2021年10月28日，美國(guó)能源部長(zhǎng)格蘭霍姆召開(kāi)了她的顧問(wèn)委員會(huì)(SEAB)第一次會(huì)議。本次會(huì)議議題包括能源部的“能源地球射擊(Earthshot)計(jì)劃”和對(duì)清潔能源的關(guān)注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業(yè)專家在會(huì)上陳述了意見(jiàn)建議。國(guó)際知名自動(dòng)化和網(wǎng)絡(luò)安全專家Joe Weiss針對(duì)過(guò)程傳感器的網(wǎng)絡(luò)層面保護(hù)問(wèn)題，再次闡述了他的觀點(diǎn)。并建議能源部，保護(hù)過(guò)程傳感器是一個(gè)需要特別關(guān)注的硬技術(shù)障礙。能源部需要認(rèn)真對(duì)待過(guò)程傳感器網(wǎng)絡(luò)安全，鼓勵(lì)過(guò)程傳感器監(jiān)控范式轉(zhuǎn)變，鼓勵(lì)對(duì)過(guò)程傳感器負(fù)責(zé)人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，并與CISA協(xié)調(diào)政府和行業(yè)專家共同解決過(guò)程傳感器網(wǎng)絡(luò)安全問(wèn)題。過(guò)程傳感器到底有什么的網(wǎng)絡(luò)安全問(wèn)題呢?這一問(wèn)題的嚴(yán)重程度如何?

　　過(guò)程傳感器有何網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?

　　過(guò)程傳感器用于測(cè)量壓力，液位，流量(如蒸汽，液體，電力等)，溫度，電壓，電流等。這些設(shè)備通過(guò)為現(xiàn)場(chǎng)控制器、執(zhí)行器、電機(jī)、驅(qū)動(dòng)器、分析儀、機(jī)器人和基于windows的操作站提供關(guān)鍵輸入，對(duì)網(wǎng)絡(luò)安全、過(guò)程安全、可靠性、產(chǎn)品質(zhì)量和彈性至關(guān)重要。所有監(jiān)視或控制物理過(guò)程的組織都利用來(lái)自具有共同網(wǎng)絡(luò)限制的普通供應(yīng)商的類似類型的過(guò)程傳感器。這包括商用和軍事核設(shè)施的運(yùn)營(yíng)組合體，包括水力和可再生能源的發(fā)電，電網(wǎng)中的微電網(wǎng)，智能制造，智能建筑，以及電機(jī)在內(nèi)的高功率應(yīng)用設(shè)備等等。

　　IT和運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)安全從業(yè)人員采取基于網(wǎng)絡(luò)的方法，監(jiān)控互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常。這對(duì)于IT網(wǎng)絡(luò)來(lái)說(shuō)是必要的，但對(duì)于全面控制系統(tǒng)的網(wǎng)絡(luò)安全來(lái)說(shuō)是不夠的。這是因?yàn)?，作為OT網(wǎng)絡(luò)輸入的過(guò)程傳感器被錯(cuò)誤地認(rèn)為是無(wú)損的、經(jīng)過(guò)認(rèn)證的、具有網(wǎng)絡(luò)日志功能，并在整個(gè)操作周期中提供正確的讀數(shù)。

　　Weiss在其博客文章中稱，過(guò)程傳感器讀數(shù)的錯(cuò)誤，無(wú)論是出于無(wú)意還是惡意，都造成了重大的災(zāi)難性影響，但過(guò)程安全標(biāo)準(zhǔn)并沒(méi)有解決過(guò)程傳感器的網(wǎng)絡(luò)安全問(wèn)題。因此，在對(duì)安裝在液化天然氣設(shè)施中的最先進(jìn)的安全壓力變送器的聯(lián)合ISA84(過(guò)程安全)/ISA99(網(wǎng)絡(luò)安全)評(píng)估中，對(duì)過(guò)程傳感器的網(wǎng)絡(luò)漏洞進(jìn)行了檢查。在138項(xiàng)個(gè)體網(wǎng)絡(luò)安全要求中，壓力變送器失敗占了69項(xiàng)，而這些要求本可以阻止設(shè)施的安全運(yùn)行。所有的基礎(chǔ)設(shè)施和設(shè)備都處于危險(xiǎn)之中，因?yàn)檫^(guò)程傳感器是不安全的和未經(jīng)認(rèn)證的(即，傳感器測(cè)量信號(hào)來(lái)自于傳感器)。

　　過(guò)程傳感器的主要障礙

　　梳理Weiss在能源部顧問(wèn)委員會(huì)上的建議，大致可以歸納出以下主要的技術(shù)或非技術(shù)障礙。

　　1、所有過(guò)程應(yīng)用中都有數(shù)千萬(wàn)個(gè)傳統(tǒng)過(guò)程傳感器(這不包括個(gè)人和住宅應(yīng)用中額外的數(shù)千萬(wàn)個(gè) IOT傳感器)。過(guò)程傳感器沒(méi)有網(wǎng)絡(luò)安全、身份驗(yàn)證或網(wǎng)絡(luò)日志記錄，可能無(wú)法更新以確保網(wǎng)絡(luò)安全。這涉及到整個(gè)生態(tài)系統(tǒng)，包括傳感器、傳感器網(wǎng)絡(luò)、通信協(xié)議和安全技術(shù)。

　　2、普遍認(rèn)為過(guò)程傳感器網(wǎng)絡(luò)安全不是問(wèn)題，因?yàn)樗粫?huì)產(chǎn)生局部影響。然而，這種認(rèn)識(shí)是錯(cuò)誤的，已有活生生的例子發(fā)生了。需要解決使傳感器能夠損壞更大流程(比如電網(wǎng))的系統(tǒng)交互問(wèn)題。

　　3、智能電網(wǎng)、智能制造、工業(yè) 4.0等基于“無(wú)處不在的傳感器”和傳感器數(shù)據(jù)的大數(shù)據(jù)分析。如果不能信任輸入的傳感器數(shù)據(jù)，那么大數(shù)據(jù)分析就不受信任。

　　4、傳感器網(wǎng)絡(luò)安全問(wèn)題是一個(gè)新問(wèn)題。需要工程和網(wǎng)絡(luò)組織協(xié)同工作。過(guò)程傳感器的監(jiān)控將迫使這些不同的專業(yè)領(lǐng)域一起工作，這可能會(huì)促進(jìn)改變游戲規(guī)則。

　　5、已有傳感器對(duì)建筑和HVAC控制的影響的研究報(bào)告顯示，建筑/暖通空調(diào)系統(tǒng)中傳感器系統(tǒng)的網(wǎng)絡(luò)安全威脅正在增加，因此傳感器數(shù)據(jù)傳輸可能會(huì)被黑客入侵。根據(jù)研究報(bào)告的結(jié)論，必須了解被黑客入侵的傳感器數(shù)據(jù)如何影響樓宇控制性能(這只能由控制系統(tǒng)完成，而不能由網(wǎng)絡(luò)專家完成)。典型的情況可能包括傳感器數(shù)據(jù)被黑客修改并發(fā)送到控制回路，從而導(dǎo)致極端的控制行為。

　　6、如果不能相信你測(cè)量的東西，你就不能擁有網(wǎng)絡(luò)安全。然而，過(guò)程傳感器的網(wǎng)絡(luò)安全超出了NERC關(guān)鍵基礎(chǔ)設(shè)施保護(hù) (CIP) 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的范圍。

　　7、如果不能相信你測(cè)量的東西，態(tài)勢(shì)感知能力也無(wú)從談起。

　　8、假冒過(guò)程傳感器和硬件后門是硬件供應(yīng)問(wèn)題。硬件供應(yīng)鏈攻擊的情況已屢見(jiàn)不鮮。

　　真實(shí)的控制系統(tǒng)網(wǎng)絡(luò)事件

　　Weiss稱，美國(guó)的早就對(duì)手意識(shí)到了這些局限性。伊朗電氣工業(yè)的工業(yè)安全專家對(duì)工業(yè)控制系統(tǒng)安全框架和最佳實(shí)踐有深入的了解，如ISA-99/IEC-62443, NERC CIP, NIST 800-82, SANS安全實(shí)踐，Nozomi工具，西門子，橫河和ABB控制系統(tǒng)等等。

　　WEISS個(gè)人收集的控制系統(tǒng)網(wǎng)絡(luò)事件的非公開(kāi)數(shù)據(jù)庫(kù)中，就有超過(guò)75起建筑/設(shè)施控制系統(tǒng)網(wǎng)絡(luò)事件，其中一些是由過(guò)程傳感器問(wèn)題引起或加劇的。

　　俄羅斯黑客2018年曾經(jīng)入侵了沙特阿拉伯一家石化工廠的Triconex安全系統(tǒng)(施耐德公司旗下的安全平臺(tái)，已超越了一般意義上的功能安全系統(tǒng)，為工廠提供全套的安全關(guān)鍵解決方案和全生命周期安全管理理念與服務(wù)。核電站、石化工廠、供水系統(tǒng)廣泛使用Triconex安全系統(tǒng))。入侵的目的是炸掉工廠。即使在工廠被惡意軟件關(guān)閉后，黑客也沒(méi)有被發(fā)現(xiàn)，缺乏識(shí)別控制系統(tǒng)網(wǎng)絡(luò)事件直接影響的能力以滿足最近政府行為等網(wǎng)絡(luò)安全TSA網(wǎng)絡(luò)安全需求和總統(tǒng)行政命令14028。過(guò)程傳感器的監(jiān)測(cè)將幫助過(guò)程傳感器提供直接過(guò)程異常的跡象。

　　另有某國(guó)向北美市場(chǎng)提供了假冒的壓力傳感器，并在提供給美國(guó)公用事業(yè)公司的大型電力變壓器上安裝了硬件后門。缺乏過(guò)程傳感器認(rèn)證允許“欺騙”傳感器信號(hào)從而控制變壓器。由于沒(méi)有對(duì)過(guò)程傳感器信號(hào)進(jìn)行認(rèn)證(傳感器信號(hào)來(lái)自變壓器內(nèi)部或“惡意攻擊者”)，不可能知道變壓器是否已被損壞。

　　OT網(wǎng)絡(luò)安全需要范式轉(zhuǎn)變

　　網(wǎng)絡(luò)攻擊泛化的時(shí)代，無(wú)論是IT還是OT網(wǎng)絡(luò)都無(wú)法完全免受網(wǎng)絡(luò)攻擊的困擾。因此，保護(hù)關(guān)鍵的基礎(chǔ)設(shè)施需要改變模式。傳統(tǒng)的IT網(wǎng)絡(luò)安全最佳實(shí)踐不能復(fù)制到OT系統(tǒng)，即使那樣也將是無(wú)效的。建議的方法本質(zhì)上是，即實(shí)時(shí)帶外(不連接任何互聯(lián)網(wǎng))監(jiān)測(cè)過(guò)程傳感器的電特性。多年來(lái)，工程師們一直使用這種方法監(jiān)測(cè)設(shè)備運(yùn)行狀況(過(guò)程異常檢測(cè))。直到最近，這種方法還沒(méi)有應(yīng)用到網(wǎng)絡(luò)安全中。

　　帶外過(guò)程傳感器監(jiān)測(cè)的結(jié)果是隔離過(guò)程傳感器測(cè)量，免于網(wǎng)絡(luò)惡意軟件的危害，無(wú)論是來(lái)自IT或OT網(wǎng)絡(luò)。這種方法可以幫助證明在勒索軟件攻擊期間設(shè)施的持續(xù)運(yùn)行，因?yàn)閻阂廛浖o(wú)法到達(dá)過(guò)程傳感器監(jiān)控。同時(shí)，過(guò)程傳感器監(jiān)測(cè)持續(xù)提供運(yùn)行的實(shí)時(shí)狀態(tài)。

　　此外，過(guò)程傳感器監(jiān)控提供了預(yù)測(cè)性維護(hù)能力，提高了生產(chǎn)率和安全性。其他人已經(jīng)認(rèn)識(shí)到這種方法的價(jià)值。