电力行业的网络安全经验

栏: 及时了解NERC CIP-004-1, R1安全问题

全球经济贸易几乎完全依赖于持续可靠的电力供应。这一点在互联的互联网世界中体现得最为明显，互联网推动着全球商业，并已深深融入现代社会。矛盾的是，一个相互联系的世界的能力在确保电力不间断流动方面创造了一个巨大的脆弱性点，并提高了

保护遗留过程控制系统，存档或2009年7月www.globalelove.com。另外: www.digitalbond.com www.dyonyx.com www.emersonprocess.com www.encari.com www.garrettcom.com/rossbow.htm www.industrialdefender.com www.logrhythm.com www.lumension.com www.schneider-electric.com

公用事业行业关键资产的安全问题已成为人们最关心的问题。具有拨号或IP连接的资产——包括SCADA、HMI和其他控制系统——今年受到旨在减少威胁的新规定的约束。

截至2009年6月30日，大容量电力系统中的所有高压输配电(T&D)运营商必须符合北美电力可靠性委员会网络安全标准(NERC CIP)第2版规定的规定。他们必须在2010年7月1日之前开始收集和记录数据，以达到可审计的合规要求。发电业主和运营商的最后期限在这些日期之后六个月。这是确保北美电力基础设施关键网络资产(cca)安全的一个重要里程碑。它也为其他行业提供了经验。

总的来说，NERC CIP法规要求运营商:全面识别cca;制定安全管理控制措施;人员培训到位;有有效的检测和预防措施;并制定应对计划、通知和恢复程序。

有相当大的解释空间，有待标准的不断演变版本和区域可靠性委员会审计评估的冷酷现实来明确，其中包括对每次违规行为每天高达100万美元的罚款。然而，毫无疑问，对SCADA、hmi和其他设施控制系统的影响将是深远的。

LogRhythm的高级知识工程师Eric Knight说:“任何负责SCADA系统的人都需要退后一步，问问自己，如果有人进入了他们的系统，会发生什么。”LogRhythm为强制记录活动提供软件解决方案。

网络保护解决方案提供商Industrial Defender的副总裁Walter Sikora表示:“运营商需要明白，保护不仅仅是技术。“其中涉及很多人为因素。NERC CIP法规有效地触及组织的所有元素-从

“运营商需要明白，除了技术之外，还有很多需要保护的东西。——沃尔特·西科拉，工业卫士

运营到人力资源，维护，采购和法律。你需要明白，合规不是终点，而是一个持续的过程。”

破坏控制系统安全的潜在后果是可怕的。总部位于休斯顿的基础设施咨询公司Dyonyx的副总裁罗恩•布鲁姆(Ron Blume)表示:“如果有人能进入电力公司的控制系统，他们就能摧毁整个电网。”

除了强大的物理安全边界(如上锁的控制室)和电子安全边界(如防火墙、恶意软件/病毒检测/预防)外，运营商还必须有文件化的安全管理控制政策和程序;以及保护、监控和控制cca访问的强大手段。

“每个负责任的实体都必须从制定良好的网络政策开始。在IT之外，这在以前是不存在的，”艾默生过程管理的Ovation安全项目经理Roger Pan说。“这可能被视为令人头疼的事情，但这只是一笔好生意。”

这一切都归结为减轻或消除威胁信封。“风险等式是威胁乘以攻击概率的因素，”布鲁姆说。“你必须假设你会受到攻击。如果你没有防火墙，风险就很高。但是有了多层防御，有了非军事区(demilitarized zone，也被称为数据管理区)，尽管你的威胁可能很高，但概率很低。”

终端安全公司Lumension的安全和取证分析师保罗•亨利(Paul Henry)表示，你还可以“通过减少暴露在网络上的内容来减少威胁信封”。“如果你打开了不需要的端口，你就增加了风险。”今天几乎所有运行SCADA的服务器都有USB端口，闪存驱动器已经无处不在。亨利说:“因此，必须有一个强有力的政策来规定哪些设备可以插入(服务器)。”

NERC CIP可靠性标准CIP-005要求所有关键网络资产，包括SCADA，都位于电子安全边界(ESP)内。ESP的访问是安全控制和监控的。来源:Industrial Defender

访问必须受到严密的监视、认证和控制。网络安全咨询公司Encari联合创始人马特•卢艾伦(Matt Luallen)表示:“过去，身份验证完全基于你相信有一个值得信赖的运营商。”“如果你在网络上收到执行程序的信息，你就会相信它来自可靠的来源。”

Windows提供了一定级别的访问控制，但您需要超越简单的基于Windows的密码控制。施耐德电气的业务开发经理托德•戴维斯表示:“你必须根据组织的组成和结构，决定你想要的细化程度。”“如果你在一个控制室里有多个操作员，每个操作员都有不同的授权级别，你是想在工作站级别控制，还是一个屏幕一个屏幕地控制，或者更精细地控制，在HMI的每个屏幕内的对象级别控制。大多数SCADA系统都支持这些功能的组合，但系统管理员需要将它们放置到位。”

此外，管理员可能想要增加三点身份验证，这可能包括一个密码，一些只有个人知道的个人信息，也许还有某种形式的生物识别——这可以增加大约100美元，戴维斯说。

卢米森的亨利也鼓励政策执行“最小特权规则”。简单地说，系统上的任何用户都应该被授予完成工作所需的最低授权。”但是，访问授权还必须考虑维护、工程服务和供应商支持技术人员。所有人都应该通过名字而不是职位类别来标识，人力资源部门必须参与证明他们都符合培训政策要求，并进行了适当的背景调查。

系统维护、补丁管理和配置更改也是SCADA和hmi安全关注的领域。许多变电站设备从未真正打算连接，也没有真正的TCP/IP错误检查功能，因此运行系统扫描的人可能会导致网络崩溃。还需要进行补丁前和补丁后以及配置测试，以维护安全性并满足遵从性要求。

控制系统安全研究和咨询公司Digital Bond的总裁戴尔•彼得森(Dale Peterson)表示，尽管这些标准对合规的定义并不明确，但迟早会有明确的规定。“这就像萨班斯-奥克斯利法案——需要时间来厘清。然而，重要的是，你的行为是真诚的，并且能够为你所做的决定辩护。”

GarrettCom(一家工业网络产品公司)的执行副总裁John Shaw将NERC CIP简化为一组核心实践。“识别所有可能影响运营的关键网络资产。然后确定谁需要能够接触到他们。清除所有不必要的开放端口。跟踪谁有授权。把每件事都记录下来。”

“合规是通过查看你保存的有关安全决策的记录来确定的，”肖补充道。以及网络安全的整体状况。理论上，如果你不遵守规定，你可能会被处以每天100万美元的罚款。这笔钱足以引起任何公司的注意。”

www.globalelove.com

作者信息

弗兰克O史密斯是特约作家控制工程北美。

及时了解NERC CIP-004-1, R1安全问题

控制工程的工业网络安全博客提供定期更新和建议，以帮助DCS/SCADA系统工程师了解安全漏洞和应对方法。博主Matt Luallen和Steve Hamburg通过他们的NERC CIP合规咨询公司Encari，也提供了具体的NERC CIP-004-1, R1材料，可以帮助合规。

Encari正在提供季度安全意识网络研讨会，重点关注电力市场组织经常遇到的挑战。第一次会议于7月举行，讨论了安全最佳实践以及最近的事件和监管发展。此外，从8月开始，Encari将每两个月通过电子邮件发送安全意识公告，这些公告可以分发给员工、承包商和同行。讨论的主题将包括有关安全最佳实践的可靠信息，以及最近的事件和法规更新。

Luallen说:“NERC CIP可靠性标准CIP-004-1的第一个要求简洁地指出:你的组织需要‘记录、实施和维护一个安全意识计划，以确保拥有授权网络或授权无陪同物理访问的人员在良好的安全实践中得到持续加强。’”“这些免费材料涵盖了必要的安全意识项目的两个最关键的要素。”

发送电子邮件至awareness@encari.com注册，或访问博客www.globalelove.com了解更多。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。