在過去若幹年中
，網絡安全已經成為了一項核心問題，它的受關注程度似乎在與日俱增。新的IT 以及工業控製係統平台整合了改進後的安全功能，然而工業界麵臨的問題是：大da量liang控kong製zhi係xi統tong在zai網wang絡luo安an全quan措cuo施shi推tui出chu之zhi前qian就jiu已yi經jing投tou入ru運yun行xing，許xu多duo還hai是shi在zai互hu聯lian網wang大da規gui模mo普pu及ji之zhi前qian就jiu已yi經jing存cun在zai了le。如ru果guo這zhe些xie係xi統tong缺que乏fa適shi當dang的de防fang禦yu措cuo施shi，黑hei客ke就jiu可ke能neng通tong過guo它ta們men與yu外wai圍wei網wang絡luo的de連lian接jie路lu徑jing侵qin入ru係xi統tong
，並bing實shi施shi各ge種zhong破po壞huai。我wo們men麵mian對dui的de問wen題ti是shi：能否為老式係統提供充足的安全保障？

　　Invensys Process Systems的首席安全架構師Ernie Rakaczky說：“一般而言
，一套控製係統經過采購、安裝、組態之後一旦投入使用，在之後20年左右的時間裏就會被完全遺忘。多數情況下，這隻是控製工程師的一般看法。在過去的5到10年中，這樣的問題層出不窮。這些早期的控製係統中
，許多都不具備網絡連接功能。它們的設計目標隻有一個：控製一台閥門的開關或是測量液位，因此它們確實不需要連接到網絡。”

　　但問題是，世界不可能一直停滯不前。隨著信息技術的發展
，控製係統用戶越來越渴望把信息提取出來並為外部用戶提供連接。Rakaczky補充說：“傳統控製係統隻能夠實現過程控製，而當今的控製係統可能擁有50%的控製功能和50%的信息交換功能。在這種趨勢下，我們開始將控製平台數據提取到曆史記錄、工廠網絡或企業網絡中


，同時增加一些優化方法、采取更謹慎的做法並使用一些自我保護的功能。”

　　連接是否安全？

　　有些專家固執地認為
，隻有切斷連接才能稱得上真正安全的連接。Kevin Staggs是國際注冊信息係統安全專家（CISSP）
，同時也是Honeywell Process Solutions的工程師兼全球安全架構師。他說：“幾(ji)乎(hu)所(suo)有(you)的(de)私(si)有(you)係(xi)統(tong)都(dou)擁(yong)有(you)自(zi)己(ji)的(de)網(wang)絡(luo)。由(you)於(yu)這(zhe)些(xie)係(xi)統(tong)既(ji)沒(mei)有(you)設(she)計(ji)成(cheng)自(zi)我(wo)保(bao)護(hu)結(jie)構(gou)，又(you)缺(que)乏(fa)其(qi)他(ta)保(bao)護(hu)措(cuo)施(shi)，加(jia)入(ru)任(ren)何(he)的(de)連(lian)接(jie)點(dian)都(dou)可(ke)能(neng)帶(dai)來(lai)嚴(yan)重(zhong)的(de)威(wei)脅(xie)。如(ru)果(guo)你(ni)試(shi)圖(tu)接(jie)入(ru)這(zhe)些(xie)早(zao)期(qi)的(de)係(xi)統(tong)，那(na)麼(me)就(jiu)必(bi)須(xu)完(wan)全(quan)了(le)解(jie)接(jie)入(ru)點(dian)的(de)位(wei)置(zhi)
，並(bing)且(qie)清(qing)楚(chu)這(zhe)些(xie)接(jie)入(ru)點(dian)采(cai)用(yong)了(le)哪(na)種(zhong)接(jie)入(ru)技(ji)術(shu)。許(xu)多(duo)情(qing)況(kuang)下(xia)，這(zhe)些(xie)接(jie)入(ru)點(dian)都(dou)已(yi)經(jing)過(guo)時(shi)了(le)。”

　　但是，如果你的防禦手段是將係統與外界隔離的話，那麼你必須確保這樣的隔離是完全的、徹底的
，才能起到效果。Siemens Energy & Automation的過程自動化係統經理Todd Stauffer說：“用(yong)戶(hu)往(wang)往(wang)認(ren)為(wei)孤(gu)立(li)的(de)網(wang)絡(luo)是(shi)安(an)全(quan)的(de)，並(bing)且(qie)把(ba)所(suo)有(you)雞(ji)蛋(dan)都(dou)放(fang)在(zai)一(yi)個(ge)籃(lan)子(zi)裏(li)。他(ta)們(men)堅(jian)信(xin)，孤(gu)立(li)化(hua)必(bi)將(jiang)帶(dai)來(lai)安(an)全(quan)性(xing)。但(dan)在(zai)許(xu)多(duo)情(qing)況(kuang)下(xia)
，總(zong)有(you)人(ren)會(hui)把(ba)外(wai)部(bu)的(de)記(ji)憶(yi)棒(bang)插(cha)入(ru)係(xi)統(tong)，或(huo)者(zhe)臨(lin)時(shi)接(jie)入(ru)一(yi)台(tai)筆(bi)記(ji)本(ben)電(dian)腦(nao)，又(you)或(huo)者(zhe)臨(lin)時(shi)連(lian)接(jie)另(ling)一(yi)組(zu)網(wang)絡(luo)。這(zhe)些(xie)情(qing)況(kuang)都(dou)會(hui)導(dao)致(zhi)孤(gu)立(li)網(wang)絡(luo)出(chu)現(xian)混(hun)亂(luan)。除(chu)非(fei)你(ni)采(cai)取(qu)了(le)措(cuo)施(shi)阻(zu)止(zhi)用(yong)戶(hu)將(jiang)記(ji)憶(yi)棒(bang)
、CD或DVD插入到隔離區域，一般情況下你都必須在孤立網絡中加入安全保障措施。否則
，當遇到攻擊時，你的係統將變得不堪一擊。”

　　係統的多個時代

　　老式控製平台的時間跨度很長
，有些延用至今的平台采用的還是最早期的DCS配置方式。我們可以將所有投入實際應用的平台分為兩大類：采用私有網絡的和基於Microsoft Windows架構的。

　　早zao期qi係xi統tong的de操cao作zuo人ren員yuan會hui自zi我wo安an慰wei說shuo，即ji使shi一yi名ming黑hei客ke能neng夠gou侵qin入ru係xi統tong
，麵mian對dui這zhe些xie過guo時shi的de技ji術shu
，他ta也ye會hui變bian得de無wu所suo適shi從cong。難nan道dao這zhe確que實shi能neng夠gou成cheng為wei一yi種zhong防fang護hu策ce略lve嗎ma
？Exida的高級顧問John Custimano將這種策略形容為在稀薄的冰麵上滑行。他奉勸說：“ruguomourenjinruleyitaolaoshikongzhixitong，bingqiezhangwozhexitongdeminglingjiegou
，nametajiunengqingyiyinqixitonghunluan。zheyuheikeruqindequbiezaiyu
，heikehaibixujubeiyishouqinrulaoshixitongdegaochaojineng。yidannizuodaolezheyidian
，meizhunjiunenggouzhixingrenhenixiangyaozhixingdemingling。”

　　我們麵臨的問題是
，在過去幾年中，潛在的黑客高手人數很可能大幅增長著。反入侵係統提供商Top Layer的安全策略工程師Ken Pappas警告說：“如今我們擔心的是：受shou經jing濟ji形xing勢shi的de影ying響xiang，公gong司si解jie雇gu了le大da量liang員yuan工gong。這zhe些xie心xin懷huai不bu滿man的de員yuan工gong已yi經jing掌zhang握wo了le係xi統tong運yun行xing的de內nei部bu知zhi識shi。他ta們men聯lian手shou之zhi後hou
，既ji能neng夠gou找zhao到dao進jin入ru網wang絡luo的de途tu徑jing，又you知zhi道dao進jin入ru網wang絡luo之zhi後hou該gai做zuo些xie什shen麼me。他ta們men製zhi造zao混hun亂luan的de能neng力li遠yuan遠yuan超chao過guo了le那na些xie僅jin僅jin知zhi道dao如ru何he侵qin入ru網wang絡luo的de普pu通tong黑hei客ke。事shi實shi上shang，不bu是shi黑hei客ke變bian聰cong明ming了le，而er是shi出chu現xian了le一yi類lei新xin的de黑hei客ke——前任員工。”

　　因此，他們需要被特別關注。

　　Staggs也對此表示讚同，他建議：“早期的Windows係(xi)統(tong)不(bu)應(ying)該(gai)被(bei)連(lian)接(jie)到(dao)商(shang)用(yong)網(wang)絡(luo)中(zhong)。毫(hao)無(wu)疑(yi)問(wen)它(ta)們(men)必(bi)須(xu)經(jing)過(guo)隔(ge)離(li)
，而(er)且(qie)你(ni)必(bi)須(xu)掌(zhang)握(wo)它(ta)們(men)與(yu)商(shang)用(yong)網(wang)絡(luo)交(jiao)換(huan)數(shu)據(ju)的(de)路(lu)徑(jing)。你(ni)需(xu)要(yao)一(yi)款(kuan)經(jing)過(guo)嚴(yan)格(ge)配(pei)置(zhi)的(de)防(fang)火(huo)牆(qiang)

，在(zai)可(ke)能(neng)的(de)情(qing)況(kuang)下(xia)還(hai)應(ying)該(gai)通(tong)過(guo)一(yi)個(ge)現(xian)代(dai)化(hua)的(de)服(fu)務(wu)器(qi)交(jiao)換(huan)數(shu)據(ju)。於(yu)是(shi)，你(ni)可(ke)以(yi)為(wei)這(zhe)台(tai)較(jiao)現(xian)代(dai)化(hua)的(de)服(fu)務(wu)器(qi)提(ti)供(gong)保(bao)護(hu)，把(ba)它(ta)作(zuo)為(wei)防(fang)禦(yu)設(she)備(bei)。多(duo)數(shu)情(qing)況(kuang)下(xia)，保(bao)護(hu)技(ji)術(shu)會(hui)麵(mian)臨(lin)過(guo)時(shi)的(de)問(wen)題(ti)，因(yin)此(ci)你(ni)需(xu)要(yao)時(shi)刻(ke)更(geng)新(xin)到(dao)最(zui)前(qian)沿(yan)的(de)技(ji)術(shu)。”

　　“過時”一詞在本文中指的是任何一代無法繼續獲得技術支持的Windows。Windows 2000能夠獲得支持直至2010年6月30日。任何比它早的版本都隻能被劃分到無保護的範疇內
，而且無法獲得安全更新。

　　你能夠做些什麼
？

　　Sean McGurk是美國國土安全部（DHS）的控製係統安全計劃（CSSP）總監。他警告說：“被動的安全策略不適用於當今的互聯網環境。目前，我們已經對那些服役多年的設備的弱點作了分析。結果顯示，大多數（46%左右）弱點存在於控製係統網絡和商用網絡之間的DMZ(隔離區)。考慮到這一地帶的連接相當重要
，如此高的比例是我們無法接受的。你需要找到一種守護這些信道的辦法。”

　　這(zhe)種(zhong)思(si)路(lu)毫(hao)無(wu)疑(yi)問(wen)是(shi)正(zheng)確(que)的(de)，但(dan)是(shi)知(zhi)易(yi)行(xing)難(nan)。如(ru)果(guo)某(mou)件(jian)東(dong)西(xi)之(zhi)前(qian)從(cong)未(wei)有(you)過(guo)保(bao)護(hu)方(fang)案(an)，又(you)脫(tuo)離(li)了(le)生(sheng)產(chan)商(shang)的(de)支(zhi)持(chi)，那(na)麼(me)要(yao)保(bao)護(hu)它(ta)就(jiu)不(bu)是(shi)一(yi)件(jian)容(rong)易(yi)的(de)事(shi)。Industrial Defender的市場主管Todd Nicholson解釋說：“當前環境下，我們麵臨的挑戰是每個人都希望得到安全防護，尤其是在連接到外部世界的情況下。但是這種環境——包括硬件
、軟件、操作係統——又(you)是(shi)早(zao)期(qi)遺(yi)留(liu)下(xia)來(lai)的(de)。於(yu)是(shi)
，我(wo)們(men)無(wu)法(fa)在(zai)不(bu)嚴(yan)重(zhong)影(ying)響(xiang)性(xing)能(neng)和(he)實(shi)用(yong)性(xing)的(de)前(qian)提(ti)下(xia)
，將(jiang)反(fan)病(bing)毒(du)軟(ruan)件(jian)之(zhi)類(lei)的(de)現(xian)代(dai)安(an)全(quan)技(ji)術(shu)應(ying)用(yong)於(yu)工(gong)廠(chang)係(xi)統(tong)層(ceng)麵(mian)。你(ni)所(suo)麵(mian)對(dui)的(de)環(huan)境(jing)是(shi)如(ru)此(ci)脆(cui)弱(ruo)，以(yi)至(zhi)於(yu)你(ni)在(zai)製(zhi)定(ding)防(fang)禦(yu)策(ce)略(lve)時(shi)，不(bu)得(de)不(bu)反(fan)複(fu)斟(zhen)酌(zhuo)。”

　　jinguanruci，kexingdecelvehaishiyoude。benwenbuduizhexiecelvedexijieyiyijinxingchanshu，danshicebianlantigongdeziyuannenggoubangzhuwomenqidongzhexieliucheng。dabufencelvedouxuyaonishouxianduidangqiandexitongjiagouzuoshenrufenxi，bingqieduikongzhiwangluoshangyunxingdesuoyouruanjianjinxingfenlei。lingyigezhuyaobuzhoushixunzhaosuoyoudewaibulianjie，zheyiguochengduinaxieyidumangranbuzhisuocuodegongsieryanwangwangjuyoukaituoshiyedezuoyong。Staggs建議用戶從升級那些過時的設備入手，當然尋找連接的過程也不可能止步於此。他建議說：“為了找到隱藏的連接點，你應該查看OPC
、串口網關
、調製解調器、安全的係統連接點、串口Modbus或IP，甚至是Foundation Fieldbus或者Profibus。”

　　遷移？正是時侯

　　用yong戶hu是shi否fou有you必bi要yao為wei了le網wang絡luo安an全quan進jin行xing平ping台tai遷qian移yi呢ne？最zui終zhong的de回hui答da可ke能neng是shi的de確que有you必bi要yao遷qian移yi到dao一yi套tao具ju有you更geng高gao安an保bao水shui平ping的de平ping台tai。這zhe當dang然ran不bu是shi一yi件jian小xiao事shi，尤you其qi是shi在zai經jing濟ji衰shuai退tui的de大da背bei景jing下xia。Siemens Energy & Automation的遷移市場經理Ken Keiser說：“我想
，大多數實際操作係統的工程師都會意識到風險。但是，他們能否將風險量化並作為平台遷移的理由又是另一個問題了。”

　　Keiser說：“我不知道他們是否能夠將問題向管理層闡述清楚。雖然他們意識到了風險，但是要將安全問題闡述清楚遠比說一句‘平台再也無法工作下去了
，會影響到生產。’來lai得de困kun難nan。用yong戶hu傾qing向xiang於yu先xian對dui係xi統tong中zhong最zui脆cui弱ruo的de部bu分fen進jin行xing升sheng級ji，這zhe一yi部bu分fen就jiu是shi人ren機ji界jie麵mian。與yu連lian接jie到dao一yi台tai遠yuan程cheng設she備bei相xiang比bi
，自zi頂ding向xiang下xia地di連lian接jie一yi台tai控kong製zhi器qi顯xian得de更geng容rong易yi一yi些xie。”

　　CoreTrace營銷副總裁J.T.Keating認為係統遷移是一種過於緩慢的做法。他建議說：“如(ru)果(guo)我(wo)們(men)出(chu)於(yu)網(wang)絡(luo)安(an)全(quan)方(fang)麵(mian)的(de)考(kao)慮(lv)希(xi)望(wang)對(dui)早(zao)期(qi)係(xi)統(tong)作(zuo)升(sheng)級(ji)
，那(na)麼(me)替(ti)換(huan)這(zhe)些(xie)係(xi)統(tong)往(wang)往(wang)是(shi)不(bu)現(xian)實(shi)的(de)，至(zhi)少(shao)在(zai)係(xi)統(tong)運(yun)行(xing)時(shi)是(shi)不(bu)現(xian)實(shi)的(de)。安(an)全(quan)問(wen)題(ti)是(shi)當(dang)前(qian)就(jiu)要(yao)解(jie)決(jue)的(de)，替(ti)換(huan)是(shi)將(jiang)來(lai)才(cai)會(hui)被(bei)考(kao)慮(lv)的(de)。由(you)於(yu)需(xu)要(yao)替(ti)換(huan)的(de)係(xi)統(tong)往(wang)往(wang)相(xiang)當(dang)關(guan)鍵(jian)，替(ti)換(huan)計(ji)劃(hua)必(bi)須(xu)製(zhi)定(ding)得(de)相(xiang)當(dang)周(zhou)密(mi)。在(zai)2009年
，投資人的要求往往是‘因地製宜’jinxingshengchan，erfeipaoqihuotihuandaliangdejichushebei。congnengyuanjiaodukaolv
，womenyeyinggaijinkenenggaoxiaodijinxingshengchan。xianshiqingkuangshi，duiyunaxieguanjiandexitongeryan，jihubucunzaizengjiaanquanxingdewanmeifangan。”

　　那麼政府規範是否會對大規模的係統更換起到強製作用呢？NERC（國家電力公司）是否會有新的要求呢？McGurk指出
，80%的關鍵基礎設施是私有性質的，即使是NERC也隻能覆蓋大型能源工業的一小部分。麵對現實
，他悲觀地說：“長期以來，一種心態一直彌漫在我們周圍，就是用不遵守規章製度的方式否認安全的重要性。”

　　人為因素

　　目(mu)前(qian)為(wei)止(zhi)
，我(wo)們(men)的(de)討(tao)論(lun)都(dou)集(ji)中(zhong)在(zai)技(ji)術(shu)解(jie)決(jue)方(fang)案(an)上(shang)

，但(dan)是(shi)人(ren)為(wei)因(yin)素(su)也(ye)同(tong)樣(yang)存(cun)在(zai)。隻(zhi)有(you)當(dang)相(xiang)關(guan)人(ren)員(yuan)都(dou)參(can)與(yu)流(liu)程(cheng)時(shi)，他(ta)們(men)才(cai)會(hui)知(zhi)道(dao)如(ru)何(he)保(bao)障(zhang)係(xi)統(tong)的(de)安(an)全(quan)。一(yi)個(ge)普(pu)遍(bian)的(de)人(ren)為(wei)問(wen)題(ti)是(shi)：早(zao)期(qi)係(xi)統(tong)缺(que)乏(fa)相(xiang)關(guan)的(de)文(wen)檔(dang)資(zi)料(liao)。與(yu)流(liu)程(cheng)中(zhong)的(de)其(qi)他(ta)部(bu)分(fen)一(yi)樣(yang)，如(ru)果(guo)一(yi)套(tao)係(xi)統(tong)的(de)服(fu)役(yi)時(shi)間(jian)達(da)到(dao)十(shi)年(nian)甚(shen)至(zhi)更(geng)久(jiu)
，那(na)麼(me)用(yong)戶(hu)可(ke)能(neng)無(wu)法(fa)得(de)到(dao)反(fan)映(ying)實(shi)際(ji)運(yun)行(xing)狀(zhuang)況(kuang)的(de)現(xian)成(cheng)文(wen)檔(dang)。用(yong)戶(hu)往(wang)往(wang)需(xu)要(yao)從(cong)不(bu)成(cheng)文(wen)的(de)係(xi)統(tong)變(bian)化(hua)中(zhong)找(zhao)尋(xun)係(xi)統(tong)的(de)薄(bo)弱(ruo)環(huan)節(jie)。

　　Nicholson經過觀察後說：“不僅是在工廠環境下
，在企業IT中zhong對dui變bian化hua進jin行xing管guan理li也ye極ji具ju挑tiao戰zhan性xing。例li如ru，在zai你ni為wei外wai部bu用yong戶hu開kai啟qi了le一yi個ge端duan口kou之zhi後hou，你ni如ru何he才cai能neng夠gou有you效xiao地di對dui係xi統tong的de變bian化hua進jin行xing追zhui蹤zong和he監jian控kong呢ne？有you些xie人ren可ke能neng會hui忘wang記ji曾zeng經jing打da開kai過guo端duan口kou，從cong而er導dao致zhi係xi統tong被bei暴bao露lu。”

　　Matt Luallen是Encari的合夥創始人兼網絡安全博客作者。他強調了處理問題時步驟的重要性。他 說：“充分而且有效的問題處理步驟對 於正確的信息安全項目而言是必不可少 的。這些步驟包括對事件的認定和控 製，對根源問題的認定和排除，對相同 事件的預防
，建立調用樹，將變化寫入 相關文檔幫助區分變化是否經過認證
， 以及適當的升級和報告程序。”

　　Luallen還說：“我們經常會看到用 戶對控製係統的軟、硬件作了改變而沒 有寫入文檔、發布通知，也沒有進行統 一驗證。從安全角度考慮
，這種做法本 身就是違規的。但是，這種狀況無法簡 單地通過技術手段解決。許多情況下， P LC、RTU、中繼器和其他控製係統軟、硬件無法對控製方麵的修改提供驗 證流程。”

　　隻有當相關人員理解了步驟在保障 工廠安全方麵的地位時
，它們的重要性 才得以體現。DHS的報告顯示，社會工 程是受攻擊最多的對象。McGurk感歎地 說：“我們見證了太多的係統弱點和盲 點是由於用戶不合理操作導致的。這些 用戶沒能理解安全防護的重要性。”

　　Idaho國家實驗室DHS CSSP經理Marty Edwards指出，相關人員的思想意識需要 轉變。他說：“無論是在控製係統領域
、 IT領域還是實際的安全領域
，我們在安全 問題上遇到的最大挑戰是如何樹立起安全 意識。無論你的設備來自何方，你都應該 建立起這種意識。你需要把它融入到你的 性格中，加入到你的訓練中。”

　　Edwards說：“從安全角度看，流程 工業領域接觸這種意識已經有一段時日 了。在沒有考慮安全問題之前
，你是不 會開工的。我們必須將這樣的意識深入 腦海，在做任何事之前，都需要考慮一 下安全問題。我們是否可以在用戶會議 上拿出一份包含了所有控製係統內部細 節的網絡結構圖？每個人都能夠快速地 轉換意識
，而且這樣做比更換設備廉價 許多。”