关键基础设施领域的安全

 ZDNet安全频道原创翻译 转载请注明作者以及出处

对于电力基础设施及其他关键行业正在选择应用智能电网和互联网技术这一趋势，控制系统专家乔·魏斯给出的意见是需要保持谨慎。

在乔·魏斯参加网络安全方面的专题会议时，他旁边坐的经常是全球政要、执法官员和巨型公司的高级经理，但通常情况下，他都是来自工业关键基础设施领域孤独的代表。

在过去的十年里，由于以前单独运行的发电厂及核电站、变电所、炼油厂和水配送中心的控制系统正在进行现代化改造与其它系统连接，并直接接入公共互联网中，因此，他一直致力于公共和其它行业安全的宣传工作。智能电网技术的推出让传统的基础设施管理人员被淘汰，并导致出现问题的几率大大增加。就如同在华尔街选择使用高技术电子交易交流模式后，在上星期系统出现故障时，随之而来的后果就是出现股价暴跌的情况。

在建立技术控制应用解决方案顾问公司之前，魏斯在电力科学研究院(EPRI)工作了15年，负责与政府机构、公用事业工程、重点供应商进行合作;在国会作证;推动行业加强网络安全方面的措施等工作。

他的专著，《保护工业控制系统安全消除电子技术带来的威胁》一书将于本月稍后时间发行，由于包含了第一次从应用的角度来对容许工人利用蓝牙连接访问智能电网控制系统设备会让网络安全面临的问题进行全面分析的内容，肯定会引起轰动。书中讲述了美国范围内由于有意和无意造成的停电，甚至导致死亡的事故范例，以及企业内部文件中关于一些关键基础设施采取的运营安全措施仅仅是一个密码之类的内容说明。

在接受来自至顶网兄弟网站CNET的专访时，魏斯解释了为什么通常情况下公司网络比发电厂或变电站的更安全，为什么对于关键基础设施领域来说部署信息技术安全解决方案不是必须的，以及他是怎样利用打壁球将工作中遇到的挫折和沮丧情绪排除出去的。

问题：对于关键基础设施领域来说，从华尔街进行类似的转变导致出现股价暴跌以及关闭市场交易这一事件中，可以学到些什么经验?

魏斯：它和迈克菲出现的问题(最近，迈克菲发布了一个针对防病毒软件的不稳定更新补丁，结果导致数以万计运行Windows　XP系统的计算机崩溃，数千台机器反复重启)并没有太大的区别。问题的关键在于，我们依赖于自动化系统，结果得到些什么?它并不是控制系统，但在此之前我们已经遇到过控制系统的问题。

因此，对于关键基础设施和电网安全来说，关键是什么?

这一问题不仅仅限于关键基础设施。而是关系到整个工业基础设施。举例来说，狗食或家庭用品或消耗品或汽车制造业等领域，与你的个人生活息息相关。它们可能没有被当作关键基础设施，但还是属于工业基础设施的一部分。它遍及了你工作生活的方方面面。

但人们往往更关心的是供电和照明、煤气、自来水等其他行业。

几乎所有的工业基础设施都采用了相同或类似型号的设备，进行连接的时间也选择了类似的方式，使用的协议类型尽管不是完全相同的，也是类似的。这样的情况意味着两件事情。其一，所有这些基础设施在面临威胁时会发生情况是类似的。影响的大小取决于所在的行业，众所周知，对于电力基础设施来说，造成的潜在影响显然是非常非常重大的。同样的问题在化学工业中的影响也可能是非常大的。尽管影响是不同的。但所有的漏洞是相同的。

漏洞意味着什么?

先让我们回顾一下历史。最早的时间，这些控制系统都是单独运行的模拟系统。随着微处理器的出现，它开始将信息加入到这些系统中。依赖于现代通讯技术，在这里指的并不仅仅是互联网，让这些系统和生产设施提高了效率。这时发生的另外一件事情就是，当这些系统没有智能化时，人们对它们的内部情况没有兴趣。但是，这项功能的出现导致它们获取信息能力的增加。对于一个行业来说，由于钱就是从这里来的，因此，它可能属于最重要的系统。一旦你可以获得这一信息，就意味着来自公司内部或者外部的很多人都想得到它。因此，在最早的设计中都没有考虑到连网功能的设备也开始连接了。

什么是真正的关注?什么是真正的风险?

我们曾经很天真地假设只有需要访问它们的人才会连接到这些系统中。因此，尽力保护它们并不是一件必须的工作。但现在，经济领域的变化导致很多具有不满情绪的人出现，而在政治领域，民族国家的敌人、犯罪家庭或公司的敌人也是一直存在的，总的来说，有越来越多的人处于恶意目的访问这些系统。此外，由于这些系统的使用方式与设计原则或原始要求相比，有了很大的变化，因此，越来越多的意外影响可能出现了。迈克菲或华尔街最近发生的事件就是非常典型的例子，没费多大的劲就导致了意想不到的巨大后果出现。

在十年前，这可能仅仅属于理论方面的问题。但现在，实际情况是什么样的?

我建立了一个关于控制系统类网络事故的数据库。我是从98-99年开始收集这些信息的。当时，尽管这类问题已经开始发生了，但并没有人关心。当智能电子设备第一次出现时，电力系统就已经开始升级，成为一张"智能电网"。它们就是智能继电器和变电站的断路器。这些设备是在90年代末21世纪初安装的。

在2003年东北电网停电事故后的主要变化之一，就是利用智能在线电力设备代替不支持网络功能的电力开关。因此，它实际上已经成为智能电网的一部分。在这里，所谓的"智能"指的是双向沟通的意思。业界的研究工作已经进行了相当长的时间。直到最近，它才被叫做"智能电网"。由于大量资金投入的推动作用，使用传输控制协议/互联网协议(TCP/IP)之类技术的现代通讯技术开始在电力系统部署。很多人，尤其是来自信息技术领域的，都将智能电网当作了电子互联网。

这是一个好主意么?

从概念上讲，这么说没有错，因为它确实可以提高电网的工作效率。我为什么强调"概念"这一词呢。当年在EPRI工作的时间，我曾经参与了先进控制和检测仪器的研发工作，我们认为给关键基础设施提供智能选择是一项完美的措施，可以提高生产效率，不会导致任何不良后果的出现。我们从来没有认识到，对于所有事情来说，都是存在负面影响的，而在这里，就是"网络"。它是一把双刃剑，并且必须处理好。如果没有处理好，可能会导致产生灾难性的后果。如果处理好了，带来的好处也是非常多的。这是一个怎样在生产力和安全性之间获取平衡的问题。

对于带来如此高风险的网络，我们应该怎么处理?

很多时间，都会有人这么问我，为什么不直接返回原来的模拟信号模式，将瓶子里的魔鬼装回去。不这么做的原因其实也很简单，由现代数字技术带来的而老式模拟技术不能做到的好处太多了，我们不能因噎废食。我们现在最需要做的，应该是要弄清楚如何最好地控制风险。这也就是我一直在推动的事情。业界没有建立一支受到过控制系统网络安全培训的工作团队来对这一新风险进行处理。因此，我们要做的是建立和培养相关的工作团队，这样才能保证正常工作，并开发成出可以处理风险的适当技术。

对于声称可以利用互联网安全技术解决这一问题的公司，你是怎么看的?

从网络安全的角度来看，你必须对信息技术(IT)和工业控制系统在技术、管理和策略等方面的区别有着深刻认识。在应用某些信息技术或测试措施时，可能会控制系统出现问题。举例来说，当进行渗透测试或部署传统信息管理策略、授权使用强密码或因为密码已经使用了一定次数而锁定系统等情况出现的时间，都可能导致问题发生。这些操作可能对控制系统造成严重的损害。

能否举例说明一下?

对控制系统进行渗透测试，要么会导致系统当机，要么会导致系统固件被破坏。更改默认密码之类的简单策略需求也可能导致问题的出现。如果你正处在电网开始崩溃或者发电厂打乱了正常运行状态之类非常紧张的环境中时，一次又一次的事实证明，如果人们没有做他们训练时要求做的事情的话，就会做错误的事情。因此，如果你强迫他们使用不习惯的密码，就不能够及时地作出有效反应。而防病毒软件是非常耗费资源的。

美国国家标准技术研究院(NIST)曾经进行过这样的测试，结果显示，仅仅对一台老式控制系统进行简单的病毒库定义更新这样的操作，就有可能导致某些地方出现2到6分钟服务当机的情况。这还仅仅是每天的日常病毒库定义更新。已经出现过安装防病毒软件导致系统控制工作站当机的情况了。块加密处理也已经被证明可能减缓控制系统的运行速度，或者导致系统当机。业界已经通过采用技术、策略、进程和测试等多种受到严格限制的信息技术手段来应用到控制系统上，并且在模拟环境下进行测试，确保不会导致问题的出现。

自来水公司对运行中的系统进行修补时，需要首先在离线状态下测试补丁的有效性。在将补丁安装到网络其他部分时，他们必须保证水泵是开启而不是关闭的。由于更新微软补丁导致关机或者影响到"厂商专供的"Windows系统而导致控制系统供应商不得不向客户发出紧急通知的情况已经发生过很多起。

只是选择不这样做，是否可行呢?

你不能在没有经过测试的情况下就安装补丁，而且也应该知道怎么做才能获得最大的好处。有些系统按照规划不一定要安装补丁，也就意味着在12到24个月的时间里不用处理。这样做的效果不一定比出现损害差。

我们已经谈到过意想不到的事件了。对于袭击之类的事件，我们应该怎么处理?

现在存在着一定数量针对控制系统的恶意网络攻击。但到目前为止，我没有发现国家级针对控制系统的恶意攻击。不过，确实出现过几起国家级针对其它国家信息技术基础设施的攻击以及一定数量的显然是针对互联网的攻击。

由于其本身性质所决定，恶意攻击导致的损失将远远大于我们遇到过的意外事故造成的伤害。在美国，仅仅由于意外事故，已经导致了两人死亡。他们造成的损失范围非常大，这包括了短期、一两天的停电，两家核电站关闭并启用安全系统。

意外事故并不意味着造成的损失很小。一条与网络相关的特定输油管道破裂导致25万加仑油料泄露，3人死亡，按0.99美元的价格计算接近4500万美元的整体损失，污水处理厂的一起事故，以及奥林匹克管道公司的破产。目前，在几乎所有的工业基础设施中都发生过网络事故，电力系统、配电系统、输电系统、水电站、火电厂、核电站，燃气轮机发电站、石油和天然气管道、自来水和污水处理系统、生产设施和运输工具。而且这是在全世界的范围里，不仅仅只是在美国。这一切都不是假设。它都已经发生过了。

我们应该怎样比较企业网络的安全水平?

加利福尼亚州太平洋燃气与电力公司或任何公用事业公司的人力资源网络或客户信息网络都比包括核电站、变电站在内的任何电厂或美国范围内的任何控制中心都安全。

为什么会出现这样的情况?

原因很简单，公用事业公司已经集合到一起，并提出了一套叫做北美电力可靠性委员会(NERC)关键基础设施保护(CIP)标准的规则。在这些标准中，它们对"危急"的定义进行了研究和分析，并作出了自我界定。北美电力可靠性委员会已经对电信之类被排除在外部的公司发出了紧急警告。NERC　CIPs标准明确地将它们排除在外。你能想象对信息技术系统进行网络评估时，却被告知"没有电信方面的要求"的情况么?根据2005年能源政策法案，尽管电力开始从分布升级到传输和备份，属于智能电网核心的配电却被明确排除了。它根本没有任何意义。

现在是否需要进行行业监管呢?

目前唯一有(监管)要求的行业是电力和核能。供水行业目前也没有要求。利用行业组织可以建立准则或最佳做法，但任何时间谈论到监管时，首先想到的都是电力。这就是为什么大家都非常关注NERC　CIPs标准的原因。

如果制定更多的监管措施?

我一直主张对于公用事业来说，最简单的就是应该谨慎工作保证工厂设施的安全。但迄今为止，在公用事业行业中，除了少数例外的企业，大部分根本不愿意这样做。

这是因为他们选择更重视生产力而不是安全么?

这是因为公用事业公司的工程部分或业务部门属于发电、输电以及分配的部分，是利用电子系统进行控制的。他们不需要对网络安全负责。该组织内负责网络安全的是信息技术部门。但是该部门却没有自己的业务装备。在通常情况下，业务部门并没有安全方面的预算，也没有经过处理网络安全问题方面的培训。所以，经常会发生这样的情况，业务部门不会解决安全方面的问题，而管理层也就依照NERC　CIPs标准的要求完成整个项目。大部分公用事业公司都希望能尽力降低资产投入的数额。如果不属于关键部分的话，公用事业公司不会做任何额外的投入。

NERC的副总裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美国发电厂并不认为这属于关键部分。几乎30%的输电公司也不认为它属于关键部分。这导致所有的分配系统，尽管属于智能电网的核心，却因为分配的原因被NERC　CIPs明确排除，而不能成为关键部分。包括加利福尼亚在内，没有公共事业委员会将网络安全标准包括在内。

你认为对网络安全焦点的讨论会导致问题出现么?

信息技术关注的是恶意网络攻击行为而不是无意的网络事故。业界只是将无意的网络事故作为网络攻击来处理。从概念上讲，信息技术可以识别出一起网络攻击来。在工业控制中，Windows层中可以进行网络取证。但在控制系统层，非Windows层里，却几乎无法进行任何网络取证。有人宣称会出现网络911。这种系统可能出现，但我们并不知道它是否属于网络。你不能直接关灯出去，这样会导致工厂停工。除非有法医的鉴定，否则你不能说这属于网络，而不是其它的事物。最好的例子，就是发生在澳大利亚马奇由一名心怀不满的前承包商制造的事故。在他对监督控制和数据采集(SCADA)系统及污水排放阀进行了20次攻击后，他们还认为这是一次机械或电气故障。直到第46次攻击出现时，他们才确认并捉住他。

你是怎样对"网络"事故进行定义的?

NIST的定义是系统间电子通讯的保密性、完整性和可用性受到影响。它并不一定是故意的。它也不一定会影响到保密性，而这是所有消费者最担心的。控制系统担心的是信号的完整性和可用性。信号显示打开了80%的阀门，而实际上只有8%打开时，应该怎么办?这之间的不同可能导致一起大爆炸的发生。但是可用性也属于关键项目。信息技术部门和业务部门之间巨大的差异之一，就是控制系统必须运行在固定的时间范围里，一般以毫秒为单位，对时间标准的要求非常高。这就象给一辆油罐车装载汽油。你不希望装得太快，让油罐车装满后还在等待出发。也不希望在油罐车出发的时间，还没有装满油罐。

因此，从电网到发电厂、变电站，以及家庭的每一处交界中都存在漏洞么?

你说的非常正确。这些漏洞在通讯系统中也出现了。公用事业公司使用了微波、无线电、电力线载波、移动电话、卫星等多种通讯方式，其中大部分都存在网络漏洞。

你提到了蓝牙。

一家主要的智能电网电气设备制造商正在为他们的电动重合闸安装蓝牙通讯模块，该设备通常位于电极顶部或者变电站中，可以让电流再次通过。之所以安装蓝牙通讯模块，是因为公用事业公司要求它这么做，这样的话，在下雨或下雪的晚上，工程技术人员就能够坐在他的卡车里并打开或关闭必要的重合闸，而无需走出来。但是，重合闸处于SCADA系统的内部，你刚刚从防火墙外部连接进去，而设计的时间，并没有考虑到这种情况会给安全带来威胁。因此，为了保证系统安全，必须选择并部署适当的安全措施。

奥巴马政府对于这一问题的重视程度是否足够?

工业控制系统领域的团体在这里没有自己的位置。政府就该问题制定方案时，咨询的是来自信息技术领域的重量级人物。因此，你在方案中看到的是信息技术团体的要求。在最近几次主要由政府主办的网络安全会议，我是唯一一名来自工业控制系统领域团体的代表，而在前几年，则是一名也没有。

是来自工业控制界的代表没有被邀请呢，还是他们对此不感兴趣么?

一般来说是他们没有受到邀请。信息技术团体将控制系统看成另一种计算机。一套控制系统由两部分组成，人机界面，人们可以在控制室的屏幕上看到，它们现在已经迁移到Windows、Unix和Linux等平台上。这些系统使用的也是TCP/IP协议。所以，人们一看到这点，就会说："啊哈!就是这样。我知道这个"。而他们没有看到位于野外的大量设备，它们用于包括了识别、测量、控制和和物理过程监测在内的各个方面。这些设备看起来不象计算机，也不使用Windows。它们使用的是专有实时操作系统系统或完全嵌入式系统。这个级别的安全就象是"激情之夜"一样非常复杂。而信息技术看起来就是一名坐在Windows工作站前的工程师，只会说"我知道了"。

你是怎么感觉自己象工业界的预言家卡桑德拉?

已经开始有人认识到控制系统网络是真实的，但是数量非常少。我所关心的是事实和现状。我已经建立了包含全球范围内超过170起控制系统网络事故在内的数据库。但不幸的是，大部分的事故并没有公开。计算机紧急反应小组(CERT)及其他信息技术安全监察机构存在的目的不是收集控制系统的信息。对于只是想简单宣布胜利的人来说，这是一个不幸的趋势。美国能源部和国土安全部都已经开始在这一领域开展工作。但关于事故的详细情况和发生原因都需要进一步的研究。

我们真得能把攻击者清除出这些系统么?

只要下决心去做，就一定能做到。这些系统必须工作在有效安全可靠的模式下。对于系统安全来说，"先进技术"只要不影响到性能，是非常有必要的。如果做不到这一点，对于攻击者来说，就等于胜利了。可以这么说，对于控制系统来说唯一的安全应该是不连接并位于系统的深处。

你对该领域充满了激情，将全身心都投入到控制领域的安全中。在你不工作的时间，会做些什么?

我玩壁球。它给我一次机会，让我体会到头撞墙的实际感觉是什么样子的。