2014年7月份，當伊朗核電站基礎設施的重要組成部分，遭到專門針對數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）的Stuxnet病毒攻擊的時候，科幻zui終走出熒幕，變成了現(xiàn)實。該事件仍然主要在工業(yè)自動化領域內(nèi)傳播，但是其它數(shù)據(jù)泄露事件，比如索尼和Target，卻廣為人知。網(wǎng)絡安全意識越來越被企業(yè)管理層所重視。
　　
　　除了蓄意攻擊所造成的中斷，無意識的錯誤組態(tài)或者錯誤操作，也會造成安全漏洞；由于現(xiàn)在的系統(tǒng)高度集成，并且包含很多層軟件，因此在大多數(shù)情況下，創(chuàng)建并運營這些系統(tǒng)的人，并沒有必要對軟件層之間的相互作用有較深的理解。
　　
　　安全分析
　　
　　正如zui近幾年所發(fā)生的一樣，分布式系統(tǒng)的集成程度、自動化和信息技術系統(tǒng)軟件的復雜程度和多重結構，為惡意攻擊創(chuàng)造了良好的條件。
　　
　　但是，由于這些系統(tǒng)與SCADA的安全息息相關，因此不僅僅要預防蓄意攻擊，還應防范其它方面的危險。不管是誰創(chuàng)建、運營工廠自動化系統(tǒng)，他們對復雜的基礎設施和使用的眾多軟件層，并沒有*了解。因此，除非有適用的標準，否則的話，運行錯誤、不充分的維護、升級流程都很有可能會影響系統(tǒng)的可靠性和穩(wěn)定性。對于系統(tǒng)而言，這就是“無意識病毒”；或者為懷有惡意的人打開了攻擊的大門。
　　
　　為了幫助系統(tǒng)識別潛在攻擊，并避免攻擊的發(fā)生，需要有一個驗證矩陣。一方面，用戶可以保護軟件和IT基礎設施，這是SCADA/HMI軟件運行的基礎；另一方面，需要對自動化工程本身進行分析，尤其是SCADA/HMI工程組態(tài)及其運營。
　　
　　安全分析的*個方面，是基本硬件、軟件和網(wǎng)絡基礎設施，它們主要用于處理操作系統(tǒng)安全補丁的升級程序、身份識別和密碼保護等諸如此類的事項。這種分析，并不是SCADA/HMI系統(tǒng)所*的，應該遵循已有的IT標準，有很多案例可供參考。因此，我們應該將重點放在另外一個方面：軟件自動化工程開發(fā)本身上，包括SCADA/HMI組態(tài)、執(zhí)行和調(diào)度。
　　
　　蓄意攻擊
　　
　　防范有意識的攻擊非常重要。這些蓄意的攻擊者，有些是出于政治目的而攻擊生產(chǎn)線，而且可能是出于非常簡單的目的，例如，“如果可以實施攻擊，那為什么不去做”。即使是出于技術方面的挑戰(zhàn)，就像很多計算機病毒的出現(xiàn)一樣，并不是出于盈利或某種特定目的的攻擊，只是為了滿足某個人的虛榮心。
　　
　　在過去15年間，編程技術、軟件和通訊技術的發(fā)展進步，遠遠超過了大多數(shù)自動化軟件工具和產(chǎn)品的更新?lián)Q代。即使用戶將軟件工具升級到版本，也不能保護它，因為大多數(shù)解決方案都是基于落后的技術。因此只要愿意，這些精通科技的少年就有可能破解它。
　　
　　潛在威脅
　　
　　隨著系統(tǒng)復雜性的增加，在現(xiàn)場進行調(diào)試時，也許并不可能*模擬每一種假設場景，所以在設計中要使用具有本質(zhì)安全的技術和架構、在單元測試時確保軟件質(zhì)量和運行穩(wěn)定性。事實上，很多系統(tǒng)并沒有應用更新和更安全的技術；相反，他們創(chuàng)建了“封裝器”，用代碼層和模塊來封裝舊的代碼和技術以保護他們的投資。
　　
　　當嘗試在新計算機上運行舊部件，并且使用新操作系統(tǒng)、新網(wǎng)絡和新運行規(guī)程時，就會增加潛在的隨機問題，同時還會將核心部件暴露出來。這種情況容易形成漏洞，導致巨大的風險，很可能會造成不安全狀況的發(fā)生。
　　
　　在正常運行期間出現(xiàn)問題，往往相對容易被檢測到，但是在某些特殊情況下，有時更容易出現(xiàn)錯誤，例如：在工作任務繁忙或者異常工況，網(wǎng)絡或計算機故障或出現(xiàn)多個報警時，執(zhí)行先前未執(zhí)行的故障路徑代碼或系統(tǒng)恢復代碼，或不正確的執(zhí)行指令。在執(zhí)行關鍵任務時，zui終用戶期望這些潛在的錯誤，能夠在zui壞的情況、異常工藝工況下被識別出來并被進行妥善的處理。
　　
　　舉個無意識威脅導致系統(tǒng)被破壞的例子：在某個工廠夜間倒班時，SCADA/HMI和PLC的通訊可能會發(fā)生故障，導致工藝停止。故障發(fā)生時，系統(tǒng)已經(jīng)正常運行很長時間了，項目組態(tài)也沒有做過任何修改，因此可以懷疑受到病毒感染或者蓄意的網(wǎng)絡攻擊。
　　
　　經(jīng)過整夜的查看操作員和工藝過程的監(jiān)控，相關人員了解到某人已經(jīng)激活了操作員電腦的“屏幕保護”程序；由于某個電腦的硬件問題，在關閉顯示器的時候，同時關閉了“用于RS-232通訊的8250芯片”，而RS232通訊端口只能通過斷電和上電來重新啟動。這個問題不是隨機發(fā)生或是蓄意的，它發(fā)生在夜間換班的時候：運行人員離開較長時間，屏幕保護程序啟動。但是IT技術人員在決定使用屏幕保護程序來保護屏幕和節(jié)省能源的時候，并沒有意識到硬件的這種副作用。
　　
　　上面給出的例子，顯示了無意識威脅的典型步驟：（1）自動化系統(tǒng)軟件、硬件交互具有很多層，非常復雜，運行人員和IT技術人員并不具備全部的知識。這種做事方式?jīng)]有錯，他們不可能也沒有必要了解所有的東西。（2）一般認為，系統(tǒng)或環(huán)境的輕微修改，或者運行流程的變化，*沒有危害，但是有時也會帶來意想不到的副作用；（3）由于不可探測的潛在錯誤以及相互連接的各層級間不可預測的工況，副作用可能不斷傳導積累，導致更大的問題；（4）造成的錯誤或者問題，可能在一段時間內(nèi)并不會被檢測到，或者看起來具有隨機屬性。
　　
　　項目周期安全
　　
　　為了系統(tǒng)地防范蓄意攻擊和識別潛在的安全隱患，企業(yè)應該對整個項目周期進行分析。在一個簡化的模型構架下，對整個項目周期的分析主要由以下4個步驟組成：
　　
　　1.選擇技術、結構和工具；
　　
　　2.項目組態(tài)和編程；
　　
　　3.部署和調(diào)試；
　　
　　4.運營和維護。
　　
　　對每個階段了解的越多，越有助于在項目中融入安全特性。根據(jù)以往經(jīng)驗，“部署和調(diào)試”對大多數(shù)系統(tǒng)來講，是zui容易出現(xiàn)漏洞的環(huán)節(jié)之一。
　　
　　技術和結構安全
　　
　　對一輛生產(chǎn)于1980年代的汽車來講，僅僅通過增加安全氣囊、傳感器以及其它技術，還不足以提升對司機和乘客的安全保障；同理，對于工廠來說也一樣，只有通過改造現(xiàn)有自動化系統(tǒng)軟件基礎，才能使其在當今的運營環(huán)境下確保安全。這種升級換代還可以釋放現(xiàn)有技術條件下的潛在的收益，而基于傳統(tǒng)技術核心的解決方案并不能充分利用。
　　
　　由于缺少指針和內(nèi)存保護，ActiveX組件、COM、DCOM、開放的TCP/IPSocket等，這些老的技術，在本質(zhì)上并不是十分安全的，比如用VB腳本和VBA編寫的解釋性腳本，以及用C或C++語言編寫的程序，因此應避免使用這些技術。推薦的技術包括編譯和用于腳本的內(nèi)存保護性語言，包括C#、VB.NET、具有純因特網(wǎng)技術的網(wǎng)絡客戶端（配置“安全砂箱”或“局部信任”）、WCF（Windows通訊基礎）、網(wǎng)絡服務和SQL數(shù)據(jù)庫。
　　
　　編程安全
　　
　　工程組態(tài)和運行的良好經(jīng)驗，包括在SQL數(shù)據(jù)庫或服務器上的集中組態(tài)，使得分布式安全接入、在項目升級時內(nèi)置的變更管理和版本控制、遠程診斷、*測試新應用、不間斷運行的升級系統(tǒng)成為可能。
　　
　　在過去，測試項目的方法僅僅是運行應用程序?，F(xiàn)在的標準則要求在組態(tài)階段進行更高層次的確認，同時使用專門的仿真工具、配置和性能分析工具。
　　
　　病毒和隨機應用錯誤所導致的潛在問題比較相似。代碼覆蓋率分析算法表明，僅僅通過測試案例來確?？煽啃詭缀跏遣豢赡艿?。例如，一個僅有10個“IF-Then-Else”指令的程序，如果*測試，就需要運行1024個測試用例。因此，安全和可靠性確認應該內(nèi)嵌到系統(tǒng)的結構、技術和編程流程中，而不僅僅是通過強力測試或增加外部封裝器來實現(xiàn)。系統(tǒng)還應具有內(nèi)置的追蹤和版本管理系統(tǒng)，這樣工具自己就可以自動實現(xiàn)日志和配置變更管理。
　　
　　部署和調(diào)試安全
　　
　　部署和調(diào)試是安全事項中zui容易出問題的領域之一，在zui近發(fā)生的病毒事件中，很多與其有關。
　　
　　在當前的工業(yè)環(huán)境下，大多數(shù)仍然在服役的系統(tǒng)，使用的都是1980年代或1990年代的技術，而那時的SCADA/HMI軟件包的運行，依賴于成百上千的獨立組態(tài)文件和通訊驅(qū)動器的動態(tài)鏈接庫（DLL）文件。意想不到的錯誤很容易發(fā)生，編寫病毒程序只需要zui基本的編程技巧，zui簡單的甚至只需要在文件夾中扔幾個文件即可。
　　
　　即使當單個文件自身采用加密或二進制文件的形式，這些文件與原始項目之間并沒有。任何人、在任何電腦上都可以創(chuàng)建額外的文件，只需將其扔到文件夾中就可以改變項目的行為模式。要想弄清楚哪個報警或者設定值變更產(chǎn)生了威脅，所需要的知識也許非常復雜，但是病毒程序本身需要的僅僅是zui基本的編程技巧，而錯誤的或拷貝錯誤文件帶來的風險卻非常高?，F(xiàn)在，新一代的工具基于加密過的結構化查詢（SQL）語言，并且具有只讀屬性，這樣就可以確保組態(tài)文件的安全部署。
　　
　　下面所列的就是一個簡單的檢查清單，可以降低對舊系統(tǒng)的威脅，也有助于編制新系統(tǒng)的技術規(guī)格書。
　　
　　舊產(chǎn)品和裝置
　　
　　應該將配置文件拷貝到新文件夾中，同時確保文件夾是空的；在運行項目軟件時，通過微軟操作系統(tǒng)登錄的用戶應僅具有只讀權限。對于非常關鍵的系統(tǒng)而言，應該有外部的設備可以檢查整個文件的大小，并對安裝于產(chǎn)品的文件進行校驗，與系統(tǒng)集成公司遠程創(chuàng)建的文件相比較。
　　
　　選擇和實施新方案
　　
　　理想情況下，整個項目的配置文件應該保存在一個配置文件中，比如加密并具有只讀屬性的SQL數(shù)據(jù)庫文件中。文件的版本管理和變更管理應該由內(nèi)置功能完成，不能依賴于外部工具或手動程序。
　　
　　舊系統(tǒng)容易出漏洞的另外一個方面是通訊協(xié)議驅(qū)動模型，協(xié)議依賴于外部DLL文件，這些文件由開放的工具包開發(fā)，這些文件很容易被其它DLL文件所替代，這可能會導致系統(tǒng)的崩潰。在新一代工具中，驅(qū)動器獨立運行，與應用工程的其它部分沒有直接的，而且可以具有數(shù)字驗證和只讀設置，這樣就可以避免在調(diào)試完成后這些DLL文件被修改或替換。
　　
　　運行和維護
　　
　　配置良好的安全系統(tǒng)，應包括角色和群組許可功能，這些功能在以前的大多數(shù)系統(tǒng)中都已經(jīng)存在。大多數(shù)系統(tǒng)都能滿足監(jiān)管的要求，比如美國FDACFR21第11部分。運行和維護方面的新功能主要用于消除不安全的實時運行部件，比如Active-x組件，在升級項目時增加內(nèi)置的保護功能、變更管理功能、版本控制功能、以及遠程診斷或不停機升級的能力。對項目實施版本控制(審查跟蹤)、以及在同一個計算機上管理多個版本的能力，都十分關鍵。除了用戶接口安全外，還應在數(shù)據(jù)定義表格中，在圖形顯示以及每個標簽上定義數(shù)據(jù)安全。
　　
　　升級軟件工具是造成系統(tǒng)中斷的主要原因，有時會對運行中的應用軟件造成意想不到的干擾?，F(xiàn)代系統(tǒng)應該允許新項目和軟件工具新版本的安裝，而不必卸載先前的版本；在同一個服務器上并列運行不同版本，運行先前系統(tǒng)的執(zhí)行引擎和計劃升級的版本，這樣就可以在對生產(chǎn)線進行升級前進行驗證測試。
　　
　　及時更新
　　
　　如前所述，僅僅通過增加部件，幾乎不可能將建造于1980年代的汽車變得像款式的汽車那樣安全。同樣的道理，也適用于工業(yè)自動化應用中所使用的軟件。很多系統(tǒng)所使用的軟件基礎，創(chuàng)建于1980年代和1990年代。即使它們在那個年代很出色，也不能滿足當今的安全需求；過去10年涌現(xiàn)了很多新技術，幾乎每周都會發(fā)生變化，但是它們無法充分利用這些技術。
　　
　　軟件、通訊和用戶接口技術方面的發(fā)展在不斷加速，因此大多數(shù)工廠，并不需要更新全部的自動化系統(tǒng)。無論是在系統(tǒng)安全，還是在運行穩(wěn)定性、可靠性和靈活性方面，SCADA和HMI系統(tǒng)的更新，都可以帶來很多*的好處，還可以提供信息優(yōu)化，使其能夠創(chuàng)造，而不需要僅僅依賴于對更高安全性的需求。
　　
　　對一個真正的現(xiàn)代技術來講，軟件更新的預期回報不能僅僅通過收益的百分比來度量，而應在倍增系數(shù)基礎上對其進行度量，因為其所避免的潛在安全事故，很可能對產(chǎn)量造成巨大的影響。此外，這些系統(tǒng)管理的資產(chǎn)還可以獲得更高的效率。