Nancy Bartels和Walt Boyes
当谈及工业生产中的网络安全问题时,通常需要关注的仅有两个方面。1)、到底什么程度的安全是真正需要的安全?很多时候真正需要的安全的定义非常模糊,而且很难界定清楚。2)、“遵守规范”与“真正安全”之间的区别?
为了寻找答案,我们先后征询了这方面的多位专家,包括安全顾问、法规专家、供应商、系统集成商和最终用户。他们的回答涉及了方方面面的内容,但不足为奇的是都无一例外的指出:其实,真正安全和遵守规范是两个性质不同的概念。尽管遵守先行规范条例是最具成本效益的安全策略,但是,这种看似已经 “足够好”了的诱人的安全策略,则可能会带来无穷的隐患。
自动邮件列表(listserv)服务商——SCADASEC的老板Bob Radvanofsky在剖析遵守规范和真正安全的定义时,明确的指出:他们两个的意义不仅不相近,而且“实际上是互相矛盾的”。
“很显然,对于“安全”的定义不并是指其是否“遵守”了某些规范。同样,“遵守”规范也不见得能保证绝对的 “安全”。如果完全依据特定标准执行安全防护措施,则意味着即使面对不同的问题保证安全的方法仍然是不变的。然而,真正的“安全”不仅仅是一种感觉上的“安全”,更重要的是对于突发事件应有足够的预防性和足够的应变能力。
施耐德电气有限公司以太网营销集团经理Dan DesRuisseaux,补充说道:“遵守规范并不能保证安全。一家企业的安全措施即使满足了企业内部以及外部的各种安全条例,但仍然可能会受到各种攻击。没有任何一个标准能真正的保证安全。”
Applied Control Solutions的创办人,ControlGlobal 网站中“Unfettered” 博客的作者Joe Weiss,说:“理想的情况是将北美电力可靠性委员会规定的重要基础设施保护(NERC CIP)标准和实际安全措施有机的相结合。对于NERC CIP标准的遵守仅仅意味着设备符合了NERC的要求。但很多人误以为只要满足了NERC要求就能保证设备的安全,其实不然!NERC标准中提供的安全方案仅仅是安全防范的一种方法,与真正的保障资产安全并无直接关联。”
Verizon政府事务国家安全负责人Marcus Sachs更加坦率的说:“遵从标准会讨好审计者;而保障实际的安全则满足了投资者和客户的利益。很多年前我们曾经试图创造“安全文化”的氛围,但是失败了,相反的我们却建立起了“遵守文化”,并导致很多隐患和问题。我们需要跳出迷信检验的思维框架,不论是工厂还是企业,都应把重点重新回归到对于安全的实际检测上。”
安全的界限?
Exida安全事务主管John Cusimano说道:“安全的界限取决于其能承受风险的大小。风险是永远不可能完全避免的,因此,企业需要量化其风险承受能力,并使安全设计的水平达到或超过其承受量。企业可以通过建立安全目标级别的方式,将实际安全与安全标准相统一,并且企业也可以通过安全目标级别来衡量其承受风险的能力。”
西门子能源和自动化部PCS7营销经理Todd Stauffer,说:“安全是相对而言的。几乎没有任何办法能100 %的保证,从今往后安全都是牢不可破的。为了最大限度地提高安全性能,则所有者和经营者都应采取纵深防御。纵深防御有利于建立多层次防御体系,而这一观念对于诸如防火墙,访问控制,病毒扫描程序,软件补丁管理,物理防护和人事作业程序等技术都有重大的影响。而且,所有的防御措施都必须实时更新和补充,以确保有效的抵御新的安全漏洞。”
怎样的安全保障能做到足够的安全?
华盛顿郊区卫生委员会( WSSC )的Jake Brodsky谈到了最终用户对于安全的观点:“怎样的安全保障能做到足够的安全?这是最基本的问题。这就像问我们的汽车是怎么保障安全的?为了保障汽车的安全性,我们会采取各种各样的措施,包括防抱死制动系统,安全气囊,安全带,吸撞缓冲区,安全玻璃,牵引力控制系统等等。但是,即使有了这些防护措施仍然不能避免司机鲁莽驾驶而带来的安全隐患。防御系统也仅仅能做到这种程度。实际上,网络安全的最大难题是教育问题——教人怎么做才是安全的操作。也就是说,真正的让人们明白他们在做什么,会产生什么样的后果。”
Brodsky adds说:“作为临时措施,我们现在还必须沿用遵守规范的办法来保障基本的安全,虽然,仅仅遵守规范未必能防御攻击。但从长远来看,在我们积累足够的经验和知识而得出更好的解决办法以前,遵守规范无疑是临时措施的一个好选择。”
艾默生过程控制有限公司的网络安全专家Bob Huba认为“怎样的安全是足够的?”这个问题其实和“安全防护目的是什么”是重复的两个问题。他说:“如果对于风险没有一个脆弱性评估,则就可能不会知道是否有足够的防护以抵御攻击。也可能您会依据最坏的状况来设计防御系统,但这无疑会大大增加时间和金钱上的风险,而且也可能使安全防御的重点错位,使安全性更难保证。”
Langner通信的欧洲安全顾问Ralph Langner说:“当工业过程自动化中涵盖故障预测和操作的自动化设备时,通常都是不安全的。监控设施和网络设备的使用都有重大、未知的安全隐患。对于现实生活中,可能很容易辨别哪些防护性措施是必须的,哪些是可有可无的。但是,管理中却很难分辨。健康、安全和环境(HSE)管理中涉及的风险其实并不相同,而这些风险的大小与钱的多少有莫大的关系。一般来说, HSE管理的预算主要是由道德、立法和法规来决定,而风险损失也应在预期的可承受范围内。HSE管理体系中仅仅针对有潜在负面结果的风险进行安全防护管理,而其他的风险却未被列入管理条例中,但是他们仍然存在安全隐患需要加以防范。例如,并不存在系统补丁和防火墙安装的强制性要求,但是,企业为了减少风险这些都是应该做的。”
创建“安全文化”
Marcus Sachs说我们没有建立起安全文化。Huba说我们必将建立起安全文化。Huba说:“创建的安全系统应超越于仅仅遵守规范的系统。这需要建立完整的“安全文化”,安全的概念渗透到每个人的每项工作中,所有人都能有强烈的责任感,对于每个行为的后果都有清晰的认识。根据我的经验,规范中涉及的风险多数都是低级别的,而且对于审计员的检查,人们又经常会抱有审计员不仔细,就可以“侥幸逃脱”的心理,对很多潜在风险疏于防范。而且,遵守规范的安全措施是通过管理者和审计者来建立的,其中并没有员工的参与。但是,具体措施的实施却离不开员工的工作。但是,一个真正安全的工业控制系统缺少员工的参与是不可能建立起来的。”
Multitrode公司的Steve Carson说:“安全的重点总放在有现实意义的技术上。然而,最明显的安全漏洞往往存在于人的一些习惯性做法上,例如:将密码写在电脑旁边的本子上;不设置密码;或者依照随机承包商的指示通过安全检测,而将个人重要信息留个随机承包商,从而使他一直有机会通过你的安全检测。”(Multitrode公司是一家制造升降机控制系统和水质监测装置的生产商。)
做而不说
综上,到底应该怎么做才能既保证设备的安全,又能通过审计部门的审核呢?霍尼韦尔过程控制部的工程研究和全球安全设计师Kevin Staggs,给出了一个安全定义的标准公式:“最低限度的是:企业应该将过程控制网络(PCN)与企业网络隔离开。PCN与企业网络的隔离可以通过防火墙来实现,除了PCN和企业网络中个别的特殊节点外,应屏蔽PCN与企业网络之间的所有通信。而且,PCN应设置为不可以直接连接互联网。好的配置是:PCN与企业网络之间还应包括DMZ(非军事区)。而PCN与企业网络之间的信息传递都是在非军事区中完成的。最佳的做法是:通过对PCN网络安全的评估来判断企业整个网络系统的安全性。”
最后一点,企业需要在想要达到的安全性能与所愿承担的费用间取得一种平衡。
Multitrode的首席技术执行官Paul Francis,总结说到:“如果要回答“到底怎样的安全是足够的?”,无疑有将所有情况“一刀切”的嫌疑。不同的情况下,“安全”的定义和界限也是不完全相同的,而且,人们对“安全”的认识和看法也是不断发生着变化的。不能仅仅因为某套系统“遵守”了某个特定的规范和标准,就一味的认为这些标准和规范是安全的保障。最佳的做法是,将规范和标准中涉及到相关安全措施都投入到系统的关键部分,同时,为了保证足够的安全性能(通常都要多层次防御体系,单层是不够的),需要对具体项目进行评估,如地理位置、通信基础设施、员工政策和管理、技术架构、协议支持、物理访问、培训、数据和系统的风险性、政府和监管机构的规定、风险评估等等。而定期的审核和测试将更有利于这一模式的进一步发展。”
From:ControlGlobal.com-- 2009jj