SCADA和企业网络的分离.docVIP

SCADA和企业网络的分离 --保护集成的SCADA的安全 来源：automationIn recent years, utility companies have undergone great changes in the way they run their businesses. The pressure to increase profits and reduce expenses has them integrating their SCADA systems with their business networks to streamline operations. The popularity of the Internet has customers requesting online access to their accounts as well as online bill payment, further increasing network exposure. In addition, utility companies have reduced costs by leveraging the Internet to facilitate core business operations such as outage management and procurement. 近年来，许多公用事业公司在经营过程中经历了巨大的变化。开源节流的压力迫使他们把企业网和SCADA系统集成 为流水线。互联网的普及使得客户要求在线访问他们的账户以及在线支付账单，进一步扩大了网络的应用。此外，共用事业公司通过利用互联网促进核心业务（如储运损耗管理和采购）从而降低成本。2003年8月的大规模停电使公众更加关注故意停电的可能性。因此，北美电力可靠性协会（NERC）制定了《紧急行动标准1200》。这一行动的目的是为了确保所有负责北美大部分电力系统可靠性的实体能够鉴别和保护控制或可能影响大部分电力系统可靠性的关键网络设备。2004年，北美电力可靠性协会（NERC）发行了《紧急行动标准1200》的修正版，这份标准对控制区和可靠性协调员仍然具有强制性。所有的控制区和可靠性协调员必须填写并且提交相应区域的自我认证更新表格，以示在2005年第一季度的遵守程度或者与网络安全标准要求差异的程度。此外，全球恐怖主义让公众和媒体关心公用事业公司重要基础设施和SCADA系统的安全性。尽管公众有所恐慌，但是公用事业公司没有任何理由去放弃由集成SCADA系统和因特网优势带来的巨大利益。威胁可能是真实的，但幸运的是，保护SCADA系统的措施是相对容易实现的。或许，对公用事业公司构成最大危险是对更高安全性的需要程度缺乏一个认识。许多控制关键公用事业（如煤气，电力和水）的公有和私人公司从来没有想到他们会成为网络攻击的目标，而现在他们必须采取措施，提高网络安全。尽管有许多公用事业公司定期对他们的SCADA系统进行风险评估，但仍然有太多公用事业公司不做这方面的工作。他们依赖紧密集成的数字化信息系统，却没有充分认识网络攻击的潜在影响。按照惯例，SCADA系统是与其它系统隔离的，独立于其他网络 运行。在意识到可能的网络袭击之前，这种隔离似乎提供了所有SCADA系统所需要的保护。它们大多是专用系统，凭着有限的访问路径和复杂编码，极少人会有能力去访问从而发动攻击。然而,随着时间的推移,它们被集成到公司大的网络中，作为充分利用其有价值的数据、提高工厂效率的一个手段。保护你的SCADA网络第一步保护SCADA系统安全性的第一步是制定一个书面安全政策，作为保护企业网络的一个重要组成部分。政策的不到位使公司处于受攻击、收入损失和法律诉讼的不利地位之中。一个安全政策应是一个“活”的文件，而不是一成不变的硬性政策。管理团队需要描述出明确并且可理解的宗旨、目标、规则和正规的程序，以确定计划的整体状况和结构。关键人员（如高级管理人员、IT部门、人力资源和法律部门）都应被列入规划。它应包括以下主要内容：?那些受政策影响的角色和责任；?允许和禁止的活动和过程；?违反的后果。脆弱性评估准备书面安全政策的一个重要方面是在完成书面政策前进行脆弱性评估。脆弱性评估，一是为了确定伴随着有关SCADA的IT基础建设中各方面的潜在风险，二是为了确定基础建设不同方面的优先权。通常地，这会以一个等级制的方式出现，进而确定优先级别来解决对安全方面的忧虑并制定出与脆弱性各方面相关联的相关资金投入的水平。举例来说，在一个典型的SCADA环境中，重点项目和相关等级如下：?经营商工作站的可操作性；?实时数据的准确性；?系统配置数据的保护；?商务的联网；?历史数据的可