用户中心

资讯 > 封面特写

控制系统安全性的10大威胁

作者:Peter Welander, Control Engineering 编辑2007.09.10阅读 6719

  北美电力可靠性协会所做的调查显示,控制系统的这10个软肋,也正是解决控制系统安全弊病的最佳着手点。
  北美电力可靠性协会(NERC)致力于提高北美大型电力系统的可靠性和安全性,作为更大型的基础设施提供保护。为了确保电力供应不间断,NERC对基于计算机网络控制的电网进行监控。它监视着一系列的网络安全漏洞,作为保护整个工业网络的模型,它在电力工业之外也是可以接受的。
  负责现场和基础设施安全的国际注册信息系统安全师Scott R. Mix说:“《10大控制系统漏洞和相关的解决方案(2006版)》是网络安全弊病列表的第三次修改。这些文件由隶属于NERC关键基础设施保护委员会(CIPC)的控制系统安全工作组(CSSWG)负责维护,并且这些文件每年都要更新,还要记录上改进的解决办法。”他说,由最初的2004版的简单列表发展到今天,对于每一个记录的漏洞都有三个层次的解决方案。
  以下就是这10个弊病,以及工业产品供应商和顾问就每一项对整个系统的影响而提出的建议。
  没有足够的政策、制度和文化来监管控制系统的安全性。
  安全性开始于一种文化或者说是一种警戒的传统。艾默生过程管理的产品经理Bob

Huba Delta V说:“当提及安全性的技术解决方案时,你可能会想到防火墙、密码等等,但是这些只占了所有解决方案的20%,而员工的安全常识却要占到80%。引用一位从业者的话,“停止你的愚蠢行为”,然后问一句,“你的工厂有没有安全规范?”这个问题就和问陌生人为什么会在控制室里控制工程网版权所有,或者确保用户了解不要携带便携式播放器以及不许安装未经授权的程序一样简单。”
  ABB公司的电站工程解决方案经理Kim Fenrich说:“如果没有一个有效的安全法规、解决策略和定期培训,其他的安全措施也不会很成功。为此,保障安全性必须被看成一个长期的过程,而不是对防火墙、屏蔽、扫描火加密技术的一次性投资。”
  赛门铁克咨询服务公司的主管Bryan Geraldo说:“操作员们相信,对于随机的攻击和非针对性的破坏来说,控制系统是相对安全的,因为它们并非直接与Internet互联,或者有不同的软硬件组成,其中一些甚至还嵌入了供应商的‘独家嵌入式安全特性’”。Geraldo说:“然而,虽然大多数IT产品带有嵌入式安全手段例如密码和加密选项,或者基本的防火墙/准入限制机制,很多这些特性都是未激活的,或者被置于默认设置以及错误的设置,这就会产生对安全性的错误监管。”
  霍尼韦尔过程控制部公司负责生命周期服务的高级市场经理Marilyn Guhr建议道:“通用的解决方案与系统结构不同www.cechina.cn,它需要变化。由于控制系统的环境正在向开放式转变,需要新的政策和法规,然而通常情况下,系统使用者们并不清楚是否需要这些法规,或者他们认为这些事应该由其他人负责。公司内的IT部门对此倒是非常清楚CONTROL ENGINEERING China版权所有,但是他们却没有责任在过程控制中帮助解决这些问题。”
  无知将导致错误。Byres安全公司的首席执行官Eric Byres说:“我看到了越来越多由于工厂安全方面的工作做的不够而导致的事故。例如,在一次我参与的审核项目中,发现网络电缆越过SCADA 防火墙。后来提供的解释说,经过分险分析,表明防火墙并不重要,而且也没有法规上明确防火墙是必须的。”
  网络设计不完善www.cechina.cn,并且深度保护不够。
  安全防护需要的不仅仅是强大的外围措施。西门子能源与自动化集团PCS 7的市场经理Todd Stauffer建议道:“成功地保护一个控制系统,需要一个全面系统的方法。一个最常见的误解也是最危险的误解是,只要给控制系统安装了防火墙,那么它就被保护了。这是非常错误的。实际上,包括美国的国土安全部在内的负责安全的专业人员和代理人,经常建议采用一种叫做‘深度保护’的分层防护的方法。深度保护提倡采用嵌套安全体系结构,工厂被分成多个安全封闭的单元(区域)。每个区域都有明确的定义CONTROL ENGINEERING China版权所有,它们的控制和通讯的输入输出接口也被严密监控。”
  “控制系统必须有分层次的保护措施。”霍尼维尔过程解决方案公司的全球安全设计师Kevin Staggs说:“越是关键的接口,例如控制和人机界面,越是需要深层次的防护。控制系统至少需要一个防火墙,以使其与商业网络分离开,并且它们永远也不要和互联网相连。IT领域内深知如何深度保护网络,但是这些相关知识并不必要应用到控制系统。”
  Byrnes说:“没有一个IT部门会仅仅安装一个防火墙之后就说‘我们已经防护好了’。IT部门会在每一台服务器、台式机和笔记本电脑上都安装杀毒软件、个人防火墙和更新补丁等等,这样一来,无论有没有外围防火墙,这些计算机本身也足够保护自己了。然而,在SCADA和控制系统的世界,公司如果仅仅在控制网路和商业网络之间安装防火墙,那么就忽略了对那些关键器件的保护,例如PLC、RTU或者DCS。整个控制安全范例是外层脆弱

版权声明:版权归控制工程网所有,转载请注明出处!

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2020    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688