封面故事:给你的植物做一次网络健康检查

工业控制中从专有系统到开放系统的转变导致了跨业务系统和网络的无缝集成，这反过来改善了控制并使业务整体上更加敏捷。然而，系统之间相同的互操作性也会使这些系统暴露在被利用的风险中。从病毒和蠕虫到特洛伊木马和数据篡改，网络威胁可以感染控制系统并破坏工厂运营。最近在过程控制环境中的网络事件表明，如果没有全面的安全策略，工业控制系统可能是脆弱的。

然而，尽管如此，统计数据显示，工厂工程师面临的大多数威胁并非来自恶意的外部——大部分实际上来自他们的设施内部。

超过60%的受访工程师表示，事实上，工业安全漏洞确实来自内部。这并不意味着员工或承包商出于恶意故意损害他们的系统。安全漏洞通常是由于好心的员工不了解适当的安全程序而发生的。

报告的事件通常是由恶意软件引起的，包括病毒、蠕虫和木马，而不是专门针对受影响的设施。剩下的呢?其中大多数是纯粹的意外，是用户或配置错误的无意后果。

例如，在2006年的布朗斯渡口核电站，控制系统网络上两个供应商产品之间的过多流量可能是控制循环水系统的冗余驱动器故障的原因，导致紧急关闭。2008年，埃德温·i·哈奇(Edwin I. Hatch)核电站在其业务网络的一台电脑上安装了软件更新后，紧急关闭。

然而，保护过程控制系统并不是一项艰巨的任务;这其实是很容易控制的。把它想象成一种健康养生:就像人体需要定期护理一样，控制系统也应该定期进行彻底的审查和评估。根据控制系统在网络健康检查期间的表现，工厂运营商可以确定应该采取什么行动，使系统与合理的战略保持一致。

完整的养生方案

考虑到Stuxnet的影响，许多工厂经营者都在寻找一种方法来使自己免受攻击。事实上，网络安全没有万能药。医生不能开保证身体健康的药片;这是合理饮食、锻炼、睡眠和控制体重的结果。保护控制系统不受漏洞的侵害不在于单一的解决方案，而在于多重保护措施，可以保护许多点。

一个网络安全的工厂应该有一个可靠的技术、政策和程序的组合，以有效地对抗潜在的威胁。就像正确的健康计划一样，工厂应该确定目标，盘点目前的状况，然后努力实现预期的结果。

那么，良好的网络健康状况是什么样的呢?其中一些最佳实践看似显而易见，但并没有得到广泛实施。例如，供应商的产品通常都有默认密码，但令人惊讶的是，这些密码中有很多是一成不变的。保留默认密码和安全设置就像把车钥匙放在点火装置上而车门不锁一样。

其他简单但经常被忽视的步骤包括微软Windows操作系统补丁管理和反病毒更新，这些对维护网络安全至关重要。补丁使控制系统保持最新，通常在发现新的漏洞时发布。如果不部署补丁，系统仍然会暴露在已经识别出的漏洞中。

过程控制供应商也可以协助合格的反病毒软件，并应参与合格的补丁，如微软安全更新。提供一个合格的杀毒软件的选择对工业工厂是有益的，因为一个领先的杀毒系统可能比另一个更受欢迎。供应商还可以采用一种锁定模型，以促进系统安全性。这为客户提供了文件、目录和注册表项的预配置安全设置，防止恶意用户和无意错误的恶意软件。

需要定义和实施有关使用记忆棒等便携式存储设备的政策。将记忆棒插入USB端口会绕过为防止感染而设置的所有网络安全机制。例如，Stuxnet病毒的感染途径之一是将u盘插入气隙系统。

深度理解防御

然而，并不是使网络安全健康的每一步都如此明显和容易理解，特别是涉及到深入讨论的防御主题时。纵深防御背后的核心前提是有多层保护来防范威胁。网络安全措施如何分层?

根据ANSI/ISA-99或IEC 62443标准，网络安全最好在层或区域中实现。这种方法有助于防范威胁，并有助于防止问题在整个网络中传播。关键的自动化和控制设备应分组到具有共同安全级别要求的区域。然后，这些区域之间的通信必须通过受保护和监控的管道，该管道可以调节区域之间的数据流，并允许更安全的通信。

ISA-99定义了高、中、低级别的安全区域。每个区域都需要一个安全级别的目标，这是基于对核电站的风险分析，并考虑到可能威胁的严重性和范围。每个区域的设备都被赋予了安全级别的能力。当此能力低于安全区域的安全级别目标时，必须通过安全技术或策略来平衡两者，从而降低风险。

使用这种方法，网络安全更易于管理。对于安全区域，仅在安全级别目标需要时才增加安全级别，这是基于可能的风险。

依赖安全区域还可以改进威胁检测(假设威胁检测功能是分区策略的一部分)。确定确实出现的问题的起源要简单得多，因为工厂操作员可以从源头修复问题并识别任何其他直接漏洞。适当的分割将区域之间的交通限制在必要的范围内，然后只能通过定义的和适当安全的管道。这有助于防止问题蔓延到其他领域，包括关键控制系统。最强大的可能战略是进一步实施纵深防御，在区域中创建区域。这可以防止工作人员在网络某个区域的失误在单个区域内的设备之间传播，从而创建多层防御系统。

确定如何定义层的过程遵循重要的逻辑路径。在最深处设置最关键系统的分层网络可提供多级保护。

1级:关键设备、进程控制器和I/O工作在第1级。通常，这些关键的嵌入式控制设备应该通过控制防火墙与网络隔离。

2级:过程控制操作员站和监督控制紧随其后。操作站通常是Windows站，应该采用高安全模型来锁定节点，使用基于节点的防火墙，并采用专门的网络技术来抑制广播风暴等网络异常。

3级:这包含了站点范围或工厂范围的控制应用程序，其中的例子包括高级控制和优化。在级别3和级别2的过程控制系统之间应该存在一个安全网关，该网关将通信限制在控制所需的范围内。带有访问控制和通信过滤规则的防火墙可以帮助实现这种隔离。

4级:业务系统通常位于此级别，并连接到工厂内部网。第3级和第4级之间的链接是关键安全漏洞发挥作用的地方。过程控制网络和业务系统网络之间的连接需要特别注意和隔离。实现这一点的一种方法是建立一个可以仔细管理流程和业务之间通信的非军事区(DMZ)。

非军事区:进程控制DMZ也是放置企业历史记录、系统管理服务器以及补丁管理/防病毒服务器的好地方。

通过采用多层保护，可以降低安全风险，同时仍然允许网络和系统的互操作性。

检查健康状况

一旦工厂确定了健康的网络安全基础设施的要素，工厂管理层就可以评估工厂当前的位置，识别漏洞，并在必要时实施必要的实践，以获得网络健康的干净账单。

风险评估通过盘点设施的网络、政策和程序等，揭示系统中已经存在的漏洞。例如，网络清单将确定哪些设计图纸不再是最新的，并检测风险最高的区域。然后，可以识别整个威胁范围，而不是将所有重点放在引人注目的事件上，例如stuxnet类型的攻击。在识别和评估了所有威胁之后，工厂经理可以确定优先级，首先解决高概率、高影响的漏洞。

虽然必须彻底评估现有的技术措施，但确定现有人事政策和程序的有效性也很关键。例如，对于游客和承包商，考虑一下游客在被允许参观工厂之前要经过的步骤。这些步骤当然包括某种安全培训，并始终包括保护他们免受工业工厂固有风险的措施，安全帽、防护服和钢头靴是标准配置。

网络安全也应考虑同样严格的方法。为访客和承包商提供培训，并在工业设施工作时遵循具体的指导方针，可以减少一定的网络威胁风险。外部人员应该被明确告知他们可以在哪里插入电脑，如何审计这些电脑，以及如何使用u盘。例如，这可能包括制定规定，要求游客在进入设施之前将USB驱动器交给保安。一个严格、全面的政策将有助于外界了解工厂网络安全文化的严肃性。

当然，也有一定的文化，必须灌输给员工。一旦制定了策略，确定哪些员工具有访问权限以及具有哪些特权是很重要的。应该根据工作人员的责任级别有明确的访问限制。考虑实施角色工程策略;也就是说，创建一个基于预配置的组和组策略定义组织内桌面行为的模型。例如，角色工程要求锁定操作人员的策略，将用户限制在操作流程所需的应用程序上。工厂还应该考虑让这些程序在操作员的桌面上已经运行并可用。监督员也被授予类似的受保护的访问权限。然而，工程师有更多的机会，但仍然局限于他们相关的工程功能。管理员可以不受限制地访问，但设置更安全，并要求更频繁地更改密码。 It’s also worth pointing out that the more privileges a user has, the more trustworthy that individual should be.

全面的评估涵盖了网络的所有资产，并让工厂管理层对工厂与行业标准和最佳实践的比较有一个坚定的了解。根据该评估，工厂经理可以识别和优先考虑漏洞，并确定他们需要采取哪些步骤来改善网络健康。

下一步是使用定制设计的安全管理程序修复网络、策略和过程。就像每个人一样，每个网络都是独一无二的。每个工厂的安全管理程序都应该是独一无二的，以保护工厂最有价值的功能，并防御其最大的漏洞。

新文化

人们很容易忽视维护网络安全。任何开始新的锻炼计划或改变饮食习惯的人都熟悉采用和保持新习惯的挑战。然而，自满的后果是巨大的，如果没有纪律，工业工厂可能会退回到不安全的做法，使它们容易受到内部风险的影响。

跟上网络健康养生法的步伐与最初建立它一样重要。知识是保持网络安全的关键，而人是工厂网络防御中最强大的资产之一。了解网络漏洞并能展示最佳实践的员工队伍是工作策略的指标。这也最大限度地降低了常见意外挫折的风险。

例如，由跨职能员工组成的安全响应团队可以监控网络的每个部分。这将减少故意暴露于有害恶意软件的可能性。安全团队可以通过定期召开会议，讨论最新的威胁和技术，提前一步应对潜在的问题。

健康不仅仅是没有疼痛和疾病;健康是身心健康的存在。因此，网络健康并不是没有网络威胁，而是一种强大的防御准备，以克服任何问题，并在出现问题时保持运营。遵循这些最佳实践和程序可以帮助工厂经理保护他们的网络免受内部危险。

凯文·斯塔格斯，CISSP，霍尼韦尔自动化与控制解决方案的工程研究员。Jason Urso是霍尼韦尔过程解决方案副总裁兼首席技术官。

还看到:

• 视频:IT学生探索工业网络和网络安全的世界

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。