物联网时代的SCADA网络安全

监控和数据采集(SCADA)系统，以及更广泛的工业控制系统(ICS)，包括SCADA、人机界面(HMIs)、建筑管理系统(BMS)、制造执行系统(MES)和计算机维护管理系统(CMMS)，都植根于传统上与企业信息技术(IT)基础设施隔离的专有技术。这些平台最初并不是为网络安全而设计的。

ICS在控制和安全方面的传统角色已经扩展到包括提供工厂和过程信息或响应ERP和其他企业系统的指示。然而，根据国家基础设施保护中心的“安全转移到基于ip的SCADA/PLC网络”，这使ICS暴露在潜在的网络威胁之下。目前关注物联网(IoT)旗帜下的连接，以及密切相关的工业物联网(IIoT)或工业4.0，对数据聚合策略和态势感知具有巨大的潜在好处。然而，工业物联网设备使用互联网协议(IP)，这进一步增加了网络威胁的风险。

工业物联网转型正在颠覆传统控制室的角色，趋势是使用移动设备进行监控(Nugent, baillicourt, and Kaltenbacher, 2015)。支持iiot的ICS的新兴上下文HMI组件为运营和维护组织提供了极大的生产力提升，同时扩展了ICS的边界。然而，它增加了网络威胁管理的范围。

网络安全支柱

现代ICS平台供应商将软件工程研究所的网络风险和弹性管理纳入到ISO 9001质量过程中进行开发和生产。我们的目标是对内部或外部报告的漏洞保持透明，并迅速采取行动，将客户的风险降至最低。

参与标准组织，如电气和电子工程师协会(IEEE)和国际电工委员会(IEC)，旨在通过公开讨论和反馈来帮助实现透明度的目标。参与对迅速执行这些组织提出的建议至关重要。

美国国家标准与技术研究所(NIST)提供了一个非常宝贵的框架，用于系统地识别组织的关键资产、识别威胁和保护关键资产(Nugent和Hoske, SCADA网络安全，2015)。该框架有四个要素:识别、保护、检测和反应。

识别和识别可疑行为

在2016年波士顿马拉松赛之前，美国国家核安全管理局(NNSA)使用低空飞行的直升机进行了背景辐射评估。测量自然发生的辐射以确定基线水平是安全和应急准备的正常组成部分(国家核安全局，2016)。

拥有资产和数据流的清单，以建立ICS正常行为的基线是很重要的。工业网络可能庞大而复杂，工业协议与企业IT网络的协议不同。使用简单网络管理协议(SNMP)映射和监视网络设备的自动化工具提高了库存的效率和准确性。

控制系统感知的库存和监控工具是建立可靠ICS基线的重要因素。使用能够产生ICS、PLC和其他控制元件之间通信的基线模板的技术来监控ICS是至关重要的。理想情况下，这样的系统将能够:

• 使用无源传感器从网络流中提取元数据
• 动态地构建组件的可视化目录和连接映射
• 学习ICS并提供正常操作的统计和行为描述
• 建议预防措施
• 在有妥协证据时触发事件响应。

工业物联网设备通常使用无线技术进行通信。一般IT网络和ICS网络之间的区别是使用静态IP。随着工业网络连接到更广泛的Internet，运行状况监视系统将查找更改或重复的IP和MAC地址、设备或电缆移动以及未经授权的连接。随着通过动态IP连接的无线接入点连接的移动传感器的增加，这种环境变得非常复杂(Robles和Kim, 2010)。

保护溶解边界

最近在马萨诸塞州举行的一次技术会谈峰会上，迈克·拉特讨论了当今的IT安全形势(Centrify, 2016)。他说，“身份是新的边界”，他的论点包括:

• 近一半的数据泄露是由证书泄露引起的
• 黑客针对所有级别的用户，包括特权用户
• 传统的基于边界的安全是不够的
• 安全性应该基于基于上下文的策略。

这种策略非常适合ICS的溶解边界，ICS已经接受了开放连接的好处，因此也将受益于企业安全专业人员。

在已确认的数据泄露中，63%涉及弱密码、默认密码或被盗密码(Verizon, 2016)，凭据管理在ICS网络威胁列表中排名靠前。通过被盗或丢失的移动设备进行物理访问的可能性增加了对强大凭据管理的需求。

工业网络通过防火墙、虚拟专用网络(VPN)和交换机提供第一级防御。ICS供应商必须加密配置文件，提供对异常连接尝试的监控，使用安全协议(如HTTPS)，并提供与Microsoft Active Directory集成的高级用户权限。

有了这些功能，ICS就可以适应强大的身份管理世界。使用Active Directory作为核心标识管理存储库，现在可以对与ICS用户关联的所有应用程序使用一个登录。

基于情境的策略是流动员工管理的基石。不同的作业区域，运维人员的权利要求有所不同。ICS移动服务器根据地理区域管理对资源的访问，并与活动目录同步，确保严格的上下文策略得到执行。

最后一点与未能管理用户和账户的登录和注销有关。例如，进入设施的承包商可能会设立一个临时帐户，该帐户是开放的，以备承包商在其他时间需要返回。这样做可能是因为当存在“身份孤岛”时，在船上和船上都很困难。中央身份管理消除了孤立的帐户，消除了使用根密码的需要，并消除了身份孤岛。这使得入职和离职更加易于管理，并与公司凭证策略集成。

检测异常、可疑的行为

有了清晰的资产清单和表示网络和应用程序行为的模板基线，工业网络监控系统准备好识别可疑的事情。当将基线模板与ICS操作进行实时比较时，系统可以发出警报，并在威胁出现时迅速采取行动。

检测的另一个方面是移动性趋势的一部分。MDM (Mobile device management)是企业用于部署与移动员工权限一致的策略。例如，有一个策略，在工作时关闭设备摄像头，但在离开现场时允许它。

一流的解决方案具有主动安全性，因此即使在与网络断开连接时，设备也可以响应威胁。这些系统主动检测根设备和越狱设备。他们还检测中间人攻击，无声的妥协条件，丢失或被盗的设备，以及网络攻击(ViaSat, 2016)。

尽量减少损失，确保恢复

对于移动设备，自动响应包括锁定或擦除设备，重新启动到安全状态，或禁用网络访问。一流的系统还会在检测到威胁时通知安全和操作人员。

重要的是要有强大的版本控制，这样才有可能在事件发生后恢复到安全的参考点。部署在安全服务器上的版本控制有助于维护配置的完整性，并为对配置文件所做的任何更改提供可跟踪性。

不幸的是，根据操作数据存储的位置，恢复到以前的版本可能会导致历史数据的丢失。冗余控制器、网络、历史学家和通信服务器一直是一流SCADA的标志。然而，这对于网络威胁是不够的，因为网络威胁会破坏主要和备份元素。

使用虚拟机(VM)托管ICS是为了降低数据丢失的风险。通过在虚拟机上部署灾难恢复服务(DRaaS)，恢复时间可以短至15分钟(Veeam, 2016)。由于入侵和检测之间的时间趋向于错误的方向(Verizon, 2016)，这仍然可能导致数据丢失。

通过强大的凭据管理和入侵保护来阻止坏人仍然是物联网时代保护SCADA的最佳方法。

埃德•纽金特PcVue Inc.首席运营官;迈克Ratte克里斯·瓦夫拉(Chris Vavra)编辑，生产编辑控制工程， CFE传媒，cvavra@cfemedia.com．

更多的建议

关键概念

• 工业互联网物联网(IIoT)和工业4.0对SCADA系统有很大的潜力，但它们也有潜在的网络安全风险。
• NIST的框架系统地识别组织的关键资产有四个要素:识别、保护、检测和反应。
• 强入侵预测和凭据管理是确保SCADA系统安全的最佳方法。

考虑一下这个

在工业物联网和工业4.0时代，还可以采取哪些其他方法来保护SCADA系统?

在线额外

参考文献

国家基础设施保护中心。确保迁移到基于ip的SCADA/PLC网络．伦敦:国家基础设施保护中心，2011。

Centrify。集中概述和公司战略, 2016年。

国家核安全局。国家核安全管理局对波士顿地区进行航空辐射评估调查2016年3月31日。摘自国家核安全局新闻稿。

纽金特，E.和马克·t·霍斯克。“SCADA网络安全。”控制工程， 42-43, 2015年7月。

纽金特，E.， P. baillicourt, A. Kaltenbacher。SCADA移动基础设施的架构，2015年7月28日。Automation.com。

罗伯斯，r。J。和T.H.金。带有移动远程组件的SCADA体系结构第12届WSEAS自动控制、建模与仿真国际会议论文集， 346, 2010。

Veeam。永远在企业, 2016年。检索自Veeam:

Verizon。2016年数据泄露调查报告, 2016年。

ViaSat公司。为远程工作人员提供移动网络安全, 2016年。从ViaSat取回。

作者简介

埃德•纽金特他是马萨诸塞州沃本市PcVue Inc.的首席运营官。以及ARC Informatique为SCADA、BMS和HMI提供PcVue解决方案的北美供应商。Nugent在工业控制系统的开发和部署方面拥有超过35年的经验，并正在申请“上下文移动”的专利。他是威斯康星大学工程学院和普吉特湾大学的校友，在那里他获得了工商管理硕士学位。

迈克Ratte他是加州圣克拉拉Centrify Corp.的新英格兰和纽约州北部地区经理。Ratte在IT行业拥有超过25年的经验，其中超过12年的IT安全经验。他拥有弗雷明汉州立大学(Framingham State University)经济学学位。

请参阅下面链接的其他网络安全故事。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。