引言         近幾年，公用事業(yè)公司在進(jìn)行他們的商務(wù)活動(dòng)時(shí)，已經(jīng)經(jīng)歷了很多改變。增加收益和降低開(kāi)支的壓力使他們把SCADA系統(tǒng)與商務(wù)網(wǎng)絡(luò)集成在一起進(jìn)行流線型操作?；ヂ?lián)網(wǎng)的流行使用戶要求他們可以對(duì)自己的帳戶進(jìn)行在線訪問(wèn)，在線轉(zhuǎn)帳，進(jìn)一步增加網(wǎng)絡(luò)的暴露程度。另外，公共事業(yè)公司已經(jīng)通過(guò)使用互聯(lián)網(wǎng)使一些核心的商務(wù)操作，如故障的管理，更加便利。         2003年八月的大規(guī)模停電引起了公眾對(duì)于互聯(lián)網(wǎng)故障的關(guān)注。結(jié)果，北美電力可靠性委員會(huì)（NERC）生成了緊急行動(dòng)標(biāo)準(zhǔn)1200，這個(gè)行動(dòng)方案的目的就是保證所有的實(shí)體都要對(duì)北美的大規(guī)模電網(wǎng)系統(tǒng)做出反應(yīng)，保護(hù)控制或是可能影響大規(guī)模電力系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)。2004年，NECR發(fā)行了一個(gè)續(xù)集和標(biāo)準(zhǔn)1200保持控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)的強(qiáng)制性。在2005年第一季度，所有的控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)必須要完成和提交適當(dāng)?shù)膮^(qū)域自我診斷更新表格，來(lái)顯示他們與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求符合或是不符合度。         另外全球的恐怖主義，已經(jīng)引起了公眾對(duì)于公共事業(yè)公司關(guān)鍵基礎(chǔ)設(shè)施和SCADA系統(tǒng)的關(guān)注。盡管公眾十分擔(dān)憂，但是公共事業(yè)公司也不會(huì)因此而拒絕集成SCADA和互聯(lián)網(wǎng)所帶來(lái)的好處。危險(xiǎn)可能是真實(shí)存在的，但是，幸運(yùn)的是，保護(hù)SCADA系統(tǒng)的方法相對(duì)也是比較容易的。         也許，來(lái)自公共事業(yè)公司的最大的危險(xiǎn)就是來(lái)自他們?nèi)狈?duì)更加安全的保護(hù)的關(guān)注。許多國(guó)有或是私有的企業(yè)，控制著天然氣、能源、水等公共事業(yè)，但是卻從來(lái)沒(méi)有想過(guò)他們就是網(wǎng)絡(luò)襲擊的目標(biāo)，現(xiàn)在他們必須要采取有效的措施來(lái)保證網(wǎng)絡(luò)的安全了。雖然很多公共事業(yè)公司為他們SCADA系統(tǒng)提供了風(fēng)險(xiǎn)評(píng)估機(jī)制，但是很多公司卻沒(méi)有。他們已經(jīng)越來(lái)越依賴緊密聯(lián)系的數(shù)字信息系統(tǒng)，而沒(méi)有充分意識(shí)到網(wǎng)絡(luò)襲擊的潛在危害。         傳統(tǒng)意義上的SCADA系統(tǒng)是與其它系統(tǒng)隔離開(kāi)的，他們?cè)诰W(wǎng)絡(luò)上獨(dú)立操作。由于先前考慮到可能的攻擊，這樣看起來(lái)就為SCADA系統(tǒng)提供了所有必要的保護(hù)。具有這種有限訪問(wèn)和很難破解密碼的通常是大型的專有系統(tǒng)，這樣，幾乎沒(méi)有人可以隨意進(jìn)入其系統(tǒng)并進(jìn)行攻擊。但是時(shí)過(guò)境遷，他們現(xiàn)在已經(jīng)集成到公司的網(wǎng)絡(luò)系統(tǒng)當(dāng)中，可以使他們的數(shù)據(jù)在網(wǎng)絡(luò)上共享，增加了工廠效率。所以，現(xiàn)在的情況是，目前的SCADA網(wǎng)路的安全性網(wǎng)絡(luò)的安全性。 保護(hù)你的SCADA網(wǎng)絡(luò)         保護(hù)SCADA網(wǎng)絡(luò)的第一步就是生成一個(gè)書(shū)面的安全原則，這是保護(hù)整個(gè)網(wǎng)絡(luò)的重要組成部分。沒(méi)有一個(gè)適當(dāng)?shù)陌踩瓌t，就是使該公司處于網(wǎng)絡(luò)攻擊的危險(xiǎn)地位、造成季度損失、甚是會(huì)導(dǎo)致法律訴訟。一個(gè)安全原則是一個(gè)動(dòng)態(tài)而非靜態(tài)的文件，它不是一旦生成永不更改的。管理團(tuán)隊(duì)需要提出一個(gè)明確的、可理解的目的、目標(biāo)、規(guī)則和正式的流程來(lái)定義整個(gè)計(jì)劃的地位和構(gòu)架。         高級(jí)管理人員、IT部門(mén)、人力資源和一些合法的部門(mén)等這些關(guān)鍵的人員都應(yīng)該包含在這個(gè)計(jì)劃當(dāng)中。而且應(yīng)該包含以下幾個(gè)關(guān)鍵因素： ● 原則所涉及到的相關(guān)人員的角色和責(zé)任 ● 允許的和不允許的行為和進(jìn)程 ● 不遵從原則的后果 漏洞評(píng)估         準(zhǔn)備一個(gè)書(shū)面的原則之前，要進(jìn)行一個(gè)漏洞評(píng)估。漏洞評(píng)估的旨在明確兩點(diǎn)，一是與SCADA相關(guān)的IT構(gòu)架的不同方面的潛在危險(xiǎn)，二是這些不同構(gòu)架的優(yōu)先權(quán)。這通常以等級(jí)的形式表示出來(lái)，然后，這也排出了對(duì)安全的關(guān)注程度的優(yōu)先權(quán)，以及不同漏洞區(qū)域的投資等級(jí)。 例如，在一個(gè)典型的SCADA系統(tǒng)中，一些關(guān)鍵詞和相關(guān)的等級(jí)如下： ● 操作員站的操作的有效性 ● 實(shí)時(shí)數(shù)據(jù)的準(zhǔn)確性 ● 系統(tǒng)配置數(shù)據(jù)的保護(hù) ● 與商業(yè)網(wǎng)絡(luò)的連接 ● 歷史數(shù)據(jù)的有效性 ● 臨時(shí)用戶站的有效性         一個(gè)漏洞評(píng)估系統(tǒng)執(zhí)行時(shí)類似一個(gè)理解一個(gè)系統(tǒng)是如何構(gòu)成的，威脅到系統(tǒng)的危險(xiǎn)是如何生成的這樣一個(gè)確認(rèn)漏洞和缺點(diǎn)的機(jī)制。         為了成功的運(yùn)行一個(gè)漏洞評(píng)估機(jī)制，需要在物理上確認(rèn)所有的網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備，需要用到的軟件和網(wǎng)絡(luò)路由器。在進(jìn)行檢查之后，應(yīng)該隨網(wǎng)絡(luò)構(gòu)架生成一個(gè)清晰的結(jié)構(gòu)圖。 進(jìn)一步的安全方法         如前所述，SCADA系統(tǒng)以前是與其它網(wǎng)絡(luò)分開(kāi)的，要進(jìn)行攻擊，只有在物理上穿越此系統(tǒng)。隨著公司網(wǎng)絡(luò)在電子上連接到了互聯(lián)網(wǎng)或是無(wú)線技術(shù)，物理訪問(wèn)對(duì)于網(wǎng)絡(luò)攻擊來(lái)說(shuō)已經(jīng)不需要了。其中一個(gè)解決方法就是隔離SCADA網(wǎng)絡(luò)，但是對(duì)于預(yù)算思想的操作來(lái)說(shuō)，這不是一個(gè)實(shí)用的方法。這還會(huì)需要在遠(yuǎn)程地點(diǎn)的監(jiān)控工廠和遠(yuǎn)程終端單元。所以需要采用安全方法來(lái)保護(hù)網(wǎng)絡(luò)，一些常見(jiàn)的方法可以應(yīng)用與本質(zhì)上屬于所有的SCADA的網(wǎng)絡(luò)，例如那些以WAN形式出現(xiàn)的網(wǎng)絡(luò)，或是又基于互聯(lián)網(wǎng)訪問(wèn)要求的網(wǎng)絡(luò)。核心的因素包括： ● 網(wǎng)絡(luò)設(shè)計(jì) ● 防火墻 ● 虛擬專用網(wǎng)絡(luò) ● 隔離區(qū) 網(wǎng)絡(luò)設(shè)計(jì)——盡量保持簡(jiǎn)潔         簡(jiǎn)單的網(wǎng)絡(luò)比比較復(fù)雜的、相互連接的網(wǎng)絡(luò)危險(xiǎn)要少。要保持網(wǎng)絡(luò)的簡(jiǎn)潔性，更重要的是，從一開(kāi)始就要有良好的構(gòu)架。         確保一個(gè)安全的網(wǎng)絡(luò)的關(guān)鍵因素就是控制接觸點(diǎn)的數(shù)目。接觸點(diǎn)應(yīng)該盡可能的少。雖然防火墻可以保護(hù)來(lái)自互聯(lián)網(wǎng)的訪問(wèn)，但是很多現(xiàn)行的控制系統(tǒng)擁有自己的調(diào)制解調(diào)器，允許用戶在遠(yuǎn)程訪問(wèn)系統(tǒng)進(jìn)行調(diào)試。這些調(diào)制解調(diào)器往往直接與子站的控制器相連。如果確實(shí)需要訪問(wèn)點(diǎn)，應(yīng)該是一個(gè)具有密碼保護(hù)的單點(diǎn)，使得用戶的登錄行為可以成功。 防火墻         防火墻是裝在網(wǎng)關(guān)服務(wù)器上，保護(hù)專有網(wǎng)絡(luò)計(jì)算機(jī)資源的免受外部用戶攻擊的一套安全程序。防火墻與路由程序緊密配合工作，它可以檢查每個(gè)網(wǎng)絡(luò)信息包，判斷是否允許它傳遞到目的地。防火墻還會(huì)包含一個(gè)代理服務(wù)器或是與其工作，這就可以使網(wǎng)絡(luò)要求可以代表工作站用戶。防火墻通常安裝在特別設(shè)計(jì)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其它部分分開(kāi)，所以，任何引入的信息都不可能直接進(jìn)入網(wǎng)絡(luò)資源。         在信息包交換的網(wǎng)絡(luò)中，例如，互聯(lián)網(wǎng)，路由器是判斷一個(gè)網(wǎng)絡(luò)點(diǎn)是否是信息包的目的地的設(shè)備或是軟件。路由器最少連接到兩個(gè)網(wǎng)絡(luò)上，基于對(duì)它所連接的網(wǎng)絡(luò)，以及他對(duì)網(wǎng)絡(luò)現(xiàn)狀的理解，來(lái)判斷每個(gè)信息包的傳送路徑。路由器安裝在網(wǎng)關(guān)上（兩個(gè)網(wǎng)絡(luò)的交匯處），包含互聯(lián)網(wǎng)上的每個(gè)點(diǎn)。路由器通常看作網(wǎng)絡(luò)交換機(jī)的一部分。         在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)上使用安全放火墻十分重要。作為公司網(wǎng)絡(luò)信息出入的單點(diǎn)，防火墻可以很好的被監(jiān)控和保護(hù)。使用至少一臺(tái)防火墻和路由器把公司網(wǎng)絡(luò)和不屬于本公司的網(wǎng)絡(luò)隔離開(kāi)十分必要。 在更大的站點(diǎn)，需要保護(hù)控制系統(tǒng)免受SCADA網(wǎng)絡(luò)內(nèi)部的攻擊。在公司網(wǎng)絡(luò)和SCADA系統(tǒng)之間使用防火墻可以達(dá)到這個(gè)目的，并且也高度建議使用防火墻。 虛擬專有網(wǎng)絡(luò)（VPN）         現(xiàn)在更加復(fù)雜的網(wǎng)絡(luò)所面臨的一個(gè)主要的安全問(wèn)題之一就是遠(yuǎn)程訪問(wèn)。VPN是一個(gè)連接到遠(yuǎn)程SCADA網(wǎng)絡(luò)的安全方法。使用VPN，所有的數(shù)據(jù)在一定程度上是保密的，只對(duì)有限的人群開(kāi)放，例如供應(yīng)商公司的員工。VPN是一個(gè)使用公用電纜把點(diǎn)連接起來(lái)的網(wǎng)絡(luò)。例如，有一些系統(tǒng)允許使用互聯(lián)網(wǎng)作為傳輸數(shù)據(jù)的媒質(zhì)來(lái)生成網(wǎng)絡(luò)。這些系統(tǒng)使用密碼技術(shù)和安全方法來(lái)保證只有授權(quán)用戶才可以訪問(wèn)網(wǎng)絡(luò)，并保證數(shù)據(jù)不被干擾?；诂F(xiàn)存的網(wǎng)絡(luò)構(gòu)架，使用一體化的數(shù)據(jù)密碼和隧道技術(shù)，VPN提供了一個(gè)高水平的數(shù)據(jù)安全等級(jí)。一個(gè)典型的VPN服務(wù)器或者是作為防火墻的一部分或是作為一個(gè)獨(dú)立的設(shè)備安裝，外部人員進(jìn)入SCADA網(wǎng)絡(luò)之前要進(jìn)行驗(yàn)證。 IP安全（IPsec）        IP安全是互聯(lián)網(wǎng)工程任務(wù)組為了支持IP層安全的信息包交換而開(kāi)發(fā)的一套協(xié)議。VPN已經(jīng)廣泛的應(yīng)用了IPsec。        IPsec可以在一個(gè)網(wǎng)絡(luò)范圍內(nèi)使用，提供計(jì)算機(jī)等級(jí)的認(rèn)證和數(shù)據(jù)加密。IPsec可以被用來(lái)把使用高度安全的L2TP/IPsec的遠(yuǎn)程網(wǎng)絡(luò)生成連接。        IPsec支持兩種加密模式：transport和tunnel。Transport加密只對(duì)每個(gè)信息包的一部分（有效載荷）進(jìn)行加密，不涉及報(bào)頭部分。更加安全的tunnel模式可以同時(shí)對(duì)報(bào)頭和有效載荷進(jìn)行加密。在接收方，IPsec兼容設(shè)備為每個(gè)信息包解碼。       為了IPsec有效工作，發(fā)送和接收方應(yīng)該共享相同的公鑰。這通過(guò)ISAKMP/Oakley（安全聯(lián)盟和密鑰交換協(xié)議），這就允許接收者可以得到公鑰，并對(duì)發(fā)送者進(jìn)行數(shù)字驗(yàn)證。        在網(wǎng)絡(luò)硬件，如路由器、交換機(jī)和網(wǎng)關(guān)的選擇階段，考慮到設(shè)備要支持IPsec來(lái)支持安全VPN連接的能力十分重要。 隔離區(qū)         隔離區(qū)是在信任區(qū)域（SCADA網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的緩沖區(qū)域，通過(guò)額外的防火墻和路由器分離開(kāi)，為地址網(wǎng)絡(luò)攻擊提供了額外的安全層。使DMZ已經(jīng)成為把商務(wù)網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)分離開(kāi)的越來(lái)越普遍的方法，是一種強(qiáng)烈建議使用的安全方法。 網(wǎng)絡(luò)和操作環(huán)境的安全         在處理SCADA構(gòu)架時(shí)，需要明白在與SCAD