工業控製係統信息安全技術的發展隨著工業自動化係統的發展而不斷演化。目前自動化係統發展的趨勢就是數字化、智能化
、網絡化和人機交互人性化，同時將更多的IT技術應用到傳統的邏輯控製和數字控製中。工業控製係統信息安全技術未來也將進一步借助傳統IT技術，使其更加智能化、網絡化，成為控製係統不可缺少的一部分。與傳統IP互(hu)聯(lian)網(wang)的(de)信(xin)息(xi)安(an)全(quan)產(chan)品(pin)研(yan)發(fa)路(lu)線(xian)類(lei)似(si)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)產(chan)品(pin)將(jiang)在(zai)信(xin)息(xi)安(an)全(quan)與(yu)工(gong)業(ye)生(sheng)產(chan)控(kong)製(zhi)之(zhi)間(jian)找(zhao)到(dao)契(qi)合(he)點(dian)，形(xing)成(cheng)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)特(te)色(se)鮮(xian)明(ming)的(de)安(an)全(quan)輸(shu)入(ru)

、安全控製、安全輸出類產品體係。

　　工控安全兼顧功能
、物理和信息安全

　　通常情況下，工業控製係統安全可以分成三個方麵，即功能安全

、物理安全和信息安全。

　　功能安全是為了達到設備和工廠安全功能，受保護的

、和控製設備的安全相關部分必須正確執行其功能，而且當失效或故障發生時，設備或係統必須仍能保持安全條件或進入到安全狀態。

　　物理安全是減少由於電擊、火災、輻射、機械危險、化學危險等因素造成的危害。

　　在IEC62443中針對工業控製係統信息安全的定義是：“保護係統所采取的措施;由建立和維護保護係統的措施所得到的係統狀態;能夠免於對係統資源的非授權訪問和非授權或意外的變更

、破壞或者損失;基於計算機係統的能力，能夠保證非授權人員和係統既無法修改軟件及其數據，也無法訪問係統功能
，卻保證授權人員和係統不被阻止;防止對工業控製係統的非法或有害入侵，或者幹擾其正確和計劃的操作。”

　　三種安全在定義和內涵上有很大的差別。

　　功能安全
，使用安全完整性等級的概念已有近20年。功能安全規範要求通常將一個部件或係統的安全表示為單個數字，而這個數字是為了保障人員健康、生產安全和環境安全而提出的基於該部件或係統失效率的保護因子。

　　物理安全，保護要素主要由一係列安全生產操作規範定義。政府
、企qi業ye及ji行xing業ye組zu織zhi等deng一yi般ban通tong過guo完wan備bei的de安an全quan生sheng產chan操cao作zuo流liu程cheng約yue束shu工gong業ye係xi統tong現xian場chang操cao作zuo的de標biao準zhun性xing
，確que保bao事shi故gu的de可ke追zhui溯su性xing
，並bing可ke以yi明ming確que有you關guan人ren員yuan的de責ze任ren
，管guan理li和he製zhi度du因yin素su是shi保bao護hu物wu理li安an全quan的de主zhu要yao方fang式shi。

　　工業控製係統信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生(sheng)產(chan)安(an)全(quan)或(huo)環(huan)境(jing)安(an)全(quan)，但(dan)是(shi)功(gong)能(neng)安(an)全(quan)使(shi)用(yong)安(an)全(quan)完(wan)整(zheng)性(xing)等(deng)級(ji)是(shi)基(ji)於(yu)隨(sui)機(ji)硬(ying)件(jian)失(shi)效(xiao)的(de)一(yi)個(ge)部(bu)件(jian)或(huo)係(xi)統(tong)失(shi)效(xiao)的(de)可(ke)能(neng)性(xing)計(ji)算(suan)得(de)出(chu)的(de)，而(er)信(xin)息(xi)安(an)全(quan)係(xi)統(tong)有(you)著(zhe)更(geng)為(wei)廣(guang)闊(kuo)的(de)應(ying)用(yong)，以(yi)及(ji)更(geng)多(duo)可(ke)能(neng)的(de)誘(you)因(yin)和(he)後(hou)果(guo)。影(ying)響(xiang)信(xin)息(xi)安(an)全(quan)的(de)因(yin)數(shu)非(fei)常(chang)複(fu)雜(za)，很(hen)難(nan)用(yong)一(yi)個(ge)簡(jian)單(dan)的(de)數(shu)字(zi)描(miao)述(shu)出(chu)來(lai)。然(ran)而(er)

，功(gong)能(neng)安(an)全(quan)的(de)全(quan)生(sheng)命(ming)周(zhou)期(qi)安(an)全(quan)理(li)念(nian)同(tong)樣(yang)適(shi)用(yong)於(yu)信(xin)息(xi)安(an)全(quan)
，信(xin)息(xi)安(an)全(quan)的(de)管(guan)理(li)和(he)維(wei)護(hu)也(ye)必(bi)須(xu)是(shi)周(zhou)而(er)複(fu)始(shi)不(bu)斷(duan)進(jin)行(xing)的(de)。

　　工控安全與網絡信息安全有別

　　工業控製係統信息安全與傳統的IP信息網絡安全的區別在於：1.安全需求不同，2.安全補丁與升級機製存在的區別，3.實時性方麵的差異
，4.安全保護優先級方麵的差異，5.安全防護技術適應性方麵的差異。

　　總體來說，傳統IP信息網絡安全已經發展到較為成熟的技術和設計準則(認證、訪問控製
、信息完整性
、特權分離等)，這zhe些xie能neng夠gou幫bang助zhu我wo們men阻zu止zhi和he響xiang應ying針zhen對dui工gong業ye控kong製zhi係xi統tong的de攻gong擊ji。然ran而er
，傳chuan統tong意yi義yi上shang講jiang，計ji算suan機ji信xin息xi安an全quan研yan究jiu關guan注zhu於yu信xin息xi的de保bao護hu
，研yan究jiu人ren員yuan是shi不bu會hui考kao慮lv攻gong擊ji如ru何he影ying響xiang評ping估gu和he控kong製zhi算suan法fa以yi及ji最zui終zhong攻gong擊ji是shi如ru何he影ying響xiang物wu理li世shi界jie的de。

　　dangqianyiyoudegezhongxinxianquangongju，nenggouduikongzhixitonganquangeiyubiyaojizhi，zhexiedandudejizhiduiyushendufanghukongzhibingbugou，tongguoshenrulijiekongzhixitongyuzhenshiwulishijiedejiaohuguocheng，yanjiurenyuanzaiweilaixuyaokaizhandegongzuokenengshi：

　　1.更好地理解攻擊的後果：到目前為止，還沒有深入研究攻擊者獲得非授權訪問一些控製網絡設備後將造成的危害。

　　2.設計全新的攻擊檢測算法：通過理解物理過程應有的控製行為
，並基於過程控製命令和傳感器測量，能夠識別攻擊者是否試圖幹擾控製或傳感器的數據。

　　3.設計新的抗攻擊彈性算法和架構：檢測到一個工業控製係統攻擊行為
，能夠適時改變控製命令，用於增加控製係統的彈性，減少損失。

　　4.設計適合工業SCADA係統現場設備的身份認證與密碼技術：目前一些成熟的、複雜的、jianzhuangdemimajishutongchangbunengzaigongyekongzhixitongdexianchangshebeizhongwanchengfangwenkongzhigongneng，zhuyaoyuanyinzaiyuguoyufuzademimajizhikenengcunzaizhezaijinjiqingkuangxiafangaiyingjichulichengxukuaisuxiangyingdefengxian。gongyezidongkongzhilingyudezhuanjiayibanrenweixiangduijiaoruodemimajizhi(如缺省密碼、固定密碼，甚至空口令等)，比較容易在緊急情況下進行猜測
、傳送等，進而不會對應急處理程序本身產生額外影響。

　　5.開發硬件兼容能力更強的工業SCADA係統安全防護技術：傳統IT數據網絡中安全防護能力較強的技術如身份認證、鑒別、加密
、入侵檢測和訪問控製技術等普遍強調占用更多的網絡帶寬、chuliqixingnengheneicunziyuan
，erzhexieziyuanzaigongyekongzhixitongshebeizhongshifenyouxian
，gongyekongzhishebeizuichudeshejimubiaoshiwanchengtedingxianchangzuoyerenwu
，tamenyibanshidichengben、低處理器效能的設備。而且
，在石油、供水等能源工業係統控製裝置中仍然在使用一些很陳舊的處理器(如1978年出廠的Intel8088處理器)。因此，在這類裝置中部署主流的信息安全防護技術而又不顯著降低工業現場控製裝置的性能具有一定難度。

　　6.研製兼容多種操作係統或軟件平台的安全防護技術：傳統IT數據網絡中的信息安全技術機製，主要解決Windows、Linux
、Unix等通用型操作係統平台上的信息安全問題。而在工業SCADA係統領域，現場工業SCADA係統裝置一般使用設備供應商(ABB、西門子
、霍尼韋爾等)獨立研發的、非公開的操作係統(有時稱為固件)、專用軟件平台(如GE的iFix等)完成特定的工業過程控製功能。因此，如何在非通用操作係統及軟件平台上開發、部署甚至升級信息安全防護技術
，是工業SCADA係統信息安全未來需要重點解決的問題。

　　建立事前事中事後防護係統

　　工業控製係統信息安全內涵
、需求和目標特性
，決定了需要一些特殊的信息安全技術、措施
，在工業生產過程中的IED
、PLC、RTU

、控製器、通信處理機、SCADA係統和各種實際的、各種類型的可編程數字化設備中使用或配置，達到保障工業控製係統生產、控製與管理的安全功能目標。所有自動控製係統信息安全的基礎技術是訪問控製和用戶身份認證，在此基礎上發展了一些通過探針、信道加密、數(shu)據(ju)包(bao)核(he)查(zha)和(he)認(ren)證(zheng)等(deng)手(shou)段(duan)保(bao)護(hu)通(tong)信(xin)數(shu)據(ju)報(bao)文(wen)安(an)全(quan)的(de)技(ji)術(shu)。為(wei)實(shi)現(xian)功(gong)能(neng)安(an)全(quan)前(qian)提(ti)下(xia)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)，需(xu)要(yao)構(gou)築(zhu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)事(shi)前(qian)、事中和事後的全麵管理
、整體安全的防護技術體係。

　　1.事前防禦技術

　　事前防禦技術是工業控製信息安全防護技術體係中較為重要的部分，目前有很多成熟的基礎技術可以利用：訪問控製/工業控製專用防火牆、身份認證、ID設備、基於生物特征的鑒別技術、安全的調製解調器、加密技術、公共密鑰基礎設施(PKI)、虛擬局域網(VPN)。

　　2.事中響應技術

　　入侵檢測(IDS)技(ji)術(shu)對(dui)於(yu)識(shi)別(bie)內(nei)部(bu)的(de)錯(cuo)誤(wu)操(cao)作(zuo)和(he)外(wai)部(bu)攻(gong)擊(ji)者(zhe)嚐(chang)試(shi)獲(huo)得(de)內(nei)部(bu)訪(fang)問(wen)權(quan)限(xian)的(de)攻(gong)擊(ji)行(xing)為(wei)是(shi)非(fei)常(chang)有(you)效(xiao)的(de)。它(ta)能(neng)夠(gou)檢(jian)測(ce)和(he)識(shi)別(bie)出(chu)內(nei)部(bu)或(huo)外(wai)部(bu)用(yong)戶(hu)破(po)壞(huai)網(wang)絡(luo)的(de)意(yi)圖(tu)。IDS有兩種常見的形式：數(shu)字(zi)簽(qian)名(ming)檢(jian)測(ce)係(xi)統(tong)和(he)不(bu)規(gui)則(ze)檢(jian)測(ce)係(xi)統(tong)。入(ru)侵(qin)者(zhe)常(chang)常(chang)通(tong)過(guo)攻(gong)擊(ji)數(shu)字(zi)簽(qian)名(ming)

，從(cong)而(er)獲(huo)得(de)進(jin)入(ru)係(xi)統(tong)的(de)權(quan)限(xian)或(huo)破(po)壞(huai)網(wang)絡(luo)的(de)完(wan)整(zheng)性(xing)。數(shu)字(zi)簽(qian)名(ming)檢(jian)測(ce)係(xi)統(tong)通(tong)過(guo)將(jiang)現(xian)在(zai)的(de)攻(gong)擊(ji)特(te)性(xing)與(yu)已(yi)知(zhi)攻(gong)擊(ji)特(te)性(xing)數(shu)據(ju)庫(ku)進(jin)行(xing)比(bi)對(dui)，根(gen)據(ju)選(xuan)擇(ze)的(de)靈(ling)敏(min)程(cheng)度(du)，最(zui)終(zhong)確(que)定(ding)比(bi)對(dui)結(jie)果(guo)。然(ran)後(hou)，根(gen)據(ju)比(bi)對(dui)結(jie)果(guo)，確(que)定(ding)攻(gong)擊(ji)行(xing)為(wei)的(de)發(fa)生(sheng)，從(cong)而(er)阻(zu)斷(duan)攻(gong)擊(ji)行(xing)為(wei)並(bing)且(qie)通(tong)報(bao)係(xi)統(tong)管(guan)理(li)員(yuan)當(dang)前(qian)係(xi)統(tong)正(zheng)在(zai)遭(zao)受(shou)攻(gong)擊(ji)。不(bu)規(gui)則(ze)檢(jian)測(ce)技(ji)術(shu)通(tong)過(guo)對(dui)比(bi)正(zheng)在(zai)運(yun)行(xing)的(de)係(xi)統(tong)行(xing)為(wei)和(he)正(zheng)常(chang)係(xi)統(tong)行(xing)為(wei)之(zhi)間(jian)的(de)差(cha)異(yi)
，確(que)定(ding)入(ru)侵(qin)行(xing)為(wei)的(de)發(fa)生(sheng)且(qie)向(xiang)係(xi)統(tong)管(guan)理(li)員(yuan)報(bao)警(jing)。例(li)如(ru)
，IDS能夠檢測在午夜時分係統不正常的活躍性或者外部網絡大量訪問某I/O端口等。當不正常的活動發生時，IDS能夠阻斷攻擊並且提醒係統管理員。

　　以上兩種IDS係統都有其優點和缺點，但是，它們都有一個相同的問題——如何設置檢測靈敏度。高靈敏度會造成錯誤的入侵報警
，IDShuiduimeigeruqinjingbaozuoxiangyingdexitongdongzuo，yinci，guoduodecuowuruqinjingbao
，bujinhuipohuaizhengchangxitongdemouxiebixudegongneng，erqiehaihuiduixitongzaochengdaliangewaidefudan。erdilingminduhuishiIDS不能檢測到某些入侵行為的發生，因此IDS會對一些入侵行為視而不見
，從而使入侵者成功進入係統
，造成不可預期的損失。

　　3.事後取證技術

　　審shen計ji日ri誌zhi機ji製zhi是shi對dui合he法fa的de和he非fei合he法fa的de用yong戶hu的de認ren證zheng信xin息xi和he其qi他ta特te征zheng信xin息xi進jin行xing記ji錄lu的de文wen件jian，是shi工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan主zhu要yao的de事shi後hou取qu證zheng技ji術shu之zhi一yi。因yin此ci

，每mei個ge對dui係xi統tong的de訪fang問wen及ji其qi相xiang關guan操cao作zuo均jun需xu要yao記ji錄lu在zai案an。當dang診zhen斷duan和he審shen核he網wang絡luo電dian子zi入ru侵qin是shi否fou發fa生sheng時shi
，審shen計ji日ri記ji是shi必bi不bu可ke少shao的de判pan斷duan標biao準zhun之zhi一yi。此ci外wai，係xi統tong行xing為wei記ji錄lu也ye是shi工gong業yeSCADA係統信息安全的常用技術。

　　這些是在工業控製係統信息安全中一些常用的、常規性技術，而在工業控製係統信息安全實施過程中，還有一些特別的關鍵技術。

　　（作者係中國電子科技集團公司信息安全首席專家、第三十研究所副總工程師 饒誌宏）

　　微觀點

　　@物聯中國：congqichedaogongkongxitongzaidaobingxiang，suoyoushiwuhulianqilai
，tamenfasonghuojieshoulaiziyidongyingyongyuyunfuwudeshuju，suizhejisuanjijishudeyingyongzaiwomenderichangshenghuozhongbiandegengweipubian，womenxuyaozhengtianquanfanganlaigenshangchengchangzhongdewulianwang(IoT)。

　　@cawan2000：從來不認為在Windows係統下運行的HMI有著的Windows漏洞，或運行在工控服務器或PLC或RTU上的Web服務器有著的XSS漏洞是歸類於工控安全漏洞。這就好像SAP係統的某Web漏洞不能算是ERP漏洞一樣的道理。工控係統架構
、係統和場總線通信協議、設備本身的嵌入式係統缺陷等問題才能算是工控安全領域的漏洞。

　　@Mr_營：如果說工控安全還是基於Web安全的話，這和嵌入式安全的低門檻無異
，一樣都是App和Web的概念。繼續是低門檻激烈競爭，半個月成功成為工控安全專家。

　　@楊冀龍：工控安全很重要，很性感，可是如何變出產值呢?是安全行業的菜?還是工控行業的菜?

　　@tombkeeper：這事兒咱們能出力
，但操不上心。所以目前能幹的就是“持幣觀望”，做好準備，等NSA們搞定市場拓展工作。

　　@李鐵軍：安全廠商應該還吃不上工控行業的這碗飯，工控行業的這些機構會比較固執地認為

，不聯外網就是安全的。