為工廠做一次網絡健康體檢 全面評估網絡安全風險

工業控制從專用系統向開放式系統的轉變使跨商業系統和跨網絡的無縫整合得以實現，這種整合使控制進一步優化，使商業運營更加靈活。然而，也恰恰是由于系統之間存在交互工作，這些系統才更加容易受到攻擊。從病毒、蠕蟲到木馬和數據篡改，各種各樣的網絡威脅對控制系統造成了影響，甚至擾亂了工廠作業。過程控制領域近期的網絡安全事件表明，如果不具備綜合安全策略，那么工業控制系統是十分脆弱的。

　　然而，即使具備了所有的安全策略，有統計顯示工廠工程師所面臨的最主要的威脅并非來自于外部——而大部分來自于工廠內部。

　　超過60%的受訪工程師表示工業安全問題確實來自于內部原因。這并非意味著工廠雇員或者承包商有意使系統暴露于惡意攻擊，安全問題都來自于雇員的無意之為，因為他們并不知曉正確的安全規程。

　　從上報的惡意事件分析，很多情況都是由惡意軟件導致，包括病毒、蠕蟲和木馬，它們并非專門針對受影響的工廠。其他的情況呢？剩下大多數的安全問題就是純粹的事故，包括用戶失誤或者配置故障所導致。

　　例如，2006年Browns Ferry核電站控制系統網絡上來自于兩家供應商的產品之間產生了巨量數據流，導致控制循環水系統的冗余驅動器失效，進而導致核電站緊急停機。又例如2008年Edwin I. Hatch核電站在對其工廠的商務網絡中一臺計算機進行軟件更新之后發生了緊急停機。

　　保護過程控制系統并非難如登天，實際上它是很容易實現的。將它看做一種健康的生活規律：就像人體需要規律的生活，控制系統亦需要建立規律的檢查和評估機制。通過對網絡健康狀況進行檢查，獲得控制系統性能信息，工廠操作人員能夠判斷采取何種措施才能為系統建立起良好的安全策略。

　　完整的工作規程

　　Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法。實際上包治百病的方法并不存在。醫生無法開出能夠確保健康的藥方，健康是合理飲食、鍛煉、睡眠和控制體重的結果。確保控制系統不易受攻擊不能僅依靠單一方法，而需要依靠多種方法從多個方面抵御攻擊。

　　“Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法，實際上包治百病的方法并不存在。”

　　具有安全網絡的工廠必定能夠達到各種技術、策略和程序的穩固結合以有效應對潛在威脅。這與健康計劃很類似，工廠首先需要定義各種目標，明確當前狀態，然后努力達到既定目標。

　　那么，良好的網絡健康狀況應該是什么樣子的？有些例子還是很明顯的，但是并未被廣泛地落實。例如，供應商的產品通常都有默認密碼，而令人驚訝的是，大多數情況下默認密碼并未被改動而是沿用下去。使用默認的密碼和默認的安全設置就如同在開車時不關車門一樣。

　　其他簡單卻又經常被忽視的步驟包括微軟 Windows操作系統補丁管理和防病毒更新，這些步驟對于確保網絡的安全性至關重要。補丁可以使控制系統保持最新，通常發現新漏洞的同時，新的補丁都會發布。如果不及時更新補丁，即使知道漏洞所在，系統仍舊易受攻擊。

　　過程控制供應商在測評防病毒軟件上也有用武之地，在評估微軟安全升級之類的補丁中他們也應該有所作為。選擇經過評估的防病毒軟件對工廠大有裨益，先進的防病毒軟件必定比同類軟件有見長之處。供應商也可以采用有利于系統安全性的鎖定模式，為用戶提供預設的文件、地址和注冊碼等安全設置，抵御來自惡意用戶和無意失誤造成的惡意軟件攻擊。

　　例如存儲卡之類的便攜式存儲設備的使用方針必須定義并嚴格執行，在USB端口上插入存儲卡能夠避開用來抵御感染的所有網絡安全機制。例如，Stuxnet蠕蟲的感染機制之一就是通過USB存儲卡進入毫無防備的系統。
理解深度防御

　　并非所有用來獲得網絡安全的步驟都顯而易見并且易于理解，特別是當討論深度防御時。構建深度防御的首要前提是構建多層防御體系用來抵御威脅。網絡安全手段怎樣才能實現分層呢？

　　依據ANSI/ISA-99或者IEC 62443標準，網絡安全最佳方式是分層或者分區，這種方法能夠幫助抵御威脅，并能夠阻止病毒在整個網絡中傳播。關鍵的自動化和控制設備應該分在一組，分享共同的安全層級要求。這些區域之間的通訊必須經過受保護和監控的通路來實現，在這些區域之間規范數據的流通以實現更安全的通訊。

　　ISA-99定義了高、中、低三層的安全區。通過分析工廠的風險分析，并考慮到可能出現的威脅的嚴重程度和范圍，每個區域都需要定義安全級別目標。每個區域內的設備都需要具有相應安全級別的能力，當這種能力低于該區域的安全級別目標時，必須使用安全技術或者安全策略來平衡這兩者之間的關系，這有助于降低風險。

　　使用這種方法，網絡安全更加容易管理。通過劃分安全區域，只有在安全級別目標需要調整的時候才會提高安全層級，而這一切都可通過潛在的風險來判斷。

　　基于安全區域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區策略的一部分）。確定那些必定會發生的問題的來源是較為簡單的，因為工廠操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠將區域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護的通路進行通訊。這會阻止問題向其他區域擴散，包括關鍵的控制系統。這種強大的防御能夠搭建一步一步深入的安全策略，在區域內創建更多區。這種機制能夠阻止在其中一個小區域內發生的內部操作人員的失誤在整個區域內蔓延，為多個安全層次搭建防御系統。

　　“全面的評估覆蓋了網絡所有部分，工廠管理人員從而知曉工廠距離工業標準和那些優秀的案例還有哪些需要改進之處。”

　　分層的原則遵循重要性的邏輯排序。分層網絡提供了多層防御系統，并將最關鍵的系統位于最深層。

　　層1：關鍵設備、過程控制器和I/O工作于層1。大體來說，這些關鍵的嵌入式控制器件應該使用控制防火墻與網絡隔離開來。

　　層2：過程控制操作員站點和監管控制工作于此層級中。操作員站點一般就是Windows站點，需要使用高等級的安全模型來鎖定節點，使用基于節點的防火墻并采用專用的網絡技術來限制網絡異常，并考慮到可能出現的威脅的嚴重程度和范圍，每個區域都需要定義安全級別目標。每個區域內的設備都需要具有相應安全級別的能力，當這種能力低于該區域的安全級別目標時，必須使用安全技術或者安全策略來平衡這兩者之間的關系，這有助于降低風險。

　　使用這種方法，網絡安全更加容易管理。通過劃分安全區域，只有在安全級別目標需要調整的時候才會提高安全層級，而這一切都可通過潛在的風險來判斷。

　　基于安全區域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區策略的一部分）。確定那些必定會發生的問題的來源是較為簡單的，因為工廠操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠將區域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護的通路進行通訊。這會阻止問題向其他區域擴散，包括關鍵的控制系統。這種強大的防御能夠搭建一步一步深入的安全策略，在區域內創建更多區。這種機制能夠阻止在其中一個小區域內發生的內部操作人員的失誤在整個區域內蔓延，為多個安全層次搭建防御系統。

　　分層的原則遵循重要性的邏輯排序。分層網絡提供了多層防御系統，并將最關鍵的系統位于最深層。

　　層1：關鍵設備、過程控制器和I/O工作于層1。大體來說，這些關鍵的嵌入式控制器件應該使用控制防火墻與網絡隔離開來。

　　層2：過程控制操作員站點和監管控制工作于此層級中。操作員站點一般就是Windows站點，需要使用高等級的安全模型來鎖定節點，使用基于節點的防火墻并采用專用的網絡技術來限制網絡異常，例如廣播風暴。

　　層3：此層級包括現場或者工廠范圍的控制應用，例如先進控制和優化作業。在層3和層2的過程控制系統之間必須使用安全網關，僅允許控制所需的通訊。具有準入控制和通訊過濾規則的防火墻能夠幫助實現這種隔離。

　　層4：商業系統通常位于這一層并與工廠網絡連接。層3和層4之間的連接是安全問題易發的環節。對于過程控制網絡和商業系統網絡之間的連接必須額外留意并采取隔離措施，實現方法之一就是構建隔離區（DMZ），謹慎管理過程和商業系統之間的通訊。

　　DMZ：過程控制DMZ也是安置企業歷史數據、系統管理服務器和固定管理/防病毒服務器的好地方。

　　采用多層安全防護之后，就可以降低安全風險，并依舊保留網絡和系統的交互性。
網絡健康體檢

　　一旦明確了工業工廠健康的網絡安全體系結構的要件，工廠管理層就可以對工廠的現狀進行評估，識別易受攻擊點，如果必要的話，采取措施提升網絡安全狀況。

　　通過徹查工廠網絡、政策和流程，風險評估可以發現系統中存在的易受攻擊點。例如，徹查網絡可以發現何處的設計圖紙已經需要更新了，以及哪個區域是風險程度最高的區域。然后，就可以識別出全部的危險，而不會僅僅將目光局限在一些特殊攻擊上，例如Stuxnet類型的攻擊。一旦發現并評估了所有的威脅，工廠管理人員就能夠將這些威脅排序，先從具有最高發生可能性和影響最大的威脅入手。

　　正如需要對現有技術手段進行全部評估一樣，對現有人事政策和流程的有效性進行評估也是十分關鍵的。例如，來訪人員和供應商在參觀工廠之前必須經過一定的步驟才能夠準入，這些步驟大多數都會包括一些安全培訓，并且會采取一些措施來屏蔽工廠內在的安全風險，例如硬質帽子、防護服和鐵頭靴之類。

　　考慮網絡安全同樣重要，對來訪人員和供應商進行培訓并制定一定的工廠行為規范，可以將網絡威脅的風險降低。對于外部人員必須明確告知他們在何處可以使用自己的電腦，如何監控這些計算機以及對于USB磁盤采取什么限制措施。例如，在進入工廠之前來訪人員必須將USB驅動器放置在門衛處保管。嚴格且面面俱到的政策能夠幫助外來人員明確工廠網絡安全文化的嚴肅性。

　　當然，對于雇員也需要建立起類似的文化。一旦有了各項政策，首要任務就是明確哪些雇員具有準入資格。必須根據員工職責所在的層級明確限制準入條件。可以考慮引入工程角色策略，也就是根據預先設置的小組和小組政策所允許的計算機行為來搭建模型。例如，如果工程角色定義對于操作人員的政策是鎖定，那么這些操作人員就嚴禁操作過程應用。工廠也應該考慮在操作人員計算機上采用這些程序。監督人員具有受保護訪問權限，而工程師雖然具有更多的準入權限，但是仍舊限制其觸及很多相關的工程功能。管理員具有不受限制的準入權限，但是要求采用更高等級的安全設置并對于準入密碼做更頻繁地更改。需要指出的是，只有更可靠的用戶才能擁有更高的權限。

　　全面的評估將覆蓋網絡所有部分，工廠管理人員從而知曉工廠距離工業標準和那些優秀的案例還有哪些需要改進之處。通過這種評估，工廠管理人員就能識別并將易受攻擊點排序，以確定需要采取何種策略來提供網絡安全性。

　　下一步就是使用根據自身需求定制的安全管理程序來糾正網絡、策略和程序。正如每個不同的個人，每個網絡也是獨一無二的。每個工業工廠的安全管理程序應該根據自身需求定制，以保護工廠最有價值的功能，抵御最大的威脅。

　　新的文化

　　維護網絡安全性很容易被忽視，曾經更換過鍛煉計劃或者更換過食譜的人都熟知采納并保持新規律是一項挑戰。然而，如果不能自律，后果很嚴重，沒有嚴格的規章制度可循，工業工廠安全性就會降低，更容易受到內部威脅的攻擊。

　　嚴守網絡健康檢查規程的重要性不亞于建立這個規程。知識是確保網絡安全的關鍵，在抵御網絡攻擊上，人員是工業工廠最強大的資源。明確網絡易受攻擊點并知道何為安全網絡的員工將是工作策略的最好證明，這也能減少常見事故發生的可能性。

　　例如，建立一個跨職能部門的員工組成的安全響應團隊，可以監視網絡的每一個部分。這能降低有意暴露于惡意軟件的可能性。通過舉行定期舉行會議探討最新的威脅和技術，安全團隊可以確保領先于潛在威脅，及時發現和解決安全隱患。

　　健康不是簡單的沒有疼痛或者疾病，健康是肉體和精神同時達到優良狀態。因此，網絡安全也不僅僅是摒除網絡威脅，而是具有強健的預先抵御機制，克服任何問題，確保作業不間斷。堅守這些優秀的應用案例和程序能夠幫助工廠管理人員保護網絡遠離內部危險。

國內知名的學術專家和企業代表就上述內容結合中國實際發表了各自的觀點：

　　王志良主任、教授

　　北京科技大學物聯網系

　　物聯網已經成為一種信息技術大趨勢，隨之而來的物聯網安全問題也開始凸現出來。尤其是在工業控制領域，設備安全、控制安全、信息安全、網絡安全，將會成為控制工程師的技術課題研究內容，這些都會改變未來工業領域的技術與產品格局。

　　肖維榮 總經理

　　貝加萊工業自動化（上海）有限公司

　　功能安全、設備（人身）安全以及信息安全是工業安全的基本內涵。功能安全和設備或人身安全屬于工業安全標準的范疇控制工程網版權所有，而信息安全則屬于企業信息管理的概念。前者是由標準（如SIL）來保證的，后者則需要安全方案來保證。

　　華镕全球標準及貿易部中國區經理

　　羅克韋爾自動化（中國）有限公司

　　伊朗的核設施遭受“震網”的攻擊，引起了世界工業界的震驚和警惕，各自動化廠商也采取了應對措施，幫助企業用戶解決類似危機。中國的企業特別是在關鍵性行業，如能源、交通、通信等，應利用這個契機，對企業內的網絡進行一次清查，排除隱患。

　　郝培 產品及市場經理

　　百通赫思曼亞太區工業以太網

　　經由企業的內部網絡，來自控制室/中心的遠程訪問鏈路、USB閃存、移動筆記本電腦，病毒和駭客攻擊可以很輕易的到訪任何一個不設防的關鍵部件。更何況你也許還不知道，改變一個基于Modbus這一廣泛使用的通訊協議的控制器內的功能代碼或寄存器數據使其誤動作或離線、死機，居然不需要任何認證和加密！

　　陳建銘 產品經理

　　Moxa公司工業以太網事業部

　　網絡安全已成為中國工業自動化發展中必需考慮項目，除了作者提及的”深度防御”的方式外，工業網絡的安全性還可以注意2點: (1) 使用VPN技術(Virtual Private Network)，以提高遠程連入、監控(Remote Access)的安全性。(2)選用工業規格如無風扇、-40~75度下操作的產品，以提高系統穩定度。

　　劉艷強 博士

　　EtherCAT技術協會 北京航空航天大學

　　堡壘往往都是從內部被攻破的，在建立了完善的軟硬件防護體系之后，重要的是提高工廠內部的管理人員和操作人員的安全意識，并建立嚴格的規章制度，實施規范化的工廠網絡訪問和操作流程，從而避免各種有意無意的網絡安全問題。