为基于云的SCADA实施网络安全策略

云中的监控和数据采集(SCADA)提供了更大的灵活性、可伸缩性和确定性。它还承诺能够大量减少资本支出，提供可预测的成本，加速实施，并在添加或更改资产时快速适应变化。作为一种更有效的部署模式，基于云的SCADA旨在降低许多行业的进入壁垒。

使用基于云的SCADA，不需要控制或备份中心。用户可以利用其首选服务提供商的云基础设施，并从资本支出(CapEx)模型转向运营支出(OpEx)模型。8到10个月的SCADA项目可以减少到几周。此外，用户可以从较少的资产开始，并根据需要添加或删除它们。此外，软件版本始终保持最新。该行业的效益不断得到证明。

例如，加拿大一家原油和天然气勘探和生产公司的一个项目，在签署订单后的一个月内，使用场外SCADA将300多口井上线。

基于云的SCADA和网络安全

基于云的SCADA可以提供可靠和安全的方法。现场资源和专业知识可以通过服务提供商提供的远程支持、持续监测和自动更新来补充。在许多方面，通信的设计类似于早期SCADA系统中考虑的主题，但现在更重要的是拥有一个可靠的网络安全设计。

网络安全问题在此类系统中至关重要，因为对工业控制系统(ics)的威胁数量正在增长。工业控制系统的数字化增加了网络风险。手动操作的设备有一个好处:它不会被黑客入侵。随着控制功能的自动化，潜在攻击目标的范围也在扩大。随着越来越多的设备和系统在工业物联网(IIoT)中联网，连接性的增加带来了许多好处，但也带来了网络安全问题。

这不仅是“攻击面”或漏洞数量的增长，还包括网络安全漏洞的潜在后果。监管预期的提高意味着，即使没有成功违规，企业也可能面临严重的声誉损害和成本(就监管处罚而言)。与此同时，那些成功的公司已经证明，风险远远不是理论上的。例子包括:

• 2016年，在针对美国之后，沙虫黑客导致乌克兰50多万人停电
• 2012年，Shamoon病毒使中东能源公司的数万台电脑瘫痪，四年后又重新出现。
• 去年，WannaCry勒索软件在全球范围内传播，影响了超过三分之一的英国国民医疗服务机构——不仅是医院的计算机系统，还包括核磁共振扫描仪和血液检测设备等医疗设备。

根据卡巴斯基实验室的数据，超过一半的工业设施经历过某种形式的网络安全事件，四分之三的工业控制系统(ICS)预计会受到攻击。

应对网络攻击的增加

随着威胁的演变，网络攻击的数量和范围也在不断增加。其中最令人担忧的发展是，安全系统正成为黑客的专门目标。2017年12月，黑客入侵了一个关键基础设施的安全系统，这被称为工业网络安全的“分水岭”时刻。然而，它实际上是在中东一家石油公司的安全系统遭到攻击之后发生的。

在应对这些风险时，企业受到许多因素的阻碍。首先是劳动力迅速退休导致的普遍技能短缺，特别是缺乏技术技能。Petroplan的《2017年人才洞察指数》发现，石油、天然气和能源行业中超过五分之一的公司表示，他们缺乏适合增长的人才，超过三分之一的公司表示，随着对数字化和大数据的依赖日益增强，他们需要更多的信息技术(IT)技能。

与此同时，在企业内部，运营竖井仍然存在——站点之间、集团内部的业务之间，尤其是IT和运营技术(OT)员工之间——尽管技术趋于融合。在竖井中操作会导致许多关于谁承担这些风险的所有权和责任的混乱。这一点很重要，因为IT和OT的传统方法不同。具体来说，在操作空间的可用性是一个更大的优先级，在许多情况下对安全至关重要。因此，适合IT和OT的安全解决方案有很大不同。

由于几乎没有一致的网络安全标准，因此没有“一刀切”的方法来实施网络安全战略。

网络安全面临的挑战

当涉及到基于云的SCADA时，在网络安全方面有两个关键危险。

首先，网络安全措施被忽视或处理不当。通过卫星或无线电通信的不安全连接为黑客提供了一个机会，以远程站点为目标，并侵入云或SCADA系统。例如，每一个不安全的阀门站点都成为一个重要的漏洞来源。

其次，风险被夸大了，以至于企业对云部署望而却步。这不仅意味着他们错过了基于云计算的SCADA在效率方面的好处，这可能会对行业产生更大的累积影响，而且从长期来看，比任何已经发生的网络攻击都要严重。由于缺乏应对网络风险的技能和内部资源，提高企业的安全也不太可能。

在考虑攻击载体、入侵是如何发生的以及恶意软件或黑客是如何进入的时候，这是很清楚的。黑客利用的常见漏洞包括:

• 不安全的连接点到ICS环境，并由多个设备和系统供应商提供访问权限。
• 外部或业务网络安全受到威胁。
• 雇员及承办商成为网络钓鱼或鱼叉式钓鱼攻击的受害者，或通过他们的笔记本电脑、手机、智能手表、物联网设备或可移动媒体。

保护接入点

SCADA数据本质上是良性信息。系统从可编程逻辑控制器(plc)或远程终端单元(rtu)收集和显示数据。它本质上是单向传输，提供了设施状态的视图。它不是一个控制函数。在考虑基于云的SCADA时，安全性很重要，但它并不是一个不可克服的挑战。

确保非现场SCADA解决方案安全的核心问题是缺乏集中化。企业不得不努力保护远程员工、承包商、客户以及控制系统和第三方设备和软件供应商使用的多个接入点(在这些接入点中，为了升级、打补丁、监控或支持，为它们提供了远程连接)(图1)。

这些接入点的数量和缺乏中央监督和控制导致了各种各样的问题，包括:

• 资产和事件的部分数据可用性
• 没有适当的硬化
• 没有适当的监控和治理
• 没有适当的网络安全规划和问责制。

企业只能相信，通过这些接入点建立和管理连接的人员是以安全的方式进行连接的——这是不应该做的假设。

随着工业物联网设备数量的增长，这个问题只会变得更加明显。此外，对高级和大数据分析的需求越来越大，以便从生成的大量数据中获取价值，并将其转化为可操作的情报。这些分析功能要么位于设施中，要么基于云，这需要一个安全的数据传输通道(图2)。

集中的网络安全

基于云的SCADA的关键是通过基于云的安全中心和通信中心实现云集中的安全(图3)。

这个安全中心可以处理连接的身份验证，确保它们在允许访问通信服务器之前是有效的。与此同时，通信服务器通过位于每个工厂或站点的虚拟安全引擎(VSE)进行身份验证。VSE还可以从远程站点发起与通信服务器的连接，并且可以按照指定的间隔或时间自动进行连接，这样服务器就不必经常连接。

来自这些工厂或站点的所有通信都通过安全隧道，使用端口443，具有传输层安全(TLS)加密，并且可以对所有远程连接强制执行防火墙规则。这提供了一个分布式体系结构，具有从操作到远程站点的安全隧道。

来自工厂或站点的流量都通过安全隧道传输，而通信服务器由防火墙保护。然而，如果有必要下推补丁或更新，安全连接也可以用于远程访问技术人员。

这种集中式网络安全方法为操作人员提供了跨SCADA环境定义、自动化和监控安全策略的能力，从而提高了可见性、可靠性和合规性。组织可以集中定义工厂范围的策略，自信地部署它们，并自动化执行和监视。它确保所有远程现场资产在操作中心是安全的。

结合自顶向下的安全管理平台，该体系结构可用于提供健壮的ICS安全性NIST网络安全框架．该框架定义了行业标准和最佳实践，以帮助组织管理网络安全风险。将集中控制与安全管理平台相结合，使企业能够在所有站点上一致地满足这些标准(图4)。

现有的手动安全流程(如打补丁)不能很好地扩展。基于云的SCADA可以集中和自动化这些，同时为整个企业的网络安全带来一致性、可见性和控制。

基于云的SCADA提供了显著的好处，但对安全性的担忧可能会阻止组织执行。有了合适的架构和网络安全，企业可以享受云部署的好处，同时最大限度地降低网络攻击的风险。

生锈的加文OEM渠道经理霍尼韦尔工业网络安全．由内容副经理艾米丽·冈瑟编辑，控制工程， CFE传媒，eguenther@cfemedia.com．

更多的答案

关键词:网络安全、监控和数据采集(SCADA)

探索基于云计算的SCADA

识别在使用基于云的SCADA时可能存在的漏洞

如何最小化了解接入点的网络安全风险。

考虑一下:

将云计算减少你的网络攻击足迹?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。