1　引言

    近年來(lái)，隨著(zhù)社會(huì )的進(jìn)步，工業(yè)控制系統已廣泛應用于各種關(guān)系到國計民生的安全關(guān)鍵系統中。物聯(lián)網(wǎng)的普及以及兩化融合的推進(jìn)，使得大量IT技術(shù)被應用到工業(yè)生產(chǎn)中，工業(yè)控制系統已從傳統孤立、封閉，向著(zhù)大規模、開(kāi)放性、互聯(lián)互通的方向發(fā)展。然而，在控制系統發(fā)展的初期，主要考慮系統的可用性和可靠性，對系統的信息安全并未提出很高的要求，這就不可避免地導致系統存在安全缺陷。這些缺陷如果被人利用，將會(huì )導致大量的工業(yè)控制系統信息安全事件，如2010年發(fā)生的“震網(wǎng)”病毒事件。工業(yè)控制系統是信息域和物理域交互的復雜系統，信息攻擊導致物理系統故障，甚至可以引發(fā)重大安全事故，造成嚴重經(jīng)濟損失和社會(huì )負面效應。據美國工業(yè)控制系統信息安全應急響應小組（Industrial Control Systems Cyber Emergency Response Team）統計，工業(yè)控制系統信息安全事件呈現愈演愈烈、逐年急劇上升的態(tài)勢，并且幾乎涉及關(guān)乎國家安全和國民生計的所有行業(yè)領(lǐng)域。因此，工業(yè)控制系統信息安全防護問(wèn)題是一個(gè)亟待解決的、無(wú)法避免，也不能避免的關(guān)鍵問(wèn)題。

    2　工業(yè)控制系統信息安全特點(diǎn)

    與IT系統不同，工業(yè)控制系統功能、結構相對固定，IT領(lǐng)域信息安全解決方案并不能完全滿(mǎn)足工業(yè)控制系統信息安全需求。工業(yè)控制系統是具有較長(cháng)生命周期的生產(chǎn)運行系統，系統組件一般要求能夠運行15~20年，對其可靠性和可用性要求很高。在信息安全方面不僅要保障IT領(lǐng)域所重點(diǎn)關(guān)注的數據安全、內容安全，更重要的是保障其物理安全和系統的運行安全。作為實(shí)時(shí)關(guān)鍵系統，其工作方式和運行特點(diǎn)（24/7/365）決定了信息安全三個(gè)安全屬性中可用性?xún)?yōu)先于完整性和機密性。因此，系統意外停機是不允許的，必須提前數天或數周進(jìn)行通知和計劃。軟件的更新和數據庫的升級必須經(jīng)過(guò)嚴格的測試才能應用于工業(yè)控制系統。

    工業(yè)控制系統是集深度嵌入網(wǎng)絡(luò )通信、計算控制、物理過(guò)程于一體的復雜信息物理融合系統。與物理過(guò)程的復雜交互，如現場(chǎng)PLC直接控制最終生產(chǎn)過(guò)程，使得網(wǎng)絡(luò )信息攻擊可延伸到物理環(huán)境，嚴重影響系統或設備的可用性，發(fā)生安全事故，對人員、環(huán)境、資產(chǎn)造成威脅。因此，工業(yè)控制系統信息安全的主要風(fēng)險來(lái)源于信息攻擊而引起可用性損失，并且重點(diǎn)關(guān)注由此導致的生命、財產(chǎn)和環(huán)境的損失。其中，人員的安全風(fēng)險置于最高優(yōu)先級，其次是保護系統設備及環(huán)境。工業(yè)控制系統的實(shí)時(shí)、動(dòng)態(tài)、長(cháng)周期特性，也決定了工業(yè)控制系統信息安全動(dòng)態(tài)風(fēng)險管理必須滿(mǎn)足系統全生命周期的管理和控制需求。

    3　工業(yè)控制系統信息安全防護的主要內容

    大量IT技術(shù)的采用，工業(yè)控制系統面臨的信息安全威脅日趨嚴重。各種網(wǎng)絡(luò )攻擊技術(shù)的發(fā)展，使得單一的防御技術(shù)已經(jīng)很難抵御網(wǎng)絡(luò )威脅。作為生產(chǎn)運行系統，工業(yè)控制系統信息安全防護是一個(gè)涉及整個(gè)系統全生命周期的、動(dòng)態(tài)防護過(guò)程。其防護在標準規范的指導下，不僅需要從技術(shù)上保障，同樣需要從管理上進(jìn)行優(yōu)化。圖1顯示了工業(yè)控制系統信息安全綜合防護所涉及的主要功能模塊。

圖1 工業(yè)控制系統信息安全防護的主要功能模塊

    工業(yè)控制系統信息安全管理須遵循一定的標準規范，包括管理規范、設計規范和評估規范。管理規范，規定合理有效的策略操作和控制流程，指導工作人員行為，提升員工的業(yè)務(wù)水平，減少管理上帶來(lái)的系統風(fēng)險。系統設計也需要遵循標準的設計規范。按照規范的流程，多方面考慮控制系統需求，詳細地對系統各階段、各部分進(jìn)行分析和規劃，盡可能在設計階段減少系統安全缺陷。嚴格的評估規范也是必不可少的，它是評估系統風(fēng)險和客觀(guān)評價(jià)系統信息安全優(yōu)劣程度的標桿。在各類(lèi)標準規范的指導下，系統的分析設計才能以最小的代價(jià)獲得最大的收益。

    結合標準規范準則的指導，從工業(yè)控制系統全生命周期出發(fā)，分析其主要階段的信息安全防護對策，保障在生命周期主要階段過(guò)程中工業(yè)控制系統信息安全防護始終處于較高水平，這是工業(yè)控制系統信息安全防護的有效手段之一。本文擬從需求分析及系統設計、系統運行和系統維護三個(gè)階段分析工業(yè)控制系統信息安全防護的對策。圖2所示為主要階段的信息安全防護關(guān)鍵技術(shù)間的邏輯關(guān)系。

圖2 工業(yè)控制系統信息安全防護主要關(guān)鍵技術(shù)間邏輯 關(guān)系

    在需求分析及系統設計階段，在系統識別的基礎上，制定安全防護措施及方法，進(jìn)行安全保護。在系統運行階段，基于“系統檢測-控制決策-響應恢復”的容忍入侵方法，將閉環(huán)反饋控制的思想引入動(dòng)態(tài)信息安全防護中，實(shí)現具有一定安全彈性的實(shí)時(shí)動(dòng)態(tài)調節能力的容忍入侵信息安全防護。在系統維護階段，評估運行階段積累遺留的問(wèn)題及系統需求的變更，改善系統，使之達到預期效果。

    4　工業(yè)控制系統全生命周期主要階段信息安全防護的對策

    4.1　需求分析及系統設計階段信息安全防護的對策

    信息安全防護作為主要的非功能性需求，在系統需求分析與系統設計階段需要重點(diǎn)考慮。確定工業(yè)控制系統信息安全防護主體，分析系統潛在威脅和風(fēng)險，擬定其信息安全需求規范。由于系統功能需求規范、信息安全需求規范以及其他非功能需求規范往往存在沖突，故需對多種需求規范進(jìn)行協(xié)調控制，最終確定系統整體需求規范。圖3所示為工業(yè)控制系統信息安全需求分析流程。在進(jìn)行各方需求協(xié)調時(shí)，需要考慮工業(yè)控制系統多方面的約束條件，如性能約束、資源約束、成本約束以及風(fēng)險約束等。在控制系統資源受限、成本有限的環(huán)境下，尋求最佳的系統性能，并保持系統風(fēng)險控制在可接受的范圍之內。

圖3 工業(yè)控制系統信息安全需求分析流程

    典型的工業(yè)控制系統可分為三層：企業(yè)層、監控層和現場(chǎng)控制層。結合系統各層信息安全需求，建立深度融合工業(yè)控制系統特點(diǎn)的縱深防御體系已成為工業(yè)控制系統信息安全防護的主流形式。圖4所示為典型的工業(yè)控制系統信息安全縱深防御體系結構。

圖4 典型工業(yè)控制系統信息安全縱深防御體系結構

    企業(yè)層的信息交互一般通過(guò)Internet進(jìn)行，其功能包括數據管理、客戶(hù)管理、生產(chǎn)調度等。其信息安全需求與IT系統類(lèi)似，可用諸如工業(yè)防火墻、訪(fǎng)問(wèn)控制等防護手段進(jìn)行安全防護。監控層，一般結合具體的應用特點(diǎn)，采取專(zhuān)用的工業(yè)通信協(xié)議。其信息安全防護需求不同于IT系統，制定針對性的訪(fǎng)問(wèn)控制策略和通信管控策略等是實(shí)現監控層主動(dòng)防御的有效方法?，F場(chǎng)控制層的信息安全是工業(yè)控制系統信息安全防護的重中之重，也是實(shí)現本質(zhì)信息安全的重要保障。針對現場(chǎng)控制層的入侵攻擊眾多，攻擊后果嚴重。并且，控制系統結構復雜、工藝過(guò)程復雜，采用分區、分級的信息安全防護可有效地阻斷攻擊影響傳播，保護系統重要組件和工藝流程。此外，由于工業(yè)控制系統屬于信息物理融合系統，信息攻擊可導致物理故障，甚至引發(fā)重大安全事故，而造成人員傷亡和社會(huì )負面效應。故現場(chǎng)控制層信息安全防護需具備容忍入侵的能力，以保證入侵攻擊下，系統仍能降級運行或安全停機。

    因此，該階段需要結合系統功能需求，分析工業(yè)控制系統資產(chǎn)及其運行環(huán)境，檢測系統的漏洞，及其面臨的安全威脅，進(jìn)行系統信息安全需求分析；在此基礎上進(jìn)行靜態(tài)攻擊預測分析和靜態(tài)的風(fēng)險分析，制定風(fēng)險管理策略。針對系統風(fēng)險，對系統進(jìn)行分層、分區、分級，建立縱深防御體系，擬定常見(jiàn)的保護措施如訪(fǎng)問(wèn)控制、通信管控、關(guān)鍵任務(wù)容錯、容忍入侵的防護等，提升系統安全運行能力。

    4.2　運行階段信息安全防護的對策

    工業(yè)控制系統是一個(gè)生產(chǎn)運行的實(shí)時(shí)關(guān)鍵系統，對可用性和可靠性要求極高，需具備容忍入侵的信息安全防護能力。圖5所示為運行階段工業(yè)控制系統容忍入侵的信息安全防護控制結構示意圖。

圖5 運行階段容忍入侵的信息安全防護控制結構示意圖

    該防護架構采用基于風(fēng)險、狀態(tài)、時(shí)間的多級信息安全閉環(huán)控制結構。外層采取風(fēng)險控制閉環(huán)，將系統的風(fēng)險控制在可接受范圍內。中間層的狀態(tài)控制閉環(huán)，保證系統運行狀態(tài)的安全可控。內層的時(shí)間控制閉環(huán)，完成安全策略的實(shí)施以及效果反饋調節。以此實(shí)現具備高度容忍入侵能力的工業(yè)控制系統信息安全防護。

    工業(yè)控制系統實(shí)時(shí)入侵檢測是容忍入侵信息安全防護的感知環(huán)節。通過(guò)部署系統資源探針，采集并分析全方位系統實(shí)時(shí)數據，進(jìn)行攻擊特征識別和在線(xiàn)自學(xué)習，實(shí)現基于特征和基于異常相結合的入侵檢測。對檢測結果進(jìn)行警報融合和攻擊辨識，識別并預測入侵攻擊信息，實(shí)現系統的實(shí)時(shí)在線(xiàn)監控。

    基于風(fēng)險的安全策略決策是容忍入侵的信息安全防護的控制環(huán)節。根據系統實(shí)時(shí)入侵檢測的結果，結合系統運行狀態(tài)，進(jìn)行系統安全態(tài)勢感知，評估系統的實(shí)時(shí)風(fēng)險。結合系統風(fēng)險控制需求，進(jìn)行系統狀態(tài)控制和動(dòng)態(tài)安全策略決策，給出最佳安全策略及其優(yōu)化方案，使系統風(fēng)險處于可接受范圍之內。

    實(shí)時(shí)控制是容忍入侵的信息安全防護的實(shí)施環(huán)節，是系統的安全響應恢復過(guò)程。根據控制決策中產(chǎn)生的最佳安全策略，生成相應的安全任務(wù)集。結合原本系統任務(wù)集，分別從系統級和節點(diǎn)級進(jìn)行任務(wù)可調度性分析，并構建新的系統任務(wù)集。然后進(jìn)行任務(wù)一體化實(shí)時(shí)調度，實(shí)施該任務(wù)集，及時(shí)地進(jìn)行系統恢復。同時(shí)評估并反饋策略執行效果，以進(jìn)行優(yōu)化設計，保障系統信息安全。

    4.3　維護階段信息安全防護的對策

    設計開(kāi)發(fā)之時(shí)難免會(huì )有一部分隱藏的安全缺陷。系統在交付使用后，這些脆弱性在某些特定的情況下會(huì )暴露出來(lái)，需要進(jìn)行維護完善。同時(shí)，為了適應環(huán)境的變化，如系統因入侵攻擊而積累的安全缺陷或者系統安全需求的變更等，系統也需做出相應的調整，使系統更長(cháng)久的運行。故首先需要對系統各方面進(jìn)行評估，然后進(jìn)行有針對性的改善。

    系統評估期間，首先統計系統運行環(huán)境或安全需求變更，分析實(shí)施信息安全后系統運行反饋效果。同時(shí)，需評估資產(chǎn)狀態(tài)和系統狀態(tài)，如有無(wú)組件損害或失效，系統性能是否降低、數據庫是否需要更新等。評估系統受損情況以及安全狀態(tài)，判斷系統風(fēng)險是否處于可接受范圍內。

    系統改善過(guò)程中，依據上述分析評估結果，擬定系統變更方案，并逐步、有序地實(shí)施該方案。變更方案實(shí)施完畢后，需進(jìn)行系統安全合格性檢驗。如果不滿(mǎn)足要求，則需要重新修改變更方案，再實(shí)施，再檢驗，直至達到所預期的效果。

    5　結語(yǔ)

    本文在詳細分析工業(yè)控制系統典型特點(diǎn)的基礎上，提出了工業(yè)控制系統信息安全綜合防護的主要對策，指明工業(yè)控制系統信息安全防護所涉及的思路和關(guān)鍵技術(shù)。并且，從工業(yè)控制系統全生命周期的角度出發(fā)，分別考慮需求分析及系統設計階段、系統運行階段以及系統維護階段信息安全實(shí)現的具體內容，旨在為工業(yè)控制系統信息安全防護設計提供參考。

    在需求分析及系統設計階段，考慮系統功能性需求和非功能性需求，以及在性能、資源、成本和風(fēng)險等多個(gè)約束條件下的協(xié)調關(guān)系。結合工業(yè)控制系統典型特點(diǎn)，建立縱深防御體系，并分析各層的信息安全防護方法。系統運行階段，提出基于風(fēng)險、狀態(tài)、時(shí)間的多級信息安全防護控制結構，以實(shí)現具備一定安全彈性、容忍入侵能力的工業(yè)控制系統信息安全防護。并從實(shí)時(shí)入侵檢測、動(dòng)態(tài)風(fēng)險安全策略決策、系統實(shí)時(shí)控制方面描述其具體實(shí)現的關(guān)鍵技術(shù)。維護階段，則識別系統安全隱患，統計系統變更情況，制定、實(shí)施改善措施，并進(jìn)行安全驗證，直至到達預期效果。

    基金項目：國家自然科學(xué)基金重點(diǎn)項目（61433006）、國家自然科學(xué)基金面上項目（61272204）。


作者簡(jiǎn)介

李匯云（1991-），男，碩士，華中科技大學(xué)自動(dòng)化學(xué)院碩士。目前主要研究方向為工業(yè)通信和智能系統、工業(yè)控制系統信息安全。

李璇（1990-），男，博士，華中科技大學(xué)自動(dòng)化學(xué)院博士。目前主要研究方向為工業(yè)控制系統信息安全、資產(chǎn)分析及評估。