行业的见解
工业自动化和控制网络中的安全实现,第一部分
发布12/21/2011
作者:Kristin Lewotsky,特约编辑
有效的网络安全性需要利用网络分段,基于角色的控制和安全密钥的固件实现等技术。
随着每年通过的,运动控制系统变得更加联系。以太网IP,EtherCAT,PROFINET,PROFIBUS ......协议比比皆是,但它们都存在相同的挑战 - 用户如何利用连接的好处而不使他们的工业网络易受攻击?除非存在允许支持技术人员与机器通信,否则答案曾经拔掉电话线。今天,这个解决方案过于简单,太限制了。答案位于多管的方法中,首先通过系统架构一直在组件级别的完整。让我们仔细看看。
尽管大多数计算机用户都认为安全是理所当然的,但相当多的面向互联网的工业控制系统容易受到攻击。要想找到证据,只需看看Shodan.表面上由正义的安全专家公开漏洞,该网站允许任何人,包括恶意黑客、执行等多种搜索寻找与“密码”作为安全关键设备,或网络验证任何加密密钥的一定规模,不管什么内容。快速浏览一下这个站点,您会惊讶地发现入侵者可以在不知不觉中访问各种类型的系统。
终端用户在建立安全网络时要遵循的第一个步骤是与IT部门合作。然而,这个过程可能会产生冲突。机器可能需要服务水平协议,允许外部供应商通过Internet访问设备。同时,为了使系统尽可能的安全,IT部门可能想要隔离机器或工厂网络。ISA-99委员会正在为工业自动化和控制系统(IACSs)制定详细的标准。该委员会的联合主席埃里克·考斯曼(Eric Cosman)说:“现实情况是,这两件事都不令人满意。”“一个极端是开放的、无限制的导电性,因为这是企业控制成本和增加正常运行时间所需要的。与此同时,这也充满了危险。另一个极端是切断线路,不允许任何人连接任何东西,但这也行不通,所以安全的想法是如何找到一个平衡,管理风险和业务灵活性。”
组件级安全性
从组件制造商的角度来看,需要从一开始就建立在设备中的安全管理功能。这似乎是一个明显的要求,但它只是现在真正获得广泛的认可。随着业界从定制组件转移到商业现货(COTS)技术,系统设计师迅速利用整合速度和规模经济,但越来越慢地确定转变所需的风险。“我们可以通过搬到婴儿床更有效地运作,但我们需要了解我们正在引入一些额外的风险,”霍尼韦尔ACS实验室的工程师凯文·斯塔格斯说。“过去,我们可以把专有的系统放置系统在适当的地方,它的工作直到它死亡,基本上。现在我们正在使用需要严格的技术使他们保持安全,我们必须意识到威胁景观总是变化。我们不能再说2011年12月12日我们安装了系统,它是安全的,因为12月13日微软补丁出来时,系统突然不会像前一天一样安全。“
为获得最佳效果,供应商需要定义安全要求,并从一开始就有安全策略。这允许它们合并像最不特权的技术,这涉及设计设备,以便授权登录它的用户只能做一个特定的任务子集,而且还有更多。
密码应该设计在固件级别。它们应该是可更改的,理想情况下需要用户在启动时定义它们,而不是使用默认密码。当然,可更改的密码也会带来挑战。它们必须以某种方式存储在固件中,为了保护设备不受攻击,存储必须加密。
美国国家标准与技术研究所(U.S. National Institute of Standards and Technology)的吉姆·吉尔辛恩(Jim Gilsinn)将于2012年担任ISA-99委员会的联合主席,他说:“供应商和产品开发人员需要从一开始就遵循良好的安全规范,安全必须是一种内置的东西,而不是固定的东西。”事后在组件级应用安全性可能是不可能的。也许设备没有使用通用操作系统,或者性能影响会影响设备的运行。“你不可能真的把诺顿杀毒软件扔到PLC或I/O块或其他小型专用硬件设备上。你不能使用一些存在于IT世界的技术在这些层次上所以你要做的是尝试去满足你所尝试的精神。你必须找到另一种对这些组件有意义的方法。”
组件级安全风险的各个方面可能很微妙。例如,在网络上以明文通信的设备很容易被窃听。入侵者可以监视网络上的命令,解码它们的含义。更糟糕的是,他们可以通过拦截和更改发送到设备的命令,通过中间人攻击来修改它们。显然,安全实现需要超越组件。
通过网络细分管理风险
一些网络级安全解决方案(如防火墙)是显而易见的。当然,由于任何使用防火墙的人都知道,他们会引入延误。当您等待在家庭网络上打印页面时可能不是一个大的交易,但对于需要毫秒的响应时间的300瓶瓶封装线,防火墙引入的延迟类型可能是不可接受的。
该解决方案是分层模型,其将具有与类似性能要求和响应时间相似的设备进入单独的区域,该区域通常构成单个网段。例如,机器控制设备将构成一个区域和监督控制设备将进入不同区域的HMI。
“由于各种原因,我们将网络分段为区域,”Cosman说。“其中一个人可能是设备具有极低的性能容差,不能处理病毒保护等。编程/数据不会经常变化,我们可以使用其他方法非常紧密地控制对它的访问;therefore, we are going to put all of these devices under this set of restrictions into a zone and put a perimeter around and say, ‘We’re okay, we have reached an acceptable level of risk.’ Is it zero, no but it's an acceptable level of risk; there's no such thing as zero risk.”
模块化机械和工作单元赋予了这种方法。如果模块之间的操作不需要高度同步,则可以简化安全实现。“在造纸制造业和这样的事情上很多时候,他们将愚蠢的链接联合在一起,所以真的只有一种方式进出,”Gilsinn说。“你在行的开头有一个点和一个你必须保护的线条的结束以及它的其余部分可以保持相对不受影响。这样做实际上有助于限制你必须为安全处理的开销量。“
理想情况下,设备需要通过防火墙或通过非常严格的路由规则进行网络分离。使用正确的防火墙,系统管理员不仅可以管理到网络上的设备可以与哪些设备交谈,而是通过要求从用户寻求到达设备级网络的用户身份验证,谁可以与哪些设备交谈。
这会带来基于角色的访问权限。对于任何一个设备,许多具有特定任务的不同人都需要访问;例如,机器操作员,维护技术,系统管理员等设备设计人员必须清楚地定义对每个角色提供的访问,以便有效安全。是的,提供维护人员使用智能手机登录机器网络的能力,当禁区时,可以帮助降低停机时间和维护成本,但需要仔细处理。这个想法是维护技术人员或集成商必须登录系统以进行身份验证。一旦他们证明了他们的身份,他们就会给出一个只支持从他们的访问设备到制造网络的通信的访问隧道。隧道不会让它们进一步分支到网络中或进行额外的变化。
限制访问尤其重要,因为有时危险不是来自恶意攻击,而是来自合法的用户。“当你在过去10年开始看线看看网络事件时,他们的大多数都没有故意攻击,这只是人们可以做的事情,也许他们应该知道的事情比做更好,”Cosman说。这为安全性增加了一层新的挑战 - 不仅仅计划攻击但管理人为因素。今天,除了物理工具包之外,维护技术还可以在USB棒上有一个软件工具包,可以提高效率,也可以引入潜在的漏洞。“很多次,您的安全都集中在人们校对系统中,使人们能够轻松地完成工作权,更努力地对他们来说是错误的,”他补充道。“你可以拥有所在地的防火墙,网络分割 - 但如果该设备有USB端口,有人从他们的伙伴那里拿起一个受感染的USB棒,这一切都熄灭了窗外。”
就像顶层甚至家庭网络上的安全系统一样,车间网络安全是一个过程,而不是一个孤立的动作。在开始时不足以实现;它需要在机器的整个寿命中保持。防病毒软件需要更新;需要监视防火墙日志。在系统中引入的新组件需要集成到整体安全实施中。
最重要的是,需要解决安全问题。考斯曼说:“人们认为安全问题太复杂了。“我认为人们需要了解的信息是,安全是一门专业,就像很多专业一样,你可能不了解其中的细微差别,或者你可能认为它非常神秘,但这不能成为忽视它的理由,你不能这样做。”同时,这也是一个平衡的问题。“最终,你必须回到最基本的原则:安全第一,然后是可靠的操作,最后,你必须赚钱。”
在本文的第2部分中,我们将深入研究ISA-99标准,以及它如何为构建和实现安全的iacs提供框架。