在制造企業(yè)參考架構(gòu)中使用了隔離區(qū)（DMZ）的概念，它為用戶的自動化系統(tǒng)提供了一個完善的安全解決方案?，F(xiàn)實是為了使工廠正常運行，數(shù)據(jù)和人員需要在企業(yè)和制造區(qū)之間流動。隨著這些流動的發(fā)生，無意或者有意會攜帶一些病毒、蠕蟲或者其他不良載荷。這些載荷會影響制造系統(tǒng)的正常運行。最糟糕的情況，它們?yōu)楣粽邎?zhí)行一個“回呼”指令，為攻擊者提供瀏覽用戶企業(yè)或者制造區(qū)的能力。為了降低這種事件發(fā)生的可能性，用戶首先要明白這樣的事件為什么會發(fā)生。

為什么要用補丁?

        為什么要關(guān)心在制造區(qū)中的計算機使用補?。恳粋€簡單的原因是：沒有使用緩沖區(qū)。在制造企業(yè)參考架構(gòu)中使用了隔離區(qū)（DMZ）的概念（見圖1），它為用戶的自動化系統(tǒng)提供了一個完善的安全解決方案?，F(xiàn)實是為了使工廠正常運行，數(shù)據(jù)和人員需要在企業(yè)和制造區(qū)之間流動。隨著這些流動的發(fā)生，無意或者有意會攜帶一些病毒、蠕蟲或者其他不良載荷。這些載荷會影響制造系統(tǒng)的正常運行。最糟糕的情況，它們?yōu)楣粽邎?zhí)行一個“回呼”指令，為攻擊者提供瀏覽用戶企業(yè)或者制造區(qū)的能力。

        為了降低這種事件發(fā)生的可能性，用戶首先要明白這樣的事件為什么會發(fā)生。安裝和配置一個DMZ，提供了一面良好的屏障，可以阻止來自外部的直接攻擊。設(shè)計良好的DMZ可以強迫所有的通信都始于或者終于DMZ，這樣做的結(jié)果是使攻擊者很難與制造區(qū)直接通信。僅有的其他可能是攻擊者使用更多的間接路由。攻擊者要實現(xiàn)這樣的路由是要在企業(yè)內(nèi)（特洛依木馬的情形）獲得一個固定的立足點，或者部署這樣一個點。這使攻擊者能在較少的防護層上獲取企業(yè)內(nèi)部的資源。

        這種立足點的最常見目標(biāo)就是企業(yè)網(wǎng)絡(luò)中的計算機?？刂屏诉@樣的計算機可使攻擊者使用已經(jīng)安裝的工具，或者安裝其他工具，幫助他從這里瀏覽企業(yè)。一旦這樣，攻擊者有可能獲取一臺在DMZ中正在通信計算機的資源。通過這個線索，下一步就是控制這臺在DMZ中的計算機，最后，攻擊者獲得對制造區(qū)內(nèi)計算機的控制。

圖1：制造企業(yè)架構(gòu)

        保持計算機補丁更新，同時對操作系統(tǒng)和應(yīng)用軟件的安全更新是防止這類攻擊的最佳方法。剛發(fā)布的安全漏洞很容易被流行易用的免費工具所利用。見圖2 所示，這些工具已經(jīng)非常先進，先進到足以能夠完成復(fù)雜的攻擊，而入侵者不需要很多的知識和技能。發(fā)布漏洞到使用可能性的時間在縮短，結(jié)果是實施攻擊人數(shù)在不斷增加。

圖2

        在一臺計算機操作系統(tǒng)或者應(yīng)用軟件中，對發(fā)布漏洞的使用是攻擊者在企業(yè)內(nèi)獲得立足點位列第一的方法。

        在這個領(lǐng)域里多項完成的研究表明：幾乎所有成功的攻擊都是利用著名的漏洞，而且是已經(jīng)存在補丁保護的情況下。比如，用于某個漏洞的補丁已經(jīng)存在了6個月。一個難忘的例子是在2002年的SQL“監(jiān)獄”（Slammer）。

[DividePage:NextPage]

    在世界范圍內(nèi)對企業(yè)網(wǎng)絡(luò)造成嚴重破壞的“監(jiān)獄”， 用于這款漏洞的補丁已經(jīng)在6個月前就發(fā)布了。由于這個原因，保持對企業(yè)和制造區(qū)的計算機，用最新的安全補丁進行更新是一種可以采用的最簡單、最高效和最低廉的安全防御策略。然而，給制造區(qū)的計算機打補丁不是沒有風(fēng)險。這些挑戰(zhàn)包括：
        ? 需要保持在24/7/365的時間里，生產(chǎn)能夠正常連續(xù)運行；
        ? 計算機宕機會導(dǎo)致審計記錄的丟失和隨后的產(chǎn)品損失；
        ? 需要對缺乏技能的人員進行補丁管理的培訓(xùn)；
        ? 宕機與沒有進行測試的補丁相關(guān)聯(lián)；
        ? 需要測試補丁，但會使應(yīng)用補丁產(chǎn)生延時。

補丁管理程序

        由于上面的原因（和很多其他因素），給制造區(qū)的計算機打補丁需要建立一個用于管理補丁詳細規(guī)范和嚴格程序。

        一些研究表明：很多制造過程宕機是由于不良或者丟失補丁管理程序造成的，最后被已有的漏洞鉆了空子。有種概念非?？膳拢褐斡葹?zāi)難更糟。這也就是為什么有人把禁用“自動補丁更新”認為是一種在制造區(qū)推薦的“最佳實踐”。多數(shù)情況下，如果遵從設(shè)計良好的補丁管理程序，宕機就不會發(fā)生。

        微軟推薦企業(yè)的IT系統(tǒng)采用一種“四步法”模型，用于補丁管理（見圖3）。這些步驟包括：
        1：評估；2：確定；3：評價；4：實施。

圖3

        我們面對的挑戰(zhàn)是要考慮制造區(qū)的情況對這個程序進行更改和增強。下面的章節(jié)我們將對每個步驟提供一個概述和最佳實踐的推薦，目標(biāo)是可以把它應(yīng)用于制造區(qū)。

評估
        第一步始于對所有管理的資產(chǎn)進行一個評估，諸如安裝在企業(yè)和制造區(qū)聯(lián)網(wǎng)的計算機。這一步的重點是建立一個計算機資產(chǎn)的總量清單，應(yīng)用軟件和現(xiàn)在使用的操作系統(tǒng)。微軟已經(jīng)提供許多極好的工具（）和其他產(chǎn)品幫助用戶順暢地完成這個過程。用戶還需要建立一張非管理資產(chǎn)的清單，諸如獨立運行的計算機，防火墻，路由器和其他基礎(chǔ)設(shè)施產(chǎn)品。

[DividePage:NextPage]

    做為設(shè)計程序的一部分，為了做出一個設(shè)施現(xiàn)存安全狀態(tài)基線，用戶需要復(fù)審安全策略，并做一次安全評估。這包括復(fù)審密碼策略、加密標(biāo)準(zhǔn)、反病毒方案、行政策略和其他等等。

        用戶還需要對這些資產(chǎn)的產(chǎn)品功能進行描述，這樣就可以決定它們是否需要更新，因為還有其他的約束條件：如第三廠家確認、規(guī)則遵從、正常運行時間等。這個過程最重要的部分是決定用于安全更新的一個可接受的時間表，使得對生產(chǎn)和其他關(guān)鍵設(shè)施的影響最小化。另外，用戶需要假定在一次安全更新中會發(fā)生不好的事情。這意味著需要有一個所有加載軟件的映像備份，一旦所有關(guān)鍵系統(tǒng)崩潰，實施災(zāi)難恢復(fù)預(yù)案，返回到任何更新內(nèi)容之前，使系統(tǒng)快速回到正常的運行狀態(tài)。做為一種備選方案，使用高可用性解決方案可以大大減少風(fēng)險和減輕補丁管理的負擔(dān)。使用高可用性方案，當(dāng)生產(chǎn)系統(tǒng)要打補丁時，可以切換到備份系統(tǒng)，在補丁更新完了之后，再把生產(chǎn)系統(tǒng)切換回正常狀態(tài)。

        這一步的下一個部分是決定所有安裝的軟件是否有更新的資源。一個這樣類型的數(shù)據(jù)來自微軟的安全公告欄。（）見圖4。

        在知識庫（) 羅克韋爾自動化提供對所有軟件可更新的下載。圖5是一個FactoryTalk View SE? 5.00.0應(yīng)用軟件更新的例子。

圖5

        這個知識庫文件包括問題、原因、解決方案、安裝說明和針對特定問題的軟件更新代碼。

        第一步的最后部分是確認每個人員有了賦予了角色、責(zé)任、工具和執(zhí)行軟件更新所需要的培訓(xùn)。

確定
        第二步的重點是確定是否有必要對已經(jīng)安裝的應(yīng)用軟件或者操作系統(tǒng)進行更新。多數(shù)軟件供應(yīng)商采用某種類型的更新通知系統(tǒng)。微軟的視窗服務(wù)器更新服務(wù)（WSUS）和微軟系統(tǒng)中心配置管理器（MSCCM）對確定和通知過程提供幫助。羅克韋爾自動化提供一種使用知識庫（上面已經(jīng)討論）的電子郵件訂閱服務(wù)，告訴你關(guān)于特定應(yīng)用軟件的更新信息。

        這一步的后面部分是決定這些更新是否與生產(chǎn)系統(tǒng)相關(guān)。很多時候它們對安全狀態(tài)或者系統(tǒng)可靠性僅有一點點或者沒有影響。

評價
        評價步驟是程序中最關(guān)鍵、最重要部分。用戶需要評價按照程序更新軟件的決定對于商業(yè)的價值。更新帶來的商業(yè)收益與實施帶來的風(fēng)險損失進行比較是非常重要的。商業(yè)的收益可以包括降低相關(guān)的安全威脅風(fēng)險、增加的生產(chǎn)率、增加的可靠性、更好的產(chǎn)品質(zhì)量等。商業(yè)的風(fēng)險可以包括實施成本、宕機時間、系統(tǒng)穩(wěn)定性、功能的失去等。

        在這步中，用戶還需要決定每項可以更新的緩急等級。在某些情況下，如果認定漏洞相關(guān)的風(fēng)險很低，更新可以在將來某個方便的時候?qū)嵤?。在某些情況下，風(fēng)險非常高，需要馬上實施更新作業(yè)。這個程序可能是非常主觀的，所以要非常謹慎，在考慮所有事實后，與有經(jīng)驗的人員取得意見一致后再做決定。要記住的是：安全漏洞被馬上利用的情況很少，所以評價和計劃規(guī)程是恰當(dāng)?shù)?。如果用戶已?jīng)實施制造企業(yè)架構(gòu)這是特別正確的。

[DividePage:NextPage]

    評價程序的最后部分是測試每個更新補丁，確保不會給計算機的操作和應(yīng)用軟件帶來負面影響。羅克韋爾自動化在這方面幫助客戶，證明所有微軟的安全更新對于常用的羅克韋爾自動化的應(yīng)用軟件是合格的。這種資格服務(wù)提供一個報告，覆蓋了所有可能影響我們軟件產(chǎn)品的微軟更新。在安全更新發(fā)布的7-14天后，這些報告都會貼在知識庫上。圖6是一個報告的例子，表示對微軟2009年7月的更新發(fā)布。

圖6

        強烈建議不要把微軟的軟件更新直接用于制造區(qū)，而應(yīng)該等到它們經(jīng)過羅克韋爾自動化的資格證明。全部合格意味著羅克韋爾自動化已經(jīng)測試了微軟的軟件更新，在安裝軟件的相關(guān)區(qū)域?qū)崿F(xiàn)了基本功能。這包括微軟操作系統(tǒng)、微軟辦公室產(chǎn)品、因特網(wǎng)瀏覽器和微軟的SQL服務(wù)器的更新資格。

        除了羅克韋爾自動化資格證明，我們推薦所有軟件更新先在非生產(chǎn)環(huán)境下進行測試，或者在設(shè)施沒有運行時，以確保沒有意外事故或者其他影響。這可以幫助確定在自動化應(yīng)用軟件和其他安裝的軟件之間，在實施前沒有任何其他交互。

實施
        這步的目標(biāo)是在制造區(qū)的計算機上成功實施合格的軟件更新。這步的第一部分是事先與用戶和行政溝通關(guān)于待定的更新，使得每人在安裝時出現(xiàn)意外后果做好準(zhǔn)備。它包括一個詳細的時間表和程序，用于實施包括任何生產(chǎn)宕機或者需要的離線時間。

        這步的第二部分是對影響的計算機發(fā)送更新軟件。這包括把更新軟件發(fā)送到各個計算機（但不安裝它們），然后告知用戶對更新做好準(zhǔn)備。有許多自動發(fā)送工具，像微軟視窗服務(wù)器更新服務(wù)（WSUS）和微軟系統(tǒng)中心配置管理器（SCCM），它們可以自動完成發(fā)送過程。

        這步的最后部分是更新的安裝和應(yīng)用。這應(yīng)該使用人工處理，而不是自動化。自動化更新應(yīng)用應(yīng)該在制造資產(chǎn)中禁用。有些更新需要計算機重啟，這有可能產(chǎn)生宕機和生產(chǎn)損失。安裝應(yīng)該按照時間表的時間進行，使這個時間生產(chǎn)的損失最小化，安裝應(yīng)該由經(jīng)過培訓(xùn)的人員執(zhí)行，一旦設(shè)備和過程失效，他們能盡快處理馬上恢復(fù)。這還確保設(shè)備在安裝開始前處于安全運行狀態(tài)。

結(jié)論
        制造和企業(yè)網(wǎng)絡(luò)的融合已經(jīng)為訪問制造數(shù)據(jù)、幫助制造企業(yè)做出商業(yè)決定提供更大靈活性。制造商采用融合的方案已經(jīng)占有了競爭的先機。

        然而，網(wǎng)絡(luò)融合也暴露了制造資產(chǎn)面臨安全威脅，傳統(tǒng)上這在企業(yè)層才能找到。在過去，在制造區(qū)使用的計算機不用補丁更新，因為它們與企業(yè)和因特網(wǎng)完全隔離。增加的威脅來自這種融合，這意味著現(xiàn)在：比以往任何時候，制造區(qū)的計算機需要進行相同等級的安全更新，與用于企業(yè)使用的計算機一樣嚴格。