今日頭條
官方微信
官方抖音
資訊頻道
1 引言
近年來,隨著社會的進步,工業(yè)控制系統(tǒng)已廣泛應用于各種關系到國計民生的安全關鍵系統(tǒng)中。物聯(lián)網(wǎng)的普及以及兩化融合的推進,使得大量IT技術被應用到工業(yè)生產(chǎn)中,工業(yè)控制系統(tǒng)已從傳統(tǒng)孤立、封閉,向著大規(guī)模、開放性、互聯(lián)互通的方向發(fā)展。然而,在控制系統(tǒng)發(fā)展的初期,主要考慮系統(tǒng)的可用性和可靠性,對系統(tǒng)的信息安全并未提出很高的要求,這就不可避免地導致系統(tǒng)存在安全缺陷。這些缺陷如果被人利用,將會導致大量的工業(yè)控制系統(tǒng)信息安全事件,如2010年發(fā)生的“震網(wǎng)”病毒事件。工業(yè)控制系統(tǒng)是信息域和物理域交互的復雜系統(tǒng),信息攻擊導致物理系統(tǒng)故障,甚至可以引發(fā)重大安全事故,造成嚴重經(jīng)濟損失和社會負面效應。據(jù)美國工業(yè)控制系統(tǒng)信息安全應急響應小組(Industrial Control Systems Cyber Emergency Response Team)統(tǒng)計,工業(yè)控制系統(tǒng)信息安全事件呈現(xiàn)愈演愈烈、逐年急劇上升的態(tài)勢,并且?guī)缀跎婕瓣P乎國家安全和國民生計的所有行業(yè)領域。因此,工業(yè)控制系統(tǒng)信息安全防護問題是一個亟待解決的、無法避免,也不能避免的關鍵問題。
2 工業(yè)控制系統(tǒng)信息安全特點
與IT系統(tǒng)不同,工業(yè)控制系統(tǒng)功能、結構相對固定,IT領域信息安全解決方案并不能完全滿足工業(yè)控制系統(tǒng)信息安全需求。工業(yè)控制系統(tǒng)是具有較長生命周期的生產(chǎn)運行系統(tǒng),系統(tǒng)組件一般要求能夠運行15~20年,對其可靠性和可用性要求很高。在信息安全方面不僅要保障IT領域所重點關注的數(shù)據(jù)安全、內(nèi)容安全,更重要的是保障其物理安全和系統(tǒng)的運行安全。作為實時關鍵系統(tǒng),其工作方式和運行特點(24/7/365)決定了信息安全三個安全屬性中可用性優(yōu)先于完整性和機密性。因此,系統(tǒng)意外停機是不允許的,必須提前數(shù)天或數(shù)周進行通知和計劃。軟件的更新和數(shù)據(jù)庫的升級必須經(jīng)過嚴格的測試才能應用于工業(yè)控制系統(tǒng)。
工業(yè)控制系統(tǒng)是集深度嵌入網(wǎng)絡通信、計算控制、物理過程于一體的復雜信息物理融合系統(tǒng)。與物理過程的復雜交互,如現(xiàn)場PLC直接控制最終生產(chǎn)過程,使得網(wǎng)絡信息攻擊可延伸到物理環(huán)境,嚴重影響系統(tǒng)或設備的可用性,發(fā)生安全事故,對人員、環(huán)境、資產(chǎn)造成威脅。因此,工業(yè)控制系統(tǒng)信息安全的主要風險來源于信息攻擊而引起可用性損失,并且重點關注由此導致的生命、財產(chǎn)和環(huán)境的損失。其中,人員的安全風險置于最高優(yōu)先級,其次是保護系統(tǒng)設備及環(huán)境。工業(yè)控制系統(tǒng)的實時、動態(tài)、長周期特性,也決定了工業(yè)控制系統(tǒng)信息安全動態(tài)風險管理必須滿足系統(tǒng)全生命周期的管理和控制需求。
3 工業(yè)控制系統(tǒng)信息安全防護的主要內(nèi)容
大量IT技術的采用,工業(yè)控制系統(tǒng)面臨的信息安全威脅日趨嚴重。各種網(wǎng)絡攻擊技術的發(fā)展,使得單一的防御技術已經(jīng)很難抵御網(wǎng)絡威脅。作為生產(chǎn)運行系統(tǒng),工業(yè)控制系統(tǒng)信息安全防護是一個涉及整個系統(tǒng)全生命周期的、動態(tài)防護過程。其防護在標準規(guī)范的指導下,不僅需要從技術上保障,同樣需要從管理上進行優(yōu)化。圖1顯示了工業(yè)控制系統(tǒng)信息安全綜合防護所涉及的主要功能模塊。
圖1 工業(yè)控制系統(tǒng)信息安全防護的主要功能模塊
工業(yè)控制系統(tǒng)信息安全管理須遵循一定的標準規(guī)范,包括管理規(guī)范、設計規(guī)范和評估規(guī)范。管理規(guī)范,規(guī)定合理有效的策略操作和控制流程,指導工作人員行為,提升員工的業(yè)務水平,減少管理上帶來的系統(tǒng)風險。系統(tǒng)設計也需要遵循標準的設計規(guī)范。按照規(guī)范的流程,多方面考慮控制系統(tǒng)需求,詳細地對系統(tǒng)各階段、各部分進行分析和規(guī)劃,盡可能在設計階段減少系統(tǒng)安全缺陷。嚴格的評估規(guī)范也是必不可少的,它是評估系統(tǒng)風險和客觀評價系統(tǒng)信息安全優(yōu)劣程度的標桿。在各類標準規(guī)范的指導下,系統(tǒng)的分析設計才能以最小的代價獲得最大的收益。
結合標準規(guī)范準則的指導,從工業(yè)控制系統(tǒng)全生命周期出發(fā),分析其主要階段的信息安全防護對策,保障在生命周期主要階段過程中工業(yè)控制系統(tǒng)信息安全防護始終處于較高水平,這是工業(yè)控制系統(tǒng)信息安全防護的有效手段之一。本文擬從需求分析及系統(tǒng)設計、系統(tǒng)運行和系統(tǒng)維護三個階段分析工業(yè)控制系統(tǒng)信息安全防護的對策。圖2所示為主要階段的信息安全防護關鍵技術間的邏輯關系。
圖2 工業(yè)控制系統(tǒng)信息安全防護主要關鍵技術間邏輯 關系
在需求分析及系統(tǒng)設計階段,在系統(tǒng)識別的基礎上,制定安全防護措施及方法,進行安全保護。在系統(tǒng)運行階段,基于“系統(tǒng)檢測-控制決策-響應恢復”的容忍入侵方法,將閉環(huán)反饋控制的思想引入動態(tài)信息安全防護中,實現(xiàn)具有一定安全彈性的實時動態(tài)調(diào)節(jié)能力的容忍入侵信息安全防護。在系統(tǒng)維護階段,評估運行階段積累遺留的問題及系統(tǒng)需求的變更,改善系統(tǒng),使之達到預期效果。
4 工業(yè)控制系統(tǒng)全生命周期主要階段信息安全防護的對策
4.1 需求分析及系統(tǒng)設計階段信息安全防護的對策
信息安全防護作為主要的非功能性需求,在系統(tǒng)需求分析與系統(tǒng)設計階段需要重點考慮。確定工業(yè)控制系統(tǒng)信息安全防護主體,分析系統(tǒng)潛在威脅和風險,擬定其信息安全需求規(guī)范。由于系統(tǒng)功能需求規(guī)范、信息安全需求規(guī)范以及其他非功能需求規(guī)范往往存在沖突,故需對多種需求規(guī)范進行協(xié)調(diào)控制,最終確定系統(tǒng)整體需求規(guī)范。圖3所示為工業(yè)控制系統(tǒng)信息安全需求分析流程。在進行各方需求協(xié)調(diào)時,需要考慮工業(yè)控制系統(tǒng)多方面的約束條件,如性能約束、資源約束、成本約束以及風險約束等。在控制系統(tǒng)資源受限、成本有限的環(huán)境下,尋求最佳的系統(tǒng)性能,并保持系統(tǒng)風險控制在可接受的范圍之內(nèi)。
圖3 工業(yè)控制系統(tǒng)信息安全需求分析流程
典型的工業(yè)控制系統(tǒng)可分為三層:企業(yè)層、監(jiān)控層和現(xiàn)場控制層。結合系統(tǒng)各層信息安全需求,建立深度融合工業(yè)控制系統(tǒng)特點的縱深防御體系已成為工業(yè)控制系統(tǒng)信息安全防護的主流形式。圖4所示為典型的工業(yè)控制系統(tǒng)信息安全縱深防御體系結構。
圖4 典型工業(yè)控制系統(tǒng)信息安全縱深防御體系結構
企業(yè)層的信息交互一般通過Internet進行,其功能包括數(shù)據(jù)管理、客戶管理、生產(chǎn)調(diào)度等。其信息安全需求與IT系統(tǒng)類似,可用諸如工業(yè)防火墻、訪問控制等防護手段進行安全防護。監(jiān)控層,一般結合具體的應用特點,采取專用的工業(yè)通信協(xié)議。其信息安全防護需求不同于IT系統(tǒng),制定針對性的訪問控制策略和通信管控策略等是實現(xiàn)監(jiān)控層主動防御的有效方法。現(xiàn)場控制層的信息安全是工業(yè)控制系統(tǒng)信息安全防護的重中之重,也是實現(xiàn)本質(zhì)信息安全的重要保障。針對現(xiàn)場控制層的入侵攻擊眾多,攻擊后果嚴重。并且,控制系統(tǒng)結構復雜、工藝過程復雜,采用分區(qū)、分級的信息安全防護可有效地阻斷攻擊影響傳播,保護系統(tǒng)重要組件和工藝流程。此外,由于工業(yè)控制系統(tǒng)屬于信息物理融合系統(tǒng),信息攻擊可導致物理故障,甚至引發(fā)重大安全事故,而造成人員傷亡和社會負面效應。故現(xiàn)場控制層信息安全防護需具備容忍入侵的能力,以保證入侵攻擊下,系統(tǒng)仍能降級運行或安全停機。
因此,該階段需要結合系統(tǒng)功能需求,分析工業(yè)控制系統(tǒng)資產(chǎn)及其運行環(huán)境,檢測系統(tǒng)的漏洞,及其面臨的安全威脅,進行系統(tǒng)信息安全需求分析;在此基礎上進行靜態(tài)攻擊預測分析和靜態(tài)的風險分析,制定風險管理策略。針對系統(tǒng)風險,對系統(tǒng)進行分層、分區(qū)、分級,建立縱深防御體系,擬定常見的保護措施如訪問控制、通信管控、關鍵任務容錯、容忍入侵的防護等,提升系統(tǒng)安全運行能力。
4.2 運行階段信息安全防護的對策
工業(yè)控制系統(tǒng)是一個生產(chǎn)運行的實時關鍵系統(tǒng),對可用性和可靠性要求極高,需具備容忍入侵的信息安全防護能力。圖5所示為運行階段工業(yè)控制系統(tǒng)容忍入侵的信息安全防護控制結構示意圖。
圖5 運行階段容忍入侵的信息安全防護控制結構示意圖
該防護架構采用基于風險、狀態(tài)、時間的多級信息安全閉環(huán)控制結構。外層采取風險控制閉環(huán),將系統(tǒng)的風險控制在可接受范圍內(nèi)。中間層的狀態(tài)控制閉環(huán),保證系統(tǒng)運行狀態(tài)的安全可控。內(nèi)層的時間控制閉環(huán),完成安全策略的實施以及效果反饋調(diào)節(jié)。以此實現(xiàn)具備高度容忍入侵能力的工業(yè)控制系統(tǒng)信息安全防護。
工業(yè)控制系統(tǒng)實時入侵檢測是容忍入侵信息安全防護的感知環(huán)節(jié)。通過部署系統(tǒng)資源探針,采集并分析全方位系統(tǒng)實時數(shù)據(jù),進行攻擊特征識別和在線自學習,實現(xiàn)基于特征和基于異常相結合的入侵檢測。對檢測結果進行警報融合和攻擊辨識,識別并預測入侵攻擊信息,實現(xiàn)系統(tǒng)的實時在線監(jiān)控。
基于風險的安全策略決策是容忍入侵的信息安全防護的控制環(huán)節(jié)。根據(jù)系統(tǒng)實時入侵檢測的結果,結合系統(tǒng)運行狀態(tài),進行系統(tǒng)安全態(tài)勢感知,評估系統(tǒng)的實時風險。結合系統(tǒng)風險控制需求,進行系統(tǒng)狀態(tài)控制和動態(tài)安全策略決策,給出最佳安全策略及其優(yōu)化方案,使系統(tǒng)風險處于可接受范圍之內(nèi)。
實時控制是容忍入侵的信息安全防護的實施環(huán)節(jié),是系統(tǒng)的安全響應恢復過程。根據(jù)控制決策中產(chǎn)生的最佳安全策略,生成相應的安全任務集。結合原本系統(tǒng)任務集,分別從系統(tǒng)級和節(jié)點級進行任務可調(diào)度性分析,并構建新的系統(tǒng)任務集。然后進行任務一體化實時調(diào)度,實施該任務集,及時地進行系統(tǒng)恢復。同時評估并反饋策略執(zhí)行效果,以進行優(yōu)化設計,保障系統(tǒng)信息安全。
4.3 維護階段信息安全防護的對策
設計開發(fā)之時難免會有一部分隱藏的安全缺陷。系統(tǒng)在交付使用后,這些脆弱性在某些特定的情況下會暴露出來,需要進行維護完善。同時,為了適應環(huán)境的變化,如系統(tǒng)因入侵攻擊而積累的安全缺陷或者系統(tǒng)安全需求的變更等,系統(tǒng)也需做出相應的調(diào)整,使系統(tǒng)更長久的運行。故首先需要對系統(tǒng)各方面進行評估,然后進行有針對性的改善。
系統(tǒng)評估期間,首先統(tǒng)計系統(tǒng)運行環(huán)境或安全需求變更,分析實施信息安全后系統(tǒng)運行反饋效果。同時,需評估資產(chǎn)狀態(tài)和系統(tǒng)狀態(tài),如有無組件損害或失效,系統(tǒng)性能是否降低、數(shù)據(jù)庫是否需要更新等。評估系統(tǒng)受損情況以及安全狀態(tài),判斷系統(tǒng)風險是否處于可接受范圍內(nèi)。
系統(tǒng)改善過程中,依據(jù)上述分析評估結果,擬定系統(tǒng)變更方案,并逐步、有序地實施該方案。變更方案實施完畢后,需進行系統(tǒng)安全合格性檢驗。如果不滿足要求,則需要重新修改變更方案,再實施,再檢驗,直至達到所預期的效果。
5 結語
本文在詳細分析工業(yè)控制系統(tǒng)典型特點的基礎上,提出了工業(yè)控制系統(tǒng)信息安全綜合防護的主要對策,指明工業(yè)控制系統(tǒng)信息安全防護所涉及的思路和關鍵技術。并且,從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā),分別考慮需求分析及系統(tǒng)設計階段、系統(tǒng)運行階段以及系統(tǒng)維護階段信息安全實現(xiàn)的具體內(nèi)容,旨在為工業(yè)控制系統(tǒng)信息安全防護設計提供參考。
在需求分析及系統(tǒng)設計階段,考慮系統(tǒng)功能性需求和非功能性需求,以及在性能、資源、成本和風險等多個約束條件下的協(xié)調(diào)關系。結合工業(yè)控制系統(tǒng)典型特點,建立縱深防御體系,并分析各層的信息安全防護方法。系統(tǒng)運行階段,提出基于風險、狀態(tài)、時間的多級信息安全防護控制結構,以實現(xiàn)具備一定安全彈性、容忍入侵能力的工業(yè)控制系統(tǒng)信息安全防護。并從實時入侵檢測、動態(tài)風險安全策略決策、系統(tǒng)實時控制方面描述其具體實現(xiàn)的關鍵技術。維護階段,則識別系統(tǒng)安全隱患,統(tǒng)計系統(tǒng)變更情況,制定、實施改善措施,并進行安全驗證,直至到達預期效果。
基金項目:國家自然科學基金重點項目(61433006)、國家自然科學基金面上項目(61272204)。
作者簡介
李匯云(1991-),男,碩士,華中科技大學自動化學院碩士。目前主要研究方向為工業(yè)通信和智能系統(tǒng)、工業(yè)控制系統(tǒng)信息安全。
李璇(1990-),男,博士,華中科技大學自動化學院博士。目前主要研究方向為工業(yè)控制系統(tǒng)信息安全、資產(chǎn)分析及評估。
北京市公安局海淀分局備案號:11010802023656號