殊途同归

发布时间：2005-11-23 作者：Jeanine Katzel，CONTROL ENGINEERING高级编辑

自动化控制系统中数据安全的保障归结为风险评估，不但要强调政策和程序，还要重视技术。
　　许多大哲学家指出：生命不是终点，而是一个旅程。安全性在这一点上似乎与生命类似。正如人生一样，安全问题的周边环境是动态变化的。环境改变了，关心安全问题的自动化和控制工程师就必须应对这些变化。当前，在恐怖主义、计算机病毒、法律诉讼和隐私问题盛行的环境中，这一情况就更加突出。
　　ABB公司的系统产品市场经理Kim Fenrich指出：“威胁安全的来源众多且互不相同，其中包括内部故障、病毒和蠕虫侵入、恶意骇客的外部攻击等。历史的研究显示大多数事件是由内部原因引发的，但目前发展的趋势却是非定向、自动化的外部攻击正在迅速增多。公司必须认识到自身可能遭受安全攻击事件的侵扰，在相应的软硬件设备保障之外，采取安全政策和程序，开展工作以降低安全风险。”
　　在人机交互设备（HMIs）及其工作的网络上建立有效的保护机制需要采取多方面、多层次的工作。这些工作在“人为方面”应主要采取政策和程序的手段，而在“技术方面”则应采取相应的软件和硬件措施。

图1：HMI可在控制室内进行物理保护，只有持标识物或
其它准入设备的人员才能进入控制室。（图片提供：ABB）

　　平衡性工作
　　“安全性问题归根结底是风险评估问题。”GE Fanuc自动化公司的HMI/ SCADA产品市场总监Roy Kok说，“您必须了解自身的安全薄弱环节——这是一个动态的目标。在进行系统改善或推出新产品时，需要对安全问题进行再评估。在高度互联的以太网环境下，事物的变化是极其迅速的。”
　　解决安全性问题就要平衡风险与需求。某项工作能容许的风险有多大？能承受的成本有多高？在Microsoft Windows环境中的开放式系统会使信息很容易被存取，但是同时薄弱环节也会较多，针对这一缺点，尽管公司和其它有关方面努力建立内置安全机制并不断推出增强补丁也难以有所改观。此外，工业以太网的推广使网络、系统和HMI面临的风险进一步提高。考虑到上述现实状况，工程师应该如何应对呢？
　　工程服务公司Soltus的电气工程师Andy Bedingfield建议，首先应明确由谁、由什么样的小组来负责处理安全事务。Bedingfield说：“我们应了解目前哪些安全因素或限制措施已经内置于系统中，还要明确公司可能面临的其它安全问题。其次，应就可能的典型威胁进行评估。自动化程度较高的环境与手工工作的环境具有不同的安全问题。第三，应考虑安全机制被破坏的后果。最后我们再把成本与风险加以比较。”
　　Honeywell的服务市场经理Marilyn Guhr指出：“在进行安全评估时，我们应该分析并确认客户控制网络中的情况到底如何，特别要明确开放式节点的情况。有关工作包括HMI操作员界面。我们针对观察到的薄弱环节提交书面报告，并对如何消除或减轻薄弱环节提出建议和最佳实践指南。每个安全环节相关的风险级别不同。明确业务到底能承受多大程度的风险终究还是要由客户来决定。”

图2：指纹确认等生物测量技术取代密码可提高HMI/SCADA的
安全性，也更为方便使用。（图片提供：GE Fanuc）

　　在某些情况下，我们采取安全措施时必须谨慎行事。Honeywell的控制系统解决方案计划员Kevin Staggs建议，操作员登录时应对系统的工作进行预定义，“我们提供的系统带有登录脚本样例，对桌面进行预先配置，或事先启动操作人员有权运行的应用。但是操作人员不得运行其它任何程序。”
　　Staggs警告说：“对执行关键性工作任务的HMI而言，在操作人员使用系统时，您肯定不希望屏幕保护程序之类的进程突然自动启动。操作人员始终都应查看工作的进展。即便很普通的事件，如密码锁定，也可能造成操作人员无法查看到工作的进程。对于关键性的事件，您肯定不希望有类似于因为紧张、兴奋或者困惑而导致想不起密码的情况发生。操作人员密码的安全性可能达不到公司安全政策的水平，因此底层操作系统必须完全锁定才能避免非法修改。”

图3：HMI监视器（顶部）
集成的指纹访问（左下）
或磁卡读取器（右下）
可加速登录过程，确保认证的准确性，
不再需要记住密码和更改密码。
（图片提供：Elo TouchSystems）

　　在其它情况下，互联系统需要更多的保护。Bosch Rexroth电子驱动器和控制公司的产品经理Rami Al-Ashqar指出：“目前的HMI非常复杂。由于HMI的功能非常强大，因此我们需要相关设备来保障操作的安全性。没有适当的安全措施，未经授权的人就有可能对公司造成严重损害。工程设计部门需要与IT部门合作，阻止那些未授权者存取信息，同时还要保证有权限的用户能够存取数据。IT部门和相关领域的专家能够提出有效的解决方案，因此开展合作是非常必要的。”
　　政策的重要性
　　人为因素是任何工作中最薄弱的环节，安全性问题也并不例外。首先，必须建立并执行安全计划。我们应在整个部门乃至整个公司建立并实施统一标准的工作方法，并保证所有员工都能够了解和掌握。
　　其次，我们应明确制定工作任务文件。漏洞在哪里？如何填补漏洞？许多常见的安全问题都与人密切相关：
　　■   未执行并更新病毒保护。如果不定期更新病毒程序就不能对公司提供适当的保护。
　　■   欠缺密码管理工作。可以预见的是，长期固定的密码并不能提供足够的存取保护。GE Fanuc的Kok坚持认为：“必须采用强大的密码，应使用让人难以记住的密码，而且密码要区分大小写，既要包括字母，也要包括数字。”
　　■   未能及时安装Microsoft的安全补丁。一般而言，上述安全补丁在安装到过程控制系统之前应加以验证。
　　■   未能实施/维护防火墙。Wonderware的首席技术官兼产品定义副总裁Rashesh Mody强调：“防火墙就好像有许多阀门的管道。您可随意打开或关闭任何数量的阀门。如果打开所有阀门，那么将可获得所有的信息流。”
　　Mody继续论述IT部门在处理安全问题方面领先于自动化和控制部门的观点，“要充分利用IT部门的专业知识；通过合作发挥其在安全方面的知识。”

图4：SecureBox为具备网络功能的HMI产品提供了
端到端的解决方案，保证设备内部的信息在网络或
因特网上实现安全存取和传输。该设备由国家标准和
技术研究院(NIST)认证，可实现128-256位的AES加密。
（图片提供：Lantronix）

　　最后，还要关注无意识的安全问题，它造成的风险与有意的安全问题一样严重。Iconics的总裁Russ Agrusa指出：“最大的薄弱环节可能来自于根本不知道自己在做什么的内部人员，他可能会造成无意的攻击。比如维修设备的技术员、或者到工厂参加会议的工程师用笔记本电脑连接到工厂的互联网、也可能是刚从国外回来的雇员。突然之间，您的网络就有可能遭遇危险。除了病毒和防火墙以外，我们必须更为重视预防政策，避免自身人员入侵或返岗人员造成的问题。”
　　务重落实
　　当然，安全性问题的范畴远大于政策，它包括实际措施和程序措施，通常实际措施要靠软硬件来落实。HMI问题主要集中在各单元之间的通讯上。没有任何措施能够做到完全有效，但许多措施可以起到一定的预防作用。最常见的措施是多级密码。
　　Lantronix的设备网络产品市场资深产品经理Mark Prowten提出：“安全问题不仅限于台式机的密码问题，它还关联到终端设备，从内置计算机的机器人手臂到与设备通讯的PDA，概莫能外。手持PDA是无线设备。尽管无线设备在目前先进的加密技术帮助下更加安全，但主干网仍然是通过电缆互联的。如果有人访问，那么信息就面临着风险。”
　　“以太网的渗透使HMI面临着更大的风险。”Phoenix Contact公司的自动化产品经理Larry Komarek说，“开放式系统意味着风险的增强。在工业化环境中，上述系统通常采用管理式和非管理式交换机。非管理式交换机可以提供解决方案，但是智能化程度不高，它能以较低的成本执行基本的以太网交换工作，但非管理式交换机不能提供安全保证。只要插入设备，就能进行存取。管理式交换机可以避免这种情况，具备更高的智能化，改善性能并提高安全性。不过其成本也相应较高。”

图5：定义多级密码安全性使操作人员只能访问所需的特定
网络区域。例如，操作员甲在工厂处理区域拥有启动
并停止应用对象和接口的安全权限，包括操作容器的权限。
（图片提供：Wonderware）

 　　就硬件而言，我们可使用生物测量设备来取代密码。这种技术的准确性相当高，指纹读取器的错误率低于0.1%。系统设置非常简单，不过实施和维护的成本较高。
　　限制存取的许多硬件方法都可内置于HMI本身。举例来说，许多生物测量设备都可配备触摸屏，如指纹和掌纹读取器或者读卡访问系统。Elo TouchSystems的产品主管Mark Bolt提到，上述措施在医疗领域尤为常见。
　　他说：“HIPAA（医疗信息便携性和责任法）要求医疗领域杜绝让存有病人信息的任何设备处于无人监管和未锁定的状态。因此，相关人员每天必须登录和注销数百次，这是一项枯燥乏味而耗时不菲的任务。有了指纹认证存取控制，我们只要接触一下在生物测量感应器控制下的触摸屏即可，认证后就能立刻登录。”
　　如果需要，HMI和相关网络设备还可以在控制室内做物理限制，只有出示标识物和其它身份认证物品后才能进入控制室。上述措施必须与有关政策配套执行，由政策明确哪些人员可以进入控制室，还要指出在出现未授权闯入的情况下操作员应采取何种行动。

交换机管理：网络安全的关键所在
　　在以太网为网络主导的环境下，HMI安全的关键在于管理式交换机。Phoenix Contact的Larry Komarek指出，我们必须从三个层次来考虑交换机问题。
　　■   访问端口/连接
　　系统要工作，就必须访问交换机端口。不过，我们必须在多个层次上控制端口，这是至关重要的。Komarek说：“您希望在使用笔记本电脑连接网络进行诊断工作时可预留备用端口，不过您并不希望该端口总保持打开状态，使别人都能使用。您会希望控制该端口的开关，以避免使用不当。我们可通过密码保护和交换机管理来实现上述目的。”
　　我们还可设置端口来检查允许地址的搜索列表。Komarek说：“如果您的设备不在允许列表上，那么您就不能获得访问许可。例如，在其它线路运行时又启用了一条新的线路。刚来的员工需要访问某些区域，但他们不是永久型员工，不能随便访问所有区域。因此可授权他们所用设备的访问范围，逐端口的加以控制。”
　　如果出现错误地址，端口在检测到未授权地址时可以完全关闭。在这种情况下，端口经过配置可要求手动重设，也可通过配置阻断未允许的设备，而当授权设备连接入网络时又可重新响应。
　　■   管理交换机参数
　　我们还可采取措施避免他人访问交换机本身并修改其参数。一般通过网页来管理参数。Komarek指出：“IT人员用基于文本的语言对交换机进行编程，但控制和自动化工作则是可视化的；因此，相关参数应具备类似PLC的外观和感觉。”我们也可用允许列表来限制访问。在允许列表中，我们可进一步定义访问权限为只读或读写。Komarek解释说：“如果您不在列表上，那么系统不会响应，或者只允许读取诊断信息，而不能进行修改。一旦网页设置不允许进一步访问，我们可将其完全关闭。”
　　■   限制网络访问
　　虚拟网络或VLAN可隔离流量。Komarek指出：“VLAN可完全隔离网络中的某些部分，好像线缆被切断或安装了另外的网络接口卡一样。这样，我们可授权某些人员只能访问网络的一部分，限制其访问其它部分或全部网络。”


　　综合论述
　　安全问题的解决技术进步日新月异。不过，没有哪种单一的解决方案或技术仅凭一己之力就能适应所有组织和应用的各种需求。

　　ABB的Fenrich指出：“安全措施再严格也不足为过，实际上也很难有非常严格的安全措施。严格的安全措施确保只有授权人士才能访问信息和数据，不过也会带来额外的成本，有时会做过了头甚至是不必要的。不过，安全措施不够则会威胁到公司的盈利和人员的利益。重要的是将安全措施的成本与潜在风险事件的代价加以综合平衡。从实践经验来看，工厂投资于安全措施的成本与安全威胁相关的数据、风险和可能性成正比，也与事件的可能后果成正比。为了做到这一点，工厂员工必须了解造成安全风险的各种因素。”
　　Soltus的Bedingfield也发表了相同观点：“完整的项目或系统可以降低安全性问题。我们不能依靠等待别人来解决安全性问题。”
　　GE Fanuc的Kok指出：“安全问题需要不断对员工进行教育。任何公司要想成功采取安全措施就必须制订有关内部政策，必须派专人来负责相关工作。三心二意做工作是搞不好的。安全问题事关每个人的职责。全体员工都应随时牢记安全问题。”
　　这一切并非没有原因的。Lantronix的Prowten说：“911恐怖袭击终结了我们的安全观。我们总认为自己已经把方方面面的工作都做到家了，但实际上却总意识不到还存在着许多薄弱环节。”

　　相关更多信息，请访问下列网站：
　　www.abb.com
　　www.boschrexroth-us.com
　　www.elotouch.com
　　www.gefanuc.com
　　www.honeywell.com/ps
　　www.iconics.com
　　www.lantronix.com
　　www.phoenixcon.com
　　www.soltus.com

文章编号：050902
发送短信“文章编号+评语代码”至13816124995,告诉我们您对此文的意见。
1-很好，有很高的参考价值       
2-一般，有一定的参考价值       
3-不好，没有参考价值
　　www.wonderware.com