连接是否安全？
　　有些专家固执地认为，只有切断连接才能称得上真正安全的连接。Kevin Staggs是国际注册信息系统安全专家（CISSP），同时也是Honeywell Process Solutions的工程师兼全球安全架构师。他说：“几乎所有的私有系统都拥有自己的网络。由于这些系统既没有设计成自我保护结构，又缺乏其他保护措施，加入任何的连接点都可能带来严重的威胁。如果你试图接入这些早期的系统，那么就必须完全了解接入点的位置，并且清楚这些接入点采用了哪种接入技术。许多情况下，这些接入点都已经过时了。”
　　但是，如果你的防御手段是将系统与外界隔离的话，那么你必须确保这样的隔离是完全的、彻底的，才能起到效果。Siemens Energy & Automation的过程自动化系统经理Todd Stauffer说：“用户往往认为孤立的网络是安全的，并且把所有鸡蛋都放在一个篮子里。他们坚信，孤立化必将带来安全性。但在许多情况下，总有人会把外部的记忆棒插入系统，或者临时接入一台笔记本电脑，又或者临时连接另一组网络。这些情况都会导致孤立网络出现混乱。除非你采取了措施阻止用户将记忆棒、CD或DVD插入到隔离区域，一般情况下你都必须在孤立网络中加入安全保障措施。否则，当遇到攻击时，你的系统将变得不堪一击。”

　　系统的多个时代
　　老式控制平台的时间跨度很长，有些延用至今的平台采用的还是最早期的DCS配置方式。我们可以将所有投入实际应用的平台分为两大类：采用私有网络的和基于Microsoft Windows架构的。
　　早期系统的操作人员会自我安慰说，即使一名黑客能够侵入系统，面对这些过时的技术，他也会变得无所适从。难道这确实能够成为一种防护策略吗？Exida的高级顾问John Custimano将这种策略形容为在稀薄的冰面上滑行。他奉劝说：“如果某人进入了一套老式控制系统，并且掌握着系统的命令结构，那么他就能轻易引起系统混乱。这与黑客入侵的区别在于，黑客还必须具备一手侵入老式系统的高超技能。一旦你做到了这一点，没准就能够执行任何你想要执行的命令。”
　　我们面临的问题是，在过去几年中，潜在的黑客高手人数很可能大幅增长着。反入侵系统提供商Top Layer的安全策略工程师Ken Pappas警告说：“如今我们担心的是：受经济形势的影响，公司解雇了大量员工。这些心怀不满的员工已经掌握了系统运行的内部知识。他们联手之后，既能够找到进入网络的途径，又知道进入网络之后该做些什么。他们制造混乱的能力远远超过了那些仅仅知道如何侵入网络的普通黑客。事实上，不是黑客变聪明了，而是出现了一类新的黑客——前任员工。”
　　一些用户相信，随着Windows在上世纪90年代进入到工厂领域，它为我们提供了一个更安全的环境。Cusimano认为事实并非如此。而且，他最担心的是那些服役超过15年的系统，要知道Windows最早就是在这一时期进入控制系统领域的。一些现役的系统仍旧采用基于Windows NT的人机界面。这一代系统率先实现了开放性，但它们采用的Windows几乎没有任何安全方面的考虑。因此，他们需要被特别关注。
　　Staggs也对此表示赞同，他建议：“早期的Windows系统不应该被连接到商用网络中。毫无疑问它们必须经过隔离，而且你必须掌握它们与商用网络交换数据的路径。你需要一款经过严格配置的防火墙，在可能的情况下还应该通过一个现代化的服务器交换数据。于是，你可以为这台较现代化的服务器提供保护，把它作为防御设备。多数情况下，保护技术会面临过时的问题，因此你需要时刻更新到最前沿的技术。”
　　“过时”一词在本文中指的是任何一代无法继续获得技术支持的Windows。Windows 2000能够获得支持直至2010年6月30日。任何比它早的版本都只能被划分到无保护的范畴内，而且无法获得安全更新。

　　你能够做些什么？
　　Sean McGurk是美国国土安全部（DHS）的控制系统安全计划（CSSP）总监。他警告说：“被动的安全策略不适用于当今的互联网环境。目前，我们已经对那些服役多年的设备的弱点作了分析。结果显示，大多数（46%左右）弱点存在于控制系统网络和商用网络之间的DMZ(隔离区)。考虑到这一地带的连接相当重要，如此高的比例是我们无法接受的。你需要找到一种守护这些信道的办法。”
　　这种思路毫无疑问是正确的，但是知易行难。如果某件东西之前从未有过保护方案，又脱离了生产商的支持，那么要保护它就不是一件容易的事。Industrial Defender的市场主管Todd Nicholson解释说：“当前环境下，我们面临的挑战是每个人都希望得到安全防护，尤其是在连接到外部世界的情况下。但是这种环境——包括硬件、软件、操作系统——又是早期遗留下来的。于是，我们无法在不严重影响性能和实用性的前提下，将反病毒软件之类的现代安全技术应用于工厂系统层面。你所面对的环境是如此脆弱，以至于你在制定防御策略时，不得不反复斟酌。”
　　尽管如此，可行的策略还是有的。本文不对这些策略的细节一一进行阐述，但是侧边栏提供的资源能够帮助我们启动这些流程。大部分策略都需要你首先对当前的系统架构作深入分析，并且对控制网络上运行的所有软件进行分类。另一个主要步骤是寻找所有的外部连接，这一过程对那些一度茫然不知所措的公司而言往往具有开拓视野的作用。Staggs建议用户从升级那些过时的设备入手，当然寻找连接的过程也不可能止步于此。他建议说：“为了找到隐藏的连接点，你应该查看OPC、串口网关、调制解调器、安全的系统连接点、串口Modbus或IP，甚至是Foundation Fieldbus或者Profibus。”

　　迁移？正是时侯
　　用户是否有必要为了网络安全进行平台迁移呢？最终的回答可能是的确有必要迁移到一套具有更高安保水平的平台。这当然不是一件小事，尤其是在经济衰退的大背景下。Siemens Energy & Automation的迁移市场经理Ken Keiser说：“我想，大多数实际操作系统的工程师都会意识到风险。但是，他们能否将风险量化并作为平台迁移的理由又是另一个问题了。”
　　Keiser说：“我不知道他们是否能够将问题向管理层阐述清楚。虽然他们意识到了风险，但是要将安全问题阐述清楚远比说一句‘平台再也无法工作下去了，会影响到生产。’来得困难。用户倾向于先对系统中最脆弱的部分进行升级，这一部分就是人机界面。与连接到一台远程设备相比，自顶向下地连接一台控制器显得更容易一些。”
　　CoreTrace营销副总裁J.T.Keating认为系统迁移是一种过于缓慢的做法。他建议说：“如果我们出于网络安全方面的考虑希望对早期系统作升级，那么替换这些系统往往是不现实的，至少在系统运行时是不现实的。安全问题是当前就要解决的，替换是将来才会被考虑的。由于需要替换的系统往往相当关键，替换计划必须制定得相当周密。在2009年，投资人的要求往往是‘因地制宜’进行生产，而非抛弃或替换大量的基础设备。从能源角度考虑，我们也应该尽可能高效地进行生产。现实情况是，对于那些关键的系统而言，几乎不存在增加安全性的完美方案。”
　　那么政府规范是否会对大规模的系统更换起到强制作用呢？NERC（国家电力公司）是否会有新的要求呢？McGurk指出，80%的关键基础设施是私有性质的，即使是NERC也只能覆盖大型能源工业的一小部分。面对现实，他悲观地说：“长期以来，一种心态一直弥漫在我们周围，就是用不遵守规章制度的方式否认安全的重要性。”

　　人为因素
　　目前为止，我们的讨论都集中在技术解决方案上，但是人为因素也同样存在。只有当相关人员都参与流程时，他们才会知道如何保障系统的安全。一个普遍的人为问题是：早期系统缺乏相关的文档资料。与流程中的其他部分一样，如果一套系统的服役时间达到十年甚至更久，那么用户可能无法得到反映实际运行状况的现成文档。用户往往需要从不成文的系统变化中找寻系统的薄弱环节。
　　Nicholson经过观察后说：“不仅是在工厂环境下，在企业IT中对变化进行管理也极具挑战性。例如，在你为外部用户开启了一个端口之后，你如何才能够有效地对系统的变化进行追踪和监控呢？有些人可能会忘记曾经打开过端口，从而导致系统被暴露。”
　　Matt Luallen是Encari的合伙创始人兼Control Engineering网络安全博客作者。他强调了处理问题时步骤的重要性。他说：“充分而且有效的问题处理步骤对于正确的信息安全项目而言是必不可少的。这些步骤包括对事件的认定和控制，对根源问题的认定和排除，对相同事件的预防，建立调用树，将变化写入相关文档帮助区分变化是否经过认证，以及适当的升级和报告程序。”
　　Luallen还说：“我们经常会看到用户对控制系统的软、硬件作了改变而没有写入文档、发布通知，也没有进行统一验证。从安全角度考虑，这种做法本身就是违规的。但是，这种状况无法简单地通过技术手段解决。许多情况下，PLC、RTU、中继器和其他控制系统软、硬件无法对控制方面的修改提供验证流程。”
　　只有当相关人员理解了步骤在保障工厂安全方面的地位时，它们的重要性才得以体现。DHS的报告显示，社会工程是受攻击最多的对象。McGurk感叹地说：“我们见证了太多的系统弱点和盲点是由于用户不合理操作导致的。这些用户没能理解安全防护的重要性。”
　　Idaho国家实验室DHS CSSP经理Marty Edwards指出，相关人员的思想意识需要转变。他说：“无论是在控制系统领域、IT领域还是实际的安全领域，我们在安全问题上遇到的最大挑战是如何树立起安全意识。无论你的设备来自何方，你都应该建立起这种意识。你需要把它融入到你的性格中，加入到你的训练中。”
　　Edwards说：“从安全角度看，流程工业领域接触这种意识已经有一段时日了。在没有考虑安全问题之前，你是不会开工的。我们必须将这样的意识深入脑海，在做任何事之前，都需要考虑一下安全问题。我们是否可以在用户会议上拿出一份包含了所有控制系统内部细节的网络结构图？每个人都能够快速地转换意识，而且这样做比更换设备廉价许多。”

　　　　控制系统补丁管理的推荐方案
　　“控制系统安全保护是国家关键基础设施及重要资源保护的重要组成部分。工业控制系统是指那些用于监督控制、数据采集、过程控制、分布式控制等方面的系统。它们为国家重要基础设施提供控制、监控和管理。关键基础设施和重要资源（CIKR）包括发电机组、传送系统、输运系统、水坝和水利系统、通信系统、化工炼油等其他系统。它们在运行过程中不允许出现突然的中断。简单地说，控制系统的作用就是采集信息，并且根据采集到的信息和内部参数实施控制。对于那些用于CIKR的工业控制系统软件而言，最佳的情况是拥有灵活的补丁管理方案，反之，最坏的情况就是根本没有补丁管理方案。补丁在填补安全漏洞和解决性能问题方面的作用举足轻重。以下这份文件为控制系统资产拥有者提供了一种补丁管理方案。”

　　保障控制系统调制解调器的安全
　　“这一推荐方案对那些与调制解调器及其系统应用相关的安全风险评估方法作了分析指导。如果用户需要建立深度防御体系，保护以调制解调器作为连接的系统组件，那么这份文件也提供了有用的方法。由于有关调制解调器及其通信方面弱点的信息能够通过其他方式获得，我们假设读者在阅读这份文件时，已经对这些信息有了大致的了解。”