系统安全：面对安全入侵

控制系统面临的安全威胁就象天气一样令人无法控制，但我们可以构建强大的保护屏障避免突发事件和危机，以保证控制系统能经受对安全的入侵风暴 关键词 ·过程和先进控制 ·控制结构 ·安全 ·网络 ·因特网/企业网 ·开放式系统 控制系统的安全经常被描述成一种反应技术。事实上，较好地处理控制系统安全的组织机构总是预先做好准备，在危机和补救时花费较少时间，他们可以有更多的时间用来规划、设计、实现和测试。 三个主题再次出现在越来越多的有关控制系统安全的报道中。 首先，来自恶意攻击者（如不满意的雇员或者契约商）的商业破坏活动，这远比羽翼丰满的恐怖分子袭击要危险的多，至少现在是这样。 其次，商业道德规范的伦尚以及获得竞争优势的利益驱使令“信息经纪人”（黑客）企图获得竞争信息。 第三，也许容易理解，委员会规划的任何报告中包含知识库和补充内容，他们的建议反映在些知识库和补充内容中。 2002年10月21-23日, ISA在芝加哥召开会议集中讨论控制系统安全问题。然而，许多会议演讲者和座谈小组成员根据个人对控制系统安全易受攻击性的认识提出了一些想法和建议。虽然委员会和讨论会是有意义的，但是，在防止意外或者蓄意攻击方面，控制系统仍处于萌芽时期。 DuPont工程公司的Larry Falkenau说：“成功地进行控制系统危险分析的一个重要条件是组建一个交叉学科的团队，这个团队的成员来自IT、控制系统、过程工程师、运行和商业。 Falkenau先生又说，很高兴地看到在会议期间人们之间的互相合作与交流，原因是人们已经认识到开放式系统结构的脆弱性 无“食谱“解决方案 在控制系统的动态环境中，安全管理是一个连续的过程。这个过程模仿熟悉的生存期模型，重复使用这个模型以改善大量不同的商业过程。 一个很明显的问题是：“IT组织已经负责保护商业信息财产几十年了；为什么我们不能把IT的技术和优秀实践用于控制系统呢？” 表面上看这是个合理的方法；然而，IT风险管理保护数据资产免受盗窃和（或）修改，它所保护的数据资产是相对缓慢移动的。控制系统连接到数据资产可能会崩溃，因此控制系统需要不同的风险评估方法和保护设计。 根据CyberSecurity信息共享论坛（华盛顿）化学药品部门发言人的叙述，论坛成员一个子团体的任务是： ●从大量风险评估方法中寻找出一个通用的控制系统安全评估方法； ●开发短期推荐标准，用户可以将这些推荐标准应用于已安装的系统； ●开发控制系统安全标准，论坛鼓励生产商将这些安全标准作为其未来产品的一部分。 最后一项充分展示了未来控制系统的安装，但是，系统在现场一般保持10年到20年，因此，增强已安装系统的安全至关重要。 建立基本原则和政策 许多公司的控制系统安全性依赖一些设计好的基本原则和政策开发设备和软件满足控制系统特殊需要，这些原则和政策清楚地阐述了该保护什么以及如何能或者不能实现这些保护。 与准备Y2K问题相似，解决控制系统的安全问题从建立一些详细的基本原则开始。这些原则应支持公司政策、程序和过程。（见“安全风险管理活动”图） 建立控制系统安全的基本原则包括： ●维护安全的誓约管理具有如同保险和侵害保护一样的重要性和分支机构 ●强调誓约管理，保护商业知识产权 ●建立角色、职责和承诺，确保IT和过程控制专家之间正在进行的合作。 影响政策是否成功的两个主要因素是：没有或者几乎不可能随意解释政策中包含的规则、指导方针和案例；阐明每个政策的负责人、所做何事、如何实现、何时实现以及建立政策的原因。 开发政策的时候，应明白许多倍受关注的小政策比一些大政策容易建立、理解和执行。 检查和访问 一旦基本原则和政策成为现实，就要检查控制系统并确定需要做的修改。 本例描述控制和工程领域的分散虚拟局域网(VLAN)。每个VLAN域中的用户访问共同的服务器，但不能访问其它域中的设备。 2001年10月，美国化学委员会(Arling,VA)发布“美国化学工业现场安全准则”。准则阐述了危险点的识别，包括建筑物和控制室、设备室、马达控制中心、实验室、端子排和其它的控制设备易受攻击的危险点。指出这些物理点的安全易受攻击对恐怖分子几乎没有威慑作用，但大大降低了恶意攻击者的危险。人们经常忽视口头信息和文档管理的安全风险。例如，介绍给一些友好团体的口头信息所提供的详情要远比在一次会议上允许泄露的详情多的多。文档检查应包括文档作为投标的一部分，投标之后的结构组件和（或）已经完成的工程。许多工程师熟悉过程相关的危险评估方法，即检查管路图并量化危险情况。评估控制系统也是相似的，但是使用的是网络结构图，检查诸如通过因特网非法访问控制系统的情况。 由于目前开发的许多控制系统技术使用因特网技术，检查控制系统、计算机和网络，应引入对连网控制器和相关设备的危险评估。 来自Exida.com(Sellerville,PA)的控制系统安全顾问John Grebe说“大多数人们执行危险评估的时候没有考虑威胁特征。确定谁在试图威胁系统的安全以及想实现什么目的非常重要。为了保护相同的系统脆弱性，对于不同的威胁特征需要不同的缓解动作。 支持政策设计师 除非政策和网络结构互相补充，否则控制系统可能容易受到攻击，随着时间的流逝，控制系统更加容易受到攻击。DuPont工程公司的Thomas Good：“一个好的控制系统结构消除系统入口点或者使系统入口点最小化。所有中高度危险的控制系统必须与所有的外部网络断开，如LAN,WAN,Internet，或者控制系统必须有防火墙保护，并由控制系统和IT专家共同管理和监控。”使用第二和第三交换层实现的虚拟局域网(VLAN)，虽然没有特别蓄意的提供网络安全，但VLAN是将网络分成功能分散子网的极好方式。（见“VLAN实例”图）英国哥伦比亚技术研究所(BCIT, Burnaby, BC, Canada)的Eric Byres,他是BCIT因特网工程实验室的管理员，在设计工业网络结构时，他说：“几年以前，流行的网络结构采用带有集线器(hub)的双绞线和（或）粗同轴电缆通过网桥连接到局域网，目前，这些网络仍然使用着。粗同轴电缆和基于hub结构的主要缺点是没有安全性，并且不能抵御广播数据包风暴。当前工业网络设计的优先选择是在第三交换层中联合使用交换器和路由器。第三交换层确定基于地址的滤波器、IP子网、协议或者应用程序，允许该结构提供基本的数据包安全性，并且这种结构抑制了在一个高吞吐设备中发生的广播数据风暴。”当应用第三层交换器结构时，记住开关滤波器只作用于通过它的信息。因此，如果两组设备之间的滤波通信量很重要，那么确保每组设备连接到不同的交换口。 管理变化 许多公司已建立政策、过程、指导原则和/或规则处理变化控制。不幸的是，在研究变化过程控制的“升温时期”采取了捷径。几家公司和咨询商提供控制系统安全服务包括政策、检查、变化控制等。 例如，DuPont工程公司在几年中发展了DuPont网络安全分析方法(DNSAM)。在DuPont授权下，Rockwell自动化公司(Mansfield,OH)使用DNSAM分析用户的网络、风险评估并建议用户采取必要的变化。DNSAM是一种综合的安全系统分析方法 ●提供标准过程用于分析信息安全风险的概率和重要性 ●包括一些指导原则，这些原则用于保护网络化过程控制的应用程序、数据和设备。 ●加强商业和生产过程控制系统之间的安全政策和手续。 DNSAM的优势在于它的简明设计，被证明的使用记录以及广泛应用于任意控制系统、任何公司或者工业。由于设计了分散控制系统和较新的混合控制系统，变化控制管理通常比较容易，原因是系统提供了工具可用于比较现行（已下载的）软件和“被认可的”软件。这些工具一般具有检查跟踪特性。