2014年7月份，當(dāng)伊朗核電站基礎(chǔ)設(shè)施的重要組成部分，遭到專門針對數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）的Stuxnet病毒攻擊的時(shí)候，科幻zui終走出熒幕，變成了現(xiàn)實(shí)。該事件仍然主要在工業(yè)自動(dòng)化領(lǐng)域內(nèi)傳播，但是其它數(shù)據(jù)泄露事件，比如索尼和Target，卻廣為人知。網(wǎng)絡(luò)安全意識越來越被企業(yè)管理層所重視。
　　
　　除了蓄意攻擊所造成的中斷，無意識的錯(cuò)誤組態(tài)或者錯(cuò)誤操作，也會(huì)造成安全漏洞；由于現(xiàn)在的系統(tǒng)高度集成，并且包含很多層軟件，因此在大多數(shù)情況下，創(chuàng)建并運(yùn)營這些系統(tǒng)的人，并沒有必要對軟件層之間的相互作用有較深的理解。
　　
　　安全分析
　　
　　正如zui近幾年所發(fā)生的一樣，分布式系統(tǒng)的集成程度、自動(dòng)化和信息技術(shù)系統(tǒng)軟件的復(fù)雜程度和多重結(jié)構(gòu)，為惡意攻擊創(chuàng)造了良好的條件。
　　
　　但是，由于這些系統(tǒng)與SCADA的安全息息相關(guān)，因此不僅僅要預(yù)防蓄意攻擊，還應(yīng)防范其它方面的危險(xiǎn)。不管是誰創(chuàng)建、運(yùn)營工廠自動(dòng)化系統(tǒng)，他們對復(fù)雜的基礎(chǔ)設(shè)施和使用的眾多軟件層，并沒有*了解。因此，除非有適用的標(biāo)準(zhǔn)，否則的話，運(yùn)行錯(cuò)誤、不充分的維護(hù)、升級流程都很有可能會(huì)影響系統(tǒng)的可靠性和穩(wěn)定性。對于系統(tǒng)而言，這就是“無意識病毒”；或者為懷有惡意的人打開了攻擊的大門。
　　
　　為了幫助系統(tǒng)識別潛在攻擊，并避免攻擊的發(fā)生，需要有一個(gè)驗(yàn)證矩陣。一方面，用戶可以保護(hù)軟件和IT基礎(chǔ)設(shè)施，這是SCADA/HMI軟件運(yùn)行的基礎(chǔ)；另一方面，需要對自動(dòng)化工程本身進(jìn)行分析，尤其是SCADA/HMI工程組態(tài)及其運(yùn)營。
　　
　　安全分析的*個(gè)方面，是基本硬件、軟件和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，它們主要用于處理操作系統(tǒng)安全補(bǔ)丁的升級程序、身份識別和密碼保護(hù)等諸如此類的事項(xiàng)。這種分析，并不是SCADA/HMI系統(tǒng)所*的，應(yīng)該遵循已有的IT標(biāo)準(zhǔn)，有很多案例可供參考。因此，我們應(yīng)該將重點(diǎn)放在另外一個(gè)方面：軟件自動(dòng)化工程開發(fā)本身上，包括SCADA/HMI組態(tài)、執(zhí)行和調(diào)度。
　　
　　蓄意攻擊
　　
　　防范有意識的攻擊非常重要。這些蓄意的攻擊者，有些是出于政治目的而攻擊生產(chǎn)線，而且可能是出于非常簡單的目的，例如，“如果可以實(shí)施攻擊，那為什么不去做”。即使是出于技術(shù)方面的挑戰(zhàn)，就像很多計(jì)算機(jī)病毒的出現(xiàn)一樣，并不是出于盈利或某種特定目的的攻擊，只是為了滿足某個(gè)人的虛榮心。
　　
　　在過去15年間，編程技術(shù)、軟件和通訊技術(shù)的發(fā)展進(jìn)步，遠(yuǎn)遠(yuǎn)超過了大多數(shù)自動(dòng)化軟件工具和產(chǎn)品的更新?lián)Q代。即使用戶將軟件工具升級到版本，也不能保護(hù)它，因?yàn)榇蠖鄶?shù)解決方案都是基于落后的技術(shù)。因此只要愿意，這些精通科技的少年就有可能破解它。
　　
　　潛在威脅
　　
　　隨著系統(tǒng)復(fù)雜性的增加，在現(xiàn)場進(jìn)行調(diào)試時(shí)，也許并不可能*模擬每一種假設(shè)場景，所以在設(shè)計(jì)中要使用具有本質(zhì)安全的技術(shù)和架構(gòu)、在單元測試時(shí)確保軟件質(zhì)量和運(yùn)行穩(wěn)定性。事實(shí)上，很多系統(tǒng)并沒有應(yīng)用更新和更安全的技術(shù)；相反，他們創(chuàng)建了“封裝器”，用代碼層和模塊來封裝舊的代碼和技術(shù)以保護(hù)他們的投資。
　　
　　當(dāng)嘗試在新計(jì)算機(jī)上運(yùn)行舊部件，并且使用新操作系統(tǒng)、新網(wǎng)絡(luò)和新運(yùn)行規(guī)程時(shí)，就會(huì)增加潛在的隨機(jī)問題，同時(shí)還會(huì)將核心部件暴露出來。這種情況容易形成漏洞，導(dǎo)致巨大的風(fēng)險(xiǎn)，很可能會(huì)造成不安全狀況的發(fā)生。
　　
　　在正常運(yùn)行期間出現(xiàn)問題，往往相對容易被檢測到，但是在某些特殊情況下，有時(shí)更容易出現(xiàn)錯(cuò)誤，例如：在工作任務(wù)繁忙或者異常工況，網(wǎng)絡(luò)或計(jì)算機(jī)故障或出現(xiàn)多個(gè)報(bào)警時(shí)，執(zhí)行先前未執(zhí)行的故障路徑代碼或系統(tǒng)恢復(fù)代碼，或不正確的執(zhí)行指令。在執(zhí)行關(guān)鍵任務(wù)時(shí)，zui終用戶期望這些潛在的錯(cuò)誤，能夠在zui壞的情況、異常工藝工況下被識別出來并被進(jìn)行妥善的處理。
　　
　　舉個(gè)無意識威脅導(dǎo)致系統(tǒng)被破壞的例子：在某個(gè)工廠夜間倒班時(shí)，SCADA/HMI和PLC的通訊可能會(huì)發(fā)生故障，導(dǎo)致工藝停止。故障發(fā)生時(shí)，系統(tǒng)已經(jīng)正常運(yùn)行很長時(shí)間了，項(xiàng)目組態(tài)也沒有做過任何修改，因此可以懷疑受到病毒感染或者蓄意的網(wǎng)絡(luò)攻擊。
　　
　　經(jīng)過整夜的查看操作員和工藝過程的監(jiān)控，相關(guān)人員了解到某人已經(jīng)激活了操作員電腦的“屏幕保護(hù)”程序；由于某個(gè)電腦的硬件問題，在關(guān)閉顯示器的時(shí)候，同時(shí)關(guān)閉了“用于RS-232通訊的8250芯片”，而RS232通訊端口只能通過斷電和上電來重新啟動(dòng)。這個(gè)問題不是隨機(jī)發(fā)生或是蓄意的，它發(fā)生在夜間換班的時(shí)候：運(yùn)行人員離開較長時(shí)間，屏幕保護(hù)程序啟動(dòng)。但是IT技術(shù)人員在決定使用屏幕保護(hù)程序來保護(hù)屏幕和節(jié)省能源的時(shí)候，并沒有意識到硬件的這種副作用。
　　
　　上面給出的例子，顯示了無意識威脅的典型步驟：（1）自動(dòng)化系統(tǒng)軟件、硬件交互具有很多層，非常復(fù)雜，運(yùn)行人員和IT技術(shù)人員并不具備全部的知識。這種做事方式?jīng)]有錯(cuò)，他們不可能也沒有必要了解所有的東西。（2）一般認(rèn)為，系統(tǒng)或環(huán)境的輕微修改，或者運(yùn)行流程的變化，*沒有危害，但是有時(shí)也會(huì)帶來意想不到的副作用；（3）由于不可探測的潛在錯(cuò)誤以及相互連接的各層級間不可預(yù)測的工況，副作用可能不斷傳導(dǎo)積累，導(dǎo)致更大的問題；（4）造成的錯(cuò)誤或者問題，可能在一段時(shí)間內(nèi)并不會(huì)被檢測到，或者看起來具有隨機(jī)屬性。
　　
　　項(xiàng)目周期安全
　　
　　為了系統(tǒng)地防范蓄意攻擊和識別潛在的安全隱患，企業(yè)應(yīng)該對整個(gè)項(xiàng)目周期進(jìn)行分析。在一個(gè)簡化的模型構(gòu)架下，對整個(gè)項(xiàng)目周期的分析主要由以下4個(gè)步驟組成：
　　
　　1.選擇技術(shù)、結(jié)構(gòu)和工具；
　　
　　2.項(xiàng)目組態(tài)和編程；
　　
　　3.部署和調(diào)試；
　　
　　4.運(yùn)營和維護(hù)。
　　
　　對每個(gè)階段了解的越多，越有助于在項(xiàng)目中融入安全特性。根據(jù)以往經(jīng)驗(yàn)，“部署和調(diào)試”對大多數(shù)系統(tǒng)來講，是zui容易出現(xiàn)漏洞的環(huán)節(jié)之一。
　　
　　技術(shù)和結(jié)構(gòu)安全
　　
　　對一輛生產(chǎn)于1980年代的汽車來講，僅僅通過增加安全氣囊、傳感器以及其它技術(shù)，還不足以提升對司機(jī)和乘客的安全保障；同理，對于工廠來說也一樣，只有通過改造現(xiàn)有自動(dòng)化系統(tǒng)軟件基礎(chǔ)，才能使其在當(dāng)今的運(yùn)營環(huán)境下確保安全。這種升級換代還可以釋放現(xiàn)有技術(shù)條件下的潛在的收益，而基于傳統(tǒng)技術(shù)核心的解決方案并不能充分利用。
　　
　　由于缺少指針和內(nèi)存保護(hù)，ActiveX組件、COM、DCOM、開放的TCP/IPSocket等，這些老的技術(shù)，在本質(zhì)上并不是十分安全的，比如用VB腳本和VBA編寫的解釋性腳本，以及用C或C++語言編寫的程序，因此應(yīng)避免使用這些技術(shù)。推薦的技術(shù)包括編譯和用于腳本的內(nèi)存保護(hù)性語言，包括C#、VB.NET、具有純因特網(wǎng)技術(shù)的網(wǎng)絡(luò)客戶端（配置“安全砂箱”或“局部信任”）、WCF（Windows通訊基礎(chǔ)）、網(wǎng)絡(luò)服務(wù)和SQL數(shù)據(jù)庫。
　　
　　編程安全
　　
　　工程組態(tài)和運(yùn)行的良好經(jīng)驗(yàn)，包括在SQL數(shù)據(jù)庫或服務(wù)器上的集中組態(tài)，使得分布式安全接入、在項(xiàng)目升級時(shí)內(nèi)置的變更管理和版本控制、遠(yuǎn)程診斷、*測試新應(yīng)用、不間斷運(yùn)行的升級系統(tǒng)成為可能。
　　
　　在過去，測試項(xiàng)目的方法僅僅是運(yùn)行應(yīng)用程序?，F(xiàn)在的標(biāo)準(zhǔn)則要求在組態(tài)階段進(jìn)行更高層次的確認(rèn)，同時(shí)使用專門的仿真工具、配置和性能分析工具。
　　
　　病毒和隨機(jī)應(yīng)用錯(cuò)誤所導(dǎo)致的潛在問題比較相似。代碼覆蓋率分析算法表明，僅僅通過測試案例來確?？煽啃詭缀跏遣豢赡艿?。例如，一個(gè)僅有10個(gè)“IF-Then-Else”指令的程序，如果*測試，就需要運(yùn)行1024個(gè)測試用例。因此，安全和可靠性確認(rèn)應(yīng)該內(nèi)嵌到系統(tǒng)的結(jié)構(gòu)、技術(shù)和編程流程中，而不僅僅是通過強(qiáng)力測試或增加外部封裝器來實(shí)現(xiàn)。系統(tǒng)還應(yīng)具有內(nèi)置的追蹤和版本管理系統(tǒng)，這樣工具自己就可以自動(dòng)實(shí)現(xiàn)日志和配置變更管理。
　　
　　部署和調(diào)試安全
　　
　　部署和調(diào)試是安全事項(xiàng)中zui容易出問題的領(lǐng)域之一，在zui近發(fā)生的病毒事件中，很多與其有關(guān)。
　　
　　在當(dāng)前的工業(yè)環(huán)境下，大多數(shù)仍然在服役的系統(tǒng)，使用的都是1980年代或1990年代的技術(shù)，而那時(shí)的SCADA/HMI軟件包的運(yùn)行，依賴于成百上千的獨(dú)立組態(tài)文件和通訊驅(qū)動(dòng)器的動(dòng)態(tài)鏈接庫（DLL）文件。意想不到的錯(cuò)誤很容易發(fā)生，編寫病毒程序只需要zui基本的編程技巧，zui簡單的甚至只需要在文件夾中扔幾個(gè)文件即可。
　　
　　即使當(dāng)單個(gè)文件自身采用加密或二進(jìn)制文件的形式，這些文件與原始項(xiàng)目之間并沒有。任何人、在任何電腦上都可以創(chuàng)建額外的文件，只需將其扔到文件夾中就可以改變項(xiàng)目的行為模式。要想弄清楚哪個(gè)報(bào)警或者設(shè)定值變更產(chǎn)生了威脅，所需要的知識也許非常復(fù)雜，但是病毒程序本身需要的僅僅是zui基本的編程技巧，而錯(cuò)誤的或拷貝錯(cuò)誤文件帶來的風(fēng)險(xiǎn)卻非常高?，F(xiàn)在，新一代的工具基于加密過的結(jié)構(gòu)化查詢（SQL）語言，并且具有只讀屬性，這樣就可以確保組態(tài)文件的安全部署。
　　
　　下面所列的就是一個(gè)簡單的檢查清單，可以降低對舊系統(tǒng)的威脅，也有助于編制新系統(tǒng)的技術(shù)規(guī)格書。
　　
　　舊產(chǎn)品和裝置
　　
　　應(yīng)該將配置文件拷貝到新文件夾中，同時(shí)確保文件夾是空的；在運(yùn)行項(xiàng)目軟件時(shí)，通過微軟操作系統(tǒng)登錄的用戶應(yīng)僅具有只讀權(quán)限。對于非常關(guān)鍵的系統(tǒng)而言，應(yīng)該有外部的設(shè)備可以檢查整個(gè)文件的大小，并對安裝于產(chǎn)品的文件進(jìn)行校驗(yàn)，與系統(tǒng)集成公司遠(yuǎn)程創(chuàng)建的文件相比較。
　　
　　選擇和實(shí)施新方案
　　
　　理想情況下，整個(gè)項(xiàng)目的配置文件應(yīng)該保存在一個(gè)配置文件中，比如加密并具有只讀屬性的SQL數(shù)據(jù)庫文件中。文件的版本管理和變更管理應(yīng)該由內(nèi)置功能完成，不能依賴于外部工具或手動(dòng)程序。
　　
　　舊系統(tǒng)容易出漏洞的另外一個(gè)方面是通訊協(xié)議驅(qū)動(dòng)模型，協(xié)議依賴于外部DLL文件，這些文件由開放的工具包開發(fā)，這些文件很容易被其它DLL文件所替代，這可能會(huì)導(dǎo)致系統(tǒng)的崩潰。在新一代工具中，驅(qū)動(dòng)器獨(dú)立運(yùn)行，與應(yīng)用工程的其它部分沒有直接的，而且可以具有數(shù)字驗(yàn)證和只讀設(shè)置，這樣就可以避免在調(diào)試完成后這些DLL文件被修改或替換。
　　
　　運(yùn)行和維護(hù)
　　
　　配置良好的安全系統(tǒng)，應(yīng)包括角色和群組許可功能，這些功能在以前的大多數(shù)系統(tǒng)中都已經(jīng)存在。大多數(shù)系統(tǒng)都能滿足監(jiān)管的要求，比如美國FDACFR21第11部分。運(yùn)行和維護(hù)方面的新功能主要用于消除不安全的實(shí)時(shí)運(yùn)行部件，比如Active-x組件，在升級項(xiàng)目時(shí)增加內(nèi)置的保護(hù)功能、變更管理功能、版本控制功能、以及遠(yuǎn)程診斷或不停機(jī)升級的能力。對項(xiàng)目實(shí)施版本控制(審查跟蹤)、以及在同一個(gè)計(jì)算機(jī)上管理多個(gè)版本的能力，都十分關(guān)鍵。除了用戶接口安全外，還應(yīng)在數(shù)據(jù)定義表格中，在圖形顯示以及每個(gè)標(biāo)簽上定義數(shù)據(jù)安全。
　　
　　升級軟件工具是造成系統(tǒng)中斷的主要原因，有時(shí)會(huì)對運(yùn)行中的應(yīng)用軟件造成意想不到的干擾?，F(xiàn)代系統(tǒng)應(yīng)該允許新項(xiàng)目和軟件工具新版本的安裝，而不必卸載先前的版本；在同一個(gè)服務(wù)器上并列運(yùn)行不同版本，運(yùn)行先前系統(tǒng)的執(zhí)行引擎和計(jì)劃升級的版本，這樣就可以在對生產(chǎn)線進(jìn)行升級前進(jìn)行驗(yàn)證測試。
　　
　　及時(shí)更新
　　
　　如前所述，僅僅通過增加部件，幾乎不可能將建造于1980年代的汽車變得像款式的汽車那樣安全。同樣的道理，也適用于工業(yè)自動(dòng)化應(yīng)用中所使用的軟件。很多系統(tǒng)所使用的軟件基礎(chǔ)，創(chuàng)建于1980年代和1990年代。即使它們在那個(gè)年代很出色，也不能滿足當(dāng)今的安全需求；過去10年涌現(xiàn)了很多新技術(shù)，幾乎每周都會(huì)發(fā)生變化，但是它們無法充分利用這些技術(shù)。
　　
　　軟件、通訊和用戶接口技術(shù)方面的發(fā)展在不斷加速，因此大多數(shù)工廠，并不需要更新全部的自動(dòng)化系統(tǒng)。無論是在系統(tǒng)安全，還是在運(yùn)行穩(wěn)定性、可靠性和靈活性方面，SCADA和HMI系統(tǒng)的更新，都可以帶來很多*的好處，還可以提供信息優(yōu)化，使其能夠創(chuàng)造，而不需要僅僅依賴于對更高安全性的需求。
　　
　　對一個(gè)真正的現(xiàn)代技術(shù)來講，軟件更新的預(yù)期回報(bào)不能僅僅通過收益的百分比來度量，而應(yīng)在倍增系數(shù)基礎(chǔ)上對其進(jìn)行度量，因?yàn)槠渌苊獾臐撛诎踩鹿?，很可能對產(chǎn)量造成巨大的影響。此外，這些系統(tǒng)管理的資產(chǎn)還可以獲得更高的效率。