摘要：如今正在運行的過程控制平臺中，極少一部分安裝了內建的網絡安全保護模塊。大部分平臺都出現(xiàn)在互聯(lián)網大規(guī)模普及之前。這些系統(tǒng)能否經受住當今各種威脅的沖擊呢？　　在過去若干年中，網絡安全已經成為了一項核心問題，它的受關注程度似乎在與日俱增。新的IT 以及工業(yè)控制系統(tǒng)平臺整合了改進后的安全功能，然而工業(yè)界面臨的問題是：大量控制系統(tǒng)在網絡安全措施推出之前就已經投入運行，許多還是在互聯(lián)網大規(guī)模普及之前就已經存在了。如果這些系統(tǒng)缺乏適當?shù)姆烙胧诳途涂赡芡ㄟ^它們與外圍網絡的連接路徑侵入系統(tǒng)，并實施各種破壞。我們面對的問題是：能否為老式系統(tǒng)提供充足的安全保障？　　Invensys Process Systems的首席安全架構師Ernie Rakaczky說：“一般而言，一套控制系統(tǒng)經過采購、安裝、組態(tài)之后一旦投入使用，在之后20年左右的時間里就會被完全遺忘。多數(shù)情況下，這只是控制工程師的一般看法。在過去的5到10年中，這樣的問題層出不窮。這些早期的控制系統(tǒng)中，許多都不具備網絡連接功能。它們的設計目標只有一個：控制一臺閥門的開關或是測量液位，因此它們確實不需要連接到網絡。”　　但問題是，世界不可能一直停滯不前。隨著信息技術的發(fā)展，控制系統(tǒng)用戶越來越渴望把信息提取出來并為外部用戶提供連接。Rakaczky補充說：“傳統(tǒng)控制系統(tǒng)只能夠實現(xiàn)過程控制，而當今的控制系統(tǒng)可能擁有50%的控制功能和50%的信息交換功能。在這種趨勢下，我們開始將控制平臺數(shù)據(jù)提取到歷史記錄、工廠網絡或企業(yè)網絡中，同時增加一些優(yōu)化方法、采取更謹慎的做法并使用一些自我保護的功能?！?b>連接是否安全？　　有些專家固執(zhí)地認為，只有切斷連接才能稱得上真正安全的連接。Kevin Staggs是國際注冊信息系統(tǒng)安全專家（CISSP），同時也是Honeywell Process Solutions的工程師兼全球安全架構師。他說：“幾乎所有的私有系統(tǒng)都擁有自己的網絡。由于這些系統(tǒng)既沒有設計成自我保護結構，又缺乏其他保護措施，加入任何的連接點都可能帶來嚴重的威脅。如果你試圖接入這些早期的系統(tǒng)，那么就必須完全了解接入點的位置，并且清楚這些接入點采用了哪種接入技術。許多情況下，這些接入點都已經過時了?！薄　〉?，如果你的防御手段是將系統(tǒng)與外界隔離的話，那么你必須確保這樣的隔離是完全的、徹底的，才能起到效果。Siemens Energy & Automation的過程自動化系統(tǒng)經理Todd Stauffer說：“用戶往往認為孤立的網絡是安全的，并且把所有雞蛋都放在一個籃子里。他們堅信，孤立化必將帶來安全性。但在許多情況下，總有人會把外部的記憶棒插入系統(tǒng)，或者臨時接入一臺筆記本電腦，又或者臨時連接另一組網絡。這些情況都會導致孤立網絡出現(xiàn)混亂。除非你采取了措施阻止用戶將記憶棒、CD或DVD插入到隔離區(qū)域，一般情況下你都必須在孤立網絡中加入安全保障措施。否則，當遇到攻擊時，你的系統(tǒng)將變得不堪一擊。”系統(tǒng)的多個時代　　老式控制平臺的時間跨度很長，有些延用至今的平臺采用的還是最早期的DCS配置方式。我們可以將所有投入實際應用的平臺分為兩大類：采用私有網絡的和基于Microsoft Windows架構的?！　≡缙谙到y(tǒng)的操作人員會自我安慰說，即使一名黑客能夠侵入系統(tǒng)，面對這些過時的技術，他也會變得無所適從。難道這確實能夠成為一種防護策略嗎？Exida的高級顧問John Custimano將這種策略形容為在稀薄的冰面上滑行。他奉勸說：“如果某人進入了一套老式控制系統(tǒng)，并且掌握著系統(tǒng)的命令結構，那么他就能輕易引起系統(tǒng)混亂。這與黑客入侵的區(qū)別在于，黑客還必須具備一手侵入老式系統(tǒng)的高超技能。一旦你做到了這一點，沒準就能夠執(zhí)行任何你想要執(zhí)行的命令?！薄　∥覀兠媾R的問題是，在過去幾年中，潛在的黑客高手人數(shù)很可能大幅增長著。反入侵系統(tǒng)提供商Top Layer的安全策略工程師Ken Pappas警告說：“如今我們擔心的是：受經濟形勢的影響，公司解雇了大量員工。這些心懷不滿的員工已經掌握了系統(tǒng)運行的內部知識。他們聯(lián)手之后，既能夠找到進入網絡的途徑，又知道進入網絡之后該做些什么。他們制造混亂的能力遠遠超過了那些僅僅知道如何侵入網絡的普通黑客。事實上，不是黑客變聰明了，而是出現(xiàn)了一類新的黑客——前任員工?！?b>因此，他們需要被特別關注。　　Staggs也對此表示贊同，他建議：“早期的Windows系統(tǒng)不應該被連接到商用網絡中。毫無疑問它們必須經過隔離，而且你必須掌握它們與商用網絡交換數(shù)據(jù)的路徑。你需要一款經過嚴格配置的防火墻，在可能的情況下還應該通過一個現(xiàn)代化的服務器交換數(shù)據(jù)。于是，你可以為這臺較現(xiàn)代化的服務器提供保護，把它作為防御設備。多數(shù)情況下，保護技術會面臨過時的問題，因此你需要時刻更新到最前沿的技術?！薄　　斑^時”一詞在本文中指的是任何一代無法繼續(xù)獲得技術支持的Windows。Windows 2000能夠獲得支持直至2010年6月30日。任何比它早的版本都只能被劃分到無保護的范疇內，而且無法獲得安全更新。你能夠做些什么？　　　　Sean McGurk是美國國土安全部（DHS）的控制系統(tǒng)安全計劃（CSSP）總監(jiān)。他警告說：“被動的安全策略不適用于當今的互聯(lián)網環(huán)境。目前，我們已經對那些服役多年的設備的弱點作了分析。結果顯示，大多數(shù)（46%左右）弱點存在于控制系統(tǒng)網絡和商用網絡之間的DMZ(隔離區(qū))?？紤]到這一地帶的連接相當重要，如此高的比例是我們無法接受的。你需要找到一種守護這些信道的辦法?！薄　∵@種思路毫無疑問是正確的，但是知易行難。如果某件東西之前從未有過保護方案，又脫離了生產商的支持，那么要保護它就不是一件容易的事。Industrial Defender的市場主管Todd Nicholson解釋說：“當前環(huán)境下，我們面臨的挑戰(zhàn)是每個人都希望得到安全防護，尤其是在連接到外部世界的情況下。但是這種環(huán)境——包括硬件、軟件、操作系統(tǒng)——又是早期遺留下來的。于是，我們無法在不嚴重影響性能和實用性的前提下，將反病毒軟件之類的現(xiàn)代安全技術應用于工廠系統(tǒng)層面。你所面對的環(huán)境是如此脆弱，以至于你在制定防御策略時，不得不反復斟酌?！薄　”M管如此，可行的策略還是有的。本文不對這些策略的細節(jié)一一進行闡述，但是側邊欄提供的資源能夠幫助我們啟動這些流程。大部分策略都需要你首先對當前的系統(tǒng)架構作深入分析，并且對控制網絡上運行的所有軟件進行分類。另一個主要步驟是尋找所有的外部連接，這一過程對那些一度茫然不知所措的公司而言往往具有開拓視野的作用。Staggs建議用戶從升級那些過時的設備入手，當然尋找連接的過程也不可能止步于此。他建議說：“為了找到隱藏的連接點，你應該查看OPC、串口網關、調制解調器、安全的系統(tǒng)連接點、串口Modbus或IP，甚至是Foundation Fieldbus或者Profibus?！?b>遷移？正是時侯　　用戶是否有必要為了網絡安全進行平臺遷移呢？最終的回答可能是的確有必要遷移到一套具有更高安保水平的平臺。這當然不是一件小事，尤其是在經濟衰退的大背景下。Siemens Energy & Automation的遷移市場經理Ken Keiser說：“我想，大多數(shù)實際操作系統(tǒng)的工程師都會意識到風險。但是，他們能否將風險量化并作為平臺遷移的理由又是另一個問題了?！薄　eiser說：“我不知道他們是否能夠將問題向管理層闡述清楚。雖然他們意識到了風險，但是要將安全問題闡述清楚遠比說一句‘平臺再也無法工作下去了，會影響到生產?！瘉淼美щy。用戶傾向于先對系統(tǒng)中最脆弱的部分進行升級，這一部分就是人機界面。與連接到一臺遠程設備相比，自頂向下地連接一臺控制器顯得更容易一些。”　　CoreTrace營銷副總裁J.T.Keating認為系統(tǒng)遷移是一種過于緩慢的做法。他建議說：“如果我們出于網絡安全方面的考慮希望對早期系統(tǒng)作升級，那么替換這些系統(tǒng)往往是不現(xiàn)實的，至少在系統(tǒng)運行時是不現(xiàn)實的。安全問題是當前就要解決的，替換是將來才會被考慮的。由于需要替換的系統(tǒng)往往相當關鍵，替換計劃必須制定得相當周密。在2009年，投資人的要求往往是‘因地制宜’進行生產，而非拋棄或替換大量的基礎設備。從能源角度考慮，我們也應該盡可能高效地進行生產?，F(xiàn)實情況是，對于那些關鍵的系統(tǒng)而言，幾乎不存在增加安全性的完美方案。”　　那么政府規(guī)范是否會對大規(guī)模的系統(tǒng)更換起到強制作用呢？NERC（國家電力公司）是否會有新的要求呢？McGurk指出，80%的關鍵基礎設施是私有性質的，即使是NERC也只能覆蓋大型能源工業(yè)的一小部分。面對現(xiàn)實，他悲觀地說：“長期以來，一種心態(tài)一直彌漫在我們周圍，就是用不遵守規(guī)章制度的方式否認安全的重要性?！?b>人為因素        　　目前為止，我們的討論都集中在技術解決方案上，但是人為因素也同樣存在。只有當相關人員都參與流程時，他們才會知道如何保障系統(tǒng)的安全。一個普遍的人為問題是：早期系統(tǒng)缺乏相關的文檔資料。與流程中的其他部分一樣，如果一套系統(tǒng)的服役時間達到十年甚至更久，那么用戶可能無法得到反映實際運行狀況的現(xiàn)成文檔。用戶往往需要從不成文的系統(tǒng)變化中找尋系統(tǒng)的薄弱環(huán)節(jié)?！　icholson經過觀察后說：“不僅是在工廠環(huán)境下，在企業(yè)IT中對變化進行管理也極具挑戰(zhàn)性。例如，在你為外部用戶開啟了一個端口之后，你如何才能夠有效地對系統(tǒng)的變化進行追蹤和監(jiān)控呢？有些人可能會忘記曾經打開過端口，從而導致系統(tǒng)被暴露?！薄　att Luallen是Encari的合伙創(chuàng)始人兼Control Engineering網絡安全博客作者。他強調了處理問題時步驟的重要性。他 說：“充分而且有效的問題處理步驟對 于正確的信息安全項目而言是必不可少 的。這些步驟包括對事件的認定和控 制，對根源問題的認定和排除，對相同 事件的預防，建立調用樹，將變化寫入 相關文檔幫助區(qū)分變化是否經過認證， 以及適當?shù)纳壓蛨蟾娉绦??！薄　uallen還說：“我們經常會看到用 戶對控制系統(tǒng)的軟、硬件作了改變而沒 有寫入文檔、發(fā)布通知，也沒有進行統(tǒng) 一驗證。從安全角度考慮，這種做法本 身就是違規(guī)的。但是，這種狀況無法簡 單地通過技術手段解決。許多情況下， P LC、RTU、中繼器和其他控制系統(tǒng)軟、硬件無法對控制方面的修改提供驗 證流程。”　　只有當相關人員理解了步驟在保障 工廠安全方面的地位時，它們的重要性 才得以體現(xiàn)。DHS的報告顯示，社會工 程是受攻擊最多的對象。McGurk感嘆地 說：“我們見證了太多的系統(tǒng)弱點和盲 點是由于用戶不合理操作導致的。這些 用戶沒能理解安全防護的重要性。”　　Idaho國家實驗室DHS CSSP經理Marty Edwards指出，相關人員的思想意識需要 轉變。他說：“無論是在控制系統(tǒng)領域、 IT領域還是實際的安全領域，我們在安全 問題上遇到的最大挑戰(zhàn)是如何樹立起安全 意識。無論你的設備來自何方，你都應該 建立起這種意識。你需要把它融入到你的 性格中，加入到你的訓練中?！薄　dwards說：“從安全角度看，流程 工業(yè)領域接觸這種意識已經有一段時日 了。在沒有考慮安全問題之前，你是不 會開工的。我們必須將這樣的意識深入 腦海，在做任何事之前，都需要考慮一 下安全問題。我們是否可以在用戶會議 上拿出一份包含了所有控制系統(tǒng)內部細 節(jié)的網絡結構圖？每個人都能夠快速地 轉換意識，而且這樣做比更換設備廉價 許多。”