工業(yè)控制系統(tǒng)缺乏本質(zhì)安全

摘要：在近幾年愈演愈烈的網(wǎng)絡(luò)安全事件，使各行業(yè)對網(wǎng)絡(luò)安全的也越發(fā)看重。目前，在工業(yè)制造業(yè)生產(chǎn)中，工來以太網(wǎng)以及自動化系統(tǒng)的應(yīng)用越來越占據(jù)主要地位，但與之相應(yīng)的工控安全系統(tǒng)越?jīng)]有得到同等的提升，相對而言有些滯后。在伊朗、美國都相繼發(fā)生涉及工控安全的網(wǎng)絡(luò)事故。

　　當(dāng)前工業(yè)制造業(yè)發(fā)展過程中，非常重要的一個主題就是自動化轉(zhuǎn)型生產(chǎn)，即在未來生產(chǎn)中自動化將占據(jù)主要地位，相應(yīng)的自動化控制系統(tǒng)的安全也是必須注意的主要問題。

　　在近幾年愈演愈烈的網(wǎng)絡(luò)安全事件，使各行業(yè)對網(wǎng)絡(luò)安全的也越發(fā)看重。目前，在工業(yè)制造業(yè)生產(chǎn)中，工來以太網(wǎng)以及自動化系統(tǒng)的應(yīng)用越來越占據(jù)主要地位，但與之相應(yīng)的工控安全系統(tǒng)越?jīng)]有得到同等的提升，相對而言有些滯后。在伊朗、美國都相繼發(fā)生涉及工控安全的網(wǎng)絡(luò)事故。

　　雖然工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全成為一個焦點，但是其自身的防危性卻不可忽視。防危性是指系統(tǒng)可持續(xù)提供正常功能或不破壞其他系統(tǒng)和相關(guān)人員生命安全的方式中斷服務(wù)的概率。

　　控制系統(tǒng)由控制軟件組成，這些軟件運行在專用工作臺或服務(wù)器和類似電腦的硬件設(shè)備上，它們可控制電機程序。這些系統(tǒng)用于監(jiān)控不同操作，這些操作出現(xiàn)在工業(yè)設(shè)備、軍事設(shè)施、能源網(wǎng)絡(luò)、水力分配系統(tǒng)，甚至公共和私人建筑中。自2010年Stuxnet病毒出現(xiàn)以來，在IT安全界，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)和其他類型的工控系統(tǒng)成了熱議話題。

　　目前工業(yè)控制系統(tǒng)廣泛應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造等行業(yè)中，據(jù)不完全統(tǒng)計，超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。

　　對于工業(yè)控制系統(tǒng)的安全而言，我們關(guān)注的焦點不應(yīng)只是在網(wǎng)絡(luò)安全(Security)，保證信息本身的機密性和完整性，更為重要的是要關(guān)注工控系統(tǒng)安全問題可能對被控設(shè)備、乃至整個生產(chǎn)系統(tǒng)的破壞(本質(zhì)安全)，關(guān)注工控系統(tǒng)自身的防危性(Safety)。

工業(yè)控制系統(tǒng)缺乏本質(zhì)安全

　　通過對相關(guān)的案例進行分析以后，我們發(fā)現(xiàn)工業(yè)控制系統(tǒng)在幾大方面都存在著弱性。一般信息系統(tǒng)的安全架構(gòu)強調(diào)信息的保密性、完整性和可用性，普遍采用：防火墻在網(wǎng)絡(luò)邊界提供訪問控制，IDS提供入侵檢測，VPN提供專用通道，對于病毒、木馬等惡意軟件，則采用查殺軟件進行檢測，給操作系統(tǒng)打補丁，增加密碼強度，加強日志管理等手段。但對于工控系統(tǒng)而言，由于對實時性的要求，以及運行環(huán)境的不同，造成這些防護手段在實際的使用中，都存在明顯的缺陷。傳統(tǒng)信息安全防護手段，在工控系統(tǒng)中使用，必須要進行適應(yīng)性的改造，而且，考慮到實時性和資源受限的情況，只能使用輕量級、可裁剪的。傳統(tǒng)信息安全手段主要關(guān)注網(wǎng)絡(luò)安全，工業(yè)控制系統(tǒng)缺乏本質(zhì)安全!

工業(yè)控制系統(tǒng)方位機制

　　根據(jù)對可信計算和安全計算概念的界定，衡量一個系統(tǒng)的可信程度包括以下相關(guān)特征：可用性、可靠性、防危性、安全性、可維護性。防危性是指系統(tǒng)可持續(xù)提供正常功能或不破壞其他系統(tǒng)和相關(guān)人員生命安全的方式中斷服務(wù)的概率。從系統(tǒng)論的角度來看，這些特性并不是完全孤立的，對于工業(yè)控制系統(tǒng)，安全性和防危性問題更突出，這兩者之間也是緊密聯(lián)系的。對于整個工控系統(tǒng)的安全，應(yīng)該結(jié)合信息安全的防護手段和工控系統(tǒng)防危的防護手段來共同研究，這是我們主要的研究內(nèi)容和方向。防危的基本原理是隔離應(yīng)用請求與關(guān)鍵設(shè)備，根據(jù)實際系統(tǒng)的工作特點定制的一套防危策略，驗證所有對關(guān)鍵設(shè)備的操作請求，只有通過驗證的操作請求才可達硬件進行操作，拒絕所有未經(jīng)過驗證的操作。

　　雖然防危技術(shù)手段是以隔離為主，但僅僅做隔離達不到對整體系統(tǒng)的防危要求。此外，我們認為非常有必要提高系統(tǒng)安全防御的主動性。基于此，我們提出的防危機制主要包括四個部分：主動防危、實時防危、全局防危及自主防危。

（轉(zhuǎn)載）