电力工业的网络安全示范
【摘要】北美电力可靠性协会发布的关键基础设施保护(NERC CIP)规章第二版今年进入强制执行。其中包含了各种各样的工厂和SCADA系统的示范。 国际化的经济贸易对持续、可靠的电力供应的依赖已经到达了无以复加的地步。互联网促进了贸易的全球化,深深融入了现代社会,而它对于电力的依赖最明显不过。矛盾的是,正是这种互联的能力,为电力的持续供应制造了弱点,它使电力行业的关键设备的安全性提升到一个极其重要的地位。具有拨号或者IP连接的设备——包括HMI和其他控制系统——在今年的新规则中成为减轻威胁的突破口。 从2009年6月30日起,所有大型电力系统中的高压电力传输和配电(T&D)从业人员必须符合北美电力可靠性委员会的网络安全标准(NERC CIP)。而且他们必须开始着手收集并记录数据,在2010年7月之前达到要求。发电站业主和从业人员的时间期限在6个月之后。对于北美电力设备关键网络资产(CCAs)的保护,这是一个里程碑。对于其他工业也具有借鉴意义。 总体来说,NERC CIP规章促使从业人员去:充分定义CCAs;开发安全管理控制设备;对工作人员进行培训;强制执行监测和预防措施;建立应对方案、通知体系和恢复机制。 在标准趋于完善之前,对标准的解释和理解还需付出很大努力。同时,残酷的现状仍将持续,地方可靠性委员会的检查评估,将对不符合项目处以每天1百万美元的罚款。然而,毋庸置疑的是,这对SCADA、HMIs以及其他设备控制系统的影响将极为深远。 公司的高级知识工程师Eric Knight为授权的登陆行为提供了软件解决方案,他说道:“负责SCADA系统的任何人都需要自省,一旦有人入侵系统,他们该如何应对。
“操作人员必须知道,需要防护的不仅仅是技术本身。”——Walter Sikora,Industrial Defender 网络保护解决方案提供商Industrial Defender公司副总裁Walter Sikora说道:“操作人员必须知道,需要防护的不仅仅是技术本身,有很多人为因素涉及其中。NERC CIP规则有效地涉及了所有方面——从操作到人力资源、维护、获取和法律。你需要明白,符合并不是一个终极目标,而是一个永不停滞的过程。”
控制系统安全问题的潜在后果是可怕的。休斯敦一家基础设施顾问公司Dyonyx的副总裁Ron Blume说道:“一旦某个人能够入侵公用设备供应商的控制系统,他们就可以使电网瘫痪。” 除了强大的物理安全防范措施(例如紧锁的控制室)和电子安全防范措施(例如防火墙、查毒和防毒软件),操作人员必须具有备案的安全管理控制策略和流程,以及对CCAs访问的强大的安保、监控和控制方法。
“每个责任实体都必须开始构建良好的网络策略。在此之前,这项要求只存在于IT领域内。”——Roger Pan, Emerson Process Management 艾默生过程管理公司Ovation Security 项目经理Roger Pan说道:“每个责任实体都必须开始构建良好的网络策略。在此之前,这项要求只存在于IT领域内。虽然这很让人讨厌,但确实有用。” 归根结底,我们的目的是降低威胁等级。Blume说道:“风险等式等于威胁因子乘以攻击可能性。你必须假设你将会受到攻击,如果你不具备防火墙,风险就很高。但是一旦你具有多层防护措施,而且具有DMZ(隔离区,也叫数据管理区),哪怕威胁等级很高,风险也是很低的。” “你也可以通过降低网络透明度来降低威胁等级。如果有开放的未使用端口,那么你就增加了风险等级。” 安全终端设备公司Lumension的安全和法政分析师Paul Henry说道。今天,几乎所有运行SCADA系统的服务器都具有USB接口,闪存驱动器已经变得很普及。Henry补充道:“因此,对于接入服务器的设备必须有强大的策略支持。”
NERC CIP 可靠性标准CIP-005要求所有的关键网络资产、包括SCADA,处于电子安全防范的保护(ESP)下。对ESP的访问受到安全地控制和监督。 访问必须严格监督、识别和控制。一家网络安全顾问公司Encari的合伙人Matt Luallen说道:“过去,识别仅仅基于对员工可靠的信任。而且一旦你收到了来自网路的通讯,要求执行程序,你只能相信它来源可靠。” 虽然Windows提供了一定程度的访问控制,但是你必须跳过简单的基于Windows的密码控制,着眼于更远。Schneider Electric公司的商业开发经理Todd Davis说道:“基于组织的组成和结构,你必须决定你到底想要做到何种细分程度。如果控制室里有多个操作人员,每个操作人员具有不同的授权级别,你是希望通过在工作站级别对其进行控制,还是通过屏幕进行控制,或者甚至更细致,在每个HMI的屏幕上进行对象级别控制。大多数SCADA系统都能够完成以上多种级别的控制,系统管理员要做的就是将其落实。” 另外,Davis说道,管理员可能会希望增加三重识别,包括密码、个人信息以及某种生物学特征识别——增加这些需要100美元的费用。 Lumension公司的Henry也赞同“最少特权规则。简单来说,系统中任何用户都应该满足最低的授权,才可以进行工作。”然而,访问授权也必须考虑维护人员、工程服务人员和供应商的技术支持人员。所有这些人员应该经由姓名识别,而不是工作等级,HR必须确保他们都经过了培训并且通过了背景核查。 系统维护、维修管理和设置变动也在安全考虑的范畴内,包括SCADA和HMIs。很多变电站设备从来都不需要联网,也不具备真正意义上的TCP/IP故障检查能力,所以一旦某人运行系统扫描,就有可能造成系统网络崩溃。所以投运前维修和停机后维修以及设置测试也需经过授权,以确保安全性,进而满足要求。 Digital Bond(一家控制系统安全研究和咨询机构)公司总裁Dale Peterson说道,虽然对标准的依从并不如人愿,但是它仍将按时到来。“就像萨班斯法案一样,它需要时间证明自己。然而,重要的是,你的不懈努力最终不会辜负你的决定。” 工业网络产品供应商GarrettCom的执行副总裁John Shaw将NERC CIP精简为一套方法的集合。“确定所有那些将会影响操作的关键网络资产,然后确定谁会触及这些资产。关闭所有不必要的开放端口。对授权用户保持跟踪。保存日志,跟踪所有记录。” Shaw补充道:“是否符合取决于你的安全决定的记录,以及整个网路安全性的状态。理论上,如果你不符合,你每天就会被处以1百万美元的罚款。这笔数额足以引起任何公司的重视。”来源:作者:Frank O Smith, Control Engineering
控制系统安全问题的潜在后果是可怕的。休斯敦一家基础设施顾问公司Dyonyx的副总裁Ron Blume说道:“一旦某个人能够入侵公用设备供应商的控制系统,他们就可以使电网瘫痪。” 除了强大的物理安全防范措施(例如紧锁的控制室)和电子安全防范措施(例如防火墙、查毒和防毒软件),操作人员必须具有备案的安全管理控制策略和流程,以及对CCAs访问的强大的安保、监控和控制方法。
我要收藏
个赞
评论排行