丁曉倩,向 勇,李喜旺,吳 奕

1(中國(guó)科學(xué)院 沈陽(yáng)計(jì)算技術(shù)研究所,沈陽(yáng) 110168)

2(中國(guó)科學(xué)院大學(xué),北京 100049)

工業(yè)控制系統(tǒng)(Industrial Control System,ICS)是一個(gè)用于描述監(jiān)控與數(shù)據(jù)采集系統(tǒng)(Supervisory Control and Data Acquisition,SCADA)、分布式控制系統(tǒng)(Distributed Control System,DCS)和可編程邏輯控制器(Programmable Logic Controller,PLC)等多種用于工業(yè)生產(chǎn)的控制系統(tǒng)和自動(dòng)化控制組件的通用術(shù)語(yǔ)[1].工業(yè)控制系統(tǒng)通常用于能源、冶金、石油化工等工業(yè)生產(chǎn)領(lǐng)域以及交通、水利、市政等公共服務(wù)領(lǐng)域,一旦遭受攻擊,不僅會(huì)對(duì)相關(guān)企業(yè)造成影響,還會(huì)引起國(guó)家安全和社會(huì)穩(wěn)定問(wèn)題.

隨著信息化與工業(yè)化的深度融合,IT 技術(shù)在工業(yè)控制領(lǐng)域應(yīng)用的深度和廣度不斷擴(kuò)大,使工業(yè)控制系統(tǒng)平臺(tái)更加標(biāo)準(zhǔn)化與簡(jiǎn)單化,將ICS 逐步從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開(kāi)放、互聯(lián)的系統(tǒng).但工業(yè)信息化帶來(lái)生產(chǎn)成本降低和競(jìng)爭(zhēng)實(shí)力大大增強(qiáng)的同時(shí),工業(yè)控制系統(tǒng)封閉網(wǎng)絡(luò)的屏障優(yōu)勢(shì)逐漸減弱.信息技術(shù)的廣泛應(yīng)用不僅使工業(yè)協(xié)議和系統(tǒng)的固有漏洞和安全風(fēng)險(xiǎn)不斷增加,還使其繼承了IT 網(wǎng)絡(luò)所面臨的安全威脅.2010年出現(xiàn)的“Stuxnet”病毒被認(rèn)為是最早的專門(mén)針對(duì)工業(yè)控制系統(tǒng)的攻擊,緊隨其后出現(xiàn)了“Conficker”、“Haves”、“BlackEnerfy”等病毒.最近一些年更是出現(xiàn)一些以獲取錢(qián)財(cái)為目的的勒索軟件,例如“Warncery”、“Clearenegy”等.2018年8月,臺(tái)積電遭遇勒索軟件“WannaCry”變種的攻擊,導(dǎo)致生產(chǎn)中斷,造成1.7 億美元的損失[2].以上事例表明,ICS 面臨的威脅規(guī)模、類型和危險(xiǎn)程度都在快速增加.截至2018年12月13日,美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Industrial Control System Cyber Emergency Response Team,ICS-CERT)在其官方網(wǎng)站發(fā)布安全通告累計(jì)1046 篇,且年安全通告篇數(shù)呈現(xiàn)持續(xù)上升趨勢(shì)[2],如圖1所示.由于傳統(tǒng)信息安全問(wèn)題在工業(yè)控制領(lǐng)域的蔓延,傳統(tǒng)ICS 安全策略效果大不如前,亟需從工業(yè)協(xié)議缺陷、系統(tǒng)漏洞和數(shù)據(jù)安全等多方面研究安全解決方案.

圖1 ICS-CERT 安全通告統(tǒng)計(jì)圖

針對(duì)面臨的安全風(fēng)險(xiǎn),國(guó)內(nèi)外學(xué)者對(duì)ICS 信息安全關(guān)鍵技術(shù)研究進(jìn)行了探討與總結(jié).彭勇等[3]從ICS信息安全內(nèi)涵出發(fā),對(duì)當(dāng)前ICS 信息安全研究現(xiàn)狀和信息安全關(guān)鍵技術(shù)的研究成果進(jìn)行闡述,提出ICS 信息安全面臨的挑戰(zhàn)和重要的研究方向.在對(duì)ICS 安全綜合分析的基礎(chǔ)上,工業(yè)控制系統(tǒng)信息安全相關(guān)的最新研究成果和新型攻擊技術(shù)是當(dāng)前的研究熱點(diǎn),學(xué)術(shù)界和產(chǎn)業(yè)界對(duì)此提出基于實(shí)踐的縱深防御體系和安全建議[4–6].在前人對(duì)工控安全技術(shù)研究進(jìn)展的基礎(chǔ)上,本文重點(diǎn)分析2018年工控安全國(guó)際會(huì)議ICS-CSR 提出的最新理論與技術(shù),提出ICS 信息安全技術(shù)的重點(diǎn)研究方向,以期為讀者提供新的研究思路.

1 工業(yè)控制系統(tǒng)(ICS)

1.1 ICS 架構(gòu)

典型的工業(yè)控制系統(tǒng)[7]是分層結(jié)構(gòu),從上至下分別為企業(yè)信息網(wǎng)絡(luò)、過(guò)程控制網(wǎng)絡(luò)和現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò),如圖2所示.

(1)企業(yè)信息網(wǎng)絡(luò)屬于IT 領(lǐng)域,通過(guò)防火墻與外部網(wǎng)絡(luò)連接,實(shí)現(xiàn)郵件收發(fā)、網(wǎng)頁(yè)瀏覽等網(wǎng)絡(luò)信息服務(wù).一般由制造執(zhí)行系統(tǒng)(Manufacturing Execution System,MES)和企業(yè)資源規(guī)劃(Enterprise Resource Planning,ERP)為代表的企業(yè)資源管理系統(tǒng)組成.

(2)過(guò)程控制網(wǎng)絡(luò)屬于工業(yè)控制系統(tǒng)領(lǐng)域,為上層應(yīng)用服務(wù)和下層控制應(yīng)用建立橋梁,解決軟、硬件集成問(wèn)題,提高系統(tǒng)的開(kāi)放性和互操作性.一般由SCADA、DCS 和PLC 的OPC (Object Linking and Embedding(OLE)for Process Control)服務(wù)器、工程師站和實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)等組成.

(3)現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)位于最底層,屬于工業(yè)控制系統(tǒng)領(lǐng)域,在控制網(wǎng)絡(luò)的調(diào)度下采集數(shù)據(jù)信息,執(zhí)行面向用戶的指令,保證系統(tǒng)正常運(yùn)行.一般由人機(jī)界面(Human Machine Interface,HMI)、遠(yuǎn)程終端單元(Remote Terminal Unit,RTU)和PLC 等現(xiàn)場(chǎng)儀表和控制設(shè)備組成.

1.2 ICS 信息安全

隨著信息技術(shù)在工業(yè)領(lǐng)域的應(yīng)用,工業(yè)控制系統(tǒng)有了質(zhì)的變化,研究人員對(duì)當(dāng)今工業(yè)控制系統(tǒng)信息安全做出新的解釋,IEC62443-1-1 標(biāo)準(zhǔn)中針對(duì)工控系統(tǒng)信息安全的定義[8]是:“保護(hù)系統(tǒng)所采取的措施;由建立和維護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)和意外的變更、破壞或損失;基于計(jì)算機(jī)系統(tǒng)的能力,能夠保證授權(quán)人員和系統(tǒng)的合法操作權(quán)限,避免非授權(quán)人員和系統(tǒng)修改軟件及其數(shù)據(jù)或訪問(wèn)系統(tǒng)功能;防止對(duì)工控系統(tǒng)非法、有害的入侵,或者干擾其正確和計(jì)劃的操作.”

來(lái)自互聯(lián)網(wǎng)的安全威脅已成為工業(yè)控制系統(tǒng)信息安全主要的威脅來(lái)源,但是由于工業(yè)控制系統(tǒng)本身的特點(diǎn),其信息安全與傳統(tǒng)IT 系統(tǒng)的信息安全仍有較大差別,表1從攻擊方法、攻擊目的和攻擊后果等方面對(duì)二者進(jìn)行對(duì)比分析.

圖2 ICS 典型架構(gòu)圖[7]

表1 工控安全與傳統(tǒng)信息安全對(duì)比

1.3 ICS 信息安全技術(shù)

工業(yè)控制系統(tǒng)安全技術(shù)的研究重點(diǎn)主要在區(qū)域隔離、入侵檢測(cè)和風(fēng)險(xiǎn)評(píng)估3 方面.

(1)區(qū)域隔離技術(shù)

為了防止攻擊者通過(guò)工業(yè)控制系統(tǒng)的企業(yè)信息網(wǎng)絡(luò)對(duì)下層網(wǎng)絡(luò)進(jìn)行滲透,不同層次網(wǎng)絡(luò)之間需要部署工業(yè)防火墻、網(wǎng)關(guān)等安全設(shè)施,控制跨層訪問(wèn)并對(duì)層間數(shù)據(jù)交換進(jìn)行深度過(guò)濾[2].工業(yè)防火墻對(duì)專用工業(yè)協(xié)議和通用TCP/IP 協(xié)議等數(shù)據(jù)包進(jìn)行深度分析,通過(guò)構(gòu)建的白名單體系過(guò)濾對(duì)系統(tǒng)資源的惡意訪問(wèn),有效阻止未授權(quán)軟、硬件或進(jìn)程在系統(tǒng)中運(yùn)行.

(2)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是一種通過(guò)收集與解析數(shù)據(jù)包信息,基于特征分析和異常檢測(cè)發(fā)現(xiàn)系統(tǒng)中隱藏的攻擊行為,主動(dòng)采取防御措施的安全技術(shù).當(dāng)前國(guó)內(nèi)外常用的入侵檢測(cè)技術(shù)主要有:入侵檢測(cè)系統(tǒng)、工控漏洞掃描和挖掘技術(shù)、工業(yè)監(jiān)測(cè)預(yù)警平臺(tái).分析ICS 的特性,工業(yè)入侵檢測(cè)系統(tǒng)從檢測(cè)對(duì)象出發(fā),被劃分為基于流量監(jiān)測(cè)、協(xié)議檢測(cè)和設(shè)備狀態(tài)檢測(cè)三大類[7,9],對(duì)系統(tǒng)行為信息逐步深入分析,實(shí)現(xiàn)對(duì)攻擊行為的有效感知和實(shí)時(shí)監(jiān)測(cè);工業(yè)漏洞掃描和挖掘針對(duì)工業(yè)控制系統(tǒng)中常見(jiàn)的PLC、DCS、HMI 等控制器進(jìn)行探測(cè),發(fā)現(xiàn)其中的系統(tǒng)漏洞,并通過(guò)FUZZ 等技術(shù)手段實(shí)現(xiàn)對(duì)工業(yè)專有協(xié)議的健壯性測(cè)試;工業(yè)監(jiān)測(cè)預(yù)警平臺(tái)則是通過(guò)對(duì)系統(tǒng)安全日志與異常信息的關(guān)聯(lián)分析,結(jié)合現(xiàn)場(chǎng)行為發(fā)現(xiàn)惡意行為[2].

(3)風(fēng)險(xiǎn)評(píng)估技術(shù)

風(fēng)險(xiǎn)評(píng)估技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)和業(yè)務(wù)應(yīng)用運(yùn)行日志的收集和分析,在模擬仿真系統(tǒng)平臺(tái)上對(duì)潛在的漏洞和安全隱患進(jìn)行驗(yàn)證,進(jìn)而切合實(shí)際地識(shí)別出系統(tǒng)面臨的安全威脅以及風(fēng)險(xiǎn)的來(lái)源[3].當(dāng)前,工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)主要包含ICS 仿真平臺(tái)的構(gòu)建、安全測(cè)試技術(shù)和風(fēng)險(xiǎn)評(píng)估工具[10].ICS 仿真平臺(tái)通過(guò)實(shí)驗(yàn)數(shù)據(jù)構(gòu)建真實(shí)系統(tǒng)環(huán)境,在仿真環(huán)境中利用安全測(cè)試工具對(duì)系統(tǒng)進(jìn)行漏洞掃描和挖掘、滲透測(cè)試、補(bǔ)丁開(kāi)發(fā)等安全試驗(yàn),不需要直接操作系統(tǒng),避免影響真實(shí)系統(tǒng)的可用性和機(jī)密性.風(fēng)險(xiǎn)評(píng)估工具則是根據(jù)安全標(biāo)準(zhǔn)對(duì)系統(tǒng)行為進(jìn)行分析,確定惡意行為和風(fēng)險(xiǎn)來(lái)源,以此給出系統(tǒng)安全加固建議.

2 ICS 信息安全研究進(jìn)展

2018年第五屆ICS 與SCADA 信息安全研究國(guó)際會(huì)議(ICS-CSR)共收錄13 篇論文,展示當(dāng)前工業(yè)控制系統(tǒng)信息安全領(lǐng)域的研究方向和應(yīng)用技術(shù).本文對(duì)會(huì)議論文中提出的安全方法進(jìn)行研究與分析,按照基于評(píng)估對(duì)象的分類方法,發(fā)現(xiàn)論文中提及的技術(shù)主要從系統(tǒng)架構(gòu)和通信協(xié)議兩方面出發(fā),利用網(wǎng)絡(luò)攻擊模型、區(qū)塊鏈技術(shù)、神經(jīng)網(wǎng)絡(luò)、安全工具等方法維護(hù)工業(yè)控制系統(tǒng)信息安全.

2.1 基于系統(tǒng)架構(gòu)的安全解決方案

基于系統(tǒng)架構(gòu)的安全研究是針對(duì)操作員站、工程師站、數(shù)據(jù)服務(wù)器等現(xiàn)場(chǎng)設(shè)備進(jìn)行安全加固.安全解決方案會(huì)對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行告警或者采取防御措施,以此阻止操作人員的誤操作和外界的攻擊行為.該解決方案適用于工業(yè)領(lǐng)域的所有控制系統(tǒng)及其設(shè)備,可以滿足各廠商的ICS 信息安全需求.

(1)通用系統(tǒng)架構(gòu)安全解決方案

對(duì)系統(tǒng)架構(gòu)進(jìn)行安全研究與分析的前提是設(shè)備識(shí)別,文獻(xiàn)[11]提出一種利用設(shè)備MAC 地址的唯一性進(jìn)行設(shè)備識(shí)別的輕量級(jí)被動(dòng)網(wǎng)絡(luò)掃描技術(shù),它可以在不影響ICS 正常運(yùn)行的前提下集成到ICS 的安全體系中.該方法發(fā)現(xiàn)并識(shí)別設(shè)備后,可利用其供應(yīng)商信息和網(wǎng)絡(luò)上公開(kāi)的漏洞數(shù)據(jù)庫(kù)對(duì)設(shè)備進(jìn)行漏洞分析,進(jìn)而提高設(shè)備安全.為了更好的理解攻擊者的意圖和攻擊過(guò)程,文獻(xiàn)[12]從攻擊者的角度出發(fā),研究網(wǎng)絡(luò)攻擊生命周期模型,以便采取與攻擊相對(duì)的安全策略.文章從基于過(guò)程的入侵檢測(cè)系統(tǒng)出發(fā),提出一種名為SAMIIT的螺旋攻擊生命周期模型.該模型可以覆蓋整個(gè)攻擊生命周期,將基于機(jī)器學(xué)習(xí)的分類算法首次用于攻擊生命周期的警報(bào)映射,利用標(biāo)簽分類將安全警報(bào)映射到系統(tǒng)環(huán)境中不同的攻擊階段和架構(gòu)級(jí)別上,使安全管理人員根據(jù)映射有效分配安全管理策略,截?cái)喙暨^(guò)程,進(jìn)而維護(hù)系統(tǒng)安全.與文獻(xiàn)[12]不同的是,文獻(xiàn)[13]直接從攻擊者的目標(biāo)出發(fā),針對(duì)信息物理系統(tǒng)(Cyber Physical System,CPS)所面臨的安全問(wèn)題,利用攻擊樹(shù)(Attack Tree,AT)模型對(duì)模型FAST-CPS 進(jìn)行擴(kuò)展,提出一種評(píng)估CPS 安全的方法.該方法的貢獻(xiàn)在于,以被評(píng)估系統(tǒng)的架構(gòu)模型為基礎(chǔ),自動(dòng)生成針對(duì)特定攻擊目標(biāo)的攻擊樹(shù),進(jìn)而自動(dòng)得出分析結(jié)果.為了讓系統(tǒng)相關(guān)人員了解系統(tǒng)安全信息,該方法給出兩種反饋類型,針對(duì)技術(shù)人員的技術(shù)型反饋和針對(duì)管理人員的非技術(shù)型反饋.該方法的具體操作步驟如圖3所示.

圖3 文獻(xiàn)[13]的方法概略圖

從圖3可以看出,攻擊樹(shù)生成算法的核心是利用攻擊模板對(duì)攻擊目標(biāo)迭代精煉,直到攻擊目標(biāo)不能再被分解為止.使用的攻擊模板是已知攻擊方法,可根據(jù)需求自由更換,大大提高了該方法的擴(kuò)展性.

(2)PLC 系統(tǒng)架構(gòu)安全解決方案

正如文獻(xiàn)[14]中提到的那樣,工業(yè)控制系統(tǒng)受到的威脅越來(lái)越多,工業(yè)控制系統(tǒng)中的PLC 引起了攻擊者的廣泛關(guān)注,但是PLC 的相關(guān)安全研究卻未引起人們的重視.在這方面,文獻(xiàn)[14,15]進(jìn)行了研究和闡述.文獻(xiàn)[14]對(duì)西門(mén)子S7-1200 協(xié)議中的日志相關(guān)功能進(jìn)行分析,針對(duì)日志在入侵檢測(cè)中的作用,提出一種名為PLCBlockMon 的PLC 邏輯.該邏輯僅記錄標(biāo)識(shí)系統(tǒng)狀態(tài)和影響物理過(guò)程的變量數(shù)據(jù),一方面簡(jiǎn)化日志記錄的復(fù)雜性,另一方面也提高了檢測(cè)方法的安全性,減小入侵檢測(cè)系統(tǒng)的負(fù)載.文獻(xiàn)[15]則針對(duì)PLCs 中來(lái)自受信任節(jié)點(diǎn)的拒絕服務(wù)(Denial of Service,DoS)攻擊,提出一個(gè)入侵防御系統(tǒng)(Intrusion Prevention System,IPS).該系統(tǒng)最大的貢獻(xiàn)在于它的通用性,可以在任何PLC 系統(tǒng)使用而不受工業(yè)基礎(chǔ)設(shè)施的功能限制.該系統(tǒng)可以安裝在PLC 系統(tǒng)內(nèi)部,降低攻擊者破壞IPS 的可能性;還可以安裝在PLC 外部,為PLC 系統(tǒng)增加一層安全層,鞏固深度防御方法.最重要的是,IPS 檢測(cè)到DoS 攻擊后會(huì)自動(dòng)重啟,以徹底清除所有攻擊流量數(shù)據(jù),確保系統(tǒng)正常運(yùn)行,而不受攻擊影響.

(3)SCADA 系統(tǒng)架構(gòu)安全解決方案

文獻(xiàn)[16]考慮到SCADA 系統(tǒng)組件中實(shí)現(xiàn)監(jiān)控功能的數(shù)據(jù)完整性的重要性,使用區(qū)塊鏈技術(shù)提高系統(tǒng)組件中數(shù)據(jù)日志的完整性.文章將以工作量證明PoW(Proof of Work)為基礎(chǔ)的區(qū)塊鏈技術(shù)集成到CPS 系統(tǒng)中.為了提高系統(tǒng)資源利用率,不影響工業(yè)控制系統(tǒng)實(shí)時(shí)性的需求,文章引入時(shí)間概念,對(duì)消息到達(dá)時(shí)間進(jìn)行預(yù)測(cè).該方案的貢獻(xiàn)在于不僅對(duì)SCADA 系統(tǒng)中數(shù)據(jù)的完整性提供了可靠保證,優(yōu)化驗(yàn)證計(jì)算以交付難以篡改的數(shù)據(jù)日志,還充分考慮了工業(yè)控制系統(tǒng)的系統(tǒng)監(jiān)控功能的實(shí)時(shí)性需求.

在安全研究中,為了更好的驗(yàn)證安全解決方案的可行性,需要在工業(yè)控制系統(tǒng)中直接運(yùn)行,但廠商不會(huì)允許在工業(yè)控制系統(tǒng)中部署不信任或未證實(shí)身份的設(shè)備,因此在研究中使用真實(shí)的SCADA 系統(tǒng)是不現(xiàn)實(shí)的.文獻(xiàn)[17]開(kāi)發(fā)了一個(gè)新穎的開(kāi)源框架,用于新建、部署和管理SCADA 系統(tǒng)仿真平臺(tái),它可以在本地或遠(yuǎn)程自動(dòng)部署大量虛擬機(jī)用來(lái)復(fù)制SCADA 網(wǎng)絡(luò).該框架包含多個(gè)虛擬主機(jī)模擬傳感器和執(zhí)行器,使用HMI控制虛擬主機(jī).同時(shí),該框架提供一組自動(dòng)化腳本,可以根據(jù)用戶需求自動(dòng)部署可變數(shù)量的虛擬機(jī).文章指出該框架符合IEC104 和OPC-UA 標(biāo)準(zhǔn),并支持其他工業(yè)協(xié)議.最重要的是該框架建立在開(kāi)源代碼庫(kù)的基礎(chǔ)上,是一款免費(fèi)開(kāi)源的仿真平臺(tái)軟件.

(4)智能電網(wǎng)系統(tǒng)架構(gòu)安全解決方案

在我國(guó)工業(yè)領(lǐng)域的控制系統(tǒng)信息安全研究中,電力行業(yè)一直處于領(lǐng)先地位,但是電力行業(yè)安全的研究重心一直放在邊界安全上,沒(méi)有對(duì)系統(tǒng)架構(gòu)安全進(jìn)行深入研究,文獻(xiàn)[18]和文獻(xiàn)[19]分別對(duì)電力系統(tǒng)架構(gòu)改進(jìn)和重建兩方面做出分析.文獻(xiàn)[18]針對(duì)電網(wǎng)系統(tǒng)中電力存儲(chǔ)的檢測(cè)與防護(hù),提出一種名為PSP 的儲(chǔ)能保護(hù)框架.文獻(xiàn)[18]認(rèn)為當(dāng)今電網(wǎng)的安全管理體系中,系統(tǒng)安全人員面對(duì)攻擊無(wú)法獲悉攻擊者的目標(biāo)和攻擊過(guò)程,僅能夠觀察到部分設(shè)備的狀態(tài)變化情況,入侵檢測(cè)工具的分析結(jié)果也具有不確定性.為了應(yīng)對(duì)攻擊者對(duì)電力存儲(chǔ)系統(tǒng)攻擊,電力設(shè)施的運(yùn)營(yíng)商必須以最小成本維持供電系統(tǒng)的穩(wěn)定性.針對(duì)上述問(wèn)題,文章設(shè)計(jì)一種名為PSP 的框架,它參考零和博弈問(wèn)題,利用部分可觀察馬爾可夫決策過(guò)程(Partially Observable Markov Decision Process,POMDP)為系統(tǒng)問(wèn)題建模,使用動(dòng)態(tài)規(guī)劃算法求得最優(yōu)解并進(jìn)行驗(yàn)證.該方案一方面充分考慮工控系統(tǒng)可用性至上的特性,從系統(tǒng)運(yùn)行狀態(tài)出發(fā),只要系統(tǒng)運(yùn)行正常,處于連續(xù)一致的狀態(tài),就不采取任何防御行動(dòng).另一方面充分考慮電力存儲(chǔ)的3 種形式,以適應(yīng)電力運(yùn)營(yíng)商的存儲(chǔ)需求.文獻(xiàn)[19]指出,智能電網(wǎng)的系統(tǒng)架構(gòu)正在向分布式系統(tǒng)模型方向發(fā)展,歐盟的ELECTRA 項(xiàng)目提出關(guān)于未來(lái)智能電網(wǎng)可能的系統(tǒng)架構(gòu)WoC (Web of Cells)概念模型,如圖4所示.該模型最大的特點(diǎn)是“在當(dāng)?shù)亟鉀Q當(dāng)?shù)貑?wèn)題”,單個(gè)細(xì)胞的穩(wěn)定性通過(guò)細(xì)胞內(nèi)的設(shè)備控制,系統(tǒng)整體的穩(wěn)定性則由一個(gè)控制器控制.針對(duì)該系統(tǒng)架構(gòu),文章提出一種理論分析方法,首先將一次攻擊過(guò)程分解為多個(gè)攻擊階段,然后分別對(duì)各個(gè)階段進(jìn)行建模評(píng)估,實(shí)現(xiàn)多段攻擊過(guò)程的安全分析.該方法最大的貢獻(xiàn)[20]在于引入時(shí)間屬性,指出攻擊成功的概率不僅是一個(gè)百分比,而是一個(gè)包含攻擊者攻擊過(guò)程可用時(shí)間的函數(shù),以此對(duì)攻擊結(jié)果進(jìn)行定量分析.

2.2 基于通信協(xié)議的安全解決方案

工業(yè)控制系統(tǒng)的協(xié)議眾多,早先工業(yè)控制系統(tǒng)為封閉系統(tǒng),為了保證自己的核心競(jìng)爭(zhēng)力和機(jī)密性,多采用不對(duì)外開(kāi)放的專有協(xié)議.隨著TCP/IP 等通用協(xié)議在工業(yè)領(lǐng)域的應(yīng)用,專有協(xié)議的安全缺陷開(kāi)始被攻擊者利用,大部分專有協(xié)議的安全機(jī)制無(wú)鑒別、無(wú)加密、無(wú)審計(jì),設(shè)備可通過(guò)掃描工業(yè)協(xié)議漏洞被發(fā)現(xiàn),如表2[2].

文獻(xiàn)[21]以“Stuxnet”事件為引,針對(duì)PLC 系統(tǒng)面臨的嚴(yán)重的安全威脅,對(duì)西門(mén)子最新的S7-1211C 控制器協(xié)議和TIA (Totally Integrated Automation)軟件漏洞進(jìn)行研究,為PLC 的安全研究做出極大貢獻(xiàn).文章指出,首先,文中發(fā)現(xiàn)的漏洞并不復(fù)雜,復(fù)雜的是使用通訊協(xié)議本身的合法功能時(shí)產(chǎn)生的安全威脅;其次,通訊協(xié)議的身份認(rèn)證機(jī)制和數(shù)據(jù)完整性檢查機(jī)制并不可靠;最后,現(xiàn)有的入侵檢測(cè)防御軟件的功能是有限的,對(duì)系統(tǒng)自身合法行為引起的安全威脅的檢測(cè)并不完善.文獻(xiàn)[22]更進(jìn)一步,分析通用的西門(mén)子S7 通訊協(xié)議,其分析方法有更好的實(shí)用性.該方法使用神經(jīng)網(wǎng)絡(luò)訓(xùn)練系統(tǒng)模型,利用系統(tǒng)模型當(dāng)前的網(wǎng)絡(luò)流量對(duì)系統(tǒng)異常進(jìn)行監(jiān)測(cè).文章針對(duì)S7 通訊協(xié)議不需要身份驗(yàn)證即可與PLC 建立連接并獲取數(shù)據(jù)的漏洞,開(kāi)發(fā)S7 通訊協(xié)議客戶端用于攻擊測(cè)試.結(jié)果表明,該方法以97%的成功率檢測(cè)異常網(wǎng)絡(luò)數(shù)據(jù)包.這樣的結(jié)果為人們分析不同IDS 中的S7 通訊協(xié)議提供更加具體、可靠的依據(jù),同時(shí)為配合其他檢測(cè)技術(shù),建立檢測(cè)能力更高的入侵檢測(cè)系統(tǒng)提供幫助.

圖4 文獻(xiàn)[19]涉及的WoC 概念模型

表2 2018年不同協(xié)議可探測(cè)設(shè)備數(shù)量

同樣,用于監(jiān)視和控制底層物理系統(tǒng),滿足其更好的功能性和可用性需求的SCADA 系統(tǒng)也不能保證過(guò)程數(shù)據(jù)的機(jī)密性.文獻(xiàn)[23]針對(duì)IEC-104 協(xié)議開(kāi)發(fā)一個(gè)解析器,對(duì)協(xié)議包解析后直接反饋到系統(tǒng)模型中,然后利用Bro 自適應(yīng)性策略制定的物理約束和安全需求對(duì)SCADA 流量進(jìn)行實(shí)時(shí)檢查.該方法可以在現(xiàn)場(chǎng)使用,探測(cè)到可疑和錯(cuò)誤的命令或傳感器讀數(shù)時(shí)會(huì)自動(dòng)生成警報(bào),因此,該方法可以全面提高本地入侵檢測(cè)系統(tǒng)的安全性能.

文獻(xiàn)[24]則針對(duì)Modbus 協(xié)議提出新的入侵檢測(cè)方法.該文獻(xiàn)為基于軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN)的工業(yè)控制系統(tǒng)建立基于網(wǎng)絡(luò)的兩層入侵檢測(cè)系統(tǒng).第一層由運(yùn)行在交換機(jī)上的協(xié)議白名單組成,利用基于P4 (Programming Protocol-independent Packet Processors)的數(shù)據(jù)包處理器實(shí)時(shí)監(jiān)控,將可疑數(shù)據(jù)包直接轉(zhuǎn)移到第二層進(jìn)行深入檢測(cè);第二層則由一個(gè)深度包探測(cè)器和Bro 組成,目的是更新第一層中的白名單.該文獻(xiàn)的主要貢獻(xiàn)有:首先,該兩層入侵檢測(cè)系統(tǒng)使用P4 編寫(xiě)包處理器,為以后擴(kuò)展其他工業(yè)協(xié)議奠定了基礎(chǔ),且數(shù)據(jù)包處理器直接運(yùn)行在交換機(jī)上,不需要額外添加設(shè)備,降低運(yùn)營(yíng)成本;其次,兩層的設(shè)計(jì)理念解決現(xiàn)有的白名單方法的缺點(diǎn),系統(tǒng)不再直接拒絕可疑包,而是將其轉(zhuǎn)發(fā)到第二層做深入檢測(cè),減小負(fù)載;最后,仿真實(shí)驗(yàn)證明,該入侵檢測(cè)系統(tǒng)對(duì)工控系統(tǒng)的通訊僅有極小的通訊延遲,基本不影響系統(tǒng)的實(shí)時(shí)性要求.

以上4 篇文章的貢獻(xiàn)在于從工控系統(tǒng)中使用的專用通訊協(xié)議出發(fā),針對(duì)通訊協(xié)議的安全漏洞提出相應(yīng)的入侵檢測(cè)方法,不僅填補(bǔ)了工業(yè)協(xié)議相關(guān)研究方面的空白,還為后續(xù)ICS 信息安全研究提出新思路.

3 ICS 信息安全未來(lái)發(fā)展方向

本文對(duì)會(huì)議論文中提出的安全解決方案進(jìn)行研究與分析,針對(duì)其中采用的技術(shù)與方法,對(duì)未來(lái)ICS 信息安全研究方向提出以下建議.

(1)網(wǎng)絡(luò)攻擊模型的應(yīng)用

網(wǎng)絡(luò)攻擊模型的應(yīng)用可以加深研究人員對(duì)網(wǎng)絡(luò)攻擊的認(rèn)識(shí)和描述,通過(guò)網(wǎng)絡(luò)攻擊模型可以對(duì)整個(gè)攻擊過(guò)程進(jìn)行結(jié)構(gòu)化建模和形式化描述,幫助研究人員利用已有的攻擊行為背景對(duì)網(wǎng)絡(luò)攻擊進(jìn)行深入分析.隨著IT 技術(shù)的發(fā)展和網(wǎng)上共享資源的增加,攻擊手段越來(lái)越多樣化,攻擊過(guò)程越來(lái)越復(fù)雜,想把攻擊完全隔離在系統(tǒng)之外是不可能的,只能根據(jù)已知攻擊行為的關(guān)聯(lián)性找出攻擊規(guī)律,進(jìn)一步確定攻擊目標(biāo),從而針對(duì)攻擊過(guò)程采取階段性的防御策略來(lái)阻止攻擊.這足以可見(jiàn)網(wǎng)絡(luò)攻擊模型在當(dāng)前背景下的重要作用.當(dāng)前我國(guó)研究人員對(duì)網(wǎng)絡(luò)攻擊模型研究的實(shí)際應(yīng)用還不完善,更加需要深入研究網(wǎng)絡(luò)攻擊模型的實(shí)際應(yīng)用和理論創(chuàng)新,積極在入侵檢測(cè)和防御系統(tǒng)中應(yīng)用網(wǎng)絡(luò)攻擊模型.

(2)開(kāi)源的工業(yè)控制系統(tǒng)仿真平臺(tái)

由于工業(yè)控制系統(tǒng)的封閉性,廠商對(duì)不信任或未經(jīng)身份驗(yàn)證設(shè)備連接的拒絕,ICS 仿真平臺(tái)一直是研究的熱點(diǎn),隨著仿真和虛擬技術(shù)的發(fā)展,工業(yè)控制系統(tǒng)系統(tǒng)仿真技術(shù)已得到廣泛應(yīng)用.但是已有的仿真平臺(tái)聚焦于特定的工業(yè)協(xié)議和控制系統(tǒng),通用性差,不具備擴(kuò)展能力.更重要的是,大部分仿真平臺(tái)不開(kāi)源,使用成本高,使得部分學(xué)術(shù)研究試驗(yàn)不可再現(xiàn),阻礙學(xué)術(shù)研究進(jìn)展.隨著工業(yè)控制系統(tǒng)信息安全受重視程度的提高,迫切需要開(kāi)發(fā)更多免費(fèi)、開(kāi)源的仿真平臺(tái),以便其在信息安全研究進(jìn)程中發(fā)揮重要作用.

(3)非技術(shù)型人機(jī)界面的研究

人機(jī)界面可以把系統(tǒng)中涉及和產(chǎn)生的數(shù)據(jù)信息轉(zhuǎn)為直觀的圖形化界面,方便系統(tǒng)和用戶之間的信息交互,但已有的人機(jī)界面多用于與技術(shù)人員進(jìn)行溝通,專業(yè)性過(guò)強(qiáng),非技術(shù)型研究人員不能簡(jiǎn)單易懂的獲取相關(guān)信息,阻礙研究進(jìn)程.工業(yè)控制系統(tǒng)信息安全研究中,不僅涉及以信息安全為背景的研究人員,還會(huì)涉及工業(yè)背景的研究人員,以及不具有任何安全知識(shí)背景管理層和用戶.為了更明確的表示安全結(jié)果,可視化人機(jī)界面要多者兼顧,提供技術(shù)型和非技術(shù)型人機(jī)界面,促進(jìn)不同研究背景下安全技術(shù)的融合.

4 結(jié)束語(yǔ)

工業(yè)4.0 時(shí)代的到來(lái),ICS 在國(guó)家關(guān)鍵基礎(chǔ)建設(shè)中的重要地位得到極大提高.同時(shí),信息化與工業(yè)化的深度融合使工業(yè)控制系統(tǒng)繼承IT 系統(tǒng)的網(wǎng)絡(luò)安全威脅,但是工業(yè)控制系統(tǒng)ICS 與IT 系統(tǒng)之間存在巨大差異,不能直接將傳統(tǒng)IT 安全技術(shù)應(yīng)用于ICS 中,需要根據(jù)實(shí)際需求研究適用于ICS 的安全技術(shù),這使我國(guó)起步較晚的工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的挑戰(zhàn).本文對(duì)2018年ICS-CSR 會(huì)議涉及的先進(jìn)的ICS 信息安全解決方案做出闡述與分析,并根據(jù)實(shí)際需求對(duì)研究方向提出針對(duì)性建議.總之,ICS 信息安全行業(yè)剛剛步入正軌,成長(zhǎng)空間廣闊,仍需要研究人員對(duì)工業(yè)控制系統(tǒng)信息安全技術(shù)做出新的研究.