今日頭條
官方微信
官方抖音
資訊頻道
1 引言
近年來,隨著社會的進(jìn)步,工業(yè)控制系統(tǒng)已廣泛應(yīng)用于各種關(guān)系到國計(jì)民生的安全關(guān)鍵系統(tǒng)中。物聯(lián)網(wǎng)的普及以及兩化融合的推進(jìn),使得大量IT技術(shù)被應(yīng)用到工業(yè)生產(chǎn)中,工業(yè)控制系統(tǒng)已從傳統(tǒng)孤立、封閉,向著大規(guī)模、開放性、互聯(lián)互通的方向發(fā)展。然而,在控制系統(tǒng)發(fā)展的初期,主要考慮系統(tǒng)的可用性和可靠性,對系統(tǒng)的信息安全并未提出很高的要求,這就不可避免地導(dǎo)致系統(tǒng)存在安全缺陷。這些缺陷如果被人利用,將會導(dǎo)致大量的工業(yè)控制系統(tǒng)信息安全事件,如2010年發(fā)生的“震網(wǎng)”病毒事件。工業(yè)控制系統(tǒng)是信息域和物理域交互的復(fù)雜系統(tǒng),信息攻擊導(dǎo)致物理系統(tǒng)故障,甚至可以引發(fā)重大安全事故,造成嚴(yán)重經(jīng)濟(jì)損失和社會負(fù)面效應(yīng)。據(jù)美國工業(yè)控制系統(tǒng)信息安全應(yīng)急響應(yīng)小組(Industrial Control Systems Cyber Emergency Response Team)統(tǒng)計(jì),工業(yè)控制系統(tǒng)信息安全事件呈現(xiàn)愈演愈烈、逐年急劇上升的態(tài)勢,并且?guī)缀跎婕瓣P(guān)乎國家安全和國民生計(jì)的所有行業(yè)領(lǐng)域。因此,工業(yè)控制系統(tǒng)信息安全防護(hù)問題是一個亟待解決的、無法避免,也不能避免的關(guān)鍵問題。
2 工業(yè)控制系統(tǒng)信息安全特點(diǎn)
與IT系統(tǒng)不同,工業(yè)控制系統(tǒng)功能、結(jié)構(gòu)相對固定,IT領(lǐng)域信息安全解決方案并不能完全滿足工業(yè)控制系統(tǒng)信息安全需求。工業(yè)控制系統(tǒng)是具有較長生命周期的生產(chǎn)運(yùn)行系統(tǒng),系統(tǒng)組件一般要求能夠運(yùn)行15~20年,對其可靠性和可用性要求很高。在信息安全方面不僅要保障IT領(lǐng)域所重點(diǎn)關(guān)注的數(shù)據(jù)安全、內(nèi)容安全,更重要的是保障其物理安全和系統(tǒng)的運(yùn)行安全。作為實(shí)時關(guān)鍵系統(tǒng),其工作方式和運(yùn)行特點(diǎn)(24/7/365)決定了信息安全三個安全屬性中可用性優(yōu)先于完整性和機(jī)密性。因此,系統(tǒng)意外停機(jī)是不允許的,必須提前數(shù)天或數(shù)周進(jìn)行通知和計(jì)劃。軟件的更新和數(shù)據(jù)庫的升級必須經(jīng)過嚴(yán)格的測試才能應(yīng)用于工業(yè)控制系統(tǒng)。
工業(yè)控制系統(tǒng)是集深度嵌入網(wǎng)絡(luò)通信、計(jì)算控制、物理過程于一體的復(fù)雜信息物理融合系統(tǒng)。與物理過程的復(fù)雜交互,如現(xiàn)場PLC直接控制最終生產(chǎn)過程,使得網(wǎng)絡(luò)信息攻擊可延伸到物理環(huán)境,嚴(yán)重影響系統(tǒng)或設(shè)備的可用性,發(fā)生安全事故,對人員、環(huán)境、資產(chǎn)造成威脅。因此,工業(yè)控制系統(tǒng)信息安全的主要風(fēng)險來源于信息攻擊而引起可用性損失,并且重點(diǎn)關(guān)注由此導(dǎo)致的生命、財(cái)產(chǎn)和環(huán)境的損失。其中,人員的安全風(fēng)險置于最高優(yōu)先級,其次是保護(hù)系統(tǒng)設(shè)備及環(huán)境。工業(yè)控制系統(tǒng)的實(shí)時、動態(tài)、長周期特性,也決定了工業(yè)控制系統(tǒng)信息安全動態(tài)風(fēng)險管理必須滿足系統(tǒng)全生命周期的管理和控制需求。
3 工業(yè)控制系統(tǒng)信息安全防護(hù)的主要內(nèi)容
大量IT技術(shù)的采用,工業(yè)控制系統(tǒng)面臨的信息安全威脅日趨嚴(yán)重。各種網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展,使得單一的防御技術(shù)已經(jīng)很難抵御網(wǎng)絡(luò)威脅。作為生產(chǎn)運(yùn)行系統(tǒng),工業(yè)控制系統(tǒng)信息安全防護(hù)是一個涉及整個系統(tǒng)全生命周期的、動態(tài)防護(hù)過程。其防護(hù)在標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下,不僅需要從技術(shù)上保障,同樣需要從管理上進(jìn)行優(yōu)化。圖1顯示了工業(yè)控制系統(tǒng)信息安全綜合防護(hù)所涉及的主要功能模塊。
圖1 工業(yè)控制系統(tǒng)信息安全防護(hù)的主要功能模塊
工業(yè)控制系統(tǒng)信息安全管理須遵循一定的標(biāo)準(zhǔn)規(guī)范,包括管理規(guī)范、設(shè)計(jì)規(guī)范和評估規(guī)范。管理規(guī)范,規(guī)定合理有效的策略操作和控制流程,指導(dǎo)工作人員行為,提升員工的業(yè)務(wù)水平,減少管理上帶來的系統(tǒng)風(fēng)險。系統(tǒng)設(shè)計(jì)也需要遵循標(biāo)準(zhǔn)的設(shè)計(jì)規(guī)范。按照規(guī)范的流程,多方面考慮控制系統(tǒng)需求,詳細(xì)地對系統(tǒng)各階段、各部分進(jìn)行分析和規(guī)劃,盡可能在設(shè)計(jì)階段減少系統(tǒng)安全缺陷。嚴(yán)格的評估規(guī)范也是必不可少的,它是評估系統(tǒng)風(fēng)險和客觀評價系統(tǒng)信息安全優(yōu)劣程度的標(biāo)桿。在各類標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下,系統(tǒng)的分析設(shè)計(jì)才能以最小的代價獲得最大的收益。
結(jié)合標(biāo)準(zhǔn)規(guī)范準(zhǔn)則的指導(dǎo),從工業(yè)控制系統(tǒng)全生命周期出發(fā),分析其主要階段的信息安全防護(hù)對策,保障在生命周期主要階段過程中工業(yè)控制系統(tǒng)信息安全防護(hù)始終處于較高水平,這是工業(yè)控制系統(tǒng)信息安全防護(hù)的有效手段之一。本文擬從需求分析及系統(tǒng)設(shè)計(jì)、系統(tǒng)運(yùn)行和系統(tǒng)維護(hù)三個階段分析工業(yè)控制系統(tǒng)信息安全防護(hù)的對策。圖2所示為主要階段的信息安全防護(hù)關(guān)鍵技術(shù)間的邏輯關(guān)系。
圖2 工業(yè)控制系統(tǒng)信息安全防護(hù)主要關(guān)鍵技術(shù)間邏輯 關(guān)系
在需求分析及系統(tǒng)設(shè)計(jì)階段,在系統(tǒng)識別的基礎(chǔ)上,制定安全防護(hù)措施及方法,進(jìn)行安全保護(hù)。在系統(tǒng)運(yùn)行階段,基于“系統(tǒng)檢測-控制決策-響應(yīng)恢復(fù)”的容忍入侵方法,將閉環(huán)反饋控制的思想引入動態(tài)信息安全防護(hù)中,實(shí)現(xiàn)具有一定安全彈性的實(shí)時動態(tài)調(diào)節(jié)能力的容忍入侵信息安全防護(hù)。在系統(tǒng)維護(hù)階段,評估運(yùn)行階段積累遺留的問題及系統(tǒng)需求的變更,改善系統(tǒng),使之達(dá)到預(yù)期效果。
4 工業(yè)控制系統(tǒng)全生命周期主要階段信息安全防護(hù)的對策
4.1 需求分析及系統(tǒng)設(shè)計(jì)階段信息安全防護(hù)的對策
信息安全防護(hù)作為主要的非功能性需求,在系統(tǒng)需求分析與系統(tǒng)設(shè)計(jì)階段需要重點(diǎn)考慮。確定工業(yè)控制系統(tǒng)信息安全防護(hù)主體,分析系統(tǒng)潛在威脅和風(fēng)險,擬定其信息安全需求規(guī)范。由于系統(tǒng)功能需求規(guī)范、信息安全需求規(guī)范以及其他非功能需求規(guī)范往往存在沖突,故需對多種需求規(guī)范進(jìn)行協(xié)調(diào)控制,最終確定系統(tǒng)整體需求規(guī)范。圖3所示為工業(yè)控制系統(tǒng)信息安全需求分析流程。在進(jìn)行各方需求協(xié)調(diào)時,需要考慮工業(yè)控制系統(tǒng)多方面的約束條件,如性能約束、資源約束、成本約束以及風(fēng)險約束等。在控制系統(tǒng)資源受限、成本有限的環(huán)境下,尋求最佳的系統(tǒng)性能,并保持系統(tǒng)風(fēng)險控制在可接受的范圍之內(nèi)。
圖3 工業(yè)控制系統(tǒng)信息安全需求分析流程
典型的工業(yè)控制系統(tǒng)可分為三層:企業(yè)層、監(jiān)控層和現(xiàn)場控制層。結(jié)合系統(tǒng)各層信息安全需求,建立深度融合工業(yè)控制系統(tǒng)特點(diǎn)的縱深防御體系已成為工業(yè)控制系統(tǒng)信息安全防護(hù)的主流形式。圖4所示為典型的工業(yè)控制系統(tǒng)信息安全縱深防御體系結(jié)構(gòu)。
圖4 典型工業(yè)控制系統(tǒng)信息安全縱深防御體系結(jié)構(gòu)
企業(yè)層的信息交互一般通過Internet進(jìn)行,其功能包括數(shù)據(jù)管理、客戶管理、生產(chǎn)調(diào)度等。其信息安全需求與IT系統(tǒng)類似,可用諸如工業(yè)防火墻、訪問控制等防護(hù)手段進(jìn)行安全防護(hù)。監(jiān)控層,一般結(jié)合具體的應(yīng)用特點(diǎn),采取專用的工業(yè)通信協(xié)議。其信息安全防護(hù)需求不同于IT系統(tǒng),制定針對性的訪問控制策略和通信管控策略等是實(shí)現(xiàn)監(jiān)控層主動防御的有效方法。現(xiàn)場控制層的信息安全是工業(yè)控制系統(tǒng)信息安全防護(hù)的重中之重,也是實(shí)現(xiàn)本質(zhì)信息安全的重要保障。針對現(xiàn)場控制層的入侵攻擊眾多,攻擊后果嚴(yán)重。并且,控制系統(tǒng)結(jié)構(gòu)復(fù)雜、工藝過程復(fù)雜,采用分區(qū)、分級的信息安全防護(hù)可有效地阻斷攻擊影響傳播,保護(hù)系統(tǒng)重要組件和工藝流程。此外,由于工業(yè)控制系統(tǒng)屬于信息物理融合系統(tǒng),信息攻擊可導(dǎo)致物理故障,甚至引發(fā)重大安全事故,而造成人員傷亡和社會負(fù)面效應(yīng)。故現(xiàn)場控制層信息安全防護(hù)需具備容忍入侵的能力,以保證入侵攻擊下,系統(tǒng)仍能降級運(yùn)行或安全停機(jī)。
因此,該階段需要結(jié)合系統(tǒng)功能需求,分析工業(yè)控制系統(tǒng)資產(chǎn)及其運(yùn)行環(huán)境,檢測系統(tǒng)的漏洞,及其面臨的安全威脅,進(jìn)行系統(tǒng)信息安全需求分析;在此基礎(chǔ)上進(jìn)行靜態(tài)攻擊預(yù)測分析和靜態(tài)的風(fēng)險分析,制定風(fēng)險管理策略。針對系統(tǒng)風(fēng)險,對系統(tǒng)進(jìn)行分層、分區(qū)、分級,建立縱深防御體系,擬定常見的保護(hù)措施如訪問控制、通信管控、關(guān)鍵任務(wù)容錯、容忍入侵的防護(hù)等,提升系統(tǒng)安全運(yùn)行能力。
4.2 運(yùn)行階段信息安全防護(hù)的對策
工業(yè)控制系統(tǒng)是一個生產(chǎn)運(yùn)行的實(shí)時關(guān)鍵系統(tǒng),對可用性和可靠性要求極高,需具備容忍入侵的信息安全防護(hù)能力。圖5所示為運(yùn)行階段工業(yè)控制系統(tǒng)容忍入侵的信息安全防護(hù)控制結(jié)構(gòu)示意圖。
圖5 運(yùn)行階段容忍入侵的信息安全防護(hù)控制結(jié)構(gòu)示意圖
該防護(hù)架構(gòu)采用基于風(fēng)險、狀態(tài)、時間的多級信息安全閉環(huán)控制結(jié)構(gòu)。外層采取風(fēng)險控制閉環(huán),將系統(tǒng)的風(fēng)險控制在可接受范圍內(nèi)。中間層的狀態(tài)控制閉環(huán),保證系統(tǒng)運(yùn)行狀態(tài)的安全可控。內(nèi)層的時間控制閉環(huán),完成安全策略的實(shí)施以及效果反饋調(diào)節(jié)。以此實(shí)現(xiàn)具備高度容忍入侵能力的工業(yè)控制系統(tǒng)信息安全防護(hù)。
工業(yè)控制系統(tǒng)實(shí)時入侵檢測是容忍入侵信息安全防護(hù)的感知環(huán)節(jié)。通過部署系統(tǒng)資源探針,采集并分析全方位系統(tǒng)實(shí)時數(shù)據(jù),進(jìn)行攻擊特征識別和在線自學(xué)習(xí),實(shí)現(xiàn)基于特征和基于異常相結(jié)合的入侵檢測。對檢測結(jié)果進(jìn)行警報融合和攻擊辨識,識別并預(yù)測入侵攻擊信息,實(shí)現(xiàn)系統(tǒng)的實(shí)時在線監(jiān)控。
基于風(fēng)險的安全策略決策是容忍入侵的信息安全防護(hù)的控制環(huán)節(jié)。根據(jù)系統(tǒng)實(shí)時入侵檢測的結(jié)果,結(jié)合系統(tǒng)運(yùn)行狀態(tài),進(jìn)行系統(tǒng)安全態(tài)勢感知,評估系統(tǒng)的實(shí)時風(fēng)險。結(jié)合系統(tǒng)風(fēng)險控制需求,進(jìn)行系統(tǒng)狀態(tài)控制和動態(tài)安全策略決策,給出最佳安全策略及其優(yōu)化方案,使系統(tǒng)風(fēng)險處于可接受范圍之內(nèi)。
實(shí)時控制是容忍入侵的信息安全防護(hù)的實(shí)施環(huán)節(jié),是系統(tǒng)的安全響應(yīng)恢復(fù)過程。根據(jù)控制決策中產(chǎn)生的最佳安全策略,生成相應(yīng)的安全任務(wù)集。結(jié)合原本系統(tǒng)任務(wù)集,分別從系統(tǒng)級和節(jié)點(diǎn)級進(jìn)行任務(wù)可調(diào)度性分析,并構(gòu)建新的系統(tǒng)任務(wù)集。然后進(jìn)行任務(wù)一體化實(shí)時調(diào)度,實(shí)施該任務(wù)集,及時地進(jìn)行系統(tǒng)恢復(fù)。同時評估并反饋策略執(zhí)行效果,以進(jìn)行優(yōu)化設(shè)計(jì),保障系統(tǒng)信息安全。
4.3 維護(hù)階段信息安全防護(hù)的對策
設(shè)計(jì)開發(fā)之時難免會有一部分隱藏的安全缺陷。系統(tǒng)在交付使用后,這些脆弱性在某些特定的情況下會暴露出來,需要進(jìn)行維護(hù)完善。同時,為了適應(yīng)環(huán)境的變化,如系統(tǒng)因入侵攻擊而積累的安全缺陷或者系統(tǒng)安全需求的變更等,系統(tǒng)也需做出相應(yīng)的調(diào)整,使系統(tǒng)更長久的運(yùn)行。故首先需要對系統(tǒng)各方面進(jìn)行評估,然后進(jìn)行有針對性的改善。
系統(tǒng)評估期間,首先統(tǒng)計(jì)系統(tǒng)運(yùn)行環(huán)境或安全需求變更,分析實(shí)施信息安全后系統(tǒng)運(yùn)行反饋效果。同時,需評估資產(chǎn)狀態(tài)和系統(tǒng)狀態(tài),如有無組件損害或失效,系統(tǒng)性能是否降低、數(shù)據(jù)庫是否需要更新等。評估系統(tǒng)受損情況以及安全狀態(tài),判斷系統(tǒng)風(fēng)險是否處于可接受范圍內(nèi)。
系統(tǒng)改善過程中,依據(jù)上述分析評估結(jié)果,擬定系統(tǒng)變更方案,并逐步、有序地實(shí)施該方案。變更方案實(shí)施完畢后,需進(jìn)行系統(tǒng)安全合格性檢驗(yàn)。如果不滿足要求,則需要重新修改變更方案,再實(shí)施,再檢驗(yàn),直至達(dá)到所預(yù)期的效果。
5 結(jié)語
本文在詳細(xì)分析工業(yè)控制系統(tǒng)典型特點(diǎn)的基礎(chǔ)上,提出了工業(yè)控制系統(tǒng)信息安全綜合防護(hù)的主要對策,指明工業(yè)控制系統(tǒng)信息安全防護(hù)所涉及的思路和關(guān)鍵技術(shù)。并且,從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā),分別考慮需求分析及系統(tǒng)設(shè)計(jì)階段、系統(tǒng)運(yùn)行階段以及系統(tǒng)維護(hù)階段信息安全實(shí)現(xiàn)的具體內(nèi)容,旨在為工業(yè)控制系統(tǒng)信息安全防護(hù)設(shè)計(jì)提供參考。
在需求分析及系統(tǒng)設(shè)計(jì)階段,考慮系統(tǒng)功能性需求和非功能性需求,以及在性能、資源、成本和風(fēng)險等多個約束條件下的協(xié)調(diào)關(guān)系。結(jié)合工業(yè)控制系統(tǒng)典型特點(diǎn),建立縱深防御體系,并分析各層的信息安全防護(hù)方法。系統(tǒng)運(yùn)行階段,提出基于風(fēng)險、狀態(tài)、時間的多級信息安全防護(hù)控制結(jié)構(gòu),以實(shí)現(xiàn)具備一定安全彈性、容忍入侵能力的工業(yè)控制系統(tǒng)信息安全防護(hù)。并從實(shí)時入侵檢測、動態(tài)風(fēng)險安全策略決策、系統(tǒng)實(shí)時控制方面描述其具體實(shí)現(xiàn)的關(guān)鍵技術(shù)。維護(hù)階段,則識別系統(tǒng)安全隱患,統(tǒng)計(jì)系統(tǒng)變更情況,制定、實(shí)施改善措施,并進(jìn)行安全驗(yàn)證,直至到達(dá)預(yù)期效果。
基金項(xiàng)目:國家自然科學(xué)基金重點(diǎn)項(xiàng)目(61433006)、國家自然科學(xué)基金面上項(xiàng)目(61272204)。
作者簡介
李匯云(1991-),男,碩士,華中科技大學(xué)自動化學(xué)院碩士。目前主要研究方向?yàn)楣I(yè)通信和智能系統(tǒng)、工業(yè)控制系統(tǒng)信息安全。
李璇(1990-),男,博士,華中科技大學(xué)自動化學(xué)院博士。目前主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全、資產(chǎn)分析及評估。
北京市公安局海淀分局備案號:11010802023656號