來(lái)源：賽迪網(wǎng)-中國電子報

    工業(yè)控制系統信息安全技術(shù)的發(fā)展隨著(zhù)工業(yè)自動(dòng)化系統的發(fā)展而不斷演化。目前自動(dòng)化系統發(fā)展的趨勢就是數字化、智能化、網(wǎng)絡(luò )化和人機交互人性化，同時(shí)將更多的IT技術(shù)應用到傳統的邏輯控制和數字控制中。工業(yè)控制系統信息安全技術(shù)未來(lái)也將進(jìn)一步借助傳統IT技術(shù)，使其更加智能化、網(wǎng)絡(luò )化，成為控制系統不可缺少的一部分。與傳統IP互聯(lián)網(wǎng)的信息安全產(chǎn)品研發(fā)路線(xiàn)類(lèi)似，工業(yè)控制系統信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點(diǎn)，形成工業(yè)控制系統特色鮮明的安全輸入、安全控制、安全輸出類(lèi)產(chǎn)品體系。

    工控安全兼顧功能、物理和信息安全

    通常情況下，工業(yè)控制系統安全可以分成三個(gè)方面，即功能安全、物理安全和信息安全。

    功能安全是為了達到設備和工廠(chǎng)安全功能，受保護的、和控制設備的安全相關(guān)部分必須正確執行其功能，而且當失效或故障發(fā)生時(shí)，設備或系統必須仍能保持安全條件或進(jìn)入到安全狀態(tài)。

    物理安全是減少由于電擊、火災、輻射、機械危險、化學(xué)危險等因素造成的危害。

    在IEC62443中針對工業(yè)控制系統信息安全的定義是：“保護系統所采取的措施;由建立和維護保護系統的措施所得到的系統狀態(tài);能夠免于對系統資源的非授權訪(fǎng)問(wèn)和非授權或意外的變更、破壞或者損失;基于計算機系統的能力，能夠保證非授權人員和系統既無(wú)法修改軟件及其數據，也無(wú)法訪(fǎng)問(wèn)系統功能，卻保證授權人員和系統不被阻止;防止對工業(yè)控制系統的非法或有害入侵，或者干擾其正確和計劃的操作。”

    三種安全在定義和內涵上有很大的差別。

    功能安全，使用安全完整性等級的概念已有近20年。功能安全規范要求通常將一個(gè)部件或系統的安全表示為單個(gè)數字，而這個(gè)數字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統失效率的保護因子。

    物理安全，保護要素主要由一系列安全生產(chǎn)操作規范定義。政府、企業(yè)及行業(yè)組織等一般通過(guò)完備的安全生產(chǎn)操作流程約束工業(yè)系統現場(chǎng)操作的標準性，確保事故的可追溯性，并可以明確有關(guān)人員的責任，管理和制度因素是保護物理安全的主要方式。

    工業(yè)控制系統信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全，但是功能安全使用安全完整性等級是基于隨機硬件失效的一個(gè)部件或系統失效的可能性計算得出的，而信息安全系統有著(zhù)更為廣闊的應用，以及更多可能的誘因和后果。影響信息安全的因數非常復雜，很難用一個(gè)簡(jiǎn)單的數字描述出來(lái)。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護也必須是周而復始不斷進(jìn)行的。

    工控安全與網(wǎng)絡(luò )信息安全有別

    工業(yè)控制系統信息安全與傳統的IP信息網(wǎng)絡(luò )安全的區別在于：1.安全需求不同，2.安全補丁與升級機制存在的區別，3.實(shí)時(shí)性方面的差異，4.安全保護優(yōu)先級方面的差異，5.安全防護技術(shù)適應性方面的差異。

    總體來(lái)說(shuō)，傳統IP信息網(wǎng)絡(luò )安全已經(jīng)發(fā)展到較為成熟的技術(shù)和設計準則(認證、訪(fǎng)問(wèn)控制、信息完整性、特權分離等)，這些能夠幫助我們阻止和響應針對工業(yè)控制系統的攻擊。然而，傳統意義上講，計算機信息安全研究關(guān)注于信息的保護，研究人員是不會(huì )考慮攻擊如何影響評估和控制算法以及最終攻擊是如何影響物理世界的。

    當前已有的各種信息安全工具，能夠對控制系統安全給予必要機制，這些單獨的機制對于深度防護控制并不夠，通過(guò)深入理解控制系統與真實(shí)物理世界的交互過(guò)程，研究人員在未來(lái)需要開(kāi)展的工作可能是：

    1.更好地理解攻擊的后果：到目前為止，還沒(méi)有深入研究攻擊者獲得非授權訪(fǎng)問(wèn)一些控制網(wǎng)絡(luò )設備后將造成的危害。

    2.設計全新的攻擊檢測算法：通過(guò)理解物理過(guò)程應有的控制行為，并基于過(guò)程控制命令和傳感器測量，能夠識別攻擊者是否試圖干擾控制或傳感器的數據。

    3.設計新的抗攻擊彈性算法和架構：檢測到一個(gè)工業(yè)控制系統攻擊行為，能夠適時(shí)改變控制命令，用于增加控制系統的彈性，減少損失。

    4.設計適合工業(yè)SCADA系統現場(chǎng)設備的身份認證與密碼技術(shù)：目前一些成熟的、復雜的、健壯的密碼技術(shù)通常不能在工業(yè)控制系統的現場(chǎng)設備中完成訪(fǎng)問(wèn)控制功能，主要原因在于過(guò)于復雜的密碼機制可能存在著(zhù)在緊急情況下妨礙應急處理程序快速響應的風(fēng)險。工業(yè)自動(dòng)控制領(lǐng)域的專(zhuān)家一般認為相對較弱的密碼機制(如缺省密碼、固定密碼，甚至空口令等)，比較容易在緊急情況下進(jìn)行猜測、傳送等，進(jìn)而不會(huì )對應急處理程序本身產(chǎn)生額外影響。

    5.開(kāi)發(fā)硬件兼容能力更強的工業(yè)SCADA系統安全防護技術(shù)：傳統IT數據網(wǎng)絡(luò )中安全防護能力較強的技術(shù)如身份認證、鑒別、加密、入侵檢測和訪(fǎng)問(wèn)控制技術(shù)等普遍強調占用更多的網(wǎng)絡(luò )帶寬、處理器性能和內存資源，而這些資源在工業(yè)控制系統設備中十分有限，工業(yè)控制設備最初的設計目標是完成特定現場(chǎng)作業(yè)任務(wù)，它們一般是低成本、低處理器效能的設備。而且，在石油、供水等能源工業(yè)系統控制裝置中仍然在使用一些很陳舊的處理器(如1978年出廠(chǎng)的Intel8088處理器)。因此，在這類(lèi)裝置中部署主流的信息安全防護技術(shù)而又不顯著(zhù)降低工業(yè)現場(chǎng)控制裝置的性能具有一定難度。

    6.研制兼容多種操作系統或軟件平臺的安全防護技術(shù)：傳統IT數據網(wǎng)絡(luò )中的信息安全技術(shù)機制，主要解決Windows、Linux、Unix等通用型操作系統平臺上的信息安全問(wèn)題。而在工業(yè)SCADA系統領(lǐng)域，現場(chǎng)工業(yè)SCADA系統裝置一般使用設備供應商(ABB、西門(mén)子、霍尼韋爾等)獨立研發(fā)的、非公開(kāi)的操作系統(有時(shí)稱(chēng)為固件)、專(zhuān)用軟件平臺(如GE的iFix等)完成特定的工業(yè)過(guò)程控制功能。因此，如何在非通用操作系統及軟件平臺上開(kāi)發(fā)、部署甚至升級信息安全防護技術(shù)，是工業(yè)SCADA系統信息安全未來(lái)需要重點(diǎn)解決的問(wèn)題。

    建立事前事中事后防護系統

    工業(yè)控制系統信息安全內涵、需求和目標特性，決定了需要一些特殊的信息安全技術(shù)、措施，在工業(yè)生產(chǎn)過(guò)程中的IED、PLC、RTU、控制器、通信處理機、SCADA系統和各種實(shí)際的、各種類(lèi)型的可編程數字化設備中使用或配置，達到保障工業(yè)控制系統生產(chǎn)、控制與管理的安全功能目標。所有自動(dòng)控制系統信息安全的基礎技術(shù)是訪(fǎng)問(wèn)控制和用戶(hù)身份認證，在此基礎上發(fā)展了一些通過(guò)探針、信道加密、數據包核查和認證等手段保護通信數據報文安全的技術(shù)。為實(shí)現功能安全前提下的工業(yè)控制系統信息安全，需要構筑工業(yè)控制系統信息安全事前、事中和事后的全面管理、整體安全的防護技術(shù)體系。

    1.事前防御技術(shù)

    事前防御技術(shù)是工業(yè)控制信息安全防護技術(shù)體系中較為重要的部分，目前有很多成熟的基礎技術(shù)可以利用：訪(fǎng)問(wèn)控制/工業(yè)控制專(zhuān)用防火墻、身份認證、ID設備、基于生物特征的鑒別技術(shù)、安全的調制解調器、加密技術(shù)、公共密鑰基礎設施(PKI)、虛擬局域網(wǎng)(VPN)。

    2.事中響應技術(shù)

    入侵檢測(IDS)技術(shù)對于識別內部的錯誤操作和外部攻擊者嘗試獲得內部訪(fǎng)問(wèn)權限的攻擊行為是非常有效的。它能夠檢測和識別出內部或外部用戶(hù)破壞網(wǎng)絡(luò )的意圖。IDS有兩種常見(jiàn)的形式：數字簽名檢測系統和不規則檢測系統。入侵者常常通過(guò)攻擊數字簽名，從而獲得進(jìn)入系統的權限或破壞網(wǎng)絡(luò )的完整性。數字簽名檢測系統通過(guò)將現在的攻擊特性與已知攻擊特性數據庫進(jìn)行比對，根據選擇的靈敏程度，最終確定比對結果。然后，根據比對結果，確定攻擊行為的發(fā)生，從而阻斷攻擊行為并且通報系統管理員當前系統正在遭受攻擊。不規則檢測技術(shù)通過(guò)對比正在運行的系統行為和正常系統行為之間的差異，確定入侵行為的發(fā)生且向系統管理員報警。例如，IDS能夠檢測在午夜時(shí)分系統不正常的活躍性或者外部網(wǎng)絡(luò )大量訪(fǎng)問(wèn)某I/O端口等。當不正常的活動(dòng)發(fā)生時(shí)，IDS能夠阻斷攻擊并且提醒系統管理員。

    以上兩種IDS系統都有其優(yōu)點(diǎn)和缺點(diǎn)，但是，它們都有一個(gè)相同的問(wèn)題——如何設置檢測靈敏度。高靈敏度會(huì )造成錯誤的入侵報警，IDS會(huì )對每個(gè)入侵警報作相應的系統動(dòng)作，因此，過(guò)多的錯誤入侵警報，不僅會(huì )破壞正常系統的某些必須的功能，而且還會(huì )對系統造成大量額外的負擔。而低靈敏度會(huì )使IDS不能檢測到某些入侵行為的發(fā)生，因此IDS會(huì )對一些入侵行為視而不見(jiàn)，從而使入侵者成功進(jìn)入系統，造成不可預期的損失。

    3.事后取證技術(shù)

    審計日志機制是對合法的和非合法的用戶(hù)的認證信息和其他特征信息進(jìn)行記錄的文件，是工業(yè)控制系統信息安全主要的事后取證技術(shù)之一。因此，每個(gè)對系統的訪(fǎng)問(wèn)及其相關(guān)操作均需要記錄在案。當診斷和審核網(wǎng)絡(luò )電子入侵是否發(fā)生時(shí)，審計日記是必不可少的判斷標準之一。此外，系統行為記錄也是工業(yè)SCADA系統信息安全的常用技術(shù)。

    這些是在工業(yè)控制系統信息安全中一些常用的、常規性技術(shù)，而在工業(yè)控制系統信息安全實(shí)施過(guò)程中，還有一些特別的關(guān)鍵技術(shù)。

    （作者系中國電子科技集團公司信息安全首席專(zhuān)家、第三十研究所副總工程師 饒志宏）