以网络安全为中心的系统和基础
对于现代工业控制系统(ics),网络安全涉及技术和用户最佳实践。重点介绍了四个网络安全基本要素。
工业自动化项目设计人员正确地将重点放在交付正确可靠的设备功能上。然而,现在大多数智能自动化设备都包括有线或无线连接,最终用户越来越希望获得设备数据,这些接口的网络安全变得非常重要。
即使可编程逻辑控制器(plc)和人机界面(hmi)功能已经变得更加强大,但网络安全功能却没有以同样的速度发展。此外,网络安全的改善不仅涉及PLC/HMI硬件和软件,还需要改变“湿件”、工程师和最终用户的行为。
在可预见的未来,plc和hmi将继续作为工业控制系统的支柱,即使它们继续发展。设计人员和最终用户需要在他们选择的自动化平台中寻找以网络安全为中心的功能,并努力鼓励适当的以网络安全为中心的最终用户行为。
对于网络安全来说,空气间隙是不够的
在过去,plc、hmi和其他相关设备依赖于“晦涩的网络安全”,网络入侵者也不像今天那么普遍(图1)。经典的自动化设备使用专有网络和协议,数字工厂很少与外部世界连接。这种“气隙”形式的物理网络安全是司空见惯的,被认为是绰绰有余的。
由于现代自动化设备已经获得了有线以太网、Wi-Fi和其他形式的连接,一些用户认为这些专用系统仍然足够安全。历史证明事实并非如此,因为网络攻击仍在继续增加频率和严重性。并不是所有的不良行为者都在小心翼翼地窃取数据或以协调一致的方式接管系统控制权。有些人想通过相对粗暴的攻击来破坏行动或损坏设备。在任何一种情况下,这些都是对设备和人员安全的威胁,必须认真对待。
使商业以太网经济地应用于工业级设备的同样的涓滴技术,也使生产系统、商业网络、基于云的资源和网络罪犯之间的互连变得容易。本地化自动化的设计者常常缺乏对这些系统在外界面前是多么脆弱的充分了解。
图1:用于现代自动化系统的plc、hmi和其他支持以太网的自动化设备不能再依赖于“模糊网络安全”和“空气间隙”。他们必须逐步采用先进的IT类型安全功能。礼貌:AutomationDirect
网络安全四大基础
现代plc需要多种技术来提供网络安全,并鼓励用户改变行为(图2)。四个关键技术是:
- 端到端加密。
- 用户名/密码保护。
- 粒度访问控制和端口管理。
- 活动的审计。
1.端到端加密应该被指定的任何新的plc所支持,然后应用于所有以太网通信。这包括PLC与编程环境、网络上其他以太网设备以及任何外部客户端和嵌入式web服务器之间的交互。用于为plc创建代码的编程软件需要提供条款,以便管理员在需要外部访问时管理网络安全证书。
不幸的是,加密是处理器密集型的,这阻止了许多传统plc采用这种功能。这促使设计师选择最新一代的plc。如果无法避免遗留plc,则应该将它们保存在隔离的网络或防火墙后面。
图2:AutomationDirect BRX系列plc集成了加密、用户名/密码、访问控制和活动审计技术,为所有现代系统提供必要的安全性。礼貌:AutomationDirect
2.用户名和密码保护是一个必须内置PLC的功能,和用户应该强烈建议非默认值设置为他们提供一个PLC。在开发期间,许多用户觉得这个额外的步骤很讨厌,所以他们禁用密码保护或保留缺省值,击败这个保护将提供重要的价值。然而,重要的是,用户的心态要转变为保护plc,就像保护今天的企业个人电脑一样。
即使是具有用户名/密码功能的现代plc也可能只允许通过编程软件在本地管理这些设置。但在未来,plc将需要获得与认证和管理基础设施集成的能力,允许对用户活动和访问进行更彻底的管理和可追溯性。将这种标准的it级网络安全整合到操作技术(OT)类型的产品中,将改善工业系统的整体安全状况。
高级用户名和密码管理可以实现其他有用的功能。例如,创建时间敏感凭证的能力意味着系统所有者可以分配特定的访问级别和持续时间,因此承包商可以以受控的方式执行工作,并且承包商的访问将在完成工作的合理时间范围内到期。
3.粒度访问控制和端口管理包括配置哪些通信协议是活动的,为特定协议重新分配端口,以及指定哪些IP地址可以访问PLC的能力。虽然像办公笔记本电脑这样的IT设备可能来来去去,但OT网络通常由稳定的配置组成,具有众所周知的通信需求。
这使OT管理员有机会混淆一些已知的端口和协议,并限制对特定IP地址范围的访问。通过限制只在必要时从已知设备访问,设计人员可以减少不良行为者发现和干扰这些设备的机会。
由于自动化系统的通信体系结构与业务网络的通信体系结构相比是相对静态的,因此更容易采取积极的步骤在需要的地方分配特定的访问权限。关闭未使用的以太网端口和使用不太常见的端口迫使不良行为者更加努力地寻找打开的门。在组态软件中,最好在默认情况下关闭未使用的端口。这减少了攻击面,并消除了用户保护设备的需要。相反,用户必须采取行动,通过做出明智的决定来增加连通性。
4.审计活动在防止网络入侵不能完全有效的情况下(图3),作为一种早期检测形式已经成为必要的。避免成为网络安全事件受害者的一种方法是审查访问活动的日志,并试图发现未经授权的事件,然后采取行动防止未经授权的事件发生。许多不良分子会使用“暴力”方法,使用软件工具,让他们循环使用常用的用户名和密码。传统plc对于这种类型的活动几乎没有日志记录和审计功能。然而,现代plc正在获得审计功能,因此用户可以跟踪访问尝试或导致更改的实际访问的日期/时间和IP地址。
图3:活动审计是当今一些plc(如AutomationDirect BRX系列)中添加的类似it功能的一个例子,为用户提供检测和分析网络安全事件的基本工具。礼貌:AutomationDirect
加强PLC网络安全骨干
plc构成了当今大多数制造和关键基础设施自动化系统的骨干,并将在一段时间内继续发挥关键作用。传统模型受到当时可用技术的限制,这通常意味着很少或没有网络安全条款。
当今和未来的运行环境要求任何考虑用于新的或改造工作的plc都应该在设计上是安全的。网络安全功能不应作为事后补充。完全集成的网络安全应作为基础设施,无缝地将OT与IT结合起来,允许安全的数据从工厂流向管理层。
先进的PLC制造商必须进行尽职调查,以验证以太网PLC符合最新的网络安全标准,并解决任何漏洞。设计良好和安全的PLC硬件和软件减轻了终端用户的一些负担,同时促进了安全系统的配置和管理。
正确的技术可以帮助用户朝着正确的方向推进,以实现安全可靠的系统。
达蒙普维斯, PLC产品经理,AutomationDirect。由Chris Vavra编辑,web内容经理,CFE媒体和技术,cvavra@cfemedia.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
