編者語：伴隨著自動化控製係統與基於Internet網絡的IT商業係統之間的連通性越來越多，最棘手的便是SCADA係統的安全問題。特別明顯的缺點是SCADA係統的最初工程設計並未預想到與Internet網絡的連接，為什麼呢

？SCADA係統是從私人的產品發展而來的
，它應用開放式的、基於Internetwangluodejishu，juyouzhongsuozhouzhidecaozuoxingnengheanquanquexian。weiledadaoyinjingyingguimokuodaerdedaodejingjijieyue
，duiyuduozhongzhongyaojichusheshi，xianzaixiaoshoushangtongchangyingyongtongyixiliedekongzhixitongyuanjianchanpin。

　　雖然廣泛應用的Internet網(wang)絡(luo)技(ji)術(shu)已(yi)經(jing)帶(dai)來(lai)了(le)效(xiao)率(lv)和(he)生(sheng)產(chan)力(li)發(fa)展(zhan)的(de)新(xin)機(ji)會(hui)
，但(dan)它(ta)同(tong)時(shi)也(ye)帶(dai)來(lai)了(le)很(hen)大(da)的(de)風(feng)險(xian)
，比(bi)如(ru)網(wang)絡(luo)係(xi)統(tong)易(yi)受(shou)攻(gong)擊(ji)。對(dui)控(kong)製(zhi)工(gong)程(cheng)師(shi)和(he)管(guan)理(li)人(ren)員(yuan)來(lai)說(shuo)，在(zai)滿(man)足(zu)普(pu)通(tong)商(shang)業(ye)需(xu)求(qiu)的(de)同(tong)時(shi)，如(ru)何(he)隔(ge)離(li)和(he)保(bao)護(hu)監(jian)控(kong)和(he)數(shu)據(ju)采(cai)集(ji)(SCADA)係統免受Internet的攻擊，這是一個關鍵的問題。在工業中利用的控製係統包括SCADA係統
、分布式控製係統(DCS)、可編程邏輯控製器(PLC)，這些我們都稱為SCADA係統。

　　伴隨著自動化控製係統與基於Internet網絡的IT商業係統之間的連通性越來越多
，最棘手的便是SCADA係統的安全問題。特別明顯的缺點是SCADA係統的最初工程設計並未預想到與Internet網絡的連接，為什麼呢
？SCADA係統是從私人的產品發展而來的
，它應用開放式的
、基於Internetwangluodejishu，juyouzhongsuozhouzhidecaozuoxingnengheanquanquexian。weiledadaoyinjingyingguimokuodaerdedaodejingjijieyue，duiyuduozhongzhongyaojichusheshi，xianzaixiaoshoushangtongchangyingyongtongyixiliedekongzhixitongyuanjianchanpin。

　　威脅的存在

　　在許多行業中，已經發生了對SCADA係統的攻擊，比如在油/氣
、電力、水、造紙和製造業的控製係統都遭受過影響。這些行業中，多數

　　要求具有保密性。但是一些已經被泄露
，其中包括：

　　(1)
、在亞洲損失了1000MW的水電；

　　(2)
、在澳洲的一個汙水處理廠
，因為排出閥的數據被計算機黑客隨意刪改，導致釋放了數百萬公升的汙水；

　　(3)、計算機網絡蠕蟲病毒Slammer和Blaster攻擊了許多電力和供水設備的控製係統，包括美國俄亥俄州的Davis-Besse核動力設備，以及其它的工業製造業的控製係統。

　　安全攻擊是存在的，威脅也是存在的
，現在是回顧SCADA安全要素的時侯了。

　　為了使SCADA係(xi)統(tong)安(an)全(quan)運(yun)行(xing)
，它(ta)必(bi)須(xu)和(he)外(wai)界(jie)的(de)消(xiao)極(ji)影(ying)響(xiang)相(xiang)隔(ge)離(li)。這(zhe)些(xie)消(xiao)極(ji)影(ying)響(xiang)可(ke)能(neng)包(bao)括(kuo)從(cong)一(yi)個(ge)工(gong)程(cheng)師(shi)需(xu)要(yao)的(de)大(da)量(liang)數(shu)據(ju)到(dao)由(you)電(dian)腦(nao)黑(hei)客(ke)的(de)蠕(ru)蟲(chong)病(bing)毒(du)產(chan)生(sheng)的(de)大(da)規(gui)模(mo)的(de)電(dian)子(zi)郵(you)件(jian)傳(chuan)輸(shu)。

　　為了實現這個隔離，所有和SCADA原函數關聯的機器必須依靠一個公共的網絡—工廠控製網絡(PCN)，應用一個內部的防火牆把它和其它的網絡保護起來。

　　建(jian)立(li)防(fang)火(huo)牆(qiang)是(shi)為(wei)了(le)管(guan)理(li)防(fang)火(huo)牆(qiang)內(nei)部(bu)機(ji)器(qi)和(he)防(fang)火(huo)牆(qiang)外(wai)部(bu)機(ji)器(qi)的(de)連(lian)接(jie)。可(ke)以(yi)編(bian)寫(xie)防(fang)火(huo)牆(qiang)的(de)規(gui)則(ze)允(yun)許(xu)任(ren)何(he)網(wang)絡(luo)通(tong)信(xin)，或(huo)是(shi)對(dui)指(zhi)定(ding)的(de)設(she)備(bei)和(he)應(ying)用(yong)限(xian)製(zhi)網(wang)絡(luo)通(tong)信(xin)。

　　需要向SCADA係統發送數據的係統類型將根據應用而變化。實驗室信息係統(LIS)就是一個很好的例子
，在現代的精煉廠操作中
，它和精煉廠的SCADA係統周期性的交換有關產品質量和產量的數據。在假定情況下，我們把稱得上網絡的LIS看作工廠信息網絡(PIN)。

　　為了和SCADA係統軟件代理商發生數據轉換

，需要與LIS軟件通信或建立一個連接。新的防火牆規則應明確識別LIS係統，因此僅僅它能應用這個規則。

　　許多公司發現在數據進入SCADA控製係統進行計算之前，允許人員外在的檢查與確認是最優方法。為了完成他們的職責，幾乎每個雇員都需有權使用企業電子郵件和Internet網(wang)絡(luo)。進(jin)行(xing)兩(liang)個(ge)網(wang)絡(luo)連(lian)接(jie)時(shi)不(bu)慎(shen)將(jiang)病(bing)毒(du)或(huo)者(zhe)計(ji)算(suan)機(ji)網(wang)絡(luo)蠕(ru)蟲(chong)引(yin)入(ru)到(dao)控(kong)製(zhi)網(wang)絡(luo)，便(bian)會(hui)出(chu)現(xian)很(hen)多(duo)的(de)問(wen)題(ti)。防(fang)火(huo)牆(qiang)規(gui)則(ze)必(bi)須(xu)是(shi)來(lai)自(zi)控(kong)製(zhi)網(wang)絡(luo)類(lei)型(xing)的(de)訪(fang)問(wen)
，也(ye)將(jiang)開(kai)放(fang)控(kong)製(zhi)網(wang)絡(luo)，使(shi)其(qi)充(chong)滿(man)由(you)病(bing)毒(du)和(he)計(ji)算(suan)機(ji)網(wang)絡(luo)蠕(ru)蟲(chong)產(chan)生(sheng)的(de)大(da)量(liang)的(de)有(you)害(hai)數(shu)據(ju)，即(ji)便(bian)控(kong)製(zhi)網(wang)絡(luo)上(shang)的(de)計(ji)算(suan)機(ji)沒(mei)被(bei)感(gan)染(ran)病(bing)毒(du)。應(ying)避(bi)免(mian)類(lei)似(si)事(shi)件(jian)的(de)發(fa)生(sheng)。

　　為了給操作員提供企業電子郵件和Internet網絡功能但又不危及PCN網絡的安全，和PIN網絡分開的連接應該對所有地點工作的操作員都是適用的。僅僅連接到PIN網絡的工作站能提供操作員訪問電子郵件和Internet網絡功能，分離PCN網絡，以便其免受來自Internet的危險。

　　保持暢通

　　對dui遠yuan程cheng設she備bei的de軟ruan件jian上shang載zai和he係xi統tong診zhen斷duan
，大da多duo數shu銷xiao售shou商shang更geng喜xi歡huan應ying用yong調tiao製zhi解jie調tiao器qi進jin行xing訪fang問wen。在zai這zhe種zhong情qing況kuang下xia，在zai要yao求qiu服fu務wu之zhi前qian
，與yu調tiao製zhi解jie調tiao器qi連lian接jie的de電dian話hua線xian應ying該gai是shi暢chang通tong的de，銷xiao售shou商shang一yi旦dan結jie束shu連lian接jie
，線xian路lu也ye應ying該gai是shi暢chang通tong的de。當dang銷xiao售shou商shang需xu要yao進jin行xing診zhen斷duan時shi
，就jiu適shi當dang的de安an全quan策ce略lve和he安an全quan實shi施shi而er言yan
，如ru果guo公gong司si在zai現xian場chang有you工gong作zuo人ren員yuan，這zhe可ke能neng是shi一yi個ge可ke以yi接jie受shou的de方fang法fa。

　　對那些並不是現場24/7小時都有雇員的公司，這可能是一個主要爭論點，可選擇的折中方法包括：回撥功能的調製解調器——可以對一個指定的銷售商電話號碼回撥，口令保護功能的調製解調器
，加密功能的調製解調器
，以及安全套接層協議虛擬專用網絡(SSL VPN)連接。

[page_break]

　　通(tong)常(chang)
，回(hui)撥(bo)功(gong)能(neng)的(de)調(tiao)製(zhi)解(jie)調(tiao)器(qi)是(shi)不(bu)切(qie)實(shi)際(ji)的(de)，因(yin)為(wei)它(ta)要(yao)求(qiu)銷(xiao)售(shou)商(shang)始(shi)終(zhong)為(wei)同(tong)一(yi)個(ge)電(dian)話(hua)號(hao)碼(ma)提(ti)供(gong)服(fu)務(wu)。如(ru)果(guo)你(ni)的(de)電(dian)話(hua)線(xian)能(neng)夠(gou)一(yi)直(zhi)保(bao)持(chi)暢(chang)通(tong)，密(mi)碼(ma)保(bao)護(hu)的(de)調(tiao)製(zhi)解(jie)調(tiao)器(qi)也(ye)許(xu)是(shi)保(bao)護(hu)銷(xiao)售(shou)商(shang)訪(fang)問(wen)的(de)最(zui)大(da)成(cheng)本(ben)效(xiao)益(yi)的(de)方(fang)法(fa)。當(dang)設(she)置(zhi)多(duo)次(ci)注(zhu)冊(ce)失(shi)敗(bai)之(zhi)後(hou)(通常選擇3次或者4次)，密碼保護的調製解調器應該支持帳戶失活，並能處理複雜的密碼。

　　jiamitiaozhijietiaoqidezhuyaomudeshibaochizailianggetiaozhijietiaoqizhijiandeshujutongxinshijimide。zaizheyangdeqingkuangxia，zhegefangfashixiyinrende，yinweitongyigezhizaoshangbixushiyongtiaozhijietiaoqijianliyigelianjiebinggongxiangtongyigemimayaochi。zhejiudadajianshaoleweishouquanrenyuanlianjiedaozhegeSCADA係統的機會。

　　深層防禦策略

　　另外一個以策略製勝電腦黑客的方法是在你的網絡DeMilitarized Zone（DMZ）隔離區設置一個SSL VPN網絡應用
，建立DMZ隔離區就是通過一個防火牆隔離兩個網絡。SSL VPNwangluoanquanjishuyingyongdefangwenguizenenggouxianzhixiaoshoushangduitamenfuzedetedingshebeidefangwen。suiranzhezhongfangfadechengbenbijiaogao
，danshizengjialeanquanxishu，yinweinikeyitongguodanyidewangguanqieduantiaozhijietiaoqi
，bingduisuoyoudexiaoshoushangjinxingzhongyangguanlikongzhi。duinaxiezaikongzhiwangluoshangconglaidoubuyunxuxiaoshoushangfangwendeshebei，chufeizaijinxingweixiufuwushimingquedeshouquantamen，erqiezaitamendecaozuobeijiankongdeqingkuangxia，zheshiyigezuiyoufangfa。

　　在不同的網絡上，SCADA數據被相關的係統需求，比如早期提到的LIS係統。工廠管理人員通常想要一個高層次的控製

　　視(shi)窗(chuang)觀(guan)看(kan)發(fa)生(sheng)了(le)什(shen)麼(me)
，有(you)時(shi)調(tiao)整(zheng)代(dai)理(li)商(shang)要(yao)求(qiu)有(you)權(quan)訪(fang)問(wen)的(de)數(shu)據(ju)
，比(bi)如(ru)來(lai)自(zi)監(jian)控(kong)係(xi)統(tong)發(fa)出(chu)的(de)數(shu)據(ju)。對(dui)滿(man)足(zu)這(zhe)樣(yang)的(de)商(shang)業(ye)要(yao)求(qiu)，這(zhe)個(ge)模(mo)型(xing)工(gong)作(zuo)最(zui)好(hao)
，它(ta)和(he)我(wo)們(men)應(ying)用(yong)的(de)從(cong)LIS係統到SCADA係統的數據傳送很相似，隻是這次的傳送是顛倒的。

　　這個模型需要被SCADA係統收集和計算的數據“副本”，這zhe個ge副fu本ben是shi在zai工gong廠chang和he公gong司si網wang絡luo較jiao低di的de安an全quan等deng級ji建jian立li的de。能neng按an照zhao要yao求qiu建jian立li多duo個ge等deng級ji或huo者zhe副fu本ben。就jiu副fu本ben來lai說shuo，並bing不bu意yi味wei著zhe精jing確que的de複fu製zhi
，但dan是shi以yiSCADA數據庫為基礎的有相關數據的數據庫：5分鍾的平均或者每小時的平均，而不是一個變量的每次時間標記情況。

　　為wei了le保bao持chi控kong製zhi網wang絡luo的de安an全quan性xing，數shu據ju應ying該gai增zeng加jia從cong控kong製zhi網wang絡luo到dao下xia一yi個ge較jiao低di層ceng的de安an全quan性xing，這zhe個ge較jiao低di層ceng常chang常chang是shi工gong廠chang網wang絡luo。如ru果guo另ling外wai的de層ceng需xu要yao安an全quan性xing

，比bi如ru合he作zuo夥huo伴ban或huo者zhe管guan理li機ji構gou需xu要yao的de數shu據ju
，那na麼me應ying該gai增zeng加jia從cong工gong廠chang網wang絡luo到dao下xia一yi個ge較jiao低di層ceng的de數shu據ju安an全quan性xing。

　　從曆史數據上說，應用專利代碼已經實現這個模型，但幸運的是，圍繞這個概念
，銷售商已經開發出了商業上可利用的產品，比如Wonderware和OSI PI數據庫。

　　盡可能避免遠程訪問

　　應該避免操作員的遠程訪問。一旦建立了遠程訪問(除了銷售商推薦的訪問)，要保證PCN免受電腦黑客、病毒

、計算機網絡蠕蟲和其它的惡毒代碼的攻擊是很困難的。

　　如果必須應用遠程訪問，那麼首先可供選擇的數據測定方法是從操作員的遠程位置到PCNwangluozhuangsheyigezhuanyongxian。tangruoshiyongyigejisuanjizhuanmenjinxingkongzhigongnengyeshifeichanghelide。ruguocaozuoyuanshiyongtamengerendejiayongdiannao，namezaimouxiefangmianjiangshoudaoganranhuozheweijianquandekenengxingyehuizengjia


，erqiekenengweijikongzhiwangluodeanquan。

　　如果SCADA的控製功能是激活的網絡瀏覽器
，那麼在DMZ隔離區設置一個SSL VPN網絡應用是一個切實可行的方法，它可以對操作員和PCN網絡之間的連接進行加密。為了增加安全性的附加測試，操作員需要高速Internet網絡訪問，也需要對附加的網絡訪問采取措施，比如時常的到期、多次的不成功的登錄上網之後禁止複雜的密碼。這種解決方案的附加值是：除非你允許操作員上載文件到SCADA係統

，你已經在操作員的遠程計算機上保護SCADA係統不受惡意代碼或者病毒的攻擊。

[page_break]

　　如果上述兩個可選擇的方法都是不可行的，那麼第三個方法是建立普通的眾所周知的3EDS(數據加密標準)或者AES(高級加密標準)的IPSec(IP保護協議) VPN網絡。IPSec是訪問Internet網絡進行封裝通信的相對新的方法，3DES和AES是進行加密信息包公認的加密算法。那些建立的隧道幾乎能保證不讓電腦黑客侵入。

　　比如選擇SSL VPN網絡遠程訪問技術

，這個方法要求在DMZ隔離區有一些昂貴的硬件。和SSL VPN網絡遠程訪問不同
，通過遠程計算機
，IPSec VPN網絡遠程訪問可能使控製網絡受到惡毒代碼或者未授權訪問的攻擊，除非在操作員應用的計算機上保持嚴格的控製。

　　當操作員的實際位置不在一個安全的控製室時
，對於操作員的鑒定，需要三個要素。前兩個要素是用戶ID和密碼(操作員知道這個密碼)。第三個要素是確認包括USB接口激活標記
、智能卡、或者有生命特征的ID比如他的聲音或拇指的指紋。

　　無線通訊

　　雖然在精煉廠或化工廠的SCADAcaozuoyuanshezhikenengbuxuyaopeizhiwuxiantongxunxitong
，danduiyumouxieyingyong
，birushengchanxianchangweizhihuoyuanchengdeguandaobengzhan
，wuxiantongxunjihushibixude。zaiyixieqingkuangzhong
，birucongdiliweizhishangfenbushidechuanganqidaoSCADA係統，幾乎沒有其它成本效益的方法來反饋數據點。

　　在他們現成的產品中，配置簡單容易。無線站點(WAPs—登陸PCN網絡的無線站點)是一個安全的噩夢。他們能接收來自任何方向的信號，如果使用天

　　線來加強信號強度，客戶端能在很遠的地方接收。任何一個有膝上型電腦或PDA，以及便宜的傳送器和天線的人就能夠有權訪問你的控製係統。

　　有幾種方法可以使WAPs安全可靠。最不安全的方法是有線對等保密(WEP)。說它缺少安全是因為它在無線客戶端傳感器間的加密通信是薄弱的
，而且在數小時內就能被破壞。

　　在保護你的無線訪問時，動態WEP能做得更好。當一個隨機的字節傳送之後，動態WEP能改變WEP的加密鑰匙，因此使那些試圖破壞WEP的企圖更困難。事實上，在一個無線SCADA係統環境中應用動態WEP應該是必須的。

　　一個更安全的方法是應用動態WEP加密，在所有的無線傳輸上，它將強製所有來自WAPs的通信都通過一個IPsec 3DES加密驅動程序。但是，這可能是昂貴的，而且對於這個方案通常是不需要的。

　　第二步應該采取的措施是應用一個WAP
，讓你指定允許和它通信的機器地址(MACs)。結合動態WEP，對於這種類型的環境，對指定的MAC地址訪問進行限時常常是足夠安全的。

　　通過合並以上的措施，如果可能，對那些未獲得授權而通過WAP訪問你的PCN網絡


，使用一個行之有效的方法是困難的
，但是我們沒

　　有涉及到電力的幹擾
，它可能妨礙傳感器數據的有效性。不管是來自惡毒源碼還是自然發生現象的幹擾，這仍然幹擾從傳感器到SCADA係統的信號
，危及控製的安全。為了彌補這個問題，係統說明符應該考慮配置定向的天線、微波或其它的技術來增強來自傳感器信號的強度，以保證WAP僅僅接收來自傳感器的信號。

　　安全的策略
、標準、指導方針

　　標準是指定的操作或程序


，都應該遵循確保網絡安全的策略。例如，比較安全的策略標準可能是 ：PCN網絡的所有用戶的IDs必須通過“XYZ”過程的核準。另一方麵，指導方針是專用的操作或程序，都應該遵循確保安全的策略。比如，操作員可能設立這樣的指導方針：對於SCADA係統，用戶的IDs對操作員來說應該從操作程序(OP)開始，對控製工程師來說，應該從芯片啟動(CE)開始。

　　對於應該開發的安全策略、標準和指導方針的取樣種類應包括鑒定、訪問控製、訪問控製管理、網絡
、無線、遠程訪問、應用、係統
、加密等。（作者：Jay Abshier and Joe Weiss ）