安全需要网络安全

功能安全评估是机器和过程自动化领域的一项完善的实践。这些评估侧重于随机硬件故障或系统软件故障(如bug)。

然而，网络安全威胁和漏洞代表了额外的故障模式，可能导致传统安全评估中无法考虑的事件。可以为讨论网络风险评估制定业务理由。

今天，大多数工厂和加工工厂都是由建立在以太网TCP/IP网络和传统微软操作系统上的自动化系统控制和操作的。这些系统容易受到网络安全漏洞的攻击，从而导致潜在的重大风险，包括健康、安全和环境风险。为了解决风险，我们需要理解它——但是如何理解呢?功能安全评估侧重于随机硬件故障或系统软件故障(如bug)，通常不考虑网络威胁或网络漏洞。了解网络风险，需要进行网络脆弱性评估和网络风险评估。毫不奇怪，这正是网络安全标准和法规所要求的。

网络安全法规、标准

幸运的是，现在有了帮助。在过去的十年中，已经制定了许多标准和法规来解决这个已知的问题;我们的工业控制系统(ICS)很容易受到网络攻击。北美电力可靠性公司(NERC)、国际自动化协会(ISA)、美国石油协会(API)、国家标准与技术研究所(NIST)、国际电工委员会(IEC)等机构已经制定了大量文件，描述了保护ICS免受网络攻击的必要性，以及如何做到这一点。

功能安全标准现在也开始要求进行网络脆弱性和风险评估。第二版IEC 61511(功能安全:过程工业领域的安全仪表系统)于2016年发布。其中一项新条款规定，应进行安全风险评估，以识别SIS的安全漏洞。另一个条款规定，SIS的设计应针对已识别的安全风险提供必要的弹性。这就是新标准，但它确实通过向读者指出ISA 84技术报告和ISA/IEC 62443-3-2标准(安全风险评估和系统设计)提供了进一步的指导，该标准涵盖了如何执行网络漏洞和风险评估。

什么是网络安全风险?

风险有不同的类型或不同的组成部分，网络安全是其中之一。例如，货币有不同的风险。人们可能会被抢劫，股票市场可能会崩溃，持有账户的金融机构可能会倒闭或被抢劫，或者网络犯罪分子可能会抹去账户。同样，工厂或工厂运营也存在不同的风险。机械设备可能会失灵，人类可能会犯错，电子元件可能会失灵，或者网络威胁可能会危及控制系统。为了管理风险，有必要了解风险的所有组成部分，包括网络风险。

尽管网络风险比机械风险更难把握，但可以对其进行评估和管理。如果这不是真的，银行账户可能已经被网络罪犯掏空了。

网络风险通常被认为是三个变量的函数:威胁、脆弱性和后果。威胁是初始事件，例如黑客攻击或计算机病毒。威胁因黑客的技能或动机或恶意软件的复杂程度而异。漏洞是系统中允许威胁实现的固有弱点。最后，如果威胁成功了，后果就是不想要的结果。网络安全风险是威胁利用漏洞的可能性和由此产生的后果的严重性的组合。

ICS网络安全漏洞评估

漏洞是网络风险的一个关键变量。从理论上讲，如果没有网络漏洞，就没有网络风险。当然，在现实中，所有的国际空间站都有漏洞，有些比其他的更严重。漏洞的数量和严重程度取决于所使用的组件、它们是如何配置的以及它们是如何联网的。

那么，什么是ICS网络安全漏洞评估?这是对ICS设计的评估。在棕地设计中，从ICS建成或发现图纸开始。图1显示了一个示例。

这个控制系统是如何构建的?系统由什么设备组成?它们是如何联网的?这些网络是如何交流的?现代控制系统基于以太网网络和微软操作系统。在许多设施中，理解这些部件如何组合在一起是非常困难的。显示整个系统架构的图纸可能不存在;这些系统通常经过几十年的发展和演变。

首先分析网络通信，了解这些网络是如何构建的，以及数据是如何在整个系统中移动的。这是通过记录实际的网络流量并将其绘制出来以查看数据流来完成的。

确定哪些设备正在相互通信。哪些设备应该相互通信?哪些设备之间的通信可能是不应该的，或者是不期望的?是否有任何设备使用意外协议进行通信?是否有试图与互联网通信的控制系统设备?绘制通信图，寻找异常行为。

然后，漏洞评估将分析构成系统的实际服务器和工作站。目前控制大量工业设备的大多数操作系统都是遗留的微软平台，如XP和Windows Server 2003。识别漏洞。看看控制设备本身，可编程逻辑控制器，安全仪表系统，操作员界面，变频驱动器，分析仪等。大多数这些设备现在都有以太网端口，并连接到构成控制系统网络的公共网络。

脆弱性评估的下一步是将系统划分为区域和管道，如图2所示。这样做有助于更好地分析系统，更好地设计保护措施，将通信限制在需要进出一个区域的通信范围内。

脆弱性评估还应包括对政策和程序的审查，并包括差距分析。该系统如何与行业标准和最佳实践相比较?最后，评估应列出已发现的漏洞和建议的缓解措施，以缩小差距。

ICS网络安全风险评估

理解脆弱性只是等式的一部分。网络风险是威胁、漏洞和后果的组合。大多数组织都想了解真正的网络风险是什么。已经开发了一种方法来做到这一点，它被称为网络风险评估或网络PHA(过程危害分析)。这是一个非常系统化的方法，在很多方面类似于PHA或HAZOP。实际过程在IEC 62443-3-2标准中有记录。该方法已在高度危险化学品过程安全管理法规(29 CFR 1910.119)的公司中多次应用。这种方法非常有效，因为它在性质上与HAZOP非常相似，HAZOP已经在该行业使用了40多年。网络风险评估研究摘录的示例如图3所示。

而不是传统的原因，在这项研究中，寻找威胁。还要考虑脆弱性和后果。使用与组织内其他风险排序相同的风险矩阵。执行这样的研究有助于确定活动和资源的优先级，帮助设计人员智能地设计和应用对策，并帮助记录和证明决策。网络风险评估将记录为什么某些控制措施到位，有时为什么没有到位。

这也是一种非常有效的训练和意识锻炼。与危害和可操作性研究(HAZOPs)一样，这些研究需要一个多学科的团队。需要来自IT(信息技术)、运营、工程和自动化的人员一起工作来研究系统。按照这个过程，团队最终将开发一个风险登记册和风险概况，提供风险的排序集，并了解这些风险在系统中的位置。最终，有可能得出一组建议和计划来减轻这些风险。

网络风险评估的好处

组织可以通过执行网络风险评估获得许多好处。它们是任何风险管理程序的基础，并提供了向管理层传达风险的一致方法。由于任何组织都没有无限的资源和预算，因此风险评估的结果对管理部门确定缓解工作的优先次序非常有帮助。结构化方法有助于发现隐藏的风险或推翻长期存在的高风险领域的假设，这些假设可能被夸大了。主题专家参与网络风险评估是对网络安全人员进行培训的有效方式，同时也提高了他们对拟议缓解措施的“认同”。最后，网络风险评估过程为正在采取的缓解措施和未采取的缓解措施提供详细的文件和理由。

约翰Cusimano， CISSP, GICSP, CFSE，是工业网络安全主管aeSolutions。编辑:Mark T. Hoske，内容经理，控制工程， CFE传媒，mhoske@cfemedia.com。

更多的建议

关键概念

• 功能安全取决于网络安全
• 确定工业控制系统的网络风险
• 优先考虑风险;获得对缓解措施的支持。

考虑一下这个

承担风险评估包括安全和网络安全?如果不是，为什么不呢?

在线额外

这篇在线文章包含的内容比3月份印刷版上的内容要多。也可参阅控制工程网络安全页面。

作者的传记

aeSolutions的工业网络安全总监John Cusimano拥有20多年的经验，并进行了许多控制系统网络安全漏洞和网络风险评估。他是国际自动化协会(ISA)的成员，也是ISA 99网络安全标准委员会的投票成员。作为该委员会的一员，他是区域和管道工作组的主席，以及产品开发工作组的联合主席。他是ISA网络安全课程的开发者和主要讲师。Cusimano是认证功能安全专家(CFSE)、认证信息系统安全专家(CISSP)和全球工业网络安全专家(GICSP)。他拥有纽约克拉克森大学电气和计算机工程学士学位。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。