為工廠做一次網(wǎng)絡(luò)健康體檢 全面評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

工業(yè)控制從專用系統(tǒng)向開放式系統(tǒng)的轉(zhuǎn)變使跨商業(yè)系統(tǒng)和跨網(wǎng)絡(luò)的無縫整合得以實(shí)現(xiàn)，這種整合使控制進(jìn)一步優(yōu)化，使商業(yè)運(yùn)營更加靈活。然而，也恰恰是由于系統(tǒng)之間存在交互工作，這些系統(tǒng)才更加容易受到攻擊。從病毒、蠕蟲到木馬和數(shù)據(jù)篡改，各種各樣的網(wǎng)絡(luò)威脅對控制系統(tǒng)造成了影響，甚至擾亂了工廠作業(yè)。過程控制領(lǐng)域近期的網(wǎng)絡(luò)安全事件表明，如果不具備綜合安全策略，那么工業(yè)控制系統(tǒng)是十分脆弱的。

　　然而，即使具備了所有的安全策略，有統(tǒng)計(jì)顯示工廠工程師所面臨的最主要的威脅并非來自于外部——而大部分來自于工廠內(nèi)部。

　　超過60%的受訪工程師表示工業(yè)安全問題確實(shí)來自于內(nèi)部原因。這并非意味著工廠雇員或者承包商有意使系統(tǒng)暴露于惡意攻擊，安全問題都來自于雇員的無意之為，因?yàn)樗麄儾⒉恢獣哉_的安全規(guī)程。

　　從上報(bào)的惡意事件分析，很多情況都是由惡意軟件導(dǎo)致，包括病毒、蠕蟲和木馬，它們并非專門針對受影響的工廠。其他的情況呢？剩下大多數(shù)的安全問題就是純粹的事故，包括用戶失誤或者配置故障所導(dǎo)致。

　　例如，2006年Browns Ferry核電站控制系統(tǒng)網(wǎng)絡(luò)上來自于兩家供應(yīng)商的產(chǎn)品之間產(chǎn)生了巨量數(shù)據(jù)流，導(dǎo)致控制循環(huán)水系統(tǒng)的冗余驅(qū)動器失效，進(jìn)而導(dǎo)致核電站緊急停機(jī)。又例如2008年Edwin I. Hatch核電站在對其工廠的商務(wù)網(wǎng)絡(luò)中一臺計(jì)算機(jī)進(jìn)行軟件更新之后發(fā)生了緊急停機(jī)。

　　保護(hù)過程控制系統(tǒng)并非難如登天，實(shí)際上它是很容易實(shí)現(xiàn)的。將它看做一種健康的生活規(guī)律：就像人體需要規(guī)律的生活，控制系統(tǒng)亦需要建立規(guī)律的檢查和評估機(jī)制。通過對網(wǎng)絡(luò)健康狀況進(jìn)行檢查，獲得控制系統(tǒng)性能信息，工廠操作人員能夠判斷采取何種措施才能為系統(tǒng)建立起良好的安全策略。

　　完整的工作規(guī)程

　　Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法。實(shí)際上包治百病的方法并不存在。醫(yī)生無法開出能夠確保健康的藥方，健康是合理飲食、鍛煉、睡眠和控制體重的結(jié)果。確保控制系統(tǒng)不易受攻擊不能僅依靠單一方法，而需要依靠多種方法從多個方面抵御攻擊。

　　“Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法，實(shí)際上包治百病的方法并不存在。”

　　具有安全網(wǎng)絡(luò)的工廠必定能夠達(dá)到各種技術(shù)、策略和程序的穩(wěn)固結(jié)合以有效應(yīng)對潛在威脅。這與健康計(jì)劃很類似，工廠首先需要定義各種目標(biāo)，明確當(dāng)前狀態(tài)，然后努力達(dá)到既定目標(biāo)。

　　那么，良好的網(wǎng)絡(luò)健康狀況應(yīng)該是什么樣子的？有些例子還是很明顯的，但是并未被廣泛地落實(shí)。例如，供應(yīng)商的產(chǎn)品通常都有默認(rèn)密碼，而令人驚訝的是，大多數(shù)情況下默認(rèn)密碼并未被改動而是沿用下去。使用默認(rèn)的密碼和默認(rèn)的安全設(shè)置就如同在開車時(shí)不關(guān)車門一樣。

　　其他簡單卻又經(jīng)常被忽視的步驟包括微軟 Windows操作系統(tǒng)補(bǔ)丁管理和防病毒更新，這些步驟對于確保網(wǎng)絡(luò)的安全性至關(guān)重要。補(bǔ)丁可以使控制系統(tǒng)保持最新，通常發(fā)現(xiàn)新漏洞的同時(shí)，新的補(bǔ)丁都會發(fā)布。如果不及時(shí)更新補(bǔ)丁，即使知道漏洞所在，系統(tǒng)仍舊易受攻擊。

　　過程控制供應(yīng)商在測評防病毒軟件上也有用武之地，在評估微軟安全升級之類的補(bǔ)丁中他們也應(yīng)該有所作為。選擇經(jīng)過評估的防病毒軟件對工廠大有裨益，先進(jìn)的防病毒軟件必定比同類軟件有見長之處。供應(yīng)商也可以采用有利于系統(tǒng)安全性的鎖定模式，為用戶提供預(yù)設(shè)的文件、地址和注冊碼等安全設(shè)置，抵御來自惡意用戶和無意失誤造成的惡意軟件攻擊。

　　例如存儲卡之類的便攜式存儲設(shè)備的使用方針必須定義并嚴(yán)格執(zhí)行，在USB端口上插入存儲卡能夠避開用來抵御感染的所有網(wǎng)絡(luò)安全機(jī)制。例如，Stuxnet蠕蟲的感染機(jī)制之一就是通過USB存儲卡進(jìn)入毫無防備的系統(tǒng)。
理解深度防御

　　并非所有用來獲得網(wǎng)絡(luò)安全的步驟都顯而易見并且易于理解，特別是當(dāng)討論深度防御時(shí)。構(gòu)建深度防御的首要前提是構(gòu)建多層防御體系用來抵御威脅。網(wǎng)絡(luò)安全手段怎樣才能實(shí)現(xiàn)分層呢？

　　依據(jù)ANSI/ISA-99或者IEC 62443標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全最佳方式是分層或者分區(qū)，這種方法能夠幫助抵御威脅，并能夠阻止病毒在整個網(wǎng)絡(luò)中傳播。關(guān)鍵的自動化和控制設(shè)備應(yīng)該分在一組，分享共同的安全層級要求。這些區(qū)域之間的通訊必須經(jīng)過受保護(hù)和監(jiān)控的通路來實(shí)現(xiàn)，在這些區(qū)域之間規(guī)范數(shù)據(jù)的流通以實(shí)現(xiàn)更安全的通訊。

　　ISA-99定義了高、中、低三層的安全區(qū)。通過分析工廠的風(fēng)險(xiǎn)分析，并考慮到可能出現(xiàn)的威脅的嚴(yán)重程度和范圍，每個區(qū)域都需要定義安全級別目標(biāo)。每個區(qū)域內(nèi)的設(shè)備都需要具有相應(yīng)安全級別的能力，當(dāng)這種能力低于該區(qū)域的安全級別目標(biāo)時(shí)，必須使用安全技術(shù)或者安全策略來平衡這兩者之間的關(guān)系，這有助于降低風(fēng)險(xiǎn)。

　　使用這種方法，網(wǎng)絡(luò)安全更加容易管理。通過劃分安全區(qū)域，只有在安全級別目標(biāo)需要調(diào)整的時(shí)候才會提高安全層級，而這一切都可通過潛在的風(fēng)險(xiǎn)來判斷。

　　基于安全區(qū)域同樣會提升威脅檢測能力（假設(shè)威脅檢測能力是安全區(qū)策略的一部分）。確定那些必定會發(fā)生的問題的來源是較為簡單的，因?yàn)楣S操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠?qū)^(qū)域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護(hù)的通路進(jìn)行通訊。這會阻止問題向其他區(qū)域擴(kuò)散，包括關(guān)鍵的控制系統(tǒng)。這種強(qiáng)大的防御能夠搭建一步一步深入的安全策略，在區(qū)域內(nèi)創(chuàng)建更多區(qū)。這種機(jī)制能夠阻止在其中一個小區(qū)域內(nèi)發(fā)生的內(nèi)部操作人員的失誤在整個區(qū)域內(nèi)蔓延，為多個安全層次搭建防御系統(tǒng)。

　　“全面的評估覆蓋了網(wǎng)絡(luò)所有部分，工廠管理人員從而知曉工廠距離工業(yè)標(biāo)準(zhǔn)和那些優(yōu)秀的案例還有哪些需要改進(jìn)之處。”

　　分層的原則遵循重要性的邏輯排序。分層網(wǎng)絡(luò)提供了多層防御系統(tǒng)，并將最關(guān)鍵的系統(tǒng)位于最深層。

　　層1：關(guān)鍵設(shè)備、過程控制器和I/O工作于層1。大體來說，這些關(guān)鍵的嵌入式控制器件應(yīng)該使用控制防火墻與網(wǎng)絡(luò)隔離開來。

　　層2：過程控制操作員站點(diǎn)和監(jiān)管控制工作于此層級中。操作員站點(diǎn)一般就是Windows站點(diǎn)，需要使用高等級的安全模型來鎖定節(jié)點(diǎn)，使用基于節(jié)點(diǎn)的防火墻并采用專用的網(wǎng)絡(luò)技術(shù)來限制網(wǎng)絡(luò)異常，并考慮到可能出現(xiàn)的威脅的嚴(yán)重程度和范圍，每個區(qū)域都需要定義安全級別目標(biāo)。每個區(qū)域內(nèi)的設(shè)備都需要具有相應(yīng)安全級別的能力，當(dāng)這種能力低于該區(qū)域的安全級別目標(biāo)時(shí)，必須使用安全技術(shù)或者安全策略來平衡這兩者之間的關(guān)系，這有助于降低風(fēng)險(xiǎn)。

　　使用這種方法，網(wǎng)絡(luò)安全更加容易管理。通過劃分安全區(qū)域，只有在安全級別目標(biāo)需要調(diào)整的時(shí)候才會提高安全層級，而這一切都可通過潛在的風(fēng)險(xiǎn)來判斷。

　　基于安全區(qū)域同樣會提升威脅檢測能力（假設(shè)威脅檢測能力是安全區(qū)策略的一部分）。確定那些必定會發(fā)生的問題的來源是較為簡單的，因?yàn)楣S操作人員能夠在源頭解決問題，并找到其他直接的威脅。合理的分隔能夠?qū)^(qū)域之間的通訊限制在必要程度之下，并且僅僅通過被定義的和受到保護(hù)的通路進(jìn)行通訊。這會阻止問題向其他區(qū)域擴(kuò)散，包括關(guān)鍵的控制系統(tǒng)。這種強(qiáng)大的防御能夠搭建一步一步深入的安全策略，在區(qū)域內(nèi)創(chuàng)建更多區(qū)。這種機(jī)制能夠阻止在其中一個小區(qū)域內(nèi)發(fā)生的內(nèi)部操作人員的失誤在整個區(qū)域內(nèi)蔓延，為多個安全層次搭建防御系統(tǒng)。

　　分層的原則遵循重要性的邏輯排序。分層網(wǎng)絡(luò)提供了多層防御系統(tǒng)，并將最關(guān)鍵的系統(tǒng)位于最深層。

　　層1：關(guān)鍵設(shè)備、過程控制器和I/O工作于層1。大體來說，這些關(guān)鍵的嵌入式控制器件應(yīng)該使用控制防火墻與網(wǎng)絡(luò)隔離開來。

　　層2：過程控制操作員站點(diǎn)和監(jiān)管控制工作于此層級中。操作員站點(diǎn)一般就是Windows站點(diǎn)，需要使用高等級的安全模型來鎖定節(jié)點(diǎn)，使用基于節(jié)點(diǎn)的防火墻并采用專用的網(wǎng)絡(luò)技術(shù)來限制網(wǎng)絡(luò)異常，例如廣播風(fēng)暴。

　　層3：此層級包括現(xiàn)場或者工廠范圍的控制應(yīng)用，例如先進(jìn)控制和優(yōu)化作業(yè)。在層3和層2的過程控制系統(tǒng)之間必須使用安全網(wǎng)關(guān)，僅允許控制所需的通訊。具有準(zhǔn)入控制和通訊過濾規(guī)則的防火墻能夠幫助實(shí)現(xiàn)這種隔離。

　　層4：商業(yè)系統(tǒng)通常位于這一層并與工廠網(wǎng)絡(luò)連接。層3和層4之間的連接是安全問題易發(fā)的環(huán)節(jié)。對于過程控制網(wǎng)絡(luò)和商業(yè)系統(tǒng)網(wǎng)絡(luò)之間的連接必須額外留意并采取隔離措施，實(shí)現(xiàn)方法之一就是構(gòu)建隔離區(qū)（DMZ），謹(jǐn)慎管理過程和商業(yè)系統(tǒng)之間的通訊。

　　DMZ：過程控制DMZ也是安置企業(yè)歷史數(shù)據(jù)、系統(tǒng)管理服務(wù)器和固定管理/防病毒服務(wù)器的好地方。

　　采用多層安全防護(hù)之后，就可以降低安全風(fēng)險(xiǎn)，并依舊保留網(wǎng)絡(luò)和系統(tǒng)的交互性。
網(wǎng)絡(luò)健康體檢

　　一旦明確了工業(yè)工廠健康的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的要件，工廠管理層就可以對工廠的現(xiàn)狀進(jìn)行評估，識別易受攻擊點(diǎn)，如果必要的話，采取措施提升網(wǎng)絡(luò)安全狀況。

　　通過徹查工廠網(wǎng)絡(luò)、政策和流程，風(fēng)險(xiǎn)評估可以發(fā)現(xiàn)系統(tǒng)中存在的易受攻擊點(diǎn)。例如，徹查網(wǎng)絡(luò)可以發(fā)現(xiàn)何處的設(shè)計(jì)圖紙已經(jīng)需要更新了，以及哪個區(qū)域是風(fēng)險(xiǎn)程度最高的區(qū)域。然后，就可以識別出全部的危險(xiǎn)，而不會僅僅將目光局限在一些特殊攻擊上，例如Stuxnet類型的攻擊。一旦發(fā)現(xiàn)并評估了所有的威脅，工廠管理人員就能夠?qū)⑦@些威脅排序，先從具有最高發(fā)生可能性和影響最大的威脅入手。

　　正如需要對現(xiàn)有技術(shù)手段進(jìn)行全部評估一樣，對現(xiàn)有人事政策和流程的有效性進(jìn)行評估也是十分關(guān)鍵的。例如，來訪人員和供應(yīng)商在參觀工廠之前必須經(jīng)過一定的步驟才能夠準(zhǔn)入，這些步驟大多數(shù)都會包括一些安全培訓(xùn)，并且會采取一些措施來屏蔽工廠內(nèi)在的安全風(fēng)險(xiǎn)，例如硬質(zhì)帽子、防護(hù)服和鐵頭靴之類。

　　考慮網(wǎng)絡(luò)安全同樣重要，對來訪人員和供應(yīng)商進(jìn)行培訓(xùn)并制定一定的工廠行為規(guī)范，可以將網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)降低。對于外部人員必須明確告知他們在何處可以使用自己的電腦，如何監(jiān)控這些計(jì)算機(jī)以及對于USB磁盤采取什么限制措施。例如，在進(jìn)入工廠之前來訪人員必須將USB驅(qū)動器放置在門衛(wèi)處保管。嚴(yán)格且面面俱到的政策能夠幫助外來人員明確工廠網(wǎng)絡(luò)安全文化的嚴(yán)肅性。

　　當(dāng)然，對于雇員也需要建立起類似的文化。一旦有了各項(xiàng)政策，首要任務(wù)就是明確哪些雇員具有準(zhǔn)入資格。必須根據(jù)員工職責(zé)所在的層級明確限制準(zhǔn)入條件。可以考慮引入工程角色策略，也就是根據(jù)預(yù)先設(shè)置的小組和小組政策所允許的計(jì)算機(jī)行為來搭建模型。例如，如果工程角色定義對于操作人員的政策是鎖定，那么這些操作人員就嚴(yán)禁操作過程應(yīng)用。工廠也應(yīng)該考慮在操作人員計(jì)算機(jī)上采用這些程序。監(jiān)督人員具有受保護(hù)訪問權(quán)限，而工程師雖然具有更多的準(zhǔn)入權(quán)限，但是仍舊限制其觸及很多相關(guān)的工程功能。管理員具有不受限制的準(zhǔn)入權(quán)限，但是要求采用更高等級的安全設(shè)置并對于準(zhǔn)入密碼做更頻繁地更改。需要指出的是，只有更可靠的用戶才能擁有更高的權(quán)限。

　　全面的評估將覆蓋網(wǎng)絡(luò)所有部分，工廠管理人員從而知曉工廠距離工業(yè)標(biāo)準(zhǔn)和那些優(yōu)秀的案例還有哪些需要改進(jìn)之處。通過這種評估，工廠管理人員就能識別并將易受攻擊點(diǎn)排序，以確定需要采取何種策略來提供網(wǎng)絡(luò)安全性。

　　下一步就是使用根據(jù)自身需求定制的安全管理程序來糾正網(wǎng)絡(luò)、策略和程序。正如每個不同的個人，每個網(wǎng)絡(luò)也是獨(dú)一無二的。每個工業(yè)工廠的安全管理程序應(yīng)該根據(jù)自身需求定制，以保護(hù)工廠最有價(jià)值的功能，抵御最大的威脅。

　　新的文化

　　維護(hù)網(wǎng)絡(luò)安全性很容易被忽視，曾經(jīng)更換過鍛煉計(jì)劃或者更換過食譜的人都熟知采納并保持新規(guī)律是一項(xiàng)挑戰(zhàn)。然而，如果不能自律，后果很嚴(yán)重，沒有嚴(yán)格的規(guī)章制度可循，工業(yè)工廠安全性就會降低，更容易受到內(nèi)部威脅的攻擊。

　　嚴(yán)守網(wǎng)絡(luò)健康檢查規(guī)程的重要性不亞于建立這個規(guī)程。知識是確保網(wǎng)絡(luò)安全的關(guān)鍵，在抵御網(wǎng)絡(luò)攻擊上，人員是工業(yè)工廠最強(qiáng)大的資源。明確網(wǎng)絡(luò)易受攻擊點(diǎn)并知道何為安全網(wǎng)絡(luò)的員工將是工作策略的最好證明，這也能減少常見事故發(fā)生的可能性。

　　例如，建立一個跨職能部門的員工組成的安全響應(yīng)團(tuán)隊(duì)，可以監(jiān)視網(wǎng)絡(luò)的每一個部分。這能降低有意暴露于惡意軟件的可能性。通過舉行定期舉行會議探討最新的威脅和技術(shù)，安全團(tuán)隊(duì)可以確保領(lǐng)先于潛在威脅，及時(shí)發(fā)現(xiàn)和解決安全隱患。

　　健康不是簡單的沒有疼痛或者疾病，健康是肉體和精神同時(shí)達(dá)到優(yōu)良狀態(tài)。因此，網(wǎng)絡(luò)安全也不僅僅是摒除網(wǎng)絡(luò)威脅，而是具有強(qiáng)健的預(yù)先抵御機(jī)制，克服任何問題，確保作業(yè)不間斷。堅(jiān)守這些優(yōu)秀的應(yīng)用案例和程序能夠幫助工廠管理人員保護(hù)網(wǎng)絡(luò)遠(yuǎn)離內(nèi)部危險(xiǎn)。

國內(nèi)知名的學(xué)術(shù)專家和企業(yè)代表就上述內(nèi)容結(jié)合中國實(shí)際發(fā)表了各自的觀點(diǎn)：

　　王志良主任、教授

　　北京科技大學(xué)物聯(lián)網(wǎng)系

　　物聯(lián)網(wǎng)已經(jīng)成為一種信息技術(shù)大趨勢，隨之而來的物聯(lián)網(wǎng)安全問題也開始凸現(xiàn)出來。尤其是在工業(yè)控制領(lǐng)域，設(shè)備安全、控制安全、信息安全、網(wǎng)絡(luò)安全，將會成為控制工程師的技術(shù)課題研究內(nèi)容，這些都會改變未來工業(yè)領(lǐng)域的技術(shù)與產(chǎn)品格局。

　　肖維榮 總經(jīng)理

　　貝加萊工業(yè)自動化（上海）有限公司

　　功能安全、設(shè)備（人身）安全以及信息安全是工業(yè)安全的基本內(nèi)涵。功能安全和設(shè)備或人身安全屬于工業(yè)安全標(biāo)準(zhǔn)的范疇控制工程網(wǎng)版權(quán)所有，而信息安全則屬于企業(yè)信息管理的概念。前者是由標(biāo)準(zhǔn)（如SIL）來保證的，后者則需要安全方案來保證。

　　華镕全球標(biāo)準(zhǔn)及貿(mào)易部中國區(qū)經(jīng)理

　　羅克韋爾自動化（中國）有限公司

　　伊朗的核設(shè)施遭受“震網(wǎng)”的攻擊，引起了世界工業(yè)界的震驚和警惕，各自動化廠商也采取了應(yīng)對措施，幫助企業(yè)用戶解決類似危機(jī)。中國的企業(yè)特別是在關(guān)鍵性行業(yè)，如能源、交通、通信等，應(yīng)利用這個契機(jī)，對企業(yè)內(nèi)的網(wǎng)絡(luò)進(jìn)行一次清查，排除隱患。

　　郝培 產(chǎn)品及市場經(jīng)理

　　百通赫思曼亞太區(qū)工業(yè)以太網(wǎng)

　　經(jīng)由企業(yè)的內(nèi)部網(wǎng)絡(luò)，來自控制室/中心的遠(yuǎn)程訪問鏈路、USB閃存、移動筆記本電腦，病毒和駭客攻擊可以很輕易的到訪任何一個不設(shè)防的關(guān)鍵部件。更何況你也許還不知道，改變一個基于Modbus這一廣泛使用的通訊協(xié)議的控制器內(nèi)的功能代碼或寄存器數(shù)據(jù)使其誤動作或離線、死機(jī)，居然不需要任何認(rèn)證和加密！

　　陳建銘 產(chǎn)品經(jīng)理

　　Moxa公司工業(yè)以太網(wǎng)事業(yè)部

　　網(wǎng)絡(luò)安全已成為中國工業(yè)自動化發(fā)展中必需考慮項(xiàng)目，除了作者提及的”深度防御”的方式外，工業(yè)網(wǎng)絡(luò)的安全性還可以注意2點(diǎn): (1) 使用VPN技術(shù)(Virtual Private Network)，以提高遠(yuǎn)程連入、監(jiān)控(Remote Access)的安全性。(2)選用工業(yè)規(guī)格如無風(fēng)扇、-40~75度下操作的產(chǎn)品，以提高系統(tǒng)穩(wěn)定度。

　　劉艷強(qiáng) 博士

　　EtherCAT技術(shù)協(xié)會 北京航空航天大學(xué)

　　堡壘往往都是從內(nèi)部被攻破的，在建立了完善的軟硬件防護(hù)體系之后，重要的是提高工廠內(nèi)部的管理人員和操作人員的安全意識，并建立嚴(yán)格的規(guī)章制度，實(shí)施規(guī)范化的工廠網(wǎng)絡(luò)訪問和操作流程，從而避免各種有意無意的網(wǎng)絡(luò)安全問題。