工業(yè)控制系統(tǒng)在過程生產(chǎn)、電力設(shè)施、水力油氣和運(yùn)輸?shù)阮I(lǐng)域有著廣泛的應(yīng)用。傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注,工業(yè)控制系統(tǒng)越來越多地采用開放lnternet技術(shù)實(shí)現(xiàn)與企業(yè)網(wǎng)的互連。目前,大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎(chǔ)上開發(fā)協(xié)議,通信應(yīng)用中存在很多漏洞。在工業(yè)控制系統(tǒng)與Internet或其他公共網(wǎng)絡(luò)互連時,這些漏洞將會暴露給潛在攻擊者。此外,工業(yè)控制系統(tǒng)多用于控制關(guān)鍵基礎(chǔ)措施,攻擊者出于政治目的或經(jīng)濟(jì)目的會主動向其發(fā)起攻擊,以期造成嚴(yán)重后果。例如,2010年,“震網(wǎng)”病毒席卷全球,伊朗布什爾核電站因遭此攻擊延期運(yùn)行。因此,近年來,工業(yè)控制系統(tǒng)的信息安全問題成為一個廣泛關(guān)注的熱點(diǎn)問題。

一、工業(yè)控制系統(tǒng)信息安全概述

    通常情況下,工業(yè)控制系統(tǒng)安全可以分成三個方面,即功能安全、物理安全和信息安全。

    功能安全是為了達(dá)到設(shè)備和工廠安全功能,受保護(hù)的、和控制設(shè)備的安全相關(guān)部分必須正確執(zhí)行其功能,而且當(dāng)失效或故障發(fā)生時,設(shè)備或系統(tǒng)必須仍能保持安全條件或進(jìn)入到安全狀態(tài)。

    物理安全是減少由于電擊、火災(zāi)、輻射、機(jī)械危險、化學(xué)危險等因素造成的危害。

    在IEC62443中針對工業(yè)控制系統(tǒng)信息安全的定義是:“保護(hù)系統(tǒng)所采取的措施;由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失;基于計算機(jī)系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止;防止對工業(yè)控制系統(tǒng)的非法或有害入侵,或者干擾其正確和計劃的操作?!?工業(yè)控制系統(tǒng)的信息安全不僅可能造成信息的丟失,還可能造成工業(yè)過程生產(chǎn)故障的發(fā)生,從而造成人員損害及設(shè)備損壞,其直接財產(chǎn)的損失是巨大的,甚至有可能引起環(huán)境問題和社會問題。

    三種安全在定義和內(nèi)涵上有很大的差別。

    功能安全,使用安全完整性等級的概念已有近20年。功能安全規(guī)范要求通常將一個部件或系統(tǒng)的安全表示為單個數(shù)字,而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。

    物理安全,保護(hù)要素主要由一系列安全生產(chǎn)操作規(guī)范定義。政府、企業(yè)及行業(yè)組織等一般通過完備的安全生產(chǎn)操作流程約束工業(yè)系統(tǒng)現(xiàn)場操作的標(biāo)準(zhǔn)性,確保事故的可追溯性,并可以明確有關(guān)人員的責(zé)任,管理和制度因素是保護(hù)物理安全的主要方式。

    工業(yè)控制系統(tǒng)信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全,但是功能安全使用安全完整性等級是基于隨機(jī)硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的,而信息安全系統(tǒng)有著更為廣闊的應(yīng)用,以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復(fù)雜,很難用一個簡單的數(shù)字描述出來。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護(hù)也必須是周而復(fù)始不斷進(jìn)行的。

    二、工業(yè)控制系統(tǒng)信息安全與IP數(shù)據(jù)網(wǎng)絡(luò)信息安全的區(qū)別

    1.兩種網(wǎng)絡(luò)的信息安全特點(diǎn)對比

    通過結(jié)合前期一些項目研究工作經(jīng)歷及相關(guān)研究結(jié)論,現(xiàn)總結(jié)出一些先前所認(rèn)識到的工業(yè)控制系統(tǒng)信息安全與傳統(tǒng)的IP信息網(wǎng)絡(luò)安全的區(qū)別,并提出工業(yè)控制系統(tǒng)信息安全必須解決的新問題。

    1)安全需求不同

    2)安全補(bǔ)丁與升級機(jī)制存在的區(qū)別

    3)實(shí)時性方面的差異

    4)安全保護(hù)優(yōu)先級方面的差異

    5)安全防護(hù)技術(shù)適應(yīng)性方面的差異

    2.工業(yè)控制系統(tǒng)信息安全面臨的挑戰(zhàn)

    上文論述的這些區(qū)別都是重要的,控制系統(tǒng)相對于其他IT系統(tǒng)的主要區(qū)別是控制系統(tǒng)與物理世界的相互作用。

    總體來說,傳統(tǒng)IP信息網(wǎng)絡(luò)安全已經(jīng)發(fā)展到較為成熟的技術(shù)和設(shè)計準(zhǔn)則(認(rèn)證,訪問控制,信息完整性,特權(quán)分離等),這些能夠幫助我們阻止和響應(yīng)針對工業(yè)控制系統(tǒng)的攻擊。然而,傳統(tǒng)意義上講,計算機(jī)信息安全研究關(guān)注于信息的保護(hù);研究人員不會考慮攻擊是如何影響評估和控制算法,最終,攻擊是如何影響物理世界的。

    當(dāng)前已有的各種信息安全工具,能夠?qū)刂葡到y(tǒng)安全給予必要機(jī)制,這些單獨(dú)的機(jī)制對于深度防護(hù)控制是不夠的。

    通過深入理解控制系統(tǒng)與真實(shí)物理世界的交互過程,研究人員在未來需要開展的工作可能是:

    1)更好地理解攻擊的后果:到目前為止,沒有深入研究攻擊者獲得非授權(quán)訪問一些控制網(wǎng)絡(luò)設(shè)備后將造成的危害。

    2)設(shè)計全新的攻擊檢測算法:通過理解物理過程應(yīng)有的控制行為,并基于過程控制命令和傳感器測量,能夠識別攻擊者是否試圖干擾控制或傳感器的數(shù)據(jù)。

    3)設(shè)計新的抗攻擊彈性算法和架構(gòu):如果檢測到一個工業(yè)控制系統(tǒng)攻擊行為,能夠適時改變控制命令,用于增加控制系統(tǒng)的彈性,減少損失。

    4)設(shè)計適合工業(yè)SCADA系統(tǒng)現(xiàn)場設(shè)備的身份認(rèn)證與密碼技術(shù):目前一些成熟的、復(fù)雜的、健壯的密碼技術(shù)通常不能在工業(yè)控制系統(tǒng)的現(xiàn)場設(shè)備中完成訪問控制功能,主要原因在于過于復(fù)雜的密碼機(jī)制可能隱藏在緊急情況下妨礙應(yīng)急處理程序快速響應(yīng)的風(fēng)險。工業(yè)自動控制領(lǐng)域的專家一般認(rèn)為相對較弱的密碼機(jī)制(如缺省密碼、固定密碼甚至空口令等),比較容易在緊急情況下進(jìn)行猜測、傳送等,進(jìn)而不會對應(yīng)急處理程序本身產(chǎn)生額外影響。

    5)開發(fā)硬件兼容能力更強(qiáng)的工業(yè)SCADA系統(tǒng)安全防護(hù)技術(shù):傳統(tǒng)IT數(shù)據(jù)網(wǎng)絡(luò)中安全防護(hù)能力較強(qiáng)的技術(shù)如身份認(rèn)證、鑒別、加密、入侵檢測和訪問控制技術(shù)等普遍強(qiáng)調(diào)占用更多的網(wǎng)絡(luò)帶寬、處理器性能和內(nèi)存資源,而這些資源在工業(yè)控制系統(tǒng)設(shè)備中十分有限,工業(yè)控制設(shè)備最初的設(shè)計目標(biāo)是完成特定現(xiàn)場作業(yè)任務(wù),它們一般是低成本、低處理器效能的設(shè)備。而且,在石油、供水等能源工業(yè)系統(tǒng)控制裝置中仍然在使用一些很陳舊的處理器(如1978年出廠的Intel8088處理器)。因此,在這類裝置中部署主流的信息安全防護(hù)技術(shù)而又不顯著降低工業(yè)現(xiàn)場控制裝置的性能具有一定難度。

    6)研制兼容多種操作系統(tǒng)或軟件平臺的安全防護(hù)技術(shù):傳統(tǒng)IT數(shù)據(jù)網(wǎng)絡(luò)中的信息安全技術(shù)機(jī)制,主要解決以Windows、Linux、Unix等通用型操作系統(tǒng)平臺上的信息安全問題。而在工業(yè)SCADA系統(tǒng)領(lǐng)域,現(xiàn)場工業(yè)SCADA系統(tǒng)裝置一般使用設(shè)備供應(yīng)商(ABB、西門子、霍尼韋爾等)獨(dú)立研發(fā)的、非公開的操作系統(tǒng)(有時稱為固件)、專用軟件平臺(如GE的iFix等)完成特定的工業(yè)過程控制功能。因此,如何在非通用操作系統(tǒng)及軟件平臺上開發(fā)、部署甚至升級信息安全防護(hù)技術(shù),是工業(yè)SCADA系統(tǒng)信息安全未來需要重點(diǎn)解決的問題。

    三、工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)體系

    工業(yè)控制系統(tǒng)信息安全內(nèi)涵、需求和目標(biāo)特性,決定了需要一些特殊的信息安全技術(shù)、措施,在工業(yè)生產(chǎn)過程中的IED、PLC、RTU、控制器、通信處理機(jī)、SCADA系統(tǒng)和各種實(shí)際的、各種類型的可編程數(shù)字化設(shè)備中使用或配置,達(dá)到保障工業(yè)控制系統(tǒng)生產(chǎn)、控制與管理的安全功能目標(biāo)。所有自動控制系統(tǒng)信息安全的基礎(chǔ)技術(shù)是訪問控制和用戶身份認(rèn)證,在此基礎(chǔ)上發(fā)展了一些通過探針、信道加密、數(shù)據(jù)包核查和認(rèn)證等手段保護(hù)通信數(shù)據(jù)報文安全的技術(shù)。為實(shí)現(xiàn)功能安全前提下的工業(yè)控制系統(tǒng)信息安全,需要構(gòu)筑工業(yè)控制系統(tǒng)信息安全事前、事中和事后的全面管理、整體安全的防護(hù)技術(shù)體系。

    1) 事前防御技術(shù)

    事前防御技術(shù)是工業(yè)控制信息安全防護(hù)技術(shù)體系中較為重要的部分,目前有很多成熟的基礎(chǔ)技術(shù)可以利用:

    ?訪問控制/工業(yè)控制專用防火墻

    ?身份認(rèn)證

    ?ID設(shè)備

    ?基于生物特征的鑒別技術(shù)

    ?安全的調(diào)制解調(diào)器

    ?加密技術(shù)

    ?公共密鑰基礎(chǔ)設(shè)施(PKI)

    ?虛擬局域網(wǎng)(VPN)

    2)事中響應(yīng)技術(shù)

    入侵檢測(IDS)技術(shù)對于識別內(nèi)部的錯誤操作和外部攻擊者嘗試獲得內(nèi)部訪問權(quán)限的攻擊行為是非常有效的。它能夠檢測和識別出內(nèi)部或外部用戶破壞網(wǎng)絡(luò)的意圖。IDS有兩種常見的形式:數(shù)字簽名檢測系統(tǒng)和不規(guī)則檢測系統(tǒng)。入侵者常常通過攻擊數(shù)字簽名,從而獲得進(jìn)入系統(tǒng)的權(quán)限或破壞網(wǎng)絡(luò)的完整性。數(shù)字簽名檢測系統(tǒng)通過將現(xiàn)在的攻擊特性與已知攻擊特性數(shù)據(jù)庫進(jìn)行比對,根據(jù)選擇的靈敏程度,最終確定比對結(jié)果。然后,根據(jù)比對結(jié)果,確定攻擊行為的發(fā)生,從而阻斷攻擊行為并且通報系統(tǒng)管理員當(dāng)前系統(tǒng)正在遭受到攻擊。不規(guī)則檢測技術(shù)通過對比正在運(yùn)行的系統(tǒng)行為和正常系統(tǒng)行為之間的差異,確定入侵行為的發(fā)生且向系統(tǒng)管理員報警。例如,IDS能夠檢測在午夜時分系統(tǒng)不正常的活躍性或者外部網(wǎng)絡(luò)大量訪問某I/O端口等。當(dāng)不正常的活動發(fā)生時,IDS能夠阻斷攻擊并且提醒系統(tǒng)管理員。

    以上兩種IDS系統(tǒng)都有其優(yōu)點(diǎn)和缺點(diǎn),但是,它們都有一個相同的問題—如何設(shè)置檢測靈敏度。高靈敏度會造成錯誤的入侵報警, IDS會對每個入侵警報作相應(yīng)的系統(tǒng)動作,因此,過多的錯誤入侵警報,不僅會破壞正常系統(tǒng)的某些必須的功能,而且還會對系統(tǒng)造成大量額外的負(fù)擔(dān)。而低靈敏度會使IDS不能檢測到某些入侵行為的發(fā)生,因此IDS會對一些入侵行為視而不見,從而使入侵者成功進(jìn)入系統(tǒng),造成不可預(yù)期的損失。

    3)事后取證技術(shù)

    審計日志機(jī)制是對合法的和非合法的用戶的認(rèn)證信息和其他特征信息進(jìn)行記錄的文件,是工業(yè)控制系統(tǒng)信息安全主要的事后取證技術(shù)之一。因此,針對每個對系統(tǒng)的訪問及其相關(guān)操作均需要被記錄在案。當(dāng)診斷和審核網(wǎng)絡(luò)電子入侵是否發(fā)生時,審計日記是必不可少的判斷標(biāo)準(zhǔn)之一。此外,系統(tǒng)行為記錄也是工業(yè)SCADA系統(tǒng)信息安全的常用技術(shù)。

    上述討論的是在工業(yè)控制系統(tǒng)信息安全中一些常用的、常規(guī)性技術(shù),而在工業(yè)控制系統(tǒng)信息安全實(shí)施過程中,主要有以下一些特別的關(guān)鍵技術(shù)。

    四、工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢

    在“兩化”深度融合的發(fā)展背景下,工業(yè)控制系統(tǒng)信息安全問題也隨之而來。世界范圍內(nèi)繼“震網(wǎng)”病毒事件后又接連發(fā)生的幾起重大的工業(yè)網(wǎng)絡(luò)安全事件,將工業(yè)網(wǎng)絡(luò)安全推向了一個新的高度。如何防微杜漸,防止工業(yè)控制系統(tǒng)安全事件的再次發(fā)生,在重點(diǎn)能源企業(yè)構(gòu)筑安全的工業(yè)控制系統(tǒng),已經(jīng)成為政府和企業(yè)關(guān)注的熱點(diǎn)。

    “震網(wǎng)”病毒事件為全球關(guān)鍵基礎(chǔ)設(shè)施核心要害系統(tǒng)安全問題敲響了警鐘。分析工業(yè)控制系統(tǒng)所遭受的漏洞和攻擊,可以看出工業(yè)控制系統(tǒng)漏洞攻擊正向著簡單控制器受攻擊增大、利用網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊、專業(yè)攻擊人員進(jìn)行攻擊、利用病毒進(jìn)行攻擊、工業(yè)控制系統(tǒng)漏洞挖掘與發(fā)布同時增長的趨勢發(fā)展。當(dāng)前,美國和歐盟都從國家戰(zhàn)略的層面在開展各方面的工作,積極研究工業(yè)控制系統(tǒng)信息安全的應(yīng)對策略。我國也在政策層面和研究層面積極開展工作,但我國工業(yè)控制系統(tǒng)信息安全工作起步晚,總體上技術(shù)研究尚屬起步階段,管理制度不健全,相關(guān)標(biāo)準(zhǔn)規(guī)范不完善,技術(shù)防護(hù)措施不到位,安全防護(hù)能力和應(yīng)急處理能力不高,這些問題都威脅著工業(yè)生產(chǎn)安全和社會正常運(yùn)作。因此,整合各方面優(yōu)勢資源,促進(jìn)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的形成,是未來工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全發(fā)展的基本趨勢。

    另一方面,工業(yè)控制系統(tǒng)信息安全技術(shù)的發(fā)展,將隨著工業(yè)自動化系統(tǒng)的發(fā)展而不斷演化。目前自動化系統(tǒng)發(fā)展的趨勢就是數(shù)字化、智能化、網(wǎng)絡(luò)化和人機(jī)交互人性化。同時將更多的IT技術(shù)應(yīng)用到傳統(tǒng)的邏輯控制和數(shù)字控制中。工業(yè)控制系統(tǒng)信息安全技術(shù)未來也將進(jìn)一步借助傳統(tǒng)IT技術(shù),使其更加智能化、網(wǎng)絡(luò)化,成為控制系統(tǒng)的不可缺少的一部分。與傳統(tǒng)IP互聯(lián)網(wǎng)的信息安全產(chǎn)品研發(fā)路線類似,工業(yè)控制系統(tǒng)信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點(diǎn),形成工業(yè)控制系統(tǒng)特色鮮明的安全輸入、安全控制、安全輸出類產(chǎn)品體系。值得指出的是,隨著工業(yè)控制系統(tǒng)信息安全認(rèn)識和相關(guān)技術(shù)的不斷深化,必將產(chǎn)生一系列與工業(yè)控制系統(tǒng)功能安全、現(xiàn)場應(yīng)用環(huán)境緊密聯(lián)系,特色鮮明的工業(yè)控制系統(tǒng)安全防護(hù)工具、設(shè)備及系統(tǒng)。(


[ICS信息安全]加入粉絲群[1]人

贊(1)吐(0)