控制系統(tǒng)的信息安全保障

恐怖分子、黑客和可能存在心懷不滿的雇員的威脅，以及控制系統(tǒng)本身脆弱、易受攻擊的特點使我們必須對其安全保護給予足夠的關注。不應該忽略加強控制系統(tǒng)安全保護的呼聲，這決不是杞人憂天！

全球各地的保險公司、律師、政府正日益關注制造業(yè)及重要基礎設施的計算機信息系統(tǒng)遭到“cyber”攻擊的可能性與危害性。同樣地，制造業(yè)和重要基礎行業(yè)（例如電力、供水和油氣）自身也開始廣泛關注工廠中關鍵的控制系統(tǒng)（DCS、PLC、SCADA系統(tǒng)、HMI和控制系統(tǒng)網絡）可能遭計算機攻擊的可能性。

人們現(xiàn)在更有理由擔心過程控制系統(tǒng)，因為傳統(tǒng)IT系統(tǒng)的潛在弱點目前已經廣為人知，被大家了解。而過程控制系統(tǒng)的安全隱患廣泛存在、很多概念被錯誤理解，更多不安全性還未被意識到。其結果是：許多人忽然發(fā)現(xiàn)他們正面對著一種不確定的威脅，受到重創(chuàng)也許只是時間的問題。

在這些行業(yè)中只有極少數(shù)人已經采取措施來減輕這種危險。事實上許多人所做的恰恰相反，他們使這種危險變得更為廣泛，更加不可捉摸。這也使大家感到困惑，是否災難真的會降臨？于是有些人自己安慰自己：情況并不是真的那么糟糕，不必擔心。另外一些人則是抱著無能為力的態(tài)度消極等待，看災難會在何時降臨、它會怎樣發(fā)生、結果有多糟糕。

也有少數(shù)人清楚地認識到了情況的嚴重性，他們已經參照其他行業(yè)的做法設立了相應的安全措施，確保過程控制系統(tǒng)可靠有效的運行。確?？刂葡到y(tǒng)設備的完整有效使用戶可以采取更加均衡的手段來預防事故、保證安全或進行事故后的恢復工作。

行業(yè)文化隔閡

一般來說，公司的IT部門了解信息安全相關知識并且有相應的預算資金來處理此類問題，但是IT人員不了解過程控制系統(tǒng)。而負責操作和維護過程控制系統(tǒng)的人員對信息安全的了解以及可以應用于此項目的預算資金都比IT部門要少得多。另外，技術和行業(yè)文化的不同也使兩者之間存在巨大差異：

●IT部門通常不能充分意識到控制系統(tǒng)需要每周7天，每天24小時長期運行的需要；
●IT部門也不能理解把IT技術和原則直接應用在控制系統(tǒng)上可能帶來的問題；
●IT部門操作人員通常認為：系統(tǒng)可用性比安全性更重要。

當前的趨勢

與其他領域發(fā)生的情況完全一樣的是，許多工廠的控制系統(tǒng)遭遇過“cyber”事故，但是受害者不愿意公開這類信息，他們甚至不愿意承認發(fā)生過這種事情。不過我們還是從遍及全球的各種工廠中收集到許多關于控制系統(tǒng)安全事故的信息。經過對這些不斷增加的信息進行客觀的甄別，去除虛假信息，我們可以了解到攻擊的種類、攻擊強度、所造成財政損失以及工廠做出的反應等信息，還可以看出它們的變化趨勢。

在電力（包括輸配電、水力發(fā)電、火力發(fā)電、核電等）、供排水、石油/天然氣、化學、制造業(yè)等行業(yè)都發(fā)生過針對控制系統(tǒng)的信息安全事故。美國聯(lián)邦調查局正密切關注針對重要基礎設施的控制系統(tǒng)所發(fā)生的“刺探”和分析活動，最近此類事件正在不斷增加。在黑客們常去的Internet留言板“black hat”和“vulnerability”上，關于控制系統(tǒng)弱點的聊天交流也在不斷增加。

目前還沒有一份由獨立機構完成的關于控制系統(tǒng)所受到計算機攻擊的精確統(tǒng)計報告，只是有幾個關于此類事件的“孤立”的數(shù)據(jù)庫，根據(jù)這種很有限的數(shù)據(jù)得出的統(tǒng)計結果是不可靠的。但是我們至少可以從中得出一個結論：與傳統(tǒng)IT行業(yè)所暴露出來的問題一樣，控制系統(tǒng)的信息安全事故也呈上升趨勢。（請參見圖1。）

圖1：在過去幾年里，惡意的和無意的信息系統(tǒng)攻擊/入侵事件增長非?？欤?/P>

從1998到2003年發(fā)生了310000起此類事件，對比1993到1997年度，只有10000起。

在一個具體公司中實際發(fā)生的針對控制系統(tǒng)的安全事故可以被劃分成3大類：（1）故意發(fā)起的黑客攻擊行為（如未經授權進入機密電子文檔），破壞正常的系統(tǒng)運行（DoS-例如用超過系統(tǒng)負荷的大量通信數(shù)據(jù)使網絡系統(tǒng)癱瘓）或是欺騙活動（在發(fā)送出去的電子郵件中偽造發(fā)件人地址）；（2）由于計算機網絡“蠕蟲”(可自我復制但無危害)或是“病毒”造成的非故意的損害；（3）發(fā)生在內部的無意中違反安全規(guī)定的行為，例如不恰當?shù)牟僮飨到y(tǒng)測試或是對控制系統(tǒng)的構建考慮不周。在這三大類事件中，故意發(fā)起的黑客攻擊行為是最少發(fā)生的，但是它的破壞性最強，而且要求對整個控制系統(tǒng)和被控制對象有詳細深入的了解。因此最有可能的攻擊者就是心懷不滿的員工、前員工或是曾經在這里工作過的人。

最有可能發(fā)生的是非故意的內部事故，通常由于不恰當?shù)臏y試活動或是程序考慮不周而引起，由不熟悉控制系統(tǒng)的人來進行控制系統(tǒng)網絡的入侵測試就是典型的自己制造麻煩的例子。最普遍的是由Internet“病毒”和“蠕蟲”而引起的事故，它們一般是針對Microsoft Windows或是其他基本的IT結構，而不是針對具體終端用戶的。由于絕大多數(shù)控制系統(tǒng)的人機界面軟件通常都運行在常用的商用操作系統(tǒng)上，因此這類DoS類型的事故正在不斷增加。這種事故會使控制系統(tǒng)趨向于不穩(wěn)定，很大程度上同控制系統(tǒng)所采用的操作平臺以及設備的具體規(guī)格、生產年份有關。最典型的現(xiàn)象是控制系統(tǒng)速度變得很慢、發(fā)生死機甚至自動關機。

商業(yè)案例

被攻擊的制造以及控制系統(tǒng)可能會危及公共安全和員工自身的安全，還會使公司失去社會的信任，違反規(guī)定的要求，丟失所擁有的機密信息，造成經濟上的損失甚至危害國家安全。其中直接的經濟損失來自以下幾個方面：

●控制系統(tǒng)的性能下降（例如性能變差，機會損失，不能達到規(guī)定要求等）；
●恢復系統(tǒng)需要額外的人力資源；
●造成客戶抱怨及法律糾紛，造成保險費用增加，帶來信譽損失等。

根據(jù)圖表的顯示，傳統(tǒng)IT系統(tǒng)受到“病毒”、“蠕蟲”和其他計算機攻擊的情況正在不斷增加，但是由于這些事件很少被報道，所以沒有一個統(tǒng)計數(shù)字來定量的顯示商業(yè)領域的狀況，操作管理者目前沒有一個定量的參考數(shù)字用來平衡信息安全要求和傳統(tǒng)操作維護的要求。

另外，許多電力行業(yè)人士認為失去電力供應是造成重大經濟損失的一個前提條件。然而KEMA針對曾受到信息系統(tǒng)攻擊（包括故意的攻擊、非故意的攻擊和“病毒”/“蠕蟲”的攻擊）的公司進行的一個研究顯示：在攻擊行為并未造成電力供應中斷或是生產損失的情況下也能對受害公司造成巨大的經濟損失。這些研究結果可以作為構建信息安全保護系統(tǒng)的定量依據(jù)，可以用于包括缺陷評估、制訂控制系統(tǒng)防計算機攻擊原則以及應用相應IT技術的依據(jù)（例如設置合適的防火墻）。

行業(yè)反應

控制系統(tǒng)的安全性正面臨巨大挑戰(zhàn)，是否情況已經糟糕到絕望的程度？不必這樣悲觀！問題的關鍵是必須把控制系統(tǒng)專家包括到抵抗計算機攻擊的隊伍里來。

ISA和其他標準化組織都在積極制訂廣泛的標準來保護控制系統(tǒng)。ISA-SP99委員會由來自許多不同工業(yè)行業(yè)的控制系統(tǒng)專家組成，他們正在制訂新的標準、操作規(guī)程建議(工業(yè)標準)、技術報告和其他相關文件。這些可以用作制訂控制系統(tǒng)的電子安全防護程序的原則，也可以用作電子系統(tǒng)安全性能評估的依據(jù)。這些指導原則對設計、操作或是管理生產裝置和控制系統(tǒng)人員、系統(tǒng)集成商、安全保護行業(yè)人員以及控制系統(tǒng)生產/銷售商都是適用的。

當然，用戶必須針對不同的場合和不同的系統(tǒng)采取不同的措施。許多已經執(zhí)行貫徹安全保護程序（有些僅僅是很初步的措施，例如在控制層增加防火墻）的生產商都反映說效果很好。

圖2：統(tǒng)計數(shù)據(jù)顯示因為內部原因引起事故的可能性與受到外部攻擊造成事故的可能性同樣大。

建議

怎樣獲得成功？

1. 首先必須對自身環(huán)境的每一個主要危險區(qū)域作綜合性風險分析。你會發(fā)現(xiàn)，減小安全保護程序的覆蓋范圍是非常容易的事。如果你一開始時遺漏了某個重要因素，事后想要擴大安全保護程序的覆蓋范圍則是非常不容易的事。因此開始時做一個好的風險評估是非常重要的。

2. 其次必須作一個經濟分析，這有助于公司采取成本合理的保護措施，確定是否危險已經被減少到可接受的程度。

3. 必須貫徹執(zhí)行安全保護規(guī)定和相應程序并且仔細選擇保護技術。歸根結底，安全是通過嚴格的程序來實現(xiàn)的，這不是一個高深的技術問題，許多安全事故都是可以通過加強操作紀律來避免的。嚴格、統(tǒng)一和高效的操作行為是降低風險的關鍵。這個理念必須在技術環(huán)節(jié)和執(zhí)行的環(huán)節(jié)都得到貫徹。

4. 必須不斷學習完善。各個標準化協(xié)會、行業(yè)組織都在不斷完善已有的系統(tǒng)安全保護標準、制定新的標準。包括ISA（儀表、系統(tǒng)及自動化協(xié)會）、NIST（美國國家標準和技術協(xié)會）、CIDX（化學工業(yè)數(shù)據(jù)交流中心）、IEC（國際工程師協(xié)會）、CIGRE（國際強電委員會）、NERC（北美電氣可靠性委員會）等，他們都出版了關于控制系統(tǒng)信息安全的標準。

ISA SP-99委員會組建于2002年，已經出版了兩部技術報告，用戶可以通過ISA得到這些報告。其中ISA TR99.00.01報告介紹怎樣把公共安全防護技術應用到過程控制系統(tǒng)上。ISA TR99.00.02是一部指導性的文件，它可以幫助用戶創(chuàng)建一個高效率的安全保護程序，提供用戶需要的原則和技術。ISA SP-99委員會已經發(fā)起制訂一個關于制造和控制系統(tǒng)安全防護的總體的工業(yè)標準，邀請各方共同參與制定。ISA的努力方向主要集中在保護控制系統(tǒng)可以采用的技術上，可以提供建立、維護保護程序的方法，還可以提供手段用以評估保護程序面對各種控制環(huán)境時的效能。ISA SP-99的努力并不是只局限于特定工業(yè)領域，現(xiàn)在已經有代表220家公司（包括了每種制造業(yè)和過程相關工業(yè)的大多數(shù)公司）的250個成員加入這項工作。

還有許多組織在進行相關的、很有幫助的活動。NIST過程控制安全論壇（PCSRF）正在制定關于現(xiàn)有的和新開發(fā)的控制系統(tǒng)的詳細的公用標準。ISA和PCSRF也在進行安全保護方面的合作。化學工業(yè)數(shù)據(jù)交流中心（CIDX）正在致力于化學工業(yè)領域的控制系統(tǒng)安全保護工作，并且和ISA以及控制系統(tǒng)行業(yè)開展合作。

5. 在努力防止事故發(fā)生的同時，也需要注意控制系統(tǒng)遭到攻擊后的補救和恢復。因為多數(shù)事故都會對過程產生影響使其在一段時間里失去檢測能力，所以僅僅把注意力集中在防止事故發(fā)生上面是不夠的。還需要注意降低事故發(fā)生后造成的產品和過程損失，通過維護程序、質量保證程序、風險管理程序和生產安全程序等來提高發(fā)現(xiàn)問題、補救事故、恢復系統(tǒng)的能力。

6. 如果本公司不具備必要的時間、人員、經驗等條件，可以通過咨詢或是系統(tǒng)集成商取得幫助。

挑戰(zhàn)

在對付控制系統(tǒng)面臨的威脅面前，我們做得還遠遠不夠，還需要艱苦的努力才能夠使控制系統(tǒng)比較安全。這是否意味著狂風暴雨般的災難正在降臨？我認為即使狂風暴雨還沒有降臨，至少天空已經開始陰云密布了。目前的控制系統(tǒng)存在著很多隱患，工業(yè)界已經出現(xiàn)了一些此類事故，出現(xiàn)更多事故的可能性很大。

不過并非所有的都是壞消息，如果工業(yè)界現(xiàn)在就及時采取相應措施就可以顯著降低出現(xiàn)問題的風險。

●首先必須明確將會影響控制系統(tǒng)可靠性的諸多因素。
●采取周密的措施減少事故發(fā)生的可能性。
●把發(fā)生事故帶來的影響限制在盡量小的范圍里。
●采取措施使控制系統(tǒng)在發(fā)生事故后能夠盡快修復和恢復。

工業(yè)界已經在努力了解所面臨的安全威脅，工程師們也已經在致力于調整程序、規(guī)定，引入最新的技術手段來保護控制系統(tǒng)。

來源：CEC