【摘要】北美電力可靠性協(xié)會(huì)發(fā)布的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（NERC CIP）規(guī)章第二版今年進(jìn)入強(qiáng)制執(zhí)行。其中包含了各種各樣的工廠和SCADA系統(tǒng)的示范。　　國際化的經(jīng)濟(jì)貿(mào)易對(duì)持續(xù)、可靠的電力供應(yīng)的依賴已經(jīng)到達(dá)了無以復(fù)加的地步?；ヂ?lián)網(wǎng)促進(jìn)了貿(mào)易的全球化，深深融入了現(xiàn)代社會(huì)，而它對(duì)于電力的依賴最明顯不過。矛盾的是，正是這種互聯(lián)的能力，為電力的持續(xù)供應(yīng)制造了弱點(diǎn)，它使電力行業(yè)的關(guān)鍵設(shè)備的安全性提升到一個(gè)極其重要的地位。具有撥號(hào)或者IP連接的設(shè)備——包括HMI和其他控制系統(tǒng)——在今年的新規(guī)則中成為減輕威脅的突破口?！　?009年6月30日起，所有大型電力系統(tǒng)中的高壓電力傳輸和配電（T&D）從業(yè)人員必須符合北美電力可靠性委員會(huì)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（NERC CIP）。而且他們必須開始著手收集并記錄數(shù)據(jù)，在2010年7月之前達(dá)到要求。發(fā)電站業(yè)主和從業(yè)人員的時(shí)間期限在6個(gè)月之后。對(duì)于北美電力設(shè)備關(guān)鍵網(wǎng)絡(luò)資產(chǎn)（CCAs）的保護(hù)，這是一個(gè)里程碑。對(duì)于其他工業(yè)也具有借鑒意義?！　】傮w來說，NERC CIP規(guī)章促使從業(yè)人員去：充分定義CCAs；開發(fā)安全管理控制設(shè)備；對(duì)工作人員進(jìn)行培訓(xùn)；強(qiáng)制執(zhí)行監(jiān)測(cè)和預(yù)防措施；建立應(yīng)對(duì)方案、通知體系和恢復(fù)機(jī)制?！　≡跇?biāo)準(zhǔn)趨于完善之前，對(duì)標(biāo)準(zhǔn)的解釋和理解還需付出很大努力。同時(shí)，殘酷的現(xiàn)狀仍將持續(xù)，地方可靠性委員會(huì)的檢查評(píng)估，將對(duì)不符合項(xiàng)目處以每天1百萬美元的罰款。然而，毋庸置疑的是，這對(duì)SCADA、HMIs以及其他設(shè)備控制系統(tǒng)的影響將極為深遠(yuǎn)。　　公司的高級(jí)知識(shí)工程師Eric Knight為授權(quán)的登陸行為提供了軟件解決方案，他說道：“負(fù)責(zé)SCADA系統(tǒng)的任何人都需要自省，一旦有人入侵系統(tǒng)，他們?cè)撊绾螒?yīng)對(duì)。
“操作人員必須知道，需要防護(hù)的不僅僅是技術(shù)本身。”——Walter Sikora，Industrial Defender　　網(wǎng)絡(luò)保護(hù)解決方案提供商Industrial Defender公司副總裁Walter Sikora說道：“操作人員必須知道，需要防護(hù)的不僅僅是技術(shù)本身，有很多人為因素涉及其中。NERC CIP規(guī)則有效地涉及了所有方面——從操作到人力資源、維護(hù)、獲取和法律。你需要明白，符合并不是一個(gè)終極目標(biāo)，而是一個(gè)永不停滯的過程?！?br>        控制系統(tǒng)安全問題的潛在后果是可怕的。休斯敦一家基礎(chǔ)設(shè)施顧問公司Dyonyx的副總裁Ron Blume說道：“一旦某個(gè)人能夠入侵公用設(shè)備供應(yīng)商的控制系統(tǒng)，他們就可以使電網(wǎng)癱瘓?！薄　〕藦?qiáng)大的物理安全防范措施（例如緊鎖的控制室）和電子安全防范措施（例如防火墻、查毒和防毒軟件），操作人員必須具有備案的安全管理控制策略和流程，以及對(duì)CCAs訪問的強(qiáng)大的安保、監(jiān)控和控制方法。
“每個(gè)責(zé)任實(shí)體都必須開始構(gòu)建良好的網(wǎng)絡(luò)策略。在此之前，這項(xiàng)要求只存在于IT領(lǐng)域內(nèi)?！薄猂oger Pan， Emerson Process Management　　艾默生過程管理公司Ovation Security 項(xiàng)目經(jīng)理Roger Pan說道：“每個(gè)責(zé)任實(shí)體都必須開始構(gòu)建良好的網(wǎng)絡(luò)策略。在此之前，這項(xiàng)要求只存在于IT領(lǐng)域內(nèi)。雖然這很讓人討厭，但確實(shí)有用?！薄　w根結(jié)底，我們的目的是降低威脅等級(jí)。Blume說道：“風(fēng)險(xiǎn)等式等于威脅因子乘以攻擊可能性。你必須假設(shè)你將會(huì)受到攻擊，如果你不具備防火墻，風(fēng)險(xiǎn)就很高。但是一旦你具有多層防護(hù)措施，而且具有DMZ（隔離區(qū)，也叫數(shù)據(jù)管理區(qū)），哪怕威脅等級(jí)很高，風(fēng)險(xiǎn)也是很低的。” 　　“你也可以通過降低網(wǎng)絡(luò)透明度來降低威脅等級(jí)。如果有開放的未使用端口，那么你就增加了風(fēng)險(xiǎn)等級(jí)。” 安全終端設(shè)備公司Lumension的安全和法政分析師Paul Henry說道。今天，幾乎所有運(yùn)行SCADA系統(tǒng)的服務(wù)器都具有USB接口，閃存驅(qū)動(dòng)器已經(jīng)變得很普及。Henry補(bǔ)充道：“因此，對(duì)于接入服務(wù)器的設(shè)備必須有強(qiáng)大的策略支持?！?center>
　　NERC CIP 可靠性標(biāo)準(zhǔn)CIP-005要求所有的關(guān)鍵網(wǎng)絡(luò)資產(chǎn)、包括SCADA，處于電子安全防范的保護(hù)（ESP）下。對(duì)ESP的訪問受到安全地控制和監(jiān)督。　　訪問必須嚴(yán)格監(jiān)督、識(shí)別和控制。一家網(wǎng)絡(luò)安全顧問公司Encari的合伙人Matt Luallen說道：“過去，識(shí)別僅僅基于對(duì)員工可靠的信任。而且一旦你收到了來自網(wǎng)路的通訊，要求執(zhí)行程序，你只能相信它來源可靠?！薄　‰m然Windows提供了一定程度的訪問控制，但是你必須跳過簡單的基于Windows的密碼控制，著眼于更遠(yuǎn)。Schneider Electric公司的商業(yè)開發(fā)經(jīng)理Todd Davis說道：“基于組織的組成和結(jié)構(gòu)，你必須決定你到底想要做到何種細(xì)分程度。如果控制室里有多個(gè)操作人員，每個(gè)操作人員具有不同的授權(quán)級(jí)別，你是希望通過在工作站級(jí)別對(duì)其進(jìn)行控制，還是通過屏幕進(jìn)行控制，或者甚至更細(xì)致，在每個(gè)HMI的屏幕上進(jìn)行對(duì)象級(jí)別控制。大多數(shù)SCADA系統(tǒng)都能夠完成以上多種級(jí)別的控制，系統(tǒng)管理員要做的就是將其落實(shí)?！薄　×硗?，Davis說道，管理員可能會(huì)希望增加三重識(shí)別，包括密碼、個(gè)人信息以及某種生物學(xué)特征識(shí)別——增加這些需要100美元的費(fèi)用?！　umension公司的Henry也贊同“最少特權(quán)規(guī)則。簡單來說，系統(tǒng)中任何用戶都應(yīng)該滿足最低的授權(quán)，才可以進(jìn)行工作?！比欢?，訪問授權(quán)也必須考慮維護(hù)人員、工程服務(wù)人員和供應(yīng)商的技術(shù)支持人員。所有這些人員應(yīng)該經(jīng)由姓名識(shí)別，而不是工作等級(jí)，HR必須確保他們都經(jīng)過了培訓(xùn)并且通過了背景核查?！　　　∠到y(tǒng)維護(hù)、維修管理和設(shè)置變動(dòng)也在安全考慮的范疇內(nèi)，包括SCADA和HMIs。很多變電站設(shè)備從來都不需要聯(lián)網(wǎng)，也不具備真正意義上的TCP/IP故障檢查能力，所以一旦某人運(yùn)行系統(tǒng)掃描，就有可能造成系統(tǒng)網(wǎng)絡(luò)崩潰。所以投運(yùn)前維修和停機(jī)后維修以及設(shè)置測(cè)試也需經(jīng)過授權(quán)，以確保安全性，進(jìn)而滿足要求?！　igital Bond（一家控制系統(tǒng)安全研究和咨詢機(jī)構(gòu)）公司總裁Dale Peterson說道，雖然對(duì)標(biāo)準(zhǔn)的依從并不如人愿，但是它仍將按時(shí)到來?！熬拖袼_班斯法案一樣，它需要時(shí)間證明自己。然而，重要的是，你的不懈努力最終不會(huì)辜負(fù)你的決定?！薄　」I(yè)網(wǎng)絡(luò)產(chǎn)品供應(yīng)商GarrettCom的執(zhí)行副總裁John Shaw將NERC CIP精簡為一套方法的集合?！按_定所有那些將會(huì)影響操作的關(guān)鍵網(wǎng)絡(luò)資產(chǎn)，然后確定誰會(huì)觸及這些資產(chǎn)。關(guān)閉所有不必要的開放端口。對(duì)授權(quán)用戶保持跟蹤。保存日志，跟蹤所有記錄?！薄　haw補(bǔ)充道：“是否符合取決于你的安全決定的記錄，以及整個(gè)網(wǎng)路安全性的狀態(tài)。理論上，如果你不符合，你每天就會(huì)被處以1百萬美元的罰款。這筆數(shù)額足以引起任何公司的重視。”來源：作者：Frank O Smith, Control Engineering