在过去若干年中,网络安全已经成为了一项核心问题,它的受关注程度似乎在与日俱增。新的IT 以及工业控制系统平台整合了改进后的安全功能,然而工业界面临的问题是:大量控制系统在网络安全措施推出之前就已经投入运行,许多还是在互联网大规模普及之前就已经存在了。如果这些系统缺乏适当的防御措施,黑客就可能通过它们与外围网络的连接路径侵入系统,并实施各种破坏。我们面对的问题是:能否为老式系统提供充足的安全保障?
Invensys Process Systems的首席安全架构师Ernie Rakaczky说:“一般而言,一套控制系统经过采购、安装、组态之后一旦投入使用,在之后20年左右的时间里就会被完全遗忘。多数情况下,这只是控制工程师的一般看法。在过去的5到10年中,这样的问题层出不穷。这些早期的控制系统中,许多都不具备网络连接功能。它们的设计目标只有一个:控制一台阀门的开关或是测量液位,因此它们确实不需要连接到网络。”
但问题是,世界不可能一直停滞不前。随着信息技术的发展,控制系统用户越来越渴望把信息提取出来并为外部用户提供连接。Rakaczky补充说:“传统控制系统只能够实现过程控制,而当今的控制系统可能拥有50%的控制功能和50%的信息交换功能。在这种趋势下,我们开始将控制平台数据提取到历史记录、工厂网络或企业网络中,同时增加一些优化方法、采取更谨慎的做法并使用一些自我保护的功能。”
连接是否安全?
有些专家固执地认为,只有切断连接才能称得上真正安全的连接。Kevin Staggs是国际注册信息系统安全专家(CISSP),同时也是Honeywell Process Solutions的工程师兼全球安全架构师。他说:“几乎所有的私有系统都拥有自己的网络。由于这些系统既没有设计成自我保护结构,又缺乏其他保护措施,加入任何的连接点都可能带来严重的威胁。如果你试图接入这些早期的系统,那么就必须完全了解接入点的位置,并且清楚这些接入点采用了哪种接入技术。许多情况下,这些接入点都已经过时了。”
但是,如果你的防御手段是将系统与外界隔离的话,那么你必须确保这样的隔离是完全的、彻底的,才能起到效果。Siemens Energy & Automation的过程自动化系统经理Todd Stauffer说:“用户往往认为孤立的网络是安全的,并且把所有鸡蛋都放在一个篮子里。他们坚信,孤立化必将带来安全性。但在许多情况下,总有人会把外部的记忆棒插入系统CONTROL ENGINEERING China版权所有,或者临时接入一台笔记本电脑,又或者临时连接另一组网络。这些情况都会导致孤立网络出现混乱。除非你采取了措施阻止用户将记忆棒、CD或DVD插入到隔离区域,一般情况下你都必须在孤立网络中加入安全保障措施。否则,当遇到攻击时,你的系统将变得不堪一击。”
系统的多个时代
老式控制平台的时间跨度很长,有些延用至今的平台采用的还是最早期的DCS配置方式。我们可以将所有投入实际应用的平台分为两大类:采用私有网络的和基于Microsoft Windows架构的。
早期系统的操作人员会自我安慰说,即使一名黑客能够侵入系统,面对这些过时的技术,他也会变得无所适从。难道这确实能够成为一种防护策略吗?Exida的高级顾问John Custimano将这种策略形容为在稀薄的冰面上滑行。他奉劝说:“如果某人进入了一套老式控制系统,并且掌握着系统的命令结构,那么他就能轻易引起系统混乱。这与黑客入侵的区别在于,黑客还必须具备一手侵入老式系统的高超技能。一旦你做到了这一点,没准就能够执行任何你想要执行的命令。”
我们面临的问题是,在过去几年中,潜在的黑客高手人数很可能大幅增长着。反入侵系统提供商Top Layer的安全策略工程师Ken Pappas警告说:“如今我们担心的是:受经济形势的影响,公司解雇了大量员工。这些心怀不满的员工已经掌握了系统运行的内部知识。他们联手之后,既能够找到进入网络的途径,又知道进入网络之后该做些什么。他们制造混乱的能力远远超过了那些仅仅知道如何侵入网络的普通黑客。事实上,不是黑客变聪明了,而是出现了一类新的黑客——前任员工。”
因此,他们需要被特别关注。
Staggs也对此表示赞同,他建议:“早期的Windows系统不应该被连接到商用网络中。毫无疑问它们必须经过隔离,而且你必须掌握它们与商用网络交换数据的路径。你需要一款经过严格配置的防火墙,在可能的情况下还应该通过一个现代化的服务器交换数据。于是,你可以为这台较现代化的服务器提供保护,把它作为防御设备。多数情况下,保护技术会面临过时的问题,因此你需要时刻更新到最前沿的技术。”
“过时”一词在本文中指的是任何一代无法继续获得技术支持的Windows。Windows 2000能够获得支持直至2010年6月30日。任何比它早的版本都只能被划分到无保护的范畴内,而且无法获得安全更新。
你能够做些什么?
Sean McGurk是美国国土安全部(DHS)的控制系统安全计划(CSSP)总监。他警告说:“被动的安全策略不适用于当今的互联网环境。目前,我们已经对那些服役多年的设备的弱点作了分析。结果显示,大多数(46%左右)弱点存在于控制系统网络和商用网络之间的DMZ(隔离区)。考虑到这一地带的连接相当重要,如此高的比例是我们无法接受的。你需要找到一种守护这些信道的办法。”
这种思路毫无疑问是正确的,但是知易行难。如果某件东西之前从未有过保护方案,又脱离了生产商的支持,那么要保护它就不是一件容易的事。Industrial Defender的市场主管Todd Nicholson解释说:“当前环境下CONTROL ENGINEERING China版权所有,我们面临的挑战是每个人都希望得到安全防护,尤其是在连接到外部世界的情况下。但是这种环境——包括硬件、软件、操作系统——又是早期遗留下来的。于是,我们无法在不严重影响性能和实用性的前提下,将反病毒软件之类的现代安全技术应用于工厂系统层面。你所面对的环境是如此脆弱,以至于你在制定防御策略时,不得不反复斟酌。”
尽管如此,可行的策略还是有的。本文不对这些策略的细节一一进行阐述,但是侧边栏提供的资源能够帮助我们启动这些流程。大部分策略都需要你首先对当前的系统架构作深入分析,并且对控制网络上运行的所有软件进行分类。另一个主要步骤是寻找所有的外部连接,这一过程对那些一度茫然不知所措的公司而言往往具有开拓视野的作用。Staggs建议用户从升级那些过时的设备入手,当然寻找连接的过程也不可能止步于此。他建议说:“为了找到隐藏的连接点,你应该查看OPC、串口网关、调制解调器、安全的系统连接点、串口Modbus或IP,甚至是Foundation Fieldbus或者Profibus。”
迁移?正是时侯
用户是否有必要为了网络安全进行平台迁移呢?最终的回答可能是的确有必要迁移到一套具有更高安保水平的平台。这当然不是一件小事,尤其是在经济衰退的大背景下。Siemens Energy & Automation的迁移市场经理Ken Keiser说:“我想,大多数实际操作系统的工程师都会意识到风险。但是,他们能否将风险量化并作为平台迁移的理由又是另一个问题了。”
Keiser说:“我不知道他们是否能够将问题向管理层阐述清楚。虽然他们意识到了风险,但是要将安全问题阐述清楚远比说一句‘平台再也无法工作下去了,会影响到生产。’来得困难。用户倾向于先对系统中最脆弱的部分进行升级,这一部分就是人机界面。与连接到一台远程设备相比,自顶向下地连接一台控制器显得更容易一些。”
CoreTrace营销副总裁J.T.Keating认为系统迁移是一种过于缓慢的做法。他建议说:“如果我们出于网络安全方面的考虑希望对早期系统作升级,那么替换这些系统往往是不现实的,至少在系统运行时是不现实的。安全问题是当前就要解决的,替换是将来才会被考虑的。由于需要替换的系统往往相当关键,替换计划必须制定得相当周密。在2009年,投资人的要求往往是‘因地制宜’进行生产,而非抛弃或替换大量的基础设备。从能源角度考虑,我们也应该尽可能高效地进行生产。现实情况是,对于那些关键的系统而言CONTROL ENGINEERING China版权所有,几乎不存在增加安全性的完美方案。”
那么政府规范是否会对大规模的系统更换起到强制作用呢?NERC(国家电力公司)是否会有新的要求呢?McGurk指出,80%的关键基础设施是私有性质的,即使是NERC也只能覆盖大型能源工业的一小部分。面对现实,他悲观地说:“长期以来,一种心态一直弥漫在我们周围,就是用不遵守规章制度的方式否认安全的重要性。”
人为因素
目前为止,我们的讨论都集中在技术解决方案上CONTROL ENGINEERING China版权所有,但是人为因素也同样存在。只有当相关人员都参与流程时,他们才会知道如何保障系统的安全。一个普遍的人为问题是:早期系统缺乏相关的文档资料。与流程中的其他部分一样,如果一套系统的服役时间达到十年甚至更久,那么用户可能无法得到反映实际运行状况的现成文档。用户往往需要从不成文的系统变化中找寻系统的薄弱环节。
Nicholson经过观察后说:“不仅是在工厂环境下,在企业IT中对变化进行管理也极具挑战性。例如,在你为外部用户开启了一个端口之后CONTROL ENGINEERING China版权所有,你如何才能够有效地对系统的变化进行追踪和监控呢?有些人可能会忘记曾经打开过端口,从而导致系统被暴露。”
Matt Luallen是Encari的合伙创始人兼Control Engineering网络安全博客作者。他强调了处理问题时步骤的重要性。他 说:“充分而且有效的问题处理步骤对 于正确的信息安全项目而言是必不可少 的。这些步骤包括对事件的认定和控 制,对根源问题的认定和排除,对相同 事件的预防,建立调用树,将变化写入 相关文档帮助区分变化是否经过认证, 以及适当的升级和报告程序。”
Luallen还说:“我们经常会看到用 户对控制系统的软、硬件作了改变而没 有写入文档、发布通知,也没有进行统 一验证。从安全角度考虑,这种做法本 身就是违规的。但是,这种状况无法简 单地通过技术手段解决。许多情况下, P LC、RTU、中继器和其他控制系统软、硬件无法对控制方面的修改提供验 证流程。”
只有当相关人员理解了步骤在保障 工厂安全方面的地位时,它们的重要性 才得以体现。DHS的报告显示,社会工 程是受攻击最多的对象。McGurk感叹地 说:“我们见证了太多的系统弱点和盲 点是由于用户不合理操作导致的。这些 用户没能理解安全防护的重要性。”
Idaho国家实验室DHS CSSP经理Marty Edwards指出,相关人员的思想意识需要 转变。他说:“无论是在控制系统领域、 IT领域还是实际的安全领域,我们在安全 问题上遇到的最大挑战是如何树立起安全 意识。无论你的设备来自何方,你都应该 建立起这种意识。你需要把它融入到你的 性格中,加入到你的训练中。”
Edwards说:“从安全角度看,流程 工业领域接触这种意识已经有一段时日 了。在没有考虑安全问题之前,你是不 会开工的。我们必须将这样的意识深入 脑海,在做任何事之前,都需要考虑一 下安全问题。我们是否可以在用户会议 上拿出一份包含了所有控制系统内部细 节的网络结构图?每个人都能够快速地 转换意识,而且这样做比更换设备廉价 许多。”