隨著新一年的到來，發電廠和大型電力企業對網絡安全的重視程度也邁上了一個新的臺階。NERC CIP（北美電力保障組織，關鍵基礎設施保護）條例的生效意味著電力供應和輸配電部門必須采取明確的安全防范措施，以確保持續供電。一旦有人違反了條例中的要求，就會被處以巨額罰款。

　　而許多行業外人士也正在密切關注電力行業的動態。他們期望自己的行業中也能夠出現類似的法規，而且是越早越好。在過去的一、兩年中，工業網絡安全經歷了迅猛的發展。大約一年前，美國中央情報局（CIA）的一份報告中記錄了這樣一起事件：一項勒索行動中，一部放置在海外的設備被網絡黑客成功破壞。嚴重黑客攻擊（如圖所示）的性質，已經從單純的娛樂，擴展到了犯罪、恐怖主義、甚至國家贊助的間諜活動。我們必須采取適當而有力的防御措施來應對黑客攻擊行為的不斷升級。

　　NERC CIP條例自2002年頒布以來，經常有人將其執行效果與那部在執行上充滿混亂的Sarbanes-Oxley (SOX) 法案相比較。艾默生電力和水力部門的SCADA及安全業務發展經理Eric Casteel承認，兩者在執行效果上有相似之處。他說：“SOX法案頒布之后，相關的指導很少而且對該法案的理解差異很大。NERC CIP標準頒布之后，情況也是如此。有些客戶正在走高質量線路，并希望采取最佳做法，以求在審查中獲得‘A’。而有些客戶則只想拿一個‘C’了事。更有些工廠的相關人員還會以‘我們不屬于關鍵資產’為理由進行搪塞。如果他們的工廠沒有停電啟動設施，同時也不是重要的兆瓦級發電站，那么他們就可能以此作為理由。但是從整體來看，一組電網的整體安全性僅等同于其中最薄弱部分的安全性。在這種情況下，標準條例監管機構會對這些企業下達強制命令：每個發電、傳輸和配送部門，不論是否屬于關鍵資產部門，都必須履行這些條例。”

　　黑客能夠以各種手段和動機闖入你的系統。他們的特征具有普遍性，但也有特別之處。

　　要抵御業余愛好者的入侵并不困難，但是若想抵御訓練有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。

　　從何入手？

　　如果你是從事電力或其他行業工作的，那么你應該如何在你的DCS（集散控制系統）、SCADA（監控與數據采集系統）、或其它工業控制網絡中實施基本的網絡安全措施呢？通常在一個項目開始之前，應該首先對當前的情況進行一次評估，尤其要對網絡中的所有設備做一次清查。你需要弄清楚設備是怎樣連接的，以及設備上運行著何種軟件。如果你希望找出黑客從外部進入系統的方式并建立起適當的屏障，那么這就是你要做的第一件事。

　　“用戶對他們系統的實際架構和連接方式的認識往往非常膚淺，”西門子能源與自動化集團過程自動化系統市場營銷經理Todd Stauffer說道，“很多設備通過直接或間接的方式連接到控制網絡中，而生產過程負責人幾乎無法控制它們。因此，相關人員首先要做的事情之一，就是確認系統的實際架構。應該說，實際架構很可能與他們想象中的大相徑庭。可以肯定的是，相關人員在確認系統架構的過程中幾乎總會發現意想不到的連接。”

　　艾默生過程管理的數據管理解決方案高級顧問David Rehbein，在Microsoft任職期間，從事了很多年網絡評估工作。他也認為進行評估是關鍵的第一步。 “在系統清查過程中，你可以發覺網絡上的每個IP地址，一些IP地址往往是在無人知曉的情況下悄然出現的。有些人連進網絡、在上面放了點東西，卻忘了告訴管理員(IT)。于是，你的系統上就有了一個非法客戶端或服務器。如果你對它的存在一無所知，那么你就無法知道它是否打了正確的安全補丁。你更無法知道它是否安全，有沒有運行查毒軟件。

　　了解你的連接

　　獨立的控制系統很容易保護，但這樣的系統已經很少存在了。如果管理員要了解工廠當前的情況，那么他獲取信息的最簡單方法就是查看控制系統。這樣的話，控制系統就要連接到公司的網絡中，而公司網絡毫無疑問是連接互聯網的。如果這類連接沒有得到很好的保護，那么就可能成為了一個主要的突破口。控制系統與公司網絡結合得越全面，潛在的突破口就越多。這就是所謂的攻擊面積。

　　Rehbein回顧了一個他在微軟工作時參與的項目：“我們一天就完成了第一次評估，因為那是一個非常簡單的連接。他們沒有把工廠網絡連接到其他地方，能夠進入該網絡的唯一方式是進到建筑內部。與這種情況形成鮮明對比的是：有些人希望和客戶或是位于瑞士的公司IT部門分享項目清單或者目前的生產水平。這就需要直接的互聯網連接，這也為其他任何人進入你的系統打開了方便之門。

　　出于商業目的的連接會可能會招來更多潛在的攻擊，這給操作人員和控制系統帶來了更多的壓力。霍尼韋爾過程解決方案開放系統服務的全球項目經理Shawn Gold擔心各企業正在失去自行處理問題的能力。日益依賴外部支持就意味著增加突破口。“任何與外部世界的連接都是有風險的，”他警告說，“但是為了獲得有幫助的服務和資源，你又必須連接到外部，這在當今的經濟環境下更是如此。你可能已經記錄了所有的連接，這是一件好事。但也會有潛在的未被記錄的連接，或為應對緊急情況而特設的連接，可能造成安全風險。因此你必須知道在緊急情況下該做些什么，以及在遇到困難時，如何保護自己。”

　　監控軟件

　　除了連接之外，你還需要知道網絡上有什么軟件。這一點至關重要的，主要的原因有兩個：一些軟件存在可以被黑客利用的漏洞；編寫不良的程序可能會引起內部問題。

　　“每次增加軟件的同時，你也增加了被攻擊范圍。” 霍尼韋爾過程解決方案的全球安全架構師Kevin Staggs建議道，“你安裝的一些不必要的軟件可能會與其他一些必要的控制軟件形成沖突，導致系統失靈。有些故障甚至是你無法看到的。有時候，軟件在編寫時的錯誤會造成內存溢出。我們發現一個反病毒系統補丁里有內存溢出，而運行該程序的控制系統在出現內存不足前大約能運行35天。到那時候，系統就會出現嚴重的減速或者顯示警告，而操作人員會不知所措。”

　　Staggs補充說，這些有問題的程序可以產生和黑客引入的惡意軟件同樣的后果。如果軟件沒有被你的控制系統供應商完全核實，那么就可能導致隱性沖突。他建議：“你應該遵循一個非常良好的變化執行過程。在你執行一個變化之前，務必先檢查其基本的性能；在執行變化之后，立刻再檢查一次，并觀察一段時間。如果你嚴謹到這種程度，應該就能夠偵測到任何可能發生的問題。”

　　當你了解了自己網絡的情況之后，如果出現了問題，你就會知道是否需要處理它了。西門子的Stauffer提到，白帽（white hat）組織發布了他們在公用軟件平臺上發現的漏洞，敦促供應商修正它們，并警告說：“他們沒有意識到，他們的這一舉動是在為系統添亂，當傳統系統的漏洞被公布在互聯網上供所有人瀏覽的時候，相關人員不得不去做那些他們原先不準備做的事情。這足以告訴黑客，對于一個給定的系統應該從何著手實施攻擊。你還打算通過隱藏漏洞以保證安全嗎？忘了它吧。你的系統弱點早已經被公布在網上了。”

　　咨詢你的供應商

　　你可以采取的一個最簡單方法，就是向最初為你打造系統的供應商進行咨詢。大多數公司會提供指導、案例研究、最佳做法以及根據積累的經驗得出的其他意見。

　　網絡安全還包含了許多方面，但在此處討論并不合適。人事政策，外部管理收購，實體安全，縱深防御等等，都會對網絡安全策略產生影響。許多組織和公司為工業系統提供了網絡安全資源。如果你希望對此作深入研究，那么最好看一下這篇文章的邊欄。你應該始終牢記，沒有解決一切的答案，也沒有絕對的安全。你能夠指望的最好情況是你的保護等級強于攻擊者的攻擊力度。

[page_break]

　　你的網絡安全實施資源

　　我們需要利用多種資源，或者說通過適當的縱深防御控制來“保障”過程控制系統的安全。譬如獲取管理支持，進行評估，確定風險因素，選擇修復方案，在獲取管理支持后對適當的技術、程序和安全意識作高效整合并開展培訓計劃。總之，請千萬記得獲取管理支持。

　　網絡安全的學習方式是多種多樣的，要根據具體的過程而定。但是，最佳出發點無疑是先回顧并深入理解以下內容：

　　1. NERC CIP（北美電力保障組織，關鍵基礎設施保護）條例：這套重要的網絡安全標準對大型電力系統組織有著深遠的影響。它還牽扯到其他涉及過程控制的領域，如航空、鐵路、廢水處理、天然氣、煉油、化工和制造業。因為這些領域在國際上也被公認是關鍵的基礎設施。NERC CIP是第一部具有制裁力的網絡安全標準。不符合該標準的情況一經發現，可能被處以高達每天100萬美元的罰款。由于該標準被界定為一套大型關鍵基礎設施保護標準，其他用到SCADA和DCS的領域也正在對它進行審核。NERC CIP標準可在www.nerc.com獲得。該標準需要結合具體的情況解釋執行，遵守標準的方式不止一種。

　　2. 美國愛達荷國家實驗室的國家SCADA系統試驗平臺和DHS控制系統安全計劃：這項計劃提供了許多關于安全意識、安全評估和安全架構方面的細節。它涉及的范圍非常廣泛，其中，我們特別推薦的一項是控制系統的網絡安全獲取語言，相應鏈接為：www.us-cert.gov/control_systems。這份文件將有助于你辨識哪些控制對于保護系統而言是必須的。

　　3. NIST SP 800-82（國家標準與技術學會特別出版）：這份新的文檔為保障工業控制系統安全提供了指導。最終版本即將在第三次也是最后一次公開討論期后推出。而討論的截止日期為2008年11月30日。你可以在csrc.nist.gov/publications下載最終版本的草案。

　　4. ISA 99：這個標準提供了建立和執行控制系統安全計劃的詳細說明。該標準的第4部分進一步說明了控制系統安全與傳統IT安全的不同之處。具體請訪問www.isa.org/isasp99。

　　5. 傳統的IT解決方案，譬如信息及相關技術的控制目標(CObIT)，ISO 27005和ISO 17799標準：許多現有的IT控制和安全框架能夠在工業控制系統環境內提供基本的操作。傳統IT業務系統和過程控制系統的連接往往要考慮到效率和成本控制。因此，最好的做法是對特定的IT和過程控制系統進行優勢互補。關鍵問題是如何劃定連接系統與獨立操作系統之間的界限？尋找這一答案對相關組織和行業來說無疑是個挑戰，卻有著特別的意義。www.isaca.org；www.iso.org。

　　許多組織為SCADA系統特別制定了標準，包括：ISA，ISO，IEC，API，AGA，ChemITC，DHS CSSP，PCSF，CIGRE，NSTB，IEEE，EPRI，I3P，NERC和NIST。Control Engineering將繼續通過其網絡安全博客，以實踐和應用的方式解讀這些標準，從而為解決所有基礎設施普遍面臨的安全挑戰助一臂之力。

　　縱深防御的一個關鍵參考

　　由David Kuipers和Mark Fabro撰寫的 《控制系統的網絡安全：縱深防御策略》（2006年5月）一文被看作是工業網絡安全方面的經典之作。Fabro是Lofty Perch總裁兼首席安全科學家，并曾經與美國DHS和INL（愛達荷國家實驗室）開展過廣泛的合作。關于撰寫這篇報告，他這樣說道：

　　“隨著DHS的控制系統安全計劃(CSSP)在私營部門密切開展，其中一個主要的想法是探討如何在以前獨立的大型系統內建立有效的網絡安全。考慮到其中一些‘專用’技術的‘年齡’和操作上的差別，我們無法用當代的網絡安全解決方案對它們進行合并。這些資產所有者和經營者已經告訴我們，諸如IDS(入侵檢測系統)和防火墻之類的措施在起到積極效果的同時，又不會對操作造成任何影響。資產所有者需要一種平衡的安全策略，既不會打亂他們的系統，又能夠減少網絡風險。”

　　 “縱深防御模型工作的理念是：針對控制架構中不同層次采用與其相適的安全水平等級，并將各層次的安全元素結合在一起構成一個全面的安全防御態勢。編寫這本實踐指南主要是為了指導讀者一些在控制系統環境中處理較常見的漏洞，以及如何部署適當的安全解決方案以幫助彌補這些漏洞。該計劃的目標是綜合CSSP收集的來自利益相關者的反饋，深入研究如何滿足他們的需求，并建立指導以備相關部門進行評估。最終的指導經過尋求它的利益相關者核實和審查，必定能夠產生非常積極的影響。目前，我們推薦的做法是對那些經過論證確實能對控制系統架構起到保護作用的方法作深入分析，盡量在提升安全性的同時不降低原有性能。”