结合功能安全和网络安全

随着业务需求的发展，将来自过程控制系统的实时数据与业务数据(如生产计划、产量、质量、能源消耗和排放)合并的需求也在增长。这就产生了集成公司网络域和过程控制域的需求，从而产生更动态的业务操作，并使资产所有者能够调整输出以满足需求并利用市场变化。

如果您的过程控制网络仍然与您的公司网络分离，并且您希望它保持这种状态，那么交叉污染的风险相对较低。(如果你认为你的网络仍然是分开的，你可能想检查一下。它们之间的联系可能比你想象的要多得多。)但是，如果您像您的许多同事一样，正在现代化您的工厂以实现企业和过程控制域之间更大的连接，那么您应该对保护过程控制和工程域的系统与保护业务域和IT基础设施的系统之间更大的协作感兴趣。

收敛保护模型

多年来，资讯科技业界一直细致地进行风险和威胁评估，从资讯科技网络的初始设计到部署，最后到实施。这些评估是根据大量标准进行的，其中包括BS7799、BS17799、ISO27001-27005和ISA99，仅举几例。

与此同时，石油、天然气和石化生产商等制造商也在开展类似的活动，以识别和评估对人员、设备和环境的潜在风险。其中包括结构化和系统的安全、风险和威胁评估;危害和可操作性分析;保护层分析(LOPA);安全完整性等级(SIL)的确定和验证;和其他人。这些功能安全活动是根据相关的行业标准进行的，如IEC61511、ANSI/ISA S84.00.001等。

结合部队

随着今天的网络威胁变得越来越恶意，将目光投向自动化系统，威胁的持续演变表明，我们需要结合IT网络安全方法和工程功能安全方法来对抗它们。

仅仅考虑每一种可能的危险都可能来自设备故障、火灾、洪水或工厂设施内的其他事件已经不够了。现在有可能从核电站外部引发危险，如果仅从工程角度来看，其中一些危险是永远不会被考虑的。即使考虑了这些问题，分析也可能已经过时了，因为对任何系统的威胁都不是恒定的。这是一个持续的演变过程。

功能安全评估通常侧重于设备的故障，处理故障的概率、潜在后果及其对安全、环境和业务的影响。IT评估非常相似，但是系统被破坏的后果更可能是生产中断造成的巨大经济影响，而不是生命损失。

根据企业IT实践，已经创建了用于过程控制工程网络的工具，该网络扫描系统以获取诸如资产标识、使用中的协议、操作系统状态、版本级别、补丁级别和服务包安装等详细信息。然而，如果不考虑网络安全问题，根据网络设计的性质，这些相同的工具可能会为潜在的黑客提供以前无法获得的情报。出于这个原因，从现场设备到连接到互联网的企业防火墙，安全的所有方面都应该采用技能集或部门的组合。

脆弱性评估

应对协议的使用进行评估，直至现场设备一级。在IP (Internet协议)网络上，哪些容易受到攻击?评估应持续到现场设备输出转换为与DCS兼容的水平。一个多技能的评估小组必须确定，例如，一个受损的现场设备是否可以有效地控制或中断操作。要做出这样的判断，需要了解许多不同的技术，包括协议、它们所在的网络、交换机、电缆走线和电源。

例如，如果连接现场基础设施到过程控制域的网络交换机失去电源或以其他方式受到损害，可能会产生什么后果?冗余并不总是解决问题的答案，因为这种设计可能会使病毒攻击一个交换机时使用冗余交换机。如果黑客端口转发或以其他方式将进程控制命令从一个网口/路由重定向到另一个网口/路由怎么办?这是一种用于利用交换机数据的常见攻击，但是如果攻击者可以将命令和控制数据从一个端口或网络重新路由到另一个端口或网络呢?

在评估了现场协议、网络组件和端口之后，接下来是过程控制域(PCD)或DCS。仅由仪表和控制工程师管理DCS网络基础设施的日子正在迅速消失。通过威胁分析，这些网络现在受到恶意软件、病毒和常见趋势的影响。因此，IT部门通常拥有必要的技能和知识，以确定如果恶意程序进入网络，可能对网络造成的损害。当然，工程部门仍然必须评估对生产过程造成的损害，如果一个基于it的攻击摧毁了一个特定的设备!

此外，与传统IT系统相比，过程控制领域的变化传统上是缓慢的。自20世纪70年代以来，IT系统一直在应对外部干扰，并在其安全方法中以战术心态发展，而过程控制则采取了更具战略意义的方法。直到现在，它们才变得更具战术性，使得it和工程技能和实践在评估今天的工厂风险中结合起来变得至关重要。

人为因素

如果我们看看最近攻击的增加，Stuxnet病毒可能是最广为人知的，因为周围的宣传，深度报道，以及它专门针对过程自动化系统的事实。此威胁是在工厂外部创建的，旨在对一个或多个进程的日常运行造成破坏。该病毒在设计时具有过程控制网络上使用的协议的特定知识，使其能够造成严重破坏。在设计和实施系统时，是否有任何hazop前或风险和威胁评估考虑了这种类型的攻击，这将是有趣的。

但Stuxnet不仅仅关乎技术。它还涉及人类的弱点和错误。病毒显然是通过一个USB设备传入的，该设备被放在了员工可以找到它的地方。发现这种装置的人员是否考虑过在过程控制领域使用该装置的风险、影响和后果?也许他们没有。

那么，哪个部门的安全、保障、风险和威胁评估部门应该负责处理这类威胁呢?答案应该是两者皆有!

回想起来，从it的角度很容易看出，更好地管理USB端口会有所帮助。如果员工遵循政策和程序(假设它们已经到位并得到执行)，他们就不会将病毒引入流程控制领域。许多IT部门现在为员工提供授权的USB设备，以防止此类事件发生，并防止员工使用自己的设备。

最近的另一次攻击由Shamoon恶意软件发起，包括三个要素:报告;覆盖驱动程序、程序或库;而且，最具破坏性的是覆盖主引导记录，然后指示机器重新启动的函数，使其失效。

如果在功能安全评估过程中考虑了网络安全，那么就可以评估和理解其后果和影响，从而推动相关风险降低措施的实施。这些措施可能包括禁用USB端口，确保政策和程序得到执行，培训人员了解使用非法USB设备的风险，等等。

集成实践和程序

仅仅有IT和工程团队进行沟通是不够的。有效的合作需要对两个部门的实践和程序进行仔细分析，以确定是否存在任何矛盾。协同是好的，但任何矛盾都可能是系统中的潜在弱点。

对我们来说，是时候将IT世界和功能安全世界的精华结合起来了。下一次执行HAZOP时，不仅要考虑流程风险，还要考虑IT风险、后果和影响。我们越早消除安全和网络安全保护功能之间的传统鸿沟，从福利和财务角度来看，我们就会越好。要做到这一点，最好的方法是了解这两个世界的最佳实践，从中学习，并共同应用这些知识。

Gary Williams, ITSEC硕士，英维思运营管理的控制和安全产品经理。Steve J. Elliott是英维思运营管理公司Triconex产品总监。

关键概念:

• 虽然工厂的安全系统可能是为了防止人为或技术故障而设计的，但它们可能不会考虑来自外部的蓄意网络攻击的影响。
• 您的流程安全组可以并且可能应该与您的IT安全组合作，因为这两个系统需要携手合作，以防止传统安全威胁和网络威胁。

欲了解更多信息，请访问:https://iom.invensys.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。