执行级别的安全性

提高资产利用率、优化生产、加快资源回收和提高资本效率，这几句话肯定会引起大多数油气行业高管的注意。保持这些业务朝着正确的方向发展，更大的盈利能力和市值肯定会增长。但有一个词可能逃过他们的关注，却可能危及任何倡议:网络安全。

事实上，如果高管们选择忽视这一威胁，或者将他们对这一威胁如何破坏人员、生产和财产安全的理解委托给股东，这可能会给他们的股东和自己的财富造成严重伤害，这是一家蓬勃发展的油气企业的核心。他们需要的是评估这种风险本质的知识，并就公司的防御措施提出明智的问题。

油气行业高管必须随时了解网络安全威胁，原因有二:到目前为止，能源行业是黑客的首要目标，对自身设施的网络攻击可能会对运营和盈利能力产生严重影响，并对人员和附近社区的生命安全造成严重后果。

网络安全有多重要?想想看:在美国国土安全部(DHS)指定的16个重要安全目标中，2013年对能源部门的网络攻击占256次攻击总数的59%，这些攻击被认为足以让其工业控制系统网络应急响应小组(ICS-CERT)进行调查。这是对关键制造设施的攻击次数的3倍，是对政府设施攻击次数的30倍。

工业网络必须经常运行24×7，实时或接近实时，并要求99.9%或更好的正常运行时间。

这些攻击有多频繁?随着黑客自动化他们的网络攻击，每隔几分钟就会发生一次攻击，直到渗透发生。在一次由西门子专家主持的关于网络安全的会议上，他首先打开了一个连接到互联网的新的工作web服务器，它的Modbus TCP/IP端口502暴露出来。在演讲结束时，他检查了网络服务器的安全监控软件，发现来自世界各地的35次攻击都发生在短短一个小时内。

OT与IT安全

IT专业人士在防御公司企业网络的网络攻击方面有很多事情要担心。它们通过电子邮件、网络协作工具甚至语音通信将人们联系起来，还通过各种公司数据库、客户关系管理(CRM)工具等与信息联系起来。毕竟，恶意软件、数据盗窃和损坏的数据或设备会影响用户的工作效率，甚至影响公司的交易能力。

但在那种环境下，没有人会受伤或更糟。

这是企业网络安全与工业网络安全最大的区别之一。如果一名黑客，无论是蓄意破坏者还是不满的青少年，渗透到工业网络并破坏关键流程或控制，特别是自动化的生命安全保护，有人可能会受到严重甚至致命的伤害。这就是为什么国土安全部建立了ICS-CERT，以减少与控制系统相关的事件和缓解措施相关的风险。

产业网络现实

除了重要的生命安全安全工业网络的区别，他们不同于非工业企业网络。首先，工业控制系统(ics)，包括监控和数据采集(SCADA)系统，根据定义是连接到网络的。这些ICS和SCADA网络通常连接到企业网络，这些网络具有面向外部的漏洞，可以为黑客打开大门。无线SCADA系统通常在使用公共IP地址的远程位置运行，也容易受到攻击，可通过其无线媒体访问，包括蜂窝、900MHz无线电、卫星和微波。

工业网络必须经常运行24×7，实时或接近实时，并要求99.9%或更好的正常运行时间(公共通信网络为99.99或99.999%)。相比之下，企业IT网络通常必须在“最佳努力”的基础上运行(因此网络的一部分中断会迫使路由器沿着其他路径发送数据包)，并且在“工作时间”内可用。关键是，ICS或SCADA网络中安全漏洞的中断风险可能比企业IT网络大得多。

技术漏洞

• 在过去的20年里，工业自动化和控制系统越来越容易受到网络安全入侵，其中主要有:
• 工人流动性的增加，对工程、运营和技术支持人员的24×7远程网络访问产生了更大的需求，有时导致网络连接和安全实践不太安全。
• 越来越多地使用和集成商业和开源技术，例如Windows和Linux操作系统、SQL数据库和以太网协议，黑客可以通过为感染企业IT系统的同一恶意软件打开后门来利用所有这些技术。
• 互联网上“操作指南”文档和实际代码的激增，降低了入侵工业控制系统所需的技术能力的门槛。
• 通过公共互联网连接工业和企业网络以及外部第三方，将公司的遗留工厂系统与企业系统进行集成。外部连接不仅会产生漏洞，而且这种集成还会在公司内部引入模棱两可的概念，即由哪个集团(企业IT部门或流程工程部门)负责整体网络安全。

工业网络的另一组安全问题涉及到它们从早期拼凑的继电器或过时的微处理器控制器和手动监控的指示灯、跳闸和断路器的演变。即使在今天，这些遗留系统也可以很好地运行相对简单的流程，但它们可能缺乏适当的安全控制。尽管如此，它们很可能最终会连接到以最新可编程逻辑控制器(plc)为特征的现代分布式控制系统(dcs)，这些可编程逻辑控制器是使用Windows或Linux的微型计算机，通过工业以太网连接到人机界面(hmi)。反过来，这些hmi通常可以在世界上任何地方通过个人电脑、触屏平板电脑和智能手机访问——合法的DCS操作员或黑客利用新旧系统之间连接的漏洞。

对于现代ICS、SCADA和DCS网络，渗透可以从以下三个来源中的任何一个发生:

1. 从企业区和数据区(区域4、3和2)自上而下
2. 自下而上从现场和安全/控制区(0区和1区);而且
3. “横向”从外部来源，无论是通过互联网，远程操作和设施或远程。

降低安全风险

公司可以找到大量的信息来帮助指导他们努力加强和保护他们的工业控制系统。三个国际公认的ICS安全标准是IEC 62443 / ISA99、NIST 800-82和NERC-CIP，它们可以提供良好的起点和指导。

这些标准可以归结为三个步骤:当前的州评估;强化环境，物理和逻辑;保持警惕。

它们包含了安全领域所谓的“纵深防御”模型。这涉及到将安全部署策略划分为多个层，最关键的系统由多个安全级别保护。

工业控制系统的每一个安全风险降低工作都必须从评估当前的安全状态开始。下面是一些需要考虑的问题:

网络的边界是否与物理边界相对应?他们应该。例如，如果用户锁定了SCADA服务器及其软件，以防止其配置和数据被篡改，那么服务器本身是否安全，以防止未经授权的访问其网络端口、可移动媒体驱动器、键盘和鼠标?

网络的安全区域和通道在哪里?工业控制系统应该有明确的功能区域，将现场设备控制层与SCADA远程监控层分开。反过来，这些最终应该与DCS控制层分离——更重要的是，与任何安全关键系统层分离。最后，DCS和安全关键系统层必须与企业IT层分离。所有这些层之间只能通过精心规定的安全管道连接进行通信。所有这些层都需要与所有外部连接分离，每一层最终都应该被仔细规定并固定好。

工业控制网络中的每个连接是什么，在哪里?这一步有助于识别所谓的网络攻击接口。寻找内部局域网(LAN)连接和广域网(WAN)连接;与远程传感器和操作设施的远程连接;内部无线连接，包括互联网连接;调制解调器或拨号连接(是的，它们仍然存在);以及与第三方(如业务合作伙伴、供应商和监管机构)的外部联系。所有连接最终都应该详细分类，并记录其当前的安全措施，特别是其防火墙保护和更新状态。

哪些设备和软件应用程序具有连接，它们的功能是什么?这一步有助于识别所谓的软件攻击接口。与上述步骤类似，所有硬件设备(hmi、pc、服务器、无线接入点、电话，甚至打印机和视频监控摄像机)最终都必须与它们的所有操作系统版本、软件应用程序和每个设备用于通信的端口号一起进行分类。所有当前的安全措施都应该被注明，以及它们关于更新和补丁的状态。

谁负责工业控制网络的安全?对于相当多的公司来说，这一点可能还不清楚——但它至关重要。ICS、SCADA、DCS和安全系统通常由工业和工艺工程团队负责发展。在那段时间内，企业IT团队忙于合理化企业IT环境。这留下了一个很大的灰色地带，两个组织之间的责任不明确，有时还存在敌对关系。这可能是一个经典的人类故事，当野蛮人拆除城门时，内斗正在进行。高管——尤其是ceo、cio和ciso(首席信息安全官)——需要认识到这一现象，并让一个合格的公司人员或团队负责确保工业控制系统的安全，与企业IT和工厂或生产管理协调一致。该人员应具有明确的网络安全角色、职责和权限，为经理、系统管理员和最终用户制定并执行定义明确的安全治理策略。

网络和软件攻击结构有多脆弱?在识别出所有可能受到网络攻击的元素后，下一步是进行渗透测试，以确定每个元素的漏洞。对于包含数百个连接和组件或更多的大型系统来说，这可能是一项耗时而乏味的任务，但有必要全面评估ICS、SCADA、DCS和安全网络的优缺点，这些网络的强大程度取决于它们最弱的组件。

由于这些关键的实时生产系统的性质，任何渗透测试都必须在实验室环境中进行，而不是在生产系统本身进行。在对实时控制系统进行任何穿透性测试或修改之前，生产、操作和过程安全管理需要进行风险分析并制定应急计划，并得到执行管理层的批准。如果不这样做，不仅会对工厂或生产场所的人员和财产造成严重后果，还会对周围社区的人员和财产造成严重后果。这就是为什么任何选择来帮助ICS, SCADA, DCS和安全系统安全测试或修改的第三方必须在您的系统的工程和工作方面具有非常好的资质和经验。

加固环境

彻底的评估将揭示所有现有和潜在的安全漏洞以及需要加强的一切。实际上，系统所有安全缺陷的列表将成为它的行动清单。根据列表的长度，优先级级别可以发挥作用，以尽快关闭最严重的漏洞。

为每个元素分配安全访问级别(sal)可以帮助确定优先级。这一阶段的下一步将包括:

删除，禁用或断开任何不需要的。评估可能会发现一些根本不需要，但最终作为更大安装的一部分安装或随着时间的推移变得不必要的元素。如果发现任何不必要的连接，请断开它们。如果发现了任何不必要的软件应用程序或默认网络服务，请删除或禁用它们。

建立基于分层“纵深防御”模型的安全战略。在消除了不必要的连接和软件后，剩下的需要保护。确保物理和逻辑安全相一致，为所有用户提供严格的访问权限，只提供他们完成工作所需的访问权限。所有访问和视频监控的日志都应保存在网络元素(hmi、服务器、路由器和交换机)的锁定物理范围内。所有防火墙都应该是最新的。所有硬件设备、操作系统、软件和硬件设备都应开启完整的安全功能。

文件，文件，文件。系统的网络和软件攻击面目录应该是其安全性的完整文档的开始。这应该包括显示所有元素、它们的位置、它们的功能、它们的治理以及它们与其他元素的连接的“已建成”系统架构图。

在此基础上增加以下书面政策和程序:建立、更新和终止用户帐户;所有防火墙、设备和软件应用程序的升级和补丁管理政策、程序和分配的职责;以及进行安全审核和渗透测试的范围、频率和程序。所有这些文档本身都应该有版本和访问控制，并且始终备份到场外位置，这样当系统由于网络攻击或其他不相关的灾难而停机时，就可以通过其他方式使用这些文档。

沟通，沟通，再沟通。在强化阶段，许多员工和其他涉众会意识到发生了什么，所以与他们沟通这样做的原因是很重要的，让他们知道谁负责这项工作，建议他们日常工作中的任何变化，并为他们在支持这项工作中的角色设定适当的期望。

持续的警惕

在加固公司的ICS、SCADA、DCS和安全网络后，如果不继续努力维持安全级别，这种增强的保护将随着时间的推移而开始退化。为了监视和应对明显的和实际的攻击，并定期进行安全审计和测试，用户应:

建立响应小组，以识别和评估潜在的攻击场景。负责工业网络安全的指定人员或团队应识别潜在的攻击场景，然后召集核心利益相关者组成快速响应团队。每个团队成员都需要想象、描述和记录安全攻击成功后对其功能的潜在影响，以及采取何种缓解措施。需要在一个中心位置分配角色和职责，并共享联系信息。小组应至少每年举行一次会议，重新认识彼此以及各自的风险和缓解方案。进行假设最坏情况已经发生的练习是个好主意，这可以为团队提供练习。

进行定期审核和渗透测试。审计和渗透测试的频率取决于工业控制系统对公司运作或人员和周围社区的生命安全的重要性。显然，核电站比乳制品厂需要更频繁的审计和系统测试。然而，任何工业设施都应进行审计和系统测试，频率不低于每年一次。值得注意的是，审计经常忽略对现有文档的适用性和相关性的评估。这就是为什么检查和更新文档很重要。如果生产线经常重新配置，并对其控制系统进行相应的更改，则应进行小型审计，以避免引入任何意想不到的系统漏洞。

确保工业控制系统和网络免受网络攻击的最终目标是确保其可靠、安全的运行。

油气行业的高管可以通过启动全面的系统评估和必要的强化来实现这一目标，然后建立一个正式的监督程序，由指定的、合格的、有知识和权威的人来创建和执行政策和程序。

这样做将花费金钱和时间，但这将是油气运营商在员工、生产和财产安全与福祉方面所做的最重要的投资之一。

marc Ayala是系统集成商Cimation的前高级技术顾问，Jeff Jensen是西门子工业公司的应用工程师。本文最初发表于ISSSource.com．由数字项目经理Joy Chang编辑，《媒体，jchang@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。