今日頭條
官方微信
官方抖音
資訊頻道1 引言
由于工業(yè)控制系統(tǒng)安全事故頻發(fā)及逐年上升,工業(yè)控制系統(tǒng)信息安全的嚴(yán)峻形勢(shì)引起了國(guó)內(nèi)外的高度關(guān)注。工業(yè)控制系統(tǒng)信息安全涉及石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè),直接關(guān)系到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和國(guó)民經(jīng)濟(jì),因此,工業(yè)控制系統(tǒng)信息安全已經(jīng)上升至國(guó)家層面,是國(guó)家網(wǎng)絡(luò)安全的重要組成部分。
工業(yè)控制系統(tǒng)信息安技術(shù),作為工業(yè)控制系統(tǒng)信息安全的重中之重,正吸引著全球工業(yè)控制系統(tǒng)產(chǎn)品制造商、用戶(hù)、工程公司、相關(guān)職能部門(mén)的目光。積極探求現(xiàn)有的工業(yè)控制系統(tǒng)信息安技術(shù),努力開(kāi)發(fā)新的工業(yè)控制系統(tǒng)信息安全技術(shù),必然成為大勢(shì)所趨。理解和掌握這些工業(yè)控制系統(tǒng)信息安全技術(shù),才能為工業(yè)控制系統(tǒng)信息安全提供有效的解決方案。
2 現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)
現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)有多種,包括鑒別與授權(quán)技術(shù),過(guò)濾、阻止、訪問(wèn)控制技術(shù),編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù),管理、審計(jì)、測(cè)量、監(jiān)控和檢測(cè)技術(shù),物理安全控制技術(shù)等。
2.1 鑒別與授權(quán)技術(shù)
鑒別與授權(quán),是工業(yè)控制系統(tǒng)訪問(wèn)控制的最基本要求。鑒別,用于驗(yàn)證用戶(hù)所聲稱(chēng)的身份,驗(yàn)證用戶(hù)身份的過(guò)程或裝置,通常是允許進(jìn)行信息系統(tǒng)資源訪問(wèn)的先決條件。授權(quán),是批準(zhǔn)進(jìn)入系統(tǒng)訪問(wèn)系統(tǒng)資源的權(quán)利或允許。
鑒別與授權(quán)技術(shù)包括基于角色的授權(quán)工具、口令鑒別、物理/令牌鑒別、智能卡鑒別、生物鑒別、基于位置的鑒別、設(shè)備至設(shè)備的鑒別等。
(1)基于角色的授權(quán)工具
根據(jù)工業(yè)控制系統(tǒng)用戶(hù)的角色或職責(zé),分配不同的訪問(wèn)權(quán)限,如操作人員權(quán)限、維護(hù)人員權(quán)限、管理人員權(quán)限、工程人員權(quán)限等。
目前的工業(yè)控制系統(tǒng)均配置這種基于角色的授權(quán)工具。
(2)口令鑒別
口令鑒別是工業(yè)控制系統(tǒng)最簡(jiǎn)單、最常用的鑒別技術(shù)。
在工業(yè)控制系統(tǒng)中,口令能夠用于限制授權(quán)用戶(hù)請(qǐng)求的服務(wù)和功能。
(3)物理/令牌鑒別
物理/令牌鑒別與口令鑒別相似,只是用戶(hù)在請(qǐng)求訪問(wèn)時(shí)必須有安全令牌或智能卡。
(4)智能卡鑒別
智能卡鑒別與令牌鑒別相似,只是它能提供更多的功能。
(5)生物鑒別
生物鑒別通過(guò)請(qǐng)求用戶(hù)獨(dú)特的生物特征來(lái)確定真實(shí)性。
常用的生物鑒別有指紋儀、掌形儀、眼睛識(shí)別、面部識(shí)別、聲音識(shí)別等。
(6) 基于位置的鑒別
基于位置的鑒別技術(shù)是通過(guò)設(shè)備或請(qǐng)求訪問(wèn)用戶(hù)的空間位置來(lái)確定真實(shí)性。
這種鑒別技術(shù)通常要求系統(tǒng)配有GPS技術(shù),因此,目前這種技術(shù)應(yīng)用較少見(jiàn)。
(7) 設(shè)備至設(shè)備的鑒別
設(shè)備至設(shè)備的鑒別確保在兩個(gè)設(shè)備之間數(shù)據(jù)傳送發(fā)生的惡意改變能得到識(shí)別。
這種鑒別技術(shù)通常與編碼技術(shù)一起部署。
2.2 過(guò)濾、阻止、訪問(wèn)控制技術(shù)
訪問(wèn)控制技術(shù)是過(guò)濾和阻止技術(shù),用于指導(dǎo)和調(diào)節(jié)已授權(quán)的設(shè)備或系統(tǒng)的信息流量。
過(guò)濾、阻止、訪問(wèn)控制技術(shù)包括工業(yè)防火墻技術(shù)、基于主機(jī)的防火墻技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)等。
(1)工業(yè)防火墻技術(shù)
工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。
工業(yè)控制系統(tǒng)防火墻技術(shù)可以實(shí)現(xiàn)區(qū)域管控,劃分控制系統(tǒng)安全區(qū)域,對(duì)安全區(qū)域?qū)崿F(xiàn)隔離保護(hù),保護(hù)合法用戶(hù)訪問(wèn)網(wǎng)絡(luò)資源;同時(shí),可以對(duì)控制協(xié)議進(jìn)行深度解析,解析Modbus、DNP3等應(yīng)用層異常數(shù)據(jù)流量,并對(duì)OPC端口進(jìn)行動(dòng)態(tài)追蹤,對(duì)關(guān)鍵寄存器和操作進(jìn)行保護(hù)。
工業(yè)防火墻技術(shù)包括數(shù)據(jù)包過(guò)濾技術(shù)、狀態(tài)包檢測(cè)技術(shù)和代理服務(wù)技術(shù)。
數(shù)據(jù)包過(guò)濾防火墻適用于工業(yè)控制,早期市場(chǎng)中已普遍使用,但其缺陷也慢慢顯現(xiàn)出來(lái)。
狀態(tài)包檢測(cè)防火墻適用于工業(yè)控制,在目前市場(chǎng)中正在推廣應(yīng)用,其優(yōu)越性也開(kāi)始顯現(xiàn)。
代理服務(wù)網(wǎng)關(guān)防火墻不太適用于工業(yè)控制,但也有不計(jì)較延時(shí)情況的應(yīng)用。
(2)基于主機(jī)的防火墻技術(shù)
基于主機(jī)的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案,用于控制進(jìn)出特定設(shè)備的流量。
這種基于主機(jī)的防火墻技術(shù)具有與工業(yè)防火墻類(lèi)似的能力,包括狀態(tài)包檢測(cè)。目前這種技術(shù)偶爾用于非關(guān)鍵的工作站。
(3)虛擬網(wǎng)絡(luò)技術(shù)
虛擬局域網(wǎng)將物理網(wǎng)絡(luò)分成幾個(gè)更小的邏輯網(wǎng)絡(luò),以增加性能、提高可管理性、以及簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)。
這種技術(shù)在控制系統(tǒng)中運(yùn)用較多。
2.3 編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù)
編碼技術(shù)是為了確保信息僅對(duì)授權(quán)訪問(wèn)的信息數(shù)據(jù)的編碼與解碼的過(guò)程。數(shù)據(jù)確認(rèn)技術(shù)可以保護(hù)用于工業(yè)過(guò)程的信息的準(zhǔn)確性和完整性。
編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù)包括對(duì)稱(chēng)密鑰編碼技術(shù)、公鑰編碼與密鑰分配技術(shù)、虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)等。
(1)對(duì)稱(chēng)密鑰編碼技術(shù)
對(duì)稱(chēng)密鑰編碼需要將明碼文本轉(zhuǎn)換成密碼文本,且在加密和解密均用同一把密鑰。
目前常見(jiàn)的對(duì)稱(chēng)密鑰算法有三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(3DES)和高級(jí)加密標(biāo)準(zhǔn)(AES)。AES常見(jiàn)的有AES12、AES192或AES256。
(2)公鑰編碼與密鑰分配技術(shù)
與對(duì)稱(chēng)密鑰編碼不同的是,公鑰編碼使用一對(duì)不同而有關(guān)聯(lián)的密鑰(也稱(chēng)公私鑰對(duì))。
這類(lèi)公鑰鑒別通常部署在傳輸層安全(如SSL)、虛擬公網(wǎng)技術(shù)(如IPsec)等。
(3) 虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)
虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)是一種采用加密、認(rèn)證等安全機(jī)制,在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全、獨(dú)占、自治的邏輯網(wǎng)絡(luò)技術(shù)。它不僅可以保護(hù)網(wǎng)絡(luò)的邊界安全,同時(shí)也是一種網(wǎng)絡(luò)互連的方式。
目前,SSL VPN已廣泛應(yīng)用于控制系統(tǒng)。
2.4 管理、審計(jì)、測(cè)量、監(jiān)控和檢測(cè)技術(shù)
審計(jì)、監(jiān)控和檢測(cè)技術(shù)提供分析信息安全漏洞、檢測(cè)可能損害、以及辯證分析損害事件的能力。
管理、審計(jì)、測(cè)量、監(jiān)控和檢測(cè)技術(shù)包括日志審核工具、病毒與惡意代碼檢測(cè)系統(tǒng)、入侵檢測(cè)與入侵防護(hù)技術(shù)、漏洞掃描技術(shù)、辯論與分析工具。
(1)日志審核工具
日志審核工具是為系統(tǒng)管理員管理系統(tǒng)日志的工具,能夠發(fā)現(xiàn)并記錄信息安全事件發(fā)生的跡象、文件以及攻擊入口等。
目前市場(chǎng)上也出現(xiàn)一些日志審核工具,如大多數(shù)操作系統(tǒng)都有維修日志文件等。
(2)病毒與惡意代碼檢測(cè)系統(tǒng)
病毒與惡意代碼檢測(cè)系統(tǒng)是一種主動(dòng)檢測(cè)非正常活動(dòng)的代理機(jī)制。
病毒與惡意代碼檢測(cè)系統(tǒng)通常部署在工作站、服務(wù)器和邊界。
(3)入侵檢測(cè)與入侵防護(hù)技術(shù)
入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵防護(hù)是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng),其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成任何損失,而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。
目前,入侵檢測(cè)與入侵防護(hù)技術(shù)已在控制系統(tǒng)中開(kāi)始采用。
(4)漏洞掃描技術(shù)
漏洞掃描技術(shù)是一種檢測(cè)系統(tǒng)和網(wǎng)絡(luò)漏洞的方式,這種方式通常用在企業(yè)系統(tǒng)網(wǎng)絡(luò)遭到破壞惡意入侵者進(jìn)入控制系統(tǒng)時(shí)進(jìn)行檢測(cè)。
漏洞掃描技術(shù)通常由漏洞庫(kù)、掃描引擎、本地管理權(quán)限代理和報(bào)告機(jī)制組成。
由于工業(yè)控制系統(tǒng)漏洞庫(kù)比較有限,因此其漏洞掃描技術(shù)應(yīng)用并不多。
(5)辯論與分析工具
辯論與分析工具用于基本的網(wǎng)絡(luò)活動(dòng),分析非正常的網(wǎng)絡(luò)流量,以幫助信息安全研究人員和控制系統(tǒng)管理員。
2.5 物理安全控制技術(shù)
物理安全控制采用一些物理措施,以限制對(duì)工業(yè)控制系統(tǒng)信息資產(chǎn)的物理訪問(wèn)。
物理安全控制技術(shù)包括物理保護(hù)、人員安全等。
(1)物理保護(hù)
工業(yè)控制系統(tǒng)物理保護(hù)通常指的是安全防范系統(tǒng),包括訪問(wèn)監(jiān)視系統(tǒng)和訪問(wèn)限制系統(tǒng)。
訪問(wèn)監(jiān)視系統(tǒng)包括攝像機(jī)、傳感器等識(shí)別系統(tǒng)。訪問(wèn)限制系統(tǒng)包括圍欄、門(mén)、門(mén)禁、保安等。
(2)人員安全
工業(yè)控制系統(tǒng)人員安全通常指的是減少人為的失誤、盜竊、欺騙、或有意/無(wú)意濫用信息資產(chǎn)的可能性和風(fēng)險(xiǎn)。
這些人員安全通常包括雇傭方針、公司方針與實(shí)踐、任用條款等。
3 新發(fā)展的工業(yè)控制系統(tǒng)信息安全技術(shù)
隨著工業(yè)控制系統(tǒng)信息安全深入研究與發(fā)展,新的信息安全技術(shù)必然會(huì)層出不窮。
目前市場(chǎng)上出現(xiàn)的工業(yè)控制系統(tǒng)信息安全技術(shù)有工業(yè)控制系統(tǒng)加固技術(shù)和信息安全工廠技術(shù),現(xiàn)簡(jiǎn)單分析如下,供大家參考。
3.1 工業(yè)控制系統(tǒng)加固技術(shù)
工業(yè)控制系統(tǒng)頻繁遭受攻擊,人們自然會(huì)想到工業(yè)控制系統(tǒng)加固技術(shù)。
在國(guó)外,有自動(dòng)化產(chǎn)品制造商已經(jīng)完成對(duì)PLC控制系統(tǒng)的加固設(shè)計(jì),并很快將投放市場(chǎng)。
3.1.1 工業(yè)控制系統(tǒng)加固技術(shù)產(chǎn)生背景
由于大部分工業(yè)控制系統(tǒng)信息安全事件均來(lái)自控制系統(tǒng)本身,如控制器操作系統(tǒng)有漏洞、I/O模塊與接線存在隱患、電源部分不可靠等。因此,工業(yè)控制系統(tǒng)加固有很大的空間。
3.1.2 工業(yè)控制系統(tǒng)加固技術(shù)設(shè)計(jì)
通過(guò)對(duì)底板、I/O模塊、電源部分以及PLC控制器加固,為控制系統(tǒng)信息安全提供更好的防護(hù)。其設(shè)計(jì)特點(diǎn)分析如下:
(1)底板
采用快速I(mǎi)/O通信和電磁連接,免去I/O接插線,增加信息安全和電氣隔離;
采用4GB黑色織物通信,能夠提供1ms的掃描時(shí)間,不管I/O點(diǎn)數(shù)和用戶(hù)運(yùn)用程序;
采用金屬構(gòu)造,光纖星形網(wǎng)絡(luò)可支持20km跨度,提供分布和運(yùn)用靈活性的最高等級(jí)。
(2)I/O模塊
采用虛擬接線系列(VMS),使用三種I/O模塊類(lèi)型,即通用模擬量、通用開(kāi)關(guān)量輸入和通用開(kāi)關(guān)量輸出;
采用通用總線模塊,支持PROFIBUS、DeviceNet、工業(yè)以太網(wǎng)和現(xiàn)場(chǎng)基金總線。
(3)控制器
采用一個(gè)通用控制器,針對(duì)所有控制模式;
采用冗余連接,減少過(guò)程中斷;
控制器底板配置先進(jìn)診斷技術(shù),提高運(yùn)行時(shí)間,增加資產(chǎn)使用率,并給出分析報(bào)告;
采用冗余層次和嵌入式信息安全,提供安全運(yùn)作。配有SIL3密碼黑色織物臂安全處理器,其實(shí)時(shí)操作系統(tǒng)信息安全性評(píng)估已達(dá)EAL6+。
(4)電源部分
采用安全電源解決方案,包括電源和UPS部件設(shè)計(jì),為用戶(hù)加強(qiáng)安全。
3.2 信息安全工廠技術(shù)
最近,信息安全工廠(SecurePlant)作為工業(yè)信息安全技術(shù)新名詞,引起各位專(zhuān)業(yè)同行的高度關(guān)注。
信息安全工廠是一個(gè)針對(duì)工業(yè)控制系統(tǒng)全面信息安全管理解決方案,由橫河電氣、思科和殼牌三家公司共同提出。
3.2.1 信息安全工廠技術(shù)產(chǎn)生背景
鑒于大多數(shù)公司在全球運(yùn)作,每個(gè)工廠都面對(duì)信息安全的挑戰(zhàn),每個(gè)工廠也采用不同的應(yīng)對(duì)方式,從而導(dǎo)致每個(gè)工廠的信息安全等級(jí)不同,缺乏一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。
3.2.2 信息安全工廠技術(shù)設(shè)計(jì)
這種信息安全工廠解決方案設(shè)計(jì)由以下幾點(diǎn)組成:
(1)補(bǔ)丁和抗病毒設(shè)計(jì)
這種設(shè)計(jì),為控制系統(tǒng)提供操作系統(tǒng)補(bǔ)丁和防病毒模式文件。
通過(guò)現(xiàn)有公司全球網(wǎng)絡(luò),供應(yīng)商認(rèn)證的視窗信息安全補(bǔ)丁和病毒簽名文件由安全中心(SecureCenter)向每個(gè)工廠的安全現(xiàn)場(chǎng)(SecureSite)分發(fā)。
(2)實(shí)時(shí)和主動(dòng)監(jiān)視設(shè)計(jì)
這種設(shè)計(jì),為控制系統(tǒng)提供實(shí)時(shí)和主動(dòng)監(jiān)視。
這種實(shí)時(shí)和主動(dòng)監(jiān)視能力使得工廠信息安全集中化管理得以實(shí)現(xiàn)。
(3)幫助桌面設(shè)計(jì)
這種設(shè)計(jì),為管理這種解決方案提供幫助桌面運(yùn)作。
通過(guò)供應(yīng)商的合作,為用戶(hù)提供24/7/365幫助桌面,管理解決方案相應(yīng)的事件。
4 結(jié)束語(yǔ)
通過(guò)上面的分析和探討可知,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門(mén)相對(duì)較成熟的技術(shù)。熟練掌握和運(yùn)用這些技術(shù),才能有效解決工業(yè)控制系統(tǒng)信息安全事件頻發(fā),保證工業(yè)控制系統(tǒng)正常運(yùn)行,為國(guó)民經(jīng)濟(jì)建設(shè)和發(fā)展保駕護(hù)航。
同時(shí),我們也應(yīng)該認(rèn)識(shí)到,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門(mén)不斷深入發(fā)展的技術(shù)。隨著工業(yè)控制系統(tǒng)廣泛運(yùn)用和不斷發(fā)展,其信息安全必將面臨更加嚴(yán)峻的挑戰(zhàn),其信息安全技術(shù)的研究開(kāi)發(fā)必將快速推進(jìn)。
參考文獻(xiàn):
[1] IEC62443 - 3 - 1 Security for Industrial Automation and Control Systems Part 3 - 1 Security Technologies for Industrial Automation and Control Systems [S]. 2012.
[2] ARC. Control system, PLC, IO, backplane, power supply are secure by design, 2015.
[3] Yokogawa. Companies collaborate to provide cybersecurity solutions for oil plants [J]. Control Engineering, 2015, 2.
作者簡(jiǎn)介
肖建榮(1969-),男,高級(jí)工程師,主要從事工業(yè)電氣、儀表自動(dòng)化工程設(shè)計(jì)、編程和調(diào)試工作。
摘自《自動(dòng)化博覽》6月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)