1　引言

由于工業(yè)控制系統安全事故頻發(fā)及逐年上升，工業(yè)控制系統信息安全的嚴峻形勢引起了國內外的高度關(guān)注。工業(yè)控制系統信息安全涉及石油、化工、電力、核設施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)，直接關(guān)系到國家關(guān)鍵基礎設施和國民經(jīng)濟，因此，工業(yè)控制系統信息安全已經(jīng)上升至國家層面，是國家網(wǎng)絡(luò )安全的重要組成部分。

工業(yè)控制系統信息安技術(shù)，作為工業(yè)控制系統信息安全的重中之重，正吸引著(zhù)全球工業(yè)控制系統產(chǎn)品制造商、用戶(hù)、工程公司、相關(guān)職能部門(mén)的目光。積極探求現有的工業(yè)控制系統信息安技術(shù)，努力開(kāi)發(fā)新的工業(yè)控制系統信息安全技術(shù)，必然成為大勢所趨。理解和掌握這些工業(yè)控制系統信息安全技術(shù)，才能為工業(yè)控制系統信息安全提供有效的解決方案。

2　現有的工業(yè)控制系統信息安全技術(shù)

現有的工業(yè)控制系統信息安全技術(shù)有多種，包括鑒別與授權技術(shù)，過(guò)濾、阻止、訪(fǎng)問(wèn)控制技術(shù)，編碼技術(shù)與數據確認技術(shù)，管理、審計、測量、監控和檢測技術(shù)，物理安全控制技術(shù)等。

2.1　鑒別與授權技術(shù)

鑒別與授權，是工業(yè)控制系統訪(fǎng)問(wèn)控制的最基本要求。鑒別，用于驗證用戶(hù)所聲稱(chēng)的身份，驗證用戶(hù)身份的過(guò)程或裝置，通常是允許進(jìn)行信息系統資源訪(fǎng)問(wèn)的先決條件。授權，是批準進(jìn)入系統訪(fǎng)問(wèn)系統資源的權利或允許。

鑒別與授權技術(shù)包括基于角色的授權工具、口令鑒別、物理/令牌鑒別、智能卡鑒別、生物鑒別、基于位置的鑒別、設備至設備的鑒別等。

（1）基于角色的授權工具

根據工業(yè)控制系統用戶(hù)的角色或職責，分配不同的訪(fǎng)問(wèn)權限，如操作人員權限、維護人員權限、管理人員權限、工程人員權限等。

目前的工業(yè)控制系統均配置這種基于角色的授權工具。

（2）口令鑒別

口令鑒別是工業(yè)控制系統最簡(jiǎn)單、最常用的鑒別技術(shù)。

在工業(yè)控制系統中，口令能夠用于限制授權用戶(hù)請求的服務(wù)和功能。

（3）物理/令牌鑒別

物理/令牌鑒別與口令鑒別相似，只是用戶(hù)在請求訪(fǎng)問(wèn)時(shí)必須有安全令牌或智能卡。

（4）智能卡鑒別

智能卡鑒別與令牌鑒別相似，只是它能提供更多的功能。

（5）生物鑒別

生物鑒別通過(guò)請求用戶(hù)獨特的生物特征來(lái)確定真實(shí)性。

常用的生物鑒別有指紋儀、掌形儀、眼睛識別、面部識別、聲音識別等。

（6） 基于位置的鑒別

基于位置的鑒別技術(shù)是通過(guò)設備或請求訪(fǎng)問(wèn)用戶(hù)的空間位置來(lái)確定真實(shí)性。

這種鑒別技術(shù)通常要求系統配有GPS技術(shù)，因此，目前這種技術(shù)應用較少見(jiàn)。

（7） 設備至設備的鑒別

設備至設備的鑒別確保在兩個(gè)設備之間數據傳送發(fā)生的惡意改變能得到識別。

這種鑒別技術(shù)通常與編碼技術(shù)一起部署。

2.2　過(guò)濾、阻止、訪(fǎng)問(wèn)控制技術(shù)

訪(fǎng)問(wèn)控制技術(shù)是過(guò)濾和阻止技術(shù)，用于指導和調節已授權的設備或系統的信息流量。

過(guò)濾、阻止、訪(fǎng)問(wèn)控制技術(shù)包括工業(yè)防火墻技術(shù)、基于主機的防火墻技術(shù)、虛擬網(wǎng)絡(luò )技術(shù)等。

（1）工業(yè)防火墻技術(shù)

工業(yè)防火墻是工業(yè)控制系統信息安全必須配置的設備。工業(yè)防火墻技術(shù)是工業(yè)控制系統信息安全技術(shù)的基礎。

工業(yè)控制系統防火墻技術(shù)可以實(shí)現區域管控，劃分控制系統安全區域，對安全區域實(shí)現隔離保護，保護合法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )資源；同時(shí)，可以對控制協(xié)議進(jìn)行深度解析，解析Modbus、DNP3等應用層異常數據流量，并對OPC端口進(jìn)行動(dòng)態(tài)追蹤，對關(guān)鍵寄存器和操作進(jìn)行保護。

工業(yè)防火墻技術(shù)包括數據包過(guò)濾技術(shù)、狀態(tài)包檢測技術(shù)和代理服務(wù)技術(shù)。

數據包過(guò)濾防火墻適用于工業(yè)控制，早期市場(chǎng)中已普遍使用，但其缺陷也慢慢顯現出來(lái)。

狀態(tài)包檢測防火墻適用于工業(yè)控制，在目前市場(chǎng)中正在推廣應用，其優(yōu)越性也開(kāi)始顯現。

代理服務(wù)網(wǎng)關(guān)防火墻不太適用于工業(yè)控制，但也有不計較延時(shí)情況的應用。

（2）基于主機的防火墻技術(shù)

基于主機的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案，用于控制進(jìn)出特定設備的流量。

這種基于主機的防火墻技術(shù)具有與工業(yè)防火墻類(lèi)似的能力，包括狀態(tài)包檢測。目前這種技術(shù)偶爾用于非關(guān)鍵的工作站。

（3）虛擬網(wǎng)絡(luò )技術(shù)

虛擬局域網(wǎng)將物理網(wǎng)絡(luò )分成幾個(gè)更小的邏輯網(wǎng)絡(luò )，以增加性能、提高可管理性、以及簡(jiǎn)化網(wǎng)絡(luò )設計。

這種技術(shù)在控制系統中運用較多。

2.3　編碼技術(shù)與數據確認技術(shù)

編碼技術(shù)是為了確保信息僅對授權訪(fǎng)問(wèn)的信息數據的編碼與解碼的過(guò)程。數據確認技術(shù)可以保護用于工業(yè)過(guò)程的信息的準確性和完整性。

編碼技術(shù)與數據確認技術(shù)包括對稱(chēng)密鑰編碼技術(shù)、公鑰編碼與密鑰分配技術(shù)、虛擬專(zhuān)用網(wǎng)絡(luò )技術(shù)等。

（1）對稱(chēng)密鑰編碼技術(shù)

對稱(chēng)密鑰編碼需要將明碼文本轉換成密碼文本，且在加密和解密均用同一把密鑰。

目前常見(jiàn)的對稱(chēng)密鑰算法有三重數據加密標準(3DES)和高級加密標準(AES)。AES常見(jiàn)的有AES12、AES192或AES256。

（2）公鑰編碼與密鑰分配技術(shù)

與對稱(chēng)密鑰編碼不同的是，公鑰編碼使用一對不同而有關(guān)聯(lián)的密鑰（也稱(chēng)公私鑰對）。

這類(lèi)公鑰鑒別通常部署在傳輸層安全（如SSL）、虛擬公網(wǎng)技術(shù)（如IPsec）等。

（3） 虛擬專(zhuān)用網(wǎng)絡(luò )技術(shù)

虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)是一種采用加密、認證等安全機制，在公共網(wǎng)絡(luò )基礎設施上建立安全、獨占、自治的邏輯網(wǎng)絡(luò )技術(shù)。它不僅可以保護網(wǎng)絡(luò )的邊界安全，同時(shí)也是一種網(wǎng)絡(luò )互連的方式。

目前，SSL VPN已廣泛應用于控制系統。

2.4　管理、審計、測量、監控和檢測技術(shù)

審計、監控和檢測技術(shù)提供分析信息安全漏洞、檢測可能損害、以及辯證分析損害事件的能力。

管理、審計、測量、監控和檢測技術(shù)包括日志審核工具、病毒與惡意代碼檢測系統、入侵檢測與入侵防護技術(shù)、漏洞掃描技術(shù)、辯論與分析工具。

（1）日志審核工具

日志審核工具是為系統管理員管理系統日志的工具，能夠發(fā)現并記錄信息安全事件發(fā)生的跡象、文件以及攻擊入口等。

目前市場(chǎng)上也出現一些日志審核工具，如大多數操作系統都有維修日志文件等。

（2）病毒與惡意代碼檢測系統

病毒與惡意代碼檢測系統是一種主動(dòng)檢測非正?；顒?dòng)的代理機制。

病毒與惡意代碼檢測系統通常部署在工作站、服務(wù)器和邊界。

（3）入侵檢測與入侵防護技術(shù)

入侵檢測是通過(guò)從計算機網(wǎng)絡(luò )或計算機系統中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現網(wǎng)絡(luò )或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

入侵防護是一種主動(dòng)的、智能的入侵檢測、防范、阻止系統，其設計旨在預先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò )流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報。

目前，入侵檢測與入侵防護技術(shù)已在控制系統中開(kāi)始采用。

（4）漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種檢測系統和網(wǎng)絡(luò )漏洞的方式，這種方式通常用在企業(yè)系統網(wǎng)絡(luò )遭到破壞惡意入侵者進(jìn)入控制系統時(shí)進(jìn)行檢測。

漏洞掃描技術(shù)通常由漏洞庫、掃描引擎、本地管理權限代理和報告機制組成。

由于工業(yè)控制系統漏洞庫比較有限，因此其漏洞掃描技術(shù)應用并不多。

（5）辯論與分析工具

辯論與分析工具用于基本的網(wǎng)絡(luò )活動(dòng)，分析非正常的網(wǎng)絡(luò )流量，以幫助信息安全研究人員和控制系統管理員。

2.5　物理安全控制技術(shù)

物理安全控制采用一些物理措施，以限制對工業(yè)控制系統信息資產(chǎn)的物理訪(fǎng)問(wèn)。

物理安全控制技術(shù)包括物理保護、人員安全等。

（1）物理保護

工業(yè)控制系統物理保護通常指的是安全防范系統，包括訪(fǎng)問(wèn)監視系統和訪(fǎng)問(wèn)限制系統。

訪(fǎng)問(wèn)監視系統包括攝像機、傳感器等識別系統。訪(fǎng)問(wèn)限制系統包括圍欄、門(mén)、門(mén)禁、保安等。

（2）人員安全

工業(yè)控制系統人員安全通常指的是減少人為的失誤、盜竊、欺騙、或有意/無(wú)意濫用信息資產(chǎn)的可能性和風(fēng)險。

這些人員安全通常包括雇傭方針、公司方針與實(shí)踐、任用條款等。

3　新發(fā)展的工業(yè)控制系統信息安全技術(shù)

隨著(zhù)工業(yè)控制系統信息安全深入研究與發(fā)展，新的信息安全技術(shù)必然會(huì )層出不窮。

目前市場(chǎng)上出現的工業(yè)控制系統信息安全技術(shù)有工業(yè)控制系統加固技術(shù)和信息安全工廠(chǎng)技術(shù)，現簡(jiǎn)單分析如下，供大家參考。

3.1　工業(yè)控制系統加固技術(shù)

工業(yè)控制系統頻繁遭受攻擊，人們自然會(huì )想到工業(yè)控制系統加固技術(shù)。

在國外，有自動(dòng)化產(chǎn)品制造商已經(jīng)完成對PLC控制系統的加固設計，并很快將投放市場(chǎng)。

3.1.1　工業(yè)控制系統加固技術(shù)產(chǎn)生背景

由于大部分工業(yè)控制系統信息安全事件均來(lái)自控制系統本身，如控制器操作系統有漏洞、I/O模塊與接線(xiàn)存在隱患、電源部分不可靠等。因此，工業(yè)控制系統加固有很大的空間。

3.1.2　工業(yè)控制系統加固技術(shù)設計

通過(guò)對底板、I/O模塊、電源部分以及PLC控制器加固，為控制系統信息安全提供更好的防護。其設計特點(diǎn)分析如下：

（1）底板

采用快速I(mǎi)/O通信和電磁連接，免去I/O接插線(xiàn)，增加信息安全和電氣隔離；

采用4GB黑色織物通信，能夠提供1ms的掃描時(shí)間，不管I/O點(diǎn)數和用戶(hù)運用程序；

采用金屬構造，光纖星形網(wǎng)絡(luò )可支持20km跨度，提供分布和運用靈活性的最高等級。

（2）I/O模塊

采用虛擬接線(xiàn)系列(VMS)，使用三種I/O模塊類(lèi)型，即通用模擬量、通用開(kāi)關(guān)量輸入和通用開(kāi)關(guān)量輸出；

采用通用總線(xiàn)模塊，支持PROFIBUS、DeviceNet、工業(yè)以太網(wǎng)和現場(chǎng)基金總線(xiàn)。

（3）控制器

采用一個(gè)通用控制器，針對所有控制模式；

采用冗余連接，減少過(guò)程中斷；

控制器底板配置先進(jìn)診斷技術(shù)，提高運行時(shí)間，增加資產(chǎn)使用率，并給出分析報告；

采用冗余層次和嵌入式信息安全，提供安全運作。配有SIL3密碼黑色織物臂安全處理器，其實(shí)時(shí)操作系統信息安全性評估已達EAL6+。

（4）電源部分

采用安全電源解決方案，包括電源和UPS部件設計，為用戶(hù)加強安全。

3.2　信息安全工廠(chǎng)技術(shù)

最近，信息安全工廠(chǎng)（SecurePlant）作為工業(yè)信息安全技術(shù)新名詞，引起各位專(zhuān)業(yè)同行的高度關(guān)注。

信息安全工廠(chǎng)是一個(gè)針對工業(yè)控制系統全面信息安全管理解決方案，由橫河電氣、思科和殼牌三家公司共同提出。

3.2.1　信息安全工廠(chǎng)技術(shù)產(chǎn)生背景

鑒于大多數公司在全球運作，每個(gè)工廠(chǎng)都面對信息安全的挑戰，每個(gè)工廠(chǎng)也采用不同的應對方式，從而導致每個(gè)工廠(chǎng)的信息安全等級不同，缺乏一個(gè)統一的標準。

3.2.2　信息安全工廠(chǎng)技術(shù)設計

這種信息安全工廠(chǎng)解決方案設計由以下幾點(diǎn)組成：

（1）補丁和抗病毒設計

這種設計，為控制系統提供操作系統補丁和防病毒模式文件。

通過(guò)現有公司全球網(wǎng)絡(luò )，供應商認證的視窗信息安全補丁和病毒簽名文件由安全中心（SecureCenter）向每個(gè)工廠(chǎng)的安全現場(chǎng)（SecureSite）分發(fā)。

（2）實(shí)時(shí)和主動(dòng)監視設計

這種設計，為控制系統提供實(shí)時(shí)和主動(dòng)監視。

這種實(shí)時(shí)和主動(dòng)監視能力使得工廠(chǎng)信息安全集中化管理得以實(shí)現。

（3）幫助桌面設計

這種設計，為管理這種解決方案提供幫助桌面運作。

通過(guò)供應商的合作，為用戶(hù)提供24/7/365幫助桌面，管理解決方案相應的事件。

4　結束語(yǔ)

通過(guò)上面的分析和探討可知，工業(yè)控制系統信息安全技術(shù)是一門(mén)相對較成熟的技術(shù)。熟練掌握和運用這些技術(shù)，才能有效解決工業(yè)控制系統信息安全事件頻發(fā)，保證工業(yè)控制系統正常運行，為國民經(jīng)濟建設和發(fā)展保駕護航。

同時(shí)，我們也應該認識到，工業(yè)控制系統信息安全技術(shù)是一門(mén)不斷深入發(fā)展的技術(shù)。隨著(zhù)工業(yè)控制系統廣泛運用和不斷發(fā)展，其信息安全必將面臨更加嚴峻的挑戰，其信息安全技術(shù)的研究開(kāi)發(fā)必將快速推進(jìn)。

參考文獻：

[1] IEC62443 - 3 - 1 Security for Industrial Automation and Control Systems Part 3 - 1 Security Technologies for Industrial Automation and Control Systems [S]. 2012.

[2] ARC. Control system, PLC, IO, backplane, power supply are secure by design, 2015.

[3] Yokogawa. Companies collaborate to provide cybersecurity solutions for oil plants [J]. Control Engineering, 2015, 2.

作者簡(jiǎn)介

肖建榮（1969-），男，高級工程師，主要從事工業(yè)電氣、儀表自動(dòng)化工程設計、編程和調試工作。

摘自《自動(dòng)化博覽》6月刊