今日頭條
官方微信
官方抖音
資訊頻道1 引言
由于工業(yè)控制系統(tǒng)安全事故頻發(fā)及逐年上升,工業(yè)控制系統(tǒng)信息安全的嚴(yán)峻形勢引起了國內(nèi)外的高度關(guān)注。工業(yè)控制系統(tǒng)信息安全涉及石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè),直接關(guān)系到國家關(guān)鍵基礎(chǔ)設(shè)施和國民經(jīng)濟(jì),因此,工業(yè)控制系統(tǒng)信息安全已經(jīng)上升至國家層面,是國家網(wǎng)絡(luò)安全的重要組成部分。
工業(yè)控制系統(tǒng)信息安技術(shù),作為工業(yè)控制系統(tǒng)信息安全的重中之重,正吸引著全球工業(yè)控制系統(tǒng)產(chǎn)品制造商、用戶、工程公司、相關(guān)職能部門的目光。積極探求現(xiàn)有的工業(yè)控制系統(tǒng)信息安技術(shù),努力開發(fā)新的工業(yè)控制系統(tǒng)信息安全技術(shù),必然成為大勢所趨。理解和掌握這些工業(yè)控制系統(tǒng)信息安全技術(shù),才能為工業(yè)控制系統(tǒng)信息安全提供有效的解決方案。
2 現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)
現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)有多種,包括鑒別與授權(quán)技術(shù),過濾、阻止、訪問控制技術(shù),編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù),管理、審計、測量、監(jiān)控和檢測技術(shù),物理安全控制技術(shù)等。
2.1 鑒別與授權(quán)技術(shù)
鑒別與授權(quán),是工業(yè)控制系統(tǒng)訪問控制的最基本要求。鑒別,用于驗(yàn)證用戶所聲稱的身份,驗(yàn)證用戶身份的過程或裝置,通常是允許進(jìn)行信息系統(tǒng)資源訪問的先決條件。授權(quán),是批準(zhǔn)進(jìn)入系統(tǒng)訪問系統(tǒng)資源的權(quán)利或允許。
鑒別與授權(quán)技術(shù)包括基于角色的授權(quán)工具、口令鑒別、物理/令牌鑒別、智能卡鑒別、生物鑒別、基于位置的鑒別、設(shè)備至設(shè)備的鑒別等。
(1)基于角色的授權(quán)工具
根據(jù)工業(yè)控制系統(tǒng)用戶的角色或職責(zé),分配不同的訪問權(quán)限,如操作人員權(quán)限、維護(hù)人員權(quán)限、管理人員權(quán)限、工程人員權(quán)限等。
目前的工業(yè)控制系統(tǒng)均配置這種基于角色的授權(quán)工具。
(2)口令鑒別
口令鑒別是工業(yè)控制系統(tǒng)最簡單、最常用的鑒別技術(shù)。
在工業(yè)控制系統(tǒng)中,口令能夠用于限制授權(quán)用戶請求的服務(wù)和功能。
(3)物理/令牌鑒別
物理/令牌鑒別與口令鑒別相似,只是用戶在請求訪問時必須有安全令牌或智能卡。
(4)智能卡鑒別
智能卡鑒別與令牌鑒別相似,只是它能提供更多的功能。
(5)生物鑒別
生物鑒別通過請求用戶獨(dú)特的生物特征來確定真實(shí)性。
常用的生物鑒別有指紋儀、掌形儀、眼睛識別、面部識別、聲音識別等。
(6) 基于位置的鑒別
基于位置的鑒別技術(shù)是通過設(shè)備或請求訪問用戶的空間位置來確定真實(shí)性。
這種鑒別技術(shù)通常要求系統(tǒng)配有GPS技術(shù),因此,目前這種技術(shù)應(yīng)用較少見。
(7) 設(shè)備至設(shè)備的鑒別
設(shè)備至設(shè)備的鑒別確保在兩個設(shè)備之間數(shù)據(jù)傳送發(fā)生的惡意改變能得到識別。
這種鑒別技術(shù)通常與編碼技術(shù)一起部署。
2.2 過濾、阻止、訪問控制技術(shù)
訪問控制技術(shù)是過濾和阻止技術(shù),用于指導(dǎo)和調(diào)節(jié)已授權(quán)的設(shè)備或系統(tǒng)的信息流量。
過濾、阻止、訪問控制技術(shù)包括工業(yè)防火墻技術(shù)、基于主機(jī)的防火墻技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)等。
(1)工業(yè)防火墻技術(shù)
工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。
工業(yè)控制系統(tǒng)防火墻技術(shù)可以實(shí)現(xiàn)區(qū)域管控,劃分控制系統(tǒng)安全區(qū)域,對安全區(qū)域?qū)崿F(xiàn)隔離保護(hù),保護(hù)合法用戶訪問網(wǎng)絡(luò)資源;同時,可以對控制協(xié)議進(jìn)行深度解析,解析Modbus、DNP3等應(yīng)用層異常數(shù)據(jù)流量,并對OPC端口進(jìn)行動態(tài)追蹤,對關(guān)鍵寄存器和操作進(jìn)行保護(hù)。
工業(yè)防火墻技術(shù)包括數(shù)據(jù)包過濾技術(shù)、狀態(tài)包檢測技術(shù)和代理服務(wù)技術(shù)。
數(shù)據(jù)包過濾防火墻適用于工業(yè)控制,早期市場中已普遍使用,但其缺陷也慢慢顯現(xiàn)出來。
狀態(tài)包檢測防火墻適用于工業(yè)控制,在目前市場中正在推廣應(yīng)用,其優(yōu)越性也開始顯現(xiàn)。
代理服務(wù)網(wǎng)關(guān)防火墻不太適用于工業(yè)控制,但也有不計較延時情況的應(yīng)用。
(2)基于主機(jī)的防火墻技術(shù)
基于主機(jī)的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案,用于控制進(jìn)出特定設(shè)備的流量。
這種基于主機(jī)的防火墻技術(shù)具有與工業(yè)防火墻類似的能力,包括狀態(tài)包檢測。目前這種技術(shù)偶爾用于非關(guān)鍵的工作站。
(3)虛擬網(wǎng)絡(luò)技術(shù)
虛擬局域網(wǎng)將物理網(wǎng)絡(luò)分成幾個更小的邏輯網(wǎng)絡(luò),以增加性能、提高可管理性、以及簡化網(wǎng)絡(luò)設(shè)計。
這種技術(shù)在控制系統(tǒng)中運(yùn)用較多。
2.3 編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù)
編碼技術(shù)是為了確保信息僅對授權(quán)訪問的信息數(shù)據(jù)的編碼與解碼的過程。數(shù)據(jù)確認(rèn)技術(shù)可以保護(hù)用于工業(yè)過程的信息的準(zhǔn)確性和完整性。
編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù)包括對稱密鑰編碼技術(shù)、公鑰編碼與密鑰分配技術(shù)、虛擬專用網(wǎng)絡(luò)技術(shù)等。
(1)對稱密鑰編碼技術(shù)
對稱密鑰編碼需要將明碼文本轉(zhuǎn)換成密碼文本,且在加密和解密均用同一把密鑰。
目前常見的對稱密鑰算法有三重數(shù)據(jù)加密標(biāo)準(zhǔn)(3DES)和高級加密標(biāo)準(zhǔn)(AES)。AES常見的有AES12、AES192或AES256。
(2)公鑰編碼與密鑰分配技術(shù)
與對稱密鑰編碼不同的是,公鑰編碼使用一對不同而有關(guān)聯(lián)的密鑰(也稱公私鑰對)。
這類公鑰鑒別通常部署在傳輸層安全(如SSL)、虛擬公網(wǎng)技術(shù)(如IPsec)等。
(3) 虛擬專用網(wǎng)絡(luò)技術(shù)
虛擬專用網(wǎng)(VPN)技術(shù)是一種采用加密、認(rèn)證等安全機(jī)制,在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全、獨(dú)占、自治的邏輯網(wǎng)絡(luò)技術(shù)。它不僅可以保護(hù)網(wǎng)絡(luò)的邊界安全,同時也是一種網(wǎng)絡(luò)互連的方式。
目前,SSL VPN已廣泛應(yīng)用于控制系統(tǒng)。
2.4 管理、審計、測量、監(jiān)控和檢測技術(shù)
審計、監(jiān)控和檢測技術(shù)提供分析信息安全漏洞、檢測可能損害、以及辯證分析損害事件的能力。
管理、審計、測量、監(jiān)控和檢測技術(shù)包括日志審核工具、病毒與惡意代碼檢測系統(tǒng)、入侵檢測與入侵防護(hù)技術(shù)、漏洞掃描技術(shù)、辯論與分析工具。
(1)日志審核工具
日志審核工具是為系統(tǒng)管理員管理系統(tǒng)日志的工具,能夠發(fā)現(xiàn)并記錄信息安全事件發(fā)生的跡象、文件以及攻擊入口等。
目前市場上也出現(xiàn)一些日志審核工具,如大多數(shù)操作系統(tǒng)都有維修日志文件等。
(2)病毒與惡意代碼檢測系統(tǒng)
病毒與惡意代碼檢測系統(tǒng)是一種主動檢測非正常活動的代理機(jī)制。
病毒與惡意代碼檢測系統(tǒng)通常部署在工作站、服務(wù)器和邊界。
(3)入侵檢測與入侵防護(hù)技術(shù)
入侵檢測是通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵防護(hù)是一種主動的、智能的入侵檢測、防范、阻止系統(tǒng),其設(shè)計旨在預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。
目前,入侵檢測與入侵防護(hù)技術(shù)已在控制系統(tǒng)中開始采用。
(4)漏洞掃描技術(shù)
漏洞掃描技術(shù)是一種檢測系統(tǒng)和網(wǎng)絡(luò)漏洞的方式,這種方式通常用在企業(yè)系統(tǒng)網(wǎng)絡(luò)遭到破壞惡意入侵者進(jìn)入控制系統(tǒng)時進(jìn)行檢測。
漏洞掃描技術(shù)通常由漏洞庫、掃描引擎、本地管理權(quán)限代理和報告機(jī)制組成。
由于工業(yè)控制系統(tǒng)漏洞庫比較有限,因此其漏洞掃描技術(shù)應(yīng)用并不多。
(5)辯論與分析工具
辯論與分析工具用于基本的網(wǎng)絡(luò)活動,分析非正常的網(wǎng)絡(luò)流量,以幫助信息安全研究人員和控制系統(tǒng)管理員。
2.5 物理安全控制技術(shù)
物理安全控制采用一些物理措施,以限制對工業(yè)控制系統(tǒng)信息資產(chǎn)的物理訪問。
物理安全控制技術(shù)包括物理保護(hù)、人員安全等。
(1)物理保護(hù)
工業(yè)控制系統(tǒng)物理保護(hù)通常指的是安全防范系統(tǒng),包括訪問監(jiān)視系統(tǒng)和訪問限制系統(tǒng)。
訪問監(jiān)視系統(tǒng)包括攝像機(jī)、傳感器等識別系統(tǒng)。訪問限制系統(tǒng)包括圍欄、門、門禁、保安等。
(2)人員安全
工業(yè)控制系統(tǒng)人員安全通常指的是減少人為的失誤、盜竊、欺騙、或有意/無意濫用信息資產(chǎn)的可能性和風(fēng)險。
這些人員安全通常包括雇傭方針、公司方針與實(shí)踐、任用條款等。
3 新發(fā)展的工業(yè)控制系統(tǒng)信息安全技術(shù)
隨著工業(yè)控制系統(tǒng)信息安全深入研究與發(fā)展,新的信息安全技術(shù)必然會層出不窮。
目前市場上出現(xiàn)的工業(yè)控制系統(tǒng)信息安全技術(shù)有工業(yè)控制系統(tǒng)加固技術(shù)和信息安全工廠技術(shù),現(xiàn)簡單分析如下,供大家參考。
3.1 工業(yè)控制系統(tǒng)加固技術(shù)
工業(yè)控制系統(tǒng)頻繁遭受攻擊,人們自然會想到工業(yè)控制系統(tǒng)加固技術(shù)。
在國外,有自動化產(chǎn)品制造商已經(jīng)完成對PLC控制系統(tǒng)的加固設(shè)計,并很快將投放市場。
3.1.1 工業(yè)控制系統(tǒng)加固技術(shù)產(chǎn)生背景
由于大部分工業(yè)控制系統(tǒng)信息安全事件均來自控制系統(tǒng)本身,如控制器操作系統(tǒng)有漏洞、I/O模塊與接線存在隱患、電源部分不可靠等。因此,工業(yè)控制系統(tǒng)加固有很大的空間。
3.1.2 工業(yè)控制系統(tǒng)加固技術(shù)設(shè)計
通過對底板、I/O模塊、電源部分以及PLC控制器加固,為控制系統(tǒng)信息安全提供更好的防護(hù)。其設(shè)計特點(diǎn)分析如下:
(1)底板
采用快速I/O通信和電磁連接,免去I/O接插線,增加信息安全和電氣隔離;
采用4GB黑色織物通信,能夠提供1ms的掃描時間,不管I/O點(diǎn)數(shù)和用戶運(yùn)用程序;
采用金屬構(gòu)造,光纖星形網(wǎng)絡(luò)可支持20km跨度,提供分布和運(yùn)用靈活性的最高等級。
(2)I/O模塊
采用虛擬接線系列(VMS),使用三種I/O模塊類型,即通用模擬量、通用開關(guān)量輸入和通用開關(guān)量輸出;
采用通用總線模塊,支持PROFIBUS、DeviceNet、工業(yè)以太網(wǎng)和現(xiàn)場基金總線。
(3)控制器
采用一個通用控制器,針對所有控制模式;
采用冗余連接,減少過程中斷;
控制器底板配置先進(jìn)診斷技術(shù),提高運(yùn)行時間,增加資產(chǎn)使用率,并給出分析報告;
采用冗余層次和嵌入式信息安全,提供安全運(yùn)作。配有SIL3密碼黑色織物臂安全處理器,其實(shí)時操作系統(tǒng)信息安全性評估已達(dá)EAL6+。
(4)電源部分
采用安全電源解決方案,包括電源和UPS部件設(shè)計,為用戶加強(qiáng)安全。
3.2 信息安全工廠技術(shù)
最近,信息安全工廠(SecurePlant)作為工業(yè)信息安全技術(shù)新名詞,引起各位專業(yè)同行的高度關(guān)注。
信息安全工廠是一個針對工業(yè)控制系統(tǒng)全面信息安全管理解決方案,由橫河電氣、思科和殼牌三家公司共同提出。
3.2.1 信息安全工廠技術(shù)產(chǎn)生背景
鑒于大多數(shù)公司在全球運(yùn)作,每個工廠都面對信息安全的挑戰(zhàn),每個工廠也采用不同的應(yīng)對方式,從而導(dǎo)致每個工廠的信息安全等級不同,缺乏一個統(tǒng)一的標(biāo)準(zhǔn)。
3.2.2 信息安全工廠技術(shù)設(shè)計
這種信息安全工廠解決方案設(shè)計由以下幾點(diǎn)組成:
(1)補(bǔ)丁和抗病毒設(shè)計
這種設(shè)計,為控制系統(tǒng)提供操作系統(tǒng)補(bǔ)丁和防病毒模式文件。
通過現(xiàn)有公司全球網(wǎng)絡(luò),供應(yīng)商認(rèn)證的視窗信息安全補(bǔ)丁和病毒簽名文件由安全中心(SecureCenter)向每個工廠的安全現(xiàn)場(SecureSite)分發(fā)。
(2)實(shí)時和主動監(jiān)視設(shè)計
這種設(shè)計,為控制系統(tǒng)提供實(shí)時和主動監(jiān)視。
這種實(shí)時和主動監(jiān)視能力使得工廠信息安全集中化管理得以實(shí)現(xiàn)。
(3)幫助桌面設(shè)計
這種設(shè)計,為管理這種解決方案提供幫助桌面運(yùn)作。
通過供應(yīng)商的合作,為用戶提供24/7/365幫助桌面,管理解決方案相應(yīng)的事件。
4 結(jié)束語
通過上面的分析和探討可知,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門相對較成熟的技術(shù)。熟練掌握和運(yùn)用這些技術(shù),才能有效解決工業(yè)控制系統(tǒng)信息安全事件頻發(fā),保證工業(yè)控制系統(tǒng)正常運(yùn)行,為國民經(jīng)濟(jì)建設(shè)和發(fā)展保駕護(hù)航。
同時,我們也應(yīng)該認(rèn)識到,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門不斷深入發(fā)展的技術(shù)。隨著工業(yè)控制系統(tǒng)廣泛運(yùn)用和不斷發(fā)展,其信息安全必將面臨更加嚴(yán)峻的挑戰(zhàn),其信息安全技術(shù)的研究開發(fā)必將快速推進(jìn)。
參考文獻(xiàn):
[1] IEC62443 - 3 - 1 Security for Industrial Automation and Control Systems Part 3 - 1 Security Technologies for Industrial Automation and Control Systems [S]. 2012.
[2] ARC. Control system, PLC, IO, backplane, power supply are secure by design, 2015.
[3] Yokogawa. Companies collaborate to provide cybersecurity solutions for oil plants [J]. Control Engineering, 2015, 2.
作者簡介
肖建榮(1969-),男,高級工程師,主要從事工業(yè)電氣、儀表自動化工程設(shè)計、編程和調(diào)試工作。
摘自《自動化博覽》6月刊
北京市公安局海淀分局備案號:11010802023656號