摘 要:工业控制系统的信息安全问题日益凸显,严重影响了社会和国家安全。但工业控制系统的特殊性,也使其与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同。传统的信息安全产品无法适用于工业控制领域,因此出现了专用的工控信息安全产品,但缺少专业规范的工控信息安全测评体系,无法保证工控信息安全产品的基本安全。详细分析了工业控制系统与传统信息系统的区别,梳理了目前广泛使用的工控信息安全产品,建立了工控信息安全产品测试评价体系,并将该体系应用到实际的产品测试中,进一步推动工控信息安全的发展。 关键词:工业控制系统;信息安全;测试
中国领导团队新阵容
1 引 言
工业控制系统(Industrial Control Systems,ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络,越来越依靠于商业IT和Internet领域的操作系统、定位板
开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络,ICS脆弱性就暴露给潜在的攻击者[2]。
活动顶尖为了提高工业控制系统的安全性,现在一般从两方面考虑:一方面是提高工业控制系统的自身安全性,从设计阶段就开始安全性架构,并落实在工控系统的研发、部署、运行的各个阶段;另一方面是通过附加信息安全保障手段(如在系统中部署信息安全专用产品)在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求,通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。 工业控制系统本质上是一类信息系统,因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局(National Security Agency,NSA)针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架(Information Assurance Technical Framework,IATF)[3],成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节:防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改
变,特别是由安全变为不安全,则马上采取应急措施对其进行响应处理,直至恢复安全保护对象的安全状态。这四个部分相辅相成,缺一不可,构成了公认的PDRR模型,如图1所示。
图1 PDRR模型
从PDDR模型的“检测”环节入手,对工业控制系统的信息安全产品进行测试与评估,建立工控信息安全产品测试评价体系,为工业控制系统信息安全测评提供专业化的理论支撑和实践引领,一方面有效帮助供应商大力提升其产品和系统的安全保障能力,另一方面为用户选购工控系统信息安全产品,提高工控系统安全性提供支持。通过对安全测评结果的综合
两级圆柱齿轮减速器分析,为相关主管部门提供真实、全面的安全态势分析报告,促进工业控制领域信息安全保障工作的开展。
2 工业控制系统的信息安全要求
工业控制系统有许多区别于传统信息系统的特点,包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险,对环境的严重破坏,以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求,其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外,安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突(如,需要密码验证和授权不应妨碍或干扰ICS的紧急行动)。
美国NIST发布的《工业控制系统信息安全指南》[4]钻井泥浆材料对ICS与IT的差异进行了全面的总结,这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。气囊
传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最
后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑,这些需求体现如下:
(1)工控系统的可用性则直接影响到企业生产,生产线停机或者误动都可能导致巨大经济损失,甚至是人员生命危险和社会安全破坏。
(2)工控系统的实时性要求很高,系统要求响应时间大多在毫秒级或更快等级,而通用管理系统能够接受秒级或更慢的等级。
(3)工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。
