【专家博客】网络安全日趋成熟
当你运营着一个采集和加工石油天然气的近海平台时,出现系统停车将是非常严峻的问题。系统集成商Cimation在高容量油气平台上设置好网络后,接下来的首要目标之一是最小化因偶然因素或恶意势力造成的系统停车。
此平台是美国大陆架最大的油气平台之一,因而其所面临的恶意攻击风险比小规模平台要高的多。这些设备先从附近的井栏采集原油和天然气,并进行初步的加工。这就比那些只进行石油钻探的平台需要更多的可编程逻辑控制器(PLCs),远程终端装置(RTUs)和其他控制系统。
Cimation公司——一家致力于能源领域过程自动化,工业IT和企业数据解决方案的系统集成商,其控制室管理员和SCADA安全工程师J-D Bamford 在描述这些平台时表示:“他们不仅负责石油的管道传输,还要进行初步的处理,例如将液体从油气中分离出来,这当中就要用到很多PLC和RTU。”
与那些油井钻好了就可以撤除的钻井平台不同,生产用油气平台采集和加工石油天然气可达数年之久。因而考虑到系统的复杂性及较长的运行时间,平台的所有者们对安全性给予了较高的关注。
他们选择了Cimation——在休斯顿的 Audubon公司旗下的一家系统集成商,来负责物理和逻辑安全防护,从而保障操作不受敲诈者或黑客的攻击威胁。鉴于系统停车所造成的巨额成本,Cimation的目标是将网络或电路原因造成的系统停车降至最低。
“设计和建造这些大型设备花费了几百万。而安装这些安全设备的费用不过是九牛一毛,特别是把这些安装成本与一天的生产损失一比较,就更不值得一提了,” Bamford说。“系统一停车就能轻易地造成一天几十万的损失。”
在安全方面进行投资的决策突显了这几年的一个重要的变化。那就是在此之前,工业领域的管理层们发现很难为那些用于防止意外停车的安全技术募集资金。许多业内人士表示,这些转变出现在Stuxnet病毒席卷全球之后,因为它证明了工业领域的网络攻击是可能的,甚至是影响巨大的。
“Stuxnet作为一个标志性事件,向人们证明了网络攻击可以造成破坏,” Dan Schaffer,Phoenix Contact公司的一名工业安全专家表示。“在它发生以前,人们只是口头上说要进行安全防护。而现在他们真的开始着手做了。”
尽管人们的安全意识提高了,但在工业领域这一转变还是进行地很缓慢。我们仍需要更多地普及工业安全防护知识帮助企业改善他们的安全计划。鉴于此,一个Profibus(译者注:过程现场总线)和Profinet(译者注:基于工业以太网的总线标准)的行业协会PI North America,近期在其一天议程的Profinet研讨会上增加了安全方面的内容,还更新了其安全指导方针。
PI North America的副会长Carl Henning说: “可悲的是,很多人还没有迈出第一步。而很多企业都亟需采取安全防护措施”, “很多人都在面临的一个问题是他们在写出资本支出需求时意识到很难去量化安全性。”
Cimation并未花费太多精力就说服了客户采用性价比高的Belden公司多芬诺安全工具为基础的安全策略。Cimation强调安全部署并非只是用于防止恶意攻击。
“从可靠性角度来看,PLC和RTU在设计上不需要与很多设备进行通信,”Bamford表示。“人们总是关注那些有恶意的人,但如果在网络上有过多通讯消息,也可能引起网络流量问题。你想让你的设备避免那些他们自己就能防御的干扰,但实际上他们做不到。”
Belden公司多芬诺安全首席技术官Eric Byres表示,他们接触过有多个因网络流量过量而造成严重问题的案例。例如,在阿拉巴马州的布朗渡轮核工厂不得在几年前停业,就因为一个错误的节点喷涌而出的信息导致网络超载,进而引发问题威胁到工厂的稳定经营。
随着对攻击防御和提升可靠性的双重需求的关注,人们对安全性的态度也随之转变。一方面,Stuxnet强调出这种网络威胁的危险性;另一方面,针对可靠性而新增的改善措施有助于企业证实购买安全软硬件的投资是值得的。
“关于投资回报的通常的意见是,你应该看看病毒肆虐时会发生什么,” Honeywell过程解决方案工业IT解决方案部的全球解决方案领导者Shawn Gold说。“人们还应该知道的是如果你的安全措施是正确的,那它不仅能抵御网络攻击;还能提高可靠性。”
深度防御
网络和物理资产的防护并不仅仅是安装一个组件的事情。任何领域的策划者在构建防御策略时,都计划到会有一两个疏漏。网络安全策略也不例外。所有专家都建议企业结合使用几种不同的技术,这样一种工具的弊端可以被另一种互补技术所弥补。
“你需要的是深度防御。你不能只有一条防线,” Henning说。“在办公网络和工厂网络间建立缓冲区只是一个起点。”
在办公网和工业操作站之间的连接让以太网有机会接入工厂车间。这就通常需要用到防火墙来隔离关键任务工业网络和商用网络,商用网络是电脑一直在收邮件,或浏览那些存在潜在威胁网站的网络区域。通过设置防火墙可以限制从工业网络流向与因特网连接的办公网之间的通讯。
“管理员可以自己设定规则,比如可以阻止设备接触任何网络通讯,这样就没有任何人连入网络” Schaffer说,“你还可以通过配置防火墙让某类消息通过而另一类无法通过。”
用于40个设备网络的防火墙
多数企业都想安装几道防火墙。因为这样有助于确保任何通过第一道防火墙的病毒或网络攻击仍能被阻断。这种措施还能避免出现于工厂车间的问题蔓延开来,不管问题是出自信息过载的PLC还是U盘的病毒。
“你可以把防火墙部署在终端装置如PLC或HMI(人机界面)的前端,或者安装在IT(信息技术)网络与工业网络的交点,” Schaffer道,“在之后组态时,它就能保护后面的几百台设备。在其他位置也部署防火墙的话就形成了深度防御。在工业自动化领域,他们会在每个装置周围都部署安全系统,如焊接站或喷漆站。.
这也是ZF Sachs,一家德国生产驱动器和底盘的汽车制造商所采取的办法。它位于Schweinfurt的工厂被划分为40个设备网络。这些Profinet网络每个都配置了Phoenix Contact公司的mGuard防火墙。
“为确保这一含40个单独设备网络的分散架构不会带来过多的配置和实施工作,我们首先为所有子网络制定了一系列基础的常规防火墙规则作为一种超驰控制(overriding control)。实施起来相对简单,” Asmund Hey,ZF Sachs技术服务部自动化技术主管表示。
在试运行阶段,主参数适用于启动时的子网络。这基本能满足大多工厂的需求,因而只需要在特殊情形下添加规则。Hey指出应多花点时间来建立结构良好的防御体系并且在开始运行时稍作调整,这能省去之后的不少麻烦。
深度防御还需要辅助运用一系列不同的软件工具来降低网络化问题导致意外停车的可能性。不同于那些可以放在一个地方几年不动的硬件设施,这种安全软件程序需要随着新威胁的出现而升级更新。
“你需要运行几种工具,如反病毒软件和白名单策略,” Honeywell的Gold说。“你还应当为入侵检测系统安装补丁。”
保持简单
建立整个防护计划需要花费很多的精力与努力,但运行安全系统就不会这么复杂了。多数设备操作员不想花时间去担心入侵检测或其他对他们完成日目标没有帮助的事情。
作为大多安全计划中的基本部署 的防火墙就是一个很好的例子。在过去的几年,开发者们共同努力让这些设备易于安装和启用。一旦设置完成,使用者无需过多努力或协助即可进行常规运行。
“你可以在网络上安装一个从物理和逻辑角度看上去坚固的独立设备,” Schaffer说,“你不需要一名IT专家来进行系统设置或维护。”
尽管供应商和用户都希望避免产生IT人员的需求,但绝大多数安全专家都表示工业管理者与办公网IT员工的密切合作非常重要。IT员工们通常掌握了因特网安全相关的许多最新技术,而工业从业人员则了解如何在工厂车间环境中进行生产运作。
这些工业环境中包含很多对IT团队而言陌生的技术。前区办公设备通常使用的是TCP/IP协议,而工业网络使用的是Modbus, Profinet, DeviceNet等。那些需要实时通讯的设备还需要使用其他附加协议,从而达到更高的性能并更好地辅助决策。
“你不是只运用一种协议。你要使用的是一堆工业协议,而且每个供应商采用的协议还存在一些区别,” Bamford说,“以太网是运用所有这些技术的基础。”
尽管所有的协议都经过相同的TCP/IP通信电缆,系统仍需进行配置以确保不同的工业协议的有效通讯。这些过程是直接进行的,几乎不需要启动时间。
工业网络管理者们还必须让添置和迁移设备的工作简单易行。生产线在持续更新,新的设备经常要加入进来。而且更常见的情况是,第三方会安装上某设备而不让大型设施的管理层知道此事,直到一些问题出现。但还有一类问题就是根本无法安装新设备。
Cimation公司的Bamford曾经负责过多家企业的系统集成工作,他指出系统的配置必须让安装新硬件的工作简单易行。
“在很多设施中,第三方会在不通知任何人的情况下安装某些设备,”他说,“一般防火墙是不允许这些设备开启的。而多芬诺防火墙允许我们设定规则从而让这些设备运行起来。”
防火墙和其他安全组件不仅要做到运行简单,还要做到处理迅速。安全系统通常在一天当中要扫描大量的数据,有些控制数据是具备时间敏感性的。安全扫描无法延迟一个调整温度或关闭阀门的信号,甚至只是几毫秒。
“很重要的一点是既保证安全性又不妨碍性能发挥,你不能让扫描工作阻碍通讯进度。这就是我们使用专用硬件的原因。” Schaffer说。
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南