引言
本文主要谈论了当今以太网交换层的网络安全性选择问题,并且为开发安全性系统和计划的工业操作提供了基本路标。工业系统应该吸取支持工厂和支持远程操作的有效、可靠和安全的高级网络技术的优点。和SCADA系统一样,继电器和其它的一些工业控制、监视和管理系统变的更加智能,为改进工厂性能、远程维护和管理提供了大量的数据。然而,虽然有技术上的优势,但是机遇与挑战并存。
安全性概述
在当今不确定的世界里,安全性作为一个与利润、产能、性能和控制并列的关键因素来共同维持工厂里的商业行为。防止商业基本设施的重创已经成为持续成功的关键因素,因为计算机系统的广泛应用,已经使这种重创变的非常容易而且惨烈。在恶意行为发生时,抓住犯罪者已经远远不够了,现在,相当大的时间和经费主要用于如何通过预防入侵而保护系统安全。
美国东北部于2003年的电网瘫痪令举国震惊,例如Zobot蠕虫Mytob病毒软件非常有效的中断了保护良好的CNN、纽约时报和其它许多场所。想象一下,一个集中而且影响广泛的工业破坏行为的影响将会多么坏。
直到最近,由于SCADA环境因为这些系统高度定制化的特性,当遭到人为网络攻击时是安全的。在2002年3月,仍然有一些文章提出要揭穿设备供应商对安全性的过多关注。然而,这些观点被一些网络相关事件所击败,例如俄亥俄州核电站的Slammer蠕虫渗透,澳大利亚昆士兰州污水SCADA系统的无线攻击。
越来越多的工厂利用了以太网的优点,例如成熟、终端对终端、基于标准的网络、通讯和数据协议,因为它性能高、消耗低等提供了方便性和有效性。另外,适当的标准支持众多设备供应商之间的互用性和世界范围内的互联性。同时,如果没有实施可靠的安全方法,广泛使用的Ethernet/IP和性能良好的协议,将会使破坏变的很容易。口令保护、密码、访问权限和防火墙是防止网络攻击的有效工具。
工业安全主动行为
虽然企业商业IT系统(保护诸如银行或股票转帐和网上交易),和工业控制上在安全性上有许多相似之处,一些集团已经被授权开发这项应用于工业领域的技术问题(同时也是机遇和挑战)。仪器仪表系统、ISA和NIST等组织一直在关注工业领域的安全性实践。(见附录A)
在更专业的工业层次上,也有一些组织,例如北美电气可靠性委员会(NAERC),已经隶属于能源部,作为协调关键基础构架保护的电能部门。NAERC关键基础构架保护委员会已经对安全投入关注,并对一些应用系统包括SCADA和EMS提供了指导方针和要求。
以太网安全——交换机供应商的机遇
从来没有单独一个供应商或是一项单纯的技术可以保证工业安全,免受蓄意破坏。虽然如此,工业设备制造商寻找一种方法来支持整个网络的安全也是至关重要的。基于标准的以太网,加上一些成本上合算的竞争激烈的供应商提供的软件和硬件,就可以产生显著的影响。例如,顶尖的以太网交换机供应商把IEEE和其它一些标准下的安全标准加入到交换机来支持它的安全特性。
随着以太网已经逐步深入到最末端的工厂,两项典型的网络结构涌现出来:本地和远程。本地以太网是在一个简单的工厂围墙之内,可以被密切的监视,只有一种安全隐患,就是来自穿越工厂物理安全的不满员工或其他人员。访问流经这种本地以太网数据可以通过VLAN被隔离。VLAN可以配置外部世界的访问点,运用口令保护来提供授权、鉴定和以太网本身的访问控制范围。交换机管理的Telnet可以被用于在交换机管理软件上的注册。
尽管如此,以太网在工业领域的好处远远超过了如此有限的本地应用。许多以太网连接已远远超过了一个工厂的范围,本地网络将会限制从远程操作管理、监控和收集数据。远距离应用光纤传输的以太网,屏蔽噪音,安全,已经在广泛的分布于工业应用领域。相互连接的水处理工厂和供电所就是一个大城市里的典型应用。
远程工业以太网的已广泛应用于监控(是SCADA数据采集部分)。它们通常是封闭系统,进行信息回顾需要在特定的访问点进行,而不可以在家里或是维护监视人员的笔记本电脑中访问。在封闭系统中,远程监视也许是可能的,减少了许多对无关操作的日常维护访问,同时也减少了费用。确认潜在问题、分配日常维护和迅速修正也是相对容易的,通常也会避免停机时间和管理损耗。
在一个封闭系统中唯一的安全隐患就是网络的分支,即使在这种情况下,口令保护对于提供数据安全也是大有帮助的。缺点就是因为对远程的管理和控制等工业操作设限,丧失了效率和浪费开支。
通过以太网的远程站点的管理监控和控制——SCADA中的SC部分——考虑到安全因素通常已经用的很少了。如果这些顾虑可以适当的解决,就可以通过控制远程设备的功能而受益,这些远程设备例如变电站和一些其它的边远的设备,如飞行器维护中心或是其它一些远程的工业应用。访问网络使得效益得到改善,节省了开支,但是,因为全世界都在访问互联网,所以危险也很大。
所以,以太网设备供应商就必须在提供以太网络安全上以身作则,进而,还要支持ISA、NIST和NERC等标准组织所提出的一些系统安全要求。
一旦一个封闭的网络向全球网络开放,访问或是接受访问,只是口令保护已远远不能满足要求。因为安全涉及许多因素,以太网设备要遵从ISA SP99委员会在所关注的领域所提出的安全文件:
● 确认声称自己已经经过授权和认证的是用户本人。
● 当数据通过互联网时,进行加密和验证,这样就可以使其不被轻易访问和盗取。
● 过滤或是阻止访问控制。
● 提供审查、测量、监控和探测工具。
当以太网交换机管理软件能够,或是应该关注这些因素,执行时就会需要许多安全管理意见,以便更好的利用一些标准、方针和专家。
以太网安全标准
在网络访问很方便的地方,没有必要牺牲安全因素。通过使用处理通过网络进行金融交易的相同的标准和控制,可以执行验证和加密。通过确定安全标准,网络管理软件可以通过提供SNMP v3、SSL和TLS来提供这项功能。这些特性允许一个以太网交换机可以处理HTTPS,最高级别网络访问安全。
一些以太网设备的可用安全策略包括端口安全、远程Telnet访问安全、口令保护、远程单元阻断保护。附录B提供了一些非常有名的安全标准组成的简明读本。
超越交换机
一些更加广阔的安全原则、物理和功能模块、风险分析、资产管理、运行和维护一个程序的主要方面,一些组织如SP99和PCSRF等已经给出详细描述。更加广阔的输入和评论加入这种开放性的解决方法,将会在各个级别改进安全性,无论国家、企业还是个人。
由于商业领域的先驱者,工业用户可以在使用和采纳现有的安全标准和协议的强大基础之上来开始工作。但是,在开始享用远程访问的成果之前,必须小心防止安全上的分歧。商业已经在金融、医药和零售等方面开拓了道路,但是,工业安全的复杂性要求慎重考虑和计划——在很多方面,要采取不同的安全策略。
为控制访问量而进行的用户验证和加密对于工业应用安全来说不仅仅是值得而且是必要的。拥有网络管理软件的以太网交换机可以提供一个强大的控制点。另外,远程网络管理用于现行的软件和硬件,是令人满意的也是可行的,包括GUI的简洁性和易操作性。然而,完整的终端对终端的安全设计是十分必须的,也是每一个致力于更高级别的安全网络系统的工作人员的责任,这个系统将会使工业利用基于互联网的省时和节耗等优点。
一份简单的白皮书并不能提供许多著名的工业工作委员会正在致力于描述的详细的方针。同时,这份白皮书旨在帮助理解现在可以达到的、以太网交换机等级的安全标准有所帮助,并有助于读者了解到许多级别的工业网络安全等级和实现高级的安全分布式通讯系统。
附录A
在以太网领域现行的安全标准
下面所列出的协议和标准已经在工厂、变电所和工业站点的得到应用。
SNMP
简单网络管理协议。是采集和管理关于网络通讯和网络组件如交换机、集线器、路由器和其它一些应用SNMP的设备的统计数据。它基于manager/agent模型,应用于TCP/IP和其它网络,来监视和控制网络设备、管理配置、统计数据收集和执行。它易于实施、安装和使用,不会给网络带来不当的负担。更好的是,不同供应商的SNMP模块可以很容易的协同工作。然而,早期的SNMP并没有充分的考虑到安全问题。
以验证和加密形式出现的基本的安全方法,最早在1998年由SNMPv3首先推出。2002年,SNMP作为一个完全的互联网标准被接收,SNMPv3确保接收到的信息被一些实体传送,他的标志符作为信息头文件的一部分;它确保信息传输过程中没有被改变,并且没有人为的延迟和重发;它提供SNMP客户上的配置参数更新,这样就可以加强完全远程控制设备的管理,这就为开始兴起的网络管理提供了方便。
要注意到,SNMPv3在SNMP的执行过程中增加了某些层次上的功能,并且也增加了复杂性。除非某项应用确实需要安全性能,大多数使用SNMP的应用仍然停留在SNMPv1或SNMPv2水平。也许对于一个以太网交换机供应商来说最明智的选择就是在继续提供早期版本的同时,也提供SNMPv3,SNMPv3的网络管理包可以满足用户不同层次的安全要求。
互相通讯的各方分享一个由发送实体提供的认证码。当接收实体接收到信息以后,它使用相同的密钥再次计算信息认证码。如果接收方的版本与所接受到的信息的附加值匹配,接收方就会了解到信息只能从授权的另一方发送过来,并且信息在发送过程中没有发生改变。要注意到,在<
