北美電力可靠性協(xié)會(huì)所做的調(diào)查顯示,控制系統(tǒng)的這10個(gè)軟肋��,也正是解決控制系統(tǒng)安全弊病的最佳著手點(diǎn)��。
北美電力可靠性協(xié)會(huì)(NERC)致力于提高北美大型電力系統(tǒng)的可靠性和安全性���,作為更大型的基礎(chǔ)設(shè)施提供保護(hù)��。為了確保電力供應(yīng)不間斷,NERC對(duì)基于計(jì)算機(jī)網(wǎng)絡(luò)控制的電網(wǎng)進(jìn)行監(jiān)控。它監(jiān)視著一系列的網(wǎng)絡(luò)安全漏洞�,作為保護(hù)整個(gè)工業(yè)網(wǎng)絡(luò)的模型�����,它在電力工業(yè)之外也是可以接受的。
負(fù)責(zé)現(xiàn)場(chǎng)和基礎(chǔ)設(shè)施安全的國(guó)際注冊(cè)信息系統(tǒng)安全師Scott R. Mix說(shuō):“《10大控制系統(tǒng)漏洞和相關(guān)的解決方案(2006版)》是網(wǎng)絡(luò)安全弊病列表的第三次修改。這些文件由隸屬于NERC關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)(CIPC)的控制系統(tǒng)安全工作組(CSSWG)負(fù)責(zé)維護(hù)�,并且這些文件每年都要更新��,還要記錄上改進(jìn)的解決辦法。”他說(shuō),由最初的2004版的簡(jiǎn)單列表發(fā)展到今天,對(duì)于每一個(gè)記錄的漏洞都有三個(gè)層次的解決方案。
以下就是這10個(gè)弊病����,以及工業(yè)產(chǎn)品供應(yīng)商和顧問(wèn)就每一項(xiàng)對(duì)整個(gè)系統(tǒng)的影響而提出的建議�。
沒(méi)有足夠的政策�����、制度和文化來(lái)監(jiān)管控制系統(tǒng)的安全性�。
安全性開(kāi)始于一種文化或者說(shuō)是一種警戒的傳統(tǒng)�����。艾默生過(guò)程管理的產(chǎn)品經(jīng)理Bob
Huba Delta V說(shuō):“當(dāng)提及安全性的技術(shù)解決方案時(shí)�,你可能會(huì)想到防火墻�、密碼等等,但是這些只占了所有解決方案的20%�����,而員工的安全常識(shí)卻要占到80%���。引用一位從業(yè)者的話(huà)����,“停止你的愚蠢行為”,然后問(wèn)一句,“你的工廠(chǎng)有沒(méi)有安全規(guī)范�����?”這個(gè)問(wèn)題就和問(wèn)陌生人為什么會(huì)在控制室里��,或者確保用戶(hù)了解不要攜帶便攜式播放器以及不許安裝未經(jīng)授權(quán)的程序一樣簡(jiǎn)單��。”
ABB公司的電站工程解決方案經(jīng)理Kim Fenrich說(shuō):“如果沒(méi)有一個(gè)有效的安全法規(guī)、解決策略和定期培訓(xùn),其他的安全措施也不會(huì)很成功。為此,保障安全性必須被看成一個(gè)長(zhǎng)期的過(guò)程,而不是對(duì)防火墻�、屏蔽��、掃描火加密技術(shù)的一次性投資���!
賽門(mén)鐵克咨詢(xún)服務(wù)公司的主管Bryan Geraldo說(shuō):“操作員們相信,對(duì)于隨機(jī)的攻擊和非針對(duì)性的破壞來(lái)說(shuō)�,控制系統(tǒng)是相對(duì)安全的�,因?yàn)樗鼈儾⒎侵苯优cInternet互聯(lián)��,或者有不同的軟硬件組成�����,其中一些甚至還嵌入了供應(yīng)商的‘獨(dú)家嵌入式安全特性’”����。Geraldo說(shuō):“然而,雖然大多數(shù)IT產(chǎn)品帶有嵌入式安全手段例如密碼和加密選項(xiàng)���,或者基本的防火墻/準(zhǔn)入限制機(jī)制,很多這些特性都是未激活的�����,或者被置于默認(rèn)設(shè)置以及錯(cuò)誤的設(shè)置��,這就會(huì)產(chǎn)生對(duì)安全性的錯(cuò)誤監(jiān)管������!
霍尼韋爾過(guò)程控制部公司負(fù)責(zé)生命周期服務(wù)的高級(jí)市場(chǎng)經(jīng)理Marilyn Guhr建議道:“通用的解決方案與系統(tǒng)結(jié)構(gòu)不同�����,它需要變化。由于控制系統(tǒng)的環(huán)境正在向開(kāi)放式轉(zhuǎn)變�����,需要新的政策和法規(guī)�����,然而通常情況下��,系統(tǒng)使用者們并不清楚是否需要這些法規(guī),或者他們認(rèn)為這些事應(yīng)該由其他人負(fù)責(zé)�����。公司內(nèi)的IT部門(mén)對(duì)此倒是非常清楚�,但是他們卻沒(méi)有責(zé)任在過(guò)程控制中幫助解決這些問(wèn)題�����!
無(wú)知將導(dǎo)致錯(cuò)誤�����。Byres安全公司的首席執(zhí)行官Eric Byres說(shuō):“我看到了越來(lái)越多由于工廠(chǎng)安全方面的工作做的不夠而導(dǎo)致的事故�。例如�,在一次我參與的審核項(xiàng)目中,發(fā)現(xiàn)網(wǎng)絡(luò)電纜越過(guò)SCADA 防火墻����。后來(lái)提供的解釋說(shuō)�,經(jīng)過(guò)分險(xiǎn)分析����,表明防火墻并不重要,而且也沒(méi)有法規(guī)上明確防火墻是必須的��!
網(wǎng)絡(luò)設(shè)計(jì)不完善��,并且深度保護(hù)不夠�����。
安全防護(hù)需要的不僅僅是強(qiáng)大的外圍措施。西門(mén)子能源與自動(dòng)化集團(tuán)PCS 7的市場(chǎng)經(jīng)理Todd Stauffer建議道:“成功地保護(hù)一個(gè)控制系統(tǒng),需要一個(gè)全面系統(tǒng)的方法。一個(gè)最常見(jiàn)的誤解也是最危險(xiǎn)的誤解是�����,只要給控制系統(tǒng)安裝了防火墻�����,那么它就被保護(hù)了。這是非常錯(cuò)誤的。實(shí)際上��,包括美國(guó)的國(guó)土安全部在內(nèi)的負(fù)責(zé)安全的專(zhuān)業(yè)人員和代理人��,經(jīng)常建議采用一種叫做‘深度保護(hù)’的分層防護(hù)的方法�。深度保護(hù)提倡采用嵌套安全體系結(jié)構(gòu)�����,工廠(chǎng)被分成多個(gè)安全封閉的單元(區(qū)域)�����。每個(gè)區(qū)域都有明確的定義,它們的控制和通訊的輸入輸出接口也被嚴(yán)密監(jiān)控��!
“控制系統(tǒng)必須有分層次的保護(hù)措施�������!被裟峋S爾過(guò)程解決方案公司的全球安全設(shè)計(jì)師Kevin Staggs說(shuō):“越是關(guān)鍵的接口,例如控制和人機(jī)界面��,越是需要深層次的防護(hù)�。控制系統(tǒng)至少需要一個(gè)防火墻����,以使其與商業(yè)網(wǎng)絡(luò)分離開(kāi)�����,并且它們永遠(yuǎn)也不要和互聯(lián)網(wǎng)相連�����。IT領(lǐng)域內(nèi)深知如何深度保護(hù)網(wǎng)絡(luò)�,但是這些相關(guān)知識(shí)并不必要應(yīng)用到控制系統(tǒng)���������!
Byrnes說(shuō):“沒(méi)有一個(gè)IT部門(mén)會(huì)僅僅安裝一個(gè)防火墻之后就說(shuō)‘我們已經(jīng)防護(hù)好了’。IT部門(mén)會(huì)在每一臺(tái)服務(wù)器�、臺(tái)式機(jī)和筆記本電腦上都安裝殺毒軟件�、個(gè)人防火墻和更新補(bǔ)丁等等��,這樣一來(lái)�����,無(wú)論有沒(méi)有外圍防火墻,這些計(jì)算機(jī)本身也足夠保護(hù)自己了��。然而�����,在SCADA和控制系統(tǒng)的世界�����,公司如果僅僅在控制網(wǎng)路和商業(yè)網(wǎng)絡(luò)之間安裝防火墻,那么就忽略了對(duì)那些關(guān)鍵器件的保護(hù),例如PLC�����、RTU或者DCS�����。整個(gè)控制安全范例是外層脆弱中間強(qiáng)韌的,可惜那不起作用���。就像防護(hù)設(shè)計(jì)一樣,良好的安全設(shè)計(jì)�,會(huì)提供多層保護(hù)�,一層失效的時(shí)候�����,其他層仍舊堅(jiān)守崗位���。這就意味著要使控制網(wǎng)絡(luò)上的每一個(gè)設(shè)備都足夠安全�����,即使有惡意入侵或漏洞的時(shí)候也能保護(hù)自己,雖然這些惡意入侵和漏洞很難穿過(guò)防火墻���,但確實(shí)是有可能的�!
“安全本身也有其弊端�����。”Mu 安全公司的銷(xiāo)售部副主管Adam Stein警告說(shuō):“對(duì)于基于SCADA的控制系統(tǒng)�,深度防護(hù)實(shí)際上加強(qiáng)了網(wǎng)絡(luò)的外圍防護(hù)����。用戶(hù)無(wú)法忍受由系統(tǒng)內(nèi)部防護(hù)帶來(lái)的延時(shí)���。當(dāng)操作員發(fā)送指令����,意圖關(guān)閉一個(gè)閥門(mén)或者停止一個(gè)危險(xiǎn)進(jìn)程的時(shí)候����,他可不想為了讓指令通過(guò)多層防火墻而額外付出時(shí)間。”
艾默生公司的Huba看到了時(shí)下廣泛采用的多平臺(tái)解決方案的負(fù)面影響:“今天很多控制網(wǎng)絡(luò)是由來(lái)自于不同公司����、帶有通用的人機(jī)接口(HMI)和通用的通訊硬件的集成控制器組合而成���。通常����,這些工作是由系統(tǒng)集成商基于專(zhuān)門(mén)平臺(tái)完成的,而安全性并不在考慮范圍之內(nèi)���。隨著這種系統(tǒng)的普及,最終用戶(hù)有必要對(duì)控制網(wǎng)路增加適當(dāng)?shù)南拗�����,作為解決方案的一部分��������!
無(wú)適當(dāng)準(zhǔn)入控制的遠(yuǎn)程接入
Stauffer建議道:“對(duì)人員和程序的進(jìn)入加以控制,這對(duì)保持系統(tǒng)的安
全性將是很重要的。通常����,用戶(hù)帳戶(hù)是否批準(zhǔn)通過(guò)��,是要通過(guò)其角色來(lái)判斷(工程師、操作員、技術(shù)維護(hù)人員和遠(yuǎn)程瀏覽等等)。原則是在滿(mǎn)足申請(qǐng)進(jìn)入人可以完成其工作的前提下,給予其最少的操作權(quán)限��������!
Guhr說(shuō)�����,拒絕任何遠(yuǎn)程連接申請(qǐng)會(huì)阻礙最終用戶(hù)從控制系統(tǒng)供應(yīng)商獲得遠(yuǎn)程服務(wù)�,而這對(duì)供應(yīng)商又是很有利的�,比如消費(fèi)者在被服務(wù)的時(shí)候可以提出更有創(chuàng)意的建議。
制造和控制系統(tǒng)安全委員會(huì)ISA SP99主席、FluidIQs 公司的工業(yè)安全首席顧問(wèn)、國(guó)際注冊(cè)信息系統(tǒng)安全師(CISSP)�、注冊(cè)信息安全員(CISM)Bryan Singer說(shuō):“終端服務(wù)�����、無(wú)線(xiàn)網(wǎng)絡(luò)、無(wú)線(xiàn)電設(shè)備、調(diào)制解調(diào)器和無(wú)保護(hù)的計(jì)算機(jī),這些設(shè)備的安全防護(hù)是很不容易的,我們需要良好的物理層面的安全防護(hù)����。這也幫助我們遠(yuǎn)離流氓節(jié)點(diǎn)和其他的一些東西�。然而大多數(shù)的網(wǎng)絡(luò)并不具有設(shè)置和屏蔽非授權(quán)設(shè)備的能力�,所以附加控制系統(tǒng)、PCs或者甚至入侵者的工作站都可以經(jīng)常進(jìn)入網(wǎng)絡(luò)而不被檢測(cè)到。”
分散�����、可追查的管理機(jī)制
這些包括系統(tǒng)升級(jí)���、用戶(hù)定制以及類(lèi)似的不屬于控制系統(tǒng)一部分的工作�����。“系統(tǒng)弊病歸咎于運(yùn)行控制系統(tǒng)的人�,”Guhr說(shuō):“核心問(wèn)題可能不屬于IT的范疇����,但是系統(tǒng)中的問(wèn)題總是和IT相關(guān)的�����。你的系統(tǒng)需要有這樣的能力�,它能夠知道最近你給系統(tǒng)安裝了什么新設(shè)備�,或者最近一次正常工作之后你做了什么改動(dòng)。如果有問(wèn)題產(chǎn)生����,你需要知道哪里做過(guò)改動(dòng)�������!
Stauffer支持這種觀點(diǎn):因?yàn)楹诳蛡円恢痹谘芯坑惺裁葱碌穆┒矗f(shuō)���,必須一直監(jiān)控控制系統(tǒng)以確保系統(tǒng)的軟件保持實(shí)時(shí)更新。
對(duì)系統(tǒng)和軟件進(jìn)行審查的工作并不一定該由過(guò)程操作人員完成����,他們可能需要學(xué)習(xí)新的技術(shù)�。Singer解釋道:“大多數(shù)過(guò)程控制系統(tǒng)和相關(guān)程序���,設(shè)計(jì)了報(bào)警和事件觸發(fā)功能��,但是它是面向過(guò)程的。要檢測(cè)到攻擊或者從日志中分析得到結(jié)論是很難的����,而且對(duì)于控制設(shè)備來(lái)說(shuō)�,計(jì)算機(jī)取證技術(shù)也過(guò)于復(fù)雜了��。令人沮喪的是����,一些在線(xiàn)審核和監(jiān)控解決方案���,例如入侵檢測(cè)系統(tǒng)等����,都無(wú)法處理控制協(xié)議,而且很多情況下����,即使系統(tǒng)和防火墻正常工作��,日志也無(wú)法監(jiān)控���!
無(wú)線(xiàn)通訊安全性不足
Staggs說(shuō):“無(wú)線(xiàn)安全不只對(duì)于控制系統(tǒng)來(lái)說(shuō)是個(gè)大問(wèn)題,對(duì)于所有用戶(hù)都是�。這主要是因?yàn)闊o(wú)線(xiàn)網(wǎng)絡(luò)變得太普遍了���。幾乎在任何地方你都可以很容易地連入無(wú)線(xiàn)網(wǎng)絡(luò)��。但是你必須找到信號(hào)并知道是否有非授權(quán)節(jié)點(diǎn)接入了�����!
“在安裝無(wú)線(xiàn)網(wǎng)絡(luò)之前�,需要先做一番全面的評(píng)估�,確定無(wú)線(xiàn)網(wǎng)絡(luò)的最佳使用地點(diǎn),并確保泄露到工廠(chǎng)之外的無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋區(qū)域最小�。當(dāng)有工作人員帶著步話(huà)機(jī)�����、筆記本和手持設(shè)備移動(dòng)的時(shí)候,就會(huì)發(fā)生無(wú)線(xiàn)網(wǎng)絡(luò)泄露,使無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋到工廠(chǎng)之外���!
Singer鼓勵(lì)研究無(wú)線(xiàn)傳播機(jī)理:“對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò),諸如802.1 1b和g的技術(shù)在廣泛使用,以2.4GHz的頻率工作。通常在搭建無(wú)線(xiàn)網(wǎng)絡(luò)之前都沒(méi)有經(jīng)過(guò)仔細(xì)的調(diào)查�����,所以也無(wú)從知道無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋區(qū)域是否足夠���,也不知道雜散發(fā)射是否限制在一定范圍內(nèi)���,以使外部人員無(wú)法輕易找到網(wǎng)絡(luò)�。”
Savant 防護(hù)公司的CEO Ken Steinberg說(shuō),開(kāi)放式發(fā)散技術(shù)的問(wèn)題主要有四個(gè)方面:非授權(quán)使用、空中信息截取、頻率干擾和非授權(quán)擴(kuò)展。他補(bǔ)充道:“安全專(zhuān)家應(yīng)該覆蓋所有區(qū)域���,以保證網(wǎng)絡(luò)安全有效。”
無(wú)線(xiàn)工業(yè)網(wǎng)絡(luò)聯(lián)盟(WINA)的負(fù)責(zé)人和技術(shù)總監(jiān)Hash Kagan說(shuō):“危險(xiǎn)往往在網(wǎng)絡(luò)管理不當(dāng)���,以及錯(cuò)誤的技術(shù)。一個(gè)沒(méi)有保密的網(wǎng)絡(luò)往往是脆弱的。運(yùn)作缺乏穩(wěn)定性就如同IT缺乏安全性一樣糟糕�!
有時(shí)�����,隔離是最好的方法�����,賽門(mén)鐵克公司的Geraldo建議道:“如果可能的話(huà)�����,應(yīng)該把無(wú)線(xiàn)網(wǎng)絡(luò)同其余的控制網(wǎng)絡(luò)隔離開(kāi)����。而且����,在從無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)入其他控制網(wǎng)絡(luò)的地方,強(qiáng)烈建議采取無(wú)線(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制,要求授權(quán)并強(qiáng)制準(zhǔn)入控制���。”
在非專(zhuān)用通道上傳輸命令和控制信號(hào)
這就是基于Internet的SCADA所面臨的問(wèn)題。這種弊端也會(huì)出現(xiàn)在將控制系統(tǒng)網(wǎng)絡(luò)的帶寬錯(cuò)誤地用于非控制應(yīng)用時(shí)���,例如VoIP(網(wǎng)絡(luò)通話(huà))。
Singer說(shuō):“很多IT人都購(gòu)買(mǎi)了成套網(wǎng)絡(luò)設(shè)備�����,而且感覺(jué)不錯(cuò)�����。我們發(fā)現(xiàn)攝像頭���、網(wǎng)絡(luò)通話(huà)����、商業(yè)系統(tǒng)處理薪資單和其他一些無(wú)關(guān)控制的工作�,這些會(huì)引起對(duì)控制服務(wù)的拒絕�。IT專(zhuān)家觀察網(wǎng)絡(luò)性能,發(fā)現(xiàn)所謂的接近實(shí)時(shí)對(duì)于控制很不合適����。300到500ms的延時(shí)�,對(duì)接受一封郵件或打開(kāi)一個(gè)網(wǎng)頁(yè)是可以忽略不計(jì)的�����。但是對(duì)于控制信號(hào)和安全信號(hào)來(lái)說(shuō)�,300到500毫秒的延時(shí)就是一個(gè)災(zāi)難���。通常��,對(duì)于IT人員可以接受的帶寬飽和度和利用度���,對(duì)控制來(lái)說(shuō)就完全不可接受�����。”
Staggs告誡說(shuō)�,一個(gè)沒(méi)有惡意的人也可以對(duì)基礎(chǔ)設(shè)施造成破壞��,這是因?yàn)椤邦~外搭建一條通道是昂貴的,而且在原有的設(shè)備上增加基礎(chǔ)設(shè)施也是很困難的�����。但是你確實(shí)需要明白信息來(lái)自于哪里�,將要流向哪里,然后相應(yīng)地鋪設(shè)網(wǎng)絡(luò)�。保持控制信號(hào)不在商業(yè)網(wǎng)絡(luò)內(nèi)流動(dòng)�,反之亦然�����。不要使用同一個(gè)通道,這不是一個(gè)好的嘗試。”
Huba說(shuō):“將控制系統(tǒng)用于非控制通訊����,而不管是否還有額外的帶寬可以用����,只會(huì)引起問(wèn)題,使關(guān)鍵的控制信號(hào)無(wú)法及時(shí)到達(dá)�����!
缺乏簡(jiǎn)易設(shè)備監(jiān)控和報(bào)告異常行為
這包括不完善的或不成文的審核方法�����。Invensys公司負(fù)責(zé)控制系統(tǒng)安全性的商務(wù)開(kāi)發(fā)部經(jīng)理Ernest Rakaczky說(shuō):“開(kāi)發(fā)一種工廠(chǎng)控制系統(tǒng)保護(hù)方案�,需要一種能在工廠(chǎng)網(wǎng)絡(luò)層和商業(yè)網(wǎng)絡(luò)系統(tǒng)中間保證網(wǎng)絡(luò)安全性的新技術(shù)����。我們可以在系統(tǒng)上搭建很?chē)?yán)密的控制層,同時(shí)在技術(shù)允許的情況下滿(mǎn)足商業(yè)網(wǎng)絡(luò)的不間斷運(yùn)行��,但這只在邏輯上說(shuō)得通����������!
Verano公司的市場(chǎng)主管Todd Nicholson補(bǔ)充說(shuō):“工具的范圍很廣泛。風(fēng)險(xiǎn)減弱工具包括外圍保護(hù)(防火墻��、殺毒軟件�����、入侵防護(hù)和內(nèi)容過(guò)濾等等)、網(wǎng)絡(luò)入侵監(jiān)測(cè)(掃描網(wǎng)絡(luò)入侵、未授權(quán)設(shè)備����、傳輸層級(jí)的變化等等)����、主機(jī)入侵監(jiān)測(cè)(掃描文件�����、進(jìn)程和數(shù)據(jù)包���、監(jiān)控消息序列��、登錄失敗、移動(dòng)設(shè)備插入����、異常退出等等)和性能監(jiān)控���!
“控制系統(tǒng)設(shè)計(jì)的獨(dú)特性也會(huì)影響到減弱網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。例如���,控制系統(tǒng)網(wǎng)絡(luò)安全解決方案必須是完全被動(dòng)的����,從實(shí)際的控制應(yīng)用中提取信息����、監(jiān)控系統(tǒng)性能并且能從前的系統(tǒng)或網(wǎng)絡(luò)上有效運(yùn)行�!
方法的不完善也是一個(gè)問(wèn)題����。Staggs說(shuō):“工具確實(shí)存在,而且也在商業(yè)網(wǎng)絡(luò)和IT網(wǎng)絡(luò)中廣泛使用�,但是并沒(méi)有被控制系統(tǒng)完全接受和采用�。當(dāng)前�,控制系統(tǒng)確實(shí)沒(méi)有足夠的安全能力,在發(fā)生問(wèn)題之后��,進(jìn)行故障跟蹤�������!
Singer同意但并不完全肯定,他相信眼見(jiàn)為實(shí):“有一些工具已經(jīng)開(kāi)始出現(xiàn)�����,但是通常是‘IT相關(guān)的工具’�,由IT專(zhuān)家開(kāi)發(fā)、針對(duì)IT專(zhuān)家、只用于傳統(tǒng)的IT系統(tǒng),對(duì)控制也不一定必要����������!
在主機(jī)上安裝不適當(dāng)?shù)某绦?BR> 更重要的是,控制系統(tǒng)需要安全有效地控制流程����。Stauffer說(shuō):“唯一必要的應(yīng)用就是和控制直接相關(guān)的程序�����。額外的軟件如e-mail、游戲和播放器都不是必要的��,并且會(huì)給系統(tǒng)帶來(lái)漏洞�。為了強(qiáng)化系統(tǒng),要?jiǎng)h除所有不必要的應(yīng)用并盡量避免安裝新程序����。只要控制系統(tǒng)與外界進(jìn)行數(shù)據(jù)交換�,非法程序就隨時(shí)有可能被引入������!
Guhr回憶道:“一個(gè)客戶(hù)發(fā)現(xiàn)工作站變得緩慢�����,而且找不到到底哪里出了錯(cuò)誤��。后來(lái)的故障追蹤結(jié)果顯示這是由連在工作站上的電視引起的����!
不夠精細(xì)的控制系統(tǒng)軟件
Singer指出:“給系統(tǒng)帶來(lái)問(wèn)題一些最常見(jiàn)的原因就是糟糕的編碼�����,例如使用靜態(tài)緩存或者數(shù)據(jù)庫(kù)��,這很明顯帶有漏洞��。通常,開(kāi)發(fā)人員在寫(xiě)好代碼之后依靠某種‘工具’來(lái)分析,這就意味著漏洞的監(jiān)測(cè)被局限在所使用工具的能力范圍之內(nèi)����。今天���,編碼規(guī)則和書(shū)寫(xiě)安全代碼是可行的規(guī)范����,應(yīng)該被嚴(yán)格遵守����。最終用戶(hù)����,系統(tǒng)集成人員和顧問(wèn)應(yīng)該堅(jiān)持交付測(cè)試�、查看編碼標(biāo)準(zhǔn)�!
Steinberg警告說(shuō)一些漏洞總會(huì)存在:“沒(méi)有方法可以從系統(tǒng)中移除全部的代碼漏洞�,測(cè)試結(jié)果也不一定都可以立刻分辨優(yōu)劣�����。最好的減少潛在故障的方法是降低程序的復(fù)雜度���,嚴(yán)格地對(duì)操作系統(tǒng)和應(yīng)用的代碼進(jìn)行復(fù)查����,并盡可能地避免主觀臆斷��。考慮到成本和時(shí)間,使用兩組團(tuán)隊(duì)編寫(xiě)不同的程序是可行的,可以盡量避免產(chǎn)生同樣的邏輯錯(cuò)誤�����!
未授權(quán)的命令和控制數(shù)據(jù)
Staggs指出:“現(xiàn)在����,不是所有的控制器都可以鑒別到底是誰(shuí)在做改動(dòng),然后再由控制器對(duì)相應(yīng)的用戶(hù)進(jìn)行授權(quán)��,準(zhǔn)許這種改動(dòng)��。在大多數(shù)控制系統(tǒng)中�,這個(gè)安全步驟是由控制器的上層機(jī)構(gòu)完成的���。這就給控制器留下了弊端��,而且這也是為什么需要進(jìn)行多層保護(hù)的原因���。你已經(jīng)知道了控制器位于安全基礎(chǔ)設(shè)施的下層�����,其上有多層保護(hù)。如果你不那么做,你的控制器就要暴露于網(wǎng)絡(luò)之中了。”
Steinberg強(qiáng)調(diào)了人員管理:“當(dāng)涉及到鑒別命令和控制���,現(xiàn)在唯一的辦法就是人工鑒別。對(duì)于問(wèn)題分析、指令序列和通訊流尤其如此�����。合理的制度�����、練習(xí)和流程會(huì)節(jié)省下對(duì)命令基礎(chǔ)設(shè)施重新評(píng)估更換的時(shí)間���!
下一步
對(duì)所有這些病端都有減輕策略,從軟件包到改變接口環(huán)境不等�。(NERC文件的網(wǎng)絡(luò)完全版本將每一種病端歸納為三層策略)����。重新回到文章開(kāi)篇的論題�,技術(shù)解決方案只占了所有方法的20%。其他80%包括常識(shí)和規(guī)范人員行為�。這才是更大的挑戰(zhàn)���。 更多的弊病減輕策略
NERC 和CSSWG 感謝美國(guó)政府能源部國(guó)家SCADA監(jiān)測(cè)中心(NSTB)發(fā)布的弊病減輕策略的最初版本����。今年下半年���,下一個(gè)版本將會(huì)發(fā)布����,增加對(duì)這些弊端詳細(xì)描述���。這里提到的弊病減輕策略的完全版本將會(huì)刊登在下面的網(wǎng)站上 www.esisac.com/library-cip-doc.htm
|
