保护完整的SCADA系统

引言         近几年，公用事业公司在进行他们的商务活动时，已经经历了很多改变。增加收益和降低开支的压力使他们把SCADA系统与商务网络集成在一起进行流线型操作。互联网的流行使用户要求他们可以对自己的帐户进行在线访问，在线转帐，进一步增加网络的暴露程度。另外，公共事业公司已经通过使用互联网使一些核心的商务操作，如故障的管理，更加便利。         2003年八月的大规模停电引起了公众对于互联网故障的关注。结果，北美电力可靠性委员会（NERC）生成了紧急行动标准1200，这个行动方案的目的就是保证所有的实体都要对北美的大规模电网系统做出反应，保护控制或是可能影响大规模电力系统的网络资产。2004年，NECR发行了一个续集和标准1200保持控制区域和可靠性协调机构的强制性。在2005年第一季度，所有的控制区域和可靠性协调机构必须要完成和提交适当的区域自我诊断更新表格，来显示他们与网络安全标准的要求符合或是不符合度。         另外全球的恐怖主义，已经引起了公众对于公共事业公司关键基础设施和SCADA系统的关注。尽管公众十分担忧，但是公共事业公司也不会因此而拒绝集成SCADA和互联网所带来的好处。危险可能是真实存在的，但是，幸运的是，保护SCADA系统的方法相对也是比较容易的。         也许，来自公共事业公司的最大的危险就是来自他们缺乏对更加安全的保护的关注。许多国有或是私有的企业，控制着天然气、能源、水等公共事业，但是却从来没有想过他们就是网络袭击的目标，现在他们必须要采取有效的措施来保证网络的安全了。虽然很多公共事业公司为他们SCADA系统提供了风险评估机制，但是很多公司却没有。他们已经越来越依赖紧密联系的数字信息系统，而没有充分意识到网络袭击的潜在危害。         传统意义上的SCADA系统是与其它系统隔离开的，他们在网络上独立操作。由于先前考虑到可能的攻击，这样看起来就为SCADA系统提供了所有必要的保护。具有这种有限访问和很难破解密码的通常是大型的专有系统，这样，几乎没有人可以随意进入其系统并进行攻击。但是时过境迁，他们现在已经集成到公司的网络系统当中，可以使他们的数据在网络上共享，增加了工厂效率。所以，现在的情况是，目前的SCADA网路的安全性网络的安全性。 保护你的SCADA网络         保护SCADA网络的第一步就是生成一个书面的安全原则，这是保护整个网络的重要组成部分。没有一个适当的安全原则，就是使该公司处于网络攻击的危险地位、造成季度损失、甚是会导致法律诉讼。一个安全原则是一个动态而非静态的文件，它不是一旦生成永不更改的。管理团队需要提出一个明确的、可理解的目的、目标、规则和正式的流程来定义整个计划的地位和构架。         高级管理人员、IT部门、人力资源和一些合法的部门等这些关键的人员都应该包含在这个计划当中。而且应该包含以下几个关键因素： ● 原则所涉及到的相关人员的角色和责任 ● 允许的和不允许的行为和进程 ● 不遵从原则的后果 漏洞评估         准备一个书面的原则之前，要进行一个漏洞评估。漏洞评估的旨在明确两点，一是与SCADA相关的IT构架的不同方面的潜在危险，二是这些不同构架的优先权。这通常以等级的形式表示出来，然后，这也排出了对安全的关注程度的优先权，以及不同漏洞区域的投资等级。 例如，在一个典型的SCADA系统中，一些关键词和相关的等级如下： ● 操作员站的操作的有效性 ● 实时数据的准确性 ● 系统配置数据的保护 ● 与商业网络的连接 ● 历史数据的有效性 ● 临时用户站的有效性         一个漏洞评估系统执行时类似一个理解一个系统是如何构成的，威胁到系统的危险是如何生成的这样一个确认漏洞和缺点的机制。         为了成功的运行一个漏洞评估机制，需要在物理上确认所有的网络和计算机设备，需要用到的软件和网络路由器。在进行检查之后，应该随网络构架生成一个清晰的结构图。 进一步的安全方法         如前所述，SCADA系统以前是与其它网络分开的，要进行攻击，只有在物理上穿越此系统。随着公司网络在电子上连接到了互联网或是无线技术，物理访问对于网络攻击来说已经不需要了。其中一个解决方法就是隔离SCADA网络，但是对于预算思想的操作来说，这不是一个实用的方法。这还会需要在远程地点的监控工厂和远程终端单元。所以需要采用安全方法来保护网络，一些常见的方法可以应用与本质上属于所有的SCADA的网络，例如那些以WAN形式出现的网络，或是又基于互联网访问要求的网络。核心的因素包括： ● 网络设计 ● 防火墙 ● 虚拟专用网络 ● 隔离区 网络设计——尽量保持简洁         简单的网络比比较复杂的、相互连接的网络危险要少。要保持网络的简洁性，更重要的是，从一开始就要有良好的构架。         确保一个安全的网络的关键因素就是控制接触点的数目。接触点应该尽可能的少。虽然防火墙可以保护来自互联网的访问，但是很多现行的控制系统拥有自己的调制解调器，允许用户在远程访问系统进行调试。这些调制解调器往往直接与子站的控制器相连。如果确实需要访问点，应该是一个具有密码保护的单点，使得用户的登录行为可以成功。 防火墙         防火墙是装在网关服务器上，保护专有网络计算机资源的免受外部用户攻击的一套安全程序。防火墙与路由程序紧密配合工作，它可以检查每个网络信息包，判断是否允许它传递到目的地。防火墙还会包含一个代理服务器或是与其工作，这就可以使网络要求可以代表工作站用户。防火墙通常安装在特别设计的计算机上，与网络的其它部分分开，所以，任何引入的信息都不可能直接进入网络资源。         在信息包交换的网络中，例如，互联网，路由器是判断一个网络点是否是信息包的目的地的设备或是软件。路由器最少连接到两个网络上，基于对它所连接的网络，以及他对网络现状的理解，来判断每个信息包的传送路径。路由器安装在网关上（两个网络的交汇处），包含互联网上的每个点。路由器通常看作网络交换机的一部分。         在公司网络和互联网上使用安全放火墙十分重要。作为公司网络信息出入的单点，防火墙可以很好的被监控和保护。使用至少一台防火墙和路由器把公司网络和不属于本公司的网络隔离开十分必要。 在更大的站点，需要保护控制系统免受SCADA网络内部的攻击。在公司网络和SCADA系统之间使用防火墙可以达到这个目的，并且也高度建议使用防火墙。 虚拟专有网络（VPN）         现在更加复杂的网络所面临的一个主要的安全问题之一就是远程访问。VPN是一个连接到远程SCADA网络的安全方法。使用VPN，所有的数据在一定程度上是保密的，只对有限的人群开放，例如供应商公司的员工。VPN是一个使用公用电缆把点连接起来的网络。例如，有一些系统允许使用互联网作为传输数据的媒质来生成网络。这些系统使用密码技术和安全方法来保证只有授权用户才可以访问网络，并保证数据不被干扰。基于现存的网络构架，使用一体化的数据密码和隧道技术，VPN提供了一个高水平的数据安全等级。一个典型的VPN服务器或者是作为防火墙的一部分或是作为一个独立的设备安装，外部人员进入SCADA网络之前要进行验证。 IP安全（IPsec）        IP安全是互联网工程任务组为了支持IP层安全的信息包交换而开发的一套协议。VPN已经广泛的应用了IPsec。        IPsec可以在一个网络范围内使用，提供计算机等级的认证和数据加密。IPsec可以被用来把使用高度安全的L2TP/IPsec的远程网络生成连接。        IPsec支持两种加密模式：transport和tunnel。Transport加密只对每个信息包的一部分（有效载荷）进行加密，不涉及报头部分。更加安全的tunnel模式可以同时对报头和有效载荷进行加密。在接收方，IPsec兼容设备为每个信息包解码。       为了IPsec有效工作，发送和接收方应该共享相同的公钥。这通过ISAKMP/Oakley（安全联盟和密钥交换协议），这就允许接收者可以得到公钥，并对发送者进行数字验证。        在网络硬件，如路由器、交换机和网关的选择阶段，考虑到设备要支持IPsec来支持安全VPN连接的能力十分重要。 隔离区         隔离区是在信任区域（SCADA网络）和公司网络或互联网之间的缓冲区域，通过额外的防火墙和路由器分离开，为地址网络攻击提供了额外的安全层。使DMZ已经成为把商务网络和SCADA网络分离开的越来越普遍的方法，是一种强烈建议使用的安全方法。 网络和操作环境的安全         在处理SCADA构架时，需要明白在与SCAD