我工业网络容易受到病毒和黑客攻击,这已经不是秘密了。但是,尽管人们的意识有所提高,但为防止问题而采取的行动仍然从最低限度到那些具有隔离和多层保护的行动。
随着网络的广泛使用和与前台部门联系的密切,推动了向以太网的转变,这种变化也带来了病毒、黑客攻击和其他困扰企业信息技术部门的问题的威胁。不管他们是心怀不满的员工还是邪恶的局外人,善意的员工和恶意的人一样会带来很多问题。
尽管现在人们普遍认识到了这种威胁,但安全问题往往被更紧迫的问题所推迟。“那些不关注安全的人知道这很重要,但这不是他们关注的焦点。通常情况下,当一些事情发生时,这种情况就会发生变化,”Bill Lewins说,他是罗克韦尔自动化公司专注于软件安全的需求分析师。这家总部位于密尔沃基的大型自动化供应商。
对于那些认为网络安全问题可以等到明天解决的人来说,有一些好消息,因为目前攻击并没有迅速增加。但缺点是,那些花时间深入研究制造网络的人知道他们在做什么。
“我们不再看到事件激增,但它们的严重程度正在上升。就像在信息技术(IT)领域一样,我们看到了更集中、更智能的攻击,目标是尽可能多地赚钱,”加拿大不列颠哥伦比亚省兰茨维尔的工业安全服务和咨询公司Byres Security Inc.的首席执行官埃里克·拜尔斯(Eric Byres)说。
越来越多的攻击是敲诈勒索。黑客表明他们可以进入网络的关键部分,然后要求现金不部署他们的程序。一些公用事业公司已经支付了勒索,制造公司不太可能不会成为目标。这些攻击比那些为了好玩而攻击的黑客更难防御,这迫使我们改变保护方案。
自动化解决方案提供商西门子能源与自动化公司的过程自动化营销经理Todd Stauffer说:“建立一个分层结构很重要,每个单元都受到保护,不受其他单元的影响。”
构建层
T他的结构化方案从一个即使在简单的家庭网络中也很常见的基本元素开始。加拿大不列颠哥伦比亚省温哥华的工业网络安全公司Wurldtech Security的首席技术官内特•库贝(Nate Kube)表示:“任何有安全意识的用户都会在设备前安装防火墙。”
然而,相似之处仅此而已。为复杂的工业网络安装防火墙涉及许多不同的因素。许多工厂网络包括一些较老的设备,数据传输速度较慢,缓冲区较小,如果它们甚至有缓冲区的话。如果它们过快地获得太多数据,缓冲区堆栈就会溢出,从而导致严重的问题。
作为它们工作的一部分,连接到这类设备的防火墙必须保护它免受这些问题以及其他问题的影响。“防火墙应该提供特定于设备的速率限制,它们应该进行包过滤以保护控制器不受畸形数据包的影响,它们应该自动配置自己以保护什么,所以工程师不需要知道防火墙在做什么,”Kube说。
虽然防火墙是强大的第一道防线,但它们不是万灵药。Byres说:“设置防火墙是有帮助的,但在这之下必须有其他级别的安全,层层防御一直到可编程逻辑控制器(plc)。”
孤立主义政策
一个另一层保护是在网络及其节点被隔离时出现的。这种隔离的一个方面是防止任何问题进入工厂网络。另一个好处是,如果有什么东西进入,它的影响将仅限于几个节点。有许多不同的方法将设备与可能导致问题的齿轮分开。首先是尽量减少与前台系统的联系,因为前台系统要处理更多的外部联系。这可以通过不同的技术来实现。
“如果你不在互联网上,你的安全水平很高。我们通过工作站而不是交换机与外界连接,这有助于使我们的网络与公司内的其他局域网(lan)高度隔离,”自动化供应商艾默生过程管理系统和解决方案部门的Delta V产品经理鲍勃·胡巴(Bob Huba)说。
另一种方法可以减少硬件部署,但仍然可以最大限度地减少公司的企业网络和制造网络之间的交互。位于加州Temecula的自动化供应商Opto 22的高级应用工程师詹姆斯•戴维斯(James Davis)表示:“我们将控制网络与公司网络隔离开来,使用一个端口用于企业访问,而将所有工厂层的I/O(输入/输出)放在另一个端口。”
一些隔离技术提供了系统改进和安全性。戴维斯说:“我们还关闭了除特定用户使用的端口外的所有端口,这提高了安全性并节省了带宽。”
当工程师们试图隔离甚至连接设备时,他们经常会遇到在传统前台网络中不常见的挑战,因为大多数硬件都是相当新的。Wurldtech的Kube说:“很多设备的寿命都是15年,所以以太网被那些对以太网堆栈不太了解的人甩在了背后。”他补充说,这些独一无二的界面通常需要特殊处理。
向众所周知的以太网和传输控制协议/Internet协议(TCP/IP)技术的转变为问题打开了大门,使用其他常见技术也带来了问题和头痛。使用Windows -
兼容软件有助于降低成本、兼容性和易用性,但它为设计工程师和维护人员提供的熟悉性也简化了黑客面临的挑战。
这促使一些公司专注于保护运行这些程序的硬件。总部位于加州圣何塞的大型网络设备公司思科系统公司的行业解决方案经理丹·奈特说:“我们基本上可以锁定终端,比如使用基于windows的HMIs(人机界面)的应用服务器,并在不知道病毒特征的情况下提供保护。”他补充说,这也使得按照适合设施的时间表部署补丁变得更容易。
常用软件正越来越多地渗透到工业控制程序的各个方面。这可能会给那些负责保护工厂网络的人带来意想不到的问题。“像微软SQL Server数据库这样的流行程序很容易受到攻击,但通常情况下,人们不记得甚至不知道他们正在运行这些程序。许多人机界面程序都使用SQL数据库,而SQL数据库正被用于存储更多的历史数据和工程数据,”西门子的Stauffer说。
锁定
T针对外部实体的保护是网络安全的重要组成部分,管理人员还必须保护设备不受来自公司内部的问题的影响。攻击可能来自怀有恶意的员工或承包商,但问题往往是由于员工没有意识到他们的行为会导致问题。
这些无意识行为中最常见的一种源于笔记本的使用。便携式计算机使得使用一个通用硬件平台访问许多不同的设备变得更简单,降低了成本,并帮助工程师使用单一的用户界面工作。
但当员工把笔记本带回家进行远程工厂监控,或在休息时用笔记本浏览网页时,问题就会出现。如果笔记本电脑感染了病毒或其他恶意软件,下次在工厂使用笔记本电脑时,这个程序就可以很容易地攻击工厂。
一些供应商通过简单地取消便携式设备来避免这个问题。艾默生的Huba说:“我们不使用笔记本电脑这样的浮动设备,我们使用专用的工作站。”他解释说,这些工作站负责配置和维护。
技术问题是保护的关键,但它们只是分层方案的一层。一个不可避免的事实是,重视安全的企业文化,加上良好的培训,可能比任何硬件或软件都更有影响力。“培训和推动文化发展仍然是最关键的事情。这项技术本身是无用的,”Byres说。
首要步骤之一是确保员工认识到安全对公司底线的重要性。例如,密码是网络的钥匙,但密码保护往往松懈。这是因为公司经常忽略那些对密码漫不经心的人。
安全文化
“C总部位于加州欧文市的设备网络解决方案提供商Lantronix公司的高级现场应用工程师Shaye Shayegani说:“公司不会把那些用便利贴把密码贴在电脑上的人与把门禁卡挂在门口的人区别对待,但这是一回事。”
公司还可以使用这些密码建立一个分层结构供人员访问。许多公司给大多数员工提供类似的访问级别,但这通常不是最好的方法。罗克韦尔的Lewins说:“密码是关于你能做什么和不能做什么的授权,比如应用域策略来决定谁可以上传或下载程序。”
或者,公司可以限制人员使用特定的系统或限制他们的沟通方式。Opto 22的戴维斯说:“我们限制人们使用特定的电脑和协议。”他指出,作为提供额外安全性的一种方式,服务器会自动记录每个访问控制程序的人。
虽然控制人们的访问权限是安全的一个重要方面,但许多公司尽最大努力实现通信自动化,以便除非需要他们的决策输入,否则不涉及人员。“机器与机器之间的通信更容易,因为机器总是按照程序进行。他们确保只通过授权设备发送和接收信息,”Lantronix的沙耶加尼说。
内幕信息
一个处理人为因素的另一个方面是保护软件。专有编程通常是公司投资组合中的一个重要元素,因此确保它不受损害是成功的关键因素。
“原始设备制造商和大客户希望保护自己的知识产权。这些机器可以相当容易地复制,但它们背后的代码却不那么容易复制,”Lewins说。
在这里,内部问题最有可能引起问题。一个关键问题是,确保将标准设备转变为公司产品高效工具的关键软件不会被想要调整一个步骤的人所改变。“你想要保护你的代码不受好心员工的伤害。你不希望有人修改代码,因为它很少会引起问题,”Lewins说。
一个相关的方面是提供方法,以确保维护人员和操作人员知道他们正在工作的设备是哪一部分。在复杂的网络系统中,很容易改变错误的机器。Lewins说:“当人们真正想要改变生产线2时,他们需要一些方法来确保他们没有改变生产线1。”他补充说,限制员工只使用他们知道的设备对避免这类事故很重要。
将所有这些技术和人为因素融合到一个连贯的战略中并不是一夜之间就能解决的挑战。必须将IT经理与其他团队一起召集起来,以创建一个有凝聚力的方法。供应商提供了一些帮助,但他们的帮助不能被视为轻松阅读。“我们有200页的配置手册,解释了建立安全分布式控制系统的步骤,”Stauffer说。
更多信息,搜索关键字“安全”在www.myenum.com.
