在Stuxnet震网病毒发起攻击成功之后,许多plc开发制造企业开始重视PLC的信息安全,新设计制造的PLC内置了一些安全保护,特别是授权和访问控制。有些现代PLC还支持通信的完整性检查和加密。在固件和内存块都执行完整性检查的情况下,提供了防止操纵固件或内存块的基本保护。但是,这并不能防范通过Web服务器控制PLC从而使PLC的正常运行难以为继,乃至发生生产故障的情况。譬如说可以用改进型蛮力搜索攻击(modified brute-force dictionary attacks)对登录表单进行搜索,用以获取管理员用户名和密码达到攻击PLC Web服务器的目的。 保护PLC免受网络攻击需要一个多层次的方法。早期的隔离假设和IACS被隔离的概念不再是网络攻击保护或网络弹性的基础。有必要将网络弹性(network resilience)构建到PLC本身以及周围的设备,包括编程设备和hmi。尽管新一代PLC为身份验证、授权、完整性控制和加密提供了解决方案,但必须记住,这些机制只是确保可持续网络弹性所需安全机制的一个子集。仅仅以符合ISA/IEC 62443为目标是不够的,因为该标准仍在开发中,何况对PLC的网络攻击是黑客社区的一个新场所。我们需要的不仅仅是网络安全,我们还需要在网络遭到灾难性的事件时快速回复和继续运行的能力,也就是网络弹性。 这里特别要指出,过往把信息安全的防护重点集中在Level 2以上的设备和网络,而没有考虑在Level 0和Level 1上的设备和网络,这暴露了严重的网络安全问题。似乎有一种假设,这些在操作运行中的设备它们本质上要么是受保护的,要么是不会受到影响的,因此几乎所有用户和供应商都没有意识到level 0和Level 1设备缺乏网络安全和身份验证。对于那些认为不可能侵入过程传感器的想法,可以考虑简单地使用手持HART/FF现场通信手操器来更改过程传感器的识别号ID。这可能来自恶意的网络攻击,也可能是无意的操作错误,通常很难区分。但是无论原因为何,随着ID的改变,传感器将无法与PLC或dcs通信。这时可能会有报警,但要防止灾难性故障可能为时已晚。这不仅造成过程参数可视性的丧失,还可能会造成控制的丧失,甚至造成安全的丧失。到目前为止,已经发生了许多与传感器相关的网络安全灾难性故障。但由于目前还没有这一级别的网络取证,通常不可能确定流程异常是传感器或执行器的机械/电气问题,还是网络攻击的问题。 Level 0和Level 1设备的信息安全没有在任何标准和规范中得到重点考虑,这使得ISA 99(工业自动化和控制系统安全委员会)建立了一个任务小组,首先来核实Level 0和Level 1设备的信息安全问题是否在现有的IEC 62443系列标准中得到充分解决,特别是IEC 62443-4-2(IACS组件技术安全要求)。在审查了文档后发现了明显的漏洞,即现有的IEC 62443标准,以及IEEE(电气和电子工程师协会)电力行业标准都没有解决这一类与Level 0和Level 1级设备相关的独特问题。 根据上述的情势,我们应该建立如下的清醒认识:为了保护PLC系统抵御网络攻击,有必要了解PLC网络安全的最新知识并采用最新的防黑客攻击方法,而不是采用一种一成不变的防护手段。这是一个主要的挑战,因为工业控制系统要求全年没有停顿的运行,也就是24/7/365的运行模式。
|
电工学习网 ( )
GMT+8, 2021-12-6 20:49