10控制系统安全威胁

北美电力可靠性公司(NERC)负责提高北美大容量电力系统的可靠性和安全性，作为更大的关键基础设施保护任务的一部分。为了确保不间断的服务，NERC监视着电网，其系统依赖于一个庞大的计算机支持的监管网络。

彼得·韦兰德，控制工程二零零七年四月一日

栏:
更多的缓解:

北美电力可靠性公司(NERC)负责提高北美大容量电力系统的可靠性和安全性，作为更大的关键基础设施保护任务的一部分。为了确保不间断的服务，NERC监视着电网，其系统依赖于一个庞大的计算机支持的监管网络。它列出了一份网络安全漏洞清单，这些漏洞在公用事业行业之外被视为保护所有工业网络的典范。

”控制系统的十大漏洞及其相关的缓解措施- 2006，是该清单的第三次修订，”CISSP，态势感知和基础设施安全经理Scott R. Mix说。他说:“该文件由NERC关键基础设施保护委员会(CIPC)的控制系统安全工作组(CSSWG)维护，每年更新，以反映漏洞的变化，并记录改进的缓解策略。”它已经从2004年的一个简单的漏洞列表发展到包括针对每个记录的漏洞的三个级别的缓解。

以下是10个，以及来自行业供应商和顾问的建议，说明了每一个对整体系统强度的重要性。

1.管理控制系统安全的政策、程序和文化不足。

安全始于所有相关人员的文化和心态。艾默生过程管理Delta V产品经理Bob Huba说:“人们倾向于从技术解决方案的角度来考虑安全性:防火墙、密码等。”“虽然这些因素可能只占整个解决方案的20%，但工厂人员实施的常识性安全方法应该占剩下的80%。用一位业内人士的话来说，‘别再做傻事了。问这样的问题:“你们的设施有安全政策吗?”“这可以很简单，比如问一个陌生人为什么在控制室，或者确保你的用户知道不要从外面带便携式媒体来播放音乐或安装未经批准的程序。”

ABB公司发电项目解决方案经理Kim Fenrich指出:“如果没有一个有效的安全政策来解决程序、缓解策略和定期培训，所有其他安全计划都将不太成功。要想取得成功，安全必须被视为一个持续的过程，而不是一次性投资防火墙、入侵防御或检测、加密技术等。”

赛门铁克咨询服务公司(Symantec Consulting Services)电力和能源垂直领域的首席负责人Bryan Geraldo表示，运营商认为，“控制系统相对安全，不会受到机会主义攻击或无意的破坏，因为它们‘间接’连接到互联网，或者由不同的软件和硬件组件组成，其中一些组件具有供应商自己内置的安全功能。”虽然大多数IT产品都有内置的安全措施，比如密码和加密选项，或者基本的防火墙/过滤器类型的机制，但Geraldo说，“这些功能中的许多都是停用的，或者更糟的是，留在默认或不正确的配置中，这给人一种错误的安全感。”

霍尼韦尔过程解决方案生命周期服务高级市场经理Marilyn Guhr建议，从专有系统架构的一般迁移需要进行更改。“随着控制系统环境转向开放系统，”她说，“需要新的政策和程序，而控制系统的人往往不知道这些要求，或者他们认为别人在照顾它。”公司内部的IT组织非常清楚这些事情，但这种意识还没有渗透到过程控制领域。”

缺乏知识会产生错误。Byres security的首席执行官埃里克•拜尔斯(Eric Byres)表示:“我一次又一次地看到，工业站点上发生的错误可能会使整个安全工作完全失效。“例如，在我运行的一个特定站点审计中，发现网络电缆绕过了SCADA防火墙。后来给出的理由是，没有风险分析显示防火墙很重要，也没有政策规定绕过防火墙是不可接受的。”

2.网络设计不当，纵深防御不足。

防御需要的不仅仅是一个坚固的防线。西门子能源与自动化PCS 7营销经理Todd Stauffer建议:“要成功保护控制系统，需要采取系统和全面的方法。”“最常见(也是最危险)的误解之一是，通过简单地安装控制系统防火墙，系统就得到了保护。这是大错特错的。相反，安全从业人员和机构(如美国国土安全部)建议采用一种称为纵深防御的分层方法。纵深防御提倡创建一个嵌套的安全架构，将工厂划分为多个安全且封闭的单元(区域)。每个小区必须有明确定义和监控的接入点，以控制进出的访问和通信。”

霍尼韦尔过程解决方案全球安全架构师Kevin Staggs表示，控制系统必须具有分层保护级别。“越是关键的访问，比如控制和人机界面，就越需要加强保护。控制系统至少应该与业务网络隔离开防火墙，并且永远不应该允许它们访问Internet。IT领域知道如何使用纵深防御网络，但这方面的专业知识还没有深入到控制系统层面。”

伯恩斯说:“没有哪个头脑正常的IT部门会安装防火墙，然后说‘我们很安全’。IT部门在每一台服务器、台式机和笔记本电脑上都安装了杀毒软件、个人防火墙、自动补丁等，这样这些电脑就足够强大，可以在有没有防火墙的情况下保护自己。然而，在SCADA和控制系统领域，公司在业务网络和控制网络(如果有的话)之间安装了一个防火墙，完全忽略了关键任务设备(如PLC, RTU或DCS)的安全性。整个控制安全范式是“外面脆，中间嚼”，但这行不通。与良好的安全设计一样，良好的安全设计必须提供多层防御，以便当一层失效时，另一层将取而代之。这意味着控制网络上的每个设备都要足够安全，当坏人或漏洞最终通过防火墙时，它可以保护自己。这并不容易，但可以做到。”

正如Mu Security营销副总裁Adam Stein警告的那样，安全也有其缺点:“对于基于scada的控制系统，深度防御实际上只会强化网络的边缘。用户不会容忍系统内部防御机制造成的那种延迟。当操作人员发出关闭阀门或停止危险过程的信号时，他们不希望等待通过多个防火墙所需的额外时间。”

艾默生的Huba已经看到了大多数工厂常见的混合平台的影响。“今天的许多控制网络是由来自不同公司的松散集成控制器组成的，具有通用的HMI接口和通用的现成硬件用于通信。大多数情况下，这些都是由系统集成商在特定的基础上设计的，并且可能考虑也可能没有考虑安全性。随着这些系统的激增，最终用户坚持将对控制网络的适当限制作为解决方案的一部分是很重要的。”

3.没有适当访问控制的远程访问。

“控制哪些人和程序可以访问控制系统对于维护安全至关重要，”Stauffer建议道。一般而言，应根据用户定义的角色(工程师、操作员、维修技术员、仅限远程视图连接等)设置用户帐户以授予访问和权限。这遵循最小权限原则，即用户和计算机被配置为执行其角色所需的最小访问权限集。”

但是，拒绝任何远程访问阻碍了最终用户与控制系统供应商合作提供远程服务的能力，这些服务可能对他们真正有利，包括在客户情况下提供更多的“智力火力”，Guhr说。

CISM、CISSP、工业安全首席顾问、流态qs公司、ISA SP99制造和控制系统安全委员会主席Bryan Singer说:“终端服务、无线网络、无线电遥测设备、调制解调器和不安全的计算机大量存在。在电子安全不可行的地方，我们应该有良好的物理安全。这也扩展到我们检测流氓或其他设备的能力。大多数网络都没有管理或配置来阻止未经授权的设备，因此额外的控制系统、pc甚至攻击者的工作站经常可以加入网络，而不会被发现。”

4.独立的可审计管理机制。

这包括系统更新、用户度量等不属于控制系统实现的部分。Guhr说:“这个漏洞又回到了运行控制系统的人身上。”“他们的核心竞争力可能不在IT领域，而在这些系统中发现的漏洞与IT相关。您需要适当的功能来指示“您向系统中添加的最新内容是什么，或者自上次正常运行的系统以来更改了什么?”’如果出了问题，你需要知道是什么改变了。”

Stauffer对这个建议表示反对:由于黑客不断地寻找新的漏洞，他说，流程应该不断地监控控制系统，以确保其软件保持最新状态。

审核系统和软件对流程操作员来说并不总是自然而然的，他们可能需要学习新的技术。Singer解释说:“大多数过程控制系统和相关程序都具有报警和事件生成功能，但它们都是以过程为中心的。”“很难从这些日志中发现攻击或妥协，计算机取证方法在控制设备上也相当复杂。一些在线审计和监控解决方案，如入侵检测系统，在处理控制协议时严重不足，而且很多时候，即使这些系统和防火墙到位，日志也没有被监控。”

5.无线通信保护不充分。

斯塔格斯说:“无线安全不仅仅是控制系统的大问题，而是所有用途的大问题，主要是因为无线变得如此普及。”“几乎在任何地方都可以很容易地插上无线电源。但你必须能够找到信号，知道是否有人设置了一个不正常的点。

“在安装无线设备之前，重要的是要做一个完整的评估，以确定无线设备的最佳使用区域，并确保将工厂的泄漏降至最低。当你有发射机或启用无线功能的工作人员带着平板电脑或手持设备四处走动时，就会发生无线泄漏。这些设备可能会在工厂外的区域传播。”

辛格鼓励研究无线传播:“在无线网络方面，802.11b和g等技术通常在2.4 GHz频谱上运行。它们的部署往往没有进行适当的现场调查，以确定覆盖范围是否足够，并评估是否限制了虚假排放，因此设施外部的人必须努力寻找这些网络。”

Savant Protection首席执行官Ken Steinberg表示，开放式排放技术的问题主要有四个方面:未经授权的使用、直播拦截、频率干扰和未经授权的扩展。“安全专业人员需要确保覆盖所有领域，以保持安全和有效，”他补充说。

英维思技术总监兼无线工业网络协会(WINA)主席Hesh Kagan表示，危险源于“管理不善或不正确的网络，以及糟糕的底层技术”。不安全的网络通常也是脆弱的网络。缺乏健壮性对运营来说就像缺乏安全性对IT来说一样麻烦。”

赛门铁克的杰拉尔多建议说，有时分离是最好的方法:“如果可能的话，将无线网络与控制网络的其余部分分开。此外，强烈建议保护无线访问方法，包括要求身份验证，并对从无线网络进入控制网络的其他部分的通信实施严格的访问控制。”

6.使用非专用通信通道进行指挥和控制。

基于internet的SCADA就是这种情况。此漏洞还可能包括不适当地将控制系统网络带宽用于非控制目的，例如VoIP (Internet上的语音)。

辛格说:“许多IT人士购买了‘融合网络’系列产品，并认为它没问题。“我们已经看到摄像头、VoIP、处理工资的商业系统以及一大批其他问题在控制网络上导致拒绝服务条件。IT专业人员通常关注应用程序的性能，而接近实时的控制是一个陌生的概念。多花300-500毫秒来接收电子邮件或网页基本上是不引人注意的;300-500毫秒的控制消息或安全消息可能是灾难性的。通常，从IT角度来看，可接受的饱和度或利用率水平可能会给控制带来灾难。”

斯塔格斯警告说，善意的人可能会在基础设施上犯错误，因为“增加额外的频道需要花费相当多的钱，而且在事后很难增加基础设施布线。”但是，您确实需要了解信息在哪里以及它需要流向哪里，并相应地布局您的网络。使控制流量远离业务网络，反之亦然。不要使用相同的渠道。这真的是一种不好的做法。”

Huba说，将控制系统用于非控制通信，“不管有多少‘额外’带宽可用，都只能导致在尽可能快地分发关键任务控制信息方面出现问题。”

7.缺乏检测/报告异常活动的简单工具。

这包括不充分或不存在法医和审计方法。“开发工厂控制系统的预防方法需要在工厂网络层和业务/外部系统之间采用新的网络安全方法。英维思控制系统安全业务发展经理Ernest Rakaczky说:“我们在技术上尽可能地对我们的系统实施最严密的控制层，以保持我们业务的连续性，这是唯一合乎逻辑的。”

Verano Inc.的首席营销官托德·尼科尔森(Todd Nicholson)补充说，工具的范围很广。风险缓解工具包括外围防护(防火墙、反病毒、入侵防护、内容过滤等)、网络入侵检测(扫描网络以查找入侵、恶意设备、流量级别变化等)、主机入侵检测(检测文件/进程/套接字更改、监控消息队列、登录失败、可移动媒体插入、异常退出等)和性能监控。

“控制系统设计的独特方面也影响了网络安全风险缓解的要求。例如，控制系统网络安全解决方案必须完全被动，从实际控制应用中提取信息，监控系统性能，并在旧系统/网络上有效运行。”

斯塔格斯说，问题在于方法不充分。“这些工具是可用的，通常部署在业务网络和IT网络中，但它们确实没有被理解或部署在控制系统上。目前，现有的控制系统确实没有足够的会计安全功能，无法在出现问题时提供法医线索。”

Singer对此表示赞同，但他不确定自己是否喜欢他所看到的:“有一些工具开始出现，但它们通常带有‘it相关工具’的味道通过IT专业人员,为IT专业人士，而且只有传统资讯科技系统，不一定是为了控制。”

8.在关键主机上安装不适当的应用程序。

最重要的是，Stauffer说，控制系统需要安全有效地控制整个过程。“唯一必要的应用是那些直接涉及到过程控制的应用。额外的软件程序，如电子邮件、游戏和媒体播放器是不必要的，可能使系统易受攻击。为了加强系统，有必要删除所有不必要的应用程序，并防止引入新的应用程序。任何时候与控制系统外的世界交换数据都可能引入不需要的程序或恶意软件。”

Guhr回忆道:“一位客户在某些操作站遇到了速度变慢的问题，他们不知道是哪里出了问题。这个‘问题’是由运营商的一个电视连接引起的。”

9.控制系统软件审查不充分。

Singer指出:“破坏系统的一些最常见的方法涉及不良编码实践的问题，例如使用静态缓冲区或明显存在漏洞的库。”“通常，开发人员依赖某种‘工具’来分析源代码，这意味着漏洞检测仅限于工具的功能和补丁级别。编码标准和编写安全代码是当今可用的规程，应该遵循。最终用户、系统集成商和顾问都应该坚持严格的应用程序测试，查看供应商的编码标准，等等。”

Steinberg警告说，有些缺陷将永远存在:“没有办法从这些系统中删除所有的代码缺陷，也没有办法创建所有已知的好的和坏的测试用例。减轻潜在问题的最佳方法是最小化应用程序集的复杂性，对操作系统和应用程序代码执行严格的审查，并尽可能避免解释解决方案。根据成本和时间，使用两个不同的开发团队生成两个应用程序集也是有意义的，以最大限度地减少注入相同逻辑缺陷的可能性。”

10.未经验证的命令和控制数据。

Staggs指出:“目前并不是所有的控制器都能验证谁进行了更改，并通过控制器授权允许该用户进行更改。在大多数控制系统中，这一安全步骤是在控制器之上的控制系统层执行的。这使得控制器容易受到攻击，这就是为什么深度防御是绝对需要的。您必须确保控制器位于安全基础设施的深处，在它们之上有多层防御。如果你不这么做，那么你的控制器在网络上基本上是开放的。”

Steinberg强调人员管理:“当涉及到验证命令和控制时，供应商的唯一选择是增加人的方面，特别是在问题分析、命令链和沟通流程方面。适当的政策、实践和程序将为重新思考和取代旧的指挥基础设施赢得时间。”

下一步

所有这些漏洞都有缓解策略，从软件包到改变企业文化。(本文的在线版本包括NERC文档的全文，其中包含针对每个漏洞的三层策略。)回到脆弱性的开场白。1、记住，技术解决方案只能覆盖20%的问题。剩下的80%涉及到常识和改变人们的行为。这通常是更大的挑战。

作者信息

Peter Welander是过程工业编辑。打电话给他。PWelander@cfemedia.com．