保护传统控制系统

栏: 国土安全部推荐资源

在过去的几年里，网络安全问题已经占据了中心舞台，而且它们的可见度似乎每天都在增加。新的IT和工业控制系统平台正在整合大大改进的安全功能，但工业面临的问题是，大量的控制系统先于这些网络安全努力，甚至先于大规模部署
互联网。从外部与这些系统的连接为黑客提供了进入并造成各种破坏的手段，除非设置屏障阻止他们进入。问题是，旧系统能得到充分保护吗?

英维思过程系统的首席安全架构师Ernie Rakaczky说:“传统上，控制系统是购买、设计、配置、实施，然后在接下来的20年左右的时间里几乎被遗忘。“在许多方面，这仍然是控制社区的心态，但在过去的5到10年里发生了很多事情。许多早期的系统没有能力连接到其他任何东西。它们被设计成在生活中只做一件事:打开和关闭阀门或测量水平，所以网络世界真的没有发挥作用。”

问题是，世界并没有保持这种状态。随着信息技术的发展，提取信息和向外部用户提供连接的需求也在增长。Rakaczky补充道:“在某一时刻，传统的控制系统100%专注于控制一个过程。现在可能是50%的控制和50%的信息交换。当这种情况开始发生时，我们开始将数据从控制平台转移到历史记录或工厂网络或企业网络，是时候开始添加一些最佳实践，更加谨慎，并添加一些功能来保护自己。”

连接安全吗?

一些专家认为，唯一真正安全的联系是没有联系。“在几乎所有情况下，专有系统都有专有网络，”霍尼韦尔过程解决方案公司CISSP、工程研究员、全球安全架构师Kevin Staggs说。“增加任何连接都会让他们面临重大风险，因为他们甚至没有设计来保护自己，也没有任何东西可以让他们受到保护。”对于那些旧的系统，你必须完全理解和知道这些连接点在哪里，并且知道这些连接点使用了什么技术。在很多情况下，这些人将是历史学家。”

但如果保持空气间隙是你的主要防线，那么隔离必须是绝对有效的。西门子能源与自动化公司过程自动化系统经理Todd Stauffer说:“人们倾向于认为孤立的网络是安全的，把所有的鸡蛋放在一个篮子里，认为因为它是孤立的，所以它是安全的。”“但在很多情况下，人们有一个孤立的网络，但有人从外面带了一个记忆棒，或者临时连接了笔记本电脑，或者临时连接了一个网络，真的把这个孤立的网络搞得一团糟。除非你有适当的措施来确保人们不会把记忆棒、cd或dvd带到一个孤立的区域，否则你需要在这个孤立的网络上有安全保障，否则当这种情况发生时，你将非常脆弱。”

了解多代人

旧的控制平台覆盖了很长的时间跨度，其中一些仍在运行，可以追溯到最早的DCS部署。出于所有实际目的，它们可以分为两大类:专有网络和基于Microsoft windows的架构。

一些使用旧系统的人安慰自己说，即使黑客真的入侵了，他或她也不知道该如何处理那些过时的技术。但这真的是一种保护策略吗?Exida的高级顾问约翰•库西马诺(John Cusimano)将这种策略比作在薄冰上滑冰。他建议说:“如果有人进入了一个较旧的系统，并且他们对该系统的指挥结构有所了解，我认为这将很容易违反它。”“区别在于入侵者必须拥有更高的技能才能入侵旧系统。但是一旦你有了它，你就可以执行任何你想要的命令。”

问题是，在过去一年左右的时间里，潜在的合格黑客数量可能增长了很多。入侵防御系统提供商Top Layer的安全策略师肯•帕帕斯警告称:“如今的担忧是，由于经济形势如此糟糕，公司裁员成千上万，他们现在面对的是心怀不满的员工，而这些员工已经掌握了这些系统如何工作的内部知识。所以如果你把一加一放在一起，这些人知道如何进入网络，他们知道当他们进入网络时要做什么，所以他们可以造成比普通黑客更大的破坏，他们只知道如何闯入网络。这并不是说黑客变得更聪明了，而是我们有了一个新的黑客群体——后工作者。”

一些用户认为，Windows在上世纪90年代进入核电站后，帮助提供了一个更安全的环境。库西马诺表示，情况并非如此，但他“最担心的是大约15年前出现的系统，当时Windows首次被引入控制系统领域。目前仍有一些系统运行基于Windows nt的hmi。那一代人的系统刚开始开放，但使用的是那些几乎没有安全保障的旧版本的Windows。这一代人尤其需要关注。”

斯塔格斯对此表示赞同，并建议说:“旧的Windows系统不应该连接到企业网络。它们绝对必须被划分，你必须了解从它们流入商业网络的流量。您必须有一个配置非常严密的防火墙，如果可以的话，您应该通过一个更现代化的服务器来传递这些信息。您可以保护更现代化的服务器，它可以作为堡垒设备。大多数时候，它是一个历史学家，所以把它们升级，使它们成为最现代的技术。”

在此上下文中，旧是指不再支持的任何Windows代。Windows 2000的扩展支持将持续到2010年6月30日。在此之前的任何内容都属于未受保护的类别，并且不会再进行安全更新。

你能做什么?

美国国土安全部(DHS)控制系统安全项目(CSSP)主任肖恩·麦格克警告说:“隐蔽的安全并不适用于现代相互关联的情况。”“多年来，我们对设施漏洞进行了分析，其中绝大多数漏洞(约46%)位于过程控制网络和业务网络之间的非军事区。当你认为这是连通性最重要的领域时，这是一个不可接受的高比率。你需要想办法锁定这些沟通渠道。”

确实如此，但说起来容易做起来难。保护那些从未打算保护的东西，或者那些已经脱离制造商支持的东西，并不容易。Industrial Defender的首席营销官Todd Nicholson解释说:“这种环境的挑战在于，每个人都需要一个安全的边界，特别是当你连接到外部世界时，但是这种环境的遗留性质——硬件、软件、操作系统——受到挑战，因为这些环境不能在工厂系统级别上利用杀毒等现代安全技术，而不显著影响性能和可用性。你有一个非常脆弱的环境，你在制定防御战略时必须考虑到这一点。”

尽管如此，还是有策略的。深入的细节超出了本文的范围，但是侧边栏中有帮助启动该过程的资源。大多数策略首先详细分析当前的体系结构，并对控制网络上运行的所有软件进行编目。寻找所有的外部联系是另一个重要步骤，对于多年来失去联系的公司来说，这往往是一次大开眼界的经历。斯塔格斯建议从你的历史学家开始，然后升级，但不要止步于寻找联系。他建议:“为了找到潜在的连接点，你应该寻找OPC、串行网关、调制解调器、安全系统连接、Modbus串行或IP，甚至基金会现场总线或Profibus。”

迁移的时间

网络安全问题是否足以推动迁移?最终，答案可能是迁移到具有更高级别保护的新平台。当然，这不是一项小任务，尤其是在经济低迷时期。“我认为，大多数实际运行系统的工程师都了解风险，但他们能否量化风险并将其作为迁移的理由是另一个问题，”西门子能源与自动化(Siemens Energy & Automation)的迁移营销经理肯•凯泽(Ken Keiser)表示。

“我不知道他们能否向管理层表达清楚。他们更容易说，‘它不能再工作了，它会影响生产’，而不是试图阐明这是一个安全问题——尽管他们确实意识到这个风险，”Keiser说。“这有助于人们倾向于首先升级系统中最脆弱的部分之一，那就是人机界面。从上到下连接到控制器要比将引线连接到远程仪器上并以另一种方式发送更容易。”

CoreTrace的营销副总裁基廷(J.T. Keating)认为，迁移是一种过于缓慢的方法。他建议:“虽然网络安全问题绝对是升级旧系统的适当理由，但考虑更换这些系统通常是不现实的，至少在任何实际的时间框架内。安全意味着现在，替换意味着明年。由于这些通常是关键系统，因此替换它们必须是一个精心设计的过程，在2009年，信托要求通常意味着使用现有的东西，而不是拆除和替换可能相当于大部分基础设施的东西。整个能源行业的情绪是“用更少的钱凑合着用”。这几乎不是提高这些关键系统安全态势的理想方案，但这就是现实。”

联邦法规会迫使大规模的变革吗?那国家电力可靠性公司的新要求呢?McGurk指出，80%的关键基础设施都在私营部门，即使是NERC也只覆盖了大型能源行业的一小部分。他承认了一个可悲的现实，“坦率地说，很长一段时间以来，人们一直有一种心态，想办法避免遵从，而不是认识到安全的必要性。”

人的因素

到目前为止，讨论主要集中在技术解决方案上。但也有人为因素。保持系统安全需要您的员工参与到这个过程中来。旧系统中常见的一个与人有关的问题是缺乏文档。在一个系统存在了十年或更长时间之后，就像流程的其他部分一样，可能没有反映实际操作情况的当前文档。发现由于未记录的系统更改而导致的漏洞是很常见的。

Nicholson观察到，“不仅在工厂环境中，而且在企业IT中，变更管理是一个非常大的挑战。例如，当您打开一个端口以允许外部人员访问时，您如何有效地跟踪和监视对系统的更改?有些人可能会忘记在这里或那里打开一个端口，这会暴露系统。”

Matt Luallen, Encari的联合创始人控制工程网络安全博主强调了处理问题时程序的重要性。他说:“有效的信息安全程序必须包含处理事件的充分和有效的程序。”他说，这些措施包括事件识别、遏制、根本原因识别、根除、复发预防、定义呼叫树、与变更管理文档相关联以识别已批准和未批准的变更，以及适当的升级和报告程序。

Luallen继续说道:“我们通常会看到控制系统软件和硬件的修改没有记录，没有被注意到，随后也没有得到中央批准。“这本身就是违反安全的行为;然而，这是一个仅仅通过使用技术不容易解决的情况。在大多数情况下，plc、rtu、继电器和其他控制系统硬件和软件没有能力确保控制修改的批准过程。”

程序很重要，但人们必须了解他们在保证核电站安全方面的作用。国土安全部报告说，社会工程是最大的攻击媒介之一。McGurk感叹道:“由于人们不了解安全的必要性，我们经常会看到由于糟糕的操作实践而导致的漏洞和利用。”

爱达荷国家实验室DHS CSSP经理Marty Edwards概述了需要发生的文化变革:“我们在安全方面面临的最大挑战之一-无论是在控制系统，it还是物理安全方面-都是创建安全文化，无论您拥有的设备的年代如何，您都可以做到这一点。这是你的人事问题。这是你的训练。这是他们经营的文化。”

爱德华兹说，从安全的角度来看，工业和加工领域已经有这种文化一段时间了。他说:“如果不考虑安全后果，你不会在核电站里做任何事情。”“我们必须灌输同样的文化，这样在我做任何事情之前，我都要考虑安全后果。我是否应该在用户组会议上发布包含我们控制系统所有最私密细节的网络图?这是每个人都可以立即做出的改变，而且比更换设备的成本要低得多。”

作者信息

Peter Welander是过程工业编辑。打电话给他。PWelander@cfemedia.com．

国土安全部推荐资源

爱达荷国家实验室DHS CSSP经理Marty Edwards为有用的资源提供了一些建议。他的第一个建议是从主要的控制系统安全程序网站开始:www.us-cert.gov/control_systems。

他还建议以下两份与遗留系统有关的具体出版物:

控制系统补丁管理推荐规程

“保护国家关键基础设施和关键资源的一个关键组成部分是控制系统的安全性。工业控制系统一词是指监控和数据采集、过程控制、分布式控制以及控制、监视和管理国家关键基础设施的任何其他系统。关键基础设施和关键资源(CIKRs)包括发电机、输电系统、运输系统、大坝和供水系统、通信系统、化学和石油系统以及其他不能容忍服务突然中断的关键系统。简单地说，控制系统收集信息，然后根据其设定的参数和接收到的信息执行功能。在CIKRs中使用的工业控制系统软件的补丁管理在最好的情况下不一致，在最坏的情况下不存在。补丁对于解决安全漏洞和功能问题非常重要。本报告建议工业控制系统资产所有者考虑和部署补丁管理实践。”

https://csrp.inl.gov/Documents/PatchManagementRecommendedPractice_Final.pdf

保护控制系统调制解调器

“本推荐的实践为评估与调制解调器及其在组织中的使用相关的安全风险的方法分析提供了指导。本文还提供了创建纵深防御体系结构的有用方法，该体系结构可以保护使用调制解调器进行连接的系统组件。本文档假定读者对调制解调器和调制解调器通信相关的漏洞有基本的了解，因为这些信息可从其他来源获得。”

https://csrp.inl.gov/Documents/SecuringModems.pdf

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。