2021年10月28日，美國能源部長格蘭霍姆召開了她的顧問委員會（SEAB）第一次會議。本次會議議題包括能源部的“能源地球射擊（Earthshot）計劃”和對清潔能源的關(guān)注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業(yè)專家在會上陳述了意見建議。國際知名自動化和網(wǎng)絡安全專家Joe Weiss針對過程傳感器的網(wǎng)絡層面保護問題，再次闡述了他的觀點。并建議能源部，保護過程傳感器是一個需要特別關(guān)注的硬技術(shù)障礙。能源部需要認真對待過程傳感器網(wǎng)絡安全，鼓勵過程傳感器監(jiān)控范式轉(zhuǎn)變，鼓勵對過程傳感器負責人員進行網(wǎng)絡安全培訓，并與CISA協(xié)調(diào)政府和行業(yè)專家共同解決過程傳感器網(wǎng)絡安全問題。過程傳感器到底有什么的網(wǎng)絡安全問題呢？這一問題的嚴重程度如何？

　　過程傳感器有何網(wǎng)絡安全風險？

　　過程傳感器用于測量壓力，液位，流量（如蒸汽，液體，電力等），溫度，電壓，電流等。這些設備通過為現(xiàn)場控制器、執(zhí)行器、電機、驅(qū)動器、分析儀、機器人和基于windows的操作站提供關(guān)鍵輸入，對網(wǎng)絡安全、過程安全、可靠性、產(chǎn)品質(zhì)量和彈性至關(guān)重要。所有監(jiān)視或控制物理過程的組織都利用來自具有共同網(wǎng)絡限制的普通供應商的類似類型的過程傳感器。這包括商用和軍事核設施的運營組合體，包括水力和可再生能源的發(fā)電，電網(wǎng)中的微電網(wǎng)，智能制造，智能建筑，以及電機在內(nèi)的高功率應用設備等等。

　　IT和運營技術(shù)（OT）網(wǎng)絡安全從業(yè)人員采取基于網(wǎng)絡的方法，監(jiān)控互聯(lián)網(wǎng)協(xié)議（IP）網(wǎng)絡的網(wǎng)絡異常。這對于IT網(wǎng)絡來說是必要的，但對于全面控制系統(tǒng)的網(wǎng)絡安全來說是不夠的。這是因為，作為OT網(wǎng)絡輸入的過程傳感器被錯誤地認為是無損的、經(jīng)過認證的、具有網(wǎng)絡日志功能，并在整個操作周期中提供正確的讀數(shù)。

　　Weiss在其博客文章中稱，過程傳感器讀數(shù)的錯誤，無論是出于無意還是惡意，都造成了重大的災難性影響，但過程安全標準并沒有解決過程傳感器的網(wǎng)絡安全問題。因此，在對安裝在液化天然氣設施中的最先進的安全壓力變送器的聯(lián)合ISA84（過程安全）/ISA99（網(wǎng)絡安全）評估中，對過程傳感器的網(wǎng)絡漏洞進行了檢查。在138項個體網(wǎng)絡安全要求中，壓力變送器失敗占了69項，而這些要求本可以阻止設施的安全運行。所有的基礎(chǔ)設施和設備都處于危險之中，因為過程傳感器是不安全的和未經(jīng)認證的（即，傳感器測量信號來自于傳感器）。

　　過程傳感器的主要障礙

　　梳理Weiss在能源部顧問委員會上的建議，大致可以歸納出以下主要的技術(shù)或非技術(shù)障礙。

　　1、所有過程應用中都有數(shù)千萬個傳統(tǒng)過程傳感器（這不包括個人和住宅應用中額外的數(shù)千萬個 IOT傳感器）。過程傳感器沒有網(wǎng)絡安全、身份驗證或網(wǎng)絡日志記錄，可能無法更新以確保網(wǎng)絡安全。這涉及到整個生態(tài)系統(tǒng)，包括傳感器、傳感器網(wǎng)絡、通信協(xié)議和安全技術(shù)。

　　2、普遍認為過程傳感器網(wǎng)絡安全不是問題，因為它只會產(chǎn)生局部影響。然而，這種認識是錯誤的，已有活生生的例子發(fā)生了。需要解決使傳感器能夠損壞更大流程（比如電網(wǎng)）的系統(tǒng)交互問題。

　　3、智能電網(wǎng)、智能制造、工業(yè) 4.0等基于“無處不在的傳感器”和傳感器數(shù)據(jù)的大數(shù)據(jù)分析。如果不能信任輸入的傳感器數(shù)據(jù)，那么大數(shù)據(jù)分析就不受信任。

　　4、傳感器網(wǎng)絡安全問題是一個新問題。需要工程和網(wǎng)絡組織協(xié)同工作。過程傳感器的監(jiān)控將迫使這些不同的專業(yè)領(lǐng)域一起工作，這可能會促進改變游戲規(guī)則。

　　5、已有傳感器對建筑和HVAC控制的影響的研究報告顯示，建筑/暖通空調(diào)系統(tǒng)中傳感器系統(tǒng)的網(wǎng)絡安全威脅正在增加，因此傳感器數(shù)據(jù)傳輸可能會被黑客入侵。根據(jù)研究報告的結(jié)論，必須了解被黑客入侵的傳感器數(shù)據(jù)如何影響樓宇控制性能（這只能由控制系統(tǒng)完成，而不能由網(wǎng)絡專家完成）。典型的情況可能包括傳感器數(shù)據(jù)被黑客修改并發(fā)送到控制回路，從而導致極端的控制行為。

　　6、如果不能相信你測量的東西，你就不能擁有網(wǎng)絡安全。然而，過程傳感器的網(wǎng)絡安全超出了NERC關(guān)鍵基礎(chǔ)設施保護 （CIP） 網(wǎng)絡安全標準的范圍。

　　7、如果不能相信你測量的東西，態(tài)勢感知能力也無從談起。

　　8、假冒過程傳感器和硬件后門是硬件供應問題。硬件供應鏈攻擊的情況已屢見不鮮。

　　真實的控制系統(tǒng)網(wǎng)絡事件

　　Weiss稱，美國的早就對手意識到了這些局限性。伊朗電氣工業(yè)的工業(yè)安全專家對工業(yè)控制系統(tǒng)安全框架和最佳實踐有深入的了解，如ISA-99/IEC-62443, NERC CIP, NIST 800-82, SANS安全實踐，Nozomi工具，西門子，橫河和ABB控制系統(tǒng)等等。

　　WEISS個人收集的控制系統(tǒng)網(wǎng)絡事件的非公開數(shù)據(jù)庫中，就有超過75起建筑/設施控制系統(tǒng)網(wǎng)絡事件，其中一些是由過程傳感器問題引起或加劇的。

　　俄羅斯黑客2018年曾經(jīng)入侵了沙特阿拉伯一家石化工廠的Triconex安全系統(tǒng)（施耐德公司旗下的安全平臺，已超越了一般意義上的功能安全系統(tǒng)，為工廠提供全套的安全關(guān)鍵解決方案和全生命周期安全管理理念與服務。核電站、石化工廠、供水系統(tǒng)廣泛使用Triconex安全系統(tǒng)）。入侵的目的是炸掉工廠。即使在工廠被惡意軟件關(guān)閉后，黑客也沒有被發(fā)現(xiàn)，缺乏識別控制系統(tǒng)網(wǎng)絡事件直接影響的能力以滿足最近政府行為等網(wǎng)絡安全TSA網(wǎng)絡安全需求和總統(tǒng)行政命令14028。過程傳感器的監(jiān)測將幫助過程傳感器提供直接過程異常的跡象。

　　另有某國向北美市場提供了假冒的壓力傳感器，并在提供給美國公用事業(yè)公司的大型電力變壓器上安裝了硬件后門。缺乏過程傳感器認證允許“欺騙”傳感器信號從而控制變壓器。由于沒有對過程傳感器信號進行認證（傳感器信號來自變壓器內(nèi)部或“惡意攻擊者”），不可能知道變壓器是否已被損壞。

　　OT網(wǎng)絡安全需要范式轉(zhuǎn)變

　　網(wǎng)絡攻擊泛化的時代，無論是IT還是OT網(wǎng)絡都無法完全免受網(wǎng)絡攻擊的困擾。因此，保護關(guān)鍵的基礎(chǔ)設施需要改變模式。傳統(tǒng)的IT網(wǎng)絡安全最佳實踐不能復制到OT系統(tǒng)，即使那樣也將是無效的。建議的方法本質(zhì)上是，即實時帶外（不連接任何互聯(lián)網(wǎng)）監(jiān)測過程傳感器的電特性。多年來，工程師們一直使用這種方法監(jiān)測設備運行狀況（過程異常檢測）。直到最近，這種方法還沒有應用到網(wǎng)絡安全中。

　　帶外過程傳感器監(jiān)測的結(jié)果是隔離過程傳感器測量，免于網(wǎng)絡惡意軟件的危害，無論是來自IT或OT網(wǎng)絡。這種方法可以幫助證明在勒索軟件攻擊期間設施的持續(xù)運行，因為惡意軟件無法到達過程傳感器監(jiān)控。同時，過程傳感器監(jiān)測持續(xù)提供運行的實時狀態(tài)。

　　此外，過程傳感器監(jiān)控提供了預測性維護能力，提高了生產(chǎn)率和安全性。其他人已經(jīng)認識到這種方法的價值。