今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業控制系統一般是指監測和控制物理對象的計算機系統,它們是深度嵌入了信息和通信技術的信息物理融合系統,工業控制系統在國民經濟和人民日常生活中發揮著重要作用,是國家關鍵基礎設施和國民經濟各行各業的自動化裝備的大腦和中樞神經。隨著物聯網的普及和兩化融合的推進,將IT信息安全的風險延伸到工業控制系統。近年來由網絡攻擊引起的工業控制系統安全事故頻發,并且呈逐年增加的趨勢,工業控制系統信息安全的嚴峻形勢引起了社會的高度關注。
2 工業控制系統信息安全特點
工業控制系統是一個生產運行系統,其系統結構、功能相對固定,具有較長生命周期,這決定了工業控制系統與傳統的IT系統信息安全的諸多不同。
2.1 工業控制系統信息安全的內容
工業控制系統信息安全的內容包括:信息自身的安全、信息利用的安全和系統的自身安全三個層次,即包含數據安全、內容安全、系統運行安全和物理安全四個安全層面。數據安全是指對信息在數據處理、存儲、傳輸、顯示等過程中的保護,主要的保護方式有加密、數字簽名、完整性檢查、認證防抵賴等;內容安全是指對信息真實內容的隱藏、發現、選擇性阻擋等,主要的處置手段是信息識別與挖掘技術、過濾技術、隱藏技術等;系統運行安全是指對工業控制系統運行過程和運行狀態的保護,主要涉及控制系統的可控性和可用性等,主要的保護方式是漏洞掃描、入侵檢測、態勢感知及風險評估、應急入侵反應等;物理安全是指系統設備、人和環境的保護,主要的保護方式是采取物理隔離和安全儀表系統等。
對于工業控制系統這樣一類信息物理融合系統,其信息安全的研究內容是在關注數據安全和內容安全的前提下,更注重入侵攻擊下的系統運行安全和物理安全的研究。
2.2 工業控制系統信息安全的屬性
被稱為信息安全金三角(CIA)的框架模型,包括機密性、完整性和可用性三個核心屬性。但工業控制系統的工作和運行特點(24/7/365)決定了工業控制系統信息安全防護研究需要將信息的實時可用性、系統和信息的完整性置于比信息機密性更高的優先級。工業控制系統是一個實時的生產運行系統,不能接受突然停機帶來的損失,這也決定了頻繁、主動的離線升級,修補軟件(含信息安全涉及的軟件模塊,如訪問控制、入侵檢測、入侵反應等)漏洞方案不適合工業控制系統。
2.3 信息安全風險管理的要求
基于風險的信息安全管理和控制已被業界所接受,而工業控制系統在受到入侵攻擊時,會對物理系統,人員、環境產生安全風險,因此,工業控制系統信息安全風險主要來自可用性受到威脅而導致的生命、財產以及環境的損失。在這當中,將人的保護置于最高優先級,其次是控制過程相關的設備和環境及生產的保護。并且工業控制系統的風險評估需要將不同維度的風險因素統一尺度量化,如環境的影響、生命的損失、設備及產品的損失等。
工業控制系統信息安全風險管理很重要的一個特點是需將動態風險管理置于更加重要的位置,以適應這種具有較長生命周期的實時生產運行系統的控制與管理。
3 工業控制系統信息安全防護存在的問題
工業控制系統信息安全防護近年來引起社會和政府的高度關注,在各界同仁的共同努力下,取得了一些共識和成績,但目前還存在以下一些突出問題。
3.1 沒有從系統整體和全局進行安全防護
目前的工業控制系統信息安全防護大多是從系統或網絡的局部或某一個環節的安全問題展開研究,針對某一方面或某一個層次的安全問題提出的解決方案,不能從整體和根本上解決工業控制系統信息安全問題。這體現在系統信息安全防護全生命周期的各個階段:
(1)在運行系統沒有考慮信息安全的要求,新的系統很少考慮信息安全的要求,所以這些系統從一開始就很難協調生產運行系統的生產運行要求、可靠性要求以及信息安全要求。
(2)目前的研究多是針對系統的局部(如網絡、應用層協議、控制對象等),或從各自的領域(軟件工程、控制工程或通信工程)進行的,但工業控制系統是一個涉及多領域的復雜系統,系統的各領域視角之間是相互耦合的。工業控制系統的入侵檢測必須基于工業控制系統各領域知識及領域間耦合關系構建系統的模型知識,展開多源異常入侵檢測,并在此基礎上根據系統多源異常數據進行攻擊辨識。
(3)目前的入侵反應安全策略決策,多數是根據系統的某一個方面或某一環節進行決策,沒有考慮系統的整體和信息安全防護的全過程。工業控制系統屬于生產運行系統,其信息安全問題涉及到安全(信息安全、功能安全)、品質、效率、成本(運行成本、維護成本)等多方因素,現在的入侵反應系統基本上沒有考慮這些因素的協調和控制。
3.2 以被動防御為主,缺乏主動防御
現在的工業控制系統信息安全防護主要是以被動防御為主,更新系統和安裝補丁是主流的被動防御手段,但是工業控制系統作為一個24/7/365實時連續運行系統,不能經常更新系統、安裝補丁或者更新病毒庫,這就導致了工業控制系統存在大量漏洞,極容易被攻擊者利用實施攻擊。
入侵檢測結合響應系統是工業控制系統運行安全防護的一個有效手段,但對于工業控制系統這種強實時信息物理融合系統,一旦檢測到入侵,不管是采取報警手動干預,還是采取半自動的入侵反應系統,都屬于事后決策,此時入侵攻擊可能已經對工業控制系統造成了不可挽回的損失。
被動防御的主要特點是“亡羊補牢,消缺補漏”,如果發生入侵攻擊,會嚴重威脅系統的可用性,對于工業控制系統來說可能產生人員傷亡、環境污染等嚴重損失,工業控制系統因其對可靠性的苛刻要求,其信息安全更需要“未雨綢繆,防患于未然”的主動防御,將入侵攻擊扼殺于萌芽中。
3.3 缺乏對系統運行安全的防護
傳統的 IT系統的信息安全防護,重點關注的是數據安全和內容安全,所以常見的方法是在阻止和隔離的基礎上進行數據的加密和解密、訪問控制等措施。但工業控制系統的特點要求信息安全要重點關注系統的運行安全,即控制系統運行過程中入侵攻擊導致的功能失效而引起的功能安全問題,這也決定了工業控制系統信息安全防護將可用性置于最高的優先級,但是目前工業控制系統信息安全對運行安全的防護十分單薄,缺乏和忽視工業控制系統遭到網絡攻擊時的系統運行安全防護,而且工業控制系統的工作和運行特點決定了其信息安全防護的各個環節必須具有自組織等自治能力,其信息安全防護必須具有整體聯動、全局防御的能力。
4 工業控制系統信息安全防護對策分析
工業控制系統信息安全是一個復雜的系統工程,貫穿控制系統的整個生命周期,涉足到技術、管理、培訓等諸多環節,工業控制系統的信息安全防護必須從系統和全局的角度,來平衡各方面的需求,協調多目標之間的控制,而且還必須具有對應用對象和動態環境的自適應能力和運行過程中的自組織管理能力。
目前,工業控制系統信息安全首先是加強培訓,增加各類相關人員的信息安全意識,其次加強信息安全技術管理。對于目前的信息安全防護,以下技術手段(安全對策)值得關注。
4.1 將信息安全作為控制系統非功能性要求
信息安全作為現代工業控制系統必備的要求之一,信息安全防護的需求直接決定了系統信息安全的目標,同時工業控制系統還需完成滿足系統運行的功能要求以及可靠性和功能安全方面的非功能性要求等其它目標,而且這些需求和目標在一定的成本控制下往往又是對立和矛盾的。因此要協調這些需求和目標之間的矛盾,從系統的需求階段,就必須將信息安全作為控制系統的非功能性需求,并且經過平衡系統的各種需求和目標,來確定系統的信息安全需求具體內容。
4.2 利用成本收益方法,平衡設計階段各方面的需求
鑒于入侵攻擊的智能性,簡單的防御對于當前越來越智能的入侵攻擊作用甚微,現代的信息安全防護采用縱深防御的多層防護體系,在阻止隔離的基礎上,充分發揮軟件的作用,運用容忍入侵技術實現系統的信息安全目標。如在實際中實施的安全分區、網絡專用、橫向隔離和縱向認證得到了很好的應用效果。但由于絕大多數工業控制系統對投資成本的敏感性,如何利用有限的投資,發揮最大的防御作用,是在系統設計階段,面臨的一個棘手問題。
對系統進行靜態風險評估,采用成本收益量化的方法,優化設計方案,是一個切實可行的方法,它可以取得控制系統各方面需求的最優平衡點,進而尋求全局的最優方案。
4.3 開發適合工業控制系統的入侵檢測系統
檢測系統在信息安全的防護中起著舉足輕重的作用,它對網絡傳輸和系統運行過程中的入侵行為進行實時監視,在發現可疑時發出警報或者觸發入侵反應系統采取反應措施。工業控制系統因為其與傳統 IT 系統的區別,系統的功能和結構相對固定,通信協議固定而有限,這使得開發符合工業控制系統特點的入侵檢測成為可能,尤其可以克服IT系統中基于異常行為的入侵檢測系統的誤報率高的缺點。
基于工業控制系統的多個視角(網絡、系統實現、控制對象)進行入侵檢測,將基于網絡模型、控制系統的實現模型、對象的機理模型和對象的結構模型的入侵檢測結果進行信息融合和入侵攻擊辨識,這種深度融合工業控制系統特點的入侵檢測系統將極大地提高入侵檢測的準確率。
4.4 重視入侵響應系統的開發和研究
入侵檢測系統在系統的信息安全中發揮了較大作用,但對網絡和系統的保護能力有限,因為它的作用僅限于發現入侵行為和記錄入侵行為便于事后追查,而不能及時地阻止入侵行為,消除入侵造成的危害。目前入侵檢測系統在發現入侵行為后通常需要管理員進行人工干預和響應,而且如何響應,完全取決于人的相關知識和技能,因此入侵響應系統的研究顯得越來越重要。它與入侵檢測系統的結合使用能夠更大程度地保護網絡和系統的安全。
工業控制系統的入侵響應系統是在入侵檢測的基礎上,進行在線態勢感知和風險評估,輔助人工進行安全決策,或者為在線自動安全策略決策組件提供當前的安全狀態及相關信息,自動進行在線安全決策,及時阻止入侵行為,屏蔽入侵造成的危害。入侵響應系統是系統對入侵后的自組織管理和容忍入侵的核心組件。隨著控制系統的發展,入侵響應系統在信息安全防護中的作用顯得越來越重要。
5 結語
工業控制系統是一個典型的深度嵌入了信息和通信技術的信息物理融合系統,其功能、結構和運行特點,決定了其信息安全防護與傳統IT系統的差異性。工業控制系統信息安全防護在關注數據安全和內容安全的前提下,更注重入侵攻擊下的系統運行安全和物理安全的研究,它是一個復雜的系統工程,貫穿控制系統的整個生命周期,涉足到技術、管理、培訓等諸多環節,它必須從系統和全局的角度,來平衡各方面的需求,協調系統的多個目標之間的控制。
作者簡介
周純杰(1965-),男,博士,現為華中科技大學自動化學院教授、博士生導師。目前主要研究方向為工業控制系統信息安全、工業通信及智能系統、安全網絡化控制系統、模式識別及智能控制。
參考文獻
[1]Keith Stouffer, Joe Falco, Karen Scarfone. Guide to industrial control systems (ICS) security. NIST Special Publication 80-82.
[2]NIST Roadmap for Improving Critical Infrastructure Cybersecurity, 2014.
[3]Jennifer L. Bayuk, Systems Security Engineering[J]. IEEE SECURITY & PRIVACY, 2011.
[4]方濱興等.關于信息安全定義的研究[J].信息網絡安全, 2008.
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號