自動化系統的網絡安全

網絡安全風險在各個行業都很常見，尤其是在自動化系統中。意識到共同的挑戰，并在解決方案上進行合作，是確保當前和未來關鍵資產安全的有效方式。

近20年來，保護自動化系統（尤其是關鍵基礎設施中的自動化系統）免受網絡攻擊，一直是當務之急。很多行業協會和組織已經制定了相關標準、實踐和指南。一些國家的政府機構和國家實驗室，也制定了相關的框架、指南和法規。

傳統的自動化公司已經對其產品和服務進行了重組，以更加關注安全性。新的公司則提供技術和服務來滿足預期需求。盡管進行了所有這些活動和投資，但很多專家表示，距離確保這些關鍵系統的安全，我們還有很長的路要走。到底是什么阻礙了我們？

問題的答案，與具體情況一樣多。但是，它們仍有一些共同主題。許多資產所有者發現，如果沒有具體和緊迫風險的證據，很難定義改變其安全實踐的商業案例?？捎玫闹改霞?，看起來龐大、令人困惑且可能相互矛盾，其他人可能難以從中進行選擇。許多中、小型公司根本沒有必要的員工或專業知識，來充分滿足對網絡安全計劃的需求。

01

通用標準還是行業特定標準？

其中一個更有趣的討論主題是：標準和指南應該是廣泛而通用的，還是應針對特定行業量身定制。多年來，它一直在工業網絡安全界引起激烈的爭論?；谛袠I相似性多于差異性的現狀，應制定適用于各個行業的標準和實踐，這一主張已經引發了一系列回應，具體取決于個人的觀點。這里有一個與 Kübler-Ross 模型的有趣類比，也被稱為“悲傷階段”，它描述了與創傷相關的情緒狀態的不同階段（圖 1）。

▲圖 1：對共同標準和實踐的回應。

雖然這個模型可能并不完全適合這種情況，但它確實提供了一個背景和步驟，使討論超越了特定指南的適用性問題，轉向降低網絡風險需求。目標必須是從可用的指導和實際案例中獲取最大價值，而不是僅僅因為這些信息來自不同行業就被忽視。

02

類似的風險和后果

行業之間當然存在差異，但與潛在網絡攻擊或缺陷相關的風險卻相當相似。風險，通常被定義為威脅、脆弱性和后果的函數，還有對可能性的估計。為了全面評估行業和公司之間的相似性，有必要研究每個因素。

對工業系統的威脅有多種形式，從直接攻擊到利用這些系統的特性及其通過互聯網的可用性或可訪問性而進行的非特定攻擊。雖然許多資產所有者認為，他們并不是什么知名的公司，沒人會攻擊他們，但當互聯網上出現惡意軟件時，他們很容易成為附帶受害人。最近勒索軟件攻擊的案例，就非常清楚地說明了這一點。發布此軟件的人可能并沒有考慮個人目標，而只是尋找可以利用的漏洞，來加密數據并要求為其付費。

計算風險的另外一個主要因素是脆弱性。正是在這里，我們看到了不同應用之間最大程度的共性。幾乎所有基于計算機或自動化系統的行業都使用來自相同主流供應商的產品。近年來，主要供應商的數量有所減少，它們基本上都使用相同的商用現成技術來生產數據庫、操作系統和網絡設備等組件。這就造成了單一技術，因此自動化解決方案固有的漏洞對所有用戶來講往往都是共同的。

漏洞緩解，要求資產所有者盡快更新或修補其已安裝的系統。在修補不可行甚至不可能的情況下，通常需要采用補償性對策或控制措施來緩解漏洞。案例包括使用各種隔離方法，直至將系統與網絡斷開連接。工業防火墻和單向網關等產品可實現此功能。

▲圖 2：美國國家標準與技術研究院網絡安全框架 （NISTCSF）已被廣泛接受為表征有效網絡安全響應的通用框架。

在威脅計算中，最重要的組成部分也許是系統受損的潛在后果。這些后果可能遠遠超過自動化系統停機，甚至會導致無法查看或控制受控過程。在某些情況下，如果沒有自動化，就很難或不可能安全地操作這些過程，這樣就會依賴自動化安全系統，將其移至安全狀態或實現安全停機。正如最近的事件所表明的那樣，即使是安全系統本身也容易受到網絡攻擊。

盡管這些后果的細節因行業而異，但它們的性質即使不同，通常也是相似的：從損失產品或服務，到爆炸、釋放有毒材料直至設備損壞。也許最常見的基于潛在后果的行業分組，是所謂的關鍵基礎設施組成部門。

基于上述分析，不同行業面臨的風險似乎比人們想象的更相似，這反過來又會讓人們得出結論：更多的跨行業共享可能是有益的。

03

自動化系統的共同挑戰

還有很多因素經常限制為工業系統創建有效的網絡安全計劃。這在很多行業應用中都很常見。

標準的復雜性：通常行業標準都是使用非常精確的結構和術語來編寫的，以允許創建合適的一致性規范。對于那些不是該主題專家的人來說，這種語言晦澀難懂。不幸的是，這意味著對那些試圖在實際情況中應用這些文件的人來講，這些文件令人生畏，甚至難以理解。這反過來會影響接受和采用程度。很明顯單憑標準本身，不足以促進采用經過驗證的有效做法。

缺乏實際案例：盡管標準通常記錄已被接受的工程實踐，但它們也是收集案例研究和用例的起點。案例研究描述特定應用的方法和結果；而用例則側重于主題的特定方面。在這兩種情況下，重要的是要識別和描述構成有效響應基礎的共同原則和基本概念，而不管所涉及的是哪個行業。

不幸的是在自動化系統中，通常很難找到實用且具有代表性的案例研究。資產所有者可能不愿分享他們認為是專有或其它敏感的信息，或者他們可能只是沒有時間和資源來準備和發布此類文件。最常見的情況是供應商發布案例研究，其中大部分識別信息被編輯，但這些可能被視為特定產品和解決方案的隱晦廣告。

需要工作流程指導：有一種特定類型的指南，似乎有特別高的需求。資產所有者和其它希望建立有效網絡安全計劃的人，非常希望了解他們的同行是如何將此類計劃整合到正常工作流程中的。有充分的證據和經驗表明，使用項目來實現網絡安全的方法，長期來看是不可持續的。就像其它安全策略一樣，網絡安全必須成為正常流程和程序的一個組成部分。

多重能力：還有一個問題是需要哪些技能或能力來充分應對網絡安全風險。顯而易見的需求包括：管理和保護信息，以及信息所在的系統和網絡方面的專業知識。但在處理自動化系統時，這些還不夠。還必須徹底了解受控過程以及用于影響控制的策略和邏輯。這種專業知識只能從自動化和類似的工程專業中獲得。信息、系統和網絡安全與工程專業知識的結合，是全面解決問題所必需的。

到目前為止，風險的威脅和脆弱性對每個企業來說基本相同，雖然詳細后果可能有所不同，但對于被認為是關鍵基礎設施一部分的部門，潛在影響非常相似。那些試圖有效應對網絡風險的人所面臨的挑戰也大致相同。此外，通過更多地分享實踐和經驗，也可以更有效地應對絕大部分挑戰。

04

應對措施的要素

鑒于行業之間存在如此多的共性，很明顯，更多的合作將有助于解決改善操作系統網絡安全的需求。這種合作應包括幾個基本的要素：

背景信息：首先，必須有共同背景信息，用其來確定響應的組成部分，并建立彼此之間的關系。

概念和術語：必須有一套共同的概念和術語，跨行業和跨專業的有效協作和合作才有可能。盡管對于自動化行業中的功能元素以及網絡和安全專業中的系統元素已經存在，但當各專業必須協同工作時，有時會遇到困難。隨著他們彼此之間變得更熟悉，這種情況正在改善。

規范性要求：只有對期望的未來狀態有清晰明確的描述，才能做出有效的響應。通常，這以一組規范性要求和相關補充指南的形式出現。重要的是，這些要求僅限于定義要做什么，而不對如何實現做出假設或斷言。

推薦實踐：要求（即使附有支持或解釋性的理由）也是是不夠的，因為它們經常以允許定義一致性標準的形式使用廣義或通用術語。推薦的做法是遵循這些要求，并使用更適合特定環境的術語來重新定義。因此，可能存在基于單一標準的多種實踐，每種實踐都針對特定場景。

案例研究和用例：對于系統集成商和資產所有者來說，這可能是最有用的資源，因為它們描述了在先前的工況下哪些是有效的，哪些是無效的。

在創建、審查和共享上述資源時，所有相關專業和利益相關者都必須參與其中。供應商必須與系統集成商、資產所有者和服務提供商密切合作，以應對生命周期各個階段的活動：從規范和開發到實施、運營和支持。利用所有相關和受影響專業的專業知識也很重要。例如，自動化系統的風險評估，必須包括熟悉底層流程和可能后果的工程師和運行人員的輸入。

上述大部分內容已經存在，盡管來源不唯一。這可能會導致需求信息的人缺乏意識和理解。需要更多的合作才能將各個部分組合在一起，并提供全方位的必要指導。此外，還需要提高對現成資源的認識和了解。

美國國家標準與技術研究院網絡安全框架 (NIST CSF) 已推出數年。盡管它是美國推出的，但它也反映了世界其它地區的貢獻，并已被廣泛接受為表征有效網絡安全響應的一般框架。此外，NIST 還發布了符合制造業目標和行業最佳實踐的網絡安全框架制造配置文件的實施指南。

一些組織以各種形式處理了工業網絡安全概念、模型和術語；然而，ISA 和 IEC 聯合開發了可以說是該領域最全面的標準集。ISA/IEC 62443 標準不是針對某個行業，而是基于活動、資產和后果標準的組合來定義其范圍（圖 3）。

▲ISA/IEC 62443 范圍標準。

ISA/IEC 62443標準的優勢在于：這些標準不受特定行業或部門的約束或限制。雖然最初是針對過程工業開發的，但它們已成功應用于軌道交通和采礦等行業。開發這些應用最常見的方法，涉及在相關行業背景下解釋概念和要求，并將這種解釋用作更集中的推薦實踐的基礎。

網絡安全風險在各個行業都很常見，尤其是在自動化系統中。對這種風險的有效應對應當是建立在多學科知識基礎上的。意識到挑戰，并在解決方案上進行合作，是確保當前和未來關鍵資產安全的有效方式。

審核編輯：劉清