工業(yè)控制系統的信息安全問(wèn)題及解決方案分析

工業(yè)控制系統在過(guò)程生產(chǎn)、電力設施、水力油氣和運輸等領(lǐng)域有著(zhù)廣泛的應用。傳統控制系統的安全性主要依賴(lài)于其技術(shù)的隱秘性，幾乎未采取任何安全措施。隨著(zhù)企業(yè)管理層對生產(chǎn)過(guò)程數據的日益關(guān)注，工業(yè)控制系統越來(lái)越多地采用開(kāi)放lnternet技術(shù)實(shí)現與企業(yè)網(wǎng)的互連。目前，大多數工業(yè)通信系統在商用操作系統的基礎上開(kāi)發(fā)協(xié)議，通信應用中存在很多漏洞。在工業(yè)控制系統與Internet或其他公共網(wǎng)絡(luò )互連時(shí)，這些漏洞將會(huì )暴露給潛在攻擊者。此外，工業(yè)控制系統多用于控制關(guān)鍵基礎措施，攻擊者出于政治目的或經(jīng)濟目的會(huì )主動(dòng)向其發(fā)起攻擊，以期造成嚴重后果。例如，2010年，“震網(wǎng)”病毒席卷全球，伊朗布什爾核電站因遭此攻擊延期運行。因此，近年來(lái)，工業(yè)控制系統的信息安全問(wèn)題成為一個(gè)廣泛關(guān)注的熱點(diǎn)問(wèn)題。

本文主要首先結合工業(yè)控制系統的特點(diǎn)，分析控制系統的要求及其面臨的威脅和攻擊，其次結合相關(guān)標準，從網(wǎng)絡(luò )防護角度介紹了目前的信息安全解決思路，并介紹了相關(guān)的研究趨勢，包括安全通信協(xié)議和安全控制器。

1、工業(yè)控制系統的信息安全分析

1.1工業(yè)控制系統概述

工業(yè)控制系統是以計算機為基本組件，用于監測和控制物理過(guò)程的系統。這類(lèi)系統包含了大部分網(wǎng)絡(luò )系統與物理系統連接的網(wǎng)絡(luò )化系統。根據其應用范圍，控制系統又可分為過(guò)程控制系統(PCS)，監控和數據采集系統(SCADA)，或網(wǎng)絡(luò )一物理系統(CPS)。

控制系統通常由一系列網(wǎng)絡(luò )設備構成，包括：傳感器、執行器、過(guò)程控制單元和通信設備?？刂葡到y通常采用分層結構，典型的控制系統網(wǎng)絡(luò )結構如圖1所示，第一層為安裝有傳感器和執行器等現場(chǎng)設備的物理設施，現場(chǎng)設備通過(guò)現場(chǎng)總線(xiàn)網(wǎng)絡(luò )與可編程邏輯控制器(PLC)或遠程終端設備(RTU)連接，PLC或RTU設備負責實(shí)現局域控制功能。第二層為控制網(wǎng)絡(luò )，主要負責過(guò)程控制器和操作員站之間的實(shí)時(shí)數據傳輸。操作員站用于區域監控和設置物理設施的設定值。第三層為企業(yè)網(wǎng)，企業(yè)工作站負責生產(chǎn)控制，過(guò)程優(yōu)化和過(guò)程日志記錄。

根據控制系統的應用特性，可以分為安全相關(guān)的應用和非安全相關(guān)的應用。安全相關(guān)的應用一旦失效，可能會(huì )造成受控制的物理系統發(fā)生不可恢復的破壞。如果這類(lèi)控制系統遭受破壞，將會(huì )對公共健康和安全產(chǎn)生重大影響，并導致經(jīng)濟損失。

1.2工業(yè)控制系統的安全要求

傳統IT信息安全的技術(shù)相對成熟，但由于其應用場(chǎng)景與控制系統存在許多不同之處，因此，不能直接應用于控制系統的信息安全保護。本節主要針對控制系統與傳統IT信息安全的區別，分析控制系統信息安全的特有屬性，并提出控制系統面臨的新的挑戰。

控制系統的特點(diǎn)之一在于對可用性的要求。因此，傳統信息安全的軟件補丁方式和系統更新頻率對于控制系統不再適用。例如，控制系統的系統升級需要提前幾個(gè)月進(jìn)行計劃，并且更新時(shí)需要將系統設為離線(xiàn)狀態(tài)。而且，在工業(yè)應用環(huán)境下，停機更新系統的經(jīng)濟成本很高。此外，有些系統補丁還可能違反控制系統的規則設定。例如，2008年3月7日，某核電站突然停機，原因是系統中的一臺監視工廠(chǎng)數據的計算機在軟件更新后重啟。計算機重啟后將控制系統中的數據重置為默認值，導致安全系統認為用于給核燃料棒降溫的水溫下降。

控制系統的另一個(gè)特點(diǎn)在于對實(shí)時(shí)性的要求川?？刂葡到y的主要任務(wù)是對生產(chǎn)過(guò)程自動(dòng)做出實(shí)時(shí)的判斷與決策。盡管傳統信息安全對可用性的研究很多，但實(shí)時(shí)可用性需要提供更為嚴格的操作環(huán)境。例如，傳統IT系統中經(jīng)常采用握手協(xié)議和加密等措施增強安全性，而在控制系統中，增加安全措施可能會(huì )嚴重影響系統的響應能力，因此不能將傳統信息安全技術(shù)直接應用于控制系統中。為了保證控制系統具備更強的安全性，控制網(wǎng)絡(luò )需要實(shí)現相關(guān)安全機制和標準，這就要求網(wǎng)絡(luò )滿(mǎn)足一定的性能要求。

除了以上兩個(gè)特點(diǎn)，控制系統與傳統IT信息系統的最大區別在于控制系統與物理世界存在交互關(guān)系?？偟恼f(shuō)來(lái)，信息安全中的許多技術(shù)措施和設計準則相對成熟，如認證，訪(fǎng)問(wèn)控制，消息完整性，最小權限等。利用這些成熟的技術(shù)可以幫助我們防御針對控制系統的攻擊。但是，計算機安全主要考慮信息的保護，對于攻擊如何影響物理世界并沒(méi)有研究。而且，工業(yè)控制系統的資源有限，生命周期長(cháng)，不能直接移植傳統IT的信息安全技術(shù)。因此，雖然目前的信息安全工具可以為控制系統提供必要的防御機制，但僅僅依靠這些機制，無(wú)法為控制系統提供充分的深度保護。

當然，與傳統IT系統相比，控制系統也存在更易操作的特點(diǎn)，為設計系統安全機制提供了便利?？刂葡到y的網(wǎng)絡(luò )動(dòng)態(tài)特性更為簡(jiǎn)單，具有服務(wù)器變動(dòng)少、網(wǎng)絡(luò )拓撲固定、用戶(hù)人群固定、通信類(lèi)型固定、使用的通信協(xié)議少等特點(diǎn)。

1.3工業(yè)控制系統的威脅

工業(yè)控制系統面臨的威脅可以分為兩種：系統相關(guān)的威脅和過(guò)程相關(guān)的威脅。典型的系統相關(guān)威脅和過(guò)程相關(guān)威脅如表1所示。

系統相關(guān)的威脅是指由于軟件漏洞所造成的威脅?？刂葡到y從廣義上是一種信息系統，會(huì )受到系統相關(guān)的威脅，如協(xié)議實(shí)現漏洞、操作系統漏洞等。在控制系統安全項目CCSP2009報告中，通過(guò)CSSP安全評估，將一般控制系統的系統相關(guān)威脅分為九種類(lèi)型。表2列舉了這九種安全問(wèn)題。

過(guò)程相關(guān)的威脅是指工業(yè)控制系統在生產(chǎn)過(guò)程遭受的攻擊。這種攻擊利用過(guò)程控制的特點(diǎn)，攻擊者非法獲取用戶(hù)訪(fǎng)問(wèn)權限后，發(fā)布合法的工業(yè)控制系統命令，導致工業(yè)過(guò)程的故障?；诠I(yè)控制系統用戶(hù)與工業(yè)過(guò)程的交互點(diǎn)，可以將過(guò)程相關(guān)的威脅分為兩類(lèi)：①影響現場(chǎng)設備的訪(fǎng)問(wèn)控制的威脅;②影響中央控制臺的威脅。前者通常發(fā)送錯誤的現場(chǎng)數據到控制系統狀態(tài)監測中心，從而導致系統狀態(tài)分析出現錯誤。后者通常在中央控制臺執行合法的命令，但該命令對生產(chǎn)過(guò)程而言不合理，將對生產(chǎn)或設備產(chǎn)生負面影響。

控制系統的漏洞一旦被攻擊者利用，會(huì )遭受不同類(lèi)型的攻擊，具體的攻擊形式可以分為：

1)欺騙攻擊：在通信過(guò)程中偽裝成某個(gè)合法設備。例如，使用一個(gè)偽造的網(wǎng)絡(luò )源地址。

2)拒絕式服務(wù)攻擊：系統中任意資源的不可用。例如，設備因忙于應答大量的惡意流量而無(wú)法響應其他消息等。

3)中間人攻擊：攻擊者從通信的一端攔截所有消息，修改消息后再轉發(fā)到終端接收設備。

4)重播攻擊：重復發(fā)送某個(gè)過(guò)時(shí)的消息，如用戶(hù)認證或命令等。