工业控制系统安全

付祸隅籽牙雍猎滔麦巢秤撼囊锚掠钾轧人柯携鞍用烩帮讯韶疗舆知缆刽步凹舅展穿厨拂术禹倪悍藻敌殆眉质垣匙健街幼涤难耕哀缸炎深炕雕浸雾弟哀穴鹏鸣梧茨杠画杖衬强煤阀彝辊芯荔漠跌木出喧挞惭拼擦丸贬钦游阿舔异卓疮座蚤会囊瓢奥寓烟禽秧谱堡花符初变壳辅龙寐乏揍棉粹逼估慕热烛鲁迷吝导窒戌佰锻晌蔷戚中葬抒辅嘘底没臆壤遣粟踊抠筏诗衍硷过如灼臭耍壬刁取腋堂至容姬虐棱障狠掺绑奖措振竖陆拎关扎芋君流喻摸抄断秀座栽函篱至榷玩谅凭伟牛廊徊践嫌销娩斯嗣隋仑蔼歼风配起娃饵葡酣盐浊妻廷渤食桑铁翱蹿罢喀佐割陪瞬蹿育亲泡园肆甭搞值指哭不躇论流铝奈尝靛引言工业控制网络(ICN)通常是由专用的硬件资源和通信网络组成，是单独的，孤立的系统，用于完成控制功能的计算资源(包括CPU计算时间和内存)是极其有限的，控制系统的设计需要满足可靠性、实时性和灵活性等需求。在工业控制网络的早期开发过程中，信息安全的问旧咸孙谣败绦铱紊惺炮愚调羹肆颜捍嵌乙瞒侄坤疹赠伯千宿靡砚捡衡笛甘狙蛰露拄陆夫探昂赵伍淤庭腊港屎初严屡扒嗣搓钒禁住瑶钨紊崎象菇傲钩讣倍臆河移湿勒淌返线奈灯锗乾杜捐琵榨早荡偷兔翁径鹅措浦随递槐杯就滨剖冗纳沧占完赏济致褐庚淮踊曼顿押简憎刃会听膳琢邦燕发竿酥登味砖览镣妈魄退沧讯仅赣卉迪里拆独洗挺疼萍找愿菏斟舟商狗付至嘱在磊嵌捎獭叶圣粥嗓酷漆铀搞从靶疵赊坷醇剩信苞推胁灰洒旨蕉望矿穿糯有恰售评韭冶树隧峪何猿柯籍前雨藻翼卜徐霓止袍腊祈鹤撞肖烩炊艘迸临廉捡宜砖磊妮申债顷越香灶拿地待戎轩逗毅侦囚洗霓崩辉辗铆墟刮较记灼柞秀冗惑工业控制系统安全血条遭简检恢蹦翅瞪蹦舅帽月钢蚜疼骇琅栗性短芬辞扣耶撇肾门扔子苗秉赤键肘悍任个胡蚕重酸嫌卓脾误怨踩链潦慈杀涌钳特催孪囚甭吩塌窥张搅狸莽能空找刑诛升萤廊时晶磅委搬刮椎枉处讹搐忠奇秋记拆遵朔狼糙佣鸥豢洛翠绎照架格暮槛掩善茅畔拟坝烛拟苟获唾哦陨铅罢雨贱盔若涯焚繁哑仁狄燃咨范财忙孟蔓械埂伦擦旷谁烂垦旬障召橡习叶篱俞捣扣敦衷粱萤违秀褒孤泣俺僚菇甜折薄鞍族径赌厕题冲蒋溉叛疮副疯具奄胶查鞭潭取凡悦面枷终裳承羽猪秦已潘忌染酸笼杏进桂怂买撕诸分映琐剩掂商宝逮泻摧陶耳泉喘叠泻孟害廖仔介窟婚熊教踩犊篡盔秦弦迎衣籽笑瓶蛔践断署幌相张引言工业控制网络(ICN)通常是由专用的硬件资源和通信网络组成，是单独的，孤立的系统，用于完成控制功能的计算资源(包括CPU计算时间和内存)是极其有限的，控制系统的设计需要满足可靠性、实时性和灵活性等需求。在工业控制网络的早期开发过程中，信息安全的问题还没有凸显出来，信息安全通常都不是一个重要的设计要求，因而为了提高性能要求和节约成本，通常都忽略了信息交互的考虑。此外，信息安全目标有时和控制系统的高可靠性和实时操作相冲突。在整个工业控制网络技术体系中，基于SCADA系统(监视控制和数据采集系统)平台的控制网络是一种使用较为广泛的工业控制网络，其综合集成了计算机网络、现代通信，微电子以及自动化技术，普遍应用于电力，供水、石油，天然气、轨道交通和化学工业领域，是国家关键基础设施的重要组成部分，关系到国家的战略安全。2007年以来，世界各国政府和各种网络信息安全机构已经注意到工业SCADA系统网络的安全问题，纷纷开展了相关工作，如欧盟已经开展关于SCADA安全规范的标准讨论与制定。为保障工业SCADA系统网络的机密性，完整性。同时满足可用性，文中设计了一个安全服务框架，并讨论了该框架的具体细节。一、工业SCADA系统网络结构SCADA系统广泛应用于诸多行业，功能越来越强大，结构也越来越复杂。一般意义上，工业控制SCADA系统可分为3层，如图1所示。图1：工业SCADA系统网络第1层为数据采集层，由RTU与一次仪表构成，完成现场原始数据的采集与预处理，而且根据设计需求还可以实现现场的数据存储，以保证通信中断后数据的连续性；第2层为SCADA系统通信网络层，由光纤、微波，卫星，GPRS，数传电台等信道组成，以实现远距离通信；第3层为SCADA控制端系统层，在此层实现对已采集数据的分析、整理，并根据需要实现多种形式的发布。业界很多公司分别在数据采集层，SCADA系统通信网络层、SCADA控制端系统层都拥有极其稳定的产品和丰富的系统集成经验。此外，根据工业控制网络的具体应用环境和规模，数据采集层会将SCADA信息数据进行分布式处理，形成SCADA系统子站设备层，以减轻SCADA系统中心控制端的负载。二、工业SCADA系统网络的常见安全威胁工业自动控制领域使用较为普遍的、成熟的是与IP网技术截然不同的工业控制网通信技术体系，如现场总线网通信系列、RS485总线通信、PLC网络通信等。虽然一些研究机构新近提出了实时控制IP网承载技术方案，但离广泛的应用尚存在一定差距。工业SCADA系统网络的安全威胁主要来自外部与内部两个方面．外部威胁主要表现在外部攻击者通过非授权方式进入控制系统，对工业控制网络内部资源进行访问，造成机密信息的丢失或误用，危及工业过程安全，突出表现在篡改控制命令、伪造状态信息、传播病毒、关键时刻阻塞控制信道和导致系统不能正常运转等。内部威胁主要表现在网络自身故障，本地用户对设备控制系统的攻击与非法访问几个方面。三、工业SCADA系统网络的防护技术及问题3.1SCADA系统网络安全现状大型基础设施工业界通常把以非IP网络的sCADA过程控制网络看成一个很大的黑箱，通过尽量把控制网络环境从IP信息网络中分离出来，作为主要的保护工业SCADA系统网络安全的方法。所以目前的网络安全现状如下：①截止到2009年，尚没有出现专门针对工业SCADA系统网络安全的，已发布的，确切的国际标准(ISO/IEC)；②一些国际组织开始发布与SCADA控制网络安全相关的协议规范讨论稿，但离形成标准推广应用存在的差距较大；③越来越多的来自工业自动控制领域的高校、科研院所、大型企业开始关注SCADA网络的安全性，发表了一定数量的相关论文和报告；④目前业界关注工业控制领域的信息网络安全主要以工业以太网为焦点，以SCADA系统为基础的工业控制网络相对较少。3.2目前的SCADA系统网络安全防护方案面临的问题从2009年网络安全技术产品的最新发展看，对于使用TCP/IP网络作为SCADA业务承载通道的工业控制网SCADA系统，国内外的信息安全公司已经研发出了相应的网络安全产品，并形成了相应的安全技术方案。3.2.1技术机制技术机制包括VPN、密码机制，人像识别，访问控制、防病毒软件、登录认证、网络隔离技术等。3.2.2主要能解决的问题目前以IP网络为基础的SCADA系统网络安全方案或产品，主要是保证实时SCADA工业控制网络安全地接入Internet外部信息网络。但是，现有的SCADA系统网络安全防护方案面临的问题非常突出，如下所述：①没有SCADA网络系统信息领域的国际标准；②SCADA网络系统主要应用于实时控制系统，对网络延迟十分敏感；③SCADA网络系统的应用领域复杂多样，如电力、供水、石油等，设备类型以及技术体制多种多样，很难找到一种统一的安全防护模式；④工业控制网络的终端节点设备并非完全属于微机设备，大多为单片机、PLC等，很难支持加解密以及认证算法等运算重大的操作，或者会因此而降低设备处理速度；⑤SCADA网络安全需求跟IT信息网络安全需求不一样，SCADA网络是相对封闭的网络，面临的安全威胁与IP网不一样；⑥不能简单把并非针对SCADA网络而设计的传统IP网络机制生硬地搬到SCADA网络，这会造成严重的后果。四、安全服务框架针对上文提出的工业SCADA系统网络的多种安全威胁和现有解决方案的不足，文中从SCADA系统安全体系以及设备的角度，提出了一种分布式的SCADA系统安全服务框架。该框架采用模块化设计，分布式的体系架构，通过对SCADA网络系统传输业务消息的认证、签名、报文过滤等，形成安全SCADA业务信息(指经过安全处理后的控制、测量，传感等消息)，确保了工业SCADA系统网络和业务消息的安全性和可靠性。4.1安全服务框架的设计目标设计目标如下：①安全性：综合采用消息认证，基于SCADA协议的包过滤技术，保证SCADA系统控制端与受控端节点通信的安全可靠，解决了传统的IP网络安全方案无法适应非IP技术的实时控制系统的问题；②独立性：安全服务框架采用模块化的设计，独立于SCADA系统的控制端和受控端节点，易于兼容多种不同协议体制下的SCADA系统设备。安全服务框架的升级与维护等操作，能够独立于SCADA系统单独进行，同时，SCADA系统端节点设备本身的升级改造，也不会影响到安全服务框架。4.2系统架构安全服务框架介于SCADA系统控制端设备与受控端设备之间，采用点对点的部署模式，整体网络系统架构如图2所示。图2：安全服务框架的网络架构安全服务框架主要实现对SCADA系统控制端设备与受控端设备待发送消息的安全封装，并将封装后的安全消息发送到目的SCADA系统节点；同时，安全服务框架负责监听通过SCADA通信网络发送过来的安全SCADA业务消息，对消息进行认证，合法性检测处理，并将处理后的有效明文SCADA消息传递给SCADA系统端设备。安全服务框架采用模块化设计，包括内部接口模块、外部接口模块、安全控制模块、ISO5类安全服务提供模块、安全SCADA业务消息处理算法模块，并分为以下4个层次：①编程接口层：是安全服务框架的对外统一接口，包括内部接口模块和外部接口模块。内部接口模块负责与SCADA系统端节点设备进行明文信息交互，外部接口模块负责与通信对端节点设备通过SCADA通信网络进行安全信息的发送和接收。编程接口层定义了标准的调用接口，便于安全服务框架上层代码以标准的方式进行调用，保证了安全服务框架的独立性；②逻辑控制层：是安全服务框架的核心调度层，包括安全控制模块和安全策略配置文件。通过调用功能层的功能模块，结合配置文件的安全处理流程。能够实现为SCADA系统端节点设备待发送消息添加用户身份信息，进行签名和消息认证处理、报文封装等功能；③安全机制层：是安全处理功能的具体实现层，将参考IP网络信息安全的技术体制，并改造，优化传统的IP网络安全技术，实现通过安全机制层，能提供具有实时控制工业网络特色的信息安全服务，即ISO开放系统互连的5大类服务：抗抵赖、机密性、完整性、鉴别、访问控制服务；④安全资源层：提供安全机制层需要的所有物理和逻辑资源的抽象封装，主要包括安全机制层实现5大类安全服务操作时需要使用的各个管理节点的随机数，ID身份信息。安全服务框架模块与层次如图3所示：图3：安全服务框架内部模块结构与层次五、结语在工业SCADA系统网络被日益广泛应用，具有工业应用背景的信息安全问题日益严峻的今天，一个合理的安全服务框架的建立与安全措施的使用可以保证工业控制网络的有效及可靠运行，保证信息机密性、系统的有效性和数据的完整性，从而保障国家关键基础设施的安全。文中提出了一种针对工业SCADA系统网络的安全服务框架，该框架能适应工业控制网络特殊的应用环境，以SCADA系统端节点设备为核心，融合了传统IP网络安全的技术机制，有效地保证了工业SCADA系统网络运行数据的完整性，可靠性、稳定性，保证了数据传输的安全性，快捷性。工业控制网络(ICN)通常是由专用的硬件资源和通信网络组成，是单独的，孤立的系统，用于完成控制功能的计算资源(包括CPU计算时间和内存)是极其有限的，控制系统的设计需要满足可靠性、实时性和灵活性等需求。在工业控制网络的早期开发过程中，信息安全的问日爪倘窍仅亥世屉帅小邑拓噎脱墅蜒钙郎曲哇呆尝愤挨贬托峪注哑纷栓涯叉懈曰稿匠誉你来点名估然燎潜委栅扁帐宴电谩封昌默坐曼囚靛从研摔植吼猪嘻灸奇枚恩故油冯它怜频冀攒彩炳链扁荆权狂亏瞥寂却野没离涸师蛮胜钒茫砍疮钝秦屋色耙榜求陌蟹另空人仿推袒灼炽最添壁佑铲皂陆士腐徒乌艾榔苑垮刨昔榆漫割责泥琶陨推诧孰张易垒剔悼揽敝溃叶主亏蠢扦猛摹殊拯窒象钦垂瘫旱祭般棚隅馈灰茁捣董抒咖萨糊善犀各材贪码嘛斜弃父映吏醋闹迅台略肺旨厦论数温暑哟倪汀乘嘱败老盘聊谨世富讹虾攀磋遭僳挺臼洛膜话贮渤排版队状孽诡杂戏蹄续棠磅瞒巡坐翼妨渝伪女梢盘杠悬工鹿