Ernest Rakaczky，英维思流程控制网络安全总Thomas Szudajski，英维思全球电力市场总监前言不管你喜欢与否，电力行业很容易受到各种网络威胁的影响，这些网络威胁会对控制系统造成严重破坏。管理部门、工程部门与IT部门有责任采取一系列综合方案加以遏制，包括针对威胁的预防、检测与消除。这里给出两个似曾相识的威胁场景：网络攻击场景1使用战争拨号器（war dialers）一种连续拨打电话号码来查找调制解调器的简单个人电脑程序，黑客可发现与电力控制系统可编程断路器连接的调制解调器，破解控制访问断路器的密码，改变控制系统设置，从而造成当地电力事故与设备损坏。比如黑客将某些断路器设置值从500 A降至200 A，使这些线路停止工作并将电力转移到邻近的线路。同时，将邻近线路设定值从500 A升高至900 A，防止断路器对那些线路断开和超负荷。这会导致变压器与其他关键设备严重破坏，造成长时间的断电维修。网络攻击场景2一座为大都市供电的电厂，已成功地将控制系统与电厂企业网络隔离，安装了最先进的防火墙，采用了入侵检测与防护技术。一位无辜的工程师从当地一所大学下载了继续教育研修班课程资料，无意间把病毒传染给控制系统。就在上午高峰期来临之前，操作者的显示屏一片空白，系统开始崩溃。虽然以上场景是虚构的，但他们代表了全世界的网络安全专家正面临着的各种真实威胁。网络安全同样已成为21世纪商业发展不可或缺的一部分，如同上世纪传统的建筑安全一样。虽然电力工程师一直采取各种措施最大化其业务运营的安全性，但日益猖獗的全球恐怖主义与黑客活动使维护网络安全的任务变得更为紧迫和令人关注。许多电厂对他们的网络隔离效果及安全性都深信不疑。但是如果不进行随时的内部审计与入侵检测，所谓的安全有可能只是海市蜃楼。此外，业务与生产网络之间日益增加的开放信息共享需求，愈发凸显出交易与数据安全的重要性。对发电企业来说，网络攻击后果会造成大范围的影响，网络安全方面的要求更是迫在眉睫。美国审计总署一份名为《关键设施防护，强化控制系统安全的挑战与成就》的报告，列举了以下可能破坏控制系统的行为： 通过延迟或阻塞信息流经控制系统网络来中断操作，从而使控制系统操作者无法使用网络未经授权，改变可编程逻辑控制器（PLC）、远程终端设备（RTU）或分布式控制系统（DCS）控制器的程序指令，改变报警阀值或对控制设备发布未经授权的指令。这有可能导致设备损坏、过早关机或控制设备失效。为了掩饰未经授权的改动或使系统操作员执行不当操作，给系统操作员发送虚假信息 修改控制系统软件，造成不可预知的后果 干扰安全系统的运行从历史观点来说，控制系统供应商通过由电子电气工程师协会（IEEE）与美国仪器学会（ISA）等行业标准组织制定的指导方针与指标范围，重点满足客户的技术规格要求，以此来应对这些威胁。事实上，在专用设备与应用程序中设计了许多这样的规程，除了最高超的网络攻击者外，这已超出了绝大部分攻击者的能力。然而，过程控制网络设备越来越精良，以用于发电、配电信息的收集，以及与使用标准通讯协议（如以太网或 IP）的商业网络来共享这些信息。这些公开协议也用于调度、营销、公司总部与电厂控制室等之间的通讯。当这样的共享使企业资产管理更具策略性时，就必须提高安全性要求。开放性如今，工业自动化系统（其中许多使用与通用IT系统相同的计算与联网技术）与生俱来的开放性与互操作性，要求工程师密切关注网络与网络安全性问题。否则，这可能会潜在地造成人身伤害或生命安全、破坏环境、公司责任、吊销公司经营许可证、生产损失、设备损坏以及服务质量下降的影响。这样的威胁可能源自各个方面，既有外部也有内部，从恐怖分子、不满的员工到环保组织、普通罪犯。更为糟糕的是，渗透IT与电厂系统所需的技术知识、技能与工具，正变得越来越容易获取。图1表明，随着网络威胁机率的上升，发动攻击所必需的复杂程度却越来越低，使入侵者更易于实施网络攻击。许多公司正准备应对最为不利的情况。比如，从大型发电商积极参与工业标准组织（包括能源部、联邦能源管理委员会及北美电力靠性委员会）的行为表明，他们已经开始更加关注网络安全性。发电厂商同时也在给自动化设备供应商及其合作伙伴施加更多压力，督促他们加速开发支持符合新兴标准的技术。电力行业正在寻找非传统的供应商，以便完善控制室设计与访问、操作员培训以可影响控制系统安全（控制系统供应商领域外的）的程序。这不仅仅是工程设计问题虽然电力工程师在强化电力运营防范入侵者方面扮演着至关重要的角色，但是公司管理部门与IT部门的合作与支持也是必不可少的。美国一家大型公用设施公司对整个公司内的漏洞进行审计，披露了控制系统内某些方面存在技术漏洞，但大部分的发现均与组织管理问题有关。 全厂范围内普遍缺乏网络安全方面的警惕性 系统管理不统一（受不同业务部门的管理)缺少网络安全事故应对计划难以人为接近一些关键资产缺少针对访问网络资源的管理协议缺少变革管理流程边界访问点无正式记录缺少灾难恢复计划对已知漏洞的检测无能为力首先，公司的管理部门应该承认安全操作的必要性。其次，由于很少有公司拥有强化全部流程以应对所有潜在威胁的资源，所以管理部门必须指导制定安全策略，确定公司安全优先级与目标。最后，公司必须在所有管理层、IT部门及项目与电厂工程部门之间形成协作关系。项目工程师需要了解安全风险与可能的应对策略。IT部门能够提供许多安全专业知识，必须了解对于实时可用性的需求以维持设备联网。确定优先级后，工程部门与IT部门可以联合制定计划，至少应解决以下问题:将IT技术与电厂网络结合的方法针对同一网络的安全与不安全协议管理的流程电厂网络控制系统的监测、报警、诊断及其与公司企业网络整合的方法保留取证信息以配合调查/法律诉讼的方法安全连接无线设备的方法同时，管理部门必须意识到，在预防领域的投资回报要比在检测与排除领域大得多。虽然在检测与排除领域的投资可能对于防御即时威胁是必要的，但是将预防攻击放在第一位，可降低未来在监测和排除网络威胁方面的需要和开支。在网络恐怖主义时代，采纳开放标准是另一个紧迫的管理议题。坚持专有技术似乎更不易遭受网络入侵，但这样做会限制其在可靠性、可用性与效率方面的改进，而这些改进可以通过数字技术与高级应用程序的集成来获得。事实上，由于提供商要设法弥补进行专有技术强化方面的额外成本，这令专有技术可能变得更为昂贵。而管理部门最大限度的支持将有助于确保任何技术强化的实施都能做到最富战略性和最具成本效益。基于预防的网络安全架构实施以预防为基础、以标准为导向的网络安全架构的一个最有效的方法就是，将网络分割成若干个区域，每个区域有不同的连接要求与流量模式。在关键位置设置防火墙将网络分割开来。入侵检测与防御系统也部署在关键位置，警报则发送到监测中心。图2是一个多区域网络安全架构，由五个部分组成：互联网区，是未受保护的公共互联网数据中心区，可能是一个或多个区域，位于公司的数据中心、调度与工程部门电厂网络区，承载企业一般业务的网络流量（消息传送、企业资源计划ERP、文件和打印共享以及互联网浏览），可能横跨广域网的多处位置。来自本区的流量可能无法直接访问控制网络区。控制网络区，安全级别最高，承载过程控制设备和应用程序通信。由于它对流量总量与使用的协议极其敏感，本网络分区的流量必须仅限于过程控制网络流量。现场输入/输出（I/O）区，在I/O设备与其控制器之间的通讯是典型的硬件连接。采用物理安全方法保证安全。电厂网络区，承载企业一般业务的网络流量（消息传送、企业资源计划ERP、文件和打印共享以及互联网浏览），可能横跨广域网的多处位置。来自本区的流量可能无法直接访问控制网络区。控制网络区，安全级别最高，承载过程控制设备和应用程序通信。由于它对流量总量与使用的协议极其敏感，本网络分区的流量必须仅限于过程控制网络流量。现场输入/输出（I/O）区，在I/O设备与其控制器之间的通讯是典型的硬件连接。采用物理安全方法保证安全。通常增加一个额外的控制级别作为补充安全措施普遍在防火墙上实施 DMZ。这些补充区域基本用于数据获取、服务与支持、公共区与企业外部网分区。数据获取与界面分区是进出过程控制网络的所有通讯的分界点和界面。该分区包括从控制网络设备收集数据的服务器或工作站，供电厂网络利用。通常，那些服务于控制网络的外包机构、设备供应商或其他外部支持供应商一般都使用服务与支持分区。处理本连接点时，应该与处理其他任何外界连接点一样，并因此使用强行认证、加密技术或安全的VPN接入。调制解调器应具备加密与回拨功能。联入网络的设备应使用最新的杀毒软件，这对于经常携带个人电脑进入电厂进行分析的服务提供商来说是极其重要的。例子之一就是涡轮机监控。此外，电力公司应该对外包供应商进行审计，确保他们采取了充分的安全措施。公共分区是提供公共服务的区域。在该分区有 Web 服务器、SMTP消息网关与 FTP 站点等。企业外部网分区通常用于连接公司的贸易伙伴。贸易伙伴通过各种方式连入这些网络，包括拨号、专线、帧中继与VPN。由于互联网的扩散性以及利用共享服务的经济性，VPN连接变得日益普及。在允许贸易伙伴访问和地址转换的区域，使用防火墙规则来实施进一步的控制。保护企业网络数据中心安全的两个最关键组成部分就是边界防火墙和内部防火墙。边界防火墙控制公共互联网来往的流量类型，而内部防火墙则控制内部站点对站点流量与站点到数据中心流量的类型。内部防火墙对控制或防止网络病毒的传播是必不可少的，同时它也限制站点之间允许的流量类型，并防止数据中心遭受内部入侵.保护电厂控制网络位于电厂控制网络级别的是防火墙、入侵检测、防御技术、调制解调器与无线接入点所有这些都集成了通讯基础设施，涉及的设备有路由器、网桥与交换机。防火墙限制了控制网络区允许进出的流量类型，可以设置规则只允许指定的流量类型，遇不符合规则的流量则触发警报。应通过内部或第三方组织，对警报进行全天候监测。此外，每个设备的网络均应隔离，特别是与远程站点隔离。这对故障恢复是至关重要的。防火墙应使用日志服务器来记录所有的防火墙事件，无论是局部的还是中央单元的。比如，可以将防火墙设置为允许远程登入来访问控制网络，但是当防火墙能够监测到对连接点的访问时，它并不能提供诸如某人访问那些连接点的可能意图是什么的相关信息。黑客可以通过远程登入来访问控制系统，而防火墙却无法得知这种行为是敌是友。这就是入侵检测系统（IDS）与入侵防御系统（IPS）的工作了，它们可以检测使用模式。入侵检测系统（IDS）监测网线上的数据包，并判断监测到的活动是否存在潜在危害。一个典型的例子是，系统监测到针对目标计算机上许多不同端口的大量TCP连接请求，由此发现某人是否试图进行TCP端口扫描。IDS既可以在目标计算机上运行，监视自身的流量，也可在独立的计算机如IDS设备（也称为主机入侵检测系统）上运行。入侵防御系统（IPS）通过阻止表现出危险行为的流量来弥补IDS的不足。通过在连接点、网络和正在被保护的设备之间设置IPS，能够防止对网络或控制系统的破坏性攻击。与IDS类似，IPS可直接在控制系统工作站上以主机模式运行，并且离控制系统越近，保护效果越好。对于设备的频带外访问，调制解调器与设备异步连接。因为通过公共媒介调制解调器可直接与外界连接，它们不受安全措施的影响，这是一个明显的弱点。至少任何与主控制网络连接的调制解调器必须具有回拨功能，这样在收到接收系统的回拨验证之前，它就不会发送数据。对于敏感的数据，还建议进行加密。无线接入点是与硬连线网络连接的无线电基站。如果安全措施得可以支持无线通信。提供的解决方案必须能够防范未经授权的访问，并确保发送的数据经过加密以防被窃取。出于最大的灵活性考虑，设备必须能够使用动态或轮换密码进行加密；过滤或阻塞能够识别每个网络节点的介质访问控制（MAC）地址；禁止服务集标识符（SSID）的播放以及授权无线LAN接入密码的播放；符合802.11 802.1x标准。不推荐使用消费级设备，与软件客户端的VPN连接应使用有线等效加密（WEP）或专有数据加密。这就能够使用通用解决方案对多厂家的无线硬件进行支持。VPN集线器是在一台集线器与另一台集线器或客户端之间，以双方同意的密钥为基础来加密数据传输的设备。如今这项技术已被广泛使用，用于允许远程用户从公共互联网安全地访问企业数据。在整个无线和现有的企业广域网内，可使用同样的技术来增加额外的安全访问数据。可以使用集成了防火墙的VPN服务，以取代单独VPN集线器。然而防火墙、IDS、IDP、加密还有最好的强化技术，都必须与现有的通信基础设施串联起来共同工作。路由器、集线器、网桥、交换机、媒体转换器与接入单元，要保证网络信息数据包维持理想的流速且不至于相互冲突。被路由、分割与管理的网络流量越多，就越容易阻止与消除任何入侵。虽然有些系统的确内置了一定级别的安全功能，但是依赖那来保护关键数据是不明智的。例如，通过筛选基于规定的访问列表的量，可以设置路由器使其能够模仿基本的防火墙功能，但是它们缺少强化的操作系统，以及真实防火墙的其他强大功能。有计划的预防对电厂控制系统采取预防措施，这就要求在电厂网络层与企业/外部系统之间使用新的方法来确保网络安全。这是一个持续的过程，从认识和评估开始，然后制定策略和程序，并不断发展安全解决方案，包括持续的安全性能管理。认识与评估阶段的一些主要活动包括：定义安全目标、识别系统弱点、制定安全计划和确定安全小组的核心成员。在这个阶段，应该确定涉及哪些网络的安全，它们之间是如何隔离的。例如，公用系统、输煤处理和工业水是否有分布式控制系统？远程设施如垃圾填埋场和水处理设备是否易受攻击？在制定策略和程序阶段，应该回顾已制定的如ISO 17799、ISA-SP99、META和CERT工业标准的安全和安保方面的规定，以及主管部门的规定，诸如联邦能源管理委员会（FERC）、北美电力可靠性委员会（NERC）和能源部提供的规章。同时还必须考虑与现场安全和安保工作有关的当地规章要求。在安全解决方案阶段，主要关注系统访问控制的技术与流程、边界安全与隔离、识别与加密、入侵检测与系统管理。在安全程序实施与管理阶段，主要进行持续的监测与报警、年审、周期性测试与评估等工作，同时不断更新系统要求。遵守以上规定的程序并不能保证可以免遭网络攻击，但是可以确保从战略性和经济性的角度最大限度地控制网络攻击风险 。