工业控制系统信息安全防护措施

来源:用户上传      作者:

　　摘   要：随着中国制造2025的持续推进、制造业与互联网融合的快速发展，工业控制系统（Industrial Control System）被更加广泛地应用于能源、电力、水利、油气、化工、冶金、制药、食品和装备制造等各个行业。近年来，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化，生产力显著提高，工业控制系统面临着日益严峻的信息安全威胁，然而工业控制系统信息安全又事关经济发展、社会稳定和国家安全，因此工业控制系统信息安全防护迫在眉睫。本文着重分析了工业控制系统信息安全所面临的威胁的来源，结合在工程实际中积累的应用经验，提出了对应的防范措施。
　　关键词：工业控制系统  信息安全
　　中图分类号：TP309                                 文献标识码：A                       文章编号：1674-098X（2020）02（a）-0002-02
　　近年来，工业控制系统信息安全面临越来越严峻的威胁，遭受的恶意攻击也时有发生。
　　2000年，澳大利亚昆士兰一名被解雇的工程师通过无线网络侵入水厂控制系统，造成水处理厂发生46次控制设备异常事件，导致大量污水进入供水系统;2003年，美国俄亥俄州Davis-Besse核电站受到SQL Slammer蠕虫病毒攻击，导致该核电站不能正常运行;2006年，美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击，导致3号机组被迫关闭;2010年，网络超级武器“Stuxnet”病毒入侵伊朗布什尔核电站的控制系统，威胁核反应堆的安全运行;2011年，“Dupu”病毒侵多过个工业控制系统收集数据，导致大量信息泄漏。
　　1  工业控制系统信息安全面临的主要威胁
　　工业控制系统信息安全面临的威胁主要包括主观威胁和客观威胁。
　　主观威胁主要是人为的、蓄意的攻击，可能来自内部员工、商业间谍、网络黑客、反社会的犯罪分子或恐怖分子、敌对势力等。通过物理侵入或网络侵入等手段，篡改或盗取系统运行数据，进而窃取关系国家安全和经济状况的重要信息，篡改程序、阈值、参数设置或者植入恶意软件、病毒软件导致系统不能正常工作甚至摧毁工业装置。
　　客观威胁主要指不是人为故意造成的，损害信息安全的威胁，通常包括工程技术人员失误、设备缺陷故障和自然灾害等。
　　2  工业控制系统信息安全防护措施
　　工业控制系统信息安全防护应覆盖全生命周期各个阶段，同时要从管理和技术上分别采取防护措施。
　　2.1 管理方面采取的措施
　　在管理方面要设置一些技术手段，防止未经授权的人员接触、登录系统，篡改内容和窃取信息等。一般应采取的措施包括：（1）设置门禁系统和设备柜上锁等手段控制人员与设备之间的物理接触;（2）设置用户策略，防止未授权人员登录，篡改程序和窃取数据;（3）采用物理隔离方式杜绝外部访问，如果不能物理隔离，则配置专门的防火墙控制未经授权的远程访问;（4）为系统内所有设备和开发工具安装病毒防护软件，及时升级病毒库，保证病毒库是最新版本;（5）建立项目文件管理体系，保证设计过程文件处于绝对安全受控状态，杜绝未经授权的篡改和拷贝等。
　　2.2 技术方面采取的措施
　　2.2.1 网络攻击的应对措施
　　工业控制系统各层之间和系统与外部网络之间都有物理连接，随时传输大量的数据，针对这一现状，可以在不改变工业控制系统基础架构的前提下，通过配置与工业控制系统高度集成的信息安全组件提升系统的信息安全防护能力。具体的做法是：（1）在系统与外部网络的连接处设置工业控制防火墙;（2）在系统的控制层（一层）、监测层（二层）之间，安装工业控制防火墙;（3）在一层控制网与控制器之间增加工业控制防火墙。工业控制系统与外部网络之间的工业控制防火墙，需要基于工业控制协议，与厂家合作定制开发;工业控制系统内部防火墙，需要作为控制系统的专用模块，集成到控制系统中。
　　2.2.2 组态攻击应对
　　当外部入侵跨越所有防护手段最终进入工业控制系统控制器时，如果仅仅使控制器停止工作，系统将立即启动故障保护模式，切换到冗余控制器，不会对工业设备和过程造成损坏;如果导致篡改系统中输入输出数据，可以比较期望输出与实际输出（实际输出可能遭受攻击被篡改），通过偏差检测到外部入侵。异常处理的程序如图1所示。
　　针对重要的控制对象，还要采取防止攻击/欺骗的逻辑设计，对检测到的偏差进行判断，当发现外部攻击导致行为异常时，进入相应的保护程序。被控对象遭受攻击判断逻辑图如图2所示。
　　3  结语
　　工业控制系统应用广泛，开放需求越来越强烈，工业控制系统信息遭受攻击的风险越来越大，工业控制系统信息安全防护就成为当前工业控制系统设计和实施必须考虑的问题。本文分析了工业控制系统信息安全面临的主要威胁，就系统整个生命周期，从管理和技术两个方面给出了具体的防护措施方案。该防护措施已经在之前的核电厂工程实践中应用，被证明能够在很大程度上保护系统信息安全，可以在类似工程项目中推广应用，为同类项目提供参考。
　　參考文献
　　[1] 工业控制系统信息安全 第1部分：评估规范[Z].2014.
　　[2] 工业控制系统信息安全 第2部分：验收规范[Z].2014.
　　[3] 工业和信息化部.工业控制系统信息安全防护指南[Z].2016（6）：11.
　　[4] 杨建军.工业控制系统信息安全标准化[Z].中国电子技术标准化研究院，2012（3）：20-23.
　　[5] 张哗.信息安全新焦点—工业控制系统安全[Z].北京启明星辰信息安全技术有限公司，2012（10）：46-48.
转载注明来源:https://www.xzbu.com/1/view-15219083.htm