2021年10月28日，美國能源部長格蘭霍姆召開了她的顧問委員會（SEAB）第一次會議。本次會議議題包括能源部的“能源地球射擊（Earthshot）計劃”和對清潔能源的關注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業(yè)專家在會上陳述了意見建議。國際知名自動化和網絡安全專家Joe Weiss針對過程傳感器的網絡層面保護問題，再次闡述了他的觀點。并建議能源部，保護過程傳感器是一個需要特別關注的硬技術障礙。能源部需要認真對待過程傳感器網絡安全，鼓勵過程傳感器監(jiān)控范式轉變，鼓勵對過程傳感器負責人員進行網絡安全培訓，并與CISA協(xié)調政府和行業(yè)專家共同解決過程傳感器網絡安全問題。過程傳感器到底有什么的網絡安全問題呢？這一問題的嚴重程度如何？

　　過程傳感器有何網絡安全風險？

　　過程傳感器用于測量壓力，液位，流量（如蒸汽，液體，電力等），溫度，電壓，電流等。這些設備通過為現(xiàn)場控制器、執(zhí)行器、電機、驅動器、分析儀、機器人和基于windows的操作站提供關鍵輸入，對網絡安全、過程安全、可靠性、產品質量和彈性至關重要。所有監(jiān)視或控制物理過程的組織都利用來自具有共同網絡限制的普通供應商的類似類型的過程傳感器。這包括商用和軍事核設施的運營組合體，包括水力和可再生能源的發(fā)電，電網中的微電網，智能制造，智能建筑，以及電機在內的高功率應用設備等等。

　　IT和運營技術（OT）網絡安全從業(yè)人員采取基于網絡的方法，監(jiān)控互聯(lián)網協(xié)議（IP）網絡的網絡異常。這對于IT網絡來說是必要的，但對于全面控制系統(tǒng)的網絡安全來說是不夠的。這是因為，作為OT網絡輸入的過程傳感器被錯誤地認為是無損的、經過認證的、具有網絡日志功能，并在整個操作周期中提供正確的讀數(shù)。

　　Weiss在其博客文章中稱，過程傳感器讀數(shù)的錯誤，無論是出于無意還是惡意，都造成了重大的災難性影響，但過程安全標準并沒有解決過程傳感器的網絡安全問題。因此，在對安裝在液化天然氣設施中的最先進的安全壓力變送器的聯(lián)合ISA84（過程安全）/ISA99（網絡安全）評估中，對過程傳感器的網絡漏洞進行了檢查。在138項個體網絡安全要求中，壓力變送器失敗占了69項，而這些要求本可以阻止設施的安全運行。所有的基礎設施和設備都處于危險之中，因為過程傳感器是不安全的和未經認證的（即，傳感器測量信號來自于傳感器）。

　　過程傳感器的主要障礙

　　梳理Weiss在能源部顧問委員會上的建議，大致可以歸納出以下主要的技術或非技術障礙。

　　1、所有過程應用中都有數(shù)千萬個傳統(tǒng)過程傳感器（這不包括個人和住宅應用中額外的數(shù)千萬個 IOT傳感器）。過程傳感器沒有網絡安全、身份驗證或網絡日志記錄，可能無法更新以確保網絡安全。這涉及到整個生態(tài)系統(tǒng)，包括傳感器、傳感器網絡、通信協(xié)議和安全技術。

　　2、普遍認為過程傳感器網絡安全不是問題，因為它只會產生局部影響。然而，這種認識是錯誤的，已有活生生的例子發(fā)生了。需要解決使傳感器能夠損壞更大流程（比如電網）的系統(tǒng)交互問題。

　　3、智能電網、智能制造、工業(yè) 4.0等基于“無處不在的傳感器”和傳感器數(shù)據(jù)的大數(shù)據(jù)分析。如果不能信任輸入的傳感器數(shù)據(jù)，那么大數(shù)據(jù)分析就不受信任。

　　4、傳感器網絡安全問題是一個新問題。需要工程和網絡組織協(xié)同工作。過程傳感器的監(jiān)控將迫使這些不同的專業(yè)領域一起工作，這可能會促進改變游戲規(guī)則。

　　5、已有傳感器對建筑和HVAC控制的影響的研究報告顯示，建筑/暖通空調系統(tǒng)中傳感器系統(tǒng)的網絡安全威脅正在增加，因此傳感器數(shù)據(jù)傳輸可能會被黑客入侵。根據(jù)研究報告的結論，必須了解被黑客入侵的傳感器數(shù)據(jù)如何影響樓宇控制性能（這只能由控制系統(tǒng)完成，而不能由網絡專家完成）。典型的情況可能包括傳感器數(shù)據(jù)被黑客修改并發(fā)送到控制回路，從而導致極端的控制行為。

　　6、如果不能相信你測量的東西，你就不能擁有網絡安全。然而，過程傳感器的網絡安全超出了NERC關鍵基礎設施保護 （CIP） 網絡安全標準的范圍。

　　7、如果不能相信你測量的東西，態(tài)勢感知能力也無從談起。

　　8、假冒過程傳感器和硬件后門是硬件供應問題。硬件供應鏈攻擊的情況已屢見不鮮。

　　真實的控制系統(tǒng)網絡事件

　　Weiss稱，美國的早就對手意識到了這些局限性。伊朗電氣工業(yè)的工業(yè)安全專家對工業(yè)控制系統(tǒng)安全框架和最佳實踐有深入的了解，如ISA-99/IEC-62443, NERC CIP, NIST 800-82, SANS安全實踐，Nozomi工具，西門子，橫河和ABB控制系統(tǒng)等等。

　　WEISS個人收集的控制系統(tǒng)網絡事件的非公開數(shù)據(jù)庫中，就有超過75起建筑/設施控制系統(tǒng)網絡事件，其中一些是由過程傳感器問題引起或加劇的。

　　俄羅斯黑客2018年曾經入侵了沙特阿拉伯一家石化工廠的Triconex安全系統(tǒng)（施耐德公司旗下的安全平臺，已超越了一般意義上的功能安全系統(tǒng)，為工廠提供全套的安全關鍵解決方案和全生命周期安全管理理念與服務。核電站、石化工廠、供水系統(tǒng)廣泛使用Triconex安全系統(tǒng)）。入侵的目的是炸掉工廠。即使在工廠被惡意軟件關閉后，黑客也沒有被發(fā)現(xiàn)，缺乏識別控制系統(tǒng)網絡事件直接影響的能力以滿足最近政府行為等網絡安全TSA網絡安全需求和總統(tǒng)行政命令14028。過程傳感器的監(jiān)測將幫助過程傳感器提供直接過程異常的跡象。

　　另有某國向北美市場提供了假冒的壓力傳感器，并在提供給美國公用事業(yè)公司的大型電力變壓器上安裝了硬件后門。缺乏過程傳感器認證允許“欺騙”傳感器信號從而控制變壓器。由于沒有對過程傳感器信號進行認證（傳感器信號來自變壓器內部或“惡意攻擊者”），不可能知道變壓器是否已被損壞。

　　OT網絡安全需要范式轉變

　　網絡攻擊泛化的時代，無論是IT還是OT網絡都無法完全免受網絡攻擊的困擾。因此，保護關鍵的基礎設施需要改變模式。傳統(tǒng)的IT網絡安全最佳實踐不能復制到OT系統(tǒng)，即使那樣也將是無效的。建議的方法本質上是，即實時帶外（不連接任何互聯(lián)網）監(jiān)測過程傳感器的電特性。多年來，工程師們一直使用這種方法監(jiān)測設備運行狀況（過程異常檢測）。直到最近，這種方法還沒有應用到網絡安全中。

　　帶外過程傳感器監(jiān)測的結果是隔離過程傳感器測量，免于網絡惡意軟件的危害，無論是來自IT或OT網絡。這種方法可以幫助證明在勒索軟件攻擊期間設施的持續(xù)運行，因為惡意軟件無法到達過程傳感器監(jiān)控。同時，過程傳感器監(jiān)測持續(xù)提供運行的實時狀態(tài)。

　　此外，過程傳感器監(jiān)控提供了預測性維護能力，提高了生產率和安全性。其他人已經認識到這種方法的價值。