工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

保護(hù)完整的SCADA系統(tǒng)

保護(hù)完整的SCADA系統(tǒng)

2008/5/14 10:18:00

引言         近幾年,公用事業(yè)公司在進(jìn)行他們的商務(wù)活動時,已經(jīng)經(jīng)歷了很多改變。增加收益和降低開支的壓力使他們把SCADA系統(tǒng)與商務(wù)網(wǎng)絡(luò)集成在一起進(jìn)行流線型操作?;ヂ?lián)網(wǎng)的流行使用戶要求他們可以對自己的帳戶進(jìn)行在線訪問,在線轉(zhuǎn)帳,進(jìn)一步增加網(wǎng)絡(luò)的暴露程度。另外,公共事業(yè)公司已經(jīng)通過使用互聯(lián)網(wǎng)使一些核心的商務(wù)操作,如故障的管理,更加便利。         2003年八月的大規(guī)模停電引起了公眾對于互聯(lián)網(wǎng)故障的關(guān)注。結(jié)果,北美電力可靠性委員會(NERC)生成了緊急行動標(biāo)準(zhǔn)1200,這個行動方案的目的就是保證所有的實(shí)體都要對北美的大規(guī)模電網(wǎng)系統(tǒng)做出反應(yīng),保護(hù)控制或是可能影響大規(guī)模電力系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)。2004年,NECR發(fā)行了一個續(xù)集和標(biāo)準(zhǔn)1200保持控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)的強(qiáng)制性。在2005年第一季度,所有的控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)必須要完成和提交適當(dāng)?shù)膮^(qū)域自我診斷更新表格,來顯示他們與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求符合或是不符合度。         另外全球的恐怖主義,已經(jīng)引起了公眾對于公共事業(yè)公司關(guān)鍵基礎(chǔ)設(shè)施和SCADA系統(tǒng)的關(guān)注。盡管公眾十分擔(dān)憂,但是公共事業(yè)公司也不會因此而拒絕集成SCADA和互聯(lián)網(wǎng)所帶來的好處。危險可能是真實(shí)存在的,但是,幸運(yùn)的是,保護(hù)SCADA系統(tǒng)的方法相對也是比較容易的。         也許,來自公共事業(yè)公司的最大的危險就是來自他們?nèi)狈Ω影踩谋Wo(hù)的關(guān)注。許多國有或是私有的企業(yè),控制著天然氣、能源、水等公共事業(yè),但是卻從來沒有想過他們就是網(wǎng)絡(luò)襲擊的目標(biāo),現(xiàn)在他們必須要采取有效的措施來保證網(wǎng)絡(luò)的安全了。雖然很多公共事業(yè)公司為他們SCADA系統(tǒng)提供了風(fēng)險評估機(jī)制,但是很多公司卻沒有。他們已經(jīng)越來越依賴緊密聯(lián)系的數(shù)字信息系統(tǒng),而沒有充分意識到網(wǎng)絡(luò)襲擊的潛在危害。         傳統(tǒng)意義上的SCADA系統(tǒng)是與其它系統(tǒng)隔離開的,他們在網(wǎng)絡(luò)上獨(dú)立操作。由于先前考慮到可能的攻擊,這樣看起來就為SCADA系統(tǒng)提供了所有必要的保護(hù)。具有這種有限訪問和很難破解密碼的通常是大型的專有系統(tǒng),這樣,幾乎沒有人可以隨意進(jìn)入其系統(tǒng)并進(jìn)行攻擊。但是時過境遷,他們現(xiàn)在已經(jīng)集成到公司的網(wǎng)絡(luò)系統(tǒng)當(dāng)中,可以使他們的數(shù)據(jù)在網(wǎng)絡(luò)上共享,增加了工廠效率。所以,現(xiàn)在的情況是,目前的SCADA網(wǎng)路的安全性網(wǎng)絡(luò)的安全性。 保護(hù)你的SCADA網(wǎng)絡(luò)         保護(hù)SCADA網(wǎng)絡(luò)的第一步就是生成一個書面的安全原則,這是保護(hù)整個網(wǎng)絡(luò)的重要組成部分。沒有一個適當(dāng)?shù)陌踩瓌t,就是使該公司處于網(wǎng)絡(luò)攻擊的危險地位、造成季度損失、甚是會導(dǎo)致法律訴訟。一個安全原則是一個動態(tài)而非靜態(tài)的文件,它不是一旦生成永不更改的。管理團(tuán)隊(duì)需要提出一個明確的、可理解的目的、目標(biāo)、規(guī)則和正式的流程來定義整個計(jì)劃的地位和構(gòu)架。         高級管理人員、IT部門、人力資源和一些合法的部門等這些關(guān)鍵的人員都應(yīng)該包含在這個計(jì)劃當(dāng)中。而且應(yīng)該包含以下幾個關(guān)鍵因素: ● 原則所涉及到的相關(guān)人員的角色和責(zé)任 ● 允許的和不允許的行為和進(jìn)程 ● 不遵從原則的后果 漏洞評估         準(zhǔn)備一個書面的原則之前,要進(jìn)行一個漏洞評估。漏洞評估的旨在明確兩點(diǎn),一是與SCADA相關(guān)的IT構(gòu)架的不同方面的潛在危險,二是這些不同構(gòu)架的優(yōu)先權(quán)。這通常以等級的形式表示出來,然后,這也排出了對安全的關(guān)注程度的優(yōu)先權(quán),以及不同漏洞區(qū)域的投資等級。 例如,在一個典型的SCADA系統(tǒng)中,一些關(guān)鍵詞和相關(guān)的等級如下: ● 操作員站的操作的有效性 ● 實(shí)時數(shù)據(jù)的準(zhǔn)確性 ● 系統(tǒng)配置數(shù)據(jù)的保護(hù) ● 與商業(yè)網(wǎng)絡(luò)的連接 ● 歷史數(shù)據(jù)的有效性 ● 臨時用戶站的有效性         一個漏洞評估系統(tǒng)執(zhí)行時類似一個理解一個系統(tǒng)是如何構(gòu)成的,威脅到系統(tǒng)的危險是如何生成的這樣一個確認(rèn)漏洞和缺點(diǎn)的機(jī)制。         為了成功的運(yùn)行一個漏洞評估機(jī)制,需要在物理上確認(rèn)所有的網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備,需要用到的軟件和網(wǎng)絡(luò)路由器。在進(jìn)行檢查之后,應(yīng)該隨網(wǎng)絡(luò)構(gòu)架生成一個清晰的結(jié)構(gòu)圖。 進(jìn)一步的安全方法         如前所述,SCADA系統(tǒng)以前是與其它網(wǎng)絡(luò)分開的,要進(jìn)行攻擊,只有在物理上穿越此系統(tǒng)。隨著公司網(wǎng)絡(luò)在電子上連接到了互聯(lián)網(wǎng)或是無線技術(shù),物理訪問對于網(wǎng)絡(luò)攻擊來說已經(jīng)不需要了。其中一個解決方法就是隔離SCADA網(wǎng)絡(luò),但是對于預(yù)算思想的操作來說,這不是一個實(shí)用的方法。這還會需要在遠(yuǎn)程地點(diǎn)的監(jiān)控工廠和遠(yuǎn)程終端單元。所以需要采用安全方法來保護(hù)網(wǎng)絡(luò),一些常見的方法可以應(yīng)用與本質(zhì)上屬于所有的SCADA的網(wǎng)絡(luò),例如那些以WAN形式出現(xiàn)的網(wǎng)絡(luò),或是又基于互聯(lián)網(wǎng)訪問要求的網(wǎng)絡(luò)。核心的因素包括: ● 網(wǎng)絡(luò)設(shè)計(jì) ● 防火墻 ● 虛擬專用網(wǎng)絡(luò) ● 隔離區(qū) 網(wǎng)絡(luò)設(shè)計(jì)——盡量保持簡潔         簡單的網(wǎng)絡(luò)比比較復(fù)雜的、相互連接的網(wǎng)絡(luò)危險要少。要保持網(wǎng)絡(luò)的簡潔性,更重要的是,從一開始就要有良好的構(gòu)架。         確保一個安全的網(wǎng)絡(luò)的關(guān)鍵因素就是控制接觸點(diǎn)的數(shù)目。接觸點(diǎn)應(yīng)該盡可能的少。雖然防火墻可以保護(hù)來自互聯(lián)網(wǎng)的訪問,但是很多現(xiàn)行的控制系統(tǒng)擁有自己的調(diào)制解調(diào)器,允許用戶在遠(yuǎn)程訪問系統(tǒng)進(jìn)行調(diào)試。這些調(diào)制解調(diào)器往往直接與子站的控制器相連。如果確實(shí)需要訪問點(diǎn),應(yīng)該是一個具有密碼保護(hù)的單點(diǎn),使得用戶的登錄行為可以成功。 防火墻         防火墻是裝在網(wǎng)關(guān)服務(wù)器上,保護(hù)專有網(wǎng)絡(luò)計(jì)算機(jī)資源的免受外部用戶攻擊的一套安全程序。防火墻與路由程序緊密配合工作,它可以檢查每個網(wǎng)絡(luò)信息包,判斷是否允許它傳遞到目的地。防火墻還會包含一個代理服務(wù)器或是與其工作,這就可以使網(wǎng)絡(luò)要求可以代表工作站用戶。防火墻通常安裝在特別設(shè)計(jì)的計(jì)算機(jī)上,與網(wǎng)絡(luò)的其它部分分開,所以,任何引入的信息都不可能直接進(jìn)入網(wǎng)絡(luò)資源。         在信息包交換的網(wǎng)絡(luò)中,例如,互聯(lián)網(wǎng),路由器是判斷一個網(wǎng)絡(luò)點(diǎn)是否是信息包的目的地的設(shè)備或是軟件。路由器最少連接到兩個網(wǎng)絡(luò)上,基于對它所連接的網(wǎng)絡(luò),以及他對網(wǎng)絡(luò)現(xiàn)狀的理解,來判斷每個信息包的傳送路徑。路由器安裝在網(wǎng)關(guān)上(兩個網(wǎng)絡(luò)的交匯處),包含互聯(lián)網(wǎng)上的每個點(diǎn)。路由器通??醋骶W(wǎng)絡(luò)交換機(jī)的一部分。         在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)上使用安全放火墻十分重要。作為公司網(wǎng)絡(luò)信息出入的單點(diǎn),防火墻可以很好的被監(jiān)控和保護(hù)。使用至少一臺防火墻和路由器把公司網(wǎng)絡(luò)和不屬于本公司的網(wǎng)絡(luò)隔離開十分必要。 在更大的站點(diǎn),需要保護(hù)控制系統(tǒng)免受SCADA網(wǎng)絡(luò)內(nèi)部的攻擊。在公司網(wǎng)絡(luò)和SCADA系統(tǒng)之間使用防火墻可以達(dá)到這個目的,并且也高度建議使用防火墻。 虛擬專有網(wǎng)絡(luò)(VPN)         現(xiàn)在更加復(fù)雜的網(wǎng)絡(luò)所面臨的一個主要的安全問題之一就是遠(yuǎn)程訪問。VPN是一個連接到遠(yuǎn)程SCADA網(wǎng)絡(luò)的安全方法。使用VPN,所有的數(shù)據(jù)在一定程度上是保密的,只對有限的人群開放,例如供應(yīng)商公司的員工。VPN是一個使用公用電纜把點(diǎn)連接起來的網(wǎng)絡(luò)。例如,有一些系統(tǒng)允許使用互聯(lián)網(wǎng)作為傳輸數(shù)據(jù)的媒質(zhì)來生成網(wǎng)絡(luò)。這些系統(tǒng)使用密碼技術(shù)和安全方法來保證只有授權(quán)用戶才可以訪問網(wǎng)絡(luò),并保證數(shù)據(jù)不被干擾?;诂F(xiàn)存的網(wǎng)絡(luò)構(gòu)架,使用一體化的數(shù)據(jù)密碼和隧道技術(shù),VPN提供了一個高水平的數(shù)據(jù)安全等級。一個典型的VPN服務(wù)器或者是作為防火墻的一部分或是作為一個獨(dú)立的設(shè)備安裝,外部人員進(jìn)入SCADA網(wǎng)絡(luò)之前要進(jìn)行驗(yàn)證。 IP安全(IPsec)        IP安全是互聯(lián)網(wǎng)工程任務(wù)組為了支持IP層安全的信息包交換而開發(fā)的一套協(xié)議。VPN已經(jīng)廣泛的應(yīng)用了IPsec。        IPsec可以在一個網(wǎng)絡(luò)范圍內(nèi)使用,提供計(jì)算機(jī)等級的認(rèn)證和數(shù)據(jù)加密。IPsec可以被用來把使用高度安全的L2TP/IPsec的遠(yuǎn)程網(wǎng)絡(luò)生成連接。        IPsec支持兩種加密模式:transport和tunnel。Transport加密只對每個信息包的一部分(有效載荷)進(jìn)行加密,不涉及報頭部分。更加安全的tunnel模式可以同時對報頭和有效載荷進(jìn)行加密。在接收方,IPsec兼容設(shè)備為每個信息包解碼。       為了IPsec有效工作,發(fā)送和接收方應(yīng)該共享相同的公鑰。這通過ISAKMP/Oakley(安全聯(lián)盟和密鑰交換協(xié)議),這就允許接收者可以得到公鑰,并對發(fā)送者進(jìn)行數(shù)字驗(yàn)證。        在網(wǎng)絡(luò)硬件,如路由器、交換機(jī)和網(wǎng)關(guān)的選擇階段,考慮到設(shè)備要支持IPsec來支持安全VPN連接的能力十分重要。 隔離區(qū)         隔離區(qū)是在信任區(qū)域(SCADA網(wǎng)絡(luò))和公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的緩沖區(qū)域,通過額外的防火墻和路由器分離開,為地址網(wǎng)絡(luò)攻擊提供了額外的安全層。使DMZ已經(jīng)成為把商務(wù)網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)分離開的越來越普遍的方法,是一種強(qiáng)烈建議使用的安全方法。 網(wǎng)絡(luò)和操作環(huán)境的安全         在處理SCADA構(gòu)架時,需要明白在與SCAD

投訴建議

提交

查看更多評論
其他資訊

查看更多

超越傳統(tǒng)直覺,MATLAB/Simulink助力重型機(jī)械的智能化轉(zhuǎn)型

新大陸自動識別精彩亮相2024華南國際工業(yè)博覽會

派拓網(wǎng)絡(luò)被Forrester評為XDR領(lǐng)域領(lǐng)導(dǎo)者

智能工控,存儲強(qiáng)基 | ??低晭砭手黝}演講

展會|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會