1　引言

由于工業(yè)控制系統(tǒng)安全事故頻發(fā)及逐年上升，工業(yè)控制系統(tǒng)信息安全的嚴峻形勢引起了國內(nèi)外的高度關(guān)注。工業(yè)控制系統(tǒng)信息安全涉及石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)，直接關(guān)系到國家關(guān)鍵基礎(chǔ)設(shè)施和國民經(jīng)濟，因此，工業(yè)控制系統(tǒng)信息安全已經(jīng)上升至國家層面，是國家網(wǎng)絡(luò)安全的重要組成部分。

工業(yè)控制系統(tǒng)信息安技術(shù)，作為工業(yè)控制系統(tǒng)信息安全的重中之重，正吸引著全球工業(yè)控制系統(tǒng)產(chǎn)品制造商、用戶、工程公司、相關(guān)職能部門的目光。積極探求現(xiàn)有的工業(yè)控制系統(tǒng)信息安技術(shù)，努力開發(fā)新的工業(yè)控制系統(tǒng)信息安全技術(shù)，必然成為大勢所趨。理解和掌握這些工業(yè)控制系統(tǒng)信息安全技術(shù)，才能為工業(yè)控制系統(tǒng)信息安全提供有效的解決方案。

2　現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)

現(xiàn)有的工業(yè)控制系統(tǒng)信息安全技術(shù)有多種，包括鑒別與授權(quán)技術(shù)，過濾、阻止、訪問控制技術(shù)，編碼技術(shù)與數(shù)據(jù)確認技術(shù)，管理、審計、測量、監(jiān)控和檢測技術(shù)，物理安全控制技術(shù)等。

2.1　鑒別與授權(quán)技術(shù)

鑒別與授權(quán)，是工業(yè)控制系統(tǒng)訪問控制的最基本要求。鑒別，用于驗證用戶所聲稱的身份，驗證用戶身份的過程或裝置，通常是允許進行信息系統(tǒng)資源訪問的先決條件。授權(quán)，是批準進入系統(tǒng)訪問系統(tǒng)資源的權(quán)利或允許。

鑒別與授權(quán)技術(shù)包括基于角色的授權(quán)工具、口令鑒別、物理/令牌鑒別、智能卡鑒別、生物鑒別、基于位置的鑒別、設(shè)備至設(shè)備的鑒別等。

（1）基于角色的授權(quán)工具

根據(jù)工業(yè)控制系統(tǒng)用戶的角色或職責(zé)，分配不同的訪問權(quán)限，如操作人員權(quán)限、維護人員權(quán)限、管理人員權(quán)限、工程人員權(quán)限等。

目前的工業(yè)控制系統(tǒng)均配置這種基于角色的授權(quán)工具。

（2）口令鑒別

口令鑒別是工業(yè)控制系統(tǒng)最簡單、最常用的鑒別技術(shù)。

在工業(yè)控制系統(tǒng)中，口令能夠用于限制授權(quán)用戶請求的服務(wù)和功能。

（3）物理/令牌鑒別

物理/令牌鑒別與口令鑒別相似，只是用戶在請求訪問時必須有安全令牌或智能卡。

（4）智能卡鑒別

智能卡鑒別與令牌鑒別相似，只是它能提供更多的功能。

（5）生物鑒別

生物鑒別通過請求用戶獨特的生物特征來確定真實性。

常用的生物鑒別有指紋儀、掌形儀、眼睛識別、面部識別、聲音識別等。

（6） 基于位置的鑒別

基于位置的鑒別技術(shù)是通過設(shè)備或請求訪問用戶的空間位置來確定真實性。

這種鑒別技術(shù)通常要求系統(tǒng)配有GPS技術(shù)，因此，目前這種技術(shù)應(yīng)用較少見。

（7） 設(shè)備至設(shè)備的鑒別

設(shè)備至設(shè)備的鑒別確保在兩個設(shè)備之間數(shù)據(jù)傳送發(fā)生的惡意改變能得到識別。

這種鑒別技術(shù)通常與編碼技術(shù)一起部署。

2.2　過濾、阻止、訪問控制技術(shù)

訪問控制技術(shù)是過濾和阻止技術(shù)，用于指導(dǎo)和調(diào)節(jié)已授權(quán)的設(shè)備或系統(tǒng)的信息流量。

過濾、阻止、訪問控制技術(shù)包括工業(yè)防火墻技術(shù)、基于主機的防火墻技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)等。

（1）工業(yè)防火墻技術(shù)

工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。

工業(yè)控制系統(tǒng)防火墻技術(shù)可以實現(xiàn)區(qū)域管控，劃分控制系統(tǒng)安全區(qū)域，對安全區(qū)域?qū)崿F(xiàn)隔離保護，保護合法用戶訪問網(wǎng)絡(luò)資源；同時，可以對控制協(xié)議進行深度解析，解析Modbus、DNP3等應(yīng)用層異常數(shù)據(jù)流量，并對OPC端口進行動態(tài)追蹤，對關(guān)鍵寄存器和操作進行保護。

工業(yè)防火墻技術(shù)包括數(shù)據(jù)包過濾技術(shù)、狀態(tài)包檢測技術(shù)和代理服務(wù)技術(shù)。

數(shù)據(jù)包過濾防火墻適用于工業(yè)控制，早期市場中已普遍使用，但其缺陷也慢慢顯現(xiàn)出來。

狀態(tài)包檢測防火墻適用于工業(yè)控制，在目前市場中正在推廣應(yīng)用，其優(yōu)越性也開始顯現(xiàn)。

代理服務(wù)網(wǎng)關(guān)防火墻不太適用于工業(yè)控制，但也有不計較延時情況的應(yīng)用。

（2）基于主機的防火墻技術(shù)

基于主機的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案，用于控制進出特定設(shè)備的流量。

這種基于主機的防火墻技術(shù)具有與工業(yè)防火墻類似的能力，包括狀態(tài)包檢測。目前這種技術(shù)偶爾用于非關(guān)鍵的工作站。

（3）虛擬網(wǎng)絡(luò)技術(shù)

虛擬局域網(wǎng)將物理網(wǎng)絡(luò)分成幾個更小的邏輯網(wǎng)絡(luò)，以增加性能、提高可管理性、以及簡化網(wǎng)絡(luò)設(shè)計。

這種技術(shù)在控制系統(tǒng)中運用較多。

2.3　編碼技術(shù)與數(shù)據(jù)確認技術(shù)

編碼技術(shù)是為了確保信息僅對授權(quán)訪問的信息數(shù)據(jù)的編碼與解碼的過程。數(shù)據(jù)確認技術(shù)可以保護用于工業(yè)過程的信息的準確性和完整性。

編碼技術(shù)與數(shù)據(jù)確認技術(shù)包括對稱密鑰編碼技術(shù)、公鑰編碼與密鑰分配技術(shù)、虛擬專用網(wǎng)絡(luò)技術(shù)等。

（1）對稱密鑰編碼技術(shù)

對稱密鑰編碼需要將明碼文本轉(zhuǎn)換成密碼文本，且在加密和解密均用同一把密鑰。

目前常見的對稱密鑰算法有三重數(shù)據(jù)加密標準(3DES)和高級加密標準(AES)。AES常見的有AES12、AES192或AES256。

（2）公鑰編碼與密鑰分配技術(shù)

與對稱密鑰編碼不同的是，公鑰編碼使用一對不同而有關(guān)聯(lián)的密鑰（也稱公私鑰對）。

這類公鑰鑒別通常部署在傳輸層安全（如SSL）、虛擬公網(wǎng)技術(shù)（如IPsec）等。

（3） 虛擬專用網(wǎng)絡(luò)技術(shù)

虛擬專用網(wǎng)（VPN）技術(shù)是一種采用加密、認證等安全機制，在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全、獨占、自治的邏輯網(wǎng)絡(luò)技術(shù)。它不僅可以保護網(wǎng)絡(luò)的邊界安全，同時也是一種網(wǎng)絡(luò)互連的方式。

目前，SSL VPN已廣泛應(yīng)用于控制系統(tǒng)。

2.4　管理、審計、測量、監(jiān)控和檢測技術(shù)

審計、監(jiān)控和檢測技術(shù)提供分析信息安全漏洞、檢測可能損害、以及辯證分析損害事件的能力。

管理、審計、測量、監(jiān)控和檢測技術(shù)包括日志審核工具、病毒與惡意代碼檢測系統(tǒng)、入侵檢測與入侵防護技術(shù)、漏洞掃描技術(shù)、辯論與分析工具。

（1）日志審核工具

日志審核工具是為系統(tǒng)管理員管理系統(tǒng)日志的工具，能夠發(fā)現(xiàn)并記錄信息安全事件發(fā)生的跡象、文件以及攻擊入口等。

目前市場上也出現(xiàn)一些日志審核工具，如大多數(shù)操作系統(tǒng)都有維修日志文件等。

（2）病毒與惡意代碼檢測系統(tǒng)

病毒與惡意代碼檢測系統(tǒng)是一種主動檢測非正常活動的代理機制。

病毒與惡意代碼檢測系統(tǒng)通常部署在工作站、服務(wù)器和邊界。

（3）入侵檢測與入侵防護技術(shù)

入侵檢測是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

入侵防護是一種主動的、智能的入侵檢測、防范、阻止系統(tǒng)，其設(shè)計旨在預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。

目前，入侵檢測與入侵防護技術(shù)已在控制系統(tǒng)中開始采用。

（4）漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種檢測系統(tǒng)和網(wǎng)絡(luò)漏洞的方式，這種方式通常用在企業(yè)系統(tǒng)網(wǎng)絡(luò)遭到破壞惡意入侵者進入控制系統(tǒng)時進行檢測。

漏洞掃描技術(shù)通常由漏洞庫、掃描引擎、本地管理權(quán)限代理和報告機制組成。

由于工業(yè)控制系統(tǒng)漏洞庫比較有限，因此其漏洞掃描技術(shù)應(yīng)用并不多。

（5）辯論與分析工具

辯論與分析工具用于基本的網(wǎng)絡(luò)活動，分析非正常的網(wǎng)絡(luò)流量，以幫助信息安全研究人員和控制系統(tǒng)管理員。

2.5　物理安全控制技術(shù)

物理安全控制采用一些物理措施，以限制對工業(yè)控制系統(tǒng)信息資產(chǎn)的物理訪問。

物理安全控制技術(shù)包括物理保護、人員安全等。

（1）物理保護

工業(yè)控制系統(tǒng)物理保護通常指的是安全防范系統(tǒng)，包括訪問監(jiān)視系統(tǒng)和訪問限制系統(tǒng)。

訪問監(jiān)視系統(tǒng)包括攝像機、傳感器等識別系統(tǒng)。訪問限制系統(tǒng)包括圍欄、門、門禁、保安等。

（2）人員安全

工業(yè)控制系統(tǒng)人員安全通常指的是減少人為的失誤、盜竊、欺騙、或有意/無意濫用信息資產(chǎn)的可能性和風(fēng)險。

這些人員安全通常包括雇傭方針、公司方針與實踐、任用條款等。

3　新發(fā)展的工業(yè)控制系統(tǒng)信息安全技術(shù)

隨著工業(yè)控制系統(tǒng)信息安全深入研究與發(fā)展，新的信息安全技術(shù)必然會層出不窮。

目前市場上出現(xiàn)的工業(yè)控制系統(tǒng)信息安全技術(shù)有工業(yè)控制系統(tǒng)加固技術(shù)和信息安全工廠技術(shù)，現(xiàn)簡單分析如下，供大家參考。

3.1　工業(yè)控制系統(tǒng)加固技術(shù)

工業(yè)控制系統(tǒng)頻繁遭受攻擊，人們自然會想到工業(yè)控制系統(tǒng)加固技術(shù)。

在國外，有自動化產(chǎn)品制造商已經(jīng)完成對PLC控制系統(tǒng)的加固設(shè)計，并很快將投放市場。

3.1.1　工業(yè)控制系統(tǒng)加固技術(shù)產(chǎn)生背景

由于大部分工業(yè)控制系統(tǒng)信息安全事件均來自控制系統(tǒng)本身，如控制器操作系統(tǒng)有漏洞、I/O模塊與接線存在隱患、電源部分不可靠等。因此，工業(yè)控制系統(tǒng)加固有很大的空間。

3.1.2　工業(yè)控制系統(tǒng)加固技術(shù)設(shè)計

通過對底板、I/O模塊、電源部分以及PLC控制器加固，為控制系統(tǒng)信息安全提供更好的防護。其設(shè)計特點分析如下：

（1）底板

采用快速I/O通信和電磁連接，免去I/O接插線，增加信息安全和電氣隔離；

采用4GB黑色織物通信，能夠提供1ms的掃描時間，不管I/O點數(shù)和用戶運用程序；

采用金屬構(gòu)造，光纖星形網(wǎng)絡(luò)可支持20km跨度，提供分布和運用靈活性的最高等級。

（2）I/O模塊

采用虛擬接線系列(VMS)，使用三種I/O模塊類型，即通用模擬量、通用開關(guān)量輸入和通用開關(guān)量輸出；

采用通用總線模塊，支持PROFIBUS、DeviceNet、工業(yè)以太網(wǎng)和現(xiàn)場基金總線。

（3）控制器

采用一個通用控制器，針對所有控制模式；

采用冗余連接，減少過程中斷；

控制器底板配置先進診斷技術(shù)，提高運行時間，增加資產(chǎn)使用率，并給出分析報告；

采用冗余層次和嵌入式信息安全，提供安全運作。配有SIL3密碼黑色織物臂安全處理器，其實時操作系統(tǒng)信息安全性評估已達EAL6+。

（4）電源部分

采用安全電源解決方案，包括電源和UPS部件設(shè)計，為用戶加強安全。

3.2　信息安全工廠技術(shù)

最近，信息安全工廠（SecurePlant）作為工業(yè)信息安全技術(shù)新名詞，引起各位專業(yè)同行的高度關(guān)注。

信息安全工廠是一個針對工業(yè)控制系統(tǒng)全面信息安全管理解決方案，由橫河電氣、思科和殼牌三家公司共同提出。

3.2.1　信息安全工廠技術(shù)產(chǎn)生背景

鑒于大多數(shù)公司在全球運作，每個工廠都面對信息安全的挑戰(zhàn)，每個工廠也采用不同的應(yīng)對方式，從而導(dǎo)致每個工廠的信息安全等級不同，缺乏一個統(tǒng)一的標準。

3.2.2　信息安全工廠技術(shù)設(shè)計

這種信息安全工廠解決方案設(shè)計由以下幾點組成：

（1）補丁和抗病毒設(shè)計

這種設(shè)計，為控制系統(tǒng)提供操作系統(tǒng)補丁和防病毒模式文件。

通過現(xiàn)有公司全球網(wǎng)絡(luò)，供應(yīng)商認證的視窗信息安全補丁和病毒簽名文件由安全中心（SecureCenter）向每個工廠的安全現(xiàn)場（SecureSite）分發(fā)。

（2）實時和主動監(jiān)視設(shè)計

這種設(shè)計，為控制系統(tǒng)提供實時和主動監(jiān)視。

這種實時和主動監(jiān)視能力使得工廠信息安全集中化管理得以實現(xiàn)。

（3）幫助桌面設(shè)計

這種設(shè)計，為管理這種解決方案提供幫助桌面運作。

通過供應(yīng)商的合作，為用戶提供24/7/365幫助桌面，管理解決方案相應(yīng)的事件。

4　結(jié)束語

通過上面的分析和探討可知，工業(yè)控制系統(tǒng)信息安全技術(shù)是一門相對較成熟的技術(shù)。熟練掌握和運用這些技術(shù)，才能有效解決工業(yè)控制系統(tǒng)信息安全事件頻發(fā)，保證工業(yè)控制系統(tǒng)正常運行，為國民經(jīng)濟建設(shè)和發(fā)展保駕護航。

同時，我們也應(yīng)該認識到，工業(yè)控制系統(tǒng)信息安全技術(shù)是一門不斷深入發(fā)展的技術(shù)。隨著工業(yè)控制系統(tǒng)廣泛運用和不斷發(fā)展，其信息安全必將面臨更加嚴峻的挑戰(zhàn)，其信息安全技術(shù)的研究開發(fā)必將快速推進。

參考文獻：

[1] IEC62443 - 3 - 1 Security for Industrial Automation and Control Systems Part 3 - 1 Security Technologies for Industrial Automation and Control Systems [S]. 2012.

[2] ARC. Control system, PLC, IO, backplane, power supply are secure by design, 2015.

[3] Yokogawa. Companies collaborate to provide cybersecurity solutions for oil plants [J]. Control Engineering, 2015, 2.

作者簡介

肖建榮（1969-），男，高級工程師，主要從事工業(yè)電氣、儀表自動化工程設(shè)計、編程和調(diào)試工作。

摘自《自動化博覽》6月刊