◆翁明磊

?

工業(yè)控制系統(tǒng)信息安全初探

◆翁明磊

（淮陰工學(xué)院 江蘇 223001）

作為絕大部分國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)是以“大腦”和“中樞”的形式進(jìn)行運(yùn)行的。在諸如新能源等行業(yè)中，工業(yè)控制系統(tǒng)得到了廣泛運(yùn)用。本文以工業(yè)控制系統(tǒng)的特點(diǎn)與發(fā)展現(xiàn)狀為前提，闡述了其信息的安全性。

工業(yè)控制系統(tǒng)；信息安全

0 引言

隨著計(jì)算機(jī)硬件、軟件技術(shù)及集成電路技術(shù)的迅速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)獲得了很大的成就。然而，人們生活中所熟知的PC計(jì)算機(jī)，在工業(yè)系統(tǒng)中，雖然可以達(dá)到一定的的要求，但是，對(duì)于工業(yè)環(huán)境中發(fā)生的特殊的情況，其效果還是不能完全達(dá)到要求。工業(yè)環(huán)境對(duì)于控制系統(tǒng)的可靠性、靈活性要求相對(duì)較高。所以，負(fù)載分散、功能分散、危險(xiǎn)分散和地域分散這些現(xiàn)象，是工業(yè)控制系統(tǒng)發(fā)展中的主要表現(xiàn)。為了使這個(gè)系統(tǒng)的利用及時(shí)且有效，應(yīng)當(dāng)對(duì)其生產(chǎn)的過(guò)程中進(jìn)行優(yōu)化。PC104的特點(diǎn)是：其結(jié)構(gòu)較為小巧緊湊。在全部使用CMOS器件的時(shí)候，會(huì)使得整機(jī)的功率消耗比較低。而且其總線相對(duì)于其他而言，比較容易擴(kuò)充。能夠?qū)PU主板的并行口和串行口進(jìn)行一定的強(qiáng)化。在1969年，國(guó)外的一家著名數(shù)字設(shè)備公司根據(jù)GM在功能上的要求進(jìn)行了研究，因此這種新型的工業(yè)控制裝置得到了開(kāi)發(fā)。

在現(xiàn)在社會(huì)中，Internet的發(fā)展逐步增快，然而，在分布式環(huán)境下，異構(gòu)資源的共享與集成，是軟件開(kāi)發(fā)過(guò)程中所面臨的直接問(wèn)題。我們通過(guò)運(yùn)用分布式對(duì)象技術(shù)構(gòu)造的分布式系統(tǒng)來(lái)建立一種機(jī)制，它能將互聯(lián)網(wǎng)在邏輯上合成一臺(tái)計(jì)算機(jī)呈現(xiàn)在用戶面前，使各種資源和設(shè)備可以透明、方便地被使用。在目前的社會(huì)中，中間件這種技術(shù)，已經(jīng)作為在分布式環(huán)境下，異構(gòu)資源的共享問(wèn)題的主要解決手段。與此同時(shí)，集成問(wèn)題也相對(duì)得到了解決。目前軟件開(kāi)發(fā)的過(guò)程對(duì)用戶的需求產(chǎn)生了逐步的影響，而且，在現(xiàn)實(shí)情況下，他們的要求通常都是希望縮短軟件開(kāi)發(fā)的時(shí)間，所以，在一開(kāi)始設(shè)計(jì)系統(tǒng)的時(shí)候，就應(yīng)該想到用戶可能提出的這些要求，從而，提高用戶的滿意度。外部計(jì)算機(jī)可以通過(guò)EXCOM訪問(wèn)許多輸出或者輸入型的文件，其中，被稱為生產(chǎn)數(shù)據(jù)文件的有：AI、AO、DI、DO。

1 工業(yè)控制系統(tǒng)的特點(diǎn)

在工業(yè)控制系統(tǒng)中，信息安全研究的一個(gè)基礎(chǔ)前提是在工業(yè)控制系統(tǒng)和傳統(tǒng)IT系統(tǒng)之間進(jìn)行區(qū)分的。從當(dāng)前信息安全這一項(xiàng)目標(biāo)的基本原則來(lái)講，在現(xiàn)階段，工業(yè)控制系統(tǒng)已經(jīng)不適用原先傳統(tǒng)的原則，遵循AIC等則是目前工業(yè)控制系統(tǒng)的安全目標(biāo)。此外，從系統(tǒng)的相關(guān)特點(diǎn)進(jìn)行分析，工業(yè)控制系統(tǒng)是信息物理融合系統(tǒng)的一部分，然而，信息技術(shù)系統(tǒng)在普遍情況下是歸納于信息系統(tǒng)中的。另外，以系統(tǒng)的用途方面來(lái)講，生產(chǎn)運(yùn)行系統(tǒng)就是工業(yè)控制系統(tǒng)。目前已經(jīng)對(duì)外公布的OPC標(biāo)準(zhǔn)就像是一種驅(qū)動(dòng)程序，而且一般情況下，它是可以通用的。這種驅(qū)動(dòng)程序?qū)υ瓉?lái)基于PC的各種應(yīng)用程序進(jìn)行了代替。這些本質(zhì)上的區(qū)別，是工業(yè)控制系統(tǒng)在信息安全目標(biāo)方面有所區(qū)別的根本原因。此外，IT系統(tǒng)在這些方面上亦是如此。

筆者以冶金工業(yè)為例，勾畫(huà)出比較常見(jiàn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖。如圖1 所示。

圖1 工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖

2 工業(yè)控制系統(tǒng)的信息安全

如果以代表性的信息庫(kù)RISI進(jìn)行統(tǒng)計(jì)，已經(jīng)陸續(xù)發(fā)生了幾百件以工業(yè)控制系統(tǒng)為目標(biāo)的攻擊性事件。在最近的幾年中，國(guó)內(nèi)外政府對(duì)涉及信息安全的法規(guī)進(jìn)行了一些更新發(fā)布，許多都是關(guān)于基礎(chǔ)設(shè)施安全保護(hù)方面的法規(guī)。目前，工業(yè)控制系統(tǒng)在交通運(yùn)輸、制藥以及大型制造等行業(yè)進(jìn)行了廣泛運(yùn)用。在國(guó)家層面上，以美國(guó)為例，工業(yè)控制系統(tǒng)的信息安全工作還同時(shí)包括兩個(gè)國(guó)家級(jí)的專項(xiàng)計(jì)劃，也就是所謂的：能源部的國(guó)家SCADA計(jì)劃和國(guó)土安全部控制系統(tǒng)所實(shí)施的安全計(jì)劃。在歐洲，某些地區(qū)已經(jīng)開(kāi)展了一系列的大型專項(xiàng)計(jì)劃，這是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)的信息安全所開(kāi)展的。然而，隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸進(jìn)步，尤其是信息化和工業(yè)化的深度融合，以及快速發(fā)展的物聯(lián)網(wǎng)，工業(yè)控制系統(tǒng)產(chǎn)品安全存在的隱患越來(lái)越大，其根本上的原因，是由于目前與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)進(jìn)行連接的方式越來(lái)越多，導(dǎo)致了像病毒、木馬等比較棘手的威脅正不斷地?cái)U(kuò)散到工業(yè)控制系統(tǒng)中。

市面上有許多比較常見(jiàn)的專門(mén)以工業(yè)控制系統(tǒng)為攻擊目標(biāo)的技術(shù)，它們攻擊的主要形式如表1所示。

表1 較為常見(jiàn)的對(duì)工業(yè)控制系統(tǒng)的攻擊方式

工業(yè)控制系統(tǒng)也是生產(chǎn)運(yùn)行系統(tǒng)的一種。在傳統(tǒng)的IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估中，采用的是漏洞掃描、滲透測(cè)試等方式，這一系列的侵入性方法，都會(huì)對(duì)系統(tǒng)的運(yùn)行造成負(fù)面影響。所以，工業(yè)控制系統(tǒng)的深度安全測(cè)試，必須在復(fù)制或者是備份系統(tǒng)的前提下進(jìn)行。近段時(shí)間以來(lái)，具有代表性的工業(yè)控制系統(tǒng)入侵事件頻繁發(fā)生。其主要原因，是因?yàn)楣I(yè)控制系統(tǒng)和傳統(tǒng)的信息系統(tǒng)之間有著比較大的區(qū)別，而且，在構(gòu)造控制系統(tǒng)時(shí)，由于在信息安全的起步階段相對(duì)比較晚，所以，本身就有很多脆弱點(diǎn)存在于工業(yè)控制的系統(tǒng)中，比如像邊界安全策略缺失以及基礎(chǔ)設(shè)施可用性保障機(jī)制缺失等。

3 結(jié)論

當(dāng)今時(shí)代，國(guó)內(nèi)的公司，如研華公司、和利時(shí)公司等，結(jié)合工業(yè)現(xiàn)場(chǎng)應(yīng)用實(shí)際，推出了自己的PCBCS控制系統(tǒng)產(chǎn)品。作為信息技術(shù)的代表，如果網(wǎng)絡(luò)技術(shù)與工業(yè)控制系統(tǒng)互相結(jié)合，將對(duì)現(xiàn)有工業(yè)控制系統(tǒng)相對(duì)封閉的企業(yè)信息管理結(jié)構(gòu)造成極大改變，并且能夠大幅度提高控制系統(tǒng)的水平。這種結(jié)合后的新技術(shù)對(duì)現(xiàn)代企業(yè)綜合自動(dòng)化管理的需要能夠帶來(lái)極大轉(zhuǎn)折與改善。遠(yuǎn)程智能已具有成熟的產(chǎn)品和應(yīng)用經(jīng)驗(yàn)，達(dá)到工程實(shí)用階段，可為工程建設(shè)及老廠改造進(jìn)行選型配套。在目前全球經(jīng)濟(jì)突飛猛進(jìn)的形勢(shì)下，這種工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化的新技術(shù)，對(duì)加快新產(chǎn)品的開(kāi)發(fā)及降低生產(chǎn)成本還有完善信息服務(wù)，起到了一定程度的作用。

[1]李佳瑋，郝悍勇，李寧輝.工業(yè)控制系統(tǒng)信息安全防護(hù)[J]. 中國(guó)電力，2015，48(10)：139-143.

[2]陳莊，黃勇，鄒航.工業(yè)控制系統(tǒng)信息安全審計(jì)系統(tǒng)分析與設(shè)計(jì)[J].計(jì)算機(jī)科學(xué)，2013，40(Z6)：340-343.

[3]周小鋒，陳秀真.面向工業(yè)控制系統(tǒng)的灰色層次信息安全評(píng)估模型[J].信息網(wǎng)絡(luò)安全，2014(1)：15-20.

[4]王小山，楊安，石志強(qiáng).工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J]. 信息網(wǎng)絡(luò)安全，2015(1)：6-11.

[5]曲家興，周瑩，王希忠.工業(yè)控制系統(tǒng)無(wú)線網(wǎng)絡(luò)安全體系的研究[J].信息技術(shù)，2013(1)：36-38.