來源:賽迪網-中國電子報
工業控制系統信息安全技術的發展隨著工業自動化系統的發展而不斷演化。目前自動化系統發展的趨勢就是數字化、智能化、網絡化和人機交互人性化,同時將更多的IT技術應用到傳統的邏輯控制和數字控制中。工業控制系統信息安全技術未來也將進一步借助傳統IT技術,使其更加智能化、網絡化,成為控制系統不可缺少的一部分。與傳統IP互聯網的信息安全產品研發路線類似,工業控制系統信息安全產品將在信息安全與工業生產控制之間找到契合點,形成工業控制系統特色鮮明的安全輸入、安全控制、安全輸出類產品體系。
工控安全兼顧功能、物理和信息安全
通常情況下,工業控制系統安全可以分成三個方面,即功能安全、物理安全和信息安全。
功能安全是為了達到設備和工廠安全功能,受保護的、和控制設備的安全相關部分必須正確執行其功能,而且當失效或故障發生時,設備或系統必須仍能保持安全條件或進入到安全狀態。
物理安全是減少由于電擊、火災、輻射、機械危險、化學危險等因素造成的危害。
在IEC62443中針對工業控制系統信息安全的定義是:“保護系統所采取的措施;由建立和維護保護系統的措施所得到的系統狀態;能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失;基于計算機系統的能力,能夠保證非授權人員和系統既無法修改軟件及其數據,也無法訪問系統功能,卻保證授權人員和系統不被阻止;防止對工業控制系統的非法或有害入侵,或者干擾其正確和計劃的操作。”
三種安全在定義和內涵上有很大的差別。
功能安全,使用安全完整性等級的概念已有近20年。功能安全規范要求通常將一個部件或系統的安全表示為單個數字,而這個數字是為了保障人員健康、生產安全和環境安全而提出的基于該部件或系統失效率的保護因子。
物理安全,保護要素主要由一系列安全生產操作規范定義。政府、企業及行業組織等一般通過完備的安全生產操作流程約束工業系統現場操作的標準性,確保事故的可追溯性,并可以明確有關人員的責任,管理和制度因素是保護物理安全的主要方式。
工業控制系統信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產安全或環境安全,但是功能安全使用安全完整性等級是基于隨機硬件失效的一個部件或系統失效的可能性計算得出的,而信息安全系統有著更為廣闊的應用,以及更多可能的誘因和后果。影響信息安全的因數非常復雜,很難用一個簡單的數字描述出來。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護也必須是周而復始不斷進行的。
工控安全與網絡信息安全有別
工業控制系統信息安全與傳統的IP信息網絡安全的區別在于:1.安全需求不同,2.安全補丁與升級機制存在的區別,3.實時性方面的差異,4.安全保護優先級方面的差異,5.安全防護技術適應性方面的差異。
總體來說,傳統IP信息網絡安全已經發展到較為成熟的技術和設計準則(認證、訪問控制、信息完整性、特權分離等),這些能夠幫助我們阻止和響應針對工業控制系統的攻擊。然而,傳統意義上講,計算機信息安全研究關注于信息的保護,研究人員是不會考慮攻擊如何影響評估和控制算法以及最終攻擊是如何影響物理世界的。
當前已有的各種信息安全工具,能夠對控制系統安全給予必要機制,這些單獨的機制對于深度防護控制并不夠,通過深入理解控制系統與真實物理世界的交互過程,研究人員在未來需要開展的工作可能是:
1.更好地理解攻擊的后果:到目前為止,還沒有深入研究攻擊者獲得非授權訪問一些控制網絡設備后將造成的危害。
2.設計全新的攻擊檢測算法:通過理解物理過程應有的控制行為,并基于過程控制命令和傳感器測量,能夠識別攻擊者是否試圖干擾控制或傳感器的數據。
3.設計新的抗攻擊彈性算法和架構:檢測到一個工業控制系統攻擊行為,能夠適時改變控制命令,用于增加控制系統的彈性,減少損失。
4.設計適合工業SCADA系統現場設備的身份認證與密碼技術:目前一些成熟的、復雜的、健壯的密碼技術通常不能在工業控制系統的現場設備中完成訪問控制功能,主要原因在于過于復雜的密碼機制可能存在著在緊急情況下妨礙應急處理程序快速響應的風險。工業自動控制領域的專家一般認為相對較弱的密碼機制(如缺省密碼、固定密碼,甚至空口令等),比較容易在緊急情況下進行猜測、傳送等,進而不會對應急處理程序本身產生額外影響。
5.開發硬件兼容能力更強的工業SCADA系統安全防護技術:傳統IT數據網絡中安全防護能力較強的技術如身份認證、鑒別、加密、入侵檢測和訪問控制技術等普遍強調占用更多的網絡帶寬、處理器性能和內存資源,而這些資源在工業控制系統設備中十分有限,工業控制設備最初的設計目標是完成特定現場作業任務,它們一般是低成本、低處理器效能的設備。而且,在石油、供水等能源工業系統控制裝置中仍然在使用一些很陳舊的處理器(如1978年出廠的Intel8088處理器)。因此,在這類裝置中部署主流的信息安全防護技術而又不顯著降低工業現場控制裝置的性能具有一定難度。
6.研制兼容多種操作系統或軟件平臺的安全防護技術:傳統IT數據網絡中的信息安全技術機制,主要解決Windows、Linux、Unix等通用型操作系統平臺上的信息安全問題。而在工業SCADA系統領域,現場工業SCADA系統裝置一般使用設備供應商(ABB、西門子、霍尼韋爾等)獨立研發的、非公開的操作系統(有時稱為固件)、專用軟件平臺(如GE的iFix等)完成特定的工業過程控制功能。因此,如何在非通用操作系統及軟件平臺上開發、部署甚至升級信息安全防護技術,是工業SCADA系統信息安全未來需要重點解決的問題。
建立事前事中事后防護系統
工業控制系統信息安全內涵、需求和目標特性,決定了需要一些特殊的信息安全技術、措施,在工業生產過程中的IED、PLC、RTU、控制器、通信處理機、SCADA系統和各種實際的、各種類型的可編程數字化設備中使用或配置,達到保障工業控制系統生產、控制與管理的安全功能目標。所有自動控制系統信息安全的基礎技術是訪問控制和用戶身份認證,在此基礎上發展了一些通過探針、信道加密、數據包核查和認證等手段保護通信數據報文安全的技術。為實現功能安全前提下的工業控制系統信息安全,需要構筑工業控制系統信息安全事前、事中和事后的全面管理、整體安全的防護技術體系。
1.事前防御技術
事前防御技術是工業控制信息安全防護技術體系中較為重要的部分,目前有很多成熟的基礎技術可以利用:訪問控制/工業控制專用防火墻、身份認證、ID設備、基于生物特征的鑒別技術、安全的調制解調器、加密技術、公共密鑰基礎設施(PKI)、虛擬局域網(VPN)。
2.事中響應技術
入侵檢測(IDS)技術對于識別內部的錯誤操作和外部攻擊者嘗試獲得內部訪問權限的攻擊行為是非常有效的。它能夠檢測和識別出內部或外部用戶破壞網絡的意圖。IDS有兩種常見的形式:數字簽名檢測系統和不規則檢測系統。入侵者常常通過攻擊數字簽名,從而獲得進入系統的權限或破壞網絡的完整性。數字簽名檢測系統通過將現在的攻擊特性與已知攻擊特性數據庫進行比對,根據選擇的靈敏程度,最終確定比對結果。然后,根據比對結果,確定攻擊行為的發生,從而阻斷攻擊行為并且通報系統管理員當前系統正在遭受攻擊。不規則檢測技術通過對比正在運行的系統行為和正常系統行為之間的差異,確定入侵行為的發生且向系統管理員報警。例如,IDS能夠檢測在午夜時分系統不正常的活躍性或者外部網絡大量訪問某I/O端口等。當不正常的活動發生時,IDS能夠阻斷攻擊并且提醒系統管理員。
以上兩種IDS系統都有其優點和缺點,但是,它們都有一個相同的問題——如何設置檢測靈敏度。高靈敏度會造成錯誤的入侵報警,IDS會對每個入侵警報作相應的系統動作,因此,過多的錯誤入侵警報,不僅會破壞正常系統的某些必須的功能,而且還會對系統造成大量額外的負擔。而低靈敏度會使IDS不能檢測到某些入侵行為的發生,因此IDS會對一些入侵行為視而不見,從而使入侵者成功進入系統,造成不可預期的損失。
3.事后取證技術
審計日志機制是對合法的和非合法的用戶的認證信息和其他特征信息進行記錄的文件,是工業控制系統信息安全主要的事后取證技術之一。因此,每個對系統的訪問及其相關操作均需要記錄在案。當診斷和審核網絡電子入侵是否發生時,審計日記是必不可少的判斷標準之一。此外,系統行為記錄也是工業SCADA系統信息安全的常用技術。
這些是在工業控制系統信息安全中一些常用的、常規性技術,而在工業控制系統信息安全實施過程中,還有一些特別的關鍵技術。
(作者系中國電子科技集團公司信息安全首席專家、第三十研究所副總工程師 饒志宏)