工业控制系统的信息安全问题及解决方案分析

分享到:

工业控制系统在过程生产、电力设施、水力油气和运输等领域有着广泛的应用。传统控制系统的安全性主要依赖于其技术的隐秘性,几乎未采取任何安全措施。随着企业管理层对生产过程数据的日益关注,工业控制系统越来越多地采用开放lnternet技术实现与企业网的互连。目前,大多数工业通信系统在商用操作系统的基础上开发协议,通信应用中存在很多漏洞。在工业控制系统与Internet或其他公共网络互连时,这些漏洞将会暴露给潜在攻击者。此外,工业控制系统多用于控制关键基础措施,攻击者出于政治目的或经济目的会主动向其发起攻击,以期造成严重后果。例如,2010年,“震网”病毒席卷全球,伊朗布什尔核电站因遭此攻击延期运行。因此,近年来,工业控制系统的信息安全问题成为一个广泛关注的热点问题。

本文主要首先结合工业控制系统的特点,分析控制系统的要求及其面临的威胁和攻击,其次结合相关标准,从网络防护角度介绍了目前的信息安全解决思路,并介绍了相关的研究趋势,包括安全通信协议和安全控制器。

1、工业控制系统的信息安全分析

1.1工业控制系统概述

工业控制系统是以计算机为基本组件,用于监测和控制物理过程的系统。这类系统包含了大部分网络系统与物理系统连接的网络化系统。根据其应用范围,控制系统又可分为过程控制系统(PCS),监控和数据采集系统(SCADA),或网络一物理系统(CPS)。


控制系统通常由一系列网络设备构成,包括:传感器、执行器、过程控制单元和通信设备。控制系统通常采用分层结构,典型的控制系统网络结构如图1所示,第一层为安装有传感器和执行器等现场设备的物理设施,现场设备通过现场总线网络与可编程逻辑控制器(PLC)或远程终端设备(RTU)连接,PLC或RTU设备负责实现局域控制功能。第二层为控制网络,主要负责过程控制器和操作员站之间的实时数据传输。操作员站用于区域监控和设置物理设施的设定值。第三层为企业网,企业工作站负责生产控制,过程优化和过程日志记录。

根据控制系统的应用特性,可以分为安全相关的应用和非安全相关的应用。安全相关的应用一旦失效,可能会造成受控制的物理系统发生不可恢复的破坏。如果这类控制系统遭受破坏,将会对公共健康和安全产生重大影响,并导致经济损失。

1.2工业控制系统的安全要求

传统IT信息安全的技术相对成熟,但由于其应用场景与控制系统存在许多不同之处,因此,不能直接应用于控制系统的信息安全保护。本节主要针对控制系统与传统IT信息安全的区别,分析控制系统信息安全的特有属性,并提出控制系统面临的新的挑战。

控制系统的特点之一在于对可用性的要求。因此,传统信息安全的软件补丁方式和系统更新频率对于控制系统不再适用。例如,控制系统的系统升级需要提前几个月进行计划,并且更新时需要将系统设为离线状态。而且,在工业应用环境下,停机更新系统的经济成本很高。此外,有些系统补丁还可能违反控制系统的规则设定。例如,2008年3月7日,某核电站突然停机,原因是系统中的一台监视工厂数据的计算机在软件更新后重启。计算机重启后将控制系统中的数据重置为默认值,导致安全系统认为用于给核燃料棒降温的水温下降。

控制系统的另一个特点在于对实时性的要求川。控制系统的主要任务是对生产过程自动做出实时的判断与决策。尽管传统信息安全对可用性的研究很多,但实时可用性需要提供更为严格的操作环境。例如,传统IT系统中经常采用握手协议和加密等措施增强安全性,而在控制系统中,增加安全措施可能会严重影响系统的响应能力,因此不能将传统信息安全技术直接应用于控制系统中。为了保证控制系统具备更强的安全性,控制网络需要实现相关安全机制和标准,这就要求网络满足一定的性能要求。

除了以上两个特点,控制系统与传统IT信息系统的最大区别在于控制系统与物理世界存在交互关系。总的说来,信息安全中的许多技术措施和设计准则相对成熟,如认证,访问控制,消息完整性,最小权限等。利用这些成熟的技术可以帮助我们防御针对控制系统的攻击。但是,计算机安全主要考虑信息的保护,对于攻击如何影响物理世界并没有研究。而且,工业控制系统的资源有限,生命周期长,不能直接移植传统IT的信息安全技术。因此,虽然目前的信息安全工具可以为控制系统提供必要的防御机制,但仅仅依靠这些机制,无法为控制系统提供充分的深度保护。

当然,与传统IT系统相比,控制系统也存在更易操作的特点,为设计系统安全机制提供了便利。控制系统的网络动态特性更为简单,具有服务器变动少、网络拓扑固定、用户人群固定、通信类型固定、使用的通信协议少等特点。

1.3工业控制系统的威胁

工业控制系统面临的威胁可以分为两种:系统相关的威胁和过程相关的威胁。典型的系统相关威胁和过程相关威胁如表1所示。


系统相关的威胁是指由于软件漏洞所造成的威胁。控制系统从广义上是一种信息系统,会受到系统相关的威胁,如协议实现漏洞、操作系统漏洞等。在控制系统安全项目CCSP2009报告中,通过CSSP安全评估,将一般控制系统的系统相关威胁分为九种类型。表2列举了这九种安全问题。


过程相关的威胁是指工业控制系统在生产过程遭受的攻击。这种攻击利用过程控制的特点,攻击者非法获取用户访问权限后,发布合法的工业控制系统命令,导致工业过程的故障。基于工业控制系统用户与工业过程的交互点,可以将过程相关的威胁分为两类:①影响现场设备的访问控制的威胁;②影响中央控制台的威胁。前者通常发送错误的现场数据到控制系统状态监测中心,从而导致系统状态分析出现错误。后者通常在中央控制台执行合法的命令,但该命令对生产过程而言不合理,将对生产或设备产生负面影响。

控制系统的漏洞一旦被攻击者利用,会遭受不同类型的攻击,具体的攻击形式可以分为:

1)欺骗攻击:在通信过程中伪装成某个合法设备。例如,使用一个伪造的网络源地址。

2)拒绝式服务攻击:系统中任意资源的不可用。例如,设备因忙于应答大量的恶意流量而无法响应其他消息等。

3)中间人攻击:攻击者从通信的一端拦截所有消息,修改消息后再转发到终端接收设备。

4)重播攻击:重复发送某个过时的消息,如用户认证或命令等。

 


2、工业控制系统的信息安全解决思路

为了防止工业控制系统在通信过程中遭受上述各种威胁与攻击,需要使用多层安全措施完成对系统的保护。本文将以现有的研究成果为基础,从网络边界防护、安全协议和安全控制器方面,介绍控制系统信息安全解决思路。

2.1网络边界防护

上文所述工业控制系统的系统威胁,一方面是由于系统采用传统IT技术,如操作系统、Web服务器、邮箱的漏洞等造成,另一方面控制系统与企业网实现互连,暴露于公共网络之中,面临更多的攻击。因此,为了保证工业控制系统的安全性,首先需要增强网络边界的防护,以降低由企业网引入的威胁风险。标准SP800-82《工业控制系统(ICS)安全指南》指出,在处理工业控制系统网络与其他应用网络的连接问题时,需要按照最小访问原则设计,具体分为两点建议:

1)工业控制系统部署网络时,建议隔离工业控制系统与其他企业网络。通常这两类网络的流量不同,且企业网对网络设备变更没有指定严格的控制规程;如果工业控制系统网络流量存在于企业网上,可能会遭受拒绝服务式攻击。网络隔离可以通过采用防火墙等技术实现。

2)如果工业控制系统网络与企业网之间必须建立连接,尽可能地只允许建立一个连接,且连接通过防火墙或非军事区实现。在具体的技术措施上,SP800-82从身份认证、访问控制、审计与核查、系统与通信保护等方面详细介绍了可用的技术措施。

(1)身份认证

通过PIN码或密码验证申请访问的设备或人员。在网络上传输密码时需要对密码进行加密,通过选取合适的加密哈希函数,可以阻止重播攻击。密码认证还可以辅以其他认证措施,如询问/应答或使用生物令牌或物理令牌。紧急情况下,工业控制系统使用密码和生物认证都存在一定危险。因此在不适合使用密码的情况下,可以采用严密的物理安全控制作为替代。

(2)访问控制

基于角色的访问控制(RBAC)可以用于限制用户的权限,使其能以最小的权限完成任务。系统管理员的通讯需要加以认证,并对其保密性和完整性加以保护,如使用SSHv2和HTTPS协议。这两个协议都使用公钥/私钥对进行用户认证。通信双方产生并使用对称密钥加密数据交互过程。

RADJUS远程认证拨号用户服务式目前使用最多的认证和授权服务。它使用IEEE802.1×和EAP协议,可以在网络的各个层实现用户认证。例如,防火墙和接入路由可以作为认证代理。

当无线设备或中断用户设备需要与其连接时,认证代理向设备发出询问,设备通过认证服务器返回认证信息,从而获得授权和接入许可。

调制解调器经常用于提供备份连接。回叫系统通过存储于数据库中的回叫号码,确认拨号者是否为合法用户。远程控制软件需要使用唯一的用户名和密码,加密和审计日志。链路层的邻居认证需要使用CHAP协议等实现。

继续阅读
功率半导体:强化设计能力 寻求中高端突破(1)

功率半导体包括功率二极管、功率开关器件与功率集成电路。近年来,随着功率MOS(金属氧化物半导体)技术的迅速发展,功率半导体的应用范围已从传统的工业控制领域扩展到4C领域(计算机、通信、消费类电子产品和汽车电子),渗透到国民经济与国防建设的各个方面。我国拥有国际上最大的功率半导体市场,

功率半导体:强化设计能力 寻求中高端突破(2)

在《国家中长期科学和技术发展规划纲要(2006年-2020年)》中明确提出,功率器件及模块技术、半导体功率器件技术、电力电子技术是未来5年~15年15个重点领域发展的重点技术之一。

Freescale MC34901高速CAN收发器工业应用解决方案

Freescale公司的MC33901是高速CAN收发器,提供MCU CAN协议控制器和物理双线CAN总线间的物理接口,具有极好的EMC和ESD性能,不需要外接滤波器元件.支持工CAN高速应用,以及交通运输,工厂自动化,工业过程控制,电梯/升降机等.本文介绍了MC34901主要特性,框图,电源和双电源应用电路,以及评估板KIT34901EFEVB主要特性, 电源和双电源测试电路和评估板电路图与材料清单.

基于单片机的多功能供电控制系统

引言在工业控制中经常需要对某些温度进行巡检和控制,需要定时控制电机的起动和停止,需要根据料位计开关的状态控制多台卸料、输料电机按照设定顺序运转。在对温度巡检和控制时,要求当温度低于设定的温度下限时,加

智能传感技术将重新定义未来传感器市场

智能传感器技术-随着半导体集成技术的发展,微处理器和存储器不断进步,敏感元件与信号处理电路有可能集成在同一芯片上,故智能传感器将成为现实。智能化传感器是一种带微处理器的,兼有信息检测、