有一个:控制一台阀门的开关或是测量液位,因此它们确实不需要连接到网络。”
但问题是,世界不可能一直停滞不前。随着信息技术的发展,控制系统用户越来越渴望把信息提取出来并为外部用户提供连接。Rakaczky补充说:“传统控制系统只能够实现过程控制,而当今的控制系统可能拥有50%的控制功能和50%的信息交换功能。在这种趋势下,我们开始将控制平台数据提取到历史记录、工厂网络或企业网络中,同时增加一些优化方法、采取更谨慎的做法并使用一些自我保护的功能。”
连接是否安全?
有些专家固执地认为,只有切断连接才能称得上真正安全的连接。Kevin Staggs是国际注册信息系统安全专家(CISSP),同时也是Honeywell Process Solutions的工程师兼全球安全架构师。他说:“几乎所有的私有系统都拥有自己的网络。由于这些系统既没有设计成自我保护结构,又缺乏其他保护措施,加入任何的连接点都可能带来严重的威胁。如果你试图接入这些早期的系统,那么就必须完全了解接入点的位置,并且清楚这些接入点采用了哪种接入技术。许多情况下,这些接入点都已经过时了。”
但是,如果你的防御手段是将系统与外界隔离的话,那么你必须确保这样的隔离是完全的、彻底的,才能起到效果。Siemens Energy & Automation的过程自动化系统经理Todd Stauffer说:“用户往往认为孤立的网络是安全的,并且把所有鸡蛋都放在一个篮子里。他们坚信,孤立化必将带来安全性。但在许多情况下,总有人会把外部的记忆棒插入系统,或者临时接入一台笔记本电脑,又或者临时连接另一组网络。这些情况都会导致孤立网络出现混乱。除非你采取了措施阻止用户将记忆棒、CD或DVD插入到隔离区域,一般情况下你都必须在孤立网络中加入安全保障措施。否则,当遇到攻击时,你的系统将变得不堪一击。”
系统的多个时代
老式控制平台的时间跨度很长,有些延用至今的平台采用的还是最早期的DCS配置方式。我们可以将所有投入实际应用的平台分为两大类:采用私有网络的和基于Microsoft Windows架构的。
早期系统的操作人员会自我安慰说,即使一名黑客能够侵入系统,面对这些过时的技术,他也会变得无所适从。难道这确实能够成为一种防护策略吗?Exida的高级顾问John Custimano将这种策略形容为在稀薄的冰面上滑行。他奉劝说:“如果某人进入了一套老式控制系统,并且掌握着系统的命令结构,那么他就能轻易引起系统混乱。这与黑客入侵的区别在于,黑客还必须具备一手侵入老式系统的高超技能。一旦你做到了这一点,没准就能够执行任何你想要执行的命令。”
我们面临的问题是,在过去几年中,潜在的黑客高手人数很可能大幅增长着。反入侵系统提供商Top Layer的安全策略工程师Ken Pappas警告说:“如今我们担心的是:受经济形势的影响,公司解雇了大量员工。这些心怀不满的员工已经掌握了系统运行的内部知识。他们联手之后,既能够找到进入网络的途径,又知道进入网络之后该做些什么。他们制造混乱的能力远远超过了那些仅仅知道如何侵入网络的普通黑客。事实上,不是黑客变聪明了,而是出现了一类新的黑客——前任员工。”
因此,他们需要被特别关注。
Staggs也对此表示赞同,他建议:“早期的Windows系统不应该被连接到商用网络中。毫无疑问它们必须经过隔离,而且你必须掌握它们与商用网络交换数据的路径。你需要一款经过严格配置的防火墙,在可能的情况下还应该通过一个现代化的服务器交换数据。于是,你可以为这台较现代化的服务器提供保护,把它作为防御设备。多数情况下,保护技术会面临过时的问题,因此你需要时刻更新到最前沿的技术。”
“过时”一词在本文中指的是任何一代无法继续获得技术支持的Windows。Windows 2000能够获得支持直至2010年6月30日。任何比它早的版本都只能被划分到无保护的范畴内,而且无法获得安全更新。
你能够做些什么?
Sean McGurk是美国国土安全部(DHS)的控制系统安全计划(CSSP)总监。他警告说:“被动的安全策略不适用于当今的互联网环境。目前,我们已经对那些服役多年的设备的弱点作了分析。结果显示,大多数(46%左右)弱点存在于控制系统网络和商用网络之间的DMZ(隔离区)。考虑到这一地带的连接相当重要,如此高的比例是我们无法接受的。你需要找到一种守护这些信道的办法。”
这种思路毫无疑问是正确的,但是知易行难。如果某件东西之前从未有过保护方案,又脱离了生产商的支持,那么要保护它就不是一件容易的事。Industrial Defender的市场主管Todd Nicholson解释说:“当前环境下,我们面临的挑战是每个人都希望得到安全防护,尤其是在连接到外部世界的情况下。但是这种环境——包括硬件、软件、操作系统——又是早期遗留下来的。于是,我们无法在不严重影响性能和实用性的前提下,将反病毒软件之类的现代安全技术应用于工厂系统层面。你所面对的环境是如此脆弱,以至于你在制定防御策略时,不得不反复斟酌。”
尽管如此,可行的策略还是有的。本文不对这些策略的细节一一进行阐述,但是侧边栏提供的资源能够帮助我们启动这些流程。大部分策略都需要你首先对当前的系统架构作深入分析,并且对控制网络上运行的所有软件进行分类。另一个主要步骤是寻找所有的外部连接,这一过程对那些一度茫然不知所措的公司而言往往具有开拓视野的作用。Staggs建议用户从升级那些过时的设备入手,当然寻找连接的过程也不可能止步于此。他建议说:“为了找到隐藏的连接点,你应该查看OPC、串口网关、调制解调器、安全的系统连接点、串口Modbus或IP,甚至是Foundation Fieldbus或者Profibus。”
迁移?正是时侯
用户是否有必要为了网络安全进行平台迁移呢?最终的回答可能是的确有必要迁移到一套具有更高安保水平的平台。这当然不是一件小事,尤其是在经济衰退的大背景下。Siemens Energy & Automation的迁移市场经理Ken Keiser说:“我想,大多数实际操作系统的工程师都会意识到风险。但是,他们能否将风险量化并作为平台迁移的理由又是另一个问题了。”