摘要：如今正在運(yùn)行的過程控制平臺中，極少一部分安裝了內(nèi)建的網(wǎng)絡(luò)安全保護(hù)模塊。大部分平臺都出現(xiàn)在互聯(lián)網(wǎng)大規(guī)模普及之前。這些系統(tǒng)能否經(jīng)受住當(dāng)今各種威脅的沖擊呢？　　在過去若干年中，網(wǎng)絡(luò)安全已經(jīng)成為了一項(xiàng)核心問題，它的受關(guān)注程度似乎在與日俱增。新的IT 以及工業(yè)控制系統(tǒng)平臺整合了改進(jìn)后的安全功能，然而工業(yè)界面臨的問題是：大量控制系統(tǒng)在網(wǎng)絡(luò)安全措施推出之前就已經(jīng)投入運(yùn)行，許多還是在互聯(lián)網(wǎng)大規(guī)模普及之前就已經(jīng)存在了。如果這些系統(tǒng)缺乏適當(dāng)?shù)姆烙胧?，黑客就可能通過它們與外圍網(wǎng)絡(luò)的連接路徑侵入系統(tǒng)，并實(shí)施各種破壞。我們面對的問題是：能否為老式系統(tǒng)提供充足的安全保障？　　Invensys Process Systems的首席安全架構(gòu)師Ernie Rakaczky說：“一般而言，一套控制系統(tǒng)經(jīng)過采購、安裝、組態(tài)之后一旦投入使用，在之后20年左右的時(shí)間里就會被完全遺忘。多數(shù)情況下，這只是控制工程師的一般看法。在過去的5到10年中，這樣的問題層出不窮。這些早期的控制系統(tǒng)中，許多都不具備網(wǎng)絡(luò)連接功能。它們的設(shè)計(jì)目標(biāo)只有一個(gè)：控制一臺閥門的開關(guān)或是測量液位，因此它們確實(shí)不需要連接到網(wǎng)絡(luò)?！薄　〉珕栴}是，世界不可能一直停滯不前。隨著信息技術(shù)的發(fā)展，控制系統(tǒng)用戶越來越渴望把信息提取出來并為外部用戶提供連接。Rakaczky補(bǔ)充說：“傳統(tǒng)控制系統(tǒng)只能夠?qū)崿F(xiàn)過程控制，而當(dāng)今的控制系統(tǒng)可能擁有50%的控制功能和50%的信息交換功能。在這種趨勢下，我們開始將控制平臺數(shù)據(jù)提取到歷史記錄、工廠網(wǎng)絡(luò)或企業(yè)網(wǎng)絡(luò)中，同時(shí)增加一些優(yōu)化方法、采取更謹(jǐn)慎的做法并使用一些自我保護(hù)的功能?！?b>連接是否安全？　　有些專家固執(zhí)地認(rèn)為，只有切斷連接才能稱得上真正安全的連接。Kevin Staggs是國際注冊信息系統(tǒng)安全專家（CISSP），同時(shí)也是Honeywell Process Solutions的工程師兼全球安全架構(gòu)師。他說：“幾乎所有的私有系統(tǒng)都擁有自己的網(wǎng)絡(luò)。由于這些系統(tǒng)既沒有設(shè)計(jì)成自我保護(hù)結(jié)構(gòu)，又缺乏其他保護(hù)措施，加入任何的連接點(diǎn)都可能帶來嚴(yán)重的威脅。如果你試圖接入這些早期的系統(tǒng)，那么就必須完全了解接入點(diǎn)的位置，并且清楚這些接入點(diǎn)采用了哪種接入技術(shù)。許多情況下，這些接入點(diǎn)都已經(jīng)過時(shí)了?！薄　〉牵绻愕姆烙侄问菍⑾到y(tǒng)與外界隔離的話，那么你必須確保這樣的隔離是完全的、徹底的，才能起到效果。Siemens Energy & Automation的過程自動化系統(tǒng)經(jīng)理Todd Stauffer說：“用戶往往認(rèn)為孤立的網(wǎng)絡(luò)是安全的，并且把所有雞蛋都放在一個(gè)籃子里。他們堅(jiān)信，孤立化必將帶來安全性。但在許多情況下，總有人會把外部的記憶棒插入系統(tǒng)，或者臨時(shí)接入一臺筆記本電腦，又或者臨時(shí)連接另一組網(wǎng)絡(luò)。這些情況都會導(dǎo)致孤立網(wǎng)絡(luò)出現(xiàn)混亂。除非你采取了措施阻止用戶將記憶棒、CD或DVD插入到隔離區(qū)域，一般情況下你都必須在孤立網(wǎng)絡(luò)中加入安全保障措施。否則，當(dāng)遇到攻擊時(shí)，你的系統(tǒng)將變得不堪一擊?！?b>系統(tǒng)的多個(gè)時(shí)代　　老式控制平臺的時(shí)間跨度很長，有些延用至今的平臺采用的還是最早期的DCS配置方式。我們可以將所有投入實(shí)際應(yīng)用的平臺分為兩大類：采用私有網(wǎng)絡(luò)的和基于Microsoft Windows架構(gòu)的。　　早期系統(tǒng)的操作人員會自我安慰說，即使一名黑客能夠侵入系統(tǒng)，面對這些過時(shí)的技術(shù)，他也會變得無所適從。難道這確實(shí)能夠成為一種防護(hù)策略嗎？Exida的高級顧問John Custimano將這種策略形容為在稀薄的冰面上滑行。他奉勸說：“如果某人進(jìn)入了一套老式控制系統(tǒng)，并且掌握著系統(tǒng)的命令結(jié)構(gòu)，那么他就能輕易引起系統(tǒng)混亂。這與黑客入侵的區(qū)別在于，黑客還必須具備一手侵入老式系統(tǒng)的高超技能。一旦你做到了這一點(diǎn)，沒準(zhǔn)就能夠執(zhí)行任何你想要執(zhí)行的命令?！薄　∥覀兠媾R的問題是，在過去幾年中，潛在的黑客高手人數(shù)很可能大幅增長著。反入侵系統(tǒng)提供商Top Layer的安全策略工程師Ken Pappas警告說：“如今我們擔(dān)心的是：受經(jīng)濟(jì)形勢的影響，公司解雇了大量員工。這些心懷不滿的員工已經(jīng)掌握了系統(tǒng)運(yùn)行的內(nèi)部知識。他們聯(lián)手之后，既能夠找到進(jìn)入網(wǎng)絡(luò)的途徑，又知道進(jìn)入網(wǎng)絡(luò)之后該做些什么。他們制造混亂的能力遠(yuǎn)遠(yuǎn)超過了那些僅僅知道如何侵入網(wǎng)絡(luò)的普通黑客。事實(shí)上，不是黑客變聰明了，而是出現(xiàn)了一類新的黑客——前任員工?！?b>因此，他們需要被特別關(guān)注。　　Staggs也對此表示贊同，他建議：“早期的Windows系統(tǒng)不應(yīng)該被連接到商用網(wǎng)絡(luò)中。毫無疑問它們必須經(jīng)過隔離，而且你必須掌握它們與商用網(wǎng)絡(luò)交換數(shù)據(jù)的路徑。你需要一款經(jīng)過嚴(yán)格配置的防火墻，在可能的情況下還應(yīng)該通過一個(gè)現(xiàn)代化的服務(wù)器交換數(shù)據(jù)。于是，你可以為這臺較現(xiàn)代化的服務(wù)器提供保護(hù)，把它作為防御設(shè)備。多數(shù)情況下，保護(hù)技術(shù)會面臨過時(shí)的問題，因此你需要時(shí)刻更新到最前沿的技術(shù)?！薄　　斑^時(shí)”一詞在本文中指的是任何一代無法繼續(xù)獲得技術(shù)支持的Windows。Windows 2000能夠獲得支持直至2010年6月30日。任何比它早的版本都只能被劃分到無保護(hù)的范疇內(nèi)，而且無法獲得安全更新。你能夠做些什么？　　　　Sean McGurk是美國國土安全部（DHS）的控制系統(tǒng)安全計(jì)劃（CSSP）總監(jiān)。他警告說：“被動的安全策略不適用于當(dāng)今的互聯(lián)網(wǎng)環(huán)境。目前，我們已經(jīng)對那些服役多年的設(shè)備的弱點(diǎn)作了分析。結(jié)果顯示，大多數(shù)（46%左右）弱點(diǎn)存在于控制系統(tǒng)網(wǎng)絡(luò)和商用網(wǎng)絡(luò)之間的DMZ(隔離區(qū))?？紤]到這一地帶的連接相當(dāng)重要，如此高的比例是我們無法接受的。你需要找到一種守護(hù)這些信道的辦法?！薄　∵@種思路毫無疑問是正確的，但是知易行難。如果某件東西之前從未有過保護(hù)方案，又脫離了生產(chǎn)商的支持，那么要保護(hù)它就不是一件容易的事。Industrial Defender的市場主管Todd Nicholson解釋說：“當(dāng)前環(huán)境下，我們面臨的挑戰(zhàn)是每個(gè)人都希望得到安全防護(hù)，尤其是在連接到外部世界的情況下。但是這種環(huán)境——包括硬件、軟件、操作系統(tǒng)——又是早期遺留下來的。于是，我們無法在不嚴(yán)重影響性能和實(shí)用性的前提下，將反病毒軟件之類的現(xiàn)代安全技術(shù)應(yīng)用于工廠系統(tǒng)層面。你所面對的環(huán)境是如此脆弱，以至于你在制定防御策略時(shí)，不得不反復(fù)斟酌?！薄　”M管如此，可行的策略還是有的。本文不對這些策略的細(xì)節(jié)一一進(jìn)行闡述，但是側(cè)邊欄提供的資源能夠幫助我們啟動這些流程。大部分策略都需要你首先對當(dāng)前的系統(tǒng)架構(gòu)作深入分析，并且對控制網(wǎng)絡(luò)上運(yùn)行的所有軟件進(jìn)行分類。另一個(gè)主要步驟是尋找所有的外部連接，這一過程對那些一度茫然不知所措的公司而言往往具有開拓視野的作用。Staggs建議用戶從升級那些過時(shí)的設(shè)備入手，當(dāng)然尋找連接的過程也不可能止步于此。他建議說：“為了找到隱藏的連接點(diǎn)，你應(yīng)該查看OPC、串口網(wǎng)關(guān)、調(diào)制解調(diào)器、安全的系統(tǒng)連接點(diǎn)、串口Modbus或IP，甚至是Foundation Fieldbus或者Profibus。”遷移？正是時(shí)侯　　用戶是否有必要為了網(wǎng)絡(luò)安全進(jìn)行平臺遷移呢？最終的回答可能是的確有必要遷移到一套具有更高安保水平的平臺。這當(dāng)然不是一件小事，尤其是在經(jīng)濟(jì)衰退的大背景下。Siemens Energy & Automation的遷移市場經(jīng)理Ken Keiser說：“我想，大多數(shù)實(shí)際操作系統(tǒng)的工程師都會意識到風(fēng)險(xiǎn)。但是，他們能否將風(fēng)險(xiǎn)量化并作為平臺遷移的理由又是另一個(gè)問題了?！薄　eiser說：“我不知道他們是否能夠?qū)栴}向管理層闡述清楚。雖然他們意識到了風(fēng)險(xiǎn)，但是要將安全問題闡述清楚遠(yuǎn)比說一句‘平臺再也無法工作下去了，會影響到生產(chǎn)?！瘉淼美щy。用戶傾向于先對系統(tǒng)中最脆弱的部分進(jìn)行升級，這一部分就是人機(jī)界面。與連接到一臺遠(yuǎn)程設(shè)備相比，自頂向下地連接一臺控制器顯得更容易一些?！薄　oreTrace營銷副總裁J.T.Keating認(rèn)為系統(tǒng)遷移是一種過于緩慢的做法。他建議說：“如果我們出于網(wǎng)絡(luò)安全方面的考慮希望對早期系統(tǒng)作升級，那么替換這些系統(tǒng)往往是不現(xiàn)實(shí)的，至少在系統(tǒng)運(yùn)行時(shí)是不現(xiàn)實(shí)的。安全問題是當(dāng)前就要解決的，替換是將來才會被考慮的。由于需要替換的系統(tǒng)往往相當(dāng)關(guān)鍵，替換計(jì)劃必須制定得相當(dāng)周密。在2009年，投資人的要求往往是‘因地制宜’進(jìn)行生產(chǎn)，而非拋棄或替換大量的基礎(chǔ)設(shè)備。從能源角度考慮，我們也應(yīng)該盡可能高效地進(jìn)行生產(chǎn)?，F(xiàn)實(shí)情況是，對于那些關(guān)鍵的系統(tǒng)而言，幾乎不存在增加安全性的完美方案?！薄　∧敲凑?guī)范是否會對大規(guī)模的系統(tǒng)更換起到強(qiáng)制作用呢？NERC（國家電力公司）是否會有新的要求呢？McGurk指出，80%的關(guān)鍵基礎(chǔ)設(shè)施是私有性質(zhì)的，即使是NERC也只能覆蓋大型能源工業(yè)的一小部分。面對現(xiàn)實(shí)，他悲觀地說：“長期以來，一種心態(tài)一直彌漫在我們周圍，就是用不遵守規(guī)章制度的方式否認(rèn)安全的重要性?！?b>人為因素        　　目前為止，我們的討論都集中在技術(shù)解決方案上，但是人為因素也同樣存在。只有當(dāng)相關(guān)人員都參與流程時(shí)，他們才會知道如何保障系統(tǒng)的安全。一個(gè)普遍的人為問題是：早期系統(tǒng)缺乏相關(guān)的文檔資料。與流程中的其他部分一樣，如果一套系統(tǒng)的服役時(shí)間達(dá)到十年甚至更久，那么用戶可能無法得到反映實(shí)際運(yùn)行狀況的現(xiàn)成文檔。用戶往往需要從不成文的系統(tǒng)變化中找尋系統(tǒng)的薄弱環(huán)節(jié)。　　Nicholson經(jīng)過觀察后說：“不僅是在工廠環(huán)境下，在企業(yè)IT中對變化進(jìn)行管理也極具挑戰(zhàn)性。例如，在你為外部用戶開啟了一個(gè)端口之后，你如何才能夠有效地對系統(tǒng)的變化進(jìn)行追蹤和監(jiān)控呢？有些人可能會忘記曾經(jīng)打開過端口，從而導(dǎo)致系統(tǒng)被暴露。”　　Matt Luallen是Encari的合伙創(chuàng)始人兼Control Engineering網(wǎng)絡(luò)安全博客作者。他強(qiáng)調(diào)了處理問題時(shí)步驟的重要性。他 說：“充分而且有效的問題處理步驟對 于正確的信息安全項(xiàng)目而言是必不可少 的。這些步驟包括對事件的認(rèn)定和控 制，對根源問題的認(rèn)定和排除，對相同 事件的預(yù)防，建立調(diào)用樹，將變化寫入 相關(guān)文檔幫助區(qū)分變化是否經(jīng)過認(rèn)證， 以及適當(dāng)?shù)纳壓蛨?bào)告程序?！薄　uallen還說：“我們經(jīng)常會看到用 戶對控制系統(tǒng)的軟、硬件作了改變而沒 有寫入文檔、發(fā)布通知，也沒有進(jìn)行統(tǒng) 一驗(yàn)證。從安全角度考慮，這種做法本 身就是違規(guī)的。但是，這種狀況無法簡 單地通過技術(shù)手段解決。許多情況下， P LC、RTU、中繼器和其他控制系統(tǒng)軟、硬件無法對控制方面的修改提供驗(yàn) 證流程?！薄　≈挥挟?dāng)相關(guān)人員理解了步驟在保障 工廠安全方面的地位時(shí)，它們的重要性 才得以體現(xiàn)。DHS的報(bào)告顯示，社會工 程是受攻擊最多的對象。McGurk感嘆地 說：“我們見證了太多的系統(tǒng)弱點(diǎn)和盲 點(diǎn)是由于用戶不合理操作導(dǎo)致的。這些 用戶沒能理解安全防護(hù)的重要性?！薄　daho國家實(shí)驗(yàn)室DHS CSSP經(jīng)理Marty Edwards指出，相關(guān)人員的思想意識需要 轉(zhuǎn)變。他說：“無論是在控制系統(tǒng)領(lǐng)域、 IT領(lǐng)域還是實(shí)際的安全領(lǐng)域，我們在安全 問題上遇到的最大挑戰(zhàn)是如何樹立起安全 意識。無論你的設(shè)備來自何方，你都應(yīng)該 建立起這種意識。你需要把它融入到你的 性格中，加入到你的訓(xùn)練中?！薄　dwards說：“從安全角度看，流程 工業(yè)領(lǐng)域接觸這種意識已經(jīng)有一段時(shí)日 了。在沒有考慮安全問題之前，你是不 會開工的。我們必須將這樣的意識深入 腦海，在做任何事之前，都需要考慮一 下安全問題。我們是否可以在用戶會議 上拿出一份包含了所有控制系統(tǒng)內(nèi)部細(xì) 節(jié)的網(wǎng)絡(luò)結(jié)構(gòu)圖？每個(gè)人都能夠快速地 轉(zhuǎn)換意識，而且這樣做比更換設(shè)備廉價(jià) 許多?！?