今日頭條
官方微信
官方抖音
資訊頻道1 引言
近年來,隨著社會的進步,工業控制系統已廣泛應用于各種關系到國計民生的安全關鍵系統中。物聯網的普及以及兩化融合的推進,使得大量IT技術被應用到工業生產中,工業控制系統已從傳統孤立、封閉,向著大規模、開放性、互聯互通的方向發展。然而,在控制系統發展的初期,主要考慮系統的可用性和可靠性,對系統的信息安全并未提出很高的要求,這就不可避免地導致系統存在安全缺陷。這些缺陷如果被人利用,將會導致大量的工業控制系統信息安全事件,如2010年發生的“震網”病毒事件。工業控制系統是信息域和物理域交互的復雜系統,信息攻擊導致物理系統故障,甚至可以引發重大安全事故,造成嚴重經濟損失和社會負面效應。據美國工業控制系統信息安全應急響應小組(Industrial Control Systems Cyber Emergency Response Team)統計,工業控制系統信息安全事件呈現愈演愈烈、逐年急劇上升的態勢,并且幾乎涉及關乎國家安全和國民生計的所有行業領域。因此,工業控制系統信息安全防護問題是一個亟待解決的、無法避免,也不能避免的關鍵問題。
2 工業控制系統信息安全特點
與IT系統不同,工業控制系統功能、結構相對固定,IT領域信息安全解決方案并不能完全滿足工業控制系統信息安全需求。工業控制系統是具有較長生命周期的生產運行系統,系統組件一般要求能夠運行15~20年,對其可靠性和可用性要求很高。在信息安全方面不僅要保障IT領域所重點關注的數據安全、內容安全,更重要的是保障其物理安全和系統的運行安全。作為實時關鍵系統,其工作方式和運行特點(24/7/365)決定了信息安全三個安全屬性中可用性優先于完整性和機密性。因此,系統意外停機是不允許的,必須提前數天或數周進行通知和計劃。軟件的更新和數據庫的升級必須經過嚴格的測試才能應用于工業控制系統。
工業控制系統是集深度嵌入網絡通信、計算控制、物理過程于一體的復雜信息物理融合系統。與物理過程的復雜交互,如現場PLC直接控制最終生產過程,使得網絡信息攻擊可延伸到物理環境,嚴重影響系統或設備的可用性,發生安全事故,對人員、環境、資產造成威脅。因此,工業控制系統信息安全的主要風險來源于信息攻擊而引起可用性損失,并且重點關注由此導致的生命、財產和環境的損失。其中,人員的安全風險置于最高優先級,其次是保護系統設備及環境。工業控制系統的實時、動態、長周期特性,也決定了工業控制系統信息安全動態風險管理必須滿足系統全生命周期的管理和控制需求。
3 工業控制系統信息安全防護的主要內容
大量IT技術的采用,工業控制系統面臨的信息安全威脅日趨嚴重。各種網絡攻擊技術的發展,使得單一的防御技術已經很難抵御網絡威脅。作為生產運行系統,工業控制系統信息安全防護是一個涉及整個系統全生命周期的、動態防護過程。其防護在標準規范的指導下,不僅需要從技術上保障,同樣需要從管理上進行優化。圖1顯示了工業控制系統信息安全綜合防護所涉及的主要功能模塊。
圖1 工業控制系統信息安全防護的主要功能模塊
工業控制系統信息安全管理須遵循一定的標準規范,包括管理規范、設計規范和評估規范。管理規范,規定合理有效的策略操作和控制流程,指導工作人員行為,提升員工的業務水平,減少管理上帶來的系統風險。系統設計也需要遵循標準的設計規范。按照規范的流程,多方面考慮控制系統需求,詳細地對系統各階段、各部分進行分析和規劃,盡可能在設計階段減少系統安全缺陷。嚴格的評估規范也是必不可少的,它是評估系統風險和客觀評價系統信息安全優劣程度的標桿。在各類標準規范的指導下,系統的分析設計才能以最小的代價獲得最大的收益。
結合標準規范準則的指導,從工業控制系統全生命周期出發,分析其主要階段的信息安全防護對策,保障在生命周期主要階段過程中工業控制系統信息安全防護始終處于較高水平,這是工業控制系統信息安全防護的有效手段之一。本文擬從需求分析及系統設計、系統運行和系統維護三個階段分析工業控制系統信息安全防護的對策。圖2所示為主要階段的信息安全防護關鍵技術間的邏輯關系。
圖2 工業控制系統信息安全防護主要關鍵技術間邏輯關系
在需求分析及系統設計階段,在系統識別的基礎上,制定安全防護措施及方法,進行安全保護。在系統運行階段,基于“系統檢測-控制決策-響應恢復”的容忍入侵方法,將閉環反饋控制的思想引入動態信息安全防護中,實現具有一定安全彈性的實時動態調節能力的容忍入侵信息安全防護。在系統維護階段,評估運行階段積累遺留的問題及系統需求的變更,改善系統,使之達到預期效果。
4 工業控制系統全生命周期主要階段信息安全防護的對策
4.1 需求分析及系統設計階段信息安全防護的對策
信息安全防護作為主要的非功能性需求,在系統需求分析與系統設計階段需要重點考慮。確定工業控制系統信息安全防護主體,分析系統潛在威脅和風險,擬定其信息安全需求規范。由于系統功能需求規范、信息安全需求規范以及其他非功能需求規范往往存在沖突,故需對多種需求規范進行協調控制,最終確定系統整體需求規范。圖3所示為工業控制系統信息安全需求分析流程。在進行各方需求協調時,需要考慮工業控制系統多方面的約束條件,如性能約束、資源約束、成本約束以及風險約束等。在控制系統資源受限、成本有限的環境下,尋求最佳的系統性能,并保持系統風險控制在可接受的范圍之內。
圖3 工業控制系統信息安全需求分析流程
典型的工業控制系統可分為三層:企業層、監控層和現場控制層。結合系統各層信息安全需求,建立深度融合工業控制系統特點的縱深防御體系已成為工業控制系統信息安全防護的主流形式。圖4所示為典型的工業控制系統信息安全縱深防御體系結構。
圖4 典型工業控制系統信息安全縱深防御體系結構
企業層的信息交互一般通過Internet進行,其功能包括數據管理、客戶管理、生產調度等。其信息安全需求與IT系統類似,可用諸如工業防火墻、訪問控制等防護手段進行安全防護。監控層,一般結合具體的應用特點,采取專用的工業通信協議。其信息安全防護需求不同于IT系統,制定針對性的訪問控制策略和通信管控策略等是實現監控層主動防御的有效方法。現場控制層的信息安全是工業控制系統信息安全防護的重中之重,也是實現本質信息安全的重要保障。針對現場控制層的入侵攻擊眾多,攻擊后果嚴重。并且,控制系統結構復雜、工藝過程復雜,采用分區、分級的信息安全防護可有效地阻斷攻擊影響傳播,保護系統重要組件和工藝流程。此外,由于工業控制系統屬于信息物理融合系統,信息攻擊可導致物理故障,甚至引發重大安全事故,而造成人員傷亡和社會負面效應。故現場控制層信息安全防護需具備容忍入侵的能力,以保證入侵攻擊下,系統仍能降級運行或安全停機。
因此,該階段需要結合系統功能需求,分析工業控制系統資產及其運行環境,檢測系統的漏洞,及其面臨的安全威脅,進行系統信息安全需求分析;在此基礎上進行靜態攻擊預測分析和靜態的風險分析,制定風險管理策略。針對系統風險,對系統進行分層、分區、分級,建立縱深防御體系,擬定常見的保護措施如訪問控制、通信管控、關鍵任務容錯、容忍入侵的防護等,提升系統安全運行能力。
4.2 運行階段信息安全防護的對策
工業控制系統是一個生產運行的實時關鍵系統,對可用性和可靠性要求極高,需具備容忍入侵的信息安全防護能力。圖5所示為運行階段工業控制系統容忍入侵的信息安全防護控制結構示意圖。
圖5 運行階段容忍入侵的信息安全防護控制結構示意圖
該防護架構采用基于風險、狀態、時間的多級信息安全閉環控制結構。外層采取風險控制閉環,將系統的風險控制在可接受范圍內。中間層的狀態控制閉環,保證系統運行狀態的安全可控。內層的時間控制閉環,完成安全策略的實施以及效果反饋調節。以此實現具備高度容忍入侵能力的工業控制系統信息安全防護。
工業控制系統實時入侵檢測是容忍入侵信息安全防護的感知環節。通過部署系統資源探針,采集并分析全方位系統實時數據,進行攻擊特征識別和在線自學習,實現基于特征和基于異常相結合的入侵檢測。對檢測結果進行警報融合和攻擊辨識,識別并預測入侵攻擊信息,實現系統的實時在線監控。
基于風險的安全策略決策是容忍入侵的信息安全防護的控制環節。根據系統實時入侵檢測的結果,結合系統運行狀態,進行系統安全態勢感知,評估系統的實時風險。結合系統風險控制需求,進行系統狀態控制和動態安全策略決策,給出最佳安全策略及其優化方案,使系統風險處于可接受范圍之內。
實時控制是容忍入侵的信息安全防護的實施環節,是系統的安全響應恢復過程。根據控制決策中產生的最佳安全策略,生成相應的安全任務集。結合原本系統任務集,分別從系統級和節點級進行任務可調度性分析,并構建新的系統任務集。然后進行任務一體化實時調度,實施該任務集,及時地進行系統恢復。同時評估并反饋策略執行效果,以進行優化設計,保障系統信息安全。
4.3 維護階段信息安全防護的對策
設計開發之時難免會有一部分隱藏的安全缺陷。系統在交付使用后,這些脆弱性在某些特定的情況下會暴露出來,需要進行維護完善。同時,為了適應環境的變化,如系統因入侵攻擊而積累的安全缺陷或者系統安全需求的變更等,系統也需做出相應的調整,使系統更長久的運行。故首先需要對系統各方面進行評估,然后進行有針對性的改善。
系統評估期間,首先統計系統運行環境或安全需求變更,分析實施信息安全后系統運行反饋效果。同時,需評估資產狀態和系統狀態,如有無組件損害或失效,系統性能是否降低、數據庫是否需要更新等。評估系統受損情況以及安全狀態,判斷系統風險是否處于可接受范圍內。
系統改善過程中,依據上述分析評估結果,擬定系統變更方案,并逐步、有序地實施該方案。變更方案實施完畢后,需進行系統安全合格性檢驗。如果不滿足要求,則需要重新修改變更方案,再實施,再檢驗,直至達到所預期的效果。
5 結語
本文在詳細分析工業控制系統典型特點的基礎上,提出了工業控制系統信息安全綜合防護的主要對策,指明工業控制系統信息安全防護所涉及的思路和關鍵技術。并且,從工業控制系統全生命周期的角度出發,分別考慮需求分析及系統設計階段、系統運行階段以及系統維護階段信息安全實現的具體內容,旨在為工業控制系統信息安全防護設計提供參考。
在需求分析及系統設計階段,考慮系統功能性需求和非功能性需求,以及在性能、資源、成本和風險等多個約束條件下的協調關系。結合工業控制系統典型特點,建立縱深防御體系,并分析各層的信息安全防護方法。系統運行階段,提出基于風險、狀態、時間的多級信息安全防護控制結構,以實現具備一定安全彈性、容忍入侵能力的工業控制系統信息安全防護。并從實時入侵檢測、動態風險安全策略決策、系統實時控制方面描述其具體實現的關鍵技術。維護階段,則識別系統安全隱患,統計系統變更情況,制定、實施改善措施,并進行安全驗證,直至到達預期效果。
基金項目:國家自然科學基金重點項目(61433006)、國家自然科學基金面上項目(61272204)。
作者簡介
李匯云(1991-),男,碩士,華中科技大學自動化學院碩士。目前主要研究方向為工業通信和智能系統、工業控制系統信息安全。
李璇(1990-),男,博士,華中科技大學自動化學院博士。目前主要研究方向為工業控制系統信息安全、資產分析及評估。
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號