工控安全：寻找信息安全与工控契合点

工业控制系统信息安全技术的发展随着工业自动化系统的发展而不断演化。目前自动化系统发展的趋势就是数字化、智能化、网络化和人机交互人性化，同时将更多的IT技术应用到传统的逻辑控制和数字控制中。工业控制系统信息安全技术未来也将进一步借助传统IT技术，使其更加智能化、网络化，成为控制系统不可缺少的一部分。与传统IP互联网的信息安全产品研发路线类似，工业控制系统信息安全产品将在信息安全与工业生产控制之间找到契合点，形成工业控制系统特色鲜明的安全输入、安全控制、安全输出类产品体系。

工控安全兼顾功能、物理和信息安全

通常情况下，工业控制系统安全可以分成三个方面，即功能安全、物理安全和信息安全。

功能安全是为了达到设备和工厂安全功能，受保护的、和控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。

物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。

在IEC62443中针对工业控制系统信息安全的定义是：“保护系统所采取的措施;由建立和维护保护系统的措施所得到的系统状态;能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据，也无法访问系统功能，却保证授权人员和系统不被阻止;防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。”

三种安全在定义和内涵上有很大的差别。

功能安全，使用安全完整性等级的概念已有近20年。功能安全规范要求通常将一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。

物理安全，保护要素主要由一系列安全生产操作规范定义。政府、企业及行业组织等一般通过完备的安全生产操作流程约束工业系统现场操作的标准性，确保事故的可追溯性，并可以明确有关人员的责任，管理和制度因素是保护物理安全的主要方式。

工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全，但是功能安全使用安全完整性等级是基于随机硬件失效的一个部件或系统失效的可能性计算得出的，而信息安全系统有着更为广阔的应用，以及更多可能的诱因和后果。影响信息安全的因数非常复杂，很难用一个简单的数字描述出来。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安全的管理和维护也必须是周而复始不断进行的。

工控安全与网络信息安全有别

工业控制系统信息安全与传统的IP信息网络安全的区别在于：1.安全需求不同，2.安全补丁与升级机制存在的区别，3.实时性方面的差异，4.安全保护优先级方面的差异，5.安全防护技术适应性方面的差异。

总体来说，传统IP信息网络安全已经发展到较为成熟的技术和设计准则(认证、访问控制、信息完整性、特权分离等)，这些能够帮助我们阻止和响应针对工业控制系统的攻击。然而，传统意义上讲，计算机信息安全研究关注于信息的保护，研究人员是不会考虑攻击如何影响评估和控制算法以及最终攻击是如何影响物理世界的。

当前已有的各种信息安全工具，能够对控制系统安全给予必要机制，这些单独的机制对于深度防护控制并不够，通过深入理解控制系统与真实物理世界的交互过程，研究人员在未来需要开展的工作可能是：

1.更好地理解攻击的后果：到目前为止，还没有深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。

2.设计全新的攻击检测算法：通过理解物理过程应有的控制行为，并基于过程控制命令和传感器测量，能够识别攻击者是否试图干扰控制或传感器的数据。

3.设计新的抗攻击弹性算法和架构：检测到一个工业控制系统攻击行为，能够适时改变控制命令，用于增加控制系统的弹性，减少损失。

4.设计适合工业SCADA系统现场设备的身份认证与密码技术：目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统的现场设备中完成访问控制功能，主要原因在于过于复杂的密码机制可能存在着在紧急情况下妨碍应急处理程序快速响应的风险。工业自动控制领域的专家一般认为相对较弱的密码机制(如缺省密码、固定密码，甚至空口令等)，比较容易在紧急情况下进行猜测、传送等，进而不会对应急处理程序本身产生额外影响。

5.开发硬件兼容能力更强的工业SCADA系统安全防护技术：传统IT数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、入侵检测和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和内存资源，而这些资源在工业控制系统设备中十分有限，工业控制设备最初的设计目标是完成特定现场作业任务，它们一般是低成本、低处理器效能的设备。而且，在石油、供水等能源工业系统控制装置中仍然在使用一些很陈旧的处理器(如1978年出厂的Intel8088处理器)。因此，在这类装置中部署主流的信息安全防护技术而又不显著降低工业现场控制装置的性能具有一定难度。

6.研制兼容多种操作系统或软件平台的安全防护技术：传统IT数据网络中的信息安全技术机制，主要解决Windows、Linux、Unix等通用型操作系统平台上的信息安全问题。而在工业SCADA系统领域，现场工业SCADA系统装置一般使用设备供应商(ABB、西门子、霍尼韦尔等)独立研发的、非公开的操作系统(有时称为固件)、专用软件平台(如GE的iFix等)完成特定的工业过程控制功能。因此，如何在非通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术，是工业SCADA系统信息安全未来需要重点解决的问题。

建立事前事中事后防护系统

工业控制系统信息安全内涵、需求和目标特性，决定了需要一些特殊的信息安全技术、措施，在工业生产过程中的IED、PLC、RTU、控制器、通信处理机、SCADA系统和各种实际的、各种类型的可编程数字化设备中使用或配置，达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制系统信息安全的基础技术是访问控制和用户身份认证，在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。为实现功能安全前提下的工业控制系统信息安全，需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。

1.事前防御技术

事前防御技术是工业控制信息安全防护技术体系中较为重要的部分，目前有很多成熟的基础技术可以利用：访问控制/工业控制专用防火墙、身份认证、ID设备、基于生物特征的鉴别技术、安全的调制解调器、加密技术、公共密钥基础设施(PKI)、虚拟局域网(VPN)。

2.事中响应技术

入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS有两种常见的形式：数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名，从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对，根据选择的灵敏程度，最终确定比对结果。然后，根据比对结果，确定攻击行为的发生，从而阻断攻击行为并且通报系统管理员当前系统正在遭受攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异，确定入侵行为的发生且向系统管理员报警。例如，IDS能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某I/O端口等。当不正常的活动发生时，IDS能够阻断攻击并且提醒系统管理员。

以上两种IDS系统都有其优点和缺点，但是，它们都有一个相同的问题——如何设置检测灵敏度。高灵敏度会造成错误的入侵报警，IDS会对每个入侵警报作相应的系统动作，因此，过多的错误入侵警报，不仅会破坏正常系统的某些必须的功能，而且还会对系统造成大量额外的负担。而低灵敏度会使IDS不能检测到某些入侵行为的发生，因此IDS会对一些入侵行为视而不见，从而使入侵者成功进入系统，造成不可预期的损失。

3.事后取证技术

审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件，是工业控制系统信息安全主要的事后取证技术之一。因此，每个对系统的访问及其相关操作均需要记录在案。当诊断和审核网络电子入侵是否发生时，审计日记是必不可少的判断标准之一。此外，系统行为记录也是工业SCADA系统信息安全的常用技术。

这些是在工业控制系统信息安全中一些常用的、常规性技术，而在工业控制系统信息安全实施过程中，还有一些特别的关键技术。

（作者系中国电子科技集团公司信息安全首席专家、第三十研究所副总工程师 饶志宏）

微观点

@物联中国：从汽车到工控系统再到冰箱，所有事物互联起来，它们发送或接收来自移动应用与云服务的数据，随着计算机技术的应用在我们的日常生活中变得更为普遍，我们需要整体安全方案来跟上成长中的物联网(IoT)。

@cawan2000：从来不认为在Windows系统下运行的HMI有着的Windows漏洞，或运行在工控服务器或PLC或RTU上的Web服务器有着的XSS漏洞是归类于工控安全漏洞。这就好像SAP系统的某Web漏洞不能算是ERP漏洞一样的道理。工控系统架构、系统和场总线通信协议、设备本身的嵌入式系统缺陷等问题才能算是工控安全领域的漏洞。

@Mr_营：如果说工控安全还是基于Web安全的话，这和嵌入式安全的低门槛无异，一样都是App和Web的概念。继续是低门槛激烈竞争，半个月成功成为工控安全专家。

@杨冀龙：工控安全很重要，很性感，可是如何变出产值呢?是安全行业的菜?还是工控行业的菜?

@tombkeeper：这事儿咱们能出力，但操不上心。所以目前能干的就是“持币观望”，做好准备，等NSA们搞定市场拓展工作。

@李铁军：安全厂商应该还吃不上工控行业的这碗饭，工控行业的这些机构会比较固执地认为，不联外网就是安全的。