在最近几年中,安全和安保问题频繁出现OPC技术峰会美国国土安全部控制系统安全项目战略规划主任丽莎·凯泽(Lisa Kaiser)提出的问题最为令人震惊(图为与OPC基金会总裁兼执行主任汤姆·伯克(Tom Burke)合影)。凯撒对日益增长的网络安全威胁进行了冷静、认真的审视,并指出在一个工业组织日益受到特定攻击的世界中,需要采取何种防御措施。
Kaiser展示了近几个月来,随着特定PLC系统受到个人、组织甚至国家机构的直接攻击,活动呈指数级增长。不像以前,主要是追荣者参与的活动,现在的活动可能是非常恶意的。一个零日漏洞的黑市已经出现了,她说:在反恶意软件人员开始工作之前,工业系统中新发现的漏洞正在被用来换钱。
2010年至2011年间,报告漏洞的数量增加了400%。在过去的6个月里,有超过2万份未经授权的互联网访问控制系统的报告被注意到。她传达的信息很明确:工业自动化系统现在是坏人的首要目标。她补充说,对手们变得非常有见识,而资金现在是一个关键驱动因素。目标必须是纵深防御。但是要确保首先解决简单的问题,比如更改“password”这样的可预测密码,并重新命名当前名为“my_user_IDs”的文件。
OPC-UA安全模型
斯伦贝谢钻井部门的Mbaga Ahorukomeye强调了另一种安全措施。他解释了石油和天然气钻井是如何高度自动化的,一旦钻井承包商安装了重型设备,工作人员就可以从偏远地区指导钻井过程。这样就可以对钻头进行密切监测和控制,特别是在深入地下的方向。最近,OPC UA系统被用于帮助数据进出钻头。他说:“OPC UA安全模型是一个加分项。”“如果你去钻井平台告诉某人你正在控制钻井,他会问你,‘你怎么能保证某人没有向我的控制器发送错误的值?’”
OPC UA安全的价值主张,特别是“开箱即用”的能力受到许多发言者的赞扬。SAP的Veronika Schmid-Lutz表示,她的公司已经在顶层和车间之间使用OPC DA和HDA进行数据传输,但“我们的战略正朝着OPC UA方向明确发展。”对于SAP来说,安全是我们公司的热门话题之一,她说,如果我们能开箱即用安全机制,“这对我们非常有价值。”
其他发言人一致认为:OPC基础板公司罗克韦尔的Stephen Briant说,安全是自动化面临的最大挑战之一,而Yokogawa的Dave Emerson也是一家板公司,他说OPC UA的内置证书是“我们处理关键行业的有力驱动力”。奥兰多环球公园和度假村信息技术集团的最终用户马克·康德(Mark Conde)介绍了ICONICS的系统和OPC产品如何帮助环球保护其奥兰多主题公园的客户和设备,在那里,安全是绝对优先的。(康德的演讲包含在本通讯的“OPC UA在OPC技术峰会上占据中心地位”一文中。)
认证让生活更轻松
在认证方面,美国亚利桑那州斯科茨代尔市OPC基金会认证与测试实验室主任Nathan Pocock对最新发展给出了有价值的见解。Pocock强调了OPC合规的历史,从最初的自我认证过程开始。遵从性测试工具随后出现,然后在2006年成立了一个正式的OPC测试实验室。今天,OPC基金会使用认可的测试实验室(北美的Scottsdale实验室和德国的一个实验室),根据旨在增强可靠性和互操作性等方面的严格程序来测试产品。
“这是一个为OPC产品定义质量指南的完整程序。”可以表示。质量,他说,包括五个核心竞争力:合规性(规范);互操作性(即插即用);稳健性(产品在好的和坏的情况下工作和恢复的能力);效率(避免CPU过载、内存泄漏);和可用性。Pocock说,后者与用户期望有关。OPC产品是否如所述执行?文档存在吗?这是准确的吗? Does the product perform in a way that is consistent with the overall OPC way of doing things?
Pocock说,认证意味着产品已经在opc认可的测试实验室中进行了测试,达到或超过了这些质量指南。程序独立执行,完全公开。合规工作组定义了一切。他说:“我们不断改进我们的程序,并开发测试用例来测试产品。”所有的工具和测试用例都可以在网上免费获得,从而使供应商能够从头开始生产高质量的产品。在将产品送到测试实验室之前,供应商必须进行所有的初步测试。“一旦产品提交,我们就会进行自己的独立测试,一切都受到这些‘程序’的严格控制。’我们稳定地完成所有测试用例,逐步将结果反馈给数据库,以确保每个人的一致性。”波考克说,截至今天,已经有42种认证产品,还会有更多。自我测试将被逐步淘汰,因为它不能提供所需的信心水平。
Pocock介绍了3M公司的Bill Cotter,他解释了自己对认证的看法。“这一切都是关于‘我’——终端用户,”他说。“没有人会说认证不是一件好事!”但这不是一个单一的世界。我们必须把不同的东西混合在一起,所以我们必须做测试。我特别喜欢测试健壮性的想法,”他说。“我很高兴知道,压力过后,一切都会恢复正常。”他指出了对供应商的价值主张:“他们(OPC基金会)给了你测试产品的方法,他们给了你工具——还有什么比这更好的呢?我认为这是很有价值的,因为它会让你以自己想不到的方式思考考试。”
科特的原话是:“我只想把工作做完,这样我就可以回家看孩子了。”Pocock对此表示赞同:“如果您现在使用opc认证的产品,您的生活会更轻松。”
这个OPC技术峰会发言人演示幻灯片(根据国土安全部的要求,Lisa Kaiser“安全”演示除外)已提供给公众下载在OPC基金会网站。参观DHS控制系统安全计划网站了解更多关于美国国土安全部工业控制系统安全资源的信息。
![Mps035 Sm 1200x628 D[2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
