隨著工業(yè)自動化系統(tǒng)(自動化控制柜)的發(fā)展���,工業(yè)控制系統(tǒng)的信息安全技術也得到了長足的發(fā)展��。目前����,自動化系統(tǒng)的發(fā)展趨勢是數(shù)字化����、智能化、網(wǎng)絡化和人機交互的人性化���。同時�����,更多的IT技術應用于傳統(tǒng)的邏輯控制和數(shù)字控制�。未來,工業(yè)控制系統(tǒng)的信息安全技術將進一步利用傳統(tǒng)的IT技術�����,使其更加智能化���、網(wǎng)絡化�,成為控制系統(tǒng)不可或缺的一部分��。與傳統(tǒng)IP互聯(lián)網(wǎng)相似���,工業(yè)控制系統(tǒng)的信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點���,形成具有工業(yè)控制系統(tǒng)鮮明特色的安全輸入、安全控制和安全輸出產(chǎn)品體系��。
工控安全考慮功能�����、物理和信息安全。
一般來說�,工業(yè)控制系統(tǒng)的安全可以分為三個方面,即功能安全�����、物理安全和信息安全��。
安全是實現(xiàn)設備和工廠的安全功能�����。受保護和受控設備的安全相關部分必須正確執(zhí)行其功能�����,當故障或失效發(fā)生時���,設備或系統(tǒng)必須仍能維持安全條件或進入安全狀態(tài)。
物理安全就是減少觸電�、火災、輻射����、機械危險��、化學危險等因素造成的傷害�。
IEC62443對工業(yè)控制系統(tǒng)信息安全的定義是:“為保護系統(tǒng)而采取的措施�����;通過建立和維護保護系統(tǒng)的措施獲得的系統(tǒng)狀態(tài)��;避免對系統(tǒng)資源的未經(jīng)授權的訪問以及未經(jīng)授權或意外的更改��、破壞或丟失�����;基于計算機系統(tǒng)的能力��,可以保證未授權的人員和系統(tǒng)既不能修改軟件及其數(shù)據(jù)��,也不能訪問系統(tǒng)功能����,但保證授權的人員和系統(tǒng)不被阻塞;防止對工業(yè)控制系統(tǒng)的非法或有害入侵或干擾其正確和有計劃的操作?���!?/span>
這三種安全的定義和內(nèi)涵有很大不同。
功能�,安全完整性等級的概念已經(jīng)使用了近20年。安全規(guī)范要求一個部件或系統(tǒng)的安全性通常用一個單一的數(shù)字表示�,這個數(shù)字是為了保證人員的健康、生產(chǎn)安全和環(huán)境安全�,基于該部件或系統(tǒng)的故障率的保護因子。
物理和防護要素主要由一系列安全生產(chǎn)操作規(guī)范定義�����。政府����、企業(yè)和行業(yè)組織一般通過完整的安全生產(chǎn)操作規(guī)程來約束工業(yè)系統(tǒng)現(xiàn)場操作的標準�����,確保事故的可追溯性��,明確相關人員的責任�����。管理和制度因素是保護人身安全的主要途徑。
工業(yè)控制系統(tǒng)信息安全的評估方法不同于功能安全的評估方法��。雖然它們都保證人的健康����、生產(chǎn)安全或環(huán)境安全,但功能安全使用的安全完整性水平是基于隨機硬件故障的一個組件或系統(tǒng)故障的概率計算的�����,信息安全系統(tǒng)的應用范圍更廣����,可能的原因和后果也更多。影響信息安全的因素非常復雜��,很難用一個簡單的數(shù)字來描述�����。但功能安全的全生命周期安全理念同樣適用于信息安全���,信息安全的管理和維護也必須持續(xù)進行��。
工控安全不同于網(wǎng)絡信息安全��。
工業(yè)系統(tǒng)信息安全與傳統(tǒng)IP信息網(wǎng)絡安全的區(qū)別在于:1 .不同的安全要求�,2。安全補丁與升級機制的區(qū)別�����,3 .實時差異��,4��。安全保護優(yōu)先級的差異��。安全防護技術適應性的差異����。
總的來說��,傳統(tǒng)的IP信息網(wǎng)絡安全已經(jīng)發(fā)展到成熟的技術和設計準則(認證�、訪問控制、信息完整性��、權限分離等)�����。),可以幫助我們預防和應對針對工業(yè)控制系統(tǒng)的攻擊���。然而����,傳統(tǒng)意義上的計算機信息安全研究側(cè)重于信息的保護���,研究人員不會考慮攻擊如何影響評估和控制算法����,以及最終的攻擊如何影響物理世界���。
目前�����,各種現(xiàn)有的信息安全工具可以為控制系統(tǒng)安全提供必要的機制��,但這些單獨的機制不足以進行深度防御控制��。通過深入理解控制系統(tǒng)與真實物理世界的交互過程�,研究人員未來需要開展的工作可能是:
1.更好地理解攻擊的后果:到目前為止,還沒有深入研究攻擊者在獲得對某些控制網(wǎng)絡設備的非授權訪問后會造成的危害�。
2.設計一種全新的攻擊檢測算法:通過理解物理進程的適當控制行為,并基于進程控制命令和傳感器測量���,它可以識別攻擊者是否試圖干擾控制或傳感器數(shù)據(jù)�����。
3.設計新的抗攻擊彈性算法和架構:檢測工業(yè)控制系統(tǒng)的攻擊行為���,及時改變控制命令,增加控制系統(tǒng)的彈性���,減少損失����。
4.設計適合工業(yè)SCADA系統(tǒng)現(xiàn)場設備的身份認證和密碼技術:目前一些成熟��、復雜�、健壯的密碼技術通常無法完成工業(yè)控制系統(tǒng)現(xiàn)場設備中的訪問控制功能。主要原因是過于復雜的密碼機制可能存在在緊急情況下阻礙應急程序快速響應的風險����。自動控制領域的專家普遍認為,相對較弱的密碼機制(如默認密碼�����、固定密碼����、甚至空白密碼等。)在緊急情況下易于猜測和傳播���,因此不會對緊急情況處理程序本身產(chǎn)生額外影響���。
5.開發(fā)硬件兼容性更強的工業(yè)SCADA系統(tǒng)安全防護技術:傳統(tǒng)的IT數(shù)據(jù)網(wǎng)絡安全防護技術如身份認證、認證�����、加密�����、入侵檢測和訪問控制技術一般強調(diào)占用更多的網(wǎng)絡帶寬����、處理器性能和內(nèi)存資源���,但這些資源在工業(yè)控制系統(tǒng)設備中非常有限。工業(yè)控制設備最初的設計目標是完成特定的現(xiàn)場任務��,它們一般是低成本和低處理器效率的設備��。而且一些非常老的處理器(如1978年制造的Intel8088處理器)還在石油�����、供水等能源工業(yè)系統(tǒng)的控制裝置中使用�����。因此���,在不顯著降低工業(yè)現(xiàn)場控制設備的性能的情況下�,很難在這種設備中部署主流的信息安全保護技術��。
6.開發(fā)兼容多種操作系統(tǒng)或軟件平臺的安全防護技術:傳統(tǒng)IT數(shù)據(jù)網(wǎng)絡中的信息安全技術機制主要解決Windows�����、Linux����、Unix等通用操作系統(tǒng)平臺上的信息安全問題。在工業(yè)SCADA系統(tǒng)領域���,現(xiàn)場工業(yè)SCADA系統(tǒng)一般采用設備供應商自主開發(fā)的私有操作系統(tǒng)(有時稱為固件)和專用軟件平臺(如GE的iFix)���。)來完成特定的工業(yè)過程控制功能。因此�����,如何在非通用操作系統(tǒng)和軟件平臺上開發(fā)�����、部署乃至升級信息安全防護技術�,是未來工業(yè)SCADA系統(tǒng)信息安全需要解決的關鍵問題。
建立事前�����、事中����、事后的保護體系����。
工業(yè)控制系統(tǒng)信息安全的內(nèi)涵���、要求和目標特點決定了需要一些特殊的信息安全技術和措施����,可以在工業(yè)生產(chǎn)過程中的IED����、PLC、RTU�、控制器、通信處理器�����、SCADA系統(tǒng)以及各種實用的���、各種類型的可編程數(shù)字設備中使用或配置����,以達到保障工業(yè)控制系統(tǒng)生產(chǎn)、控制和管理的安全功能目標��。所有自動化控制系統(tǒng)中信息安全的基本技術是訪問控制和用戶身份認證�����。在此基礎上����,通過探測�、信道加密、數(shù)據(jù)包驗證和認證等手段���,發(fā)展了一些保護通信數(shù)據(jù)報文安全的技術����。為了在功能安全的前提下實現(xiàn)工控系統(tǒng)的信息安全��,需要構建工控系統(tǒng)信息安全事前�、事中、事后的多方位管理和整體安全防護技術體系�。
1.預防御技術
預防御技術是工業(yè)控制信息安全防護技術體系的重要組成部分。目前有很多成熟的基礎技術可以使用:工業(yè)控制的訪問控制/專用防火墻����、身份認證��、ID設備�、生物認證技術�、安全調(diào)制解調(diào)器、加密技術����、公鑰基礎設施(PKI)、虛擬局域網(wǎng)(VPN)����。
2.過程響應技術
入侵檢測(IDS)技術對于識別內(nèi)部錯誤操作和外部攻擊者試圖獲得內(nèi)部訪問非常有效。它可以檢測和識別內(nèi)部或外部用戶破壞網(wǎng)絡的意圖��。IDS有兩種常見的形式:數(shù)字簽名檢測系統(tǒng)和不規(guī)則檢測系統(tǒng)��。入侵者經(jīng)常攻擊數(shù)字簽名以獲得對系統(tǒng)的訪問權或破壞網(wǎng)絡的完整性����。數(shù)字簽名檢測系統(tǒng)將當前攻擊特征與已知攻擊特征的數(shù)據(jù)庫進行比較,最后根據(jù)選擇的敏感度確定比較結(jié)果���?��!?然后�,根據(jù)比較結(jié)果�,確定攻擊行為的發(fā)生,從而阻止攻擊行為����,并通知系統(tǒng)管理員當前系統(tǒng)正在被攻擊。不規(guī)則檢測技術通過比較正在運行的系統(tǒng)行為與正常系統(tǒng)行為之間的差異���,確定入侵行為的發(fā)生,并向系統(tǒng)管理員發(fā)出警報�����。例如�����,IDS可以檢測系統(tǒng)在午夜的異?�;顒踊虼罅客獠烤W(wǎng)絡訪問I/O端口等�。當異常活動發(fā)生時�,IDS可以阻止攻擊并向系統(tǒng)管理員發(fā)出警報。
以上兩種IDS系統(tǒng)各有利弊,但都有一個相同的問題——如何設置檢測靈敏度�。高靈敏度會造成誤入侵報警,IDS會對每個入侵報警做出相應的系統(tǒng)動作�。因此,過多的虛假入侵報警不僅會破壞正常系統(tǒng)的一些必要功能�����,還會給系統(tǒng)造成很多額外的負擔�����。而低敏感度會使IDS無法檢測到一些入侵行為�����,所以IDS會對一些入侵行為視而不見����,從而使入侵者成功進入系統(tǒng),造成意想不到的損失����。
3.事后取證技術。
審計日志機制是記錄合法和非法用戶的認證信息和其他特征信息的文件�,是工控系統(tǒng)信息安全的主要事后取證技術之一���。因此,需要記錄對系統(tǒng)的每次訪問及其相關操作�����。在診斷和審計網(wǎng)絡電子入侵是否發(fā)生時�,審計日志是必不可少的判斷標準之一。此外��,系統(tǒng)行為記錄也是工業(yè)SCADA系統(tǒng)信息安全的常用技術�����。
這些是工業(yè)控制系統(tǒng)信息安全中的一些常見和常規(guī)的技術��,而在實現(xiàn)工業(yè)控制系統(tǒng)信息安全中又有一些特殊的關鍵技術����。
