在過去若幹年中
，網絡安全已經成為了一項核心問題，它的受關注程度似乎在與日俱增。新的IT 以及工業控製係統平台整合了改進後的安全功能，然而工業界麵臨的問題是：daliangkongzhixitongzaiwangluoanquancuoshituichuzhiqianjiuyijingtouruyunxing，xuduohaishizaihulianwangdaguimopujizhiqianjiuyijingcunzaile。ruguozhexiexitongquefashidangdefangyucuoshi，heikejiukenengtongguotamenyuwaiweiwangluodelianjielujingqinruxitong
，bingshishigezhongpohuai。womenmianduidewentishi：能否為老式係統提供充足的安全保障
？

　　Invensys Process Systems的首席安全架構師Ernie Rakaczky說：“一般而言
，一套控製係統經過采購、安裝、組態之後一旦投入使用
，在之後20年左右的時間裏就會被完全遺忘。多數情況下，這隻是控製工程師的一般看法。在過去的5到10年中，這樣的問題層出不窮。這些早期的控製係統中，許多都不具備網絡連接功能。它們的設計目標隻有一個：控製一台閥門的開關或是測量液位
，因此它們確實不需要連接到網絡。”

　　但問題是，世界不可能一直停滯不前。隨著信息技術的發展，控製係統用戶越來越渴望把信息提取出來並為外部用戶提供連接。Rakaczky補充說：“傳統控製係統隻能夠實現過程控製
，而當今的控製係統可能擁有50%的控製功能和50%的信息交換功能。在這種趨勢下，我們開始將控製平台數據提取到曆史記錄、工廠網絡或企業網絡中，同時增加一些優化方法、采取更謹慎的做法並使用一些自我保護的功能。”

　　連接是否安全

？

　　有些專家固執地認為
，隻有切斷連接才能稱得上真正安全的連接。Kevin Staggs是國際注冊信息係統安全專家（CISSP）
，同時也是Honeywell Process Solutions的工程師兼全球安全架構師。他說：“jihusuoyoudesiyouxitongdouyongyouzijidewangluo。youyuzhexiexitongjimeiyoushejichengziwobaohujiegou
，youquefaqitabaohucuoshi
，jiarurenhedelianjiediandoukenengdailaiyanzhongdeweixie。ruguonishitujieruzhexiezaoqidexitong，namejiubixuwanquanlejiejierudiandeweizhi，bingqieqingchuzhexiejierudiancaiyonglenazhongjierujishu。xuduoqingkuangxia，zhexiejierudiandouyijingguoshile。”

　　但是
，如果你的防禦手段是將係統與外界隔離的話，那麼你必須確保這樣的隔離是完全的
、徹底的，才能起到效果。Siemens Energy & Automation的過程自動化係統經理Todd Stauffer說：“yonghuwangwangrenweigulidewangluoshianquande，bingqiebasuoyoujidandoufangzaiyigelanzili。tamenjianxin，gulihuabijiangdailaianquanxing。danzaixuduoqingkuangxia
，zongyourenhuibawaibudejiyibangcharuxitong，huozhelinshijieruyitaibijibendiannao
，youhuozhelinshilianjielingyizuwangluo。zhexieqingkuangdouhuidaozhiguliwangluochuxianhunluan。chufeinicaiqulecuoshizuzhiyonghujiangjiyibang、CD或DVD插入到隔離區域，一般情況下你都必須在孤立網絡中加入安全保障措施。否則，當遇到攻擊時，你的係統將變得不堪一擊。”

　　係統的多個時代

　　老式控製平台的時間跨度很長，有些延用至今的平台采用的還是最早期的DCS配置方式。我們可以將所有投入實際應用的平台分為兩大類：采用私有網絡的和基於Microsoft Windows架構的。

　　早zao期qi係xi統tong的de操cao作zuo人ren員yuan會hui自zi我wo安an慰wei說shuo
，即ji使shi一yi名ming黑hei客ke能neng夠gou侵qin入ru係xi統tong，麵mian對dui這zhe些xie過guo時shi的de技ji術shu
，他ta也ye會hui變bian得de無wu所suo適shi從cong。難nan道dao這zhe確que實shi能neng夠gou成cheng為wei一yi種zhong防fang護hu策ce略lve嗎ma？Exida的高級顧問John Custimano將這種策略形容為在稀薄的冰麵上滑行。他奉勸說：“ruguomourenjinruleyitaolaoshikongzhixitong
，bingqiezhangwozhexitongdeminglingjiegou，nametajiunengqingyiyinqixitonghunluan。zheyuheikeruqindequbiezaiyu


，heikehaibixujubeiyishouqinrulaoshixitongdegaochaojineng。yidannizuodaolezheyidian，meizhunjiunenggouzhixingrenhenixiangyaozhixingdemingling。”

　　我們麵臨的問題是
，在過去幾年中
，潛在的黑客高手人數很可能大幅增長著。反入侵係統提供商Top Layer的安全策略工程師Ken Pappas警告說：“如今我們擔心的是：受(shou)經(jing)濟(ji)形(xing)勢(shi)的(de)影(ying)響(xiang)，公(gong)司(si)解(jie)雇(gu)了(le)大(da)量(liang)員(yuan)工(gong)。這(zhe)些(xie)心(xin)懷(huai)不(bu)滿(man)的(de)員(yuan)工(gong)已(yi)經(jing)掌(zhang)握(wo)了(le)係(xi)統(tong)運(yun)行(xing)的(de)內(nei)部(bu)知(zhi)識(shi)。他(ta)們(men)聯(lian)手(shou)之(zhi)後(hou)，既(ji)能(neng)夠(gou)找(zhao)到(dao)進(jin)入(ru)網(wang)絡(luo)的(de)途(tu)徑(jing)，又(you)知(zhi)道(dao)進(jin)入(ru)網(wang)絡(luo)之(zhi)後(hou)該(gai)做(zuo)些(xie)什(shen)麼(me)。他(ta)們(men)製(zhi)造(zao)混(hun)亂(luan)的(de)能(neng)力(li)遠(yuan)遠(yuan)超(chao)過(guo)了(le)那(na)些(xie)僅(jin)僅(jin)知(zhi)道(dao)如(ru)何(he)侵(qin)入(ru)網(wang)絡(luo)的(de)普(pu)通(tong)黑(hei)客(ke)。事(shi)實(shi)上(shang)，不(bu)是(shi)黑(hei)客(ke)變(bian)聰(cong)明(ming)了(le)，而(er)是(shi)出(chu)現(xian)了(le)一(yi)類(lei)新(xin)的(de)黑(hei)客(ke)——前任員工。”

　　因此，他們需要被特別關注。

　　Staggs也對此表示讚同，他建議：“早期的Windows係xi統tong不bu應ying該gai被bei連lian接jie到dao商shang用yong網wang絡luo中zhong。毫hao無wu疑yi問wen它ta們men必bi須xu經jing過guo隔ge離li
，而er且qie你ni必bi須xu掌zhang握wo它ta們men與yu商shang用yong網wang絡luo交jiao換huan數shu據ju的de路lu徑jing。你ni需xu要yao一yi款kuan經jing過guo嚴yan格ge配pei置zhi的de防fang火huo牆qiang，在zai可ke能neng的de情qing況kuang下xia還hai應ying該gai通tong過guo一yi個ge現xian代dai化hua的de服fu務wu器qi交jiao換huan數shu據ju。於yu是shi，你ni可ke以yi為wei這zhe台tai較jiao現xian代dai化hua的de服fu務wu器qi提ti供gong保bao護hu，把ba它ta作zuo為wei防fang禦yu設she備bei。多duo數shu情qing況kuang下xia，保bao護hu技ji術shu會hui麵mian臨lin過guo時shi的de問wen題ti
，因yin此ci你ni需xu要yao時shi刻ke更geng新xin到dao最zui前qian沿yan的de技ji術shu。”

　　“過時”一詞在本文中指的是任何一代無法繼續獲得技術支持的Windows。Windows 2000能夠獲得支持直至2010年6月30日。任何比它早的版本都隻能被劃分到無保護的範疇內

，而且無法獲得安全更新。

　　你能夠做些什麼？

　　Sean McGurk是美國國土安全部（DHS）的控製係統安全計劃（CSSP）總監。他警告說：“被動的安全策略不適用於當今的互聯網環境。目前，我們已經對那些服役多年的設備的弱點作了分析。結果顯示
，大多數（46%左右）弱點存在於控製係統網絡和商用網絡之間的DMZ(隔離區)。考慮到這一地帶的連接相當重要，如此高的比例是我們無法接受的。你需要找到一種守護這些信道的辦法。”

　　zhezhongsiluhaowuyiwenshizhengquede，danshizhiyixingnan。ruguomoujiandongxizhiqiancongweiyouguobaohufangan，youtuolileshengchanshangdezhichi
，nameyaobaohutajiubushiyijianrongyideshi。Industrial Defender的市場主管Todd Nicholson解釋說：“當前環境下，我們麵臨的挑戰是每個人都希望得到安全防護，尤其是在連接到外部世界的情況下。但是這種環境——包括硬件、軟件
、操作係統——youshizaoqiyiliuxialaide。yushi，womenwufazaibuyanzhongyingxiangxingnengheshiyongxingdeqiantixia，jiangfanbingduruanjianzhileidexiandaianquanjishuyingyongyugongchangxitongcengmian。nisuomianduidehuanjingshirucicuiruo


，yizhiyunizaizhidingfangyucelveshi，budebufanfuzhenzhuo。”

　　jinguanruci

，kexingdecelvehaishiyoude。benwenbuduizhexiecelvedexijieyiyijinxingchanshu，danshicebianlantigongdeziyuannenggoubangzhuwomenqidongzhexieliucheng。dabufencelvedouxuyaonishouxianduidangqiandexitongjiagouzuoshenrufenxi，bingqieduikongzhiwangluoshangyunxingdesuoyouruanjianjinxingfenlei。lingyigezhuyaobuzhoushixunzhaosuoyoudewaibulianjie
，zheyiguochengduinaxieyidumangranbuzhisuocuodegongsieryanwangwangjuyoukaituoshiyedezuoyong。Staggs建議用戶從升級那些過時的設備入手，當然尋找連接的過程也不可能止步於此。他建議說：“為了找到隱藏的連接點，你應該查看OPC、串口網關
、調製解調器、安全的係統連接點、串口Modbus或IP，甚至是Foundation Fieldbus或者Profibus。”

　　遷移？正是時侯

　　用(yong)戶(hu)是(shi)否(fou)有(you)必(bi)要(yao)為(wei)了(le)網(wang)絡(luo)安(an)全(quan)進(jin)行(xing)平(ping)台(tai)遷(qian)移(yi)呢(ne)
？最(zui)終(zhong)的(de)回(hui)答(da)可(ke)能(neng)是(shi)的(de)確(que)有(you)必(bi)要(yao)遷(qian)移(yi)到(dao)一(yi)套(tao)具(ju)有(you)更(geng)高(gao)安(an)保(bao)水(shui)平(ping)的(de)平(ping)台(tai)。這(zhe)當(dang)然(ran)不(bu)是(shi)一(yi)件(jian)小(xiao)事(shi)，尤(you)其(qi)是(shi)在(zai)經(jing)濟(ji)衰(shuai)退(tui)的(de)大(da)背(bei)景(jing)下(xia)。Siemens Energy & Automation的遷移市場經理Ken Keiser說：“我想，大多數實際操作係統的工程師都會意識到風險。但是，他們能否將風險量化並作為平台遷移的理由又是另一個問題了。”

　　Keiser說：“我不知道他們是否能夠將問題向管理層闡述清楚。雖然他們意識到了風險，但是要將安全問題闡述清楚遠比說一句‘平台再也無法工作下去了，會影響到生產。’laidekunnan。yonghuqingxiangyuxianduixitongzhongzuicuiruodebufenjinxingshengji，zheyibufenjiushirenjijiemian。yulianjiedaoyitaiyuanchengshebeixiangbi，zidingxiangxiadilianjieyitaikongzhiqixiandegengrongyiyixie。”

　　CoreTrace營銷副總裁J.T.Keating認為係統遷移是一種過於緩慢的做法。他建議說：“如(ru)果(guo)我(wo)們(men)出(chu)於(yu)網(wang)絡(luo)安(an)全(quan)方(fang)麵(mian)的(de)考(kao)慮(lv)希(xi)望(wang)對(dui)早(zao)期(qi)係(xi)統(tong)作(zuo)升(sheng)級(ji)，那(na)麼(me)替(ti)換(huan)這(zhe)些(xie)係(xi)統(tong)往(wang)往(wang)是(shi)不(bu)現(xian)實(shi)的(de)

，至(zhi)少(shao)在(zai)係(xi)統(tong)運(yun)行(xing)時(shi)是(shi)不(bu)現(xian)實(shi)的(de)。安(an)全(quan)問(wen)題(ti)是(shi)當(dang)前(qian)就(jiu)要(yao)解(jie)決(jue)的(de)，替(ti)換(huan)是(shi)將(jiang)來(lai)才(cai)會(hui)被(bei)考(kao)慮(lv)的(de)。由(you)於(yu)需(xu)要(yao)替(ti)換(huan)的(de)係(xi)統(tong)往(wang)往(wang)相(xiang)當(dang)關(guan)鍵(jian)
，替(ti)換(huan)計(ji)劃(hua)必(bi)須(xu)製(zhi)定(ding)得(de)相(xiang)當(dang)周(zhou)密(mi)。在(zai)2009年，投資人的要求往往是‘因地製宜’進jin行xing生sheng產chan，而er非fei拋pao棄qi或huo替ti換huan大da量liang的de基ji礎chu設she備bei。從cong能neng源yuan角jiao度du考kao慮lv，我wo們men也ye應ying該gai盡jin可ke能neng高gao效xiao地di進jin行xing生sheng產chan。現xian實shi情qing況kuang是shi，對dui於yu那na些xie關guan鍵jian的de係xi統tong而er言yan
，幾ji乎hu不bu存cun在zai增zeng加jia安an全quan性xing的de完wan美mei方fang案an。”

　　那麼政府規範是否會對大規模的係統更換起到強製作用呢？NERC（國家電力公司）是否會有新的要求呢？McGurk指出，80%的關鍵基礎設施是私有性質的，即使是NERC也隻能覆蓋大型能源工業的一小部分。麵對現實，他悲觀地說：“長期以來
，一種心態一直彌漫在我們周圍，就是用不遵守規章製度的方式否認安全的重要性。”

　　人為因素

　　目mu前qian為wei止zhi
，我wo們men的de討tao論lun都dou集ji中zhong在zai技ji術shu解jie決jue方fang案an上shang
，但dan是shi人ren為wei因yin素su也ye同tong樣yang存cun在zai。隻zhi有you當dang相xiang關guan人ren員yuan都dou參can與yu流liu程cheng時shi
，他ta們men才cai會hui知zhi道dao如ru何he保bao障zhang係xi統tong的de安an全quan。一yi個ge普pu遍bian的de人ren為wei問wen題ti是shi：早zao期qi係xi統tong缺que乏fa相xiang關guan的de文wen檔dang資zi料liao。與yu流liu程cheng中zhong的de其qi他ta部bu分fen一yi樣yang，如ru果guo一yi套tao係xi統tong的de服fu役yi時shi間jian達da到dao十shi年nian甚shen至zhi更geng久jiu
，那na麼me用yong戶hu可ke能neng無wu法fa得de到dao反fan映ying實shi際ji運yun行xing狀zhuang況kuang的de現xian成cheng文wen檔dang。用yong戶hu往wang往wang需xu要yao從cong不bu成cheng文wen的de係xi統tong變bian化hua中zhong找zhao尋xun係xi統tong的de薄bo弱ruo環huan節jie。

　　Nicholson經過觀察後說：“不僅是在工廠環境下
，在企業IT中zhong對dui變bian化hua進jin行xing管guan理li也ye極ji具ju挑tiao戰zhan性xing。例li如ru，在zai你ni為wei外wai部bu用yong戶hu開kai啟qi了le一yi個ge端duan口kou之zhi後hou，你ni如ru何he才cai能neng夠gou有you效xiao地di對dui係xi統tong的de變bian化hua進jin行xing追zhui蹤zong和he監jian控kong呢ne
？有you些xie人ren可ke能neng會hui忘wang記ji曾zeng經jing打da開kai過guo端duan口kou
，從cong而er導dao致zhi係xi統tong被bei暴bao露lu。”

　　Matt Luallen是Encari的合夥創始人兼網絡安全博客作者。他強調了處理問題時步驟的重要性。他 說：“充分而且有效的問題處理步驟對 於正確的信息安全項目而言是必不可少 的。這些步驟包括對事件的認定和控 製
，對根源問題的認定和排除，對相同 事件的預防
，建立調用樹，將變化寫入 相關文檔幫助區分變化是否經過認證
， 以及適當的升級和報告程序。”

　　Luallen還說：“我們經常會看到用 戶對控製係統的軟、硬件作了改變而沒 有寫入文檔、發布通知，也沒有進行統 一驗證。從安全角度考慮，這種做法本 身就是違規的。但是，這種狀況無法簡 單地通過技術手段解決。許多情況下， P LC、RTU、中繼器和其他控製係統軟
、硬件無法對控製方麵的修改提供驗 證流程。”

　　隻有當相關人員理解了步驟在保障 工廠安全方麵的地位時，它們的重要性 才得以體現。DHS的報告顯示，社會工 程是受攻擊最多的對象。McGurk感歎地 說：“我們見證了太多的係統弱點和盲 點是由於用戶不合理操作導致的。這些 用戶沒能理解安全防護的重要性。”

　　Idaho國家實驗室DHS CSSP經理Marty Edwards指出，相關人員的思想意識需要 轉變。他說：“無論是在控製係統領域
、 IT領域還是實際的安全領域，我們在安全 問題上遇到的最大挑戰是如何樹立起安全 意識。無論你的設備來自何方
，你都應該 建立起這種意識。你需要把它融入到你的 性格中，加入到你的訓練中。”

　　Edwards說：“從安全角度看
，流程 工業領域接觸這種意識已經有一段時日 了。在沒有考慮安全問題之前
，你是不 會開工的。我們必須將這樣的意識深入 腦海，在做任何事之前，都需要考慮一 下安全問題。我們是否可以在用戶會議 上拿出一份包含了所有控製係統內部細 節的網絡結構圖
？每個人都能夠快速地 轉換意識

，而且這樣做比更換設備廉價 許多。”