1 引言

    工業(yè)控制系統一般是指監測和控制物理對象的計算機系統，它們是深度嵌入了信息和通信技術(shù)的信息物理融合系統，工業(yè)控制系統在國民經(jīng)濟和人民日常生活中發(fā)揮著(zhù)重要作用，是國家關(guān)鍵基礎設施和國民經(jīng)濟各行各業(yè)的自動(dòng)化裝備的大腦和中樞神經(jīng)。隨著(zhù)物聯(lián)網(wǎng)的普及和兩化融合的推進(jìn)，將IT信息安全的風(fēng)險延伸到工業(yè)控制系統。近年來(lái)由網(wǎng)絡(luò )攻擊引起的工業(yè)控制系統安全事故頻發(fā)，并且呈逐年增加的趨勢，工業(yè)控制系統信息安全的嚴峻形勢引起了社會(huì )的高度關(guān)注。

    2　工業(yè)控制系統信息安全特點(diǎn)

    工業(yè)控制系統是一個(gè)生產(chǎn)運行系統，其系統結構、功能相對固定，具有較長(cháng)生命周期，這決定了工業(yè)控制系統與傳統的IT系統信息安全的諸多不同。

    2.1　工業(yè)控制系統信息安全的內容

    工業(yè)控制系統信息安全的內容包括：信息自身的安全、信息利用的安全和系統的自身安全三個(gè)層次，即包含數據安全、內容安全、系統運行安全和物理安全四個(gè)安全層面。數據安全是指對信息在數據處理、存儲、傳輸、顯示等過(guò)程中的保護，主要的保護方式有加密、數字簽名、完整性檢查、認證防抵賴(lài)等；內容安全是指對信息真實(shí)內容的隱藏、發(fā)現、選擇性阻擋等，主要的處置手段是信息識別與挖掘技術(shù)、過(guò)濾技術(shù)、隱藏技術(shù)等；系統運行安全是指對工業(yè)控制系統運行過(guò)程和運行狀態(tài)的保護，主要涉及控制系統的可控性和可用性等，主要的保護方式是漏洞掃描、入侵檢測、態(tài)勢感知及風(fēng)險評估、應急入侵反應等；物理安全是指系統設備、人和環(huán)境的保護，主要的保護方式是采取物理隔離和安全儀表系統等。

    對于工業(yè)控制系統這樣一類(lèi)信息物理融合系統，其信息安全的研究?jì)热菔窃陉P(guān)注數據安全和內容安全的前提下，更注重入侵攻擊下的系統運行安全和物理安全的研究。

    2.2　工業(yè)控制系統信息安全的屬性

    被稱(chēng)為信息安全金三角(CIA)的框架模型，包括機密性、完整性和可用性三個(gè)核心屬性。但工業(yè)控制系統的工作和運行特點(diǎn)（24/7/365）決定了工業(yè)控制系統信息安全防護研究需要將信息的實(shí)時(shí)可用性、系統和信息的完整性置于比信息機密性更高的優(yōu)先級。工業(yè)控制系統是一個(gè)實(shí)時(shí)的生產(chǎn)運行系統，不能接受突然停機帶來(lái)的損失，這也決定了頻繁、主動(dòng)的離線(xiàn)升級，修補軟件（含信息安全涉及的軟件模塊，如訪(fǎng)問(wèn)控制、入侵檢測、入侵反應等）漏洞方案不適合工業(yè)控制系統。

    2.3　信息安全風(fēng)險管理的要求

    基于風(fēng)險的信息安全管理和控制已被業(yè)界所接受，而工業(yè)控制系統在受到入侵攻擊時(shí)，會(huì )對物理系統，人員、環(huán)境產(chǎn)生安全風(fēng)險，因此，工業(yè)控制系統信息安全風(fēng)險主要來(lái)自可用性受到威脅而導致的生命、財產(chǎn)以及環(huán)境的損失。在這當中，將人的保護置于最高優(yōu)先級，其次是控制過(guò)程相關(guān)的設備和環(huán)境及生產(chǎn)的保護。并且工業(yè)控制系統的風(fēng)險評估需要將不同維度的風(fēng)險因素統一尺度量化，如環(huán)境的影響、生命的損失、設備及產(chǎn)品的損失等。

    工業(yè)控制系統信息安全風(fēng)險管理很重要的一個(gè)特點(diǎn)是需將動(dòng)態(tài)風(fēng)險管理置于更加重要的位置，以適應這種具有較長(cháng)生命周期的實(shí)時(shí)生產(chǎn)運行系統的控制與管理。

    3　工業(yè)控制系統信息安全防護存在的問(wèn)題

    工業(yè)控制系統信息安全防護近年來(lái)引起社會(huì )和政府的高度關(guān)注，在各界同仁的共同努力下，取得了一些共識和成績(jì)，但目前還存在以下一些突出問(wèn)題。

    3.1　沒(méi)有從系統整體和全局進(jìn)行安全防護

    目前的工業(yè)控制系統信息安全防護大多是從系統或網(wǎng)絡(luò )的局部或某一個(gè)環(huán)節的安全問(wèn)題展開(kāi)研究，針對某一方面或某一個(gè)層次的安全問(wèn)題提出的解決方案，不能從整體和根本上解決工業(yè)控制系統信息安全問(wèn)題。這體現在系統信息安全防護全生命周期的各個(gè)階段：

    （1）在運行系統沒(méi)有考慮信息安全的要求，新的系統很少考慮信息安全的要求，所以這些系統從一開(kāi)始就很難協(xié)調生產(chǎn)運行系統的生產(chǎn)運行要求、可靠性要求以及信息安全要求。

    （2）目前的研究多是針對系統的局部（如網(wǎng)絡(luò )、應用層協(xié)議、控制對象等），或從各自的領(lǐng)域（軟件工程、控制工程或通信工程）進(jìn)行的，但工業(yè)控制系統是一個(gè)涉及多領(lǐng)域的復雜系統，系統的各領(lǐng)域視角之間是相互耦合的。工業(yè)控制系統的入侵檢測必須基于工業(yè)控制系統各領(lǐng)域知識及領(lǐng)域間耦合關(guān)系構建系統的模型知識，展開(kāi)多源異常入侵檢測，并在此基礎上根據系統多源異常數據進(jìn)行攻擊辨識。

    （3）目前的入侵反應安全策略決策，多數是根據系統的某一個(gè)方面或某一環(huán)節進(jìn)行決策，沒(méi)有考慮系統的整體和信息安全防護的全過(guò)程。工業(yè)控制系統屬于生產(chǎn)運行系統，其信息安全問(wèn)題涉及到安全（信息安全、功能安全）、品質(zhì)、效率、成本（運行成本、維護成本）等多方因素，現在的入侵反應系統基本上沒(méi)有考慮這些因素的協(xié)調和控制。

    3.2　以被動(dòng)防御為主，缺乏主動(dòng)防御

    現在的工業(yè)控制系統信息安全防護主要是以被動(dòng)防御為主，更新系統和安裝補丁是主流的被動(dòng)防御手段，但是工業(yè)控制系統作為一個(gè)24/7/365實(shí)時(shí)連續運行系統，不能經(jīng)常更新系統、安裝補丁或者更新病毒庫，這就導致了工業(yè)控制系統存在大量漏洞，極容易被攻擊者利用實(shí)施攻擊。

    入侵檢測結合響應系統是工業(yè)控制系統運行安全防護的一個(gè)有效手段，但對于工業(yè)控制系統這種強實(shí)時(shí)信息物理融合系統，一旦檢測到入侵，不管是采取報警手動(dòng)干預，還是采取半自動(dòng)的入侵反應系統，都屬于事后決策，此時(shí)入侵攻擊可能已經(jīng)對工業(yè)控制系統造成了不可挽回的損失。

    被動(dòng)防御的主要特點(diǎn)是“亡羊補牢，消缺補漏”，如果發(fā)生入侵攻擊，會(huì )嚴重威脅系統的可用性，對于工業(yè)控制系統來(lái)說(shuō)可能產(chǎn)生人員傷亡、環(huán)境污染等嚴重損失，工業(yè)控制系統因其對可靠性的苛刻要求，其信息安全更需要“未雨綢繆，防患于未然”的主動(dòng)防御，將入侵攻擊扼殺于萌芽中。

    3.3　缺乏對系統運行安全的防護

    傳統的 IT 系統的信息安全防護，重點(diǎn)關(guān)注的是數據安全和內容安全，所以常見(jiàn)的方法是在阻止和隔離的基礎上進(jìn)行數據的加密和解密、訪(fǎng)問(wèn)控制等措施。但工業(yè)控制系統的特點(diǎn)要求信息安全要重點(diǎn)關(guān)注系統的運行安全，即控制系統運行過(guò)程中入侵攻擊導致的功能失效而引起的功能安全問(wèn)題，這也決定了工業(yè)控制系統信息安全防護將可用性置于最高的優(yōu)先級，但是目前工業(yè)控制系統信息安全對運行安全的防護十分單薄，缺乏和忽視工業(yè)控制系統遭到網(wǎng)絡(luò )攻擊時(shí)的系統運行安全防護，而且工業(yè)控制系統的工作和運行特點(diǎn)決定了其信息安全防護的各個(gè)環(huán)節必須具有自組織等自治能力，其信息安全防護必須具有整體聯(lián)動(dòng)、全局防御的能力。

    4　工業(yè)控制系統信息安全防護對策分析

    工業(yè)控制系統信息安全是一個(gè)復雜的系統工程，貫穿控制系統的整個(gè)生命周期，涉足到技術(shù)、管理、培訓等諸多環(huán)節，工業(yè)控制系統的信息安全防護必須從系統和全局的角度，來(lái)平衡各方面的需求，協(xié)調多目標之間的控制，而且還必須具有對應用對象和動(dòng)態(tài)環(huán)境的自適應能力和運行過(guò)程中的自組織管理能力。

    目前，工業(yè)控制系統信息安全首先是加強培訓，增加各類(lèi)相關(guān)人員的信息安全意識，其次加強信息安全技術(shù)管理。對于目前的信息安全防護，以下技術(shù)手段（安全對策）值得關(guān)注。

    4.1　將信息安全作為控制系統非功能性要求

    信息安全作為現代工業(yè)控制系統必備的要求之一，信息安全防護的需求直接決定了系統信息安全的目標，同時(shí)工業(yè)控制系統還需完成滿(mǎn)足系統運行的功能要求以及可靠性和功能安全方面的非功能性要求等其它目標，而且這些需求和目標在一定的成本控制下往往又是對立和矛盾的。因此要協(xié)調這些需求和目標之間的矛盾，從系統的需求階段，就必須將信息安全作為控制系統的非功能性需求，并且經(jīng)過(guò)平衡系統的各種需求和目標，來(lái)確定系統的信息安全需求具體內容。

    4.2　利用成本收益方法，平衡設計階段各方面的需求

    鑒于入侵攻擊的智能性，簡(jiǎn)單的防御對于當前越來(lái)越智能的入侵攻擊作用甚微，現代的信息安全防護采用縱深防御的多層防護體系，在阻止隔離的基礎上，充分發(fā)揮軟件的作用，運用容忍入侵技術(shù)實(shí)現系統的信息安全目標。如在實(shí)際中實(shí)施的安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離和縱向認證得到了很好的應用效果。但由于絕大多數工業(yè)控制系統對投資成本的敏感性，如何利用有限的投資，發(fā)揮最大的防御作用，是在系統設計階段，面臨的一個(gè)棘手問(wèn)題。

    對系統進(jìn)行靜態(tài)風(fēng)險評估，采用成本收益量化的方法，優(yōu)化設計方案，是一個(gè)切實(shí)可行的方法，它可以取得控制系統各方面需求的最優(yōu)平衡點(diǎn)，進(jìn)而尋求全局的最優(yōu)方案。

    4.3 開(kāi)發(fā)適合工業(yè)控制系統的入侵檢測系統

    檢測系統在信息安全的防護中起著(zhù)舉足輕重的作用，它對網(wǎng)絡(luò )傳輸和系統運行過(guò)程中的入侵行為進(jìn)行實(shí)時(shí)監視，在發(fā)現可疑時(shí)發(fā)出警報或者觸發(fā)入侵反應系統采取反應措施。工業(yè)控制系統因為其與傳統 IT 系統的區別，系統的功能和結構相對固定，通信協(xié)議固定而有限，這使得開(kāi)發(fā)符合工業(yè)控制系統特點(diǎn)的入侵檢測成為可能，尤其可以克服IT系統中基于異常行為的入侵檢測系統的誤報率高的缺點(diǎn)。

    基于工業(yè)控制系統的多個(gè)視角（網(wǎng)絡(luò )、系統實(shí)現、控制對象）進(jìn)行入侵檢測，將基于網(wǎng)絡(luò )模型、控制系統的實(shí)現模型、對象的機理模型和對象的結構模型的入侵檢測結果進(jìn)行信息融合和入侵攻擊辨識，這種深度融合工業(yè)控制系統特點(diǎn)的入侵檢測系統將極大地提高入侵檢測的準確率。

    4.4　重視入侵響應系統的開(kāi)發(fā)和研究

    入侵檢測系統在系統的信息安全中發(fā)揮了較大作用，但對網(wǎng)絡(luò )和系統的保護能力有限，因為它的作用僅限于發(fā)現入侵行為和記錄入侵行為便于事后追查，而不能及時(shí)地阻止入侵行為，消除入侵造成的危害。目前入侵檢測系統在發(fā)現入侵行為后通常需要管理員進(jìn)行人工干預和響應，而且如何響應，完全取決于人的相關(guān)知識和技能，因此入侵響應系統的研究顯得越來(lái)越重要。它與入侵檢測系統的結合使用能夠更大程度地保護網(wǎng)絡(luò )和系統的安全。

    工業(yè)控制系統的入侵響應系統是在入侵檢測的基礎上，進(jìn)行在線(xiàn)態(tài)勢感知和風(fēng)險評估，輔助人工進(jìn)行安全決策，或者為在線(xiàn)自動(dòng)安全策略決策組件提供當前的安全狀態(tài)及相關(guān)信息，自動(dòng)進(jìn)行在線(xiàn)安全決策，及時(shí)阻止入侵行為，屏蔽入侵造成的危害。入侵響應系統是系統對入侵后的自組織管理和容忍入侵的核心組件。隨著(zhù)控制系統的發(fā)展，入侵響應系統在信息安全防護中的作用顯得越來(lái)越重要。

    5　結語(yǔ)

    工業(yè)控制系統是一個(gè)典型的深度嵌入了信息和通信技術(shù)的信息物理融合系統，其功能、結構和運行特點(diǎn)，決定了其信息安全防護與傳統IT系統的差異性。工業(yè)控制系統信息安全防護在關(guān)注數據安全和內容安全的前提下，更注重入侵攻擊下的系統運行安全和物理安全的研究，它是一個(gè)復雜的系統工程，貫穿控制系統的整個(gè)生命周期，涉足到技術(shù)、管理、培訓等諸多環(huán)節，它必須從系統和全局的角度，來(lái)平衡各方面的需求，協(xié)調系統的多個(gè)目標之間的控制。

    作者簡(jiǎn)介

    周純杰（1965-），男，博士，現為華中科技大學(xué)自動(dòng)化學(xué)院教授、博士生導師。目前主要研究方向為工業(yè)控制系統信息安全、工業(yè)通信及智能系統、安全網(wǎng)絡(luò )化控制系統、模式識別及智能控制。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊