多面合一

相关阅读

• 安全:你花的钱够吗?

• 控制系统及网络安全

• NIST的过程控制论坛帮助网络防止网络攻击

• 另外，请在www.globalelove.com上搜索“security”以获取其他参考资料。

一目了然 风险评估 政策和程序 人为因素 强密码 生物识别技术 访问控制 栏: 交换机管理:网络安全的一把钥匙

许多大哲学家说，生活不是目的地，而是一段旅程。安全问题似乎也是如此。与生活一样，围绕安全措施的环境是动态的。情况在变化，关注安全的自动化和控制工程师需要紧跟这些变化。今天，在一个充斥着恐怖主义、计算机病毒、诉讼和隐私问题的环境中，这句话从未如此真实。

ABB公司(ABB Inc.)系统产品营销经理金•富里奇(Kim frich)说，安全威胁的来源多种多样，从内部事故到病毒和蠕虫渗透，再到恶意黑客的外部攻击。从历史上看，研究表明大多数事件是内部产生的，但这一趋势迅速转变为非定向的、自动化的、外部产生的攻击。企业必须了解事故和攻击是可能发生的，并实施安全政策、程序和流程，以及硬件和软件设备，以减轻与之相关的风险。”

为人机界面(hmi)、与之交互的组件以及它们所在的网络建立有效的保护措施需要多方面、多层次的努力。这种努力需要集中在政策和流程方面的“人”方面，以及硬件和软件措施方面的“技术”方面。

平衡的行为

通用电气发那科自动化(GE Fanuc Automation)人机界面/SCADA产品营销总监罗伊•科克(Roy Kok)说，安全就是风险评估。你必须了解自己的弱点，它们是一个不断变化的目标。在向系统中添加增强功能或引入新产品时，需要重新评估安全性。在这个互联互通的以太网世界里，事情很容易发生变化。”

解决安全问题是平衡风险和需求的问题。一个手术能承受多大的风险?代价是什么?在微软Windows环境下的开放系统使信息可访问且易受攻击，尽管微软和其他公司正在努力内置安全性并帮助人们更好地应对补丁。此外，工业以太网的扩散使网络、系统和hmi面临更大的风险。面对这些现实，工程师应该如何应对?

工程服务公司Soltus的电气工程师安迪•贝丁菲尔德(Andy Bedingfield)建议，首先要确定是谁、哪个团队在考虑安全措施。贝丁菲尔德说:“询问到目前为止，系统中存在哪些安全问题和限制。”并找出公司对安全可能存在的其他担忧。其次，试着评估典型的威胁可能是什么。更自动化的环境与手动环境具有不同的关注点。第三，描述违约发生后的后果。然后权衡成本与风险。”

霍尼韦尔服务营销经理玛丽莲•古尔(Marilyn Guhr)解释说，我们在进行安全评估时，会分析并核实客户的过程控制网络，尤其是开放节点的情况。这将包括HMI操作界面。我们提供了一份我们观察到的漏洞的文档报告，以及关于如何删除或减轻漏洞的建议和最佳实践指导。每个漏洞都有相应的风险级别。决定企业可以接受多大的风险，最终是客户的责任。”

定义多级密码安全使运营商只能访问他们需要的特定网络区域。在这里，操作员“Joe”拥有启动和停止工厂处理区域中的应用程序对象和接口(包括储罐)的安全权限。(插图由Wonderware提供)

在某些情况下，必须谨慎地设置安全措施。霍尼韦尔控制系统解决方案规划师Kevin Staggs建议，当操作员登录时，预先定义系统将做什么。“我们提供的系统带有示例登录脚本，可以预先配置桌面，或者预先启动操作员允许运行的应用程序。他不允许发射任何其他东西。

斯塔格斯警告说:“在关键的流程人机界面中，你不希望在流程操作员使用系统时自动启动屏幕保护程序。”的运营商总是需要对流程有一个视图。即使是密码锁定等常见做法也可能造成操作员在需要时无法查看流程的情况。在紧急情况下，当肾上腺素激增时，如果你因为兴奋或困惑而记不住密码，那是你不想要的情况。由于操作员的密码可能不像公司安全政策所建议的那样安全，因此底层操作系统必须完全锁定，以防止未经授权的修改。”

在其他情况下，连接的系统需要更多的保护。博世力士乐电气驱动与控制产品经理拉米•阿什卡尔指出，如今的人机界面非常复杂。由于hmi可以做的所有事情，一个设施需要保护这些操作。如果没有适当的安全措施，未经授权的人可能会造成重大损害。工程师需要与IT合作，阻止那些不应该访问信息的人，同时确保那些应该访问数据的人可以访问这些数据。IT部门可以提供帮助。利用你的专业知识。这应该是一种合作的努力。

政策的重要性

人的因素是任何活动中最薄弱的环节。安全也不例外。首先，必须制定和实施安全计划。建立一个标准，一个一致的方法，在整个工厂，甚至公司实施。并确保每个员工都明白这一点。

接下来，开发定义需要做什么的文档。洞在哪里?它们怎么能插电呢?许多常见的安全问题都与人员有关:

• 未能实施和更新病毒防护。不定期审查的病毒程序将无法提供足够的保护。

• 糟糕的密码管理实践。易于预测，不变的密码不是访问障碍。使用强大的通用发那科(GE Fanuc)的郭素沁坚持认为，密码应该是那些难以记忆、区分字母和数字大小写的密码。

• 未能及时更新微软安全补丁。在安装到过程控制系统之前，它们需要进行验证和确认。

• 无法实现/维护防火墙。Wonderware首席技术长兼产品定义副总裁莫迪(Rashesh Mody)说，防火墙就像一条管道，里面有很多阀门。“你可以随心所欲地打开或关闭许多阀门。如果所有的阀门都打开，你就能得到你想要的所有信息流。”

在安全问题上，IT部门领先于自动化和控制部门，Mody继续说道。利用IT部门的专业知识;与他们合作，利用他们的安全知识。”

最后，要注意联合国故意的问题可能和故意的问题一样构成巨大的安全风险。Iconics总裁拉斯•阿格鲁萨(Russ Agrusa)说，最大的漏洞可能来自公司内部人员的无意攻击，而他甚至都不知道自己在做这件事。它可能是一个技术人员进入你的工厂进行维修。可能是工厂工程师带着笔记本电脑参加会议，然后接入工厂网络。可能是一个员工从国外旅行回来。突然之间，你的网络被破坏了。政策需要更多地与隔离进出系统有关，而不是与病毒和防火墙本身有关。

得到物理

当然，安全不仅仅是政策。它既包括物理措施，也包括过程措施，通常物理措施采用软件和硬件的形式。人机交互问题主要集中在单位之间的通信。没有什么是完全有效的，但许多措施可以起到威慑作用。最常见的可能是多级密码。

Lantronix公司负责设备网络产品的高级产品营销经理马克•普劳滕(Mark Prowten)说，但安全性不仅仅局限于桌面上的密码。“它被转移到了终端设备上，从机械臂上的内置计算机到与设备通信的PDA。手持PDA是无线的。尽管无线网络在当今复杂的加密技术下已经变得更加安全，但网络的主干仍然是硬连线的。如果有人在这一点上访问，信息就有风险。”

加密设备有助于保护从终端设备到HMI监视器的数据通信。(插图由Lantronix提供)

Phoenix Contact的自动化产品经理Larry Komarek说，以太网的普及使人机界面面临更大的风险。开放的系统意味着更大的风险。在工业领域，这些系统通常使用托管和非托管交换机。非管理型交换机提供了一种解决方案，但它们没有更高级别的智能。它们以非常低的成本执行基本的以太网交换，但是在非管理型交换机上没有安全性。你插入一个设备，就能访问。管理型交换机有助于防止这种情况。它们具有额外的智能来提高性能并增加安全性。它们的成本也更高。(有关管理型交换机的更多信息，请参阅侧栏。)

在硬件方面，生物识别设备可以添加或替换密码。精度高;指纹识别器的错误率小于0.1%。建立一个系统很简单，尽管在实施和维护方面可能会很昂贵。

许多用于限制访问的硬件措施都可以内置到HMI本身。例如，触摸显示器可以配备多种生物识别设备中的任何一种，从指纹和掌纹读取器到卡片访问系统。Elo TouchSystems的产品管理总监马克•博尔特(Mark Bolt)指出，这类措施在医疗保健领域尤其普遍。

他解释说:“HIPAA(健康保险流通与责任法案)在医疗保健方面的要求禁止任何设备在无人看管的情况下处于解锁状态，如果设备上有病人的信息。”“结果，员工们不得不每天登录和退出数百次，这是一项乏味而耗时的任务。”通过指纹登录，一个人触摸显示器上的生物识别传感器，就能被识别并立即登录。”

如果需要，HMI和相关的网络和设备也可以在控制室中进行物理限制，只有通过徽章或其他清除设备才能访问。这些措施必须与政策相结合，这些政策规定了谁可以进入，并概述了操作员在发生未经授权的进入时应该采取的行动。

把它们放在一起

解决安全问题的技术每天都在进步。然而，没有一种解决方案或技术能够满足所有组织和应用程序的需求。

ABB的富里希说，如果有这样的安全措施，那么过多的安全措施可能会限制那些获得授权的人访问信息和数据，并造成不必要的成本。然而，缺乏足够的安全保障将使运营利润和人员处于危险之中。平衡安全措施的成本与事件发生的潜在成本是很重要的。根据经验，工厂应该应用与数据价值、风险和与安全事件相关的概率以及事件的潜在后果成比例的成本安全措施。为此，核电站工作人员必须了解导致安全风险的各种变量。”

Soltus公司的贝丁菲尔德也表示赞同:“对一个项目或系统的完全所有权，端到端，可以帮助缓解安全问题。”你不能想当然地认为问题会由别人来解决。

通用发那科的郭素琳说，这是一个教育过程。“任何公司要想在安全方面取得成功，都需要在内部制定政策。他们需要投入人力。这不能是半心半意的努力。安全需要成为每个人的工作。每个人心里都需要有安全感。”

这是有原因的。“9/11事件结束了我们的安全感，”Lantronix“Prowten说。他说，我们倾向于认为我们在处理事情，但我们没有意识到我们留下了多少空间。

在线额外

21步安全资源

在众多可用的安全资源中，值得注意的是《网络安全的21个步骤》，这是总统关键基础设施委员会和能源部的政府出版物。这份简明的文件总结了可以采取的基本行动，以提高对SCADA网络的保护。从https://www.ea.doe.gov/pdfs/21stepsbooklet.pdf下载免费副本

交换机管理:网络安全的一把钥匙

在以太网网络占主导地位的环境中管理HMI安全性的一个关键是管理交换机。Phoenix Contact的Larry Komarek解释说，开关必须在三个层面上解决。

访问端口/连接。
为了使系统能够运行，需要访问交换机的端口。然而，在多个级别上控制这些端口是至关重要的。科马雷克说:“你需要一个备用的维护端口，用来插入笔记本电脑进行诊断。”但你也不希望那个端口一直开着，让别人使用吧。您希望能够打开和关闭它，以防止误用。你可以通过密码保护和交换机管理来做到这一点。”
还可以设置端口来检查已批准地址的查找列表。科马雷克说:“如果你的设备不在批准清单上，你就不能进入。”例如，当其他行继续运行时，新行正在运行。初创公司的员工需要进入某些区域，但他们不是正式员工，不应该自由进入所有区域。所以你可以逐个端口地批准他们使用的设备。”
在响应错误的地址时，如果检测到未经批准的地址，则可以完全关闭端口。在这些情况下，端口可以配置为需要手动重置，或者可以配置为阻止未经批准的设备，但在随后插入批准的设备时响应。

管理交换机参数。
还可以采取措施防止有人访问开关本身并更改其参数。参数通常通过Web页面进行管理。科马雷克说:“IT人员的程序切换使用基于文本的语言，但控制和自动化的世界是可视化的;所以这些参数需要有PLC的外观和感觉。可以通过批准列表限制再次访问。在审批列表中，访问权限可以进一步扩展到只读或读/写。科马雷克解释说，如果你不在名单上，系统就不会做出回应。或者，它可能只允许读取诊断，而不允许更改授权。一个页面一旦设置好，就可以完全关闭，不允许进一步访问。”

限制网络访问。
虚拟网络或vlan可以隔离流量。科马雷克说:“vlan可以完全隔离网络的各个部分，就像切断电缆并插入单独的网络接口卡一样。”通过这种方式，某些人员可以访问网络的一个部分，但不能访问其他部分或整个网络。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。