工業(yè)控制系統(tǒng)是系統(tǒng)的系統(tǒng),其中的計算成分與物理成分、底層的過程和控制這些系統(tǒng)的策略之間是蜜耦合的。工業(yè)控制系統(tǒng)普遍存在于幾乎所有的工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施中,包括電力、石油和天然氣、交通運輸、供水和污水處理、化工、制藥、造紙、食品加工以及機械制造等。
因此,對工業(yè)控制系統(tǒng)的安全威脅對人類健康和安全形成重大風險,對環(huán)境預(yù)示著嚴重的破壞并且可能對經(jīng)濟施以負面的影響。文章以工業(yè)控制系統(tǒng)的典型安全事件為例,分析工業(yè)控制系統(tǒng)保護的全危險本性,從而準備、預(yù)防、預(yù)警、響應(yīng)和恢復(fù)等工業(yè)控制系統(tǒng)安全管理過程都需要以全危險的方式,全方位地考慮物理、網(wǎng)絡(luò)和人的風險因素。
工業(yè)控制系統(tǒng)簡介
一個工業(yè)控制系統(tǒng)通常包含幾種類型的控制系統(tǒng):
1)監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)。
2)分布式控制系統(tǒng)(DCS)。
3)可編程邏輯控制器(PLC)。
PLC是基于計算機的控制工業(yè)設(shè)備和過程的半導體裝置。在為離散過程提供操作控制的小型控制系統(tǒng)中,例如汽車裝配線等,PLC是常用的主要部件;在SCADA和DCS系統(tǒng)中廣泛使用PLC作為控制系統(tǒng)的部件。幾乎在所有工業(yè)過程中都廣泛地使用PLC。
DCS用于控制工業(yè)過程。DCS是一個綜合的體系結(jié)構(gòu),其中包含多個綜合的負責局部過程任務(wù)控制的子系統(tǒng)和一個監(jiān)視這些子系統(tǒng)的控制管理層。按控制功能的需要,特殊的PLC用于現(xiàn)場并且按需要對其進行設(shè)置。DCS廣泛地用于基于過程的工業(yè)。
SCADA系統(tǒng)是高度分布式的計算機系統(tǒng),用于控制地理上分散的資產(chǎn),這些資產(chǎn)有時分散于數(shù)千平方公理范圍內(nèi),集中的數(shù)據(jù)采集和控制是系統(tǒng)運行的關(guān)鍵。一個SCADA控制中心通過長途通信網(wǎng)絡(luò)對場地實行集中監(jiān)視和控制,包括監(jiān)視警報和過程狀態(tài)數(shù)據(jù);趶倪h程工作站點收到的數(shù)據(jù),自動的或者由操作員發(fā)出的管
理指令能夠推動遠程站點的控制設(shè)備,F(xiàn)場設(shè)備控制本地操作,例如開啟和關(guān)閉閥門及斷路器,采集數(shù)據(jù)和監(jiān)視警報條件的本地環(huán)境。
SCADA、DCS和PLC的一個主要區(qū)別是:DCS和PLC控制的子系統(tǒng)通常位于更有限的工廠或車間的中心區(qū)域,而SCADA場地是地理分散的。DCS和PLC通信通常使用LAN技術(shù)實現(xiàn),這比SCADA系統(tǒng)使用的長途通信系統(tǒng)更可靠和高速。SCADA系統(tǒng)的設(shè)計特別要處理長途通信的問題,例如由于各種通信介質(zhì)所造成的延遲和數(shù)據(jù)損失。由于工業(yè)過程的控制比分布式過程的監(jiān)視控制實際上更復(fù)雜,DCS和PLC系統(tǒng)通常比SCADA系統(tǒng)使用更大程度的閉環(huán)控制。
以上描述可以歸納為:DCS和PLC系統(tǒng)是面向過程的,由過程驅(qū)動,能夠?qū)崿F(xiàn)閉環(huán)實時過程的控制;而SCADA系統(tǒng)是面向數(shù)據(jù)采集的,由事件驅(qū)動,SCADA系統(tǒng)總被認為是一個協(xié)同配合系統(tǒng),但是一般沒有以實時的方式控制過程。需要注意的是,工業(yè)控制系統(tǒng)的實際實現(xiàn)可能合并DCS和SCADA系統(tǒng)的特征而使兩者的界線模糊,比如一個較小城市的供水系統(tǒng)就可能不區(qū)分DCS和SCADA系統(tǒng)。
工業(yè)控制系統(tǒng)安全的幾個典型案例
1.2010年6月的“震網(wǎng)”病毒事件
“震網(wǎng)”病毒的攻擊目標針對伊朗在納坦茲的濃縮鈾工廠和布什爾核電廠汽輪機控制。在2010年的攻擊中,第二個目標沒有啟動,也可能是沒有完成!罢鹁W(wǎng)”病毒就是利用了7個漏洞進行網(wǎng)絡(luò)攻擊,其中包括Windows系統(tǒng)及其第三方產(chǎn)品(打印機)中的5個漏洞和西門子WinCC系統(tǒng)中的2個漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機控制系統(tǒng)可編成邏輯控制器(PLC)的控制邏輯,進而使分離機電動機的速度周期性地異常變換,引起分離機異常運轉(zhuǎn)甚至造成物理破壞。
2.2008年初我國南方的“冰雪”事件
2008年1月中旬到2月上旬,我國南方地區(qū)連續(xù)遭受4次低溫雨雪冰凍極端天氣過程襲擊,總體強度為50年一遇,其中貴州、湖南等地為百年一遇。這場極端災(zāi)害性天氣影響范圍廣,持續(xù)時間長,災(zāi)害強度大。根據(jù)2008年4月22日《國務(wù)院關(guān)于抗擊低溫雨雪冰凍災(zāi)害及災(zāi)后重建工作情況的報告》,這次“冰雪”事件對電力系統(tǒng)和交通運輸所造成的影響及其連鎖反應(yīng)如下:
1)電力設(shè)施損毀嚴重。持續(xù)的低溫雨雪冰凍造成電網(wǎng)大面積倒塔斷線,13個省(區(qū)、市)輸配電系統(tǒng)受到影響,170個縣(市)的供電被迫中斷,3.67萬條線路、2018座變電站停運;湖南500千伏電網(wǎng)除湘北、湘西外基本停運,郴州電網(wǎng)遭受毀滅性破壞;貴州電網(wǎng)500千伏主網(wǎng)架基本癱瘓,西電東送通道中斷江西、浙江電網(wǎng)損毀也十分嚴重。
2)交通運輸嚴重受阻。京廣、滬昆鐵路因斷電運輸受阻,京珠高速公路等“五縱七橫”干線近2萬公里癱瘓,22萬公里普通公路交通受阻。
3)電煤供應(yīng)告急。由于電力中斷和交通受阻,加上一些煤礦提前放假和檢修等因素,部分電廠電煤庫存急劇下降。缺煤停機最多時達4200萬千瓦,19個省(市、區(qū))出現(xiàn)不同程度的拉閘限電。
4)工業(yè)企業(yè)大面積停產(chǎn)。電力中斷、交通運輸受阻等因素導致災(zāi)區(qū)工業(yè)生產(chǎn)受到很大影響,其中湖南83%以上的工業(yè)企業(yè)、江西90%的工業(yè)企業(yè)一度停產(chǎn)。有600多處礦井被淹。
5)居民生活受到嚴重影響。災(zāi)區(qū)城鎮(zhèn)水、電、氣管線(網(wǎng))及通信等基礎(chǔ)設(shè)施受到不同程度的破壞,人民群眾的生命安全受到嚴重威脅。據(jù)民政部初步核定,此次災(zāi)害共造成129人死亡,4人失蹤;緊急轉(zhuǎn)移安置166萬人;倒塌房屋48.5萬間,損壞房屋168.6萬問;因災(zāi)直接經(jīng)濟損失1516.5億元人民幣。
3.2011年“7·23”甬溫線特別重大鐵路交通事故
2011年7月23日20時30分05秒,甬溫線浙江省溫州市境內(nèi),由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發(fā)生動車組列車追尾事故,造成4O人死亡、172人受傷,中斷行車32小時35分,直接經(jīng)濟損失19371.65萬元人民幣。根據(jù)國務(wù)院“7·23”甬溫線特別重大鐵路交通事故調(diào)查組2011年12月25日公布的《“7·23”甬溫線特別重大鐵路交通事故調(diào)查報告》顯示,2011年7月23日19時30分左右,雷擊溫州南站沿線鐵路牽引供電接觸網(wǎng)或附近大地,通過大地的阻性耦合或空間感性耦合在信號電纜上產(chǎn)生浪涌電壓,在多次雷擊浪涌電壓和直流電流共同作用下,溫州南站列控中心設(shè)備采集驅(qū)動單元采集電路電源回路中的保險管F2熔斷。根據(jù)《“7·23”甬溫線特別重大鐵路交通事故調(diào)查報告》顯示,事故發(fā)生的過程大致如下:
1)當溫州南站列控中心采集驅(qū)動單元采集電路電源回路中保險管F2遭雷擊熔斷后,采集數(shù)據(jù)不再更新,錯誤地控制軌道電路發(fā)碼及信號顯示,使行車處于不安全狀態(tài)。
2)雷擊也造成5829AG軌道電路發(fā)送器與列控中心通信故障,使從永嘉站出發(fā)駛向溫州南站的D3115次列車超速防護系統(tǒng)自動制動,在5829AG區(qū)段內(nèi)停車。
3)由于軌道電路發(fā)碼異常,導致其3次轉(zhuǎn)目視行車模式起車受阻,7分4O秒后才轉(zhuǎn)為目視行車模式,以低于20公里/小時的速度向溫州南站緩慢行駛,未能及時駛出5829閉塞分區(qū)。
4)因溫州南站列控中心未能采集到前行D3115次列車在5829AG區(qū)段的占用狀態(tài)信息,使溫州南站列控中心管轄的5829閉塞分區(qū)及后續(xù)兩個閉塞分區(qū)防護信號錯誤地顯示綠燈,向D301次列車發(fā)送無車占用碼,導致D301次列車駛向D3115次列車并發(fā)生追尾。
5)上海鐵路局有關(guān)作業(yè)人員安全意識不強,在設(shè)備故障發(fā)生后,未認真正確地履行職責,故障處置工作不得力,未能起到可能避免事故發(fā)生或減輕事故損失的作用。
工業(yè)控制系統(tǒng)面臨高級持續(xù)威脅的風險
高級持續(xù)威脅(Advanced Persistent Threat,APT)是針對特定目標跨越長時間段的(即“持續(xù)”)復(fù)雜的(即“高級”)網(wǎng)絡(luò)攻擊。檢測APT威脅有時可能需要數(shù)月的時間,如何有效地防范APT是目前信息安全普遍面臨的難題。APT攻擊具有以下4個特征:
1)有目標的。APT針對特定組織以竊取特殊數(shù)據(jù)或?qū)е绿厥馄茐臑槟康。例如,上述“震網(wǎng)”病毒的攻擊目標是伊朗在納坦茲的濃縮鈾工廠,目的是物理地破壞鈾分離機從而延緩伊朗核工業(yè)的發(fā)展。
2)持續(xù)的。APT通過跨越長時間的多階段才結(jié)束,可能是數(shù)月甚至數(shù)年。例如,早在2009年7月,“震網(wǎng)”病毒就已經(jīng)出現(xiàn)在網(wǎng)絡(luò)上了,當時設(shè)法與西門子SCADA系統(tǒng)相連接和竊取數(shù)據(jù)。在2010年攻擊事件發(fā)生的前幾個月,增加了更復(fù)雜的技術(shù)以逃避防病毒檢測并且自安裝到Windows系統(tǒng)上。
3)逃避的。APT使用偽裝、多級包裝等技術(shù)和其他策略。傳統(tǒng)的防火墻、入侵預(yù)防系統(tǒng)、防病毒軟件未能阻止未知、針對目標的APT威脅。例如,“震網(wǎng)”病毒的活動非常隱蔽,代碼短小精妙,具備極強的自我保護功能。“震網(wǎng)”病毒可以把自己隱藏起來,特別是發(fā)動攻擊侵入離心機操控系統(tǒng)后,會首先記錄正常離心機的正常運轉(zhuǎn)數(shù)據(jù),攻擊成功后,離心機運轉(zhuǎn)速度失控,但監(jiān)控設(shè)備收到的卻是“震網(wǎng)”病毒發(fā)送的“正常數(shù)據(jù)”,令監(jiān)控人員無法及時察覺,從而可最大限度地達到破壞效果。
4)復(fù)雜的。APT針對目標組織內(nèi)的多個漏洞進行復(fù)雜混合攻擊方法。例如,“震網(wǎng)”病毒就是利用了7個漏洞進行網(wǎng)絡(luò)攻擊,其中包括Windows系統(tǒng)及其第三方產(chǎn)品(打印機)中的5個漏洞和西門子WinCC系統(tǒng)中的2個漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機控制系統(tǒng)PLC的控制邏輯,進而使分離機電動機的速度周期性地異常變換,引起分離機異常運轉(zhuǎn)甚至造成物理破壞。
通過以上分析可見,“震網(wǎng)”病毒事件是典型的APT攻擊,工業(yè)控制系統(tǒng)面臨APT攻擊的風險。
工業(yè)控制系統(tǒng)處于全危險的環(huán)境中
網(wǎng)絡(luò)一物理協(xié)同攻擊(Coordinated Cyber—Physical Attacks)包括使用網(wǎng)絡(luò)和物理手段攻擊一個目標。例如,網(wǎng)絡(luò)攻擊首先使安全系統(tǒng)失效從而推動針對公共服務(wù)基礎(chǔ)設(shè)施的物理攻擊!罢鹁W(wǎng)”病毒首先利用微軟Windows操作系統(tǒng)的漏洞監(jiān)控伊朗鈾分離機PLC控制系統(tǒng),進而惡意篡改PLC的控制邏輯,導致分離機電動機的速度周期性地異常變換,最終造成分離機異常運轉(zhuǎn)甚至造成物理破壞。這就是一種網(wǎng)絡(luò)一物理攻擊。因此,“震網(wǎng)”病毒事件是基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊的典型案例。
如果由內(nèi)部人員或服務(wù)商有意或無意地將一個基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊的惡意病毒植入一個工業(yè)控制系統(tǒng)之中,那么這個惡意病毒就可能長時期地潛伏在系統(tǒng)之中,逐步釋放其隱藏的能力,最終發(fā)起破壞性的攻擊。由于其代碼是多級包裝和加密的甚至具有自刪除行動軌跡的能力,只有實時監(jiān)視才能在其行動過程中及時捕獲惡意代碼和證據(jù),從而逐步識別惡意代碼和增強態(tài)勢感知以使在其沒有發(fā)起惡意破壞之前就將其遏制或刪除。一些APT威脅可能持續(xù)數(shù)月甚至數(shù)年。因此,基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊構(gòu)成對工業(yè)控制系統(tǒng)最危險的挑戰(zhàn)之一。
影響網(wǎng)絡(luò)安全防御的7個重要因素之一是“攻擊規(guī)則,災(zāi)害的規(guī)則也類似”。物理和網(wǎng)絡(luò)攻擊是很少相互排斥的,非網(wǎng)絡(luò)事件可能影響網(wǎng)絡(luò)的功能性,自然災(zāi)害或物理攻擊影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)中斷,可以具有嚴重的物理后果。因此,自然災(zāi)害也可能引起與網(wǎng)絡(luò)一物理協(xié)同攻擊類似的效果。例如,在“7·23”甬溫線特別重大鐵路交通事故中,首先由于雷電引起列車運行控制系統(tǒng)操作失靈,同時由于缺乏針對控制系統(tǒng)故障有效的響應(yīng)措施而導致一系列調(diào)度管理上的失誤,最終造成兩組列車高速碰撞而導致機車嚴重破壞和40人死亡的嚴重事件。因此,“7·23”事件可以看作是與自然災(zāi)害相關(guān)聯(lián)的網(wǎng)絡(luò)一物理協(xié)同攻擊。這是一個非常重要的警示,工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全管理必須綜合考慮人為的網(wǎng)絡(luò)攻擊和自然災(zāi)害的威脅和危險。
2008年初的“冰雪”事件,首先由于冰雪引起電力供應(yīng)中斷、公路交通運輸受阻,同時京廣、滬昆鐵路也因斷電運輸受阻,由于鐵路和公路交通受阻進一步導致部分電廠缺煤停機,從而造成部分地區(qū)工業(yè)企業(yè)大面積停產(chǎn),最終使居民生活受到嚴重影響。由于工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施的互連通性和互依賴性,“冰雪”直接引起了多領(lǐng)域連鎖的物理破壞。然而,對“冰雪”事件后果的思考不能只限于自然災(zāi)害“冰雪”,類似的后果也可能由網(wǎng)絡(luò)攻擊引起,比如,對電網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)攻擊也可能引起電力供應(yīng)中斷,斷電使鐵路運輸受阻,交通受阻又導致相關(guān)聯(lián)的電廠缺煤停機,進一步造成相關(guān)聯(lián)的工業(yè)企業(yè)停產(chǎn)。因此,網(wǎng)絡(luò)一物理協(xié)同攻擊也可能是多領(lǐng)域的協(xié)同攻擊。美國網(wǎng)絡(luò)風暴II演練的主要目的就是檢查網(wǎng)絡(luò)響應(yīng)團體面對通過全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施多領(lǐng)域協(xié)同攻擊響應(yīng)的過程、程序、手段和組織。
人為的網(wǎng)絡(luò)攻擊和自然災(zāi)害都可能引起網(wǎng)絡(luò)一物理協(xié)同攻擊。人為的物理攻擊,比如戰(zhàn)爭、恐怖攻擊和自然災(zāi)害等也都可能直接造成工業(yè)控制系統(tǒng)嚴重的物理破壞,甚至多領(lǐng)域的連鎖反應(yīng)。因此,工業(yè)控制系統(tǒng)處于全危險(A11一Hazards)的環(huán)境中,_丁業(yè)控制系統(tǒng)安全管理需要全危險的方式。重要的工業(yè)控制系統(tǒng)屬于國家的關(guān)鍵基礎(chǔ)設(shè)施,美國的《國家基礎(chǔ)設(shè)施保護計劃》(NIPP)和《國家準備指南》值得我國工業(yè)控制系統(tǒng)安全管理借鑒。參考文獻詳細地論述了美國政府怎樣將全危險方式用于國家關(guān)鍵基礎(chǔ)設(shè)施的保護及制定與維護應(yīng)急行動計劃中。參考文獻[61對全危險描述如下:“全危險是包括環(huán)境的或人為的所有情形的分類分級,其具有潛能引起傷害、疾病或死亡,設(shè)備、基礎(chǔ)設(shè)施服務(wù)或財產(chǎn)的破壞或喪失,或者說引起社會、經(jīng)濟或環(huán)境方面的功能降級”。因此,全危險方式是適合于預(yù)防、保護、準備、響應(yīng)和恢復(fù)的一種方法,其綜合處理全方位的威脅和危險,包括敵對者的網(wǎng)絡(luò)攻擊、自然和人為的災(zāi)害、意外的中斷以及其他緊急事件。
關(guān)于工業(yè)控制系統(tǒng)安全管理的特殊考慮
1.工業(yè)控制系統(tǒng)特別需要防范物理攻擊的威脅和風險
如參考文獻所述,工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在結(jié)構(gòu)安全的焦點上有很大的不同。在傳統(tǒng)的信息系統(tǒng)中,安全的主要焦點是保護集中或分布式的信息技術(shù)資產(chǎn)的操作和存儲,或者在這些資產(chǎn)之間傳播的信息。在一些結(jié)構(gòu)中,集中存儲和處理的信息是更重要的和更值得保護的。對于工業(yè)控制系統(tǒng),因為邊緣客戶機(例如PLC、操作員工作站、DCS控制器)直接負責終端過程的控制,必須充分地保護這些設(shè)備。因為中心服務(wù)器可能會反向影響每個邊緣設(shè)備,在工業(yè)控制系統(tǒng)中,中心服務(wù)器的保護仍然是非常重要的。因此,工業(yè)控制系統(tǒng)安全的最終保護目標是終端生產(chǎn)設(shè)備及其操作過程。
由于工業(yè)控制系統(tǒng)最終控制的是終端生產(chǎn)設(shè)備,并且廣泛采用的PLC是可編程的,因此,一個網(wǎng)絡(luò)攻擊可以惡意篡改PLC的控制過程而使被控制的生產(chǎn)設(shè)備遭受物理破壞!罢鹁W(wǎng)”惡意事件就充分證明了這種可能性并且使其成為現(xiàn)實。另外,由于工業(yè)控制系統(tǒng)所使用的許多設(shè)備是專用的,通常是設(shè)備廠家所專有的,更換設(shè)備的成本會很高。
并且,對于某些領(lǐng)域的工業(yè)控制系統(tǒng),不但需要考慮物理破壞的直接后果,而且需要考慮其間接影響,比如,化工廠的物理破壞可能引起有害氣體的泄漏而危害人的生命;對于那些具有高連通性和互依賴性的領(lǐng)域,在一個領(lǐng)域工業(yè)控制系統(tǒng)的物理破壞可能會波及其他領(lǐng)域而導致連鎖的物理破壞,例如,2008年的“冰雪”事件就是一個典型的案例。因此,在傳統(tǒng)信息系統(tǒng)中的保護一檢測一響應(yīng)模式不能簡單地用于工業(yè)控制系統(tǒng)中。由于可能造成工業(yè)生產(chǎn)設(shè)備的物理破壞,傳統(tǒng)信息安全風險評估和信息安全演練中所廣泛采用的滲透性測試也不可能直接用于工業(yè)控制系統(tǒng)中。
在9·11事件之后,由于擔心網(wǎng)絡(luò)攻擊國家電力系統(tǒng)基礎(chǔ)設(shè)施,美國啟動了國家SCADA試驗床和控制系統(tǒng)安全計劃。SCADA試驗床計劃的目的是幫助識別控制系統(tǒng)中的安全漏洞,包括發(fā)電廠、配電系統(tǒng)、油氣輸送管道、供水系統(tǒng)、運輸系統(tǒng)、水壩等的控制系統(tǒng),將所發(fā)現(xiàn)的安全漏洞報告給供應(yīng)商,以采取補救措施,并且成為將來采購清單的一部分。美國國土安全部網(wǎng)絡(luò)安全局所主導的網(wǎng)絡(luò)風暴I和II都主要是針對關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(比如電信、能源和交通運輸?shù)?安全保護而進行的網(wǎng)絡(luò)演練,也是基于試驗床進行的。
另外,由于可能造成物理破壞并且設(shè)備也可能存在物理漏洞,對于工業(yè)控制系統(tǒng),傳統(tǒng)上對軟件漏洞打補丁的方式是必要的然而是不充分的。以“震網(wǎng)”病毒攻擊伊朗鈾分離機為例:分離機電動機的正常轉(zhuǎn)速應(yīng)該在807轉(zhuǎn)/分鐘到1210轉(zhuǎn)/分鐘之間;而“震網(wǎng)”病毒攻擊使伊朗鈾分離機電動機的轉(zhuǎn)速從1410轉(zhuǎn)/分鐘到2轉(zhuǎn)/分鐘到1064轉(zhuǎn)/分鐘,周期性地快速變換,從而造成分離機的物理破壞。因此,即使修補了“震網(wǎng)”病毒所利用的7個漏洞,仍然不能阻止攻擊者發(fā)現(xiàn)和利用其他未知漏洞進行類似的攻擊。如果對未被破壞的分離機增加防電動機異常變速的措施,或者增強分離機的物理安全標準,使新分離機能夠自動地阻止這種異常變換,即使控制系統(tǒng)遭受類似的網(wǎng)絡(luò)攻擊,由于設(shè)備自身就可以阻止設(shè)備的物理破壞,從而就可以遏制潛在的網(wǎng)絡(luò)一物理協(xié)同攻擊。
2.工業(yè)控制系統(tǒng)的安全管理是多領(lǐng)域和多學科的
“震網(wǎng)”病毒攻擊是針對工業(yè)生產(chǎn)和控制系統(tǒng)進行網(wǎng)絡(luò)一物理協(xié)同攻擊的一個典型案例。評估網(wǎng)絡(luò)一物理協(xié)同攻擊的影響將需要對信息安全、物理安全和工業(yè)系統(tǒng)基礎(chǔ)設(shè)施的專門知識和技術(shù)。既然攻擊可能是網(wǎng)絡(luò)一物理協(xié)同的,安全解決方案也應(yīng)該是網(wǎng)絡(luò)一物理協(xié)同的。另外,在全危險的環(huán)境下,不但需要防范敵對的網(wǎng)絡(luò)攻擊而且需要特別關(guān)注自然或人為災(zāi)害的破壞。
工業(yè)控制系統(tǒng)的自身結(jié)構(gòu)涉及機械工程、電氣與電子工程、信息工程等,生產(chǎn)原材料和產(chǎn)品涉及物理、化學和生物等,自然災(zāi)害涉及氣象(比如洪水、颶風、冰雪和雷電等)、地質(zhì)(比如地震)等多學科的專業(yè)知識和技術(shù)。不同學科的專業(yè)技術(shù)人員通常只熟悉或感興趣自己所擅長的技術(shù)解決方案。根據(jù)參考文獻[1]的分析,當前工業(yè)控制系統(tǒng)保護的問題是作為一個網(wǎng)絡(luò)安全問題來處理。然而適合于網(wǎng)絡(luò)安全問題的解決方案不總是能夠轉(zhuǎn)化為工業(yè)控制系統(tǒng)保護方案。例如,對化工廠、污水系統(tǒng)、水壩控制和電力一個成功攻擊的物理力度變化和效果可能是真實和直接的。對于信息系統(tǒng),可能實行相反的補償,例如,如果信用卡被盜,可以取消對應(yīng)的賬號和發(fā)給新卡?墒牵坏┮粋水壩被破壞,或有毒的化學制品和氣體被釋放,補償是非常困難的(如果不是不可能的),并且對生命和財產(chǎn)的真實損害幾乎是不可避免的。
因此,工業(yè)控制系統(tǒng)的安全管理不但需要多學科的專業(yè)技術(shù)人員,而且需要多領(lǐng)域的管理和技術(shù)人員的協(xié)作。信息共享對解決工業(yè)控制系統(tǒng)安全是至關(guān)重要的。目前,這種多學科多領(lǐng)域的協(xié)作和信息共享仍然存在許多問題。如參考文獻所述,由于以下幾個原因?qū)е鹿I(yè)控制系統(tǒng)安全解決方案的缺乏:
1)缺乏適合于保護工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和物理兩方面的綜合方法。
2)工業(yè)控制系統(tǒng)典型地使用嵌入式實時操作系統(tǒng)和執(zhí)行程序,但是為了保持低成本和商l生能,這種軟件的供應(yīng)商普遍沒有在其軟件架構(gòu)中建造固有安全(Safety)和安全保障(Security)機制。
3)工業(yè)控制系統(tǒng)的設(shè)計、建設(shè)和運營需要多種技能,然而安全保障專家常常趨向于信息專家,而不是從事于工業(yè)控制系統(tǒng)領(lǐng)域的專家或工程師。
3.淺議工業(yè)控制系統(tǒng)安全演練及試驗床
借鑒參考文獻中對美國“國家演練計劃(NEP)”的描述:NEP保證在全危險環(huán)境中,國家做好響應(yīng)的準備和測試由NIPP所提出的保護計劃和項目的穩(wěn)定狀態(tài),以及它們向在國家響應(yīng)框架(NRF)中所確定的事件管理框架的轉(zhuǎn)換。由于工業(yè)控制系統(tǒng)是運營于全危險的環(huán)境中,工業(yè)控制系統(tǒng)的安全演練也必須是基于全危險方式的。
參考文獻分析了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別,其中工業(yè)控制系統(tǒng)的以下3個特點對演練提出了更高的需求:
1)實時性能需求。工業(yè)控制系統(tǒng)通常時間是關(guān)鍵的,有些系統(tǒng)需要實時地傳送信息和運行系統(tǒng),信息流必須不被中斷和受到危害。對這些系統(tǒng)的訪問應(yīng)該受嚴格的物理安全控制所限制。
2)高可用性需求。通常,工業(yè)控制系統(tǒng)所控制的過程具有連續(xù)的本性,不可能容忍不期望的系統(tǒng)中斷。在保證工業(yè)控制系統(tǒng)高可用性徹底的部署前,測試是必要的。一些情況下,在生產(chǎn)的產(chǎn)品和使用的設(shè)備比被延遲的信息更重要。因此,由于對工業(yè)控制系統(tǒng)高可用性、可靠性和可維護性需求的不利影響,傳統(tǒng)的信息技術(shù)戰(zhàn)略通常是不可接受的,比如重新啟動一個部件。
3)物理的交互作用。一個工業(yè)控制系統(tǒng)從物理環(huán)境獲得輸入和可能的反饋,與物理環(huán)境的交互作用可能是復(fù)雜的,因果關(guān)系可以出現(xiàn)在物理事件中。綜合到工業(yè)控制系統(tǒng)的所有安全功能必須進行測試以證明它們不會危害正常的工業(yè)控制系統(tǒng)功能。
工業(yè)控制系統(tǒng)的試驗床不但能夠提供安全攻防演練的基地,而且可能用于測試安全措施對系統(tǒng)性能和功能的影響。另外,在全危險的環(huán)境下,需要全危險的事件響應(yīng)和恢復(fù)、全危險的風險評估和全危險的安全攻防演練,這就需要全危險的試驗床。按參考文獻對全危險的描述,需要分類分級地模擬各種類型網(wǎng)絡(luò)攻擊和自然與人為災(zāi)害.并且能夠用于測試發(fā)生的可能性及其跨多領(lǐng)域后果的等級和在安全演練中各種響應(yīng)對工業(yè)控制系統(tǒng)性能和功能的影響。這不但需要機械工程、電氣與電子工程、信息工程、物理、化學和生物等多學科的專業(yè)知識和技術(shù),而且需要關(guān)于災(zāi)害的相關(guān)專業(yè)知識和防范措施。因此,試驗床必須有說服力地、實時地仿真物理動力學和效果。這些試驗床也必須支持構(gòu)成完整工業(yè)控制系統(tǒng)的多領(lǐng)域和學科。
根據(jù)參考文獻[1]的描述,在現(xiàn)今的工業(yè)控制系統(tǒng)中缺乏對風險的共同理解。風險常常按領(lǐng)域為基礎(chǔ)的特別方式進行評估;量化和控制風險的一致方案是不可用的。例如,具有分布式覆蓋區(qū)而非常廣泛的用戶基地的電力網(wǎng)比集中定位而具有較少鄰近人口的化工廠,是更危險還是更不危險?同樣根據(jù)參考文獻的描述,在不同領(lǐng)域的工業(yè)控制系統(tǒng)中不存在一致的安全性能量度。雖然在工業(yè)領(lǐng)域生產(chǎn)力和產(chǎn)出量度是可用的,關(guān)于綜合網(wǎng)絡(luò)連通性和系統(tǒng)級安全的量度尚沒有可用的,能夠跨越多工業(yè)控制系統(tǒng)領(lǐng)域的性能和風險評估的試驗床也沒有出現(xiàn)。構(gòu)建多個領(lǐng)域特定的試驗床可能是令人望而卻步的昂貴。
文章初步討論了在全危險環(huán)境中工業(yè)控制系統(tǒng)安全管理面臨的一些關(guān)鍵挑戰(zhàn),并且著重分析了工業(yè)控制系統(tǒng)安全管理不同于傳統(tǒng)信息系統(tǒng)安全管理的獨特特征。全危險的安全演練對制定工業(yè)控制系統(tǒng)保護計劃和安全事件響應(yīng)計劃是非常關(guān)鍵和不可缺少的,因此,全危險的試驗床是必須的。開發(fā)全危險的試驗床需要許多技術(shù)創(chuàng)新,不可能一蹴而就;無論是認識還是研究和開發(fā)都必須遵循由淺人深、由簡單到復(fù)雜,分階段不斷完善的過程。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息安全熱點探討:工業(yè)控制系統(tǒng)安全
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953106.html