【专家博客】使用ANSI/ISA-99标准保障SCADA安全

• 关键词：ANSI/ISA-99标准,SCADA安全

降低控制网络安全性的因素 目前主要存在两大对立趋势影响着控制网络的设计：

       1.随着企业对提高生产力的要求，以及对Ethernet-TCP/IP技术越来越多的使用，控制系统与企业系统的“互联”趋势。

       2.为了阻止Stuxnet这样的高级恶意威胁，隔离控制网络的趋势。

       控制工程师怎样处理需要整合同时又需要隔离的冲突？我的建议是接受并为商业系统的高度一体化制定计划，摒弃控制系统可以被隔离的观念。

       我不相信目前存在真正的隔离，也许被高度保护的核工厂可以除外。而且，Stunext病毒让我们明白攻击控制系统可以有很多途径，并不需要与因特网连接。对此，我会在白皮书（在文章最后可下载）中做进一步的解释，更多细节，见Stunext是怎样传播的。

       如果实施隔离不是一种有效的安全措施，那么该如何保护控制系统呢？能显著改善工厂安全状况的一种途径就是提高网络分区。尽管连接了越来越多的设备，许多控制网络仍保持着“平面化”。平面网络意味着源于网络某部分的网络事件或网络入侵可以快速地蔓延到其它区域。

       ANSI/ISA-99安全标准里的“区域和管道”模型为网络分区提供了一个框架。

区域和管道

      ANSI/ISA-99标准引进了“区域”和“管道”的概念，把它作为分割以及隔离控制系统内各子系统的一种方法。

图1：安全区定义

       区域被定义为一组逻辑或物理资产，从危机程度和后果等因素来看，它们有着共同的安全需求。

       区域中的设备有相应的安全级别。如果安全级别不等于或高于所需级别，那么必须采取额外的安全措施，例如实施额外的技术或策略。

       区域间的所有通信都必须经过指定的管道。

图2：管道定义

       管道负责控制对区域的访问，抵御拒绝服务（Dos）攻击和恶意软件的传送，保护其他网络系统，并保障网络通信的完整性和机密性。一般来说，对管道进行管控是为了减少区域安全级别和安全需求之间的差异。通常，相对于对区域内的所有设备或电脑进行升级来满足安全需求来说，注重管道缓解措施的性价比更高。

确定安全区域

区域是一组有共同安全需求的物理资产

       区域和管道设计从分析工厂装置和操作开始，然后确定一组组有共同功能或安全需求的设备。这些组就是需要被保护的区域。

       例如，某工厂可能先被划分为不同的装置区，如材料的储存、加工、整理等等。然后在这些区域内，可以进一步划分为各种功能层，如制造执行系统（MES），监视系统（如操作员HMI），主要控制系统（如DCS控制器、RTU和PLC）和安全系统。各个区域的确定不仅要根据它的边界、资产和风险分析，还要依据其安全性能。换句话说，Windows 2008服务器的区域与Windows NT服务器的区域或者PLC的区域的安全性能都有很大的不同。区域的安全性能和区域所面临的安全风险决定了连接区域的管道的安全功能需求。

确定安全管道

通常保护管道比保护其末端的资产更容易也更省钱

       下一步就是找到系统中数据在区域间传输时的途径；即网络“管道”。应该依据管道所连接的区域、使用的技术、传输的协议以及所有的需要提供的安全特性来定义每个管道。

       通常可以直截了当地决定网络上区域间的信息传送要求。通信流量分析仪，甚至简单的协议分析仪等工具都可以显示正在交换数据的系统和其所使用的服务。

       目光放到网络以外，确定隐藏的流量的做法也是明智的。例如，是否使用过U盘在实验室和主要控制系统间拷贝过文件？工作人员是否能使用拨号调制解调器远程连接到RTU？这些流量很容易被遗漏，但是如果管理不善的话将导致严重的安全问题。

       一旦确定了管道及管道的安全需求，最后阶段就是实施合适的安全技术。此阶段通常的选择有两种：

1. 工业防火墙

       工业防火墙监控来自和传送到区域的通信，并且：
        ● 将流经防火墙的通讯和预定义的安全策略进行比较，丢弃不符合安全策略要求的信息。
        ● 通常工业防火墙被配置为只允许正确的系统操作所要求的最小通信通过，阻止所有的其他不必要的通信。
        ● 筛选出高风险通信，如可能被黑客用来制造产品安全漏洞的编程命令或异常信息等。
        ● 工业防火墙面向工程师的友好设计，同时能详细检查SCADA协议，如DNP3，Ethernet/IP以及Modbus/TCP等。

2. VPN(虚拟专用网络)

       使用加密技术可以在普通网络上架设一些专用网络，来确保数据和命令的“私有”传输。VPN会话隧道以压缩格式通过传输网络，它们对没有权限访问VPN成员“密码”或“证书”的设备是不可见的。

ANSI/ISA-99和纵深防御

       区域和管道的方法实现了“纵深防御”策略，也就是遍布整个控制网络的多层防御。这是一种在IT领域已被证实的有效策略。

       我强烈建议您能精通控制网络的分割，和适当的工业安全解决方案。这样将极大地帮助企业缓解系统“互联”和“Stuxnet子病毒”带来的安全威胁。

      您的网络是否使用了区域和管道进行分割？如果没有，您认为这是一个好的方法吗？如果有，您是否有一些愿意与他人分享的技巧？请告诉我。