来自商业信息技术(IT)领域的开放协议,如以太网、传输控制协议/Internet协议(TCP/IP)和超文本传输协议(http),如今在工厂车间中很常见。这一事实打破了曾经将过程和机器控制与外界隔绝的局面。
是否有一个真正的问题应该引起自动化专业人员的关注?位于加拿大不列颠哥伦比亚省本拿比的不列颠哥伦比亚理工学院(BCIT)互联网工程实验室的关键基础设施安全研究经理Eric Byres研究了外部入侵过程控制网络的实例。他说,随着开放IT协议的采用,“一个没有任何控制知识的人可以使用比带有Web浏览器的个人电脑更复杂的工具连接到可编程逻辑控制器(PLC)。换句话说,通过借用IT界的网络技术,控制界向全世界打开了一扇门,无论好坏,都可以连接到我们的控制系统。”
Byres作为一个“预言家”在这个行业中处于领先地位,也就是说,他指出了当前的事态,并试图让人们改掉坏习惯,养成好习惯。Byres说:“病毒侵入了核反应堆安全监控系统,黑客攻击了水管理监督控制和数据采集(SCADA)系统,心怀不满的前承包商远程造成了重大污水泄漏。”“显然,这种渗透到我们工厂地板的方式是不可接受的。如果我们要防止它们发生,我们还需要开始采用IT界的一些安全技术。不幸的是,第二次采用的速度比第一次要慢,这使得我们的plc、分布式控制系统(DCS)和SCADA系统面临严重风险。”
如果安全技术已经存在于IT部门,那么在工厂中部署它不应该很容易吗?Byres看到了一个隐藏在投资回报幌子下阻碍更多安全采用的问题。Byres补充说:“通信技术通常是可以证明具有明确投资回报的使能技术。“例如,如果通过安装基于以太网的控制系统,您可以改善工厂车间数据向公司管理层的传输,使他们能够做出更好的业务决策,很少有人会提出异议。另一方面,如果你部署一个复杂的加密方案来提高安全性,很少有人会感受到直接的好处,尽管整个公司可能会变得更好。”
停机时间的差异
密尔沃基罗克韦尔自动化公司(Rockwell Automation Inc.)的高级业务顾问、仪表、系统和自动化协会(ISA) SP99安全委员会主席布莱恩·辛格(Bryan Singer)指出了传统IT安全与工厂所需的那种安全之间的一个差异。Singer指出:“IT环境中的安全与工业自动化和控制环境中的安全存在显著差异。“在工厂环境中,避免停机是至关重要的,如果出现故障,需要立即采取行动恢复生产并最大限度地减少损失。IT部门对维修制造系统没有同样的紧迫感,因此,如果仅仅依靠IT部门,你的工厂可能会面临更大的风险。”
尽管所有互联网用户都经常看到的一些攻击存在风险——病毒、蠕虫、拒绝服务攻击——专家们认为,每天都有一个重大的网络安全风险走进工厂。辛格说:“重要的是要认识到,绝大多数安全漏洞来自公司内部——员工的越界行为和安全程序的缺陷。工厂里每天都有安全漏洞发生,其中许多只是程序错误或人员监管不力的结果。虽然采用正确的技术很重要,但有效管理这种环境中的人员以确保最佳的工厂车间安全性也是关键。”
辛格补充了一些降低风险的建议。首先,他说,必须雇用训练有素的人员,并执行政策,将责任分配给那些可以对任何安全事件负责的个人。其次,不要完全依赖软件供应商进行安全补丁验证。利用ISA提供的技术报告等资源,进行风险分析,然后组建内部团队,制定全面的安全计划。
最后,弗吉尼亚州里士满Weidmuller公司的产品经理弗朗西斯科·塔科阿(Francisco Tacoa)为从事工业网络工作的专业人士提供了一些实用建议。
Tacoa说,加强工业网络安全的第一步是严格执行网络设备的物理安全。这包括所有具有以太网连接的工业设备,如工业服务器、工业制造和加工机器、工业控制器、人机界面系统等。
要认识到,在工业环境中,每个有未使用以太网端口的设备都是一个安全风险点。因此,Tacoa建议在生产车间将这些设备与未经授权的用户进行物理隔离。关键工业网络文件的日常备份是必不可少的。这些备份设备应位于与工业操作分开的物理位置。
根据Tacoa的说法,工业网络安全的第二步是仔细创建和维护用户帐户。正确配置用户帐户可以防止黑客进入工业网络,即使他们获得了对工业系统的物理访问权。在这方面,强烈建议正确生成用户名和密码。例如,工业网络中的强密码可以延迟黑客进入网络。
强密码
使用包含字母(大写和小写)、数字和特殊ASCII符号的密码可能会延迟对工业网络的访问。在许多情况下,这种延迟将为网络管理员提供时间来检测即将发生的入侵事件,因此他们可以在黑客破解与用户名关联的密码之前阻止黑客。除了强大的用户名和密码之外,不断更改这些网络参数也很重要。这可以防止已经获得关键网络信息的黑客使用它。
Tacoa在工业网络安全方面的第三步是增强其安全功能。基本的工业调制解调器并不是增强工业网络安全的最佳选择。寻找诸如集成防火墙、网络地址转换(NAT)、端口地址转换(PAT)、虚拟专用网络(VPN)以及128位加密和IP伪装等强大的安全特性。
Byres总结道:“当以太网第一次被提议用于工厂车间时,每个人都说它行不通。他们错了——控制工程师吸收了这项技术,根据我们的需要进行了改造,很快就占据了整个工厂。现在我们必须对安全技术做同样的事情——不要忽视问题或从头开始,而是吸收和调整技术,使其在我们的世界中发挥作用。”
欲了解更多信息,请搜索关键字“安全”www.myenum.com
![Mps035 Sm 1200x628d [2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
