工业自动化和控制网络中的安全实现，第一部分

阅读本文的第二部分

有效的网络安全需要利用网络细分、基于角色的控制和安全密钥的固件级实现等技术。

随着每次通过的，运动控制系统变得更加联系。以太网IP，EtherCAT，Profinet，Profibus ...协议比比皆是，但它们都存在相同的挑战 - 用户如何利用连接的好处而不使他们的工业网络易受攻击？除非存在允许支持技术人员与机器通信，否则答案曾经是拔掉电话线的拔出电话线。今天，这个解决方案太简单，太限制了。答案位于多管齐地的方法，它首先通过系统架构一直在组件级别的安全性。让我们仔细看看。

尽管大多数计算机用户都认为安全是理所当然的，但相当多的面向互联网的工业控制系统容易受到攻击。要想找到证据，只需看看Shodan．表面上由正义的安全专家公开漏洞,该网站允许任何人,包括恶意黑客、执行等多种搜索寻找与“密码”作为安全关键设备,或网络验证任何加密密钥的一定规模,不管什么内容。快速浏览一下这个站点，您会惊讶地发现入侵者可以在不知不觉中访问各种类型的系统。

终端用户在建立安全网络时要遵循的第一个步骤是与IT部门合作。然而，这个过程可能会产生冲突。机器可能需要服务水平协议，允许外部供应商通过Internet访问设备。同时，为了使系统尽可能的安全，IT部门可能想要隔离机器或工厂网络。ISA-99委员会正在为工业自动化和控制系统(IACSs)制定详细的标准。该委员会的联合主席埃里克·考斯曼(Eric Cosman)说:“现实情况是，这两件事都不令人满意。”“一个极端是开放的、无限制的导电性，因为这是企业控制成本和增加正常运行时间所需要的。与此同时，这也充满了危险。另一个极端是切断线路，不允许任何人连接任何东西，但这也行不通，所以安全的想法是如何找到一个平衡，管理风险和业务灵活性。”

组件级安全性
从组件制造商的角度来看，需要从一开始就建立在设备中的安全管理功能。这似乎是一个明显的要求，但它只是现在真正获得广泛的认可。随着业界从自定义组件转移到商业现货（COTS）技术，系统设计师很快就能利用整合速度和规模经济，但越来越慢地确定转变所需的风险。“我们可以通过搬到婴儿床来更有效地运作，但我们需要了解我们正在引入一些额外的风险，”霍尼韦尔ACS实验室的工程研究员凯文·斯塔格斯说。“过去，我们可以将专有的系统提供专有的系统在原地，它的工作直到它死亡，基本上。现在我们正在使用需要严格的技术来保持它们的安全，我们必须意识到威胁景观总是变化。我们不能刚刚在2011年12月12日开始，我们安装了系统并确保了安全的，因为12月13日微软补丁出来时，系统突然不会像前一天一样安全。“

为了获得最好的结果，供应商需要从一开始就定义安全需求并在脑海中有一个安全策略。这使得他们可以采用“最少特权”(least privilege)等技术，即设计一个设备，让被授权登录的用户只能完成特定的任务子集，仅此而已。

密码应该设计在固件级别。它们应该是可更改的，理想情况下需要用户在启动时定义它们，而不是使用默认密码。当然，可更改的密码也会带来挑战。它们必须以某种方式存储在固件中，为了保护设备不受攻击，存储必须加密。

美国国家标准与技术研究所（U.S.National Institute of Standards and Technology）的吉姆·吉尔辛（Jim Gilsinn）表示：“供应商和产品开发人员需要从一开始就遵循良好的安全实践。安全必须是您内置的，而不是固定的。”。事后在组件级别应用安全性可能是不可能的。可能设备不使用通用操作系统，或者性能影响会影响设备的运行。“你真的无法在PLC、I/O块或其他小型专用硬件设备上使用Norton antivirus。你无法在这些级别上使用IT世界中存在的一些技术，因此你必须尝试满足你正在尝试的精神。你必须找到另一种方法来实现这一点t这对于这些类型的组件是有意义的。”

组件级安全风险的各个方面可能很微妙。例如，在网络上以明文通信的设备很容易被窃听。入侵者可以监视网络上的命令，解码它们的含义。更糟糕的是，他们可以通过拦截和更改发送到设备的命令，通过中间人攻击来修改它们。显然，安全实现需要超越组件。

通过网络细分管理风险
一些网络级安全解决方案（如防火墙）是显而易见的。当然，正如曾经使用过防火墙的人知道，他们介绍了延误。当您等待在家庭网络上打印页面时，可能不是一个大的交易，但对于需要毫秒的响应时间的300瓶瓶分钟包装线，防火墙引入的延迟类型可能是不可接受的。

该解决方案是分层模型，其将具有与类似性能要求和响应时间相似的设备，进入单独的区域，该区域通常构成单个网段。例如，机器控制设备将构成一个区域和监督控制设备的HMI将进入不同的区域。

“由于各种原因，我们将网络分段为区域，”Cosman说。“其中一个可能是设备具有极其紧密的性能容差，不能处理病毒保护等。编程/数据不经常更改，我们可以使用其他方法非常紧密地控制对它的访问;therefore, we are going to put all of these devices under this set of restrictions into a zone and put a perimeter around and say, ‘We’re okay, we have reached an acceptable level of risk.’ Is it zero, no but it's an acceptable level of risk; there's no such thing as zero risk.”

模块化机械和工作单元赋予了这种方法。如果模块之间的操作不需要高度同步，可以简化安全实现。“在造纸制造业和这样的事情上很多时候，他们会一起嘲讽链接网络，所以真的只有一种方式进出，”Gilsinn说。“你在行的开头和一个地方有一个点您必须保护的线条的结束以及其余部分可以保持相对不受影响。这样做实际上有助于限制你必须为安全处理的开销量。“

理想情况下，设备需要通过防火墙或通过非常严格的路由规则进行网络分离。使用正确的防火墙，系统管理员不仅可以管理到网络上的设备可以与哪些设备进行通话，而是可以通过要求从用户寻求到达设备级网络的用户进行身份验证来交谈。

这就引出了基于角色访问的主题。对于任何一件设备，都需要许多不同的人执行特定的任务;例如，机器操作员、维护技术人员、系统管理员等。设备设计人员必须明确规定每个角色的权限，以保证有效的安全。是的，让维护人员能够在不在现场时使用智能手机登录机器网络，有助于减少停机时间和维护成本，但这需要谨慎处理。这个想法是，维护技术人员或集成商必须登录到系统中来验证他们的身份。一旦他们证明了自己的身份，他们将获得一个访问通道，只支持从他们的访问设备到制造网络的通信。这条隧道不允许他们进一步延伸到网络中，也不允许他们做出额外的改变。

考虑到有时危险并非来自恶意攻击，而是来自合法用户，限制访问尤为重要。考斯曼说:“当你开始审视过去10年的网络事件时，你会发现绝大多数都不是故意的攻击，只是人们做了一些他们本应该知道而不是应该做的事情。”这给安全增加了一层新的挑战——不仅是针对攻击的计划，而且还要管理人为因素。如今，除了物理工具包之外，维护技术人员可能还会在u盘上安装软件工具包，这可以提高效率，但也会引入潜在的漏洞。他补充说:“很多时候，你的安全重点是为系统提供人员防护，让人们更容易做好自己的工作，让他们更难做错。”“你可以在某个地方得到所有的保护——花哨的防火墙、网络分割——但如果设备上有USB端口，而有人从好友那里拿到了受感染的u盘，一切就都消失了。”

就像你的顶楼或家庭网络的安全系统一样，车间网络安全是一个过程，而不是一个孤立的行动。仅仅在一开始就实施它是不够的;在机器的整个使用寿命中，它都需要维护。防病毒软件需要更新;需要监控防火墙日志。引入系统的新组件需要集成到整体安全实现中。

最重要的是，需要解决安全问题。考斯曼说:“人们认为安全问题太复杂了。“我认为人们需要了解的信息是，安全是一门专业，就像很多专业一样，你可能不了解其中的细微差别，或者你可能认为它非常神秘，但这不能成为忽视它的理由，你不能这样做。”同时，这也是一个平衡的问题。“最终，你必须回到最基本的原则:安全第一，然后是可靠的操作，最后，你必须赚钱。”

在本文的第2部分中，我们将深入研究ISA-99标准，以及它如何为构建和实现安全的iacs提供框架。

阅读本文的第二部分