工業(yè)控制系統(tǒng)的信息安全問題及解決方案分析

工業(yè)控制系統(tǒng)在過程生產(chǎn)、電力設(shè)施、水力油氣和運(yùn)輸?shù)阮I(lǐng)域有著廣泛的應(yīng)用。傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性，幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注，工業(yè)控制系統(tǒng)越來越多地采用開放lnternet技術(shù)實(shí)現(xiàn)與企業(yè)網(wǎng)的互連。目前，大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎(chǔ)上開發(fā)協(xié)議，通信應(yīng)用中存在很多漏洞。在工業(yè)控制系統(tǒng)與Internet或其他公共網(wǎng)絡(luò)互連時(shí)，這些漏洞將會暴露給潛在攻擊者。此外，工業(yè)控制系統(tǒng)多用于控制關(guān)鍵基礎(chǔ)措施，攻擊者出于政治目的或經(jīng)濟(jì)目的會主動向其發(fā)起攻擊，以期造成嚴(yán)重后果。例如，2010年，“震網(wǎng)”病毒席卷全球，伊朗布什爾核電站因遭此攻擊延期運(yùn)行。因此，近年來，工業(yè)控制系統(tǒng)的信息安全問題成為一個(gè)廣泛關(guān)注的熱點(diǎn)問題。

本文主要首先結(jié)合工業(yè)控制系統(tǒng)的特點(diǎn)，分析控制系統(tǒng)的要求及其面臨的威脅和攻擊，其次結(jié)合相關(guān)標(biāo)準(zhǔn)，從網(wǎng)絡(luò)防護(hù)角度介紹了目前的信息安全解決思路，并介紹了相關(guān)的研究趨勢，包括安全通信協(xié)議和安全控制器。

1、工業(yè)控制系統(tǒng)的信息安全分析

1.1工業(yè)控制系統(tǒng)概述

工業(yè)控制系統(tǒng)是以計(jì)算機(jī)為基本組件，用于監(jiān)測和控制物理過程的系統(tǒng)。這類系統(tǒng)包含了大部分網(wǎng)絡(luò)系統(tǒng)與物理系統(tǒng)連接的網(wǎng)絡(luò)化系統(tǒng)。根據(jù)其應(yīng)用范圍，控制系統(tǒng)又可分為過程控制系統(tǒng)(PCS)，監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)，或網(wǎng)絡(luò)一物理系統(tǒng)(CPS)。

控制系統(tǒng)通常由一系列網(wǎng)絡(luò)設(shè)備構(gòu)成，包括：傳感器、執(zhí)行器、過程控制單元和通信設(shè)備?？刂葡到y(tǒng)通常采用分層結(jié)構(gòu)，典型的控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，第一層為安裝有傳感器和執(zhí)行器等現(xiàn)場設(shè)備的物理設(shè)施，現(xiàn)場設(shè)備通過現(xiàn)場總線網(wǎng)絡(luò)與可編程邏輯控制器(PLC)或遠(yuǎn)程終端設(shè)備(RTU)連接，PLC或RTU設(shè)備負(fù)責(zé)實(shí)現(xiàn)局域控制功能。第二層為控制網(wǎng)絡(luò)，主要負(fù)責(zé)過程控制器和操作員站之間的實(shí)時(shí)數(shù)據(jù)傳輸。操作員站用于區(qū)域監(jiān)控和設(shè)置物理設(shè)施的設(shè)定值。第三層為企業(yè)網(wǎng)，企業(yè)工作站負(fù)責(zé)生產(chǎn)控制，過程優(yōu)化和過程日志記錄。

根據(jù)控制系統(tǒng)的應(yīng)用特性，可以分為安全相關(guān)的應(yīng)用和非安全相關(guān)的應(yīng)用。安全相關(guān)的應(yīng)用一旦失效，可能會造成受控制的物理系統(tǒng)發(fā)生不可恢復(fù)的破壞。如果這類控制系統(tǒng)遭受破壞，將會對公共健康和安全產(chǎn)生重大影響，并導(dǎo)致經(jīng)濟(jì)損失。

1.2工業(yè)控制系統(tǒng)的安全要求

傳統(tǒng)IT信息安全的技術(shù)相對成熟，但由于其應(yīng)用場景與控制系統(tǒng)存在許多不同之處，因此，不能直接應(yīng)用于控制系統(tǒng)的信息安全保護(hù)。本節(jié)主要針對控制系統(tǒng)與傳統(tǒng)IT信息安全的區(qū)別，分析控制系統(tǒng)信息安全的特有屬性，并提出控制系統(tǒng)面臨的新的挑戰(zhàn)。

控制系統(tǒng)的特點(diǎn)之一在于對可用性的要求。因此，傳統(tǒng)信息安全的軟件補(bǔ)丁方式和系統(tǒng)更新頻率對于控制系統(tǒng)不再適用。例如，控制系統(tǒng)的系統(tǒng)升級需要提前幾個(gè)月進(jìn)行計(jì)劃，并且更新時(shí)需要將系統(tǒng)設(shè)為離線狀態(tài)。而且，在工業(yè)應(yīng)用環(huán)境下，停機(jī)更新系統(tǒng)的經(jīng)濟(jì)成本很高。此外，有些系統(tǒng)補(bǔ)丁還可能違反控制系統(tǒng)的規(guī)則設(shè)定。例如，2008年3月7日，某核電站突然停機(jī)，原因是系統(tǒng)中的一臺監(jiān)視工廠數(shù)據(jù)的計(jì)算機(jī)在軟件更新后重啟。計(jì)算機(jī)重啟后將控制系統(tǒng)中的數(shù)據(jù)重置為默認(rèn)值，導(dǎo)致安全系統(tǒng)認(rèn)為用于給核燃料棒降溫的水溫下降。

控制系統(tǒng)的另一個(gè)特點(diǎn)在于對實(shí)時(shí)性的要求川?？刂葡到y(tǒng)的主要任務(wù)是對生產(chǎn)過程自動做出實(shí)時(shí)的判斷與決策。盡管傳統(tǒng)信息安全對可用性的研究很多，但實(shí)時(shí)可用性需要提供更為嚴(yán)格的操作環(huán)境。例如，傳統(tǒng)IT系統(tǒng)中經(jīng)常采用握手協(xié)議和加密等措施增強(qiáng)安全性，而在控制系統(tǒng)中，增加安全措施可能會嚴(yán)重影響系統(tǒng)的響應(yīng)能力，因此不能將傳統(tǒng)信息安全技術(shù)直接應(yīng)用于控制系統(tǒng)中。為了保證控制系統(tǒng)具備更強(qiáng)的安全性，控制網(wǎng)絡(luò)需要實(shí)現(xiàn)相關(guān)安全機(jī)制和標(biāo)準(zhǔn)，這就要求網(wǎng)絡(luò)滿足一定的性能要求。

除了以上兩個(gè)特點(diǎn)，控制系統(tǒng)與傳統(tǒng)IT信息系統(tǒng)的最大區(qū)別在于控制系統(tǒng)與物理世界存在交互關(guān)系?？偟恼f來，信息安全中的許多技術(shù)措施和設(shè)計(jì)準(zhǔn)則相對成熟，如認(rèn)證，訪問控制，消息完整性，最小權(quán)限等。利用這些成熟的技術(shù)可以幫助我們防御針對控制系統(tǒng)的攻擊。但是，計(jì)算機(jī)安全主要考慮信息的保護(hù)，對于攻擊如何影響物理世界并沒有研究。而且，工業(yè)控制系統(tǒng)的資源有限，生命周期長，不能直接移植傳統(tǒng)IT的信息安全技術(shù)。因此，雖然目前的信息安全工具可以為控制系統(tǒng)提供必要的防御機(jī)制，但僅僅依靠這些機(jī)制，無法為控制系統(tǒng)提供充分的深度保護(hù)。

當(dāng)然，與傳統(tǒng)IT系統(tǒng)相比，控制系統(tǒng)也存在更易操作的特點(diǎn)，為設(shè)計(jì)系統(tǒng)安全機(jī)制提供了便利?？刂葡到y(tǒng)的網(wǎng)絡(luò)動態(tài)特性更為簡單，具有服務(wù)器變動少、網(wǎng)絡(luò)拓?fù)涔潭?、用戶人群固定、通信類型固定、使用的通信協(xié)議少等特點(diǎn)。

1.3工業(yè)控制系統(tǒng)的威脅

工業(yè)控制系統(tǒng)面臨的威脅可以分為兩種：系統(tǒng)相關(guān)的威脅和過程相關(guān)的威脅。典型的系統(tǒng)相關(guān)威脅和過程相關(guān)威脅如表1所示。

系統(tǒng)相關(guān)的威脅是指由于軟件漏洞所造成的威脅?？刂葡到y(tǒng)從廣義上是一種信息系統(tǒng)，會受到系統(tǒng)相關(guān)的威脅，如協(xié)議實(shí)現(xiàn)漏洞、操作系統(tǒng)漏洞等。在控制系統(tǒng)安全項(xiàng)目CCSP2009報(bào)告中，通過CSSP安全評估，將一般控制系統(tǒng)的系統(tǒng)相關(guān)威脅分為九種類型。表2列舉了這九種安全問題。

過程相關(guān)的威脅是指工業(yè)控制系統(tǒng)在生產(chǎn)過程遭受的攻擊。這種攻擊利用過程控制的特點(diǎn)，攻擊者非法獲取用戶訪問權(quán)限后，發(fā)布合法的工業(yè)控制系統(tǒng)命令，導(dǎo)致工業(yè)過程的故障。基于工業(yè)控制系統(tǒng)用戶與工業(yè)過程的交互點(diǎn)，可以將過程相關(guān)的威脅分為兩類：①影響現(xiàn)場設(shè)備的訪問控制的威脅;②影響中央控制臺的威脅。前者通常發(fā)送錯(cuò)誤的現(xiàn)場數(shù)據(jù)到控制系統(tǒng)狀態(tài)監(jiān)測中心，從而導(dǎo)致系統(tǒng)狀態(tài)分析出現(xiàn)錯(cuò)誤。后者通常在中央控制臺執(zhí)行合法的命令，但該命令對生產(chǎn)過程而言不合理，將對生產(chǎn)或設(shè)備產(chǎn)生負(fù)面影響。

控制系統(tǒng)的漏洞一旦被攻擊者利用，會遭受不同類型的攻擊，具體的攻擊形式可以分為：

1)欺騙攻擊：在通信過程中偽裝成某個(gè)合法設(shè)備。例如，使用一個(gè)偽造的網(wǎng)絡(luò)源地址。

2)拒絕式服務(wù)攻擊：系統(tǒng)中任意資源的不可用。例如，設(shè)備因忙于應(yīng)答大量的惡意流量而無法響應(yīng)其他消息等。

3)中間人攻擊：攻擊者從通信的一端攔截所有消息，修改消息后再轉(zhuǎn)發(fā)到終端接收設(shè)備。

4)重播攻擊：重復(fù)發(fā)送某個(gè)過時(shí)的消息，如用戶認(rèn)證或命令等。