工業(yè)控制系統(tǒng)是系統(tǒng)的系統(tǒng)，其中的計(jì)算成分與物理成分、底層的過(guò)程和控制這些系統(tǒng)的策略之間是蜜耦合的。工業(yè)控制系統(tǒng)普遍存在于幾乎所有的工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施中，包括電力、石油和天然氣、交通運(yùn)輸、供水和污水處理、化工、制藥、造紙、食品加工以及機(jī)械制造等。

    因此，對(duì)工業(yè)控制系統(tǒng)的安全威脅對(duì)人類健康和安全形成重大風(fēng)險(xiǎn)，對(duì)環(huán)境預(yù)示著嚴(yán)重的破壞并且可能對(duì)經(jīng)濟(jì)施以負(fù)面的影響。文章以工業(yè)控制系統(tǒng)的典型安全事件為例，分析工業(yè)控制系統(tǒng)保護(hù)的全危險(xiǎn)本性，從而準(zhǔn)備、預(yù)防、預(yù)警、響應(yīng)和恢復(fù)等工業(yè)控制系統(tǒng)安全管理過(guò)程都需要以全危險(xiǎn)的方式，全方位地考慮物理、網(wǎng)絡(luò)和人的風(fēng)險(xiǎn)因素。

工業(yè)控制系統(tǒng)簡(jiǎn)介

    一個(gè)工業(yè)控制系統(tǒng)通常包含幾種類型的控制系統(tǒng)：

    1)監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)。

    2)分布式控制系統(tǒng)(DCS)。

    3)可編程邏輯控制器(PLC)。

    PLC是基于計(jì)算機(jī)的控制工業(yè)設(shè)備和過(guò)程的半導(dǎo)體裝置。在為離散過(guò)程提供操作控制的小型控制系統(tǒng)中，例如汽車裝配線等，PLC是常用的主要部件；在SCADA和DCS系統(tǒng)中廣泛使用PLC作為控制系統(tǒng)的部件。幾乎在所有工業(yè)過(guò)程中都廣泛地使用PLC。

    DCS用于控制工業(yè)過(guò)程。DCS是一個(gè)綜合的體系結(jié)構(gòu)，其中包含多個(gè)綜合的負(fù)責(zé)局部過(guò)程任務(wù)控制的子系統(tǒng)和一個(gè)監(jiān)視這些子系統(tǒng)的控制管理層。按控制功能的需要，特殊的PLC用于現(xiàn)場(chǎng)并且按需要對(duì)其進(jìn)行設(shè)置。DCS廣泛地用于基于過(guò)程的工業(yè)。

    SCADA系統(tǒng)是高度分布式的計(jì)算機(jī)系統(tǒng)，用于控制地理上分散的資產(chǎn)，這些資產(chǎn)有時(shí)分散于數(shù)千平方公理范圍內(nèi)，集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。一個(gè)SCADA控制中心通過(guò)長(zhǎng)途通信網(wǎng)絡(luò)對(duì)場(chǎng)地實(shí)行集中監(jiān)視和控制，包括監(jiān)視警報(bào)和過(guò)程狀態(tài)數(shù)據(jù)。基于從遠(yuǎn)程工作站點(diǎn)收到的數(shù)據(jù)，自動(dòng)的或者由操作員發(fā)出的管

    理指令能夠推動(dòng)遠(yuǎn)程站點(diǎn)的控制設(shè)備。現(xiàn)場(chǎng)設(shè)備控制本地操作，例如開啟和關(guān)閉閥門及斷路器，采集數(shù)據(jù)和監(jiān)視警報(bào)條件的本地環(huán)境。

    SCADA、DCS和PLC的一個(gè)主要區(qū)別是：DCS和PLC控制的子系統(tǒng)通常位于更有限的工廠或車間的中心區(qū)域，而SCADA場(chǎng)地是地理分散的。DCS和PLC通信通常使用LAN技術(shù)實(shí)現(xiàn)，這比SCADA系統(tǒng)使用的長(zhǎng)途通信系統(tǒng)更可靠和高速。SCADA系統(tǒng)的設(shè)計(jì)特別要處理長(zhǎng)途通信的問(wèn)題，例如由于各種通信介質(zhì)所造成的延遲和數(shù)據(jù)損失。由于工業(yè)過(guò)程的控制比分布式過(guò)程的監(jiān)視控制實(shí)際上更復(fù)雜，DCS和PLC系統(tǒng)通常比SCADA系統(tǒng)使用更大程度的閉環(huán)控制。

    以上描述可以歸納為：DCS和PLC系統(tǒng)是面向過(guò)程的，由過(guò)程驅(qū)動(dòng)，能夠?qū)崿F(xiàn)閉環(huán)實(shí)時(shí)過(guò)程的控制；而SCADA系統(tǒng)是面向數(shù)據(jù)采集的，由事件驅(qū)動(dòng)，SCADA系統(tǒng)總被認(rèn)為是一個(gè)協(xié)同配合系統(tǒng)，但是一般沒(méi)有以實(shí)時(shí)的方式控制過(guò)程。需要注意的是，工業(yè)控制系統(tǒng)的實(shí)際實(shí)現(xiàn)可能合并DCS和SCADA系統(tǒng)的特征而使兩者的界線模糊，比如一個(gè)較小城市的供水系統(tǒng)就可能不區(qū)分DCS和SCADA系統(tǒng)。

工業(yè)控制系統(tǒng)安全的幾個(gè)典型案例

    1．2010年6月的“震網(wǎng)”病毒事件

    “震網(wǎng)”病毒的攻擊目標(biāo)針對(duì)伊朗在納坦茲的濃縮鈾工廠和布什爾核電廠汽輪機(jī)控制。在2010年的攻擊中，第二個(gè)目標(biāo)沒(méi)有啟動(dòng)，也可能是沒(méi)有完成。“震網(wǎng)”病毒就是利用了7個(gè)漏洞進(jìn)行網(wǎng)絡(luò)攻擊，其中包括Windows系統(tǒng)及其第三方產(chǎn)品(打印機(jī))中的5個(gè)漏洞和西門子WinCC系統(tǒng)中的2個(gè)漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機(jī)控制系統(tǒng)可編成邏輯控制器(PLC)的控制邏輯，進(jìn)而使分離機(jī)電動(dòng)機(jī)的速度周期性地異常變換，引起分離機(jī)異常運(yùn)轉(zhuǎn)甚至造成物理破壞。

    2．2008年初我國(guó)南方的“冰雪”事件

    2008年1月中旬到2月上旬，我國(guó)南方地區(qū)連續(xù)遭受4次低溫雨雪冰凍極端天氣過(guò)程襲擊，總體強(qiáng)度為50年一遇，其中貴州、湖南等地為百年一遇。這場(chǎng)極端災(zāi)害性天氣影響范圍廣，持續(xù)時(shí)間長(zhǎng)，災(zāi)害強(qiáng)度大。根據(jù)2008年4月22日《國(guó)務(wù)院關(guān)于抗擊低溫雨雪冰凍災(zāi)害及災(zāi)后重建工作情況的報(bào)告》，這次“冰雪”事件對(duì)電力系統(tǒng)和交通運(yùn)輸所造成的影響及其連鎖反應(yīng)如下：

    1)電力設(shè)施損毀嚴(yán)重。持續(xù)的低溫雨雪冰凍造成電網(wǎng)大面積倒塔斷線，13個(gè)省(區(qū)、市)輸配電系統(tǒng)受到影響，170個(gè)縣(市)的供電被迫中斷，3．67萬(wàn)條線路、2018座變電站停運(yùn)；湖南500千伏電網(wǎng)除湘北、湘西外基本停運(yùn)，郴州電網(wǎng)遭受毀滅性破壞；貴州電網(wǎng)500千伏主網(wǎng)架基本癱瘓，西電東送通道中斷江西、浙江電網(wǎng)損毀也十分嚴(yán)重。

    2)交通運(yùn)輸嚴(yán)重受阻。京廣、滬昆鐵路因斷電運(yùn)輸受阻，京珠高速公路等“五縱七橫”干線近2萬(wàn)公里癱瘓，22萬(wàn)公里普通公路交通受阻。

    3)電煤供應(yīng)告急。由于電力中斷和交通受阻，加上一些煤礦提前放假和檢修等因素，部分電廠電煤庫(kù)存急劇下降。缺煤停機(jī)最多時(shí)達(dá)4200萬(wàn)千瓦，19個(gè)省(市、區(qū))出現(xiàn)不同程度的拉閘限電。

    4)工業(yè)企業(yè)大面積停產(chǎn)。電力中斷、交通運(yùn)輸受阻等因素導(dǎo)致災(zāi)區(qū)工業(yè)生產(chǎn)受到很大影響，其中湖南83％以上的工業(yè)企業(yè)、江西90％的工業(yè)企業(yè)一度停產(chǎn)。有600多處礦井被淹。

    5)居民生活受到嚴(yán)重影響。災(zāi)區(qū)城鎮(zhèn)水、電、氣管線(網(wǎng))及通信等基礎(chǔ)設(shè)施受到不同程度的破壞，人民群眾的生命安全受到嚴(yán)重威脅。據(jù)民政部初步核定，此次災(zāi)害共造成129人死亡，4人失蹤；緊急轉(zhuǎn)移安置166萬(wàn)人；倒塌房屋48．5萬(wàn)間，損壞房屋168．6萬(wàn)問(wèn)；因?yàn)?zāi)直接經(jīng)濟(jì)損失1516．5億元人民幣。

    3．2011年“7·23”甬溫線特別重大鐵路交通事故

    2011年7月23日20時(shí)30分05秒，甬溫線浙江省溫州市境內(nèi)，由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發(fā)生動(dòng)車組列車追尾事故，造成4O人死亡、172人受傷，中斷行車32小時(shí)35分，直接經(jīng)濟(jì)損失19371．65萬(wàn)元人民幣。根據(jù)國(guó)務(wù)院“7·23”甬溫線特別重大鐵路交通事故調(diào)查組2011年12月25日公布的《“7·23”甬溫線特別重大鐵路交通事故調(diào)查報(bào)告》顯示，2011年7月23日19時(shí)30分左右，雷擊溫州南站沿線鐵路牽引供電接觸網(wǎng)或附近大地，通過(guò)大地的阻性耦合或空間感性耦合在信號(hào)電纜上產(chǎn)生浪涌電壓，在多次雷擊浪涌電壓和直流電流共同作用下，溫州南站列控中心設(shè)備采集驅(qū)動(dòng)單元采集電路電源回路中的保險(xiǎn)管F2熔斷。根據(jù)《“7·23”甬溫線特別重大鐵路交通事故調(diào)查報(bào)告》顯示，事故發(fā)生的過(guò)程大致如下：

    1)當(dāng)溫州南站列控中心采集驅(qū)動(dòng)單元采集電路電源回路中保險(xiǎn)管F2遭雷擊熔斷后，采集數(shù)據(jù)不再更新，錯(cuò)誤地控制軌道電路發(fā)碼及信號(hào)顯示，使行車處于不安全狀態(tài)。

    2)雷擊也造成5829AG軌道電路發(fā)送器與列控中心通信故障，使從永嘉站出發(fā)駛向溫州南站的D3115次列車超速防護(hù)系統(tǒng)自動(dòng)制動(dòng)，在5829AG區(qū)段內(nèi)停車。

    3)由于軌道電路發(fā)碼異常，導(dǎo)致其3次轉(zhuǎn)目視行車模式起車受阻，7分4O秒后才轉(zhuǎn)為目視行車模式，以低于20公里／小時(shí)的速度向溫州南站緩慢行駛，未能及時(shí)駛出5829閉塞分區(qū)。

    4)因溫州南站列控中心未能采集到前行D3115次列車在5829AG區(qū)段的占用狀態(tài)信息，使溫州南站列控中心管轄的5829閉塞分區(qū)及后續(xù)兩個(gè)閉塞分區(qū)防護(hù)信號(hào)錯(cuò)誤地顯示綠燈，向D301次列車發(fā)送無(wú)車占用碼，導(dǎo)致D301次列車駛向D3115次列車并發(fā)生追尾。

    5)上海鐵路局有關(guān)作業(yè)人員安全意識(shí)不強(qiáng)，在設(shè)備故障發(fā)生后，未認(rèn)真正確地履行職責(zé)，故障處置工作不得力，未能起到可能避免事故發(fā)生或減輕事故損失的作用。

工業(yè)控制系統(tǒng)面臨高級(jí)持續(xù)威脅的風(fēng)險(xiǎn)

    高級(jí)持續(xù)威脅(Advanced Persistent Threat，APT)是針對(duì)特定目標(biāo)跨越長(zhǎng)時(shí)間段的(即“持續(xù)”)復(fù)雜的(即“高級(jí)”)網(wǎng)絡(luò)攻擊。檢測(cè)APT威脅有時(shí)可能需要數(shù)月的時(shí)間，如何有效地防范APT是目前信息安全普遍面臨的難題。APT攻擊具有以下4個(gè)特征：

    1)有目標(biāo)的。APT針對(duì)特定組織以竊取特殊數(shù)據(jù)或?qū)е绿厥馄茐臑槟康摹＠�如，上述“震網(wǎng)”病毒的攻擊目標(biāo)是伊朗在納坦茲的濃縮鈾工廠，目的是物理地破壞鈾分離機(jī)從而延緩伊朗核工業(yè)的發(fā)展。

    2)持續(xù)的。APT通過(guò)跨越長(zhǎng)時(shí)間的多階段才結(jié)束，可能是數(shù)月甚至數(shù)年。例如，早在2009年7月，“震網(wǎng)”病毒就已經(jīng)出現(xiàn)在網(wǎng)絡(luò)上了，當(dāng)時(shí)設(shè)法與西門子SCADA系統(tǒng)相連接和竊取數(shù)據(jù)。在2010年攻擊事件發(fā)生的前幾個(gè)月，增加了更復(fù)雜的技術(shù)以逃避防病毒檢測(cè)并且自安裝到Windows系統(tǒng)上。

    3)逃避的。APT使用偽裝、多級(jí)包裝等技術(shù)和其他策略。傳統(tǒng)的防火墻、入侵預(yù)防系統(tǒng)、防病毒軟件未能阻止未知、針對(duì)目標(biāo)的APT威脅。例如，“震網(wǎng)”病毒的活動(dòng)非常隱蔽，代碼短小精妙，具備極強(qiáng)的自我保護(hù)功能。“震網(wǎng)”病毒可以把自己隱藏起來(lái)，特別是發(fā)動(dòng)攻擊侵入離心機(jī)操控系統(tǒng)后，會(huì)首先記錄正常離心機(jī)的正常運(yùn)轉(zhuǎn)數(shù)據(jù)，攻擊成功后，離心機(jī)運(yùn)轉(zhuǎn)速度失控，但監(jiān)控設(shè)備收到的卻是“震網(wǎng)”病毒發(fā)送的“正常數(shù)據(jù)”，令監(jiān)控人員無(wú)法及時(shí)察覺(jué)，從而可最大限度地達(dá)到破壞效果。

    4)復(fù)雜的。APT針對(duì)目標(biāo)組織內(nèi)的多個(gè)漏洞進(jìn)行復(fù)雜混合攻擊方法。例如，“震網(wǎng)”病毒就是利用了7個(gè)漏洞進(jìn)行網(wǎng)絡(luò)攻擊，其中包括Windows系統(tǒng)及其第三方產(chǎn)品(打印機(jī))中的5個(gè)漏洞和西門子WinCC系統(tǒng)中的2個(gè)漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機(jī)控制系統(tǒng)PLC的控制邏輯，進(jìn)而使分離機(jī)電動(dòng)機(jī)的速度周期性地異常變換，引起分離機(jī)異常運(yùn)轉(zhuǎn)甚至造成物理破壞。

    通過(guò)以上分析可見，“震網(wǎng)”病毒事件是典型的APT攻擊，工業(yè)控制系統(tǒng)面臨APT攻擊的風(fēng)險(xiǎn)。

工業(yè)控制系統(tǒng)處于全危險(xiǎn)的環(huán)境中

    網(wǎng)絡(luò)一物理協(xié)同攻擊(Coordinated Cyber—Physical Attacks)包括使用網(wǎng)絡(luò)和物理手段攻擊一個(gè)目標(biāo)。例如，網(wǎng)絡(luò)攻擊首先使安全系統(tǒng)失效從而推動(dòng)針對(duì)公共服務(wù)基礎(chǔ)設(shè)施的物理攻擊。“震網(wǎng)”病毒首先利用微軟Windows操作系統(tǒng)的漏洞監(jiān)控伊朗鈾分離機(jī)PLC控制系統(tǒng)，進(jìn)而惡意篡改PLC的控制邏輯，導(dǎo)致分離機(jī)電動(dòng)機(jī)的速度周期性地異常變換，最終造成分離機(jī)異常運(yùn)轉(zhuǎn)甚至造成物理破壞。這就是一種網(wǎng)絡(luò)一物理攻擊。因此，“震網(wǎng)”病毒事件是基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊的典型案例。

    如果由內(nèi)部人員或服務(wù)商有意或無(wú)意地將一個(gè)基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊的惡意病毒植入一個(gè)工業(yè)控制系統(tǒng)之中，那么這個(gè)惡意病毒就可能長(zhǎng)時(shí)期地潛伏在系統(tǒng)之中，逐步釋放其隱藏的能力，最終發(fā)起破壞性的攻擊。由于其代碼是多級(jí)包裝和加密的甚至具有自刪除行動(dòng)軌跡的能力，只有實(shí)時(shí)監(jiān)視才能在其行動(dòng)過(guò)程中及時(shí)捕獲惡意代碼和證據(jù)，從而逐步識(shí)別惡意代碼和增強(qiáng)態(tài)勢(shì)感知以使在其沒(méi)有發(fā)起惡意破壞之前就將其遏制或刪除。一些APT威脅可能持續(xù)數(shù)月甚至數(shù)年。因此，基于APT模式網(wǎng)絡(luò)一物理協(xié)同攻擊構(gòu)成對(duì)工業(yè)控制系統(tǒng)最危險(xiǎn)的挑戰(zhàn)之一。

    影響網(wǎng)絡(luò)安全防御的7個(gè)重要因素之一是“攻擊規(guī)則，災(zāi)害的規(guī)則也類似”。物理和網(wǎng)絡(luò)攻擊是很少相互排斥的，非網(wǎng)絡(luò)事件可能影響網(wǎng)絡(luò)的功能性，自然災(zāi)害或物理攻擊影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)中斷，可以具有嚴(yán)重的物理后果。因此，自然災(zāi)害也可能引起與網(wǎng)絡(luò)一物理協(xié)同攻擊類似的效果。例如，在“7·23”甬溫線特別重大鐵路交通事故中，首先由于雷電引起列車運(yùn)行控制系統(tǒng)操作失靈，同時(shí)由于缺乏針對(duì)控制系統(tǒng)故障有效的響應(yīng)措施而導(dǎo)致一系列調(diào)度管理上的失誤，最終造成兩組列車高速碰撞而導(dǎo)致機(jī)車嚴(yán)重破壞和40人死亡的嚴(yán)重事件。因此，“7·23”事件可以看作是與自然災(zāi)害相關(guān)聯(lián)的網(wǎng)絡(luò)一物理協(xié)同攻擊。這是一個(gè)非常重要的警示，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全管理必須綜合考慮人為的網(wǎng)絡(luò)攻擊和自然災(zāi)害的威脅和危險(xiǎn)。

    2008年初的“冰雪”事件，首先由于冰雪引起電力供應(yīng)中斷、公路交通運(yùn)輸受阻，同時(shí)京廣、滬昆鐵路也因斷電運(yùn)輸受阻，由于鐵路和公路交通受阻進(jìn)一步導(dǎo)致部分電廠缺煤停機(jī)，從而造成部分地區(qū)工業(yè)企業(yè)大面積停產(chǎn)，最終使居民生活受到嚴(yán)重影響。由于工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施的互連通性和互依賴性，“冰雪”直接引起了多領(lǐng)域連鎖的物理破壞。然而，對(duì)“冰雪”事件后果的思考不能只限于自然災(zāi)害“冰雪”，類似的后果也可能由網(wǎng)絡(luò)攻擊引起，比如，對(duì)電網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)攻擊也可能引起電力供應(yīng)中斷，斷電使鐵路運(yùn)輸受阻，交通受阻又導(dǎo)致相關(guān)聯(lián)的電廠缺煤停機(jī)，進(jìn)一步造成相關(guān)聯(lián)的工業(yè)企業(yè)停產(chǎn)。因此，網(wǎng)絡(luò)一物理協(xié)同攻擊也可能是多領(lǐng)域的協(xié)同攻擊。美國(guó)網(wǎng)絡(luò)風(fēng)暴II演練的主要目的就是檢查網(wǎng)絡(luò)響應(yīng)團(tuán)體面對(duì)通過(guò)全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施多領(lǐng)域協(xié)同攻擊響應(yīng)的過(guò)程、程序、手段和組織。

    人為的網(wǎng)絡(luò)攻擊和自然災(zāi)害都可能引起網(wǎng)絡(luò)一物理協(xié)同攻擊。人為的物理攻擊，比如戰(zhàn)爭(zhēng)、恐怖攻擊和自然災(zāi)害等也都可能直接造成工業(yè)控制系統(tǒng)嚴(yán)重的物理破壞，甚至多領(lǐng)域的連鎖反應(yīng)。因此，工業(yè)控制系統(tǒng)處于全危險(xiǎn)(A11一Hazards)的環(huán)境中，_丁業(yè)控制系統(tǒng)安全管理需要全危險(xiǎn)的方式。重要的工業(yè)控制系統(tǒng)屬于國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施，美國(guó)的《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》(NIPP)和《國(guó)家準(zhǔn)備指南》值得我國(guó)工業(yè)控制系統(tǒng)安全管理借鑒。參考文獻(xiàn)詳細(xì)地論述了美國(guó)政府怎樣將全危險(xiǎn)方式用于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)及制定與維護(hù)應(yīng)急行動(dòng)計(jì)劃中。參考文獻(xiàn)[61對(duì)全危險(xiǎn)描述如下：“全危險(xiǎn)是包括環(huán)境的或人為的所有情形的分類分級(jí)，其具有潛能引起傷害、疾病或死亡，設(shè)備、基礎(chǔ)設(shè)施服務(wù)或財(cái)產(chǎn)的破壞或喪失，或者說(shuō)引起社會(huì)、經(jīng)濟(jì)或環(huán)境方面的功能降級(jí)”。因此，全危險(xiǎn)方式是適合于預(yù)防、保護(hù)、準(zhǔn)備、響應(yīng)和恢復(fù)的一種方法，其綜合處理全方位的威脅和危險(xiǎn)，包括敵對(duì)者的網(wǎng)絡(luò)攻擊、自然和人為的災(zāi)害、意外的中斷以及其他緊急事件。

關(guān)于工業(yè)控制系統(tǒng)安全管理的特殊考慮

    1．工業(yè)控制系統(tǒng)特別需要防范物理攻擊的威脅和風(fēng)險(xiǎn)

    如參考文獻(xiàn)所述，工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在結(jié)構(gòu)安全的焦點(diǎn)上有很大的不同。在傳統(tǒng)的信息系統(tǒng)中，安全的主要焦點(diǎn)是保護(hù)集中或分布式的信息技術(shù)資產(chǎn)的操作和存儲(chǔ)，或者在這些資產(chǎn)之間傳播的信息。在一些結(jié)構(gòu)中，集中存儲(chǔ)和處理的信息是更重要的和更值得保護(hù)的。對(duì)于工業(yè)控制系統(tǒng)，因?yàn)檫吘壙蛻魴C(jī)(例如PLC、操作員工作站、DCS控制器)直接負(fù)責(zé)終端過(guò)程的控制，必須充分地保護(hù)這些設(shè)備。因?yàn)橹行姆��?wù)器可能會(huì)反向影響每個(gè)邊緣設(shè)備，在工業(yè)控制系統(tǒng)中，中心服務(wù)器的保護(hù)仍然是非常重要的。因此，工業(yè)控制系統(tǒng)安全的最終保護(hù)目標(biāo)是終端生產(chǎn)設(shè)備及其操作過(guò)程。

    由于工業(yè)控制系統(tǒng)最終控制的是終端生產(chǎn)設(shè)備，并且廣泛采用的PLC是可編程的，因此，一個(gè)網(wǎng)絡(luò)攻擊可以惡意篡改PLC的控制過(guò)程而使被控制的生產(chǎn)設(shè)備遭受物理破壞。“震網(wǎng)”惡意事件就充分證明了這種可能性并且使其成為現(xiàn)實(shí)。另外，由于工業(yè)控制系統(tǒng)所使用的許多設(shè)備是專用的，通常是設(shè)備廠家所專有的，更換設(shè)備的成本會(huì)很高。

    并且，對(duì)于某些領(lǐng)域的工業(yè)控制系統(tǒng)，不但需要考慮物理破壞的直接后果，而且需要考慮其間接影響，比如，化工廠的物理破壞可能引起有害氣體的泄漏而危害人的生命；對(duì)于那些具有高連通性和互依賴性的領(lǐng)域，在一個(gè)領(lǐng)域工業(yè)控制系統(tǒng)的物理破壞可能會(huì)波及其他領(lǐng)域而導(dǎo)致連鎖的物理破壞，例如，2008年的“冰雪”事件就是一個(gè)典型的案例。因此，在傳統(tǒng)信息系統(tǒng)中的保護(hù)一檢測(cè)一響應(yīng)模式不能簡(jiǎn)單地用于工業(yè)控制系統(tǒng)中。由于可能造成工業(yè)生產(chǎn)設(shè)備的物理破壞，傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估和信息安全演練中所廣泛采用的滲透性測(cè)試也不可能直接用于工業(yè)控制系統(tǒng)中。

    在9·11事件之后，由于擔(dān)心網(wǎng)絡(luò)攻擊國(guó)家電力系統(tǒng)基礎(chǔ)設(shè)施，美國(guó)啟動(dòng)了國(guó)家SCADA試驗(yàn)床和控制系統(tǒng)安全計(jì)劃。SCADA試驗(yàn)床計(jì)劃的目的是幫助識(shí)別控制系統(tǒng)中的安全漏洞，包括發(fā)電廠、配電系統(tǒng)、油氣輸送管道、供水系統(tǒng)、運(yùn)輸系統(tǒng)、水壩等的控制系統(tǒng)，將所發(fā)現(xiàn)的安全漏洞報(bào)告給供應(yīng)商，以采取補(bǔ)救措施，并且成為將來(lái)采購(gòu)清單的一部分。美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全局所主導(dǎo)的網(wǎng)絡(luò)風(fēng)暴I和II都主要是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(比如電信、能源和交通運(yùn)輸?shù)?安全保護(hù)而進(jìn)行的網(wǎng)絡(luò)演練，也是基于試驗(yàn)床進(jìn)行的。

    另外，由于可能造成物理破壞并且設(shè)備也可能存在物理漏洞，對(duì)于工業(yè)控制系統(tǒng)，傳統(tǒng)上對(duì)軟件漏洞打補(bǔ)丁的方式是必要的然而是不充分的。以“震網(wǎng)”病毒攻擊伊朗鈾分離機(jī)為例：分離機(jī)電動(dòng)機(jī)的正常轉(zhuǎn)速應(yīng)該在807轉(zhuǎn)／分鐘到1210轉(zhuǎn)／分鐘之間；而“震網(wǎng)”病毒攻擊使伊朗鈾分離機(jī)電動(dòng)機(jī)的轉(zhuǎn)速?gòu)?410轉(zhuǎn)／分鐘到2轉(zhuǎn)／分鐘到1064轉(zhuǎn)／分鐘，周期性地快速變換，從而造成分離機(jī)的物理破壞。因此，即使修補(bǔ)了“震網(wǎng)”病毒所利用的7個(gè)漏洞，仍然不能阻止攻擊者發(fā)現(xiàn)和利用其他未知漏洞進(jìn)行類似的攻擊。如果對(duì)未被破壞的分離機(jī)增加防電動(dòng)機(jī)異常變速的措施，或者增強(qiáng)分離機(jī)的物理安全標(biāo)準(zhǔn)，使新分離機(jī)能夠自動(dòng)地阻止這種異常變換，即使控制系統(tǒng)遭受類似的網(wǎng)絡(luò)攻擊，由于設(shè)備自身就可以阻止設(shè)備的物理破壞，從而就可以遏制潛在的網(wǎng)絡(luò)一物理協(xié)同攻擊。

    2．工業(yè)控制系統(tǒng)的安全管理是多領(lǐng)域和多學(xué)科的

    “震網(wǎng)”病毒攻擊是針對(duì)工業(yè)生產(chǎn)和控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)一物理協(xié)同攻擊的一個(gè)典型案例。評(píng)估網(wǎng)絡(luò)一物理協(xié)同攻擊的影響將需要對(duì)信息安全、物理安全和工業(yè)系統(tǒng)基礎(chǔ)設(shè)施的專門知識(shí)和技術(shù)。既然攻擊可能是網(wǎng)絡(luò)一物理協(xié)同的，安全解決方案也應(yīng)該是網(wǎng)絡(luò)一物理協(xié)同的。另外，在全危險(xiǎn)的環(huán)境下，不但需要防范敵對(duì)的網(wǎng)絡(luò)攻擊而且需要特別關(guān)注自然或人為災(zāi)害的破壞。

    工業(yè)控制系統(tǒng)的自身結(jié)構(gòu)涉及機(jī)械工程、電氣與電子工程、信息工程等，生產(chǎn)原材料和產(chǎn)品涉及物理、化學(xué)和生物等，自然災(zāi)害涉及氣象(比如洪水、颶風(fēng)、冰雪和雷電等)、地質(zhì)(比如地震)等多學(xué)科的專業(yè)知識(shí)和技術(shù)。不同學(xué)科的專業(yè)技術(shù)人員通常只熟悉或感興趣自己所擅長(zhǎng)的技術(shù)解決方案。根據(jù)參考文獻(xiàn)[1]的分析，當(dāng)前工業(yè)控制系統(tǒng)保護(hù)的問(wèn)題是作為一個(gè)網(wǎng)絡(luò)安全問(wèn)題來(lái)處理。然而適合于網(wǎng)絡(luò)安全問(wèn)題的解決方案不總是能夠轉(zhuǎn)化為工業(yè)控制系統(tǒng)保護(hù)方案。例如，對(duì)化工廠、污水系統(tǒng)、水壩控制和電力一個(gè)成功攻擊的物理力度變化和效果可能是真實(shí)和直接的。對(duì)于信息系統(tǒng)，可能實(shí)行相反的補(bǔ)償，例如，如果信用卡被盜，可以取消對(duì)應(yīng)的賬號(hào)和發(fā)給新卡。可是，一旦一個(gè)水壩被破壞，或有毒的化學(xué)制品和氣體被釋放，補(bǔ)償是非常困難的(如果不是不可能的)，并且對(duì)生命和財(cái)產(chǎn)的真實(shí)損害幾乎是不可避免的。

    因此，工業(yè)控制系統(tǒng)的安全管理不但需要多學(xué)科的專業(yè)技術(shù)人員，而且需要多領(lǐng)域的管理和技術(shù)人員的協(xié)作。信息共享對(duì)解決工業(yè)控制系統(tǒng)安全是至關(guān)重要的。目前，這種多學(xué)科多領(lǐng)域的協(xié)作和信息共享仍然存在許多問(wèn)題。如參考文獻(xiàn)所述，由于以下幾個(gè)原因?qū)е鹿�業(yè)控制系統(tǒng)安全解決方案的缺乏：

    1)缺乏適合于保護(hù)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和物理兩方面的綜合方法。

    2)工業(yè)控制系統(tǒng)典型地使用嵌入式實(shí)時(shí)操作系統(tǒng)和執(zhí)行程序，但是為了保持低成本和商l生能，這種軟件的供應(yīng)商普遍沒(méi)有在其軟件架構(gòu)中建造固有安全(Safety)和安全保障(Security)機(jī)制。

    3)工業(yè)控制系統(tǒng)的設(shè)計(jì)、建設(shè)和運(yùn)營(yíng)需要多種技能，然而安全保障專家常常趨向于信息專家，而不是從事于工業(yè)控制系統(tǒng)領(lǐng)域的專家或工程師。

    3．淺議工業(yè)控制系統(tǒng)安全演練及試驗(yàn)床

    借鑒參考文獻(xiàn)中對(duì)美國(guó)“國(guó)家演練計(jì)劃(NEP)”的描述：NEP保證在全危險(xiǎn)環(huán)境中，國(guó)家做好響應(yīng)的準(zhǔn)備和測(cè)試由NIPP所提出的保護(hù)計(jì)劃和項(xiàng)目的穩(wěn)定狀態(tài)，以及它們向在國(guó)家響應(yīng)框架(NRF)中所確定的事件管理框架的轉(zhuǎn)換。由于工業(yè)控制系統(tǒng)是運(yùn)營(yíng)于全危險(xiǎn)的環(huán)境中，工業(yè)控制系統(tǒng)的安全演練也必須是基于全危險(xiǎn)方式的。

    參考文獻(xiàn)分析了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，其中工業(yè)控制系統(tǒng)的以下3個(gè)特點(diǎn)對(duì)演練提出了更高的需求：

    1)實(shí)時(shí)性能需求。工業(yè)控制系統(tǒng)通常時(shí)間是關(guān)鍵的，有些系統(tǒng)需要實(shí)時(shí)地傳送信息和運(yùn)行系統(tǒng)，信息流必須不被中斷和受到危害。對(duì)這些系統(tǒng)的訪問(wèn)應(yīng)該受嚴(yán)格的物理安全控制所限制。

    2)高可用性需求。通常，工業(yè)控制系統(tǒng)所控制的過(guò)程具有連續(xù)的本性，不可能容忍不期望的系統(tǒng)中斷。在保證工業(yè)控制系統(tǒng)高可用性徹底的部署前，測(cè)試是必要的。一些情況下，在生產(chǎn)的產(chǎn)品和使用的設(shè)備比被延遲的信息更重要。因此，由于對(duì)工業(yè)控制系統(tǒng)高可用性、可靠性和可維護(hù)性需求的不利影響，傳統(tǒng)的信息技術(shù)戰(zhàn)略通常是不可接受的，比如重新啟動(dòng)一個(gè)部件。

    3)物理的交互作用。一個(gè)工業(yè)控制系統(tǒng)從物理環(huán)境獲得輸入和可能的反饋，與物理環(huán)境的交互作用可能是復(fù)雜的，因果關(guān)系可以出現(xiàn)在物理事件中。綜合到工業(yè)控制系統(tǒng)的所有安全功能必須進(jìn)行測(cè)試以證明它們不會(huì)危害正常的工業(yè)控制系統(tǒng)功能。

    工業(yè)控制系統(tǒng)的試驗(yàn)床不但能夠提供安全攻防演練的基地，而且可能用于測(cè)試安全措施對(duì)系統(tǒng)性能和功能的影響。另外，在全危險(xiǎn)的環(huán)境下，需要全危險(xiǎn)的事件響應(yīng)和恢復(fù)、全危險(xiǎn)的風(fēng)險(xiǎn)評(píng)估和全危險(xiǎn)的安全攻防演練，這就需要全危險(xiǎn)的試驗(yàn)床。按參考文獻(xiàn)對(duì)全危險(xiǎn)的描述，需要分類分級(jí)地模擬各種類型網(wǎng)絡(luò)攻擊和自然與人為災(zāi)害．并且能夠用于測(cè)試發(fā)生的可能性及其跨多領(lǐng)域后果的等級(jí)和在安全演練中各種響應(yīng)對(duì)工業(yè)控制系統(tǒng)性能和功能的影響。這不但需要機(jī)械工程、電氣與電子工程、信息工程、物理、化學(xué)和生物等多學(xué)科的專業(yè)知識(shí)和技術(shù)，而且需要關(guān)于災(zāi)害的相關(guān)專業(yè)知識(shí)和防范措施。因此，試驗(yàn)床必須有說(shuō)服力地、實(shí)時(shí)地仿真物理動(dòng)力學(xué)和效果。這些試驗(yàn)床也必須支持構(gòu)成完整工業(yè)控制系統(tǒng)的多領(lǐng)域和學(xué)科。

    根據(jù)參考文獻(xiàn)[1]的描述，在現(xiàn)今的工業(yè)控制系統(tǒng)中缺乏對(duì)風(fēng)險(xiǎn)的共同理解。風(fēng)險(xiǎn)常常按領(lǐng)域?yàn)榛�礎(chǔ)的特別方式進(jìn)行評(píng)估；量化和控制風(fēng)險(xiǎn)的一致方案是不可用的。例如，具有分布式覆蓋區(qū)而非常廣泛的用戶基地的電力網(wǎng)比集中定位而具有較少鄰近人口的化工廠，是更危險(xiǎn)還是更不危險(xiǎn)?同樣根據(jù)參考文獻(xiàn)的描述，在不同領(lǐng)域的工業(yè)控制系統(tǒng)中不存在一致的安全性能量度。雖然在工業(yè)領(lǐng)域生產(chǎn)力和產(chǎn)出量度是可用的，關(guān)于綜合網(wǎng)絡(luò)連通性和系統(tǒng)級(jí)安全的量度尚沒(méi)有可用的，能夠跨越多工業(yè)控制系統(tǒng)領(lǐng)域的性能和風(fēng)險(xiǎn)評(píng)估的試驗(yàn)床也沒(méi)有出現(xiàn)。構(gòu)建多個(gè)領(lǐng)域特定的試驗(yàn)床可能是令人望而卻步的昂貴。

    文章初步討論了在全危險(xiǎn)環(huán)境中工業(yè)控制系統(tǒng)安全管理面臨的一些關(guān)鍵挑戰(zhàn)，并且著重分析了工業(yè)控制系統(tǒng)安全管理不同于傳統(tǒng)信息系統(tǒng)安全管理的獨(dú)特特征。全危險(xiǎn)的安全演練對(duì)制定工業(yè)控制系統(tǒng)保護(hù)計(jì)劃和安全事件響應(yīng)計(jì)劃是非常關(guān)鍵和不可缺少的，因此，全危險(xiǎn)的試驗(yàn)床是必須的。開發(fā)全危險(xiǎn)的試驗(yàn)床需要許多技術(shù)創(chuàng)新，不可能一蹴而就；無(wú)論是認(rèn)識(shí)還是研究和開發(fā)都必須遵循由淺人深、由簡(jiǎn)單到復(fù)雜，分階段不斷完善的過(guò)程。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：信息安全熱點(diǎn)探討:工業(yè)控制系統(tǒng)安全

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083953106.html