随着商业需求的演变,要求过程控制系统实时数据与生产计划、产量、质量、能耗以及碳排放之类的商业数据相互结合的呼声愈加强烈。于是对于商业网络和过程控制网络两者兼容并包的需求也应运而生,随之而来的便是更加动态的商业运营,并且业主能够根据需求或者针对市场变化调整产出。
如果你的过程控制网络与商业网络仍旧相互独立,而且你也希望它们保持现状,那么两者交叉影响的风险确实相对较低。(如果你认为你的网络是相互独立的,你最好核查并确认这一点。有很多地方两者看似独立实则互联控制工程网版权所有,远超你想象。)但是,如果你和你的很多同事一样www.cechina.cn,正在致力于创建现代化的工厂,在商业网络和过程控制网络之间获得更广泛的连通性,这就要求用来保护过程控制和工程相关设备的系统能够与保护商业网络和IT设备的系统之间能够实现更好的协作,因为这与你的切身利益息息相关。
趋同化的保护模型
多年以来,IT业界一直仔细地进行风险和威胁评估www.cechina.cn,从初始概念形成到设计,再到实施最后到IT网络的搭建。这些评估涉及到一系列标准,BS7799、BS17799、ISO27001-27005、和ISA99只是其中的一部分。
同样,石油、天然气和石化产品生产厂商也一直坚持进行类似的评估,以识别并评价人员、设备和环境的潜在风险,包括结构化和系统化的安全、风险和威胁评价、危险与可操作性(HAZOP)分析、保护层级分析(LOPA)、安全完整性等级(SIL)确定以及其他评估。这些功能安全行为均依照其相关标准进行,例如IEC61511和ANSI/ISA S84.00.001等。
在进行HAZOP分析的时候,需要考虑的不仅仅是过程危险,还需要考虑IT风险、后果和影响。过程安全功能和网络安全功能之间的传统划分必须要颠覆。
合力制胜
当今的网络威胁越来越多地针对自动化系统,其险恶意图昭然若揭控制工程网版权所有,持续演化的威胁只有IT网络安全方法和工程功能安全方法合力才足以抵御。
认为危险仅仅会来自于工厂设施内部的设备故障、火灾、漏水或者其他事件是远远不够的。现在的危险很有可能来自于工厂之外,如果仅从工程的角度来看,有一些危险根本无法发现。即使考虑到了这些危险,在对其进行分析也为时已晚了,因为这些对于系统的威胁并非静止不变,而是在持续演化。
功能安全评估通常聚焦于某一台设备的故障,得出故障概率、潜在后果以及对于安全性、环境和商业运营的影响。IT评估也很类似,不同的是系统受IT威胁影响的后果是发生生产中断进而导致巨大的经济冲击,而非伤亡事故。
吸取了商业IT网络的经验,针对过程控制工程网络也开发了很多工具,用于扫描系统信息,例如资产识别标志、正在使用的协议、操作系统状态、版本、补丁版本以及安装了哪些软件包。然而,如果在应用这些软件的同时不考虑网络安全问题,那么由于网络设计的特质,这些工具可能会为潜在的黑客大开方便之门,而以前的黑客是没有这种侵入渠道的。基于这种原因,应该引入整套的技术方案或者一个部门,从现场设备安全到公司网络与互联网之间的防火墙安全进行全方位地方胡。
关键概念
-工厂安全系统的设计针对保护人为故障或者技术故障,但是他们却没有考虑来自于外部的蓄意网络攻击的影响。
-你的过程安全团队应该与IT安全团队协同工作,因为只有这两个系统配合得当,才能够同时抵御传统安全威胁和网络威胁。
漏洞评估
从所使用的协议到现场设备都需要进行全面的评估。哪里易受互联网攻击?有一些现场设备的输出需要进行转换才能与DCS系统兼容,对这些设备也需要进行评估。例如,多技能评估团队必须确定如果某一台现场设备发生了问题,那么它是否可以被有效地控制并中断作业。要想得到这样的结论,必须对多种不同技术有深入了解,包括协议、协议的载体网络、交换机、网络电缆和电源供给。
例如,如果一台用来连接现场设备和过程控制域的网络交换机断电了或者因为其他原因发生了故障,那么后果会怎样?冗余设备无法解决所有的问题,因为攻击一台交换机的病毒同样可以攻击冗余交换机。如果一个黑客利用数据包转发机制或者通过重新发送的方法将过程控制命令从一个网络端口/路由发送到另一个网络的话会怎么样?这是一种从交换机盗取数据的常见攻击手法,但是如果这个黑客能够将命令和控制数据从一个端口或者网络重新路由至另一个端口或者网络又会如何?
在评估了现场协议、网络组件和端口之后,下一步就是过程控制域(PCD)或者DCS了。DCS网络基础设备被独立的仪表和控制工程师管理的年代已经一去不返了。这些网络现在会受到恶意代码、病毒以及威胁分析中的常见威胁的影响。因此控制工程网版权所有,IT部门通常都具有必要的技术方案和知识,在受到恶意程序攻击之后,用来确定网络的受损状况。当然,假设基于IT的攻击对一台特定设备造成了影响,那么工程部门也不得不评估这次攻击给生产过程带来的损失。
而且,相比于传统IT系统,过程控制领域的变化更慢。自从20世纪70年代,IT系统就开始收到外部的影响,也是从那时起,IT系统发生了一系列巧妙的变化以实现安全性。但是,过程控制的发展途径更加具有策略性。直到今天,这两者才开始变得更加巧妙,使得在今天的工厂风险评估中,IT和工程两种技术和经验得以结合。
"DCS网络基础设备被独立的仪表和控制工程师管理的年代已经一去不返了。这些网络现在会受到恶意代码、病毒以及威胁分析中的常见威胁的影响。"
人的因素
如果我们留意最近网络攻击的上升趋势,就会注意到Stuxnet这种或许是最为人熟知的病毒,它被广泛地宣传、深度报道,而且这种病毒专门针对过程自动化系统进行攻击。这种威胁来自于工厂外部,能够中断正在运行着的过程。这种病毒的设计对过程控制网络中所使用的协议进行了专门分析,能够造成很大破坏。在系统设计和安装之初,最好了解一下是否针对这种类型病毒的攻击做了HOZOP预分析或者风险和威胁评估。
Stuxnet并非只是一个技术问题,它还涉及到人的弱点和人为故障。此病毒的感染很明显是通过任何雇员都可以取用的USB设备,使用此USB设备的员工是否会在将其用于过程控制域之前考虑风险、冲击和后果等问题?恐怕答案是否定的。
所以对于此类威胁,哪个部门的安全、安保、风险和威胁评估应该对此负责?答案是两者都应该负责!
反省一下,从IT的角度来看,很容易就知道如果对USB端口进行更好地管理,那么问题就会好转。如果员工都按照规范和程序做事,除非受到强迫,否则他们不会将病毒引入过程控制域内。很多IT部门现在为员工提供授权的USB设备,防止此类事件上升,确保雇员不使用自有设备。
另一项最近的攻击是由Shamoon恶意软件造成的,它由如下三部分组成:报告;重写驱动文件、程序文件或者库文件;以及最具破坏力的重写主引导记录并使设备重启,导致无法启动。
在进行功能安全评估时确保对网络安全进行了考虑,然后再对后果和影响进行评估和深入理解,得出风险降低对策并将其实施,可以包括禁用USB端口、确保规范和流程被严格执行以及针对使用外来USB设备的风险对员工进行培训等等。
经验和程序双管齐下
仅仅让IT团队和工程团队进行沟通是不够的。有效的协作要求两个部门对经验和程序进行仔细的分析,找出相悖之处。能够配合最好,因为任何相悖之处都有可能成为系统的潜在弱点。
将IT世界和功能安全世界这两个世界的精华合二为一的日子到来了。下一次进行HAZOP分析的时候,不要仅仅考虑过程危险,还要考虑IT危险、后果和影响。能够越早地摒弃安全和网络安保功能之间的隔阂,就能够更安全地实现经济目标。完成这一转变的最好方法就是相互学习和借鉴。
更多相关内容,请访问技术专题“自动化的信息安全”。
http://www.cechina.cn/special/ce-focus/Security/index.html