今日頭條
官方微信
官方抖音
資訊頻道 活動鏈接:2013年控制網技術專題---新時代的安全變革
中國電子信息產業集團有限公司第六研究所工業智能與仿真實驗室 李林
對于工業控制系統的安全而言,我們關注的焦點不應只是在網絡安全(Security),保證信息本身的機密性和完整性,更為重要的是要關注工控系統安全問題可能對被控設備、乃至整個生產系統的破壞(本質安全),關注工控系統自身的防危性(Safety)。
工業控制系統缺乏本質安全
通過對相關的案例進行分析以后,我們發現工業控制系統在幾大方面都存在著弱性。一般信息系統的安全架構強調信息的保密性、完整性和可用性,普遍采用:防火墻在網絡邊界提供訪問控制,IDS提供入侵檢測,VPN提供專用通道,對于病毒、木馬等惡意軟件,則采用查殺軟件進行檢測,給操作系統打補丁,增加密碼強度,加強日志管理等手段。但對于工控系統而言,由于對實時性的要求,以及運行環境的不同,造成這些防護手段在實際的使用中,都存在明顯的缺陷。傳統信息安全防護手段,在工控系統中使用,必須要進行適應性的改造,而且,考慮到實時性和資源受限的情況,只能使用輕量級、可裁剪的。傳統信息安全手段主要關注網絡安全,工業控制系統缺乏本質安全!
工業控制系統方位機制
根據對可信計算和安全計算概念的界定,衡量一個系統的可信程度包括以下相關特征:可用性、可靠性、防危性、安全性、可維護性。防危性是指系統可持續提供正常功能或不破壞其他系統和相關人員生命安全的方式中斷服務的概率。從系統論的角度來看,這些特性并不是完全孤立的,對于工業控制系統,安全性和防危性問題更突出,這兩者之間也是緊密聯系的。對于整個工控系統的安全,應該結合信息安全的防護手段和工控系統防危的防護手段來共同研究,這是我們主要的研究內容和方向。防危的基本原理是隔離應用請求與關鍵設備,根據實際系統的工作特點定制的一套防危策略,驗證所有對關鍵設備的操作請求,只有通過驗證的操作請求才可達硬件進行操作,拒絕所有未經過驗證的操作。
雖然防危技術手段是以隔離為主,但僅僅做隔離達不到對整體系統的防危要求。此外,我們認為非常有必要提高系統安全防御的主動性。基于此,我們提出的防危機制主要包括四個部分:主動防危、實時防危、全局防危及自主防危。
主動防危,即提高系統的預測能力,提高系統主動防御能力,通過歷史數據來建立數據的預測模型,實現對工業控制系統采集數據的預測,從而能夠對工控系統的安全風險給出精確的預測,做到防危的預警、預報,防患于未然。
實時防危,即利用預設的規則,通過高效的計算,進行實時現場異常檢測,及時發現出現的異常操作和異常節點,做到對系統的實時現場異常檢測。
全局防危,即對于較復雜的工控系統,例如電力監控系統,各個設備之間互相依賴,如果其中一個節點出現問題,將會影響到與之相連的其他節點,進而會使整個系統陷入癱瘓,引發大規模的監控系統安全問題。要根據現場環境、歷史數據和經驗,建立起系統網絡模型。通過風險傳遞算法的運算,預測出某一個(或多個)設備出現風險后系統中所有相關設備受影響的情況。做到對系統的整體風險預測和整體防危。
自主防危,即對系統各模塊進行狀態監控,在系統處于超負荷情況下,采取合理的措施,在確保系統穩定的前提下,通過優化配置,實現系統級優化運行,確保系統自身的穩定安全。
防危產品及在重點行業中的應用
我們所研究的防危機制和防危策略現在已經運用到相關的產品中,并已經在電力、安監等行業進行應用。工業控制系統信息安全的特殊性和重要性,決定了它不能按照傳統信息安全的解決路線來走,更不能依靠現有的信息安全技術和產品。特別是在我國工控系統缺乏自主可控技術,主要軟硬件依賴進口,安全問題受制于人的情況下,只有將安全設計的理念融入系統設計中,在研究統一的貫穿整個系統的安全框架基礎上,研發自主安全的核心芯片、實時操作系統和數據庫、工業應用軟件等,同時加強對控制技術、信息技術、電力電子技術等相關技術和信息安全技術融合的研究,才能在新一代的工業控制系統中真正做到自主可信、安全可控。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號