一、工業(yè)控制系統(tǒng)信息安全概述

　　通常情況下，工業(yè)控制系統(tǒng)安全可以分成三個方面，即功能安全、物理安全和信息安全。

　　功能安全是為了達到設備和工廠安全功能，受保護的、和控制設備的安全相關部分必須正確執(zhí)行其功能，而且當失效或故障發(fā)生時，設備或系統(tǒng)必須仍能保持安全條件或進入到安全狀態(tài)。

　　物理安全是減少由于電擊、火災、輻射、機械危險、化學危險等因素造成的危害。

　　在IEC62443中針對工業(yè)控制系統(tǒng)信息安全的定義是：“保護系統(tǒng)所采取的措施；由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數據也無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止；防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。”工業(yè)控制系統(tǒng)的信息安全不僅可能造成信息的丟失，還可能造成工業(yè)過程生產故障的發(fā)生，從而造成人員損害及設備損壞，其直接財產的損失是巨大的，甚至有可能引起環(huán)境問題和社會問題。

　　三種安全在定義和內涵上有很大的差別。

　　功能安全，使用安全完整性等級的概念已有近20年。功能安全規(guī)范要求通常將一個部件或系統(tǒng)的安全表示為單個數字，而這個數字是為了保障人員健康、生產安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護因子。

　　物理安全，保護要素主要由一系列安全生產操作規(guī)范定義。政府、企業(yè)及行業(yè)組織等一般通過完備的安全生產操作流程約束工業(yè)系統(tǒng)現場操作的標準性，確保事故的可追溯性，并可以明確有關人員的責任，管理和制度因素是保護物理安全的主要方式。

　　工業(yè)控制系統(tǒng)信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產安全或環(huán)境安全，但是功能安全使用安全完整性等級是基于隨機硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的，而信息安全系統(tǒng)有著更為廣闊的應用，以及更多可能的誘因和后果。影響信息安全的因數非常復雜，很難用一個簡單的數字描述出來。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護也必須是周而復始不斷進行的。

　　二、工業(yè)控制系統(tǒng)信息安全與IP數據網絡信息安全的區(qū)別

　　1.兩種網絡的信息安全特點對比

　　通過結合前期一些項目研究工作經歷及相關研究結論，現總結出一些先前所認識到的工業(yè)控制系統(tǒng)信息安全與傳統(tǒng)的IP信息網絡安全的區(qū)別，并提出工業(yè)控制系統(tǒng)信息安全必須解決的新問題。

　　1）安全需求不同

　　2）安全補丁與升級機制存在的區(qū)別

　　3）實時性方面的差異

　　4）安全保護優(yōu)先級方面的差異

　　5）安全防護技術適應性方面的差異

　　2.工業(yè)控制系統(tǒng)信息安全面臨的挑戰(zhàn)

　　上文論述的這些區(qū)別都是重要的，控制系統(tǒng)相對于其他IT系統(tǒng)的主要區(qū)別是控制系統(tǒng)與物理世界的相互作用。

　　總體來說，傳統(tǒng)IP信息網絡安全已經發(fā)展到較為成熟的技術和設計準則（認證，訪問控制，信息完整性，特權分離等），這些能夠幫助我們阻止和響應針對工業(yè)控制系統(tǒng)的攻擊。然而，傳統(tǒng)意義上講，計算機信息安全研究關注于信息的保護；研究人員不會考慮攻擊是如何影響評估和控制算法，最終，攻擊是如何影響物理世界的。

　　當前已有的各種信息安全工具，能夠對控制系統(tǒng)安全給予必要機制，這些單獨的機制對于深度防護控制是不夠的。

　　通過深入理解控制系統(tǒng)與真實物理世界的交互過程，研究人員在未來需要開展的工作可能是：

　　1）更好地理解攻擊的后果：到目前為止，沒有深入研究攻擊者獲得非授權訪問一些控制網絡設備后將造成的危害。

　　2）設計全新的攻擊檢測算法：通過理解物理過程應有的控制行為，并基于過程控制命令和傳感器測量，能夠識別攻擊者是否試圖干擾控制或傳感器的數據。

　　3）設計新的抗攻擊彈性算法和架構：如果檢測到一個工業(yè)控制系統(tǒng)攻擊行為，能夠適時改變控制命令，用于增加控制系統(tǒng)的彈性，減少損失。

　　4）設計適合工業(yè)SCADA系統(tǒng)現場設備的身份認證與密碼技術：目前一些成熟的、復雜的、健壯的密碼技術通常不能在工業(yè)控制系統(tǒng)的現場設備中完成訪問控制功能，主要原因在于過于復雜的密碼機制可能隱藏在緊急情況下妨礙應急處理程序快速響應的風險。工業(yè)自動控制領域的專家一般認為相對較弱的密碼機制（如缺省密碼、固定密碼甚至空口令等），比較容易在緊急情況下進行猜測、傳送等，進而不會對應急處理程序本身產生額外影響。

　　5）開發(fā)硬件兼容能力更強的工業(yè)SCADA系統(tǒng)安全防護技術：傳統(tǒng)IT數據網絡中安全防護能力較強的技術如身份認證、鑒別、加密、入侵檢測和訪問控制技術等普遍強調占用更多的網絡帶寬、處理器性能和內存資源，而這些資源在工業(yè)控制系統(tǒng)設備中十分有限，工業(yè)控制設備最初的設計目標是完成特定現場作業(yè)任務，它們一般是低成本、低處理器效能的設備。而且，在石油、供水等能源工業(yè)系統(tǒng)控制裝置中仍然在使用一些很陳舊的處理器（如1978年出廠的Intel8088處理器）。因此，在這類裝置中部署主流的信息安全防護技術而又不顯著降低工業(yè)現場控制裝置的性能具有一定難度。

　　6）研制兼容多種操作系統(tǒng)或軟件平臺的安全防護技術：傳統(tǒng)IT數據網絡中的信息安全技術機制，主要解決以Windows、Linux、Unix等通用型操作系統(tǒng)平臺上的信息安全問題。而在工業(yè)SCADA系統(tǒng)領域，現場工業(yè)SCADA系統(tǒng)裝置一般使用設備供應商（ABB、西門子、霍尼韋爾等）獨立研發(fā)的、非公開的操作系統(tǒng)（有時稱為固件）、專用軟件平臺（如GE的iFix等）完成特定的工業(yè)過程控制功能。因此，如何在非通用操作系統(tǒng)及軟件平臺上開發(fā)、部署甚至升級信息安全防護技術，是工業(yè)SCADA系統(tǒng)信息安全未來需要重點解決的問題。

　　三、工業(yè)控制系統(tǒng)信息安全防護技術體系

　　工業(yè)控制系統(tǒng)信息安全內涵、需求和目標特性，決定了需要一些特殊的信息安全技術、措施，在工業(yè)生產過程中的IED、PLC、RTU、控制器、通信處理機、SCADA系統(tǒng)和各種實際的、各種類型的可編程數字化設備中使用或配置，達到保障工業(yè)控制系統(tǒng)生產、控制與管理的安全功能目標。所有自動控制系統(tǒng)信息安全的基礎技術是訪問控制和用戶身份認證，在此基礎上發(fā)展了一些通過探針、信道加密、數據包核查和認證等手段保護通信數據報文安全的技術。為實現功能安全前提下的工業(yè)控制系統(tǒng)信息安全，需要構筑工業(yè)控制系統(tǒng)信息安全事前、事中和事后的全面管理、整體安全的防護技術體系。

　　1）事前防御技術

　　事前防御技術是工業(yè)控制信息安全防護技術體系中較為重要的部分，目前有很多成熟的基礎技術可以利用：

　　訪問控制/工業(yè)控制專用防火墻

　　身份認證

　　ID設備

　　基于生物特征的鑒別技術

　　安全的調制解調器

　　加密技術

　　公共密鑰基礎設施（PKI）

　　虛擬局域網（VPN）

　　2）事中響應技術

　　入侵檢測（IDS）技術對于識別內部的錯誤操作和外部攻擊者嘗試獲得內部訪問權限的攻擊行為是非常有效的。它能夠檢測和識別出內部或外部用戶破壞網絡的意圖。IDS有兩種常見的形式：數字簽名檢測系統(tǒng)和不規(guī)則檢測系統(tǒng)。入侵者常常通過攻擊數字簽名，從而獲得進入系統(tǒng)的權限或破壞網絡的完整性。數字簽名檢測系統(tǒng)通過將現在的攻擊特性與已知攻擊特性數據庫進行比對，根據選擇的靈敏程度，最終確定比對結果。然后，根據比對結果，確定攻擊行為的發(fā)生，從而阻斷攻擊行為并且通報系統(tǒng)管理員當前系統(tǒng)正在遭受到攻擊。不規(guī)則檢測技術通過對比正在運行的系統(tǒng)行為和正常系統(tǒng)行為之間的差異，確定入侵行為的發(fā)生且向系統(tǒng)管理員報警。例如，IDS能夠檢測在午夜時分系統(tǒng)不正常的活躍性或者外部網絡大量訪問某I/O端口等。當不正常的活動發(fā)生時，IDS能夠阻斷攻擊并且提醒系統(tǒng)管理員。

　　以上兩種IDS系統(tǒng)都有其優(yōu)點和缺點，但是，它們都有一個相同的問題—如何設置檢測靈敏度。高靈敏度會造成錯誤的入侵報警，IDS會對每個入侵警報作相應的系統(tǒng)動作，因此，過多的錯誤入侵警報，不僅會破壞正常系統(tǒng)的某些必須的功能，而且還會對系統(tǒng)造成大量額外的負擔。而低靈敏度會使IDS不能檢測到某些入侵行為的發(fā)生，因此IDS會對一些入侵行為視而不見，從而使入侵者成功進入系統(tǒng)，造成不可預期的損失。

　　3）事后取證技術

　　審計日志機制是對合法的和非合法的用戶的認證信息和其他特征信息進行記錄的文件，是工業(yè)控制系統(tǒng)信息安全主要的事后取證技術之一。因此，針對每個對系統(tǒng)的訪問及其相關操作均需要被記錄在案。當診斷和審核網絡電子入侵是否發(fā)生時，審計日記是必不可少的判斷標準之一。此外，系統(tǒng)行為記錄也是工業(yè)SCADA系統(tǒng)信息安全的常用技術。

　　上述討論的是在工業(yè)控制系統(tǒng)信息安全中一些常用的、常規(guī)性技術，而在工業(yè)控制系統(tǒng)信息安全實施過程中，主要有以下一些特別的關鍵技術。

　　四、工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢

　　在“兩化”深度融合的發(fā)展背景下，工業(yè)控制系統(tǒng)信息安全問題也隨之而來。世界范圍內繼“震網”病毒事件后又接連發(fā)生的幾起重大的工業(yè)網絡安全事件，將工業(yè)網絡安全推向了一個新的高度。如何防微杜漸，防止工業(yè)控制系統(tǒng)安全事件的再次發(fā)生，在重點能源企業(yè)構筑安全的工業(yè)控制系統(tǒng)，已經成為政府和企業(yè)關注的熱點。

　　“震網”病毒事件為全球關鍵基礎設施核心要害系統(tǒng)安全問題敲響了警鐘。分析工業(yè)控制系統(tǒng)所遭受的漏洞和攻擊，可以看出工業(yè)控制系統(tǒng)漏洞攻擊正向著簡單控制器受攻擊增大、利用網絡協(xié)議進行攻擊、專業(yè)攻擊人員進行攻擊、利用病毒進行攻擊、工業(yè)控制系統(tǒng)漏洞挖掘與發(fā)布同時增長的趨勢發(fā)展。當前，美國和歐盟都從國家戰(zhàn)略的層面在開展各方面的工作，積極研究工業(yè)控制系統(tǒng)信息安全的應對策略。我國也在政策層面和研究層面積極開展工作，但我國工業(yè)控制系統(tǒng)信息安全工作起步晚，總體上技術研究尚屬起步階段，管理制度不健全，相關標準規(guī)范不完善，技術防護措施不到位，安全防護能力和應急處理能力不高，這些問題都威脅著工業(yè)生產安全和社會正常運作。因此，整合各方面優(yōu)勢資源，促進工業(yè)控制系統(tǒng)信息安全產業(yè)的形成，是未來工業(yè)控制系統(tǒng)網絡信息安全發(fā)展的基本趨勢。

　　另一方面，工業(yè)控制系統(tǒng)信息安全技術的發(fā)展，將隨著工業(yè)自動化系統(tǒng)的發(fā)展而不斷演化。目前自動化系統(tǒng)發(fā)展的趨勢就是數字化、智能化、網絡化和人機交互人性化。同時將更多的IT技術應用到傳統(tǒng)的邏輯控制和數字控制中。工業(yè)控制系統(tǒng)信息安全技術未來也將進一步借助傳統(tǒng)IT技術，使其更加智能化、網絡化，成為控制系統(tǒng)的不可缺少的一部分。與傳統(tǒng)IP互聯網的信息安全產品研發(fā)路線類似，工業(yè)控制系統(tǒng)信息安全產品將在信息安全與工業(yè)生產控制之間找到契合點，形成工業(yè)控制系統(tǒng)特色鮮明的安全輸入、安全控制、安全輸出類產品體系。值得指出的是，隨著工業(yè)控制系統(tǒng)信息安全認識和相關技術的不斷深化，必將產生一系列與工業(yè)控制系統(tǒng)功能安全、現場應用環(huán)境緊密聯系，特色鮮明的工業(yè)控制系統(tǒng)安全防護工具、設備及系統(tǒng)。

 　（中國電子科技集團公司信息安全首席專家，第三十研究所副總工程師　饒志宏）