如果你想让一群控制工程师闭嘴,只需说“震网病毒”。
在2010年中期,黑色帽子接手基于软件的监控,在植物的高度针对性的攻击了一把。相似类型的恶意攻击,当然,已经在个人计算领域工作了几十年,一个地方免受恶意软件的战斗早已非常明显的土地。悲痛的波浪已经在那个宇宙洗净,由于蠕虫,病毒,错误引导,应用程序停机,故意文件损坏,你的名字。
尽管如此,当Stuxnet将恶意软件带入工业聚光灯时,还是有些令人惊讶。大量猜测表明,这次袭击是针对特定国家的,目标是军事发展。如果你制作的是橙汁饮料而不是核武器,这可能会让你松一口气,但现在幽灵又出现了,而且不会消失。
不幸的是,它是没有无害的可怕之处。越接近你的产品有助于军事应用,国家安全和社会基础设施,更可怕的准备。但是,如果你可以简单地把你的下一个网络开箱,检查其标签或文档安全标准的合规性和放松,知道你的整个控制系统将不受攻击?
是的,弗吉尼亚,标准或者已经到位或即将被。
标准到位
今天可用的个别设备携带认证,他们符合Wurldtech,温哥华,B.C.安全技术公司在Achilles Moniker下提供网络安全 - 特别是用于通信安全认证。基于荷兰联盟WIB的基础(WERKGROUP VOOR仪器BEOORDELING;在仪器行为中的英语,工作组),Achilles设备认证和围绕良好的网络产品开发实践的第二个Achilles Process认证奠定了一系列要求和相关认证供应商的计划跟随......改善整个工业系统的整个生命周期的网络安全流程和实践质量。“
WIB和Wurldtech受益于壳牌、英国石油、英维思、霍尼韦尔、ABB、陶氏、杜邦、沙特基础设施公司和其他一些高度安全意识的工业领域的大型企业的广泛工作和投入。
两个WuRLDTECH认证类型说明了保护系统的两个主要策略:一个专注于特定设备的特定操作参数;另一方面侧重于工业网络组件制定的研究和开发流程。第一个测量内置于设备中的功能的能力,以防止未经授权访问特定攻击套件。第二个规定了创建恶意软件抗性组件所需的设计标准和可用网络安全功能,其目的是确保培训的实施者可以使用所需的一切攻击攻击。
在未来,制造设备将按照诸如ISA99工业网络安全委员会发布的标准进行认证。与大多数国际自动化学会(ISA)标准一样,这些标准是全面的,从概念化到标准发布的过程必然是一个漫长的过程。
委员会对其目的的描述强调了广泛的范围:“制定和建立标准,建议的做法,技术报告和相关信息,这些信息将定义实施电子保护工业自动化和控制系统和安全实践的程序,并评估电子安全性能。指导旨在负责设计,实施或管理工业自动化和控制系统的人,并还适用于用户,系统集成商,安全从业者和控制系统制造商和供应商。“
我们需要标准吗?
一般来说,用户想要标准,至少根据最近的民意调查自动化的世界读者(见边栏,“是,否,可能”),其中65%的受访者表示,他们希望设备获得网络安全认证。但是,无论网络枪击事件的是非黑即白,这些问题仍有许多灰色地带。
Kenexis安全公司首席顾问兼ISA99委员会联合主席Bryan Singer说:“很多人都想要架构。“‘告诉我们架构是什么,我们就完成了,’他们说。但是技术变化太快了,无论是控制技术还是恶意软件技术。答案在于设计过程——实践和程序、系统调试策略、操作和维护系统的设计。”
在某种意义上,ISA99标准有一个良好的开端。In addition to WIB/Wurldtech parameters, ISA99 has welcomed basic concepts from guidelines and strategies across a number of industries, including roadmaps issued by the U.S. Department of Homeland Security, North American Electric Reliability Corp.’s (NERC) Critical Infrastructure Protection (CIP) guidelines, Airlines Electronic Engineering Committee (AEEC) Network Infrastructure and Security (NIS) reports, U.S. Federal Energy Regulatory Commission (FERC) security plans and programs, and similar, industry-specific initiatives.
“如果你必须用几句话总结一下,”歌手说:“这是最好的做法 - 对它进行思考,对它的设计正确,对吧。听起来很简单,有时它是,但是这是一个基本概念背后很多努力。“
在ISA99委员会已经发布了它的第一个技术报告,ISA TR99.03.01,“安全技术用于工业自动化和控制系统。”关于这份报告中,辛格说:“我们通过所有你通常会使用一个安全控制系统技术,包括防火墙,虚拟局域网(LAN)的,杀毒软件和一堆更去了。其结果是工业环境能力的评估,试图描绘的关键因素。这是绕过防火墙和许多恶意软件预防战略和战术的长处和弱点的好文件。”
一些必要的思考和实践直接类似于围绕安全的那些。辛格说:“你需要以维护安全的同样原则来对待安全问题。”“对于安全水平,你们有严格的启动和程序——为什么我们对网络没有同样的东西?”
DeltaV产品营销经理、艾默生过程管理公司安全架构专家Bob Huba强调了安全的类比。“对于[工业安全标准]IEC 61508或IEC 61511,你有牢固的代码和程序,它们经过了良好的测试,超出了正常的控制系统行为。有必要采用同样的需求,并将它们带到安全方面。你可以有不同级别的安全系统,同样的基于级别的方法也可以在安全领域发挥作用。”
建立合适的工具
“责任现在是遵循最佳做法,无论他们在哪里可以找到,”虎霸说。“用最好的工具来创建最安全的系统。很多的过程中是可用的。现在缺少的,现在是一套完整的工具,让你说,最好的解决方案是在地方和工作。标准将帮助人们确定他们做他们需要做的一切。”
更多的测试选项在混合中,其中一个是ISA工业安全合规研究所(ISCI),其嵌入式设备安全保证测试ISASECURE。ISCI创始成员包括雪佛龙,埃克森美孚研究和工程,霍尼韦尔,Invensys运营管理,西门子和横河川。主要技术成员包括exida,mu动力学和罗克韦尔自动化。在巩固方法和实践的举动中,ISASecure的测试规范在去年10月宣布的举动中与Wurldtech Achilles的测试规范合并。
与此同时,不管有没有认证或标准,有几种方法可以减轻对恶意软件的恐惧,首先是封锁任何未经授权访问网络的方式:安装防火墙、分配并强制执行密码、移除或锁住键盘、禁用USB连接器、扔掉废弃的软盘或磁带驱动器等等。
由于许多组织在各种各样的行业中围绕类似的工业控制系统的安全问题进行工作(也因为许多威胁遵循类似的路径),所以在所有可用文档中的规则、开发程序和测试参数之间有大量的相似之处。
英维思运营管理公司(Invensys Operations Management)控制系统网络安全项目经理Ernie Rakaczky指出:“现在从事ISA99的许多人都是多年来早期项目的一部分。“我们彼此了解,并开始尊重对方对情况的看法。这些零碎的东西可能是不同的,但一群核心的人在很长一段时间内都是一样的。”
Rakaczky引用了三个要素,任何方法都应该采取。“首先,有控制系统的具体细节。您如何分配或更改密码?谁得到了用户特权的?最小化访问的最佳方式是什么?“
其次是一套关于如何实施系统的指导标准,从项目管理,到系统基线和参数,到验收标准,到更新最终系统的方法和方法,因为,正如他所说,“在安全方面没有什么是最终的。”
“第三个要素是驱动安全程序如何实施和管理的文档或文档集,”他说。“我们的目标是确保我们正在做所有我们需要做的事情来支持这个系统,并确保我们已经创建了最好的安全保护伞。”
Rakaczky补充道:“实际上,从供应商的角度来看,安全设计确实应该是一个质量保证程序。当您等到最后才获得认证时,您等待的时间太长了。它应该被构建到正在进行的开发测试、代码和所有东西中。如果某些内容不符合标准,我们便很难回到开发周期中去。”
大的攻击,大的钱
还有的情况一些明确的积极的一面。一个主要一个是投资黑色帽子微薄的财务回报。“细节和投资的Stuxnet的水平是令人难以置信的,”中指出,在罗克韦尔自动化安全业务开发经理查尔斯·胡佛。“有很多的不一般称为水平所需的技术知识,和一个巨大的涉案金额。有四个不同的零日漏洞攻击吻合把它和那些每一个成本很多钱,没有任何回报可能的,比方说,通过渗透银行的数据库或吸掉百万信用卡帐户“。底线:思想的奖励一般会超过任何经济利益,使努力难吃的最黑的帽子。
“不过,”他说,“一个心怀不满的员工都可以怀有强烈的意识形态动机。对大多数的这些低于Stuxnet的情况下,保护最关键的是一个强大的厂区模型,使您可以部分富裕地区。您需要确保关键领域保持锁定下来。这可以简单的拒绝泄露密码,因为有人忘了,至少要等到你确定这个人确实有它的权利。”
标准开发的水平和细节(以及认证计划的后续增长)运行广泛和深刻 - ISA99倡议需要很长时间的原因之一。现在,防病毒软件,强密码程序,网络流量的入侵监控和删除易于访问的物理端口构成了最基本的程序。在几年内,在工业网络上不断增长的保护层将包括围绕程序,系统设计和日常操作的多种最佳实践,量化为公认的标准。
2011年5月,相关专题-自动化世界读者投票:是,不是,也许
要阅读这篇专题文章,请访问//www.myenum.com/feature-8770
![图像数字双胞胎[1]](https://img.automationworld.com/files/base/pmmi/all/image/2021/08/image_digital_twins_1_.611ed6baecbce.png?auto=format%2Ccompress&fit=crop&h=146&q=70&w=340)
