今日頭條
官方微信
官方抖音
資訊頻道1 引言
由于工業控制系統安全事故頻發及逐年上升,工業控制系統信息安全的嚴峻形勢引起了國內外的高度關注。工業控制系統信息安全涉及石油、化工、電力、核設施、交通、冶金、水處理、生產制造等行業,直接關系到國家關鍵基礎設施和國民經濟,因此,工業控制系統信息安全已經上升至國家層面,是國家網絡安全的重要組成部分。
工業控制系統信息安技術,作為工業控制系統信息安全的重中之重,正吸引著全球工業控制系統產品制造商、用戶、工程公司、相關職能部門的目光。積極探求現有的工業控制系統信息安技術,努力開發新的工業控制系統信息安全技術,必然成為大勢所趨。理解和掌握這些工業控制系統信息安全技術,才能為工業控制系統信息安全提供有效的解決方案。
2 現有的工業控制系統信息安全技術
現有的工業控制系統信息安全技術有多種,包括鑒別與授權技術,過濾、阻止、訪問控制技術,編碼技術與數據確認技術,管理、審計、測量、監控和檢測技術,物理安全控制技術等。
2.1 鑒別與授權技術
鑒別與授權,是工業控制系統訪問控制的最基本要求。鑒別,用于驗證用戶所聲稱的身份,驗證用戶身份的過程或裝置,通常是允許進行信息系統資源訪問的先決條件。授權,是批準進入系統訪問系統資源的權利或允許。
鑒別與授權技術包括基于角色的授權工具、口令鑒別、物理/令牌鑒別、智能卡鑒別、生物鑒別、基于位置的鑒別、設備至設備的鑒別等。
(1)基于角色的授權工具
根據工業控制系統用戶的角色或職責,分配不同的訪問權限,如操作人員權限、維護人員權限、管理人員權限、工程人員權限等。
目前的工業控制系統均配置這種基于角色的授權工具。
(2)口令鑒別
口令鑒別是工業控制系統最簡單、最常用的鑒別技術。
在工業控制系統中,口令能夠用于限制授權用戶請求的服務和功能。
(3)物理/令牌鑒別
物理/令牌鑒別與口令鑒別相似,只是用戶在請求訪問時必須有安全令牌或智能卡。
(4)智能卡鑒別
智能卡鑒別與令牌鑒別相似,只是它能提供更多的功能。
(5)生物鑒別
生物鑒別通過請求用戶獨特的生物特征來確定真實性。
常用的生物鑒別有指紋儀、掌形儀、眼睛識別、面部識別、聲音識別等。
(6) 基于位置的鑒別
基于位置的鑒別技術是通過設備或請求訪問用戶的空間位置來確定真實性。
這種鑒別技術通常要求系統配有GPS技術,因此,目前這種技術應用較少見。
(7) 設備至設備的鑒別
設備至設備的鑒別確保在兩個設備之間數據傳送發生的惡意改變能得到識別。
這種鑒別技術通常與編碼技術一起部署。
2.2 過濾、阻止、訪問控制技術
訪問控制技術是過濾和阻止技術,用于指導和調節已授權的設備或系統的信息流量。
過濾、阻止、訪問控制技術包括工業防火墻技術、基于主機的防火墻技術、虛擬網絡技術等。
(1)工業防火墻技術
工業防火墻是工業控制系統信息安全必須配置的設備。工業防火墻技術是工業控制系統信息安全技術的基礎。
工業控制系統防火墻技術可以實現區域管控,劃分控制系統安全區域,對安全區域實現隔離保護,保護合法用戶訪問網絡資源;同時,可以對控制協議進行深度解析,解析Modbus、DNP3等應用層異常數據流量,并對OPC端口進行動態追蹤,對關鍵寄存器和操作進行保護。
工業防火墻技術包括數據包過濾技術、狀態包檢測技術和代理服務技術。
數據包過濾防火墻適用于工業控制,早期市場中已普遍使用,但其缺陷也慢慢顯現出來。
狀態包檢測防火墻適用于工業控制,在目前市場中正在推廣應用,其優越性也開始顯現。
代理服務網關防火墻不太適用于工業控制,但也有不計較延時情況的應用。
(2)基于主機的防火墻技術
基于主機的防火墻技術是部署在工作站或控制器的軟件解決方案,用于控制進出特定設備的流量。
這種基于主機的防火墻技術具有與工業防火墻類似的能力,包括狀態包檢測。目前這種技術偶爾用于非關鍵的工作站。
(3)虛擬網絡技術
虛擬局域網將物理網絡分成幾個更小的邏輯網絡,以增加性能、提高可管理性、以及簡化網絡設計。
這種技術在控制系統中運用較多。
2.3 編碼技術與數據確認技術
編碼技術是為了確保信息僅對授權訪問的信息數據的編碼與解碼的過程。數據確認技術可以保護用于工業過程的信息的準確性和完整性。
編碼技術與數據確認技術包括對稱密鑰編碼技術、公鑰編碼與密鑰分配技術、虛擬專用網絡技術等。
(1)對稱密鑰編碼技術
對稱密鑰編碼需要將明碼文本轉換成密碼文本,且在加密和解密均用同一把密鑰。
目前常見的對稱密鑰算法有三重數據加密標準(3DES)和高級加密標準(AES)。AES常見的有AES12、AES192或AES256。
(2)公鑰編碼與密鑰分配技術
與對稱密鑰編碼不同的是,公鑰編碼使用一對不同而有關聯的密鑰(也稱公私鑰對)。
這類公鑰鑒別通常部署在傳輸層安全(如SSL)、虛擬公網技術(如IPsec)等。
(3) 虛擬專用網絡技術
虛擬專用網(VPN)技術是一種采用加密、認證等安全機制,在公共網絡基礎設施上建立安全、獨占、自治的邏輯網絡技術。它不僅可以保護網絡的邊界安全,同時也是一種網絡互連的方式。
目前,SSL VPN已廣泛應用于控制系統。
2.4 管理、審計、測量、監控和檢測技術
審計、監控和檢測技術提供分析信息安全漏洞、檢測可能損害、以及辯證分析損害事件的能力。
管理、審計、測量、監控和檢測技術包括日志審核工具、病毒與惡意代碼檢測系統、入侵檢測與入侵防護技術、漏洞掃描技術、辯論與分析工具。
(1)日志審核工具
日志審核工具是為系統管理員管理系統日志的工具,能夠發現并記錄信息安全事件發生的跡象、文件以及攻擊入口等。
目前市場上也出現一些日志審核工具,如大多數操作系統都有維修日志文件等。
(2)病毒與惡意代碼檢測系統
病毒與惡意代碼檢測系統是一種主動檢測非正常活動的代理機制。
病毒與惡意代碼檢測系統通常部署在工作站、服務器和邊界。
(3)入侵檢測與入侵防護技術
入侵檢測是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。
入侵防護是一種主動的、智能的入侵檢測、防范、阻止系統,其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。
目前,入侵檢測與入侵防護技術已在控制系統中開始采用。
(4)漏洞掃描技術
漏洞掃描技術是一種檢測系統和網絡漏洞的方式,這種方式通常用在企業系統網絡遭到破壞惡意入侵者進入控制系統時進行檢測。
漏洞掃描技術通常由漏洞庫、掃描引擎、本地管理權限代理和報告機制組成。
由于工業控制系統漏洞庫比較有限,因此其漏洞掃描技術應用并不多。
(5)辯論與分析工具
辯論與分析工具用于基本的網絡活動,分析非正常的網絡流量,以幫助信息安全研究人員和控制系統管理員。
2.5 物理安全控制技術
物理安全控制采用一些物理措施,以限制對工業控制系統信息資產的物理訪問。
物理安全控制技術包括物理保護、人員安全等。
(1)物理保護
工業控制系統物理保護通常指的是安全防范系統,包括訪問監視系統和訪問限制系統。
訪問監視系統包括攝像機、傳感器等識別系統。訪問限制系統包括圍欄、門、門禁、保安等。
(2)人員安全
工業控制系統人員安全通常指的是減少人為的失誤、盜竊、欺騙、或有意/無意濫用信息資產的可能性和風險。
這些人員安全通常包括雇傭方針、公司方針與實踐、任用條款等。
3 新發展的工業控制系統信息安全技術
隨著工業控制系統信息安全深入研究與發展,新的信息安全技術必然會層出不窮。
目前市場上出現的工業控制系統信息安全技術有工業控制系統加固技術和信息安全工廠技術,現簡單分析如下,供大家參考。
3.1 工業控制系統加固技術
工業控制系統頻繁遭受攻擊,人們自然會想到工業控制系統加固技術。
在國外,有自動化產品制造商已經完成對PLC控制系統的加固設計,并很快將投放市場。
3.1.1 工業控制系統加固技術產生背景
由于大部分工業控制系統信息安全事件均來自控制系統本身,如控制器操作系統有漏洞、I/O模塊與接線存在隱患、電源部分不可靠等。因此,工業控制系統加固有很大的空間。
3.1.2 工業控制系統加固技術設計
通過對底板、I/O模塊、電源部分以及PLC控制器加固,為控制系統信息安全提供更好的防護。其設計特點分析如下:
(1)底板
采用快速I/O通信和電磁連接,免去I/O接插線,增加信息安全和電氣隔離;
采用4GB黑色織物通信,能夠提供1ms的掃描時間,不管I/O點數和用戶運用程序;
采用金屬構造,光纖星形網絡可支持20km跨度,提供分布和運用靈活性的最高等級。
(2)I/O模塊
采用虛擬接線系列(VMS),使用三種I/O模塊類型,即通用模擬量、通用開關量輸入和通用開關量輸出;
采用通用總線模塊,支持PROFIBUS、DeviceNet、工業以太網和現場基金總線。
(3)控制器
采用一個通用控制器,針對所有控制模式;
采用冗余連接,減少過程中斷;
控制器底板配置先進診斷技術,提高運行時間,增加資產使用率,并給出分析報告;
采用冗余層次和嵌入式信息安全,提供安全運作。配有SIL3密碼黑色織物臂安全處理器,其實時操作系統信息安全性評估已達EAL6+。
(4)電源部分
采用安全電源解決方案,包括電源和UPS部件設計,為用戶加強安全。
3.2 信息安全工廠技術
最近,信息安全工廠(SecurePlant)作為工業信息安全技術新名詞,引起各位專業同行的高度關注。
信息安全工廠是一個針對工業控制系統全面信息安全管理解決方案,由橫河電氣、思科和殼牌三家公司共同提出。
3.2.1 信息安全工廠技術產生背景
鑒于大多數公司在全球運作,每個工廠都面對信息安全的挑戰,每個工廠也采用不同的應對方式,從而導致每個工廠的信息安全等級不同,缺乏一個統一的標準。
3.2.2 信息安全工廠技術設計
這種信息安全工廠解決方案設計由以下幾點組成:
(1)補丁和抗病毒設計
這種設計,為控制系統提供操作系統補丁和防病毒模式文件。
通過現有公司全球網絡,供應商認證的視窗信息安全補丁和病毒簽名文件由安全中心(SecureCenter)向每個工廠的安全現場(SecureSite)分發。
(2)實時和主動監視設計
這種設計,為控制系統提供實時和主動監視。
這種實時和主動監視能力使得工廠信息安全集中化管理得以實現。
(3)幫助桌面設計
這種設計,為管理這種解決方案提供幫助桌面運作。
通過供應商的合作,為用戶提供24/7/365幫助桌面,管理解決方案相應的事件。
4 結束語
通過上面的分析和探討可知,工業控制系統信息安全技術是一門相對較成熟的技術。熟練掌握和運用這些技術,才能有效解決工業控制系統信息安全事件頻發,保證工業控制系統正常運行,為國民經濟建設和發展保駕護航。
同時,我們也應該認識到,工業控制系統信息安全技術是一門不斷深入發展的技術。隨著工業控制系統廣泛運用和不斷發展,其信息安全必將面臨更加嚴峻的挑戰,其信息安全技術的研究開發必將快速推進。
參考文獻:
[1] IEC62443 - 3 - 1 Security for Industrial Automation and Control Systems Part 3 - 1 Security Technologies for Industrial Automation and Control Systems [S]. 2012.
[2] ARC. Control system, PLC, IO, backplane, power supply are secure by design, 2015.
[3] Yokogawa. Companies collaborate to provide cybersecurity solutions for oil plants [J]. Control Engineering, 2015, 2.
作者簡介
肖建榮(1969-),男,高級工程師,主要從事工業電氣、儀表自動化工程設計、編程和調試工作。
摘自《自動化博覽》6月刊
北京市公安局海淀分局備案號:11010802023656號