保护工业网络免受不断演变的网络威胁:液化空气

作者:Charles Neely Harper，液化空气大型工业美国有限责任公司

在过去的一年里，黑客们加大了对寻找天然气、能源和制造业工厂技术漏洞的关注，目的是破坏运营，无论是为了敲诈勒索还是政治利益。最值得注意的是，2008年出现了设施管理软件CitectSCADA的缓冲区溢出漏洞。今年2月，阿海珐的e-terrahabitat软件包(允许发电厂的操作员监控燃气和电力水平，调整传输和配电设备，并自动化其他核心功能)被发现有大量缓冲区溢出和拒绝服务漏洞。

得益于其基于电子标签的无线电识别技术(称为“智能标签”或RFID)及其现有的数据托管和管理平台，液化空气集团为工业客户提供在线信息访问，以跟踪移动罐、工业操作和过程自动化。 了解更多关于液化空气RFID的信息。

随着黑客对这个行业越来越多的关注，像防火墙这样的基本技术已经不足以阻止新的变种和攻击向量的产生。作为工业和医疗气体及相关服务的全球供应商，液化空气集团已经通过深度防御安全战略来应对这一不断上升的威胁级别，该战略在对我们的系统进行广泛审查后，不仅预测了当前的威胁，还预测了未来的威胁。

液化空气集团在78个国家拥有45000多名员工，提供基于不断改进的技术的解决方案，生产空气气体(氧气、氮气、氩气、稀有气体)和包括氢气在内的许多其他气体。我们公司为许多日常产品的制造做出了贡献:气泡饮料中的气泡，包装食品的保护气氛，医院和家庭护理患者的氧气，半导体行业的超纯气体，燃料脱硫的氢气等等。我们依靠遍布美国的近150家工厂生产我们的产品。

这些制造设施创造了独特的安全环境，其中分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及监控和数据采集(SCADA)系统对持续运营至关重要。很早以前，我们就认识到我们的工厂必须受到保护，免受日益增长的潜在网络威胁，我们建立了复杂的防火墙技术和现有网络技术的嵌入式监督。然而，考虑到不断变化的威胁形势，我们聘请了一名顾问，定义了一套额外的安全需求，为我们的工业网络提供足够的保护，并在进行了广泛的审查后，确定了液化空气工业安全态势的领域，这些领域虽然强大而全面，但需要额外的保护。

入侵防御系统:不只是针对IT网络

了解工业网络和SCADA系统的关键作用，我们研究了几种不同的途径，使我们能够实现我们的工业网络安全目标，从简单的TCP/UDP端口阻塞方法开始在3层交换机，但该解决方案的保护能力与我们的设想不一致。事实证明，第三层交换机端口阻塞选项并不理想，因为它无法检查允许通过开放端口的流量，从而严重暴露在网络威胁之下。此外，设备配置和管理是一项手工活动，会给液化空气的IT人员带来负担。

当我们仔细研究潜在的解决方案时，等式中的一个重要因素是解决方案的成本效益，因为它需要部署在我们全国200家工厂。

传统上，当人们想到入侵防御和防火墙技术时，它指的是业务协作或进行事务的企业网络。然而，我们认为为我们的工厂和SCADA系统提供动力的独立工业网络将被证明是入侵防御系统(IPS)技术的创新和具有成本效益的应用，同时进一步表明了我们对工厂持续运行和向客户提供可靠性的承诺。我们评估了一系列可以帮助我们实现这一目标的网络入侵防御解决方案，并选择了Top Layer Security的IPS 5500解决方案，因为它是唯一一个将高水平的性能与深度数据包检测相结合的解决方案，使我们能够将其内联到我们的网络中，这根本无法承受一分钟的离线。

正确的网络性能决定一切

液化空气集团在其每个设施中都有一个小型数据中心，为SCADA的实时指挥和控制环境处理tb级的数据，其中数千个数据源用于控制管道，改变工厂的生产等。在这些“指挥中心”中，人员坐在几个控制制造过程的控制台后面。我们能够对Top Layer IPS 5500进行定位，以保护这些指挥中心免受外部世界的威胁，因为它提供的高性能网络操作很容易超过我们的性能要求。SCADA流量通常有点小，但IPS 5500的高吞吐量可以增强对网络威胁的保护，而且没有任何可检测到的延迟，这让我们放心地知道系统正在以最佳性能水平运行。

通过在我们的工业网络上实施Top Layer的IPS，我们可以依靠其高可靠性的深度数据包检测来保护SCADA系统和工业网络免受互联网各个角落存在的网络威胁。入侵防御现在是我们深度防御策略的一部分，还有复杂的防火墙和其他嵌入式监管，我们已经能够立即识别超大的ping数据包，以及恶意的DNS协议违反。

此外，Top Layer IPS 5500上的旁路模式使我们能够将设备插入网络，并立即识别出来自无数来源的许多活跃攻击，其中许多来自我们从未猜到的位置。这些威胁中有许多是由没有使用微软最新安全更新进行补丁的电脑发起的，这提醒我们在此过程中修改其补丁程序。

能够不仅查看我们的计算机网络，而且查看我们的工业网络，这是很有启发性的。之前未检测到的网络威胁的可见性让我们的团队确信，我们在整个工业网络中添加入侵防御技术是正确的。当其他SCADA技术出现新漏洞时，通常Top Layer IPS可以主动防御相关攻击(例如针对SCADA溢出漏洞的攻击)，对于每个新漏洞，Top Layer的TopResponse自动更新程序为我们提供了必要的保护步骤。

另一个不同类型的监管驱动因素:FDA对网络安全的影响

在液化空气集团，我们当然优先考虑符合标准的行业法规，但同时，因为我们帮助客户提高生产力，管理他们的工业气体供应，提高他们的工艺或生产场所的产量，我们的许多气体产品必须符合美国食品和药物管理局(FDA)的规定。

满足FDA要求的挑战突出了我们对工业网络和SCADA系统得到充分保护的需求，因为计算机受到病毒、蠕虫或其他恶意软件的破坏可能会对生产系统产生负面影响，并最终导致违反FDA法规。尽管FDA的规定在IT安全项目中不常被引用，但在液化空气集团的安全生态系统中，它们仍然是一个至关重要的考虑因素。

为此，液化空气集团启动了一项全国性计划，在美国100多个地点部署IPS设备。事实证明，将我们的工业网络与IT网络分开保护是一项重大任务，但这一努力是值得的，因为与生产停滞和补救相关的潜在损失使商业案例非常清楚。

在实现一个新的解决方案时，很容易低估供应商支持的价值，但是，结合一流的技术，整个顶层安全团队过去是，并且将继续是很好的合作伙伴——亲力亲为，周到和响应我们在这一努力中的独特业务需求。

随着其他天然气和能源制造商考虑保护他们的工业网络免受当前以及未来的威胁，入侵防御系统可以被证明是任何深度防御战略中非常有效的一部分，以加强下一代保护。

Charles Neely Harper是液化空气公司国家供应和管道运营总监，也是位于德克萨斯州休斯顿的美国运营控制中心(OCC)的负责人，这是一个专业团队和最先进的设施，他花费了整个职业生涯来建立和完善。他还拥有液化空气集团国际高级专家的头衔，全球57名高级专家之一，因为他在技术运营-工厂和管道方面的工作。Charles于1977年初在液化空气公司开始了他的职业生涯，在德克萨斯州Bayport工厂负责公用事业和空分技术的运营。1979年，Charles开始发展OCC(运营控制中心)，实施了第一个工业天然气项目，优化了德克萨斯墨西哥湾沿岸和密西西比河沿岸的管道网络。从那时起，Charles的OCC工程师和专家团队继续扩大决策支持系统，现在为液化空气集团在美国的所有主要生产设施提供服务

其他关于工业网络安全问题和策略的重要文章:

-网络安全:安全仪表系统，5起事故

-安全事件数据库公共访问:SCADA，制造，过程控制网络安全信息

工业网络安全博客:工业控制系统联合工作组(ICSJWG) 2009年秋季会议

-由Renee Robbins编辑，MBT www.mbtmag.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。