引自:中国工控网
简介
监督控制和数据采集(SCADA)网络包含了为国家各领域提供基本服务和日用品(像电力、天然气、汽油、水、废物处理、交通)执行关键功能的计算机及应用程序。同样的,他们也是国家关键基础设施的一部分,也需要得到免遭当今网络空间各种威胁的保护。通过允许采集分析数据以及远程控制设备(像泵和阀门),SCADA网络提高了效率并且被广泛应用。然而,他们也面临着安全风险。SCADA网络最初的设计是为了功能最大化,很少考虑安全性。结果,DCS和SCADA的性能、可靠性、灵活性和安全性很健壮,但是这些系统的安全防御方面通常很弱。这就使一些SCADA网络很容易受到中断服务、过程重定向或篡改操作数据等的攻击,造成公共安全问题,严重损害国家关键基础设施。作为充分保护国家关键基础设施的一部分,所有的组织、政府或商家都需采取行动保护他们的SCADA网络安全。
关键基础设施保护委员会和能源部已经制定了在此概述的几个步骤,帮助任何机构提高他们的SCADA网络安全性。这些步骤并不是规定性定或者包罗一切的,然而确实是提高SCADA网络的安全性要采取的必要的步骤。这些步骤被分为两类:改善操作的具体措施;建立必要潜在的管理过程和政策的措施。
背景
美国总统布什通过13231号执行命令在2001年10月建立了关键基础设施保护委员会,目的在于协调所有涉及信息系统保护和支持关键基础设施的网络的联邦活动。其中包括:
联邦政府部门和机构
运行的关键基础设施的私营企业
国家和地方政府的关键基础设施
相关的国家安全项目
按照国土安全国家战略的说明,能源部在保护关键能源基础设施中扮演着重要的角色。为了完成此任务,负责独立监督和性能保证的能源部部长已经对拥有SCADA网络的组织机构进行了一系列评估,目的在于深入了解SCADA网络并且制定出保护这些网络的必要的步骤。能源保障办公室在与联邦政府、州政府及私营伙伴配合工作时还履行了能源部的责任,为了保护国家能源基础设施、提高能源可靠性以及协助能源应急响应做出的努力。
提高SCADA网络安全的21个步骤。以下几个步骤是提高SCADA网络安全的具体措施:
1.
确认所有与SCADA网络相连的连接
进行彻底的风险分析,评估每个与SCADA网络相连的连接的风险和必要性。全面地了解所有的到SCADA网络的连接,以及这些连接的被保护的程度。鉴定和评估以下类型的连接:局域网和广域网,包括商业网络;互联网;无线网络设备,包括卫星上行链路;调制解调器或拨号连接;与商业伙伴、供应商或监管机构相连的连接。
2.断开与SCADA网络不必要的连接
为了确保SCADA系统最高级别的安全性,尽可能的将SCADA网络与其它网络连接进行最大程度的隔离。任何与其它网络的连接都会带来风险,尤其是当这些连接创建了到互联网的双向路径的情况下。虽然与其他的网络直接连接可以高效方便的传输重要信息,但是不安全的连接不值得冒这个风险;为了提供所需的保护,必须将隔离SCADA网络作为基本目标。使用“隔离区”(DMZ)和数据仓储之类的策略有助于SCADA网络到商业网络的数据传输的安全。然而,这些策略必须精心设计并且合理执行,避免通过不合理的配置引入附加的风险。
3.评估并加强剩余所有与SCADA网络相连的连接的安全性
对剩余所有与SCADA网络相连的连接进行渗透测试和漏洞分析,评估与这些连接路径有关的保护形式。使用这些与风险管理流程有关的信息,制定一个强健的方案来保护所有到SCADA网络的路径。由于SCADA网络的安全性与其中最弱的连接点有关,所以在每个接口点部署防火墙、入侵检测系统(IDS)和其他的恰当的安全措施是很有必要的。配置防火墙的规则限制与SCADA网络之间的访问,同时在允许认可的连接时,做到尽可能的明确具体。例如,不能仅仅因为需要连接到SCADA系统的某些组件,就授予独立系统运营商(ISO)
“无限制的”网络访问。战略性地在每个入口点部署入侵检测系统IDS,警示治安人员潜在的网络安全破坏。组织管理部门必须明确并对任何与SCADA网络相连的连接引起的风险负责。
4.通过移除或禁止不必要的服务来巩固SCADA网络
基于商业的或开源操作系统的SCADA控制服务器通过默认的网络服务会面临遭到攻击风险。最大可能的移除或禁止不必要的服务和网络后台程序,以便降低直接攻击带来的风险。这一点在SCADA网络和其他网络互联时尤为重要。不轻易允许SCADA网络上的一项服务(或性能),除非有一份全面的风险评估证明这项被允许的服务(或性能)给SCADA网络带来的利益的概率远远大于其漏洞侵入的概率。从SCADA网络移除的服务的例子包括自动仪表读数/远程计费系统、电子邮件服务和互联网接入,禁用性能的一个例子是远程维护。公共领域有很多关于商业和开源操作系统的安全配置指南,像国家安全局的一系列安全指南。除此之外,通过与SCADA供应商密切合作来识别安全配置、协调操作系统的每项变化和总体变化,以确保移除或禁止服务不会引起停车、服务中断或失去某些支持。
5.不要依赖于专属协议保护你的系统
一些SCADA系统使用唯一的,专属协议实现现场设备和服务器之间的通讯。通常情况下SCADA系统的安全性只与这些协议的保密性有关。不幸的是,模糊的协议只提供极少的“真正的”安全。因此,不要依赖于专属协议架构或工厂默认的配置来保护你的系统。另外,要求供应商公开任何与你的SCADA系统相关的后门程序或供应商接口,期待他们能提供安全性好的系统。
6.实施设备和系统供应商提供的安全性能
大多数旧的SCADA系统(多数还在使用中)没有任何的安全性能。SCADA系统拥有者一定会坚持认为他们的系统供应商以产品补丁和升级的形式实施安全性能。一些较新的SCADA设备会连同基本的安全性能一同推出,但是为了安装简便,这些性能通常被禁用。
分析每个SCADA设备来确定安全性能是否还存在。另外,出厂默认安全设置(像在计算机上安装防火墙)通常提供最大限度的的可用性,但是只有最低限度的安全性。因此应该实施所有的安全性能来提供最高级别的安全性。除非在全面评估了减低安全级别引起的后果的风险后,才允许实施低于最高安全级别的设置。
7. 有效控制作为进入SCADA网络的所有媒介
SCADA系统中后门程序或供应商连接存在的地方必须执行认证来保证通信的安全。通信和维护使用的调制解调器、无线和有线网络对SCADA网络和远程站点而言都意味着一个重大的漏洞。成功的“战争拨号器(war
dialing)”和“驾驶攻击(war
driving)”可以使攻击者绕过所有的其他控制直接访问SCADA网络或相关资源。为了最小化这些攻击的风险,禁用入站访问并用一些回拨系统代替此类访问。
8.使用内部和外部的入侵检测系统并且建立全天候实时监测
为了更好地应对网络袭击,应该制定一个包含对网络管理者恶意使用内部或外部资源的行为警告的入侵检测方案。入侵检测系统必须24小时都工作,这个性能用一个寻呼机就很容易实现。另外,在遇到攻击时,事件反应程序必须恰当地批准一个有效的反应措施。为了补充网络监测,在所有系统上安装记录装置并且每日审查这些记录,从而尽快检测出可疑活动。
9.
通过对SCADA设备、网络和其他与之相连的网络进行技术审核来鉴定出安全隐患
SCADA设备和网络的技术审核对于不间断的安全效果非常重要。许多商业的和开源的安全工具很容易获得,这就使系统管理者可以对他们的系统/网络进行审核从而鉴定出激活的服务、嵌补等级以及通常的漏洞。使用这些工具不能解决系统问题,但是可以去除这些攻击者可以利用的“障碍最少的路径”。先分析这些漏洞并且确定它们的重要性,然后采用恰当的纠正措施,接着跟踪这些纠正措施,最后根据追踪所得的信息来确定其发展趋势。除此之外,在采取纠正措施后再次测试系统,保证漏洞确实被去除。积极地扫描非生产环境,鉴定并处理潜在的问题。
10.通过实施物理安全调查并且评估所有连接到SCADA网络的远程站点来评估其安全性
任何连接SCADA网络的地点都是一个攻击目标,尤其是无人管理和无人防备的远程站点。对每个和SCADA系统相连的设备实施物理安全调查和接入点详细清单。鉴定并评估任何信息源包括远程电话/计算机网络/光纤;可利用的无线电广播设备和微波;可访问的计算机终端;以及无线局域网接入点。鉴定并去除故障的单个接入点。站点的安全防御必须足以检测或阻止未经授权的访问。不要仅仅为了方便起见,就允许网络访问无人防备的站点。
11.成立SCADA“警报小组”来鉴定和评估可能的袭击情况
成立“警报小组”来鉴定潜在的攻击并且评估潜在的系统漏洞。召集各类深入了解整个网络、SCADA系统、物理系统和安全控制的劣势的人才。每天和这些系统打交道的人深刻理解SCADA网络的漏洞,因此在鉴定出潜在的攻击情况和可能的结果时应该咨询这些工作人员。同样地,考虑到组织机构面临的重要威胁之一,必须确保对恶意人员造成的风险进行全面性评估。然后将“警报小组”评估的反馈信息输入风险管理过程中来评价这些信息并且制定出适当的保护方案。
以下步骤强调建立有效的网络安全规划的管理措施。
12.明确规定经理、系统管理员和使用者的网络安全的角色、职责和权限
组织人员应该了解通过清晰合理的角色和职责划分,保护信息技术资源能达到的的具体预期。另外,应该赋予重要员工足够的权利以执行分配给他们的职能。建立一个网络安全组织架构,规定角色和职能,明确确定网络安全问题是如何逐步增强的以及紧急情况下需要通知哪些人员。
13.为关键性能提供服务或包含机密信息的网络结构文件和验证系统需要额外的保护
开发一个强健的信息安全架构并对其存档是制定有效保护策略的一部分。设计网络时时刻注意其安全性和在网络的整个生命周期中都能很好地理解其网络架构是很有必要的。特别重要的一点是,需要深入理解系统的功能和存储信息的机密性。理解不透彻就不可能合理地进行风险评估,从而制定的保护策略也不充分。对信息安全架构和其部件的存档对于全面理解保护策略和识别单个故障点是很重要的。
14.建立一个严格的、持续的风险管理程序
深入理解由拒绝服务攻击或机密信息泄露的造成的网络计算资源风险对一个有效的网络安全规划是很重要的。从这些理解的技术基础出发进行的风险评估对制定一个有效的方案,减轻漏洞、维持计算资源的完整起着关键性作用。首先,执行基于当前威胁评估的基准风险分析用于制定一个网络保护策略。由于技术的快速发展以及每天都会出现新的威胁,需要持续的风险评估程序,这样可以对保护策略进行常规例行的更改,以保证其有效性。风险管理的基本原则是合理利用网络保护策略鉴定残留风险,并且通过管理容纳这些风险。
15.建立一个基于纵深防御的网络防护策略
作为任何网络保护策略的一部分,其基本原则就是纵深防御。早在开发过程的设计阶段就必须考虑到纵深防御,此外,在所有有关网络的技术性决定中也都必须考虑到纵深防御。利用技术手段和行政手段最大限度地减轻网络所有层次上已鉴定的漏洞所带来的风险。避免失效的单点,网络安全防御必须进行分层限制和控制任何安全事件带来的影响。另外,保护每一层免遭到其他系统同一层的攻击。例如,为了避免遭受内部威胁,限制用户只能访问执行工作时所必需的资源。
16.明确网络安全要求
组织机构和公司需要一个带有强制要求的有组织的安全规划来确立期望值并允许相关人员承担责任。形式化的工作准则和工作规程主要用于建立网络安全规划并对其制度化。一个正式的规划对在整个组织上下建立一个基于标准的一致的网络安全途径,消除对个体主动性的单独依赖很有必要。这些政策和程序告知了员工他们所承担的网络安全责任以及没有履行这些责任会带来怎么样的后果,同时也提供了在网络安全事故中要采取的相关措施。作为明确网络安全要求的一部分,应该包含用户契约、通告和警告标语。为降低来自内部恶意人员的威胁,应明确相关要求,包括执行背景调查和将网络特权限制到必不可少时的需求
17.建立有效的配置管理程序
维持网络安全所需的一个基本管理程序是配置管理。配置管理包括硬件配置和软件配置。硬件和软件的更改很容易引入损害网络安全的漏洞。因此,要求管理程序能评估和控制任何变化,以确保网络一直处于安全状态。
18.实施日常自我评估
需要强健的性能评估程序向组织机构反馈网络安全政策和技术实现效能。一个机构成熟的标志就是它可以自我检测问题、分析根本原因以及采取有效改正措施解决系统和个人的问题。自我评估程序通常是有效网络安全项目的一部分,它包括日常扫描漏洞、自动化审计网络以及对机构和个人性能的自我评估。
19.建立系统备份和灾难恢复计划
建立一个考虑到从紧急情况(包括网络攻击)中快速恢复的灾难恢复计划。系统备份作为任何计划的重要组成部分允许网络的快速重建。例行公事地练习灾难恢复计划,以确保计划的有效性和工作人员对计划的熟练。然后依据练习所得的经验教训合理地调整灾难恢复计划。
20.高级组织领导层应建立实施网络安全的期望,并且保证个体对他们的行为负责
有效的网络安全性能需要组织机构高层管理者的保证和领导力。高层管理者建立一个对网络安全的期望值,然后传达给组织中所有的下属管理者是很重要的。同样,高层领导建立一个实施网络安全规划的结构也很重要。这个结构将提升维持网络安全的能力以及规划实施的一致性。接下来个体对其职能负责也很重要因为这关系到网络安全。这些个体包括管理者、系统管理员、技术人员和用户/操作员。
21.
通过制定政策、实施培训来降低组织人员因疏忽而泄露有关SCADA系统设计、操作、安全控制等机密信息的可能性
有关SCADA网络的数据发布遵循严格的、需要知晓的基本原则,只发给明确授权可以接受这些信息的人。“社会工程学”,通过向初级用户提问收集有关计算机或计算机网络信息,这经常是恶意攻击计算机网络的第一步。关于计算机/计算机网络的信息泄露的越多,计算机/网络越易受攻击。除了明确授权允许接收这些数据外,否则绝不要在电话上或对个人泄露有关SCADA网络的信息(包括操作者/管理者的姓名和联系方式、计算机操作系统以及计算机和网络系统的物理和逻辑地址)。任何不明人员获取信息的请求都需要发往网络安全中心站点进行审核和执行。在其他安全网络中人员可能是个薄弱环节。实施信息意识培训,确保员工在保护机密网络信息,尤其是密码方面的勤奋工作。
