引言         近幾年，公用事業(yè)公司在進(jìn)行他們的商務(wù)活動時，已經(jīng)經(jīng)歷了很多改變。增加收益和降低開支的壓力使他們把SCADA系統(tǒng)與商務(wù)網(wǎng)絡(luò)集成在一起進(jìn)行流線型操作?；ヂ?lián)網(wǎng)的流行使用戶要求他們可以對自己的帳戶進(jìn)行在線訪問，在線轉(zhuǎn)帳，進(jìn)一步增加網(wǎng)絡(luò)的暴露程度。另外，公共事業(yè)公司已經(jīng)通過使用互聯(lián)網(wǎng)使一些核心的商務(wù)操作，如故障的管理，更加便利。         2003年八月的大規(guī)模停電引起了公眾對于互聯(lián)網(wǎng)故障的關(guān)注。結(jié)果，北美電力可靠性委員會（NERC）生成了緊急行動標(biāo)準(zhǔn)1200，這個行動方案的目的就是保證所有的實(shí)體都要對北美的大規(guī)模電網(wǎng)系統(tǒng)做出反應(yīng)，保護(hù)控制或是可能影響大規(guī)模電力系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)。2004年，NECR發(fā)行了一個續(xù)集和標(biāo)準(zhǔn)1200保持控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)的強(qiáng)制性。在2005年第一季度，所有的控制區(qū)域和可靠性協(xié)調(diào)機(jī)構(gòu)必須要完成和提交適當(dāng)?shù)膮^(qū)域自我診斷更新表格，來顯示他們與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求符合或是不符合度。         另外全球的恐怖主義，已經(jīng)引起了公眾對于公共事業(yè)公司關(guān)鍵基礎(chǔ)設(shè)施和SCADA系統(tǒng)的關(guān)注。盡管公眾十分擔(dān)憂，但是公共事業(yè)公司也不會因此而拒絕集成SCADA和互聯(lián)網(wǎng)所帶來的好處。危險可能是真實(shí)存在的，但是，幸運(yùn)的是，保護(hù)SCADA系統(tǒng)的方法相對也是比較容易的。         也許，來自公共事業(yè)公司的最大的危險就是來自他們?nèi)狈Ω影踩谋Ｗo(hù)的關(guān)注。許多國有或是私有的企業(yè)，控制著天然氣、能源、水等公共事業(yè)，但是卻從來沒有想過他們就是網(wǎng)絡(luò)襲擊的目標(biāo)，現(xiàn)在他們必須要采取有效的措施來保證網(wǎng)絡(luò)的安全了。雖然很多公共事業(yè)公司為他們SCADA系統(tǒng)提供了風(fēng)險評估機(jī)制，但是很多公司卻沒有。他們已經(jīng)越來越依賴緊密聯(lián)系的數(shù)字信息系統(tǒng)，而沒有充分意識到網(wǎng)絡(luò)襲擊的潛在危害。         傳統(tǒng)意義上的SCADA系統(tǒng)是與其它系統(tǒng)隔離開的，他們在網(wǎng)絡(luò)上獨(dú)立操作。由于先前考慮到可能的攻擊，這樣看起來就為SCADA系統(tǒng)提供了所有必要的保護(hù)。具有這種有限訪問和很難破解密碼的通常是大型的專有系統(tǒng)，這樣，幾乎沒有人可以隨意進(jìn)入其系統(tǒng)并進(jìn)行攻擊。但是時過境遷，他們現(xiàn)在已經(jīng)集成到公司的網(wǎng)絡(luò)系統(tǒng)當(dāng)中，可以使他們的數(shù)據(jù)在網(wǎng)絡(luò)上共享，增加了工廠效率。所以，現(xiàn)在的情況是，目前的SCADA網(wǎng)路的安全性網(wǎng)絡(luò)的安全性。 保護(hù)你的SCADA網(wǎng)絡(luò)         保護(hù)SCADA網(wǎng)絡(luò)的第一步就是生成一個書面的安全原則，這是保護(hù)整個網(wǎng)絡(luò)的重要組成部分。沒有一個適當(dāng)?shù)陌踩瓌t，就是使該公司處于網(wǎng)絡(luò)攻擊的危險地位、造成季度損失、甚是會導(dǎo)致法律訴訟。一個安全原則是一個動態(tài)而非靜態(tài)的文件，它不是一旦生成永不更改的。管理團(tuán)隊(duì)需要提出一個明確的、可理解的目的、目標(biāo)、規(guī)則和正式的流程來定義整個計劃的地位和構(gòu)架。         高級管理人員、IT部門、人力資源和一些合法的部門等這些關(guān)鍵的人員都應(yīng)該包含在這個計劃當(dāng)中。而且應(yīng)該包含以下幾個關(guān)鍵因素： ● 原則所涉及到的相關(guān)人員的角色和責(zé)任 ● 允許的和不允許的行為和進(jìn)程 ● 不遵從原則的后果 漏洞評估         準(zhǔn)備一個書面的原則之前，要進(jìn)行一個漏洞評估。漏洞評估的旨在明確兩點(diǎn)，一是與SCADA相關(guān)的IT構(gòu)架的不同方面的潛在危險，二是這些不同構(gòu)架的優(yōu)先權(quán)。這通常以等級的形式表示出來，然后，這也排出了對安全的關(guān)注程度的優(yōu)先權(quán)，以及不同漏洞區(qū)域的投資等級。 例如，在一個典型的SCADA系統(tǒng)中，一些關(guān)鍵詞和相關(guān)的等級如下： ● 操作員站的操作的有效性 ● 實(shí)時數(shù)據(jù)的準(zhǔn)確性 ● 系統(tǒng)配置數(shù)據(jù)的保護(hù) ● 與商業(yè)網(wǎng)絡(luò)的連接 ● 歷史數(shù)據(jù)的有效性 ● 臨時用戶站的有效性         一個漏洞評估系統(tǒng)執(zhí)行時類似一個理解一個系統(tǒng)是如何構(gòu)成的，威脅到系統(tǒng)的危險是如何生成的這樣一個確認(rèn)漏洞和缺點(diǎn)的機(jī)制。         為了成功的運(yùn)行一個漏洞評估機(jī)制，需要在物理上確認(rèn)所有的網(wǎng)絡(luò)和計算機(jī)設(shè)備，需要用到的軟件和網(wǎng)絡(luò)路由器。在進(jìn)行檢查之后，應(yīng)該隨網(wǎng)絡(luò)構(gòu)架生成一個清晰的結(jié)構(gòu)圖。 進(jìn)一步的安全方法         如前所述，SCADA系統(tǒng)以前是與其它網(wǎng)絡(luò)分開的，要進(jìn)行攻擊，只有在物理上穿越此系統(tǒng)。隨著公司網(wǎng)絡(luò)在電子上連接到了互聯(lián)網(wǎng)或是無線技術(shù)，物理訪問對于網(wǎng)絡(luò)攻擊來說已經(jīng)不需要了。其中一個解決方法就是隔離SCADA網(wǎng)絡(luò)，但是對于預(yù)算思想的操作來說，這不是一個實(shí)用的方法。這還會需要在遠(yuǎn)程地點(diǎn)的監(jiān)控工廠和遠(yuǎn)程終端單元。所以需要采用安全方法來保護(hù)網(wǎng)絡(luò)，一些常見的方法可以應(yīng)用與本質(zhì)上屬于所有的SCADA的網(wǎng)絡(luò)，例如那些以WAN形式出現(xiàn)的網(wǎng)絡(luò)，或是又基于互聯(lián)網(wǎng)訪問要求的網(wǎng)絡(luò)。核心的因素包括： ● 網(wǎng)絡(luò)設(shè)計 ● 防火墻 ● 虛擬專用網(wǎng)絡(luò) ● 隔離區(qū) 網(wǎng)絡(luò)設(shè)計——盡量保持簡潔         簡單的網(wǎng)絡(luò)比比較復(fù)雜的、相互連接的網(wǎng)絡(luò)危險要少。要保持網(wǎng)絡(luò)的簡潔性，更重要的是，從一開始就要有良好的構(gòu)架。         確保一個安全的網(wǎng)絡(luò)的關(guān)鍵因素就是控制接觸點(diǎn)的數(shù)目。接觸點(diǎn)應(yīng)該盡可能的少。雖然防火墻可以保護(hù)來自互聯(lián)網(wǎng)的訪問，但是很多現(xiàn)行的控制系統(tǒng)擁有自己的調(diào)制解調(diào)器，允許用戶在遠(yuǎn)程訪問系統(tǒng)進(jìn)行調(diào)試。這些調(diào)制解調(diào)器往往直接與子站的控制器相連。如果確實(shí)需要訪問點(diǎn)，應(yīng)該是一個具有密碼保護(hù)的單點(diǎn)，使得用戶的登錄行為可以成功。 防火墻         防火墻是裝在網(wǎng)關(guān)服務(wù)器上，保護(hù)專有網(wǎng)絡(luò)計算機(jī)資源的免受外部用戶攻擊的一套安全程序。防火墻與路由程序緊密配合工作，它可以檢查每個網(wǎng)絡(luò)信息包，判斷是否允許它傳遞到目的地。防火墻還會包含一個代理服務(wù)器或是與其工作，這就可以使網(wǎng)絡(luò)要求可以代表工作站用戶。防火墻通常安裝在特別設(shè)計的計算機(jī)上，與網(wǎng)絡(luò)的其它部分分開，所以，任何引入的信息都不可能直接進(jìn)入網(wǎng)絡(luò)資源。         在信息包交換的網(wǎng)絡(luò)中，例如，互聯(lián)網(wǎng)，路由器是判斷一個網(wǎng)絡(luò)點(diǎn)是否是信息包的目的地的設(shè)備或是軟件。路由器最少連接到兩個網(wǎng)絡(luò)上，基于對它所連接的網(wǎng)絡(luò)，以及他對網(wǎng)絡(luò)現(xiàn)狀的理解，來判斷每個信息包的傳送路徑。路由器安裝在網(wǎng)關(guān)上（兩個網(wǎng)絡(luò)的交匯處），包含互聯(lián)網(wǎng)上的每個點(diǎn)。路由器通?？醋骶W(wǎng)絡(luò)交換機(jī)的一部分。         在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)上使用安全放火墻十分重要。作為公司網(wǎng)絡(luò)信息出入的單點(diǎn)，防火墻可以很好的被監(jiān)控和保護(hù)。使用至少一臺防火墻和路由器把公司網(wǎng)絡(luò)和不屬于本公司的網(wǎng)絡(luò)隔離開十分必要。 在更大的站點(diǎn)，需要保護(hù)控制系統(tǒng)免受SCADA網(wǎng)絡(luò)內(nèi)部的攻擊。在公司網(wǎng)絡(luò)和SCADA系統(tǒng)之間使用防火墻可以達(dá)到這個目的，并且也高度建議使用防火墻。 虛擬專有網(wǎng)絡(luò)（VPN）         現(xiàn)在更加復(fù)雜的網(wǎng)絡(luò)所面臨的一個主要的安全問題之一就是遠(yuǎn)程訪問。VPN是一個連接到遠(yuǎn)程SCADA網(wǎng)絡(luò)的安全方法。使用VPN，所有的數(shù)據(jù)在一定程度上是保密的，只對有限的人群開放，例如供應(yīng)商公司的員工。VPN是一個使用公用電纜把點(diǎn)連接起來的網(wǎng)絡(luò)。例如，有一些系統(tǒng)允許使用互聯(lián)網(wǎng)作為傳輸數(shù)據(jù)的媒質(zhì)來生成網(wǎng)絡(luò)。這些系統(tǒng)使用密碼技術(shù)和安全方法來保證只有授權(quán)用戶才可以訪問網(wǎng)絡(luò)，并保證數(shù)據(jù)不被干擾?；诂F(xiàn)存的網(wǎng)絡(luò)構(gòu)架，使用一體化的數(shù)據(jù)密碼和隧道技術(shù)，VPN提供了一個高水平的數(shù)據(jù)安全等級。一個典型的VPN服務(wù)器或者是作為防火墻的一部分或是作為一個獨(dú)立的設(shè)備安裝，外部人員進(jìn)入SCADA網(wǎng)絡(luò)之前要進(jìn)行驗(yàn)證。 IP安全（IPsec）        IP安全是互聯(lián)網(wǎng)工程任務(wù)組為了支持IP層安全的信息包交換而開發(fā)的一套協(xié)議。VPN已經(jīng)廣泛的應(yīng)用了IPsec。        IPsec可以在一個網(wǎng)絡(luò)范圍內(nèi)使用，提供計算機(jī)等級的認(rèn)證和數(shù)據(jù)加密。IPsec可以被用來把使用高度安全的L2TP/IPsec的遠(yuǎn)程網(wǎng)絡(luò)生成連接。        IPsec支持兩種加密模式：transport和tunnel。Transport加密只對每個信息包的一部分（有效載荷）進(jìn)行加密，不涉及報頭部分。更加安全的tunnel模式可以同時對報頭和有效載荷進(jìn)行加密。在接收方，IPsec兼容設(shè)備為每個信息包解碼。       為了IPsec有效工作，發(fā)送和接收方應(yīng)該共享相同的公鑰。這通過ISAKMP/Oakley（安全聯(lián)盟和密鑰交換協(xié)議），這就允許接收者可以得到公鑰，并對發(fā)送者進(jìn)行數(shù)字驗(yàn)證。        在網(wǎng)絡(luò)硬件，如路由器、交換機(jī)和網(wǎng)關(guān)的選擇階段，考慮到設(shè)備要支持IPsec來支持安全VPN連接的能力十分重要。 隔離區(qū)         隔離區(qū)是在信任區(qū)域（SCADA網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)或互聯(lián)網(wǎng)之間的緩沖區(qū)域，通過額外的防火墻和路由器分離開，為地址網(wǎng)絡(luò)攻擊提供了額外的安全層。使DMZ已經(jīng)成為把商務(wù)網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)分離開的越來越普遍的方法，是一種強(qiáng)烈建議使用的安全方法。 網(wǎng)絡(luò)和操作環(huán)境的安全         在處理SCADA構(gòu)架時，需要明白在與SCAD