工业控制系统的信息安全不仅可能造成信息的丢失,还可能造成工业过程生产故障的发生,从而造成人员损害及设备损坏,其直接财产的损失是巨大的,甚至有可能引起环境问题和社会问题。
饶志宏
中国电子科技集团公司信息安全首席专家,第三十研究所副总工程师
一、工业控制系统信息安全概述
工业控制系统信息安全的定义是:“保护系统所采取的措施;由建立和维护保护系统的措施所得到的系统状态;能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。”
工业控制系统安全可以分成三个方面,即功能安全、物理安全和信息安全。
功能安全是为了达到设备和工厂安全功能,受保护的、和控制设备的安全相关部分必须正确执行其功能,而且当失效或故障发生时,设备或系统必须仍能保持安全条件或进入到安全状态。物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。三种安全在定义和内涵上有很大的差别。
功能安全,使用安全完整性等级的概念已有近20年。功能安全规范要求通常将一个部件或系统的安全表示为单个数字,而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。
物理安全,保护要素主要由一系列安全生产操作规范定义。政府、企业及行业组织等一般通过完备的安全生产操作流程约束工业系统现场操作的标准性,确保事故的可追溯性,并可以明确有关人员的责任,管理和制度因素是保护物理安全的主要方式。
影响信息安全的因数非常复杂,功能安全的全生命周期安全理念同样适用于信息安全,信息安全的管理和维护也必须是周而复始不断进行的。工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全,但是功能安全使用安全完整性等级是基于随机硬件失效的一个部件或系统失效的可能性计算得出的。
二、工业控制系统信息安全与IP数据网络信息安全的区别
1.两种网络的信息安全特点对比
通过结合前期一些项目研究工作经历及相关研究结论,现总结出一些先前所认识到的工业控制系统信息安全与传统的IP信息网络安全的区别,并提出工业控制系统信息安全必须解决的新问题。
1)安全需求不同
2)安全补丁与升级机制存在的区别
3)实时性方面的差异
4)安全保护优先级方面的差异
5)安全防护技术适应性方面的差异
2.工业控制系统信息安全面临的挑战
控制系统相对于其他IT系统的主要区别是控制系统与物理世界的相互作用。传统IP信息网络安全已经发展到较为成熟的技术和设计准则(认证,访问控制,信息完整性,特权分离等),这些能够帮助我们阻止和响应针对工业控制系统的攻击。
传统意义上讲,计算机信息安全研究关注于信息的保护;研究人员不会考虑攻击是如何影响评估和控制算法,最终,攻击是如何影响物理世界的。当前已有的各种信息安全工具,能够对控制系统安全给予必要机制,这些单独的机制对于深度防护控制是不够的。
通过深入理解控制系统与真实物理世界的交互过程,研究人员在未来需要开展的工作可能是:
1)更好地理解攻击的后果:到目前为止,没有深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。
2)设计全新的攻击检测算法:通过理解物理过程应有的控制行为,并基于过程控制命令和传感器测量,能够识别攻击者是否试图干扰控制或传感器的数据。
3)设计新的抗攻击弹性算法和架构:如果检测到一个工业控制系统攻击行为,能够适时改变控制命令,用于增加控制系统的弹性,减少损失。
4)设计适合工业SCADA系统现场设备的身份认证与密码技术:目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统的现场设备中完成访问控制功能,主要原因在于过于复杂的密码机制可能隐藏在紧急情况下妨碍应急处理程序快速响应的风险。
5)研制兼容多种操作系统或软件平台的安全防护技术:传统IT数据网络中的信息安全技术机制,主要解决以Windows、Linux、Unix等通用型操作系统平台上的信息安全问题。而在工业SCADA系统领域,现场工业SCADA系统装置一般使用设备供应商(ABB、西门子、霍尼韦尔等)独立研发的、非公开的操作系统(有时称为固件)、专用软件平台(如GE的iFix等)完成特定的工业过程控制功能。因此,如何在非通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术,是工业SCADA系统信息安全未来需要重点解决的问题。
6)开发硬件兼容能力更强的工业SCADA系统安全防护技术:传统IT数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、入侵检测和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和内存资源,而这些资源在工业控制系统设备中十分有限,工业控制设备最初的设计目标是完成特定现场作业任务,它们一般是低成本、低处理器效能的设备。而且,在石油、供水等能源工业系统控制装置中仍然在使用一些很陈旧的处理器(如1978年出厂的Intel8088处理器)。
三、工业控制系统信息安全防护技术体系
所有自动控制系统信息安全的基础技术是访问控制和用户身份认证,在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。工业控制系统信息安全内涵、需求和目标特性,决定了需要一些特殊的信息安全技术、措施,在工业生产过程中的IED、PLC、RTU、控制器、通信处理机、SCADA系统和各种实际的、各种类型的可编程数字化设备中使用或配置,达到保障工业控制系统生产、控制与管理的安全功能目标。
为实现功能安全前提下的工业控制系统信息安全,需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。
1) 事前防御技术事前防御技术是工业控制信息安全防护技术体系中较为重要的部分,目前有很多成熟的基础技术可以利用:l访问控制/工业控制专用防火墙l身份认证lID设备l基于生物特征的鉴别技术l安全的调制解调器l加密技术l公共密钥基础设施(PKI)l虚拟局域网(VPN)
2)事中响应技术入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS有两种常见的形式:数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名,从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对,根据选择的灵敏程度,最终确定比对结果。然后,根据比对结果,确定攻击行为的发生,从而阻断攻击行为并且通报系统管理员当前系统正在遭受到攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异,确定入侵行为的发生且向系统管理员报警。以上两种IDS系统都有其优点和缺点,但是,它们都有一个相同的问题—如何设置检测灵敏度。高灵敏度会造成错误的入侵报警, IDS会对每个入侵警报作相应的系统动作,因此,过多的错误入侵警报,不仅会破坏正常系统的某些必须的功能,而且还会对系统造成大量额外的负担。而低灵敏度会使IDS不能检测到某些入侵行为的发生,因此IDS会对一些入侵行为视而不见,从而使入侵者成功进入系统,造成不可预期的损失。
3)事后取证技术
审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件,是工业控制系统信息安全主要的事后取证技术之一。因此,针对每个对系统的访问及其相关操作均需要被记录在案。当诊断和审核网络电子入侵是否发生时,审计日记是必不可少的判断标准之一。此外,系统行为记录也是工业SCADA系统信息安全的常用技术。
四、工业控制系统信息安全发展趋势
如何防微杜渐,防止工业控制系统安全事件的再次发生,在重点能源企业构筑安全的工业控制系统,已经成为政府和企业关注的热点。
“震网”病毒事件为全球关键基础设施核心要害系统安全问题敲响了警钟。分析工业控制系统所遭受的漏洞和攻击,可以看出工业控制系统漏洞攻击正向着简单控制器受攻击增大、利用网络协议进行攻击、专业攻击人员进行攻击、利用病毒进行攻击、工业控制系统漏洞挖掘与发布同时增长的趋势发展。当前,美国和欧盟都从国家战略的层面在开展各方面的工作,积极研究工业控制系统信息安全的应对策略。
我国也在政策层面和研究层面积极开展工作,但我国工业控制系统信息安全工作起步晚,总体上技术研究尚属起步阶段,管理制度不健全,相关标准规范不完善,技术防护措施不到位,安全防护能力和应急处理能力不高,这些问题都威胁着工业生产安全和社会正常运作。目前自动化系统发展的趋势就是数字化、智能化、网络化和人机交互人性化。同时将更多的IT技术应用到传统的逻辑控制和数字控制中。工业控制系统信息安全技术未来也将进一步借助传统IT技术,使其更加智能化、网络化,成为控制系统的不可缺少的一部分。与传统IP互联网的信息安全产品研发路线类似,工业控制系统信息安全产品将在信息安全与工业生产控制之间找到契合点,形成工业控制系统特色鲜明的安全输入、安全控制、安全输出类产品体系。值得指出的是,随着工业控制系统信息安全认识和相关技术的不断深化,必将产生一系列与工业控制系统功能安全、现场应用环境紧密联系,特色鲜明的工业控制系统安全防护工具、设备及系统。
( 责任编辑: 刘长利 )