与信息技术结合之后的控制系统安全.docVIP

与信息技术结合之后的控制系统安全 优先权和结果 在筹划安全性时，对IT的关注可以总结为CIA——支持机密性、准确性和有效性（当然不是中央情报局的意思）。 对于企业系统来说，这些优先权包括： 1. 机密性——不管怎样，要保护在服务器上的信息不丢失和泄漏； 2. 准确性——维持公司信息系统的精确度； 3. 有效性——网络服务器、邮件服务器或是台式电脑可以经受的住短时间断电。一些应用程序在非尖峰时刻取出不用，作为维护和备用使用。 对于一个工厂控制过程的实施系统来说，譬如电网和管道，优先权则是相反的： 1. 有效性——被控制的过程在本质上是连续的，在没有监控的条件下，有时会出现不稳定状态，在强电流和高压力的状态下可能会出现潜在的危险。批量处理可以运行数天，通常十分昂贵——例如，一个简单的批量在一个生物技术公司有可能价值几十万美元。所以，对于控制系统来说，有效性是优先权最高的。在很长一段时间里，它都必须24×7小时不间断工作。设计控制系统时，要在很多等级进行操作，并备有被本地控制器支持的冗余系统，当出现故障时，作为备用被安全停车系统启用。 2. 准确性——在控制系统上的信息是从传感器上自动收集的，而且往往很短暂。在下一个扫描周期内，数据往往会发生了变化。关键条件就是从传感器到控制计算机和从执行机构采集回的信号在传输过程中保证准确性和正确性。在SCADA系统中，这往往包括通过低速的串行连接进行传送。 3. 机密性——通常，在控制系统上传输的信息不是专有的，当然个别情况出外——例如，某些具有专利权的控制过程。 企业系统与控制系统最大的不同在于，控制系统直接与管道、电网和过程设备连接。一个安全漏洞往往会造成严重的后果，包括减少收入、环境污染、进程中断和对人身安全造成危险。 因为后果的严重性，控制系统操作人员和IT安全专家相互合作来保护控制网络安全就变的至关重要了。双方需要通力合作，努力了解这两个不同网络世界的相同和不同点。 IT人员的观点 IT安全人员被牵扯到控制系统安全里去，一方面是因为他们因为业务需要被考虑在内，或是他们了解到工厂有计划要安装一个控制系统安全产品。不管在那种情况下，IT人员的第一反应就是把它最为企业系统安全问题的扩展看待它。 因为他们所管理的网络的层次很多和也很复杂，IT人员通常会选择一些产品供应商，授权他们的一些产品，并应用于网络之中。他们没有时间和精力来考虑单个的环境。 IT人员把控制用计算机只当成一个其它的普通计算机，当进一步研究时，就会大吃一惊。把这两种系统同等对待往往会造成意想不到或是灾难性的后果。例如，在控制网络上进行端口扫描，就会造成类似于DOS攻击一样的影响。安装一个最新的补丁来修补一个安全漏洞将会导致控制应用失败或是迫使生产线停车。强制使用口令策略将可能在紧急情况下使操作工不能做出恰当即时的处理。 IT人员没有必要对这个全新的世界做到十分了解。 控制系统期望可以使用10年以上。一旦它们被测试和运行，在配置上进行任何改变是最不愿意看到的情况，因为它可能会导致系统故障。在一个已经高度校准的行业里，这样的改变往往会导致十分昂贵的再次校准过程。 在实时环境中连续工作的控制软件给操作系统带来很大的压力，需要大量的测试。因此，一个控制系统供应商往往不会全部支持所发布的每一个操作系统。直至最近，2004年年中，一些主要的DCS供应商也只是把他们的旗舰产品应用于Windows NT/SP1环境之下。 在这总环境之下，一个IT人员的简单操作，例如当发现一个漏洞时，想用最新的补丁即时更新所有的计算机是非常困难的，有时甚至是不可能实施的。反病毒扫描又是一例。运行AV软件将会使计算机运行速度变慢。如果这种影响已经干扰了控制功能或是明显的降低了HMI站的显示时间，这将是不允许发生的了（有效性比准确性和机密性更加重要）。 对于IT人员来说，另外一个比较意外的发现就是有各种各样的新设备要连接到控制网络。不管它们是可编程控制器（PLC），远程测控终端（RTU）或是分布式控制器——他们与企业网络中的设备是如此的不同。他们可能运行不同的操作系统，使用专有的通讯协议，具有有限的计算能力或许还会有未知的弱点。这些新来的设备都使用TCP/IP通讯，通常支持Telnet、FTP、访问端口和网路服务器，口令，有时还会设置到工厂默认值。 IT人员开始思考如何保护这种类型的环境的安全，是否可以把它排除在已经管理良好的企业网络之外。 控制人员的观点 从控制系统操作人员方面考虑，安全是维护控制系统准确性和有效性的重大课题——简而言之，要保持网络设备和控制计算机和控制软件在尖峰时刻操作的有效性。 操作人员已经限制了其它员工和预算来达到这个目标，他们最不能忍受的事情就是一种临界方案，只能解决一部分问题。因为安全问题