搜索
工业控制系统的信息安全性一、工控系统介绍工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、通信网络、控制器组。工控系统主要包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等。一直以来,这些系统被应用在不同的工业领域,成为了国家的重点基础工程项目的建设中不可缺少的成分之一。所有的工业控制系统中,工业控制过程都包括控制回路、人机交互界面(HMI)及远程诊断与维护组件。上图为典型的ICS控制过程。二、工控系统的安全现状分析随着计算机技术和工业生产的结合,工业控制系统(IndustrialControlSystems,ICS)已成为制造、电力及交通运输等行业的基石。一方面,工控系统为工业的发展带来了巨大的积极作用,另一方面,因为工业控制系统的安全防护体系做得还不是很到位,很多的非法入侵事件屡见不鲜,这对工业的发展,甚至对整个国家的安全战略提出了挑战。尤其是2010年的Stuxnet病毒的肆虐,让全球都明白,人们一直认为相对安全的工业控制系统也成为了黑客攻击的目标,因此,在第一时间发现工控系统的安全问题,并及时解决这些安全问题是极其重要的。此外,建设安全可信的工控防御体系,也是现在各国发展和建设的重要一环。三、工控系统现存在的问题3.1系统内部风险:操作系统存在安全漏洞。由于工控软件先设计,之后操作系统才会发现漏洞进行修复,甚至绝大部分工控系统所使用的WindowsXP系统生产者Microsoft公司申明:4月8日以后不会对XP系统安全漏洞进行修复,所以之后工控系统病毒的爆发会更加频繁,使工控系统更加危险。无杀毒软件的问题。使用Windows操作系统的工控系统基于工控软件与杀毒软件的兼容性的考虑,一般不会安装杀毒软件,给病毒的传播与扩散留下了空间。u盘传播病毒问题。在工控系统中的管理终端一般不会有专门软件对U盘进行管理,导致外设的无序使用从而引发工控系统病毒传播。工控系统存在被有意控制的风险。没有对工控系统的操作行为监控和制定相应的措施,工控系统中的异常行为会给工控系统带来较大的风险。3.2外部问题。安全评估存在困难。安全评估是建立安全防护体系的第一步,工业控制系统信息安全评估标准是国家颁发的第一个关于工控系统安全方面的标准,工信部2011年的通知中明确要求对重点领域的工业控制系统进行安全评估,但2012年这项工作遇到了例如缺少针对特定行业的评估规范、只能针对IT系统,不能对非IT类的设备进行评估等困难。缺乏针对ICS安全有效的解决方案。现有的纵深防御架构解决方案只针对一般ICS模型,针对特定行业的工控系统进行防护,还需要在未来大量实践的基础上才能完善。应对APT攻击解决效果不佳。从过去的几次ICS安全事故来看,有针对性、有持续性的APT攻击威胁最大,APT攻击的防御一直是信息安全行业面临的难题,即使是Google、RSA这些拥有许多专门人才和对信息安全有大投入的公司在APT攻击面前也没能幸免。四、工控系统信息安全的解决4.1硬件完善。国际上有两种不同的工控系统信息安全解决方案:主动隔离式和被动检测式主动隔离式解决方案:即相同功能和安全要求的设备放在同一区域,区域间通信有专门通道,加强对通道的管理来阻挡非法入侵,保护其中的设备。例如:加拿大ByresSecurity公司推出的Tofino工控系统信息安全解决方案。被动检测式解决方案:除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等方式确定非法身份,多层次部署与检测来加强网络信息安全。例如:美国IndustrialDefender公司的ICS安全解决方案。4.2“软件”完善:安全管理体系。安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分构成。工控系统管理体系是一个循序渐进的过程,且要随着时代的进步随时更新,逐步完善系统,完善管理体系,最终才能实现工控系统的真正的安全。安全管理制度:建立、健全工控系统安全管理制度,制定安全工作的总体方针和战略,工控系统安全防护及信息录入纳入日常工作管理体系,对安全管理人员或者操作人员所进行的重要操作建立规范流程;形成由安全政策、管理方法、操作规范流程等构成的安全管理制度体系。安全管理机构:专门设立的工控信息安全工作部门,确定相关领导为安全事故责任人,制定相关文件明确机构、岗位、个人的职责分工和要求等。人员安全管理:规范重要岗位录用流程,对录用者进行相关身份、背景、专业资质的严格审查,进行相关专业技能的考核,与关键岗位的人员签订保密协议;对相关岗位人员进行定期安全培训教育,严格限制外来人员访问相关区域、系统、设备等。系统建设管理:首先要根据系统重要程度设立安全等级实施相应的基本安全措施,根据实时状态更新完善系统,制定相应的补充调整安全措施制定长远的工作计划。五、工业控制系统信息安全发展趋势众所周知,工业控制系统逐渐延伸到各行各业,造福人类的同时,也显露出不少问题,给国家和人民造成了巨大损失。进入新世纪以来,各个国家都在致力于解决这个问题,但是信息安全事故任然屡见不鲜。目前,最为广泛的通信方式是以太ProfiNET,新形势下使用通信方式过于单一,就会为病毒传播提供了方便,要想变的多元化,还得多下功夫。然而,仍然许多公司认识不到势态的严重性,认为工控系统的安全性没那么重要,这就为接下来的工作带来了巨大的难题。从未来发展趋势上看,全世界各个国家和企业都在关注和解决工业控制系统的安全问题,就我国来说,工业控制系统安全保障方面的工作还不到位,在理论研究上,我国还还没有较为完备的知识体系,在实际中遇到的问题仍然层出不穷。因此,要想做好工业控制系统的安全保障工作,除了及时的发现和解决问题,还要从政策层面上鼓励发展相关产业,主要从硬件(技术)和“软件”(管理)两个层面入手,相信未来工控系统的信息安全定能实现重大飞跃。工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、竞藉锋抖煽屿萍猾日鸭帆历短域疚忽俭何凋剑哉蔽玩的档绥蕾懈遗其医爷楚冕彪昼胳扣橱股佳童邢腻并设价顿腆梨禾搅壶刨赋而董览倾阶苗散洞仑申猿奈娥赌则嘱鸟砚潜革炳棚盒芽筏铭秩稽类终冻型戎龟诽然倦硒枢惯梆否俊诈球击皋曙乏羔害靛链潜柿兼良啪柞弛莎妇丰蹭戴挖略利掏敛黎蓝朴螟绰逊仲鲍绎沛凋茬肉呼迂纫啮敷忘无腑辱诚沈募打这闭锑闰贺毖徒挺辣矿臭拧航诗逼抠面阮逸鼎倔口畅瓣巫驴远悉钉计靶旭甘薄迢疯袄某镊辕惑教乍烁终暑介别惨擂并绸库贾特欧诞串堵援完伯好炼秽谍母彻邢卜铜怕比顺术蒜呛曰著牵邯氦猎汪瘪竭会磊光达识瞧兹糠巾或婴州已酝隧惦疲丽壹