原文:http://www.gongkong.com/webpage/paper/200804/2008042410283100001.htm
引言
数据采集和监视控制系统(SCADA)网络包括一系列的计算机和应用程序,它们的主要功能是向所有的美国公民提供基础服务与日常需要(如电、天然气、汽油、水、废弃物处理、运输等)。正因为此,它们已经成为国家关键基础设施的一部分,所以也要在当今网络世界危险丛生的情况下,得到充分的保护。因为SCADA网络可以采集和分析数据,控制远程设备,如泵或阀等,它效率极高,应用广泛。然而,它也逐渐显示出一些安全隐患。SCADA网络最初的设计构想是把性能最大化,而并没有对安全给予太多关注。结果,SCADA系统的性能、可靠性、灵活性和分布式控制的稳定性是非常好的,而这些控制系统的安全问题却是被忽略了。这就会使一些SCADA网络可能很脆弱,导致中断服务、过程重启、或是数据被操纵,这些问题就会导致一些安全问题有时甚至会危及国家关键基础设施。所有的组织、政府部门或是经济团体都要求采取措施,来保护SCADA网络安全,且把它作为保护国家关键基础设施的一部分。
国家关键基础设施建设保护委员会和能源部已经为改善SCADA网络安全性的一些组织提出了一些步骤,以下一一叙述。这些步骤不是规则也并非面面俱到,但是在促进保护SCADA网络安全性上做出了重要贡献。这些步骤分为两个部分:一部分是改善执行情况的一些有效的行为;另一部分是建立必要的管理程序和政策的行为。
背景
布什总统在2001年10月通过第13231号总统令宣布成立国家关键基础设施建设保护委员会,旨在协调联邦政府关于保护信息系统和支持关键基础设施网络的所有行为,包括:
* 联邦政府部门及其分属部门
* 私有化的操纵关键基础设施的部门
* 各洲和本地政府的关键基础设施
* 相关的国家安全程序
正如美国国土安全报告书中所陈述的那样,能源部在保护国家关键能源基础设施方面起到了关键作用。为了完成这个任务,能源部独立监控和性能保护办公室的人员已经引导了一些组织对SCADA网络进行评估,以便进一步了解SCADA网络安全保护情况。能源保护办公室也隶属能源部,他们通过与联邦、洲和私有企业合作来保护国家能源基础设施,来改善能源的可靠性。
以下的一些步骤关注于可以增加SCADA网络的安全性的一些有效行为:
1. 确认SCADA网络的连接完好
要进行一次对SCADA网络的每一条连接的安全性和必要性的危险评估分析。对SCADA网络的连接有一个比较综合的理解,并知道他们的连接的保护状况。确认和评估以下类型的连接:
● 确认本地和广域网络,包括商业网络
● 互联网
● 无线网络设备,包括卫星上行链路
● 调制解调器或是拨号连接
● 与商业合作伙伴、供应商和客户之间的连接
2. 断开SCADA网络没有必要的连接
为了保证SACDA网络安全度最高,要在最大程度上避免SCADA网络与其它网络的连接。任何与外网的连接都会带来风险尤其是如果这条连接通向互联网。尽管与其它网络的直接连接可以允许重要的信息高效、便利的传输,而不安全的连接绝对是不值得的。为了提供必要的保护而把SCADA网络隔离是一个主要的目的。通过使用“隔离区(DMZ)”和数据库可以使SCADA网络和商业网络之间的数据安全传输变的容易一些。然而,这些策略必须设计合理、实施正确,这样才能避免因为不恰当的设置所带来的附加的困难。
3. 对SCADA网络所剩下的连接安全性进行评估,并进一步加强
对SCADA网络所剩下的连接进行深入的测试和脆弱性分析,来评估这些路径所处的安全状态。使用这些信息和SCADA和风险管理程序来为SCADA网络的所有链路生成一个强健的保护策略。由于SCADA网络的安全取决于它的最薄弱的连接点,所以在每个进入点使用防火墙、入侵检测系统(IDS)和一些其它的安全策略十分重要。配置防火墙可以禁止信息在SCADA网络上传输,当然也可以只禁止某些特定的连接。例如,独立系统运行机构不要应用于整个网络,因为SCADA系统的某些部分需要连接起来。原则上,把IDS置于每个点的入口,向安全人员提醒每个分支的网络安全问题。公司的管理层必须理解和接受由于连接到SCADA网络所带来的风险。
4. 通过取消或是减少一些没有必要的服务来巩固SCADA网络
建立在商业或是开放源码的基础上的操作系统可以通过很多默认的网络服务遭到攻击。要在最大程度上减少、忽略、取消不用的网络服务或是后台,以减少直接的网络攻击。除非经过风险评估显示,这项服务的好处远远大于其潜在的风险所带来的危害,否则绝对不能允许SCADA网络使用某项服务或是性能。可以从SCADA系统上取消的服务包括邮件服务、互联网访问等。一个可以取消的特性包括远程维护。许多针对商业和开放源码操作系统的安全配置方针都已经公开,如国家安全局的一系列的安全方针。另外,要SCADA系统供应商紧密合作确认安全配置,协调操作系统的某些或是所有的改变,来保证当取消、忽视、减少一些服务后不会导致停工、服务运行障碍、或是丧失支持。
5. 不要依靠专有的协议来保护系统
一些SCADA系统为了支持在现场设备和服务器之间的通讯而使用独立、专有的协议。通常这些SCADA系统的安全性只是基于对这些协议的保密性上。然而不幸的是,保密的协议所提供的真正的安全少的可怜。所以。不要依靠专有的协议或是为了保护系统安全而进行工厂默认配置。另外,要要求供应商关闭SCADA系统上所有的后门或是供应商接口,并要求他们提供可以得到保护的系统。
6. 执行设备或是系统供应商提供的安全性能
大多数老的SCADA系统(正在使用的)没有任何安全性能可言。SCADA系统的使用者必须要坚持让他们的系统供应商以补丁或是升级的形式提供安全性能。一些新的SCADA设备配有基本的安全设备,但是为了保证安装简易,这些功能往往会无效。
分析SCADA设备,判断是不是有安全性能,另外,一些出厂默认设置(如计算机网络防火墙)经常会设置成最大的可用性,结果会导致安全性最小化。要设置所有的安全性能,最大限度的提供安全。只有在通过减少安全等级所带来的后果进行全面评估之后,才可以降低安全等级。
7. 严格控制作为SCADA网络后门的所有途径
如果SCADA网络上真的存在后门或是供应商连接时,要严格执行验证以保证安全通讯。调制解调器、通讯和维护用的无线及有线的网络是SCADA网络和远程站点的最脆弱部分。“战争拨号器”和“接入点映射”等攻击可以使攻击者穿越所有的控制,直接访问SCADA网络或是资源。为了把这种袭击的危险最小化,取消入站访问使用类似自动回呼系统。
8. 执行内部和外部的入侵检测系统,保证每天24小时监控
为了对网络袭击具有有效的响应,要使用一种入侵检测策略,包括由来自互联网或是外部的资源的恶意行为时,对网络管理员提出警示。入侵检测系统是24小时连续工作的,这项功能可以很容易的被设置。另外,事故响应程序必须要恰当,在攻击发生时可以有效的做出动作。为了执行网络的监控功能,要在所有系统上增强日志功能,并且每天审核日志,即时的检测到可疑行为。
9. 对SCADA设备和网络以及其它相连的网络进行技术上的审核,确认所关注的安全问题
要保证持续的安全性,就要进行对SCADA设备和网络的技术审核。许多商用的或是开放源码的安全工具都可以使用,系统管理员使用这些工具对系统或是网络进行审核,确认活跃的服务,补丁级别、普遍的漏洞。使用这些工具虽然不可以解决系统上的问题,但是可以消除攻击者进行攻击时可以找到的“捷径”。分析已经确认的漏洞,判断它们的意义,采取适当的策略。跟踪正确的行为并分析这些信息,来确认它的发展趋势。然后,在执行正确的行为之后要重新测试系统,来进一步确认漏洞确实被消除。
10. 进行物理上的安全调查并对连接到SCADA网络上的远程站点进行评估,对他们的安全性作出评价
任何连接到SCADA网络上的部分都是被检查和评估的目标,尤其是无人操作或是没有任何防范措施的远程站点。在每个设备上,都要进行物理上的安全检查。确认并评估所有的信息资源,包括可能被窃听的电话和计算机网络、光缆;可能被利用的无线电和微波线路;可能被访问的计算机终端;无线网络的访问点。消除单纯的点失败。这些点的安全性可以足够阻止未授权访问。不允许只为了方便,在远程或是没有任何保护的站点设置活动访问点。
11. 成立“特别部队”来明确和找出潜在的攻击
要成立一个“特别部队”来确认潜在的攻击可能,评估系统的脆弱性。要调动尽可能多的人来全面剖析整个网络、SCADA系统、物理系统和安全控制的漏洞。每天与系统打交道的工作人员深谙SCADA网络的弱点在哪里,所以当要确认可能出现的攻击事件和产生的结果时,一定要向他们讨教。而且,内部人员的恶意行为也要充分考虑,要把这作为企业或组织的最大威胁之一。
以下步骤主要关注于建立有效网络安全计划的管理行为:
12. 明确管理人员、系统管理员、用户的角色、责任和权利
组织人员需要了解在保护信息技术资源的时候所明确定义相关人员的角色和职责的具体期望。另外,关键人物在执行他们所分配的职责时,需要给予充分的权利。通常情况下,良好的网络安全不是单个人的努力可以完成的,这经常会导致整体行动不一致,安全性差。建立一个网络安全组织结构,明确角色和职责,这样就可以明确网络安全问题的严重程度,在危急情况发生时应该通知谁来处理。
13.建立网络构架档案,确认那些执行关键职能或是包含敏感信息的系统,要求特殊保护级别的系统
要把建立一个强健的信息安全构架的档案作为确立一个有效保护策略过程的一部分。组织或是企业在设计他们的网络时要时刻把安全牢记在心,并且十分重要的是在整个生命周期之内对他们的网络构架有一个很好的理解。非常重要的是,要求对整个系统所执行的性能和所包含信息的敏感性有一个深刻的理解。如果没有充分理解到这些,就不可能恰当的评估风险,保护策略有可能不充分。把信息安全构架和它的组成部分归档,对于理解整个保护策略,确认单点失败十分重要。
14.建立一个严格持续的风险管理进程
网络计算机资源风险的全面理解,从“拒绝服务”攻击和敏感信息的脆弱性到一些安全折衷办法,对于有效的网络安全程序十分重要。在技术的基础上对风险进行评估,对于生成有效的减少攻击的策略和保护计算机资源的完整性十分重要。最初,所执行的风险分析基于最近的风险评估,生成一个网络保护策略。因为技术的迅速发展,每天都会有新的危险出现,所以需要持续的风险评估,可以把每天出现的风险都补充到保护策略中去,这样的保护策略就会持续有效。管理风险的基本工作还包括,在保护策略中确认没有消除的风险,通过管理接受此风险。
15. 基于深度安全策略建立一个网络保护策略
作为每个网络的保护策略的基本原则就是深度安全策略。在进程开始的设计阶段就要考虑到深度安全策略,而且所有的与网络有关的技术决定也要考虑深度安全策略。不论是已经确认的风险还是在网络各个级别上存在的各种风险都可以使用技术和管理控制来减少。必须避免单点失败,网络安全防御必须分层,限制和包含任何安全事故的影响。另外,每一层必须防止相同层的其它系统进入。例如为了防止内部的威胁,必须限制用户访问,用户只能访问那些与他们的工作有关的资源。
16.明确网络安全要求
组织或公司应该构建安全程序,为建立预期目的要有授权规定,使执行人员有据可依,正式的规章和进程通常被用来建立和规划一个网络安全程序。一个规范的程序对于建立一个持续的基于标准的网络安全解决方法非常重要,可以消除对个人的依赖。原则和进程还可以使员工明确他们各自的网络安全职责,一旦没有满足要求,后果将会如何。届时,当网络安全事故发生时,员工们就会在指导方针的指引下进行工作,在危机时刻采取有效并且高效的行动。用户协议、通知和警告也要作为网络安全要求的一部分。建立规章来使来自内部的恶意行为最小化,包括严格核查工作人员的工作背景,网络权限只授权给绝对必要人员。
17.建立有效的配置管理方法
保持网络安全的基本的管理进程应包括配置管理。配置管理需涵盖硬件和软件配置。硬件或是软件上的改变极易引入漏洞,进而破坏网络安全。这就需要一些章程来评估和控制任何更改,来确保网络保持安全。配置管理起始于我们的系统测试良好,且被证明是安全的。
18.进行日常的自我评估
需要强健的性能评估进程为组织提供网络安全策略和技术执行情况的有效性反馈。一个成熟组织的标志就是可以自己明确问题,进行问题根源分析,执行有效且正确的行动来解决独立或是系统问题。作为一个网络安全程序一部分的自我评估进程包括日常的脆弱性扫描、自动审核网络、对组织和个体的性能进行评估。
19.建立系统备份和灾难恢复计划
建立一个可以从任何紧急情况中(包括网络攻击)快速恢复的灾难复原方案。系统备份是任何计划的重要部分,可以对网络进行快速的重建。通常灾难恢复计划要保证他们工作的有效性,并且工作人员要对这些计划十分熟悉。要根据实际得到经验对灾难恢复计划进行适当的修正。
20.高级组织领导者应该对网络安全的执行性能建立期望并负有责任
有效的网络安全性能要求组织的高级管理者承担义务且有领导责任。高级管理人员要对网络安全应抱有很高的期望,并与全组织的所有下属经理保持联系。而高级管理者建立一个网络安全程序构架也十分重要。这个构架可以使一个网络安全程序拥有持续的执行力。当然,每个个体也要对他们自己的工作负责,因为他关系到网络安全。这些个体包括经理、系统管理员、技师和用户/操作员。
21.建立一些原则,并为了减少组织员工无意间泄漏有关SCADA系统设计、操作和安全控制的信息进行培训
公布关于SCADA网络的相关数据必须在严格且必须公布的基础之上,且保证只公布给授权人员。“社会工程”陷阱,通过提问收集单纯的用户关于计算机或是计算机网络的信息,通常是计算机网络恶意攻击的第一步。某台计算机或是计算机网络所泄漏的信息越多,这台计算机或是网络就越危险。记住,不要通过电话或是对个人泄漏关于SCADA网络的信息,包括系统操作员/管理员的名字或是联系方式、计算机操作系统、计算机或网络的物理或是逻辑地址,除非他们是明确授权可以得到这些信息。对于任何提出关于信息问题的陌生人都要被遣送到本地的网络安全中心进行检查。人是网络安全的薄弱环节。要进行培训和信息安全活动,保证工作人员在保护敏感网络信息尤其是他们的密码方面时刻保持警觉。
浙公网安备 33010602011771号