确保网络安全SCADA /人机界面

的美国国土安全部(DHS)已经确定了16个关键基础设施部门，它们“对美国至关重要，一旦丧失能力或被摧毁，将对安全、国家经济安全、国家公共卫生或安全，或它们的任何组合产生破坏性影响”。其中包括化工、关键制造、能源、核、运输系统和水/废水部门。

根据国家网络安全和通信集成中心和工业控制系统网络应急响应小组(ICS-CERT)发布的一份国土安全部报告，ICS-CERT小组在美国2015财年应对了295起网络事件，比上一财年增加了20%。其中，关键制造业发生了95起事故，能源部门发生了46起事故，供水和废水系统部门发生了25起事故。

这些行业的日常运营严重依赖监控和数据采集(SCADA)网络。如果国家安全的强大程度取决于其最薄弱的环节，那么关键基础设施中的SCADA网络可能就是这个薄弱环节。加强这些系统中的弱点必须是一项优先事项，也是一项共同的责任。

美国政府已经发布了几项指导方针和建议，以帮助确保这些关键行业的安全，但大多数都是模糊的，无法执行。美国超过85%的关键基础设施是私人拥有或运营的，因此主要取决于基础设施运营商制定预防、缓解、事件管理和响应的行动计划。

为什么工业网络如此脆弱

许多SCADA系统已经运行了几十年。这种遗留设备是为操作技术(OT)部门的需要而设计的，而不是信息技术(IT)部门。IT和OT传统上在安全方面有不同的优先级。IT部门的任务是保护公司的数据，因此保密性是主要的关注点。OT世界的设计是为了方便使用、数据可用性和完整性以及正常运行时间，但不一定是为了安全。

当可编程逻辑控制器(plc)在几十年前被引入市场时，它们解决了一系列特定的问题:易于现场维护、高运行时间和20到30年的使用寿命。在过去，这是没有问题的，因为现场的plc通常是气隙，或与其他区域隔离。然而，在当今互联互通的世界中，这种孤立已不复存在。即使是有气隙的独立系统也容易受到通用串行总线(USB)设备的感染。

工业协议也存在风险，因为它们在设计时没有考虑到安全性。因为其中许多协议已经使用了几十年，在这个时候增加安全性将是一项艰巨的任务。这需要与数百家为这些协议生产产品的供应商进行协调更新，并确保安装在世界各地的设备的互操作性。

工业pc (ipc)和其他人机接口(HMIs)的日益使用导致了更多的漏洞。虽然IPC是为抵御工业环境而构建的，但它仍然可能运行商业版本的Windows，因此它很容易受到该操作系统所带来的所有漏洞的影响。至少三分之一的设备仍在运行微软不再支持的Windows XP。在工业环境中运行杀毒软件非常困难，维护成本也很高，因此如果病毒感染了IPC，就可能影响整个系统。

从哪里获得网络安全指导

公共和私营部门都明白，提高这些系统的安全性是多么重要。2016年2月，白宫成立了加强国家网络安全委员会，目的是加强公共和私营部门的网络安全。此外，许多行业已经成立了网络安全意识小组，以分享关于网络安全重要性的经验，制定建议实践，并创建指导方针，向资产所有者展示如何以及从哪里开始对其网络安全负责。例子包括:

• 的北美电气可靠性公司(NERC)该机构是一个非营利性的国际监管机构，其使命是确保北美大容量电力系统的可靠性关键基础设施保护(CIP)标准。值得注意的是，NERC指南中有11项需要执行，这使其成为目前唯一受监管的网络安全标准。
• 的国际自动化学会一起国际电工委员会(IEC)开发了ISA99 / IEC62443制造和控制系统网络安全标准。
• 的美国公共交通协会目前正在制定《运输环境中安全控制和通信系统推荐实施细则》的第3部分。
• 的化学品设施反恐标准(CFATS)负责化工基础设施的网络安全。

这些指导方针严重依赖于推荐实践:用纵深防御策略提高工业控制系统的网络安全该报告最初发布于2009年10月，于2016年9月更新。

采取措施保护SCADA和HMI

一种纵深防御方法建议对网络安全采取分层的方法。如果只有一层防御，那么知道如何绕过这一层的入侵者可以很容易地破坏整个系统。例如，如果唯一的防御级别是杀毒软件，一个未被检测到的新恶意软件可能会通过漏洞，因为软件无法识别它。在控制系统中增加多层防御将最大限度地减少发生严重事故的风险。

考虑以下为控制系统添加防御层的最佳实践:

防火墙管理:防火墙应该部署在整个控制系统网络中，包括远程终端单元(RTU)/PLC/分布式控制系统(DCS)级别的设备级防火墙(见图1)。这种做法的潜在缺点是增加延迟和资金成本，但如果攻击者能够获得访问权限，设备级防火墙将有助于隔离受感染或中断的系统。对于关键接入点，安装来自不同制造商的多个防火墙也是明智的。如果攻击者成功地突破了一个防火墙，仍然有一个额外的保护层和额外的时间来修补漏洞。

有几种不同类型的防火墙，每一种都有其优缺点。

• 包过滤防火墙在转发数据包之前根据一组标准检查每个数据包中的地址信息。虽然它们具有较低的延迟和最低的成本，但它们也提供了最低级别的安全性。
• 状态检查防火墙跟踪活动会话，并使用该信息确定数据包是否应该转发或阻止。即使增加了安全性，有状态防火墙仍然可以以具有成本效益的价格使用，并且不会给网络增加显著的延迟。
• DPI (Deep packet inspection)防火墙在应用层检查每个包，并提供最高级别的安全性。它们会增加延迟，而且很难配置和维护，因此应该只在工业网络中的战略点上使用。它们在IT网络中更常见，因为在IT网络中，延迟不是一个大问题。

安全信息和事件监控(SIEM)技术:SIEM技术简化了日志、简单网络管理协议(SNMP) trap和事件管理的审查。SIEM技术为安全人员提供了一个中央控制台，用于查看来自入侵检测系统、防火墙和其他网络安全设备的日志。这可以帮助用户遵守监视、日志记录和审查需求。

非军事区(dmz):DMZ是两个其他网络之间的受保护子网(参见图2)。它可以在不可信网络(例如，办公网络)和可信网络(控制网络)之间设置。有几种方法可以创建DMZ网络，但其目的是使来自可信网络的数据对那些需要它的人和不一定需要直接访问网络的人可用。

补丁管理:如前所述，在遗留的工业控制系统中，安全补丁管理是困难的，但是执行它可以修复错误并关闭漏洞。在将更新应用到所有单个设备之前，在受控环境中定期测试这些补丁——至少一年一次，但在某些情况下更频繁。在测试补丁之后，请与适当的供应商验证这些结果。

身份验证和授权:身份验证是一个验证过程，以确保只有那些具有适当凭证的人员、设备、系统或其他实体才能访问网络。它经常与授权一起使用，授权指定谁有权访问数据。支持身份验证和授权的技术和实践包括

• 基于角色的访问控制
• 挑战/响应身份验证
• 物理令牌/智能卡授权
• 生物认证技术

恶意代码防范:有几种方法可以检测、阻止和减轻恶意代码感染网络:

• 杀毒软件可以是一个有价值的工具，可以检测许多病毒，但以恶意软件被引入的速度，很难保持最新，特别是在工业环境中。另一个缺点是每个IPC必须对每个操作系统拥有唯一的许可证，因此成本会迅速增加。
• CIFS (Common internet file system)完整性监控是windows系统防病毒程序的补充，可以在第0天检测恶意软件。CIFS完整性监视检查文件系统，以获取系统清理时的基线快照。大多数OT设备是静态的，几乎没有变化。CIFS完整性监视定期返回，以监视是否有任何修改。如果它检测到更改，它将通知相应的用户。它还防止了第三方软件的安装(参见图3)。
• 白名单允许管理员确保只有受信任的应用程序可以在系统上运行。要正常工作，它需要一些管理，但它可以防止恶意文件运行。

虚拟局域网:另一种可以部署在网络中的技术是虚拟lan (vlan)。vlan在物理上将网络划分为更小、更逻辑的网络，有助于提高网络性能和简化网络管理。VLAN实际上是一种网络管理工具，并不是用来检测网络安全或漏洞的。一个正确设计的VLAN可以帮助减轻可能由硬件故障或网络事件引起的广播风暴。

数据二极管:数据二极管是另一种可以部署在控制系统网络中的访问控制技术。对于只需要单向的流量(例如，将操作数据发送到备份位置)，数据二极管可以确保不允许返回的流量返回到受保护的系统。数据二极管是一个系统，其中一对器件一起工作;一个设备只有一个物理发射器，而另一个只有一个物理接收器。系统中的软件处理许多通信协议所需的传输控制协议(TCP)确认的生成。

加密技术:ISA 99标准建议使用虚拟专用网络(vpn)来确保远程连接的安全。VPN允许私有网络在公共基础设施上通信。它对跨不可信网络的数据进行加密，并对进入可信网络的访问进行身份验证。

常识性的最佳实践:技术是确保控制系统安全的关键，但也不能忽视人的层面。SCADA和工厂管理者需要培养一种安全文化，类似于过去十年中越来越普遍的安全文化。管理人员应该查看日志并定期审计它们。制定一项策略，要求设置强密码，并教员工如何创建强密码。永远不要使用设备的默认密码。

确保未来

几乎每天都有报告发布，证明包括SCADA和ICS中运行的操作系统在内的网络是多么脆弱和脆弱。这些报告详细解释了新的网络攻击、病毒、漏洞甚至零日，这既可以推动供应商通过推出安全更新来解决问题，也可以允许攻击者利用它们。ICS网络安全非常重要，因为我们依靠这些系统为我们的家庭带来电力、清洁水、通信、娱乐等。

上述方法的实施，就像一个多层的、纵深防御的方法，解决了我们关键基础设施中的网络安全缺口，但没有一个单一的实体负责整个过程。除能源行业外，没有其他行业法规是强制性的，因此保护水平很大程度上取决于组织的预算限制。

IT管理员的目标是在他或她的网络和系统中维护最高级别的保护，而不干扰OT工程师必须保持ICS流程可用和运行的日常业务。同时，因为这两个组都必须遵守公司的政策，所以采用集中的方式监视安全和管理网络和操作系统可以使他们的工作更容易、更灵活、更高效。OT、IT、公司管理、政府和其他部门必须在同一个团队中工作，以确保我们的网络保持安全、可用和准确。

玛利亚姆Coladonato是Phoenix Contact USA的网络和安全产品营销专家。自2012年以来，她一直在Phoenix Contact工作，支持FL mGuard产品家族。科拉多纳托拥有西弗吉尼亚大学理工学院的电子工程学位，目前正在攻读网络安全硕士学位。

本文发表于应用自动化补充的控制工程
而且设备工程．

-参见下面补充的其他文章。