在过去几年中开发的大部分控制系统设备,无论是传统的还是嵌入式的,都拥有以太网接口,可以与互联网连通。有些设备拥有密码保护,还可能有加密协议,比如SSH或者SSL,但是这还不够。一些产品甚至没有包含最基本的保护,只是有无法更改的用户名称或者密码。如果这些方法提供了足够的保护,我们就不会经常在媒体上看到有关安全问题的报道了。陈旧的系统更加脆弱,它们的初始设计是假设这些设备属于隔离的网络,因此根本就忽略了安全方面的事情,但是现在很多这些系统已经连接到了开放网络当中CONTROL ENGINEERING China版权所有,可依然没有任何保护。那种认为安全已经足够的观念早已过时,需要改变了。
真实世界的威胁和解决方案
工程师们经常会假设黑客们并不会将攻击目标锁定在工业网络内部的设备上面,他们认为罪犯只会对个人电脑和企业网络感兴趣。然而,你都不需要特别仔细地阅读最近的工业设备受攻击的报告,就会知道这种假设是不正确的。很多工业用PLC、PAC和其他控制设备都是被攻击的目标,如果可以从外部接入网络,黑客们就会造成各种各样的麻烦。
工业网络和嵌入式设备工程师可以从IT安全手册中找到一些帮助,使用防火墙和加密协议建立多层安全策略。防火墙是这些设备的关键安全层,具有授权和安防功能,能够屏蔽到授权和加密无法应对的攻击。防火墙必须要高效,消耗的系统资源尽可能少,可以与各种设备兼容。无论是运行最简单甚至没有操作系统的8位机,还是运行商业RTOS(实时操作系统)的大型多核系统,防火墙都应该能够与之搭配使用。办公室IT系统中使用的桌面防火墙并不能满足设备的上述要求。基于Windows和Linux的防火墙,尽管有效,但是体积过大,不便嵌入到设备当中或者是在工业环境中遍布的机器中使用。
图中所示的一些PLC比另外一些受到了更好的保护。PLC 1对于来自互联网的攻击基本是开放的,而PLC 2和3则会受到一些局部保护。PLC 4、5和6置于企业防火墙后面,但是攻击可以通过网络上的其他设备进行。一些源于某台个人电脑的攻击可以直接抵达PLC 4。局部防火墙非常重要,而将其嵌入到PLC当中可以简化编程。
网络或者企业防火墙可以将私人网络与互联网隔离。网络内部计算机与互联网之间所有的通讯都必须要通过防火墙。防火墙根据通讯政策配置,可以保护网络中的机器免受来自互联网的攻击。防火墙策略控制协议、端口已经允许通过的IP地址。网络防火墙还可以执行信息包深度检测CONTROL ENGINEERING China版权所有,阻断攻击Windows系统的病毒和恶意软件。经过合理的配置,这些防火墙可以形成针对黑客、DoS(拒绝服务)攻击、病毒和恶意软件的有效防护屏障。
但是,网络防火墙的设计是要为整个网络提供保护,它是将网络作为一个整体考虑的。网络中具体控制器或者是其他嵌入式设备的通讯要求实际上是非常特别的,只有很少的协议和端口能够支持,而与该设备通讯的IP地址的数量也十分有限。嵌入到设备当中或者邻近设备的防火墙可以提供设备级的保护,针对具体的设备进行配置,可以更加严密的进行控制。
攻击同样也可以来自网络内部,这些攻击不会受到网络防火墙的屏蔽,如果没有嵌入式防火墙,网络中的设备对于这些攻击就无能为力了。这些攻击可能来自内部人员,或者是没有被网络防火墙阻断的通讯,也可能来自经过防火墙的通讯,举例来说,Stuxnet就是在使用USB闪存连入网络之后攻击私人网络中的机器的。
进一步说,那些部署在网络防火墙身后的控制器或者其他嵌入式设备也应该仔细进行检查。网络随着时间不断改变,防火墙根据黑客的情况进行升级,设备中的很多规则也会发生改变。真的能够确定一台嵌入式设备就总是在网络防火墙后面吗?即便是设备位于防火墙之后,你又真的能信任这个作为唯一安全屏障的防火墙吗?
嵌入式防火墙
嵌入在控制设备的防火墙或者是与控制器连接的分离式防火墙组件,强化了安全功能,为设备的运营创建了一个安全环境。嵌入式防火墙现在日渐普及CONTROL ENGINEERING China版权所有,有越来越多的制造商已经认识到需要这种类型的保护。防火墙策略管理可能会与设备发送通讯的协议和端口,这些防火墙与设备中的TCP/IP栈直接集成,可以在IP协议层过滤信息包。这样就可以在启动授权之前,屏蔽不需要的信息包、不友好的登录尝试以及DoS攻击。
还有更多的策略可以加强防火墙功能。一般的过滤方法包括:
■ 基于规则的过滤:将每一个信息包与预置的恒定规则进行比较,确定这个信息包是应该屏蔽还是放行。所有的决策都根据包中的信息决定。
■ 状态包检测(SPI):根据每个连接的状态保留信息,在进行过滤决策的时候使用这些信息。
■ 基于阈值的过滤:保留收到信息包的统计数据,监控阈值,检测包流和DoS攻击。
基于规则的过滤强化策略屏蔽不使用的协议、关闭不使用的端口并且会设置IP地址的黑名单和白名单。对于一些设备而言,基于规则的过来可以满足它们全部的要求。假设有一名黑客试图从外部通过互联网连接并且控制一个泵控制器,在正常的情况下www.cechina.cn,这台泵控制器只会与很少的一部分已知的IP地址进行通讯,基于规则的防火墙会配置一份信任IP地址名单,屏蔽掉此次攻击。
SPI针对带有TCP状态信息的信息包提供保护,这是一种常见的基于网络的攻击。SPI还可以用来构建禁闭模式,所有的连接都必须要来自嵌入式设备。
基于阈值的过滤更加复杂,需要大量的系统处理时间和内存,但是在检测包流和DoS攻击的时候保护功能更为强大。
黑客们现在非常喜欢攻击嵌入式设备控制工程网版权所有,最近有文章报道了对恒温调节器、汽车电脑系统、医疗设备和SCADA系统的攻击。那么真正的问题是:“为什么不安装防火墙呢?”