控制系统网络安全

世界各地的保险公司、律师、政府和个人越来越关注针对制造业和关键基础设施的网络攻击的可能性和影响。同样，全球的制造业和关键基础设施行业，如电力、水和石油/天然气，都在担心其关键…

作者:ISA SP-99董事长Bryan L. Singer和KEMA董事长Joe Weiss 二五年二月一日

相关阅读

保安:你花的钱够吗?
NIST的过程控制论坛帮助网络防止网络攻击
启用智能设备安全

一目了然

IT与运营
威胁来源
经济损失
6个减少威胁的步骤
其他资源

世界各地的保险公司、律师、政府和个人越来越关注针对制造业和关键基础设施的网络攻击的可能性和影响。同样，全球的制造业和关键基础设施行业，如电力、水和石油/天然气，都担心其关键过程控制系统的网络漏洞:dcs、plc、SCADA系统、hmi和控制系统网络。

我们有理由担心——虽然传统IT系统中的潜在漏洞是众所周知的，但过程控制系统的安全缺陷广泛传播，被严重误解，并且在很大程度上仍未得到解决。因此，许多人发现自己面临着一种不确定的恐惧，即“大地震”来袭只是时间问题。

业内几乎没有人做了很多事情来缓解这些担忧。事实上，许多人已经开始将恐惧、不确定性和怀疑传播到新的高度，促使许多人怀疑，是否像Chicken Little所说的那样，天真的要塌下来了。有些人认为噪音这么大，问题不可能很严重，所以他们忽略了这个问题。其他人则举手观望，看它是否或何时会发生，以及会有多糟糕。

然而，对其他人来说，这个信息是明确的。他们将安全性定义为确保过程控制系统可靠性和可用性的另一个方面。确保控制系统资产的完整性和可用性，允许系统用户在确实出现问题时采取更平衡的方法来处理安全性、预防和恢复。

文化问题

传统上，企业IT组织拥有管理网络安全的知识和预算。然而，IT部门往往不了解控制系统。虽然运营人员对控制系统负有运营和维护(O&M)的责任，但他们对网络安全的理解和预算却不如IT人员。此外，技术和文化鸿沟扩大了差距:

IT部门通常不会意识到控制系统需要全天候可用;
IT部门也不了解将IT技术和政策应用于控制系统可能存在的缺点;和
操作人员通常认为可用性胜过安全性。

目前的趋势

与非控制系统行业一样，许多受控制系统网络事故影响的实体不愿公开分享信息，甚至不愿承认事件。然而，各行各业和世界各地正在收集有关控制系统安全问题的信息。务实地看待日益增多的网络安全问题，辨别真假，摒弃炒作，就会发现攻击类型、性能和财务损失以及行业反应等方面的趋势。

控制系统网络事件发生在电力(输配电和发电-水力、化石和核能)、水、石油/天然气、化工和制造业。联邦调查局指出，最近针对控制系统的网络事件包括增加对关键基础设施控制系统的“探测”和分析。在被称为黑帽板和漏洞板的黑客网络留言板上，关于控制系统漏洞的“讨论”也有所增加。

目前还没有一家独立机构对控制系统遭受的网络攻击进行过准确的统计。在这一点上，有许多关于控制系统的“独立”数据库，但从这些有限的数据中得出统计结论在这一点上充其量是可疑的。然而，我们这些一直关注这一领域的业内人士发现，在传统IT系统中暴露的漏洞与在控制系统中发现的漏洞之间存在类似的增长趋势(参见“向CERT报告的网络安全事件”图表)。

在针对特定公司控制系统的不同类型的实际事件中，有三大类:(1)故意攻击，如黑客攻击(未经授权进入安全电子文件)，拒绝服务(dos -一种旨在通过无用流量淹没网络来破坏网络的攻击)或欺骗(伪造电子邮件中的“发件人”字段，以发送带有非您自己的“发件人”地址的电子邮件);(2)蠕虫和病毒造成的意外后果或附带损害;(3)无意的内部安全漏洞，如操作系统的测试程序不适当或控制系统架构不完善。

在这三者中，有针对性的攻击是最不频繁的。有针对性的攻击可能是最具破坏性的，但也需要对实体和支持基础设施有详细的了解。因此，最有可能的攻击者是心怀不满的员工、前员工，或者曾与被攻击的实体共事或为其工作的人。

概率最高的事件是由不适当或不充分的测试或程序引起的非故意内部事件。由不熟悉控制系统的人员对控制系统网络进行渗透测试是自找麻烦。最常见的事件是互联网病毒和蠕虫，它们没有针对任何最终用户，但通常针对微软Windows或其他基本IT基础设施。随着控制系统hmi向商用操作系统迁移，DoS攻击的数量也在不断增加。控制系统上的此类事件往往是不可预测的，并且在很大程度上取决于控制系统平台和设备的年龄。最典型的结果是系统的不稳定行为，包括减速、失去响应和关闭。

业务案例

受损的制造和控制系统可能包括危害公共或员工安全、失去公众信任、违反监管要求、丢失专有或机密信息、经济损失以及对国家安全的影响。具体来说，直接经济损失源于:

控制系统性能下降(如性能损失、机会损失、法规遵从性问题等);
系统恢复所需的人力资源;和
客户投诉/诉讼、更高的保险费、声誉损失等。

如图表所示，病毒、蠕虫和其他针对传统IT系统的网络攻击正在上升。然而，由于这些事件很少被报道，因此还没有一个量化的业务案例可供运营经理使用，以便在网络漏洞和传统运维考虑之间做出经济权衡。

此外，电力行业的许多人都认为停电会造成巨大的经济损失。根据KEMA进行的一项研究，对控制系统受到网络攻击(有意的、无意的和病毒/蠕虫)影响的公司编写了案例历史。结果表明，即使没有导致电力或生产损失的事件也会造成重大的经济损失。这些结果虽然是初步的，但可用于构建量化的业务案例，以实现网络安全风险缓解，包括脆弱性评估、控制系统网络安全策略的开发以及相关IT技术的实施(例如适当配置的防火墙)。

工业反应

控制系统的安全性是一个真正值得关注的问题。都是坏消息吗?不一定。让了解控制系统的人参与进来是关键。

在过去几年中，网络攻击/入侵的发生率，无论是故意的还是意外的，都急剧增加;1998年至2003年发生了31万多起事件，而1993年至1997年仅超过1万起。

ISA和其他标准机构正在积极参与开发基础广泛的标准，以保护控制系统。ISA-SP99委员会由来自许多不同行业的控制系统知识人员组成，正在建立标准、建议实践、技术报告和其他相关信息，旨在定义实施电子安全制造和控制系统和安全实践的程序，并评估电子安全性能。指南针对负责设计、实施或管理制造和控制系统的人员，也适用于用户、系统集成商、安全从业人员以及控制系统制造商和供应商。

当然，用户必须使解决方案适应特定的系统和位置。然而，许多已经采取措施实施安全程序(甚至是基本的安全技术，如控制层的防火墙)的制造商已经取得了巨大的成功。

建议

如何成功?

1.从全面的风险分析开始，包括每个主要的环境风险领域。晚些时候缩小安全程序的范围要比一开始就错过一些重要的事情容易得多。良好的风险分析将有助于减轻恐惧，将安全带回一组需要处理的可管理问题。

2.看看这些钱。对风险的财务分析将帮助公司证明安全措施的成本合理性，并确定它们何时达到可接受的风险水平。

3.组织还必须实施良好的政策和程序，并仔细选择技术。归根结底，安全性是一个过程，而不是一个技术问题，并且可以通过在过程控制环境中实施良好的规程和实践来防止许多安全事件。执行理想的、一致的和有效的行为是降低风险的关键。这适用于在环境中使用技术和行为。

4.阅读更多。标准组织和行业组织正在努力解决控制系统的安全需求。其中包括ISA(仪表、系统和自动化协会)、NIST(国家标准与技术研究所)、CIDX(化学工业数据交换)、IEC(国际工程协会)、CIGRE(国际大型电气系统委员会)、NERC(北美电力可靠性委员会)等。两家公司都在发布有关控制系统网络安全的文件。

ISA SP-99委员会成立于2002年，发布了两份技术报告，可通过ISA获得。ISA TR99.00.01涵盖了常见的安全技术以及如何将其应用于控制系统。ISA TR99.00.02是一份指导性文件，旨在帮助用户完成创建有效安全计划的过程，包括政策、程序和技术。ISA SP-99委员会已经开始为制造和控制系统安全制定由多个部分组成的通用工业标准。ISA工作主要集中在可用于保护控制系统的技术上，并提供了建立、维护和评估安全程序的方法，该程序考虑了控制系统环境风险的所有方面。ISA SP-99的工作是非特定行业的，目前有250多个成员，代表220多家公司(大多数主要制造和过程控制相关行业)。

许多团体在这个空间开展相关和有用的活动。NIST过程控制安全需求论坛(PCSRF)正致力于为现有和新的控制系统定义精确的、基于通用标准的需求。ISA和PCSRF在安全方面进行合作。化学工业数据交换(CIDX)小组继续致力于化学工业的控制系统网络安全考虑，并与ISA SP99和一般控制系统行业分享其大部分工作。

5.在努力防止安全事件的同时，还要考虑补救、恢复和恢复。由于影响流程的大多数安全事件在一段时间内不会被检测到，因此仅关注防止安全事件是不够的。行业必须专注于防止生产/过程控制的丢失，并通过维护程序、质量保证、风险管理、生产和产品安全、业务连续性计划和灾难计划来提高检测问题、补救和恢复过程的能力。

6.如果你没有时间、人手和/或专业知识，请在你的组织之外寻找系统集成商或顾问来帮助你。