今日頭條
官方微信
官方抖音
資訊頻道
1 引言
工業(yè)控制系統(tǒng)一般是指監(jiān)測(cè)和控制物理對(duì)象的計(jì)算機(jī)系統(tǒng),它們是深度嵌入了信息和通信技術(shù)的信息物理融合系統(tǒng),工業(yè)控制系統(tǒng)在國(guó)民經(jīng)濟(jì)和人民日常生活中發(fā)揮著重要作用,是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和國(guó)民經(jīng)濟(jì)各行各業(yè)的自動(dòng)化裝備的大腦和中樞神經(jīng)。隨著物聯(lián)網(wǎng)的普及和兩化融合的推進(jìn),將IT信息安全的風(fēng)險(xiǎn)延伸到工業(yè)控制系統(tǒng)。近年來(lái)由網(wǎng)絡(luò)攻擊引起的工業(yè)控制系統(tǒng)安全事故頻發(fā),并且呈逐年增加的趨勢(shì),工業(yè)控制系統(tǒng)信息安全的嚴(yán)峻形勢(shì)引起了社會(huì)的高度關(guān)注。
2 工業(yè)控制系統(tǒng)信息安全特點(diǎn)
工業(yè)控制系統(tǒng)是一個(gè)生產(chǎn)運(yùn)行系統(tǒng),其系統(tǒng)結(jié)構(gòu)、功能相對(duì)固定,具有較長(zhǎng)生命周期,這決定了工業(yè)控制系統(tǒng)與傳統(tǒng)的IT系統(tǒng)信息安全的諸多不同。
2.1 工業(yè)控制系統(tǒng)信息安全的內(nèi)容
工業(yè)控制系統(tǒng)信息安全的內(nèi)容包括:信息自身的安全、信息利用的安全和系統(tǒng)的自身安全三個(gè)層次,即包含數(shù)據(jù)安全、內(nèi)容安全、系統(tǒng)運(yùn)行安全和物理安全四個(gè)安全層面。數(shù)據(jù)安全是指對(duì)信息在數(shù)據(jù)處理、存儲(chǔ)、傳輸、顯示等過(guò)程中的保護(hù),主要的保護(hù)方式有加密、數(shù)字簽名、完整性檢查、認(rèn)證防抵賴等;內(nèi)容安全是指對(duì)信息真實(shí)內(nèi)容的隱藏、發(fā)現(xiàn)、選擇性阻擋等,主要的處置手段是信息識(shí)別與挖掘技術(shù)、過(guò)濾技術(shù)、隱藏技術(shù)等;系統(tǒng)運(yùn)行安全是指對(duì)工業(yè)控制系統(tǒng)運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù),主要涉及控制系統(tǒng)的可控性和可用性等,主要的保護(hù)方式是漏洞掃描、入侵檢測(cè)、態(tài)勢(shì)感知及風(fēng)險(xiǎn)評(píng)估、應(yīng)急入侵反應(yīng)等;物理安全是指系統(tǒng)設(shè)備、人和環(huán)境的保護(hù),主要的保護(hù)方式是采取物理隔離和安全儀表系統(tǒng)等。
對(duì)于工業(yè)控制系統(tǒng)這樣一類信息物理融合系統(tǒng),其信息安全的研究?jī)?nèi)容是在關(guān)注數(shù)據(jù)安全和內(nèi)容安全的前提下,更注重入侵攻擊下的系統(tǒng)運(yùn)行安全和物理安全的研究。
2.2 工業(yè)控制系統(tǒng)信息安全的屬性
被稱為信息安全金三角(CIA)的框架模型,包括機(jī)密性、完整性和可用性三個(gè)核心屬性。但工業(yè)控制系統(tǒng)的工作和運(yùn)行特點(diǎn)(24/7/365)決定了工業(yè)控制系統(tǒng)信息安全防護(hù)研究需要將信息的實(shí)時(shí)可用性、系統(tǒng)和信息的完整性置于比信息機(jī)密性更高的優(yōu)先級(jí)。工業(yè)控制系統(tǒng)是一個(gè)實(shí)時(shí)的生產(chǎn)運(yùn)行系統(tǒng),不能接受突然停機(jī)帶來(lái)的損失,這也決定了頻繁、主動(dòng)的離線升級(jí),修補(bǔ)軟件(含信息安全涉及的軟件模塊,如訪問(wèn)控制、入侵檢測(cè)、入侵反應(yīng)等)漏洞方案不適合工業(yè)控制系統(tǒng)。
2.3 信息安全風(fēng)險(xiǎn)管理的要求
基于風(fēng)險(xiǎn)的信息安全管理和控制已被業(yè)界所接受,而工業(yè)控制系統(tǒng)在受到入侵攻擊時(shí),會(huì)對(duì)物理系統(tǒng),人員、環(huán)境產(chǎn)生安全風(fēng)險(xiǎn),因此,工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)主要來(lái)自可用性受到威脅而導(dǎo)致的生命、財(cái)產(chǎn)以及環(huán)境的損失。在這當(dāng)中,將人的保護(hù)置于最高優(yōu)先級(jí),其次是控制過(guò)程相關(guān)的設(shè)備和環(huán)境及生產(chǎn)的保護(hù)。并且工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估需要將不同維度的風(fēng)險(xiǎn)因素統(tǒng)一尺度量化,如環(huán)境的影響、生命的損失、設(shè)備及產(chǎn)品的損失等。
工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)管理很重要的一個(gè)特點(diǎn)是需將動(dòng)態(tài)風(fēng)險(xiǎn)管理置于更加重要的位置,以適應(yīng)這種具有較長(zhǎng)生命周期的實(shí)時(shí)生產(chǎn)運(yùn)行系統(tǒng)的控制與管理。
3 工業(yè)控制系統(tǒng)信息安全防護(hù)存在的問(wèn)題
工業(yè)控制系統(tǒng)信息安全防護(hù)近年來(lái)引起社會(huì)和政府的高度關(guān)注,在各界同仁的共同努力下,取得了一些共識(shí)和成績(jī),但目前還存在以下一些突出問(wèn)題。
3.1 沒(méi)有從系統(tǒng)整體和全局進(jìn)行安全防護(hù)
目前的工業(yè)控制系統(tǒng)信息安全防護(hù)大多是從系統(tǒng)或網(wǎng)絡(luò)的局部或某一個(gè)環(huán)節(jié)的安全問(wèn)題展開(kāi)研究,針對(duì)某一方面或某一個(gè)層次的安全問(wèn)題提出的解決方案,不能從整體和根本上解決工業(yè)控制系統(tǒng)信息安全問(wèn)題。這體現(xiàn)在系統(tǒng)信息安全防護(hù)全生命周期的各個(gè)階段:
(1)在運(yùn)行系統(tǒng)沒(méi)有考慮信息安全的要求,新的系統(tǒng)很少考慮信息安全的要求,所以這些系統(tǒng)從一開(kāi)始就很難協(xié)調(diào)生產(chǎn)運(yùn)行系統(tǒng)的生產(chǎn)運(yùn)行要求、可靠性要求以及信息安全要求。
(2)目前的研究多是針對(duì)系統(tǒng)的局部(如網(wǎng)絡(luò)、應(yīng)用層協(xié)議、控制對(duì)象等),或從各自的領(lǐng)域(軟件工程、控制工程或通信工程)進(jìn)行的,但工業(yè)控制系統(tǒng)是一個(gè)涉及多領(lǐng)域的復(fù)雜系統(tǒng),系統(tǒng)的各領(lǐng)域視角之間是相互耦合的。工業(yè)控制系統(tǒng)的入侵檢測(cè)必須基于工業(yè)控制系統(tǒng)各領(lǐng)域知識(shí)及領(lǐng)域間耦合關(guān)系構(gòu)建系統(tǒng)的模型知識(shí),展開(kāi)多源異常入侵檢測(cè),并在此基礎(chǔ)上根據(jù)系統(tǒng)多源異常數(shù)據(jù)進(jìn)行攻擊辨識(shí)。
(3)目前的入侵反應(yīng)安全策略決策,多數(shù)是根據(jù)系統(tǒng)的某一個(gè)方面或某一環(huán)節(jié)進(jìn)行決策,沒(méi)有考慮系統(tǒng)的整體和信息安全防護(hù)的全過(guò)程。工業(yè)控制系統(tǒng)屬于生產(chǎn)運(yùn)行系統(tǒng),其信息安全問(wèn)題涉及到安全(信息安全、功能安全)、品質(zhì)、效率、成本(運(yùn)行成本、維護(hù)成本)等多方因素,現(xiàn)在的入侵反應(yīng)系統(tǒng)基本上沒(méi)有考慮這些因素的協(xié)調(diào)和控制。
3.2 以被動(dòng)防御為主,缺乏主動(dòng)防御
現(xiàn)在的工業(yè)控制系統(tǒng)信息安全防護(hù)主要是以被動(dòng)防御為主,更新系統(tǒng)和安裝補(bǔ)丁是主流的被動(dòng)防御手段,但是工業(yè)控制系統(tǒng)作為一個(gè)24/7/365實(shí)時(shí)連續(xù)運(yùn)行系統(tǒng),不能經(jīng)常更新系統(tǒng)、安裝補(bǔ)丁或者更新病毒庫(kù),這就導(dǎo)致了工業(yè)控制系統(tǒng)存在大量漏洞,極容易被攻擊者利用實(shí)施攻擊。
入侵檢測(cè)結(jié)合響應(yīng)系統(tǒng)是工業(yè)控制系統(tǒng)運(yùn)行安全防護(hù)的一個(gè)有效手段,但對(duì)于工業(yè)控制系統(tǒng)這種強(qiáng)實(shí)時(shí)信息物理融合系統(tǒng),一旦檢測(cè)到入侵,不管是采取報(bào)警手動(dòng)干預(yù),還是采取半自動(dòng)的入侵反應(yīng)系統(tǒng),都屬于事后決策,此時(shí)入侵攻擊可能已經(jīng)對(duì)工業(yè)控制系統(tǒng)造成了不可挽回的損失。
被動(dòng)防御的主要特點(diǎn)是“亡羊補(bǔ)牢,消缺補(bǔ)漏”,如果發(fā)生入侵攻擊,會(huì)嚴(yán)重威脅系統(tǒng)的可用性,對(duì)于工業(yè)控制系統(tǒng)來(lái)說(shuō)可能產(chǎn)生人員傷亡、環(huán)境污染等嚴(yán)重?fù)p失,工業(yè)控制系統(tǒng)因其對(duì)可靠性的苛刻要求,其信息安全更需要“未雨綢繆,防患于未然”的主動(dòng)防御,將入侵攻擊扼殺于萌芽中。
3.3 缺乏對(duì)系統(tǒng)運(yùn)行安全的防護(hù)
傳統(tǒng)的IT系統(tǒng)的信息安全防護(hù),重點(diǎn)關(guān)注的是數(shù)據(jù)安全和內(nèi)容安全,所以常見(jiàn)的方法是在阻止和隔離的基礎(chǔ)上進(jìn)行數(shù)據(jù)的加密和解密、訪問(wèn)控制等措施。但工業(yè)控制系統(tǒng)的特點(diǎn)要求信息安全要重點(diǎn)關(guān)注系統(tǒng)的運(yùn)行安全,即控制系統(tǒng)運(yùn)行過(guò)程中入侵攻擊導(dǎo)致的功能失效而引起的功能安全問(wèn)題,這也決定了工業(yè)控制系統(tǒng)信息安全防護(hù)將可用性置于最高的優(yōu)先級(jí),但是目前工業(yè)控制系統(tǒng)信息安全對(duì)運(yùn)行安全的防護(hù)十分單薄,缺乏和忽視工業(yè)控制系統(tǒng)遭到網(wǎng)絡(luò)攻擊時(shí)的系統(tǒng)運(yùn)行安全防護(hù),而且工業(yè)控制系統(tǒng)的工作和運(yùn)行特點(diǎn)決定了其信息安全防護(hù)的各個(gè)環(huán)節(jié)必須具有自組織等自治能力,其信息安全防護(hù)必須具有整體聯(lián)動(dòng)、全局防御的能力。
4 工業(yè)控制系統(tǒng)信息安全防護(hù)對(duì)策分析
工業(yè)控制系統(tǒng)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,貫穿控制系統(tǒng)的整個(gè)生命周期,涉足到技術(shù)、管理、培訓(xùn)等諸多環(huán)節(jié),工業(yè)控制系統(tǒng)的信息安全防護(hù)必須從系統(tǒng)和全局的角度,來(lái)平衡各方面的需求,協(xié)調(diào)多目標(biāo)之間的控制,而且還必須具有對(duì)應(yīng)用對(duì)象和動(dòng)態(tài)環(huán)境的自適應(yīng)能力和運(yùn)行過(guò)程中的自組織管理能力。
目前,工業(yè)控制系統(tǒng)信息安全首先是加強(qiáng)培訓(xùn),增加各類相關(guān)人員的信息安全意識(shí),其次加強(qiáng)信息安全技術(shù)管理。對(duì)于目前的信息安全防護(hù),以下技術(shù)手段(安全對(duì)策)值得關(guān)注。
4.1 將信息安全作為控制系統(tǒng)非功能性要求
信息安全作為現(xiàn)代工業(yè)控制系統(tǒng)必備的要求之一,信息安全防護(hù)的需求直接決定了系統(tǒng)信息安全的目標(biāo),同時(shí)工業(yè)控制系統(tǒng)還需完成滿足系統(tǒng)運(yùn)行的功能要求以及可靠性和功能安全方面的非功能性要求等其它目標(biāo),而且這些需求和目標(biāo)在一定的成本控制下往往又是對(duì)立和矛盾的。因此要協(xié)調(diào)這些需求和目標(biāo)之間的矛盾,從系統(tǒng)的需求階段,就必須將信息安全作為控制系統(tǒng)的非功能性需求,并且經(jīng)過(guò)平衡系統(tǒng)的各種需求和目標(biāo),來(lái)確定系統(tǒng)的信息安全需求具體內(nèi)容。
4.2 利用成本收益方法,平衡設(shè)計(jì)階段各方面的需求
鑒于入侵攻擊的智能性,簡(jiǎn)單的防御對(duì)于當(dāng)前越來(lái)越智能的入侵攻擊作用甚微,現(xiàn)代的信息安全防護(hù)采用縱深防御的多層防護(hù)體系,在阻止隔離的基礎(chǔ)上,充分發(fā)揮軟件的作用,運(yùn)用容忍入侵技術(shù)實(shí)現(xiàn)系統(tǒng)的信息安全目標(biāo)。如在實(shí)際中實(shí)施的安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離和縱向認(rèn)證得到了很好的應(yīng)用效果。但由于絕大多數(shù)工業(yè)控制系統(tǒng)對(duì)投資成本的敏感性,如何利用有限的投資,發(fā)揮最大的防御作用,是在系統(tǒng)設(shè)計(jì)階段,面臨的一個(gè)棘手問(wèn)題。
對(duì)系統(tǒng)進(jìn)行靜態(tài)風(fēng)險(xiǎn)評(píng)估,采用成本收益量化的方法,優(yōu)化設(shè)計(jì)方案,是一個(gè)切實(shí)可行的方法,它可以取得控制系統(tǒng)各方面需求的最優(yōu)平衡點(diǎn),進(jìn)而尋求全局的最優(yōu)方案。
4.3 開(kāi)發(fā)適合工業(yè)控制系統(tǒng)的入侵檢測(cè)系統(tǒng)
檢測(cè)系統(tǒng)在信息安全的防護(hù)中起著舉足輕重的作用,它對(duì)網(wǎng)絡(luò)傳輸和系統(tǒng)運(yùn)行過(guò)程中的入侵行為進(jìn)行實(shí)時(shí)監(jiān)視,在發(fā)現(xiàn)可疑時(shí)發(fā)出警報(bào)或者觸發(fā)入侵反應(yīng)系統(tǒng)采取反應(yīng)措施。工業(yè)控制系統(tǒng)因?yàn)槠渑c傳統(tǒng) IT 系統(tǒng)的區(qū)別,系統(tǒng)的功能和結(jié)構(gòu)相對(duì)固定,通信協(xié)議固定而有限,這使得開(kāi)發(fā)符合工業(yè)控制系統(tǒng)特點(diǎn)的入侵檢測(cè)成為可能,尤其可以克服IT系統(tǒng)中基于異常行為的入侵檢測(cè)系統(tǒng)的誤報(bào)率高的缺點(diǎn)。
基于工業(yè)控制系統(tǒng)的多個(gè)視角(網(wǎng)絡(luò)、系統(tǒng)實(shí)現(xiàn)、控制對(duì)象)進(jìn)行入侵檢測(cè),將基于網(wǎng)絡(luò)模型、控制系統(tǒng)的實(shí)現(xiàn)模型、對(duì)象的機(jī)理模型和對(duì)象的結(jié)構(gòu)模型的入侵檢測(cè)結(jié)果進(jìn)行信息融合和入侵攻擊辨識(shí),這種深度融合工業(yè)控制系統(tǒng)特點(diǎn)的入侵檢測(cè)系統(tǒng)將極大地提高入侵檢測(cè)的準(zhǔn)確率。
4.4 重視入侵響應(yīng)系統(tǒng)的開(kāi)發(fā)和研究
入侵檢測(cè)系統(tǒng)在系統(tǒng)的信息安全中發(fā)揮了較大作用,但對(duì)網(wǎng)絡(luò)和系統(tǒng)的保護(hù)能力有限,因?yàn)樗淖饔脙H限于發(fā)現(xiàn)入侵行為和記錄入侵行為便于事后追查,而不能及時(shí)地阻止入侵行為,消除入侵造成的危害。目前入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵行為后通常需要管理員進(jìn)行人工干預(yù)和響應(yīng),而且如何響應(yīng),完全取決于人的相關(guān)知識(shí)和技能,因此入侵響應(yīng)系統(tǒng)的研究顯得越來(lái)越重要。它與入侵檢測(cè)系統(tǒng)的結(jié)合使用能夠更大程度地保護(hù)網(wǎng)絡(luò)和系統(tǒng)的安全。
工業(yè)控制系統(tǒng)的入侵響應(yīng)系統(tǒng)是在入侵檢測(cè)的基礎(chǔ)上,進(jìn)行在線態(tài)勢(shì)感知和風(fēng)險(xiǎn)評(píng)估,輔助人工進(jìn)行安全決策,或者為在線自動(dòng)安全策略決策組件提供當(dāng)前的安全狀態(tài)及相關(guān)信息,自動(dòng)進(jìn)行在線安全決策,及時(shí)阻止入侵行為,屏蔽入侵造成的危害。入侵響應(yīng)系統(tǒng)是系統(tǒng)對(duì)入侵后的自組織管理和容忍入侵的核心組件。隨著控制系統(tǒng)的發(fā)展,入侵響應(yīng)系統(tǒng)在信息安全防護(hù)中的作用顯得越來(lái)越重要。
5 結(jié)語(yǔ)
工業(yè)控制系統(tǒng)是一個(gè)典型的深度嵌入了信息和通信技術(shù)的信息物理融合系統(tǒng),其功能、結(jié)構(gòu)和運(yùn)行特點(diǎn),決定了其信息安全防護(hù)與傳統(tǒng)IT系統(tǒng)的差異性。工業(yè)控制系統(tǒng)信息安全防護(hù)在關(guān)注數(shù)據(jù)安全和內(nèi)容安全的前提下,更注重入侵攻擊下的系統(tǒng)運(yùn)行安全和物理安全的研究,它是一個(gè)復(fù)雜的系統(tǒng)工程,貫穿控制系統(tǒng)的整個(gè)生命周期,涉足到技術(shù)、管理、培訓(xùn)等諸多環(huán)節(jié),它必須從系統(tǒng)和全局的角度,來(lái)平衡各方面的需求,協(xié)調(diào)系統(tǒng)的多個(gè)目標(biāo)之間的控制。
參考文獻(xiàn)
[1] Keith Stouffer, Joe Falco, Karen Scarfone. Guide to industrial control systems (ICS) security. NIST Special Publication 80-82.
[2] NIST Roadmap for Improving Critical Infrastructure Cybersecurity, 2014.
[3] Jennifer L. Bayuk, Systems Security Engineering[J]. IEEE SECURITY & PRIVACY, 2011.
[4] 方濱興等. 關(guān)于信息安全定義的研究[J]. 信息網(wǎng)絡(luò)安全, 2008.
作者簡(jiǎn)介
周純杰(1965-),男,博士,現(xiàn)為華中科技大學(xué)自動(dòng)化學(xué)院教授、博士生導(dǎo)師。目前主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全、工業(yè)通信及智能系統(tǒng)、安全網(wǎng)絡(luò)化控制系統(tǒng)、模式識(shí)別及智能控制。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)