Shinya Akimoto,Kazuya Suzuki和Akiomi Monden介紹確保工業(yè)控制系統(tǒng)安全的最佳實踐方法,并且突出了需要考慮的特定工業(yè)控制系統(tǒng)關鍵特性。
工業(yè)控制系統(tǒng)(ICSs)的網(wǎng)絡安全在過去十年已經(jīng)越來越受到關注。正如經(jīng)常看到的報道,簡單的計算機病毒成功使控制系統(tǒng)失控,甚至導致工廠關閉。從Stuxnet蠕蟲第一次吸引世界的關注開始,人們對威脅的認識已經(jīng)逐步增加。因此,ICSs和工廠網(wǎng)絡成為網(wǎng)絡攻擊的目標是不足為奇的。
提出這一問題的另一個原因是ICSs和工廠網(wǎng)絡已經(jīng)變得與企業(yè)工作空間的IT系統(tǒng)幾乎沒有區(qū)別,使用類似的信息和通信技術。隨著物聯(lián)網(wǎng)和工業(yè)4.0的出現(xiàn),傳統(tǒng)意義上將工廠與外部世界分離,以及將內部網(wǎng)絡與互聯(lián)網(wǎng)分離的墻正在消失。雖然有些仍堅持既定的慣例,但連接到互聯(lián)網(wǎng)已不再是工廠車間的新奇事物。然而,這種發(fā)展在帶來好處的同時也存在缺點。
本文仔細分析了確保ICSs安全的建議和最佳實踐方法,并且突出了需要考慮特定 ICSs的關鍵特性。
“用設計確保安全”的方法
越來越意識到需要對ICS網(wǎng)絡安全進行改進,ICS供應商和原始設備制造商正努力在開發(fā)階段提高其產(chǎn)品的性能。他們正在運用推薦的技術實踐方法來分析威脅,掃描漏洞,并通過如模糊測試等方法來識別安全問題。這種“用設計確保安全”的方法旨在提供健全的產(chǎn)品,并且保證可接受的安全等級。
“用設計確保安全”的方法解決了整個產(chǎn)品的開發(fā)生命周期,延伸至產(chǎn)品架構,功能設計和基本技術水平。對于任何可能給一個公司及其員工或環(huán)境造成負面影響的應用程序,提供一個安全的ICS是至關重要的。除了解決已知漏洞,它還包括在發(fā)生安全事故后對生產(chǎn)操作和生產(chǎn)設施進行檢查。
遵循ICS網(wǎng)絡安全標準
國際自動化協(xié)會(ISA)支持“用設計確保安全”這一方法,并且已將其集成在ICS網(wǎng)絡安全標準中,如ISA/IEC 62443。為了推廣ICS網(wǎng)絡安全標準并鼓勵大家遵守,ISA安全合規(guī)性協(xié)會(ISCI)已經(jīng)確立ICS產(chǎn)品的ISASecure認證程序。同時,為了幫助最終用戶保護他們的ICS網(wǎng)絡,ISCI還提供已通過認證的ICS產(chǎn)品目錄,這些產(chǎn)品是在推薦的工業(yè)標準以及良好的實踐方法基礎上開發(fā)的。
網(wǎng)絡設計
ISA/IEC 62443是一套工業(yè)自動化與控制系統(tǒng)的網(wǎng)絡安全標準,它引入了在工廠網(wǎng)絡中部署ICS組件的“分區(qū)與管道”策略設計原則。這需要把ICS網(wǎng)絡分割成子網(wǎng)絡,其組件都要遵循相同的安全策略;還需要實施訪問控制,只允許相鄰子網(wǎng)絡間進行必要的通信。
這種方法可提高ICS的整體安全性,并且增強ICS安全運行與管理的可見性。例如,一個工廠網(wǎng)絡可劃分為三個區(qū)域,一個用于過程控制和管理監(jiān)測系統(tǒng),一個用于MES和運行管理系統(tǒng),一個用于生產(chǎn)設備和現(xiàn)場裝置的維護與管理。每個區(qū)域應滿足其特定的安全要求。每個區(qū)域的安全措施應該有所不同。如果有條件應考慮更進一步的安全控制措施,如限制特定區(qū)域的物理訪問。
ICS安全生命周期
ISA/IEC 62443假定工廠所有者和經(jīng)營者將在自己的組織目標基礎上建立并實施安全管理體系。另一方面,供應商和服務供應商需要考慮如何最好地支持其客戶所開發(fā)的安全管理系統(tǒng)。由于外部環(huán)境的變化,系統(tǒng)安全性往往隨著時間而降低,這將拉開實際安全等級與所需安全等級間的差距。例如,新發(fā)現(xiàn)的軟件漏洞,安全控制的修改不當或者針對控制系統(tǒng)的網(wǎng)絡攻擊都會影響安全等級。除了監(jiān)測和維護所有已部署的安全控制,還有必要評估所有安全程序來識別那些沒有執(zhí)行的所需安全等級。橫河已將此安全生命周期的概念應用到其服務模式中,并提供服務組合以確保客戶的控制系統(tǒng)與運行長時間安全。
通過對產(chǎn)品研發(fā),工程設計以及售后維修實施適當?shù)陌踩刂疲瑱M河解決了控制系統(tǒng)整個生命周期內的網(wǎng)絡安全風險。
ICSs固有安全性分析
“用設計確保安全”的安全ICS產(chǎn)品提供了構建ICSs和網(wǎng)絡的合適途徑,保證了一定的安全等級以滿足特定任務和環(huán)境的固有安全要求。這類似于儀器儀表領域通常采用的防爆設計的內在安全方法,例如減少驅動位于爆炸危險區(qū)域內裝置的能源量,從而消除潛在火源。同樣的,提高軟件和硬件設計來縮小攻擊的空間,限制任何攻擊可能導致的后果,以及增強系統(tǒng)抵御攻擊的能力都有助于ICS和網(wǎng)絡安全。
值得一提的是安全性的兩個目標:完整性和可用性。這就是固有安全方法的基本要求。當他們受損時會對ICS的功能及其處理的所有數(shù)據(jù)造成顯著影響。如果不能保持健康和可靠,ICS和網(wǎng)絡是沒有任何用處的。
在ICS網(wǎng)絡安全成為被廣泛關注的問題之前,ICS供應商就一直特別關注系統(tǒng)可靠性,他們集成并采用許多技術來確保這些關鍵任務系統(tǒng)的功能和數(shù)據(jù)。雖然很大程度上被設計來防止偶爾的硬件故障,而非網(wǎng)絡攻擊,但它們進行實時檢測以及在不危及運行過程的情況下進行同步回收的能力為如何設計出能應對網(wǎng)絡安全威脅的ICS提供了線索。
糾錯碼(ECC)內存長期以來被用于存儲數(shù)據(jù)。它是保證數(shù)據(jù)“飛行”完整性的一種常用途徑,無論必須存儲多長時間。當數(shù)據(jù)被加載到內存中,ECC電路會增加一個可用于檢測和恢復損壞數(shù)據(jù)的校驗碼。一旦發(fā)生數(shù)據(jù)損壞就會被檢測到,在處理數(shù)據(jù)的同時數(shù)據(jù)恢復被立即執(zhí)行。以往控制過程的關鍵任務分布式控制系統(tǒng)擁有這一高端內存技術。
對于任何網(wǎng)絡安全系統(tǒng)而言,檢測是成功的關鍵。橫河已開發(fā)出一個非常先進的網(wǎng)絡監(jiān)控系統(tǒng),它結合了可視化技術來幫助最終用戶在需要執(zhí)行糾錯操作時做出有效反應。在單個數(shù)據(jù)包層級,該系統(tǒng)追蹤ICS網(wǎng)絡中的所有通信流,然后生成計算機圖形圖像,使操作員能夠立即發(fā)現(xiàn)和檢測到任何未知的通信流。
結論
一個精心設計的ICS產(chǎn)品無法保證完全抵御安全威脅。我們極力推薦全面的ICS安全程序。通過融入安全網(wǎng)絡的設計原則和生命周期的安全方法,ICS產(chǎn)品能確保對任何安全威脅做出有力的回應。
無論物聯(lián)網(wǎng)或工業(yè)4.0會帶來多大變化,總是需要標準來指導選擇被證明的、強大的ICS產(chǎn)品,還包括所需安全控制的設計與實施,產(chǎn)品的更新?lián)Q代,監(jiān)測可能導致安全事件的微觀異常,以及組織審計以驗證已部署的安全程序運轉是否正常。
對安全事件做出及時響應并實現(xiàn)快速而平穩(wěn)的恢復是ICS網(wǎng)絡安全的重要方面。從業(yè)務連續(xù)性和企業(yè)安全管理的角度來看,這就更為重要了。安全控制的監(jiān)控和定期的安全審計已被公認對安全管理貢獻巨大。在使用最新信息與通信技術不斷增強ICSs和工廠網(wǎng)絡的同時,一套安全監(jiān)控系統(tǒng)必須成為重中之重。不難想象這樣一個系統(tǒng)能在固有安全管理與運營中起到的有效作用。
在ICS產(chǎn)品中嵌入安全性是一個實現(xiàn)安全管理的有效而低成本的方法。以此為理念,橫河一直在研發(fā)強大的產(chǎn)品,持續(xù)為市場提供安全的、一流ICS產(chǎn)品,還提供支持服務來幫助最終用戶加強其安全管理。
Shinya Akimoto是橫河電機公司網(wǎng)絡安全部解決方案工程師;Kazuya Suzuki博士是橫河電機公司高級系統(tǒng)架構師;Akiomi Monden是橫河電機公司IT基礎設施部主管。
