Shinya Akimoto，Kazuya Suzuki和Akiomi Monden介紹確保工業(yè)控制系統安全的最佳實(shí)踐方法，并且突出了需要考慮的特定工業(yè)控制系統關(guān)鍵特性。

    工業(yè)控制系統（ICSs）的網(wǎng)絡(luò )安全在過(guò)去十年已經(jīng)越來(lái)越受到關(guān)注。正如經(jīng)?？吹降膱蟮?，簡(jiǎn)單的計算機病毒成功使控制系統失控，甚至導致工廠(chǎng)關(guān)閉。從Stuxnet蠕蟲(chóng)第一次吸引世界的關(guān)注開(kāi)始，人們對威脅的認識已經(jīng)逐步增加。因此，ICSs和工廠(chǎng)網(wǎng)絡(luò )成為網(wǎng)絡(luò )攻擊的目標是不足為奇的。

    提出這一問(wèn)題的另一個(gè)原因是ICSs和工廠(chǎng)網(wǎng)絡(luò )已經(jīng)變得與企業(yè)工作空間的IT系統幾乎沒(méi)有區別，使用類(lèi)似的信息和通信技術(shù)。隨著(zhù)物聯(lián)網(wǎng)和工業(yè)4.0的出現，傳統意義上將工廠(chǎng)與外部世界分離，以及將內部網(wǎng)絡(luò )與互聯(lián)網(wǎng)分離的墻正在消失。雖然有些仍堅持既定的慣例，但連接到互聯(lián)網(wǎng)已不再是工廠(chǎng)車(chē)間的新奇事物。然而，這種發(fā)展在帶來(lái)好處的同時(shí)也存在缺點(diǎn)。

    本文仔細分析了確保ICSs安全的建議和最佳實(shí)踐方法，并且突出了需要考慮特定 ICSs的關(guān)鍵特性。

    “用設計確保安全”的方法

    越來(lái)越意識到需要對ICS網(wǎng)絡(luò )安全進(jìn)行改進(jìn)，ICS供應商和原始設備制造商正努力在開(kāi)發(fā)階段提高其產(chǎn)品的性能。他們正在運用推薦的技術(shù)實(shí)踐方法來(lái)分析威脅，掃描漏洞，并通過(guò)如模糊測試等方法來(lái)識別安全問(wèn)題。這種“用設計確保安全”的方法旨在提供健全的產(chǎn)品，并且保證可接受的安全等級。

    “用設計確保安全”的方法解決了整個(gè)產(chǎn)品的開(kāi)發(fā)生命周期，延伸至產(chǎn)品架構，功能設計和基本技術(shù)水平。對于任何可能給一個(gè)公司及其員工或環(huán)境造成負面影響的應用程序，提供一個(gè)安全的ICS是至關(guān)重要的。除了解決已知漏洞，它還包括在發(fā)生安全事故后對生產(chǎn)操作和生產(chǎn)設施進(jìn)行檢查。

    遵循ICS網(wǎng)絡(luò )安全標準

    國際自動(dòng)化協(xié)會(huì )（ISA）支持“用設計確保安全”這一方法，并且已將其集成在ICS網(wǎng)絡(luò )安全標準中，如ISA/IEC 62443。為了推廣ICS網(wǎng)絡(luò )安全標準并鼓勵大家遵守，ISA安全合規性協(xié)會(huì )（ISCI）已經(jīng)確立ICS產(chǎn)品的ISASecure認證程序。同時(shí)，為了幫助最終用戶(hù)保護他們的ICS網(wǎng)絡(luò )，ISCI還提供已通過(guò)認證的ICS產(chǎn)品目錄，這些產(chǎn)品是在推薦的工業(yè)標準以及良好的實(shí)踐方法基礎上開(kāi)發(fā)的。

    網(wǎng)絡(luò )設計

    ISA/IEC 62443是一套工業(yè)自動(dòng)化與控制系統的網(wǎng)絡(luò )安全標準，它引入了在工廠(chǎng)網(wǎng)絡(luò )中部署ICS組件的“分區與管道”策略設計原則。這需要把ICS網(wǎng)絡(luò )分割成子網(wǎng)絡(luò )，其組件都要遵循相同的安全策略；還需要實(shí)施訪(fǎng)問(wèn)控制，只允許相鄰子網(wǎng)絡(luò )間進(jìn)行必要的通信。

    這種方法可提高ICS的整體安全性，并且增強ICS安全運行與管理的可見(jiàn)性。例如，一個(gè)工廠(chǎng)網(wǎng)絡(luò )可劃分為三個(gè)區域，一個(gè)用于過(guò)程控制和管理監測系統，一個(gè)用于MES和運行管理系統，一個(gè)用于生產(chǎn)設備和現場(chǎng)裝置的維護與管理。每個(gè)區域應滿(mǎn)足其特定的安全要求。每個(gè)區域的安全措施應該有所不同。如果有條件應考慮更進(jìn)一步的安全控制措施，如限制特定區域的物理訪(fǎng)問(wèn)。

    ICS安全生命周期

    ISA/IEC 62443假定工廠(chǎng)所有者和經(jīng)營(yíng)者將在自己的組織目標基礎上建立并實(shí)施安全管理體系。另一方面，供應商和服務(wù)供應商需要考慮如何最好地支持其客戶(hù)所開(kāi)發(fā)的安全管理系統。由于外部環(huán)境的變化，系統安全性往往隨著(zhù)時(shí)間而降低，這將拉開(kāi)實(shí)際安全等級與所需安全等級間的差距。例如，新發(fā)現的軟件漏洞，安全控制的修改不當或者針對控制系統的網(wǎng)絡(luò )攻擊都會(huì )影響安全等級。除了監測和維護所有已部署的安全控制，還有必要評估所有安全程序來(lái)識別那些沒(méi)有執行的所需安全等級。橫河已將此安全生命周期的概念應用到其服務(wù)模式中，并提供服務(wù)組合以確?？蛻?hù)的控制系統與運行長(cháng)時(shí)間安全。

    通過(guò)對產(chǎn)品研發(fā)，工程設計以及售后維修實(shí)施適當的安全控制，橫河解決了控制系統整個(gè)生命周期內的網(wǎng)絡(luò )安全風(fēng)險。

    ICSs固有安全性分析

    “用設計確保安全”的安全ICS產(chǎn)品提供了構建ICSs和網(wǎng)絡(luò )的合適途徑，保證了一定的安全等級以滿(mǎn)足特定任務(wù)和環(huán)境的固有安全要求。這類(lèi)似于儀器儀表領(lǐng)域通常采用的防爆設計的內在安全方法，例如減少驅動(dòng)位于爆炸危險區域內裝置的能源量，從而消除潛在火源。同樣的，提高軟件和硬件設計來(lái)縮小攻擊的空間，限制任何攻擊可能導致的后果，以及增強系統抵御攻擊的能力都有助于ICS和網(wǎng)絡(luò )安全。

    值得一提的是安全性的兩個(gè)目標：完整性和可用性。這就是固有安全方法的基本要求。當他們受損時(shí)會(huì )對ICS的功能及其處理的所有數據造成顯著(zhù)影響。如果不能保持健康和可靠，ICS和網(wǎng)絡(luò )是沒(méi)有任何用處的。

    在ICS網(wǎng)絡(luò )安全成為被廣泛關(guān)注的問(wèn)題之前，ICS供應商就一直特別關(guān)注系統可靠性，他們集成并采用許多技術(shù)來(lái)確保這些關(guān)鍵任務(wù)系統的功能和數據。雖然很大程度上被設計來(lái)防止偶爾的硬件故障，而非網(wǎng)絡(luò )攻擊，但它們進(jìn)行實(shí)時(shí)檢測以及在不危及運行過(guò)程的情況下進(jìn)行同步回收的能力為如何設計出能應對網(wǎng)絡(luò )安全威脅的ICS提供了線(xiàn)索。

    糾錯碼（ECC）內存長(cháng)期以來(lái)被用于存儲數據。它是保證數據“飛行”完整性的一種常用途徑，無(wú)論必須存儲多長(cháng)時(shí)間。當數據被加載到內存中，ECC電路會(huì )增加一個(gè)可用于檢測和恢復損壞數據的校驗碼。一旦發(fā)生數據損壞就會(huì )被檢測到，在處理數據的同時(shí)數據恢復被立即執行。以往控制過(guò)程的關(guān)鍵任務(wù)分布式控制系統擁有這一高端內存技術(shù)。

    對于任何網(wǎng)絡(luò )安全系統而言，檢測是成功的關(guān)鍵。橫河已開(kāi)發(fā)出一個(gè)非常先進(jìn)的網(wǎng)絡(luò )監控系統，它結合了可視化技術(shù)來(lái)幫助最終用戶(hù)在需要執行糾錯操作時(shí)做出有效反應。在單個(gè)數據包層級，該系統追蹤ICS網(wǎng)絡(luò )中的所有通信流，然后生成計算機圖形圖像，使操作員能夠立即發(fā)現和檢測到任何未知的通信流。

    結論

    一個(gè)精心設計的ICS產(chǎn)品無(wú)法保證完全抵御安全威脅。我們極力推薦全面的ICS安全程序。通過(guò)融入安全網(wǎng)絡(luò )的設計原則和生命周期的安全方法，ICS產(chǎn)品能確保對任何安全威脅做出有力的回應。

    無(wú)論物聯(lián)網(wǎng)或工業(yè)4.0會(huì )帶來(lái)多大變化，總是需要標準來(lái)指導選擇被證明的、強大的ICS產(chǎn)品，還包括所需安全控制的設計與實(shí)施，產(chǎn)品的更新?lián)Q代，監測可能導致安全事件的微觀(guān)異常，以及組織審計以驗證已部署的安全程序運轉是否正常。

    對安全事件做出及時(shí)響應并實(shí)現快速而平穩的恢復是ICS網(wǎng)絡(luò )安全的重要方面。從業(yè)務(wù)連續性和企業(yè)安全管理的角度來(lái)看，這就更為重要了。安全控制的監控和定期的安全審計已被公認對安全管理貢獻巨大。在使用最新信息與通信技術(shù)不斷增強ICSs和工廠(chǎng)網(wǎng)絡(luò )的同時(shí)，一套安全監控系統必須成為重中之重。不難想象這樣一個(gè)系統能在固有安全管理與運營(yíng)中起到的有效作用。

    在ICS產(chǎn)品中嵌入安全性是一個(gè)實(shí)現安全管理的有效而低成本的方法。以此為理念，橫河一直在研發(fā)強大的產(chǎn)品，持續為市場(chǎng)提供安全的、一流ICS產(chǎn)品，還提供支持服務(wù)來(lái)幫助最終用戶(hù)加強其安全管理。

    Shinya Akimoto是橫河電機公司網(wǎng)絡(luò )安全部解決方案工程師；Kazuya Suzuki博士是橫河電機公司高級系統架構師；Akiomi Monden是橫河電機公司IT基礎設施部主管。