控制系統(tǒng)的信息安全保障

恐怖分子、黑客和可能存在心懷不滿的雇員的威脅，以及控制系統(tǒng)本身脆弱、易受攻擊的特點使我們必須對其安全保護給予足夠的關(guān)注。不應(yīng)該忽略加強控制系統(tǒng)安全保護的呼聲，這決不是杞人憂天！

全球各地的保險公司、律師、政府正日益關(guān)注制造業(yè)及重要基礎(chǔ)設(shè)施的計算機信息系統(tǒng)遭到“cyber”攻擊的可能性與危害性。同樣地，制造業(yè)和重要基礎(chǔ)行業(yè)（例如電力、供水和油氣）自身也開始廣泛關(guān)注工廠中關(guān)鍵的控制系統(tǒng)（DCS、PLC、SCADA系統(tǒng)、HMI和控制系統(tǒng)網(wǎng)絡(luò)）可能遭計算機攻擊的可能性。

人們現(xiàn)在更有理由擔心過程控制系統(tǒng)，因為傳統(tǒng)IT系統(tǒng)的潛在弱點目前已經(jīng)廣為人知，被大家了解。而過程控制系統(tǒng)的安全隱患廣泛存在、很多概念被錯誤理解，更多不安全性還未被意識到。其結(jié)果是：許多人忽然發(fā)現(xiàn)他們正面對著一種不確定的威脅，受到重創(chuàng)也許只是時間的問題。

在這些行業(yè)中只有極少數(shù)人已經(jīng)采取措施來減輕這種危險。事實上許多人所做的恰恰相反，他們使這種危險變得更為廣泛，更加不可捉摸。這也使大家感到困惑，是否災(zāi)難真的會降臨？于是有些人自己安慰自己：情況并不是真的那么糟糕，不必擔心。另外一些人則是抱著無能為力的態(tài)度消極等待，看災(zāi)難會在何時降臨、它會怎樣發(fā)生、結(jié)果有多糟糕。

也有少數(shù)人清楚地認識到了情況的嚴重性，他們已經(jīng)參照其他行業(yè)的做法設(shè)立了相應(yīng)的安全措施，確保過程控制系統(tǒng)可靠有效的運行。確?？刂葡到y(tǒng)設(shè)備的完整有效使用戶可以采取更加均衡的手段來預(yù)防事故、保證安全或進行事故后的恢復(fù)工作。

行業(yè)文化隔閡

一般來說，公司的IT部門了解信息安全相關(guān)知識并且有相應(yīng)的預(yù)算資金來處理此類問題，但是IT人員不了解過程控制系統(tǒng)。而負責操作和維護過程控制系統(tǒng)的人員對信息安全的了解以及可以應(yīng)用于此項目的預(yù)算資金都比IT部門要少得多。另外，技術(shù)和行業(yè)文化的不同也使兩者之間存在巨大差異：

●IT部門通常不能充分意識到控制系統(tǒng)需要每周7天，每天24小時長期運行的需要；
●IT部門也不能理解把IT技術(shù)和原則直接應(yīng)用在控制系統(tǒng)上可能帶來的問題；
●IT部門操作人員通常認為：系統(tǒng)可用性比安全性更重要。

當前的趨勢

與其他領(lǐng)域發(fā)生的情況完全一樣的是，許多工廠的控制系統(tǒng)遭遇過“cyber”事故，但是受害者不愿意公開這類信息，他們甚至不愿意承認發(fā)生過這種事情。不過我們還是從遍及全球的各種工廠中收集到許多關(guān)于控制系統(tǒng)安全事故的信息。經(jīng)過對這些不斷增加的信息進行客觀的甄別，去除虛假信息，我們可以了解到攻擊的種類、攻擊強度、所造成財政損失以及工廠做出的反應(yīng)等信息，還可以看出它們的變化趨勢。

在電力（包括輸配電、水力發(fā)電、火力發(fā)電、核電等）、供排水、石油/天然氣、化學、制造業(yè)等行業(yè)都發(fā)生過針對控制系統(tǒng)的信息安全事故。美國聯(lián)邦調(diào)查局正密切關(guān)注針對重要基礎(chǔ)設(shè)施的控制系統(tǒng)所發(fā)生的“刺探”和分析活動，最近此類事件正在不斷增加。在黑客們常去的Internet留言板“black hat”和“vulnerability”上，關(guān)于控制系統(tǒng)弱點的聊天交流也在不斷增加。

目前還沒有一份由獨立機構(gòu)完成的關(guān)于控制系統(tǒng)所受到計算機攻擊的精確統(tǒng)計報告，只是有幾個關(guān)于此類事件的“孤立”的數(shù)據(jù)庫，根據(jù)這種很有限的數(shù)據(jù)得出的統(tǒng)計結(jié)果是不可靠的。但是我們至少可以從中得出一個結(jié)論：與傳統(tǒng)IT行業(yè)所暴露出來的問題一樣，控制系統(tǒng)的信息安全事故也呈上升趨勢。（請參見圖1。）

圖1：在過去幾年里，惡意的和無意的信息系統(tǒng)攻擊/入侵事件增長非?？?；

從1998到2003年發(fā)生了310000起此類事件，對比1993到1997年度，只有10000起。

在一個具體公司中實際發(fā)生的針對控制系統(tǒng)的安全事故可以被劃分成3大類：（1）故意發(fā)起的黑客攻擊行為（如未經(jīng)授權(quán)進入機密電子文檔），破壞正常的系統(tǒng)運行（DoS-例如用超過系統(tǒng)負荷的大量通信數(shù)據(jù)使網(wǎng)絡(luò)系統(tǒng)癱瘓）或是欺騙活動（在發(fā)送出去的電子郵件中偽造發(fā)件人地址）；（2）由于計算機網(wǎng)絡(luò)“蠕蟲”(可自我復(fù)制但無危害)或是“病毒”造成的非故意的損害；（3）發(fā)生在內(nèi)部的無意中違反安全規(guī)定的行為，例如不恰當?shù)牟僮飨到y(tǒng)測試或是對控制系統(tǒng)的構(gòu)建考慮不周。在這三大類事件中，故意發(fā)起的黑客攻擊行為是最少發(fā)生的，但是它的破壞性最強，而且要求對整個控制系統(tǒng)和被控制對象有詳細深入的了解。因此最有可能的攻擊者就是心懷不滿的員工、前員工或是曾經(jīng)在這里工作過的人。

最有可能發(fā)生的是非故意的內(nèi)部事故，通常由于不恰當?shù)臏y試活動或是程序考慮不周而引起，由不熟悉控制系統(tǒng)的人來進行控制系統(tǒng)網(wǎng)絡(luò)的入侵測試就是典型的自己制造麻煩的例子。最普遍的是由Internet“病毒”和“蠕蟲”而引起的事故，它們一般是針對Microsoft Windows或是其他基本的IT結(jié)構(gòu)，而不是針對具體終端用戶的。由于絕大多數(shù)控制系統(tǒng)的人機界面軟件通常都運行在常用的商用操作系統(tǒng)上，因此這類DoS類型的事故正在不斷增加。這種事故會使控制系統(tǒng)趨向于不穩(wěn)定，很大程度上同控制系統(tǒng)所采用的操作平臺以及設(shè)備的具體規(guī)格、生產(chǎn)年份有關(guān)。最典型的現(xiàn)象是控制系統(tǒng)速度變得很慢、發(fā)生死機甚至自動關(guān)機。

商業(yè)案例

被攻擊的制造以及控制系統(tǒng)可能會危及公共安全和員工自身的安全，還會使公司失去社會的信任，違反規(guī)定的要求，丟失所擁有的機密信息，造成經(jīng)濟上的損失甚至危害國家安全。其中直接的經(jīng)濟損失來自以下幾個方面：

●控制系統(tǒng)的性能下降（例如性能變差，機會損失，不能達到規(guī)定要求等）；
●恢復(fù)系統(tǒng)需要額外的人力資源；
●造成客戶抱怨及法律糾紛，造成保險費用增加，帶來信譽損失等。

根據(jù)圖表的顯示，傳統(tǒng)IT系統(tǒng)受到“病毒”、“蠕蟲”和其他計算機攻擊的情況正在不斷增加，但是由于這些事件很少被報道，所以沒有一個統(tǒng)計數(shù)字來定量的顯示商業(yè)領(lǐng)域的狀況，操作管理者目前沒有一個定量的參考數(shù)字用來平衡信息安全要求和傳統(tǒng)操作維護的要求。

另外，許多電力行業(yè)人士認為失去電力供應(yīng)是造成重大經(jīng)濟損失的一個前提條件。然而KEMA針對曾受到信息系統(tǒng)攻擊（包括故意的攻擊、非故意的攻擊和“病毒”/“蠕蟲”的攻擊）的公司進行的一個研究顯示：在攻擊行為并未造成電力供應(yīng)中斷或是生產(chǎn)損失的情況下也能對受害公司造成巨大的經(jīng)濟損失。這些研究結(jié)果可以作為構(gòu)建信息安全保護系統(tǒng)的定量依據(jù)，可以用于包括缺陷評估、制訂控制系統(tǒng)防計算機攻擊原則以及應(yīng)用相應(yīng)IT技術(shù)的依據(jù)（例如設(shè)置合適的防火墻）。

行業(yè)反應(yīng)

控制系統(tǒng)的安全性正面臨巨大挑戰(zhàn)，是否情況已經(jīng)糟糕到絕望的程度？不必這樣悲觀！問題的關(guān)鍵是必須把控制系統(tǒng)專家包括到抵抗計算機攻擊的隊伍里來。

ISA和其他標準化組織都在積極制訂廣泛的標準來保護控制系統(tǒng)。ISA-SP99委員會由來自許多不同工業(yè)行業(yè)的控制系統(tǒng)專家組成，他們正在制訂新的標準、操作規(guī)程建議(工業(yè)標準)、技術(shù)報告和其他相關(guān)文件。這些可以用作制訂控制系統(tǒng)的電子安全防護程序的原則，也可以用作電子系統(tǒng)安全性能評估的依據(jù)。這些指導(dǎo)原則對設(shè)計、操作或是管理生產(chǎn)裝置和控制系統(tǒng)人員、系統(tǒng)集成商、安全保護行業(yè)人員以及控制系統(tǒng)生產(chǎn)/銷售商都是適用的。

當然，用戶必須針對不同的場合和不同的系統(tǒng)采取不同的措施。許多已經(jīng)執(zhí)行貫徹安全保護程序（有些僅僅是很初步的措施，例如在控制層增加防火墻）的生產(chǎn)商都反映說效果很好。

圖2：統(tǒng)計數(shù)據(jù)顯示因為內(nèi)部原因引起事故的可能性與受到外部攻擊造成事故的可能性同樣大。

建議

怎樣獲得成功？

1. 首先必須對自身環(huán)境的每一個主要危險區(qū)域作綜合性風險分析。你會發(fā)現(xiàn)，減小安全保護程序的覆蓋范圍是非常容易的事。如果你一開始時遺漏了某個重要因素，事后想要擴大安全保護程序的覆蓋范圍則是非常不容易的事。因此開始時做一個好的風險評估是非常重要的。

2. 其次必須作一個經(jīng)濟分析，這有助于公司采取成本合理的保護措施，確定是否危險已經(jīng)被減少到可接受的程度。

3. 必須貫徹執(zhí)行安全保護規(guī)定和相應(yīng)程序并且仔細選擇保護技術(shù)。歸根結(jié)底，安全是通過嚴格的程序來實現(xiàn)的，這不是一個高深的技術(shù)問題，許多安全事故都是可以通過加強操作紀律來避免的。嚴格、統(tǒng)一和高效的操作行為是降低風險的關(guān)鍵。這個理念必須在技術(shù)環(huán)節(jié)和執(zhí)行的環(huán)節(jié)都得到貫徹。

4. 必須不斷學習完善。各個標準化協(xié)會、行業(yè)組織都在不斷完善已有的系統(tǒng)安全保護標準、制定新的標準。包括ISA（儀表、系統(tǒng)及自動化協(xié)會）、NIST（美國國家標準和技術(shù)協(xié)會）、CIDX（化學工業(yè)數(shù)據(jù)交流中心）、IEC（國際工程師協(xié)會）、CIGRE（國際強電委員會）、NERC（北美電氣可靠性委員會）等，他們都出版了關(guān)于控制系統(tǒng)信息安全的標準。

ISA SP-99委員會組建于2002年，已經(jīng)出版了兩部技術(shù)報告，用戶可以通過ISA得到這些報告。其中ISA TR99.00.01報告介紹怎樣把公共安全防護技術(shù)應(yīng)用到過程控制系統(tǒng)上。ISA TR99.00.02是一部指導(dǎo)性的文件，它可以幫助用戶創(chuàng)建一個高效率的安全保護程序，提供用戶需要的原則和技術(shù)。ISA SP-99委員會已經(jīng)發(fā)起制訂一個關(guān)于制造和控制系統(tǒng)安全防護的總體的工業(yè)標準，邀請各方共同參與制定。ISA的努力方向主要集中在保護控制系統(tǒng)可以采用的技術(shù)上，可以提供建立、維護保護程序的方法，還可以提供手段用以評估保護程序面對各種控制環(huán)境時的效能。ISA SP-99的努力并不是只局限于特定工業(yè)領(lǐng)域，現(xiàn)在已經(jīng)有代表220家公司（包括了每種制造業(yè)和過程相關(guān)工業(yè)的大多數(shù)公司）的250個成員加入這項工作。

還有許多組織在進行相關(guān)的、很有幫助的活動。NIST過程控制安全論壇（PCSRF）正在制定關(guān)于現(xiàn)有的和新開發(fā)的控制系統(tǒng)的詳細的公用標準。ISA和PCSRF也在進行安全保護方面的合作?；瘜W工業(yè)數(shù)據(jù)交流中心（CIDX）正在致力于化學工業(yè)領(lǐng)域的控制系統(tǒng)安全保護工作，并且和ISA以及控制系統(tǒng)行業(yè)開展合作。

5. 在努力防止事故發(fā)生的同時，也需要注意控制系統(tǒng)遭到攻擊后的補救和恢復(fù)。因為多數(shù)事故都會對過程產(chǎn)生影響使其在一段時間里失去檢測能力，所以僅僅把注意力集中在防止事故發(fā)生上面是不夠的。還需要注意降低事故發(fā)生后造成的產(chǎn)品和過程損失，通過維護程序、質(zhì)量保證程序、風險管理程序和生產(chǎn)安全程序等來提高發(fā)現(xiàn)問題、補救事故、恢復(fù)系統(tǒng)的能力。

6. 如果本公司不具備必要的時間、人員、經(jīng)驗等條件，可以通過咨詢或是系統(tǒng)集成商取得幫助。

挑戰(zhàn)

在對付控制系統(tǒng)面臨的威脅面前，我們做得還遠遠不夠，還需要艱苦的努力才能夠使控制系統(tǒng)比較安全。這是否意味著狂風暴雨般的災(zāi)難正在降臨？我認為即使狂風暴雨還沒有降臨，至少天空已經(jīng)開始陰云密布了。目前的控制系統(tǒng)存在著很多隱患，工業(yè)界已經(jīng)出現(xiàn)了一些此類事故，出現(xiàn)更多事故的可能性很大。

不過并非所有的都是壞消息，如果工業(yè)界現(xiàn)在就及時采取相應(yīng)措施就可以顯著降低出現(xiàn)問題的風險。

●首先必須明確將會影響控制系統(tǒng)可靠性的諸多因素。
●采取周密的措施減少事故發(fā)生的可能性。
●把發(fā)生事故帶來的影響限制在盡量小的范圍里。
●采取措施使控制系統(tǒng)在發(fā)生事故后能夠盡快修復(fù)和恢復(fù)。

工業(yè)界已經(jīng)在努力了解所面臨的安全威脅，工程師們也已經(jīng)在致力于調(diào)整程序、規(guī)定，引入最新的技術(shù)手段來保護控制系統(tǒng)。

來源：CEC