查字典图书网
查字典图书网
我的工作有一部分涉及详细检查各家电力公司的后端控制系统,有时候还包括石油公司的后端系统。我评估了它们与其他系统和网络的相互联系是如何被保护和跟踪的。令人吃惊的是,石油和电力行业虽然使用了相似的系统和协议,但它们在配置和安全方面的操作和运行存在极大的差别。 换种礼貌的说法,电力公司的网络是一团糟。电力控制系统和网络可以通过公共的Internet访问。用于通用的系统由许多任务所共享,文字处理和其他日常工作与那些关键的功能混杂在一起,后者应该局限于专用的系统内部,以防止操作的潜在干扰和破坏。在好几个地方,系统和网络的布局随心所欲,根本没有考虑过优化的甚至是准确的操作。实现者在完成一项任务之后就转移到另一项工作。许多电力控制网络、电力信息网络和公司LAN没有配备防火墙或阻塞点。从安全的角度出发,所有这些因素结合在一起,可能导致恶意入侵者潜入后大搞破坏,包括操纵或破坏电力的生产和传输过程所使用的物理组件。 相反,我所观察的几个近海石油系统虽然也利用了类似的SCADA系统,却采取了不同的配置和操作方式。电力控制和信息网络严格与公司的LAN分享。大多数关键系统进行了正确的设置,使它们的结果和状态由一个管理系统进行处理,然后用一种类似二极管的风格把信息推向更高的分析系统。简洁和高效的网络图导致物理世界中的SCADA和DCS系统可以被清晰、整洁地实现,包括对访问的限制,有效地提高了安全性。在许多场合,组件是自定义的系统,被设计和配置用来执行特定的功能(注8)。 电力和石油公司之间的反差令我感到好奇和困惑。仿佛是命运的安排,我的职位使我能够与电力公司、石油公司和政府部门的高级技术人员一起开会讨论这个主题。 在会议中,首先令我感到惊奇的是来自电力系统以及电力系统监管和结算组织的人们,他们并没有反驳我对他们的网络和系统的不良(或者说完全不存在的)安全所作出的论断。这令我感到吃惊,因为电力公司在公开场合总是否认它们存在任何网络系统风险。在会议中,他们指出了一些已经正确地实现了安全的例子,但他们承认这些例子只是例外,并不是普遍现象。 我的第二个惊奇来自石油公司,他们表示根本没有站在安全的角度设计他们的系统。尽管安全非常重要,但它并不是正确配置系统的商业推动力。主要的推动力来自它们的直接竞争对手的压力。 如果A公司在关键组件操作的效率能够比B公司高出5%,经过一段时间之后,增加的操作能力或减少的开销可以使A公司赚得大笔的钱。提高这种效率的例子包括: □ 系统的强制分离,防止关键系统由于管理和报告请求所执行的查询而增加额外的延迟。 □ 利用特殊用途的专门完成特定任务的系统替换通用目的的非优化系统。 这些效率改进措施同时也改善了安全。第一个措施在网络和系统中创建了强大、干净和可实施的边界。第二个措施使系统的表面区域变小,从而增加了攻击的难度。 可实施的网络和系统边界的效果显而易见,但更小的表面区域这个情况则值得稍加解释。想象一个具有默认配置的通用目的的系统。默认配置可能已经有几个配置并正在运行的服务,以及许多正在执行的协助用户处理的后台进程。这就允许用最大数量的设置对系统进行部署,并最大限度地减少重新配置的数量。系统的生产商希望这样的系统具有更广的功能,因为这样可以使安装更为方便。 但是,这并不意味着默认设置对于消费者主体都是优化的,只不过是可以接受而已。在默认设置中,每个正在运行的服务都是一个攻击表面,可能会遭到攻击。与此类似的是客户应用程序可能由于来自被盗用或虚假的服务器的恶意输入而被盗用。系统所运行的服务和客户应用程序越多,系统的攻击表面就越大,被远程或本地盗用的可能性也就越大。 虽然具有较大的攻击表面不是件好事情,但是石油公司所关心的基本缺点实际上是系统的性能不够理想。对于每个正在运行的程序,包括服务器所提供的服务以及本地应用程序,处理时间是由内核和CPU贡献的。如果有许多正在运行的应用程序,系统就不得不为它们划分时间片,这是一种本身就会消耗资源的内核活动。 但是,如果正在运行的应用程序数量很少,那么每个应用程序可以拥有更多数量的CPU时间片,实现更佳的性能。对系统进行瘦身的一种简单方法是删除多余的服务和应用程序,对系统进行优化,使它尽可能以最专一的方式运行。另一种方法是系统部署为专门实现特定的功能,不提供运行不相关任务的功能。这些策略在我已经检查过的近海石油公司中使用,以便最大限度地提高性能,并因此增加了利润。 为什么电力企业不采取与石油公司相同的做法呢?首先,电力公司是受控制的垄断企业。这个行业并不存在什么竞争,因此它们就没有动力设计优化和严格结构化的环境。 人们可能忍不住假设如果取消对电力行业的控制,把电力公司放在竞争环境中会不会提高它们的效率并因此提高它们的安全性(按照与石油公司相同的路径)。但是,事态的发展恰好相反。当电力公司放松管制时,它们意识到需要采取削减成本的措施以保持竞争力。结果,它们的第一个步骤就是削减劳动力。它们让更少的人维护和操作相同数量的本地和远程系统(常常通过远程访问技术),把注意力集中在每天都要进行的操作,而不是高瞻远瞩地看到长期的需要。这通常是提高效率或安全的不佳方案。 石油公司的故事证实了我在1.3.2一节中对ISP所作的评论。大多数组织把安全看成是一种令人不快的成本,至少到目前为止它们大都是这样想的。按照这种方式实现的安全很可能是不充分或糟糕的。但是,如果有的公司将网络和系统的功能进行优化和流水化,以实现特定的商业目的,那么它们常常可以以副产品的形式实现优质的安全。同样,安全专业人员可以把克服他们对安全的功能锁定作为一个崇高的目标,直到觉得安全本身值得花费大量的资金,而不是把安全看成是一种偶然的副产品。