SCADA系统中存在的安全风险及对策

SCADA系统中存在的安全风险及对策
SCADA系统中存在的安全风险及对策
罗扬
（贵阳市南供电局自动化通信所，贵州省贵阳市550002）
THE SECURITY RISKS OF SCADA SYSTEMS AND THE COUNTERMEASURES
LUO Yang
(Department of Automation and Communication, Power Supply Bureau of South Guiyang) ABSTRACT: This essay analyzed some security risks generated in the interconnecting between SCADA systems, INTRANET, INTERNET and Corporate Networks, and has proposed some countermeasures to lower the risks.
KEY WORDS: SCADA，Firewall，IDS，Corporate Network
摘要：本文主要针对目前在电力系统中广泛应用的SCADA系统在与企业内部网、INTERNET 以及远程访问等进行互联后所表现出来的安全脆弱性进行分析，并提出了一些降低风险的对策。

关键词：SCADA，防火墙(Firewall)，入侵检测系统（IDS），企业网(Corporate Network)
1 综述
1999年10月，美国一名计算机黑客公开宣称，他将披露一份报告，其中详细介绍了怎样入侵电力企业内部网络以及怎样关闭美国30多个供电公司电力网的方法。

无独有偶，美国一个联邦调查机构也同时发出警告，认为“世界上任何一个地方的一个人，只需要一部电脑，一个调制解调器和一根电话线，就有可能造成一个大面积区域的电力故障”。

这些消息在业内掀起了轩然大波，导致了业内人士对供电企业核心的运行系统（通常指SCADA系统，既监视控制和数据采集系统）安全状况的广泛关注。

众所周知，SCADA系统肩负着提供实时数据，监视系统运行状况和故障分析几大重要职能，是供电企业对电网进行监控的主要手段。

因此，SCADA系统的安全性直接关系到电网的安全
性。

随着企业信息化步伐的加快和电力市场化的发展，近期内SCADA 系统安全问题也日益凸现出其重要战略意义。

文章接下来的部分将探讨SCADA网络在网络攻击下所表现出来的安全风险，还有企业SCADA系统网络最普遍的薄弱环节所在，以及一些可以降低风险的补救策略。

2 SCADA系统安全性的概念
在SCADA系统安全性问题上，管理人员通常有三个比较典型的概念误区，常常是这些错误观念阻碍了信息安全技术在SCADA系统中的广泛应用。

这些误区是：
(1) 误区之一：SCADA系统是一个孤立的，物理隔离的系统
大部分SCADA系统通常建立于企业网络以前，而且常常与企业内部网络是分离的。

这样的结果是，管理员的日常操作会建立在一个假设上：这些系统既不能通过企业网络访问，也不能从外部远程进行访问。

然而这恰恰是一个最普遍的谬误。

在现实中，SCADA网络和企业信息网络经常是通过网桥相连的。

这是因为两个原因：第一，由于企业信息管理的需求，SCADA系统工程师常常需要在企业内部信息网的不同地点对SCADA系统进行监视和控制，由此许多公司对SCADA系统建立了远程访问连接。

第二，为了使企业决策者能够快速地访问电力系统重要状态数据（例如实时负荷，母线电压等），通常企业信息部门会在SCADA网络和企业信息网络之间增加一些数据的连接。

一般说来，在增加这些数据链路的同时，管理员常常疏于对相应安全风险的全面认识。

而且，对于一些针对SCADA 系统进行的非法入侵和访问，企业的信息网络所采取的安全防御机制几乎没有什么作用。

(2)误区之二：强有力的访问控制可以保护SCADA系统和企业内部网之间的连接
许多企业网络和SCADA系统之间进行互联时，常常需要集成不同的系统和不同的通信标准，这样的结果是需要在两个完全不同的系统之间传送数据。

由于集成两个迥然不同的系统是非常复杂的，网络工程师常常将绝大部分精力放在数据的成功传送上，一旦主要功能大功告成，则常常忽视甚至省略了安全风险防御机制这一部分的工作量。

这样，对来自于企业网络的非法访问，几乎没有访问控制机制能够对SCADA系统起到保护作用，主要是由于网络管理人员常常忽视这些系统的访问连接点。

尽管使用内部防火墙和入侵检测系统（IDS）以及严格的口令管理办法可以起到很大的防范作用，但是很少有企业能够完全保护所有通向SCADA系统的访问入口。

这样就给无授权的非法访问留下了空子。

(3)误区之三：进入SCADA系统需要专业知识，一般网络黑客很难入侵和控制
一些管理人员认为，SCADA系统的攻击者缺乏对系统设计和实施相关信息的了解，从而使入侵变得困难。

这些想法是不正确的。

在一个互联的环境中，系统的脆弱性也相应地增加。

由于供电企业在国家基础设施中是一个关键的组成部分，因此它们非常有可能成为有组织的“网络恐怖分子”的目标。

有区别与一般的无组织的黑客，这些攻击者常常是意志坚强，资金充足，而且具有“局内人”的专业知识。

而且，有备而来的入侵者几乎肯定会使用各种可能的手段来得到有关SCADA系统及其脆弱之处的详细信息，以达成实现供电运行故障的目标。

另一个越来越大的风险是，由于SCADA系统正逐渐成为一个开放的系统，与SCADA系统运作有关的资料随处可得。

一部分是因为自动化产品市场竞争日益激烈，SCADA系统和远方控制终端（RTU）之间的通信标准和协议在出版的技术手册中毫不费力即可找到，其中包括控制中心之间的通信标准，警告信号的处理，控制命令的发出，以及数据的轮询方式等等一系列重要技术标准。

而且，SCADA系统的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册，发售工具软件包以便于用户在SCADA系统环境下进行二次开发，这一切都使SCADA 系统日益成为一个“透明运作”的系统，使其脆弱点暴露无遗。

最后，由于供电企业常常希望整个公司能够充分利用SCADA系统提供的数据和信息，由此造成SCADA系统倾向于向“开放式的标准系统”发展。

这样的结果导致了SCADA系统的安全性依赖于企业网络的安全性。

虽然要从专用的串行通信线路上入侵远方终端（RTU）是很
困难的，但是通过企业内部网络“渗透”到SCADA系统的控制台并且“偷窥”系统正在执行的操作并不困难。

一旦攻击者成功穿透到SCADA系统操作员的工作站上，并且通过“偷窥”迅速学会操作命令，则他就可以易如反掌地对一个复杂系统发起攻击。

3 影响SCADA网络安全的一些普遍问题
如前所述，企业网络和SCADA系统网络常常互相联系，这样SCADA系统的安全等级就只能受制于企业网络的安全等级。

而来自电力市场化的压力使得电力企业网络往往要具有向社会开放的访问入口，这样企业网的安全风险迅速增加。

接下来的部分简要提出了一些存在于SCADA+企业网架构中影响SCADA系统安全的常见问题：
(1)过多的公共信息
很多有关供电企业内部信息网的资料可以轻易地通过日常公共查询而获得。

这些信息有可能被用于对网络的恶意攻击。

例如，这些脆弱之处可能是：
*公共网页上常常为网络入侵者提供了一些有用的数据，例如公司结构，员工姓名，电子邮件地址，甚至是企业信息网的系统名；
*域名服务器（DNS）允许“区域传送”功能（zone transfers）并提供IP地址，服务器名称以及电子邮件地址；
(2)不安全的网络架构
网络架构的设计是相当关键的一环，而其中最重要的是对互联网，企业信息网和SCADA 网进行适当的分段隔离。

网络架构设计欠妥会致使来自互联网的入侵风险增加，从而最终危害SCADA网络。

下面是一些常见的网架设计缺陷所在：
*作为企业网功能的一部分，在配置FTP（文件传输协议），企业网页和电子邮件服务器时，常常不经意地提供了访问企业内部网的入口。

这是不必要的；
*企业内部网与一些商业联系伙伴（如银行，ISP等机构）之间的数据连接没有采用防火墙，入侵检测系统（IDS）以及虚拟网（VPN）等等机制进行防御；
*企业信息网提供了一些不必要的MODEM拨号接入，这是很不
安全的，而且这些MODEM 拨号访问常常是作为远程维护功能而设，并没有严格按照一般拨号接入的规定进行管理，留下毫无防范的入口；
*防火墙和其他网络访问控制机制没有在内部网段之间发挥作用，使得在不同的网络分段之间没有完全隔离；
*SCADA服务器的操作系统如WINDOWS NT，2000或XP等存在已知的安全漏洞而没有打上最新的补丁程序，缺省的NT帐号和管理员帐号没有删除或改名。

即使是运行于UNIX或
LINUX平台上也存在同样的问题；
(3)缺乏实时有效的监控
*造成缺乏实时有效的监控的原因之一是，由于来自网络安全防御设备的数据量极大，使得要区分出哪些是有关于供电企业信息安全防御的几乎是不可能的，这造成要对供电企业网络进行有效的实时监控非常困难；
*即使企业网络安装了入侵检测系统，网络安全保安也只能识别以个别方式进行的攻击，而对有组织的，形式随时间变化的攻击则无能为力。

这也造成了防御的困难；
4 加强SCADA系统安全的一些战术
目前来说，对供电企业最有效的信息安全策略是，定期例行的信息安全评估加上不间断的安全体系升级，并且对整个系统进行全时监视。

以下重点提出了一些主要步骤，可以将安全漏洞的数量和影响减小到尽可能低。

第一步：进行定期的危险点分析和评估
许多供电企业可能并没有在定期的基础上对SCADA系统和EMS 系统（能量管理系统）的危险点进行危险性评估。

这项工作应尽快开展起来。

另外，除了这两个系统，其他如企业内部信息网（MIS），WEB服务器，以及用户信息管理系统也应纳入评估范畴来寻找可能尚未发现的安全漏洞。

另外，公共网与外部网的连接，以及防火墙的配置等也需引起重视。

第二步：在专家的指导下进行信息安全保护体系的设计
当许多供电企业进行信息网建设时面临很多选择，包括信息安全
软件，网络设备，系统配置等等方面的问题。

虽然防火墙，入侵检测系统，虚拟内部网等等可以保护系统免受恶意攻击，然而选择了不适当的网络产品，或者是配置使用不当都有可能严重阻碍安全体系的效率。

因此，为了将与网络结构设计有关的缺陷降低到最小，企业应该与信息
安全专业人员联手，在建设网络的同时保证其安全性不打折扣。

第三步：加强安全管理
在企业在其信息网络内布设了网络安全系统之后，对于网络安全设备的正确管理和监视就变得非常复杂和重要。

我们必须认识到，如果只是采取了“纯技术性”的解决方案而不进行密切的管理和监视，安全设备的有效率会大大降低。

因此，最好的办法是雇佣有经验的IT 安全专业人员来进行网络设备的监视。

但是这样做，对许多企业来说成本太高。

国外的做法是，对于很多对安全性要求较高的公司，有专门的公司提供安全设备和系统的管理和监视服务。

这样的服务保证了公司安全体系正确的配置和补漏，而且实时监视安全系统的运行情况和检测恶意攻击。

对于我们国内的企业，可以借鉴这样的经验，与网络安全公司进行合作，或者在公司内设立网络安全专职工程师岗位，专门进行网络安全监视和事故预防。

这样可以以相对较低的成本得到完善的安全管理和实施实时监控，同时，也提升了已有信息安全机制的性能和作用，实现了安全系统的增值。

5 结论
由于在电力系统中SCADA系统的独特重要性，其网络安全性应该引起日益广泛的关注。

因此，供电企业应该立刻与信息安全专家联手，对当前应用的SCADA系统安全性进行全面的分析，评估系统当前的安全性等级，并且制定计划来降低风险。

我们必须认识到，企业信息安全并不仅仅停留在内部信息网的层面。

我们应将信息产业领域的安全政策和规程引入到SCADA 和工业自动化领域中来，将SCADA系统和企业信息网作为一个整体来进行风险分析，并制定整体的防范措施。