丁曉倩,向 勇,李喜旺,吳 奕

1(中國科學(xué)院 沈陽計算技術(shù)研究所,沈陽 110168)

2(中國科學(xué)院大學(xué),北京 100049)

工業(yè)控制系統(tǒng)(Industrial Control System,ICS)是一個用于描述監(jiān)控與數(shù)據(jù)采集系統(tǒng)(Supervisory Control and Data Acquisition,SCADA)、分布式控制系統(tǒng)(Distributed Control System,DCS)和可編程邏輯控制器(Programmable Logic Controller,PLC)等多種用于工業(yè)生產(chǎn)的控制系統(tǒng)和自動化控制組件的通用術(shù)語[1].工業(yè)控制系統(tǒng)通常用于能源、冶金、石油化工等工業(yè)生產(chǎn)領(lǐng)域以及交通、水利、市政等公共服務(wù)領(lǐng)域,一旦遭受攻擊,不僅會對相關(guān)企業(yè)造成影響,還會引起國家安全和社會穩(wěn)定問題.

隨著信息化與工業(yè)化的深度融合,IT 技術(shù)在工業(yè)控制領(lǐng)域應(yīng)用的深度和廣度不斷擴(kuò)大,使工業(yè)控制系統(tǒng)平臺更加標(biāo)準(zhǔn)化與簡單化,將ICS 逐步從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開放、互聯(lián)的系統(tǒng).但工業(yè)信息化帶來生產(chǎn)成本降低和競爭實力大大增強(qiáng)的同時,工業(yè)控制系統(tǒng)封閉網(wǎng)絡(luò)的屏障優(yōu)勢逐漸減弱.信息技術(shù)的廣泛應(yīng)用不僅使工業(yè)協(xié)議和系統(tǒng)的固有漏洞和安全風(fēng)險不斷增加,還使其繼承了IT 網(wǎng)絡(luò)所面臨的安全威脅.2010年出現(xiàn)的“Stuxnet”病毒被認(rèn)為是最早的專門針對工業(yè)控制系統(tǒng)的攻擊,緊隨其后出現(xiàn)了“Conficker”、“Haves”、“BlackEnerfy”等病毒.最近一些年更是出現(xiàn)一些以獲取錢財為目的的勒索軟件,例如“Warncery”、“Clearenegy”等.2018年8月,臺積電遭遇勒索軟件“WannaCry”變種的攻擊,導(dǎo)致生產(chǎn)中斷,造成1.7 億美元的損失[2].以上事例表明,ICS 面臨的威脅規(guī)模、類型和危險程度都在快速增加.截至2018年12月13日,美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Industrial Control System Cyber Emergency Response Team,ICS-CERT)在其官方網(wǎng)站發(fā)布安全通告累計1046 篇,且年安全通告篇數(shù)呈現(xiàn)持續(xù)上升趨勢[2],如圖1所示.由于傳統(tǒng)信息安全問題在工業(yè)控制領(lǐng)域的蔓延,傳統(tǒng)ICS 安全策略效果大不如前,亟需從工業(yè)協(xié)議缺陷、系統(tǒng)漏洞和數(shù)據(jù)安全等多方面研究安全解決方案.

圖1 ICS-CERT 安全通告統(tǒng)計圖

針對面臨的安全風(fēng)險,國內(nèi)外學(xué)者對ICS 信息安全關(guān)鍵技術(shù)研究進(jìn)行了探討與總結(jié).彭勇等[3]從ICS信息安全內(nèi)涵出發(fā),對當(dāng)前ICS 信息安全研究現(xiàn)狀和信息安全關(guān)鍵技術(shù)的研究成果進(jìn)行闡述,提出ICS 信息安全面臨的挑戰(zhàn)和重要的研究方向.在對ICS 安全綜合分析的基礎(chǔ)上,工業(yè)控制系統(tǒng)信息安全相關(guān)的最新研究成果和新型攻擊技術(shù)是當(dāng)前的研究熱點,學(xué)術(shù)界和產(chǎn)業(yè)界對此提出基于實踐的縱深防御體系和安全建議[4–6].在前人對工控安全技術(shù)研究進(jìn)展的基礎(chǔ)上,本文重點分析2018年工控安全國際會議ICS-CSR 提出的最新理論與技術(shù),提出ICS 信息安全技術(shù)的重點研究方向,以期為讀者提供新的研究思路.

1 工業(yè)控制系統(tǒng)(ICS)

1.1 ICS 架構(gòu)

典型的工業(yè)控制系統(tǒng)[7]是分層結(jié)構(gòu),從上至下分別為企業(yè)信息網(wǎng)絡(luò)、過程控制網(wǎng)絡(luò)和現(xiàn)場設(shè)備網(wǎng)絡(luò),如圖2所示.

(1)企業(yè)信息網(wǎng)絡(luò)屬于IT 領(lǐng)域,通過防火墻與外部網(wǎng)絡(luò)連接,實現(xiàn)郵件收發(fā)、網(wǎng)頁瀏覽等網(wǎng)絡(luò)信息服務(wù).一般由制造執(zhí)行系統(tǒng)(Manufacturing Execution System,MES)和企業(yè)資源規(guī)劃(Enterprise Resource Planning,ERP)為代表的企業(yè)資源管理系統(tǒng)組成.

(2)過程控制網(wǎng)絡(luò)屬于工業(yè)控制系統(tǒng)領(lǐng)域,為上層應(yīng)用服務(wù)和下層控制應(yīng)用建立橋梁,解決軟、硬件集成問題,提高系統(tǒng)的開放性和互操作性.一般由SCADA、DCS 和PLC 的OPC (Object Linking and Embedding(OLE)for Process Control)服務(wù)器、工程師站和實時/歷史數(shù)據(jù)庫等組成.

(3)現(xiàn)場設(shè)備網(wǎng)絡(luò)位于最底層,屬于工業(yè)控制系統(tǒng)領(lǐng)域,在控制網(wǎng)絡(luò)的調(diào)度下采集數(shù)據(jù)信息,執(zhí)行面向用戶的指令,保證系統(tǒng)正常運行.一般由人機(jī)界面(Human Machine Interface,HMI)、遠(yuǎn)程終端單元(Remote Terminal Unit,RTU)和PLC 等現(xiàn)場儀表和控制設(shè)備組成.

1.2 ICS 信息安全

隨著信息技術(shù)在工業(yè)領(lǐng)域的應(yīng)用,工業(yè)控制系統(tǒng)有了質(zhì)的變化,研究人員對當(dāng)今工業(yè)控制系統(tǒng)信息安全做出新的解釋,IEC62443-1-1 標(biāo)準(zhǔn)中針對工控系統(tǒng)信息安全的定義[8]是:“保護(hù)系統(tǒng)所采取的措施;由建立和維護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);能夠免于對系統(tǒng)資源的非授權(quán)訪問和意外的變更、破壞或損失;基于計算機(jī)系統(tǒng)的能力,能夠保證授權(quán)人員和系統(tǒng)的合法操作權(quán)限,避免非授權(quán)人員和系統(tǒng)修改軟件及其數(shù)據(jù)或訪問系統(tǒng)功能;防止對工控系統(tǒng)非法、有害的入侵,或者干擾其正確和計劃的操作.”

來自互聯(lián)網(wǎng)的安全威脅已成為工業(yè)控制系統(tǒng)信息安全主要的威脅來源,但是由于工業(yè)控制系統(tǒng)本身的特點,其信息安全與傳統(tǒng)IT 系統(tǒng)的信息安全仍有較大差別,表1從攻擊方法、攻擊目的和攻擊后果等方面對二者進(jìn)行對比分析.

圖2 ICS 典型架構(gòu)圖[7]

表1 工控安全與傳統(tǒng)信息安全對比

1.3 ICS 信息安全技術(shù)

工業(yè)控制系統(tǒng)安全技術(shù)的研究重點主要在區(qū)域隔離、入侵檢測和風(fēng)險評估3 方面.

(1)區(qū)域隔離技術(shù)

為了防止攻擊者通過工業(yè)控制系統(tǒng)的企業(yè)信息網(wǎng)絡(luò)對下層網(wǎng)絡(luò)進(jìn)行滲透,不同層次網(wǎng)絡(luò)之間需要部署工業(yè)防火墻、網(wǎng)關(guān)等安全設(shè)施,控制跨層訪問并對層間數(shù)據(jù)交換進(jìn)行深度過濾[2].工業(yè)防火墻對專用工業(yè)協(xié)議和通用TCP/IP 協(xié)議等數(shù)據(jù)包進(jìn)行深度分析,通過構(gòu)建的白名單體系過濾對系統(tǒng)資源的惡意訪問,有效阻止未授權(quán)軟、硬件或進(jìn)程在系統(tǒng)中運行.

(2)入侵檢測技術(shù)

入侵檢測技術(shù)是一種通過收集與解析數(shù)據(jù)包信息,基于特征分析和異常檢測發(fā)現(xiàn)系統(tǒng)中隱藏的攻擊行為,主動采取防御措施的安全技術(shù).當(dāng)前國內(nèi)外常用的入侵檢測技術(shù)主要有:入侵檢測系統(tǒng)、工控漏洞掃描和挖掘技術(shù)、工業(yè)監(jiān)測預(yù)警平臺.分析ICS 的特性,工業(yè)入侵檢測系統(tǒng)從檢測對象出發(fā),被劃分為基于流量監(jiān)測、協(xié)議檢測和設(shè)備狀態(tài)檢測三大類[7,9],對系統(tǒng)行為信息逐步深入分析,實現(xiàn)對攻擊行為的有效感知和實時監(jiān)測;工業(yè)漏洞掃描和挖掘針對工業(yè)控制系統(tǒng)中常見的PLC、DCS、HMI 等控制器進(jìn)行探測,發(fā)現(xiàn)其中的系統(tǒng)漏洞,并通過FUZZ 等技術(shù)手段實現(xiàn)對工業(yè)專有協(xié)議的健壯性測試;工業(yè)監(jiān)測預(yù)警平臺則是通過對系統(tǒng)安全日志與異常信息的關(guān)聯(lián)分析,結(jié)合現(xiàn)場行為發(fā)現(xiàn)惡意行為[2].

(3)風(fēng)險評估技術(shù)

風(fēng)險評估技術(shù)通過對網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫和業(yè)務(wù)應(yīng)用運行日志的收集和分析,在模擬仿真系統(tǒng)平臺上對潛在的漏洞和安全隱患進(jìn)行驗證,進(jìn)而切合實際地識別出系統(tǒng)面臨的安全威脅以及風(fēng)險的來源[3].當(dāng)前,工業(yè)控制系統(tǒng)風(fēng)險評估技術(shù)主要包含ICS 仿真平臺的構(gòu)建、安全測試技術(shù)和風(fēng)險評估工具[10].ICS 仿真平臺通過實驗數(shù)據(jù)構(gòu)建真實系統(tǒng)環(huán)境,在仿真環(huán)境中利用安全測試工具對系統(tǒng)進(jìn)行漏洞掃描和挖掘、滲透測試、補(bǔ)丁開發(fā)等安全試驗,不需要直接操作系統(tǒng),避免影響真實系統(tǒng)的可用性和機(jī)密性.風(fēng)險評估工具則是根據(jù)安全標(biāo)準(zhǔn)對系統(tǒng)行為進(jìn)行分析,確定惡意行為和風(fēng)險來源,以此給出系統(tǒng)安全加固建議.

2 ICS 信息安全研究進(jìn)展

2018年第五屆ICS 與SCADA 信息安全研究國際會議(ICS-CSR)共收錄13 篇論文,展示當(dāng)前工業(yè)控制系統(tǒng)信息安全領(lǐng)域的研究方向和應(yīng)用技術(shù).本文對會議論文中提出的安全方法進(jìn)行研究與分析,按照基于評估對象的分類方法,發(fā)現(xiàn)論文中提及的技術(shù)主要從系統(tǒng)架構(gòu)和通信協(xié)議兩方面出發(fā),利用網(wǎng)絡(luò)攻擊模型、區(qū)塊鏈技術(shù)、神經(jīng)網(wǎng)絡(luò)、安全工具等方法維護(hù)工業(yè)控制系統(tǒng)信息安全.

2.1 基于系統(tǒng)架構(gòu)的安全解決方案

基于系統(tǒng)架構(gòu)的安全研究是針對操作員站、工程師站、數(shù)據(jù)服務(wù)器等現(xiàn)場設(shè)備進(jìn)行安全加固.安全解決方案會對發(fā)現(xiàn)的攻擊行為進(jìn)行告警或者采取防御措施,以此阻止操作人員的誤操作和外界的攻擊行為.該解決方案適用于工業(yè)領(lǐng)域的所有控制系統(tǒng)及其設(shè)備,可以滿足各廠商的ICS 信息安全需求.

(1)通用系統(tǒng)架構(gòu)安全解決方案

對系統(tǒng)架構(gòu)進(jìn)行安全研究與分析的前提是設(shè)備識別,文獻(xiàn)[11]提出一種利用設(shè)備MAC 地址的唯一性進(jìn)行設(shè)備識別的輕量級被動網(wǎng)絡(luò)掃描技術(shù),它可以在不影響ICS 正常運行的前提下集成到ICS 的安全體系中.該方法發(fā)現(xiàn)并識別設(shè)備后,可利用其供應(yīng)商信息和網(wǎng)絡(luò)上公開的漏洞數(shù)據(jù)庫對設(shè)備進(jìn)行漏洞分析,進(jìn)而提高設(shè)備安全.為了更好的理解攻擊者的意圖和攻擊過程,文獻(xiàn)[12]從攻擊者的角度出發(fā),研究網(wǎng)絡(luò)攻擊生命周期模型,以便采取與攻擊相對的安全策略.文章從基于過程的入侵檢測系統(tǒng)出發(fā),提出一種名為SAMIIT的螺旋攻擊生命周期模型.該模型可以覆蓋整個攻擊生命周期,將基于機(jī)器學(xué)習(xí)的分類算法首次用于攻擊生命周期的警報映射,利用標(biāo)簽分類將安全警報映射到系統(tǒng)環(huán)境中不同的攻擊階段和架構(gòu)級別上,使安全管理人員根據(jù)映射有效分配安全管理策略,截斷攻擊過程,進(jìn)而維護(hù)系統(tǒng)安全.與文獻(xiàn)[12]不同的是,文獻(xiàn)[13]直接從攻擊者的目標(biāo)出發(fā),針對信息物理系統(tǒng)(Cyber Physical System,CPS)所面臨的安全問題,利用攻擊樹(Attack Tree,AT)模型對模型FAST-CPS 進(jìn)行擴(kuò)展,提出一種評估CPS 安全的方法.該方法的貢獻(xiàn)在于,以被評估系統(tǒng)的架構(gòu)模型為基礎(chǔ),自動生成針對特定攻擊目標(biāo)的攻擊樹,進(jìn)而自動得出分析結(jié)果.為了讓系統(tǒng)相關(guān)人員了解系統(tǒng)安全信息,該方法給出兩種反饋類型,針對技術(shù)人員的技術(shù)型反饋和針對管理人員的非技術(shù)型反饋.該方法的具體操作步驟如圖3所示.

圖3 文獻(xiàn)[13]的方法概略圖

從圖3可以看出,攻擊樹生成算法的核心是利用攻擊模板對攻擊目標(biāo)迭代精煉,直到攻擊目標(biāo)不能再被分解為止.使用的攻擊模板是已知攻擊方法,可根據(jù)需求自由更換,大大提高了該方法的擴(kuò)展性.

(2)PLC 系統(tǒng)架構(gòu)安全解決方案

正如文獻(xiàn)[14]中提到的那樣,工業(yè)控制系統(tǒng)受到的威脅越來越多,工業(yè)控制系統(tǒng)中的PLC 引起了攻擊者的廣泛關(guān)注,但是PLC 的相關(guān)安全研究卻未引起人們的重視.在這方面,文獻(xiàn)[14,15]進(jìn)行了研究和闡述.文獻(xiàn)[14]對西門子S7-1200 協(xié)議中的日志相關(guān)功能進(jìn)行分析,針對日志在入侵檢測中的作用,提出一種名為PLCBlockMon 的PLC 邏輯.該邏輯僅記錄標(biāo)識系統(tǒng)狀態(tài)和影響物理過程的變量數(shù)據(jù),一方面簡化日志記錄的復(fù)雜性,另一方面也提高了檢測方法的安全性,減小入侵檢測系統(tǒng)的負(fù)載.文獻(xiàn)[15]則針對PLCs 中來自受信任節(jié)點的拒絕服務(wù)(Denial of Service,DoS)攻擊,提出一個入侵防御系統(tǒng)(Intrusion Prevention System,IPS).該系統(tǒng)最大的貢獻(xiàn)在于它的通用性,可以在任何PLC 系統(tǒng)使用而不受工業(yè)基礎(chǔ)設(shè)施的功能限制.該系統(tǒng)可以安裝在PLC 系統(tǒng)內(nèi)部,降低攻擊者破壞IPS 的可能性;還可以安裝在PLC 外部,為PLC 系統(tǒng)增加一層安全層,鞏固深度防御方法.最重要的是,IPS 檢測到DoS 攻擊后會自動重啟,以徹底清除所有攻擊流量數(shù)據(jù),確保系統(tǒng)正常運行,而不受攻擊影響.

(3)SCADA 系統(tǒng)架構(gòu)安全解決方案

文獻(xiàn)[16]考慮到SCADA 系統(tǒng)組件中實現(xiàn)監(jiān)控功能的數(shù)據(jù)完整性的重要性,使用區(qū)塊鏈技術(shù)提高系統(tǒng)組件中數(shù)據(jù)日志的完整性.文章將以工作量證明PoW(Proof of Work)為基礎(chǔ)的區(qū)塊鏈技術(shù)集成到CPS 系統(tǒng)中.為了提高系統(tǒng)資源利用率,不影響工業(yè)控制系統(tǒng)實時性的需求,文章引入時間概念,對消息到達(dá)時間進(jìn)行預(yù)測.該方案的貢獻(xiàn)在于不僅對SCADA 系統(tǒng)中數(shù)據(jù)的完整性提供了可靠保證,優(yōu)化驗證計算以交付難以篡改的數(shù)據(jù)日志,還充分考慮了工業(yè)控制系統(tǒng)的系統(tǒng)監(jiān)控功能的實時性需求.

在安全研究中,為了更好的驗證安全解決方案的可行性,需要在工業(yè)控制系統(tǒng)中直接運行,但廠商不會允許在工業(yè)控制系統(tǒng)中部署不信任或未證實身份的設(shè)備,因此在研究中使用真實的SCADA 系統(tǒng)是不現(xiàn)實的.文獻(xiàn)[17]開發(fā)了一個新穎的開源框架,用于新建、部署和管理SCADA 系統(tǒng)仿真平臺,它可以在本地或遠(yuǎn)程自動部署大量虛擬機(jī)用來復(fù)制SCADA 網(wǎng)絡(luò).該框架包含多個虛擬主機(jī)模擬傳感器和執(zhí)行器,使用HMI控制虛擬主機(jī).同時,該框架提供一組自動化腳本,可以根據(jù)用戶需求自動部署可變數(shù)量的虛擬機(jī).文章指出該框架符合IEC104 和OPC-UA 標(biāo)準(zhǔn),并支持其他工業(yè)協(xié)議.最重要的是該框架建立在開源代碼庫的基礎(chǔ)上,是一款免費開源的仿真平臺軟件.

(4)智能電網(wǎng)系統(tǒng)架構(gòu)安全解決方案

在我國工業(yè)領(lǐng)域的控制系統(tǒng)信息安全研究中,電力行業(yè)一直處于領(lǐng)先地位,但是電力行業(yè)安全的研究重心一直放在邊界安全上,沒有對系統(tǒng)架構(gòu)安全進(jìn)行深入研究,文獻(xiàn)[18]和文獻(xiàn)[19]分別對電力系統(tǒng)架構(gòu)改進(jìn)和重建兩方面做出分析.文獻(xiàn)[18]針對電網(wǎng)系統(tǒng)中電力存儲的檢測與防護(hù),提出一種名為PSP 的儲能保護(hù)框架.文獻(xiàn)[18]認(rèn)為當(dāng)今電網(wǎng)的安全管理體系中,系統(tǒng)安全人員面對攻擊無法獲悉攻擊者的目標(biāo)和攻擊過程,僅能夠觀察到部分設(shè)備的狀態(tài)變化情況,入侵檢測工具的分析結(jié)果也具有不確定性.為了應(yīng)對攻擊者對電力存儲系統(tǒng)攻擊,電力設(shè)施的運營商必須以最小成本維持供電系統(tǒng)的穩(wěn)定性.針對上述問題,文章設(shè)計一種名為PSP 的框架,它參考零和博弈問題,利用部分可觀察馬爾可夫決策過程(Partially Observable Markov Decision Process,POMDP)為系統(tǒng)問題建模,使用動態(tài)規(guī)劃算法求得最優(yōu)解并進(jìn)行驗證.該方案一方面充分考慮工控系統(tǒng)可用性至上的特性,從系統(tǒng)運行狀態(tài)出發(fā),只要系統(tǒng)運行正常,處于連續(xù)一致的狀態(tài),就不采取任何防御行動.另一方面充分考慮電力存儲的3 種形式,以適應(yīng)電力運營商的存儲需求.文獻(xiàn)[19]指出,智能電網(wǎng)的系統(tǒng)架構(gòu)正在向分布式系統(tǒng)模型方向發(fā)展,歐盟的ELECTRA 項目提出關(guān)于未來智能電網(wǎng)可能的系統(tǒng)架構(gòu)WoC (Web of Cells)概念模型,如圖4所示.該模型最大的特點是“在當(dāng)?shù)亟鉀Q當(dāng)?shù)貑栴}”,單個細(xì)胞的穩(wěn)定性通過細(xì)胞內(nèi)的設(shè)備控制,系統(tǒng)整體的穩(wěn)定性則由一個控制器控制.針對該系統(tǒng)架構(gòu),文章提出一種理論分析方法,首先將一次攻擊過程分解為多個攻擊階段,然后分別對各個階段進(jìn)行建模評估,實現(xiàn)多段攻擊過程的安全分析.該方法最大的貢獻(xiàn)[20]在于引入時間屬性,指出攻擊成功的概率不僅是一個百分比,而是一個包含攻擊者攻擊過程可用時間的函數(shù),以此對攻擊結(jié)果進(jìn)行定量分析.

2.2 基于通信協(xié)議的安全解決方案

工業(yè)控制系統(tǒng)的協(xié)議眾多,早先工業(yè)控制系統(tǒng)為封閉系統(tǒng),為了保證自己的核心競爭力和機(jī)密性,多采用不對外開放的專有協(xié)議.隨著TCP/IP 等通用協(xié)議在工業(yè)領(lǐng)域的應(yīng)用,專有協(xié)議的安全缺陷開始被攻擊者利用,大部分專有協(xié)議的安全機(jī)制無鑒別、無加密、無審計,設(shè)備可通過掃描工業(yè)協(xié)議漏洞被發(fā)現(xiàn),如表2[2].

文獻(xiàn)[21]以“Stuxnet”事件為引,針對PLC 系統(tǒng)面臨的嚴(yán)重的安全威脅,對西門子最新的S7-1211C 控制器協(xié)議和TIA (Totally Integrated Automation)軟件漏洞進(jìn)行研究,為PLC 的安全研究做出極大貢獻(xiàn).文章指出,首先,文中發(fā)現(xiàn)的漏洞并不復(fù)雜,復(fù)雜的是使用通訊協(xié)議本身的合法功能時產(chǎn)生的安全威脅;其次,通訊協(xié)議的身份認(rèn)證機(jī)制和數(shù)據(jù)完整性檢查機(jī)制并不可靠;最后,現(xiàn)有的入侵檢測防御軟件的功能是有限的,對系統(tǒng)自身合法行為引起的安全威脅的檢測并不完善.文獻(xiàn)[22]更進(jìn)一步,分析通用的西門子S7 通訊協(xié)議,其分析方法有更好的實用性.該方法使用神經(jīng)網(wǎng)絡(luò)訓(xùn)練系統(tǒng)模型,利用系統(tǒng)模型當(dāng)前的網(wǎng)絡(luò)流量對系統(tǒng)異常進(jìn)行監(jiān)測.文章針對S7 通訊協(xié)議不需要身份驗證即可與PLC 建立連接并獲取數(shù)據(jù)的漏洞,開發(fā)S7 通訊協(xié)議客戶端用于攻擊測試.結(jié)果表明,該方法以97%的成功率檢測異常網(wǎng)絡(luò)數(shù)據(jù)包.這樣的結(jié)果為人們分析不同IDS 中的S7 通訊協(xié)議提供更加具體、可靠的依據(jù),同時為配合其他檢測技術(shù),建立檢測能力更高的入侵檢測系統(tǒng)提供幫助.

圖4 文獻(xiàn)[19]涉及的WoC 概念模型

表2 2018年不同協(xié)議可探測設(shè)備數(shù)量

同樣,用于監(jiān)視和控制底層物理系統(tǒng),滿足其更好的功能性和可用性需求的SCADA 系統(tǒng)也不能保證過程數(shù)據(jù)的機(jī)密性.文獻(xiàn)[23]針對IEC-104 協(xié)議開發(fā)一個解析器,對協(xié)議包解析后直接反饋到系統(tǒng)模型中,然后利用Bro 自適應(yīng)性策略制定的物理約束和安全需求對SCADA 流量進(jìn)行實時檢查.該方法可以在現(xiàn)場使用,探測到可疑和錯誤的命令或傳感器讀數(shù)時會自動生成警報,因此,該方法可以全面提高本地入侵檢測系統(tǒng)的安全性能.

文獻(xiàn)[24]則針對Modbus 協(xié)議提出新的入侵檢測方法.該文獻(xiàn)為基于軟件定義網(wǎng)絡(luò)(Software Defined Networking,SDN)的工業(yè)控制系統(tǒng)建立基于網(wǎng)絡(luò)的兩層入侵檢測系統(tǒng).第一層由運行在交換機(jī)上的協(xié)議白名單組成,利用基于P4 (Programming Protocol-independent Packet Processors)的數(shù)據(jù)包處理器實時監(jiān)控,將可疑數(shù)據(jù)包直接轉(zhuǎn)移到第二層進(jìn)行深入檢測;第二層則由一個深度包探測器和Bro 組成,目的是更新第一層中的白名單.該文獻(xiàn)的主要貢獻(xiàn)有:首先,該兩層入侵檢測系統(tǒng)使用P4 編寫包處理器,為以后擴(kuò)展其他工業(yè)協(xié)議奠定了基礎(chǔ),且數(shù)據(jù)包處理器直接運行在交換機(jī)上,不需要額外添加設(shè)備,降低運營成本;其次,兩層的設(shè)計理念解決現(xiàn)有的白名單方法的缺點,系統(tǒng)不再直接拒絕可疑包,而是將其轉(zhuǎn)發(fā)到第二層做深入檢測,減小負(fù)載;最后,仿真實驗證明,該入侵檢測系統(tǒng)對工控系統(tǒng)的通訊僅有極小的通訊延遲,基本不影響系統(tǒng)的實時性要求.

以上4 篇文章的貢獻(xiàn)在于從工控系統(tǒng)中使用的專用通訊協(xié)議出發(fā),針對通訊協(xié)議的安全漏洞提出相應(yīng)的入侵檢測方法,不僅填補(bǔ)了工業(yè)協(xié)議相關(guān)研究方面的空白,還為后續(xù)ICS 信息安全研究提出新思路.

3 ICS 信息安全未來發(fā)展方向

本文對會議論文中提出的安全解決方案進(jìn)行研究與分析,針對其中采用的技術(shù)與方法,對未來ICS 信息安全研究方向提出以下建議.

(1)網(wǎng)絡(luò)攻擊模型的應(yīng)用

網(wǎng)絡(luò)攻擊模型的應(yīng)用可以加深研究人員對網(wǎng)絡(luò)攻擊的認(rèn)識和描述,通過網(wǎng)絡(luò)攻擊模型可以對整個攻擊過程進(jìn)行結(jié)構(gòu)化建模和形式化描述,幫助研究人員利用已有的攻擊行為背景對網(wǎng)絡(luò)攻擊進(jìn)行深入分析.隨著IT 技術(shù)的發(fā)展和網(wǎng)上共享資源的增加,攻擊手段越來越多樣化,攻擊過程越來越復(fù)雜,想把攻擊完全隔離在系統(tǒng)之外是不可能的,只能根據(jù)已知攻擊行為的關(guān)聯(lián)性找出攻擊規(guī)律,進(jìn)一步確定攻擊目標(biāo),從而針對攻擊過程采取階段性的防御策略來阻止攻擊.這足以可見網(wǎng)絡(luò)攻擊模型在當(dāng)前背景下的重要作用.當(dāng)前我國研究人員對網(wǎng)絡(luò)攻擊模型研究的實際應(yīng)用還不完善,更加需要深入研究網(wǎng)絡(luò)攻擊模型的實際應(yīng)用和理論創(chuàng)新,積極在入侵檢測和防御系統(tǒng)中應(yīng)用網(wǎng)絡(luò)攻擊模型.

(2)開源的工業(yè)控制系統(tǒng)仿真平臺

由于工業(yè)控制系統(tǒng)的封閉性,廠商對不信任或未經(jīng)身份驗證設(shè)備連接的拒絕,ICS 仿真平臺一直是研究的熱點,隨著仿真和虛擬技術(shù)的發(fā)展,工業(yè)控制系統(tǒng)系統(tǒng)仿真技術(shù)已得到廣泛應(yīng)用.但是已有的仿真平臺聚焦于特定的工業(yè)協(xié)議和控制系統(tǒng),通用性差,不具備擴(kuò)展能力.更重要的是,大部分仿真平臺不開源,使用成本高,使得部分學(xué)術(shù)研究試驗不可再現(xiàn),阻礙學(xué)術(shù)研究進(jìn)展.隨著工業(yè)控制系統(tǒng)信息安全受重視程度的提高,迫切需要開發(fā)更多免費、開源的仿真平臺,以便其在信息安全研究進(jìn)程中發(fā)揮重要作用.

(3)非技術(shù)型人機(jī)界面的研究

人機(jī)界面可以把系統(tǒng)中涉及和產(chǎn)生的數(shù)據(jù)信息轉(zhuǎn)為直觀的圖形化界面,方便系統(tǒng)和用戶之間的信息交互,但已有的人機(jī)界面多用于與技術(shù)人員進(jìn)行溝通,專業(yè)性過強(qiáng),非技術(shù)型研究人員不能簡單易懂的獲取相關(guān)信息,阻礙研究進(jìn)程.工業(yè)控制系統(tǒng)信息安全研究中,不僅涉及以信息安全為背景的研究人員,還會涉及工業(yè)背景的研究人員,以及不具有任何安全知識背景管理層和用戶.為了更明確的表示安全結(jié)果,可視化人機(jī)界面要多者兼顧,提供技術(shù)型和非技術(shù)型人機(jī)界面,促進(jìn)不同研究背景下安全技術(shù)的融合.

4 結(jié)束語

工業(yè)4.0 時代的到來,ICS 在國家關(guān)鍵基礎(chǔ)建設(shè)中的重要地位得到極大提高.同時,信息化與工業(yè)化的深度融合使工業(yè)控制系統(tǒng)繼承IT 系統(tǒng)的網(wǎng)絡(luò)安全威脅,但是工業(yè)控制系統(tǒng)ICS 與IT 系統(tǒng)之間存在巨大差異,不能直接將傳統(tǒng)IT 安全技術(shù)應(yīng)用于ICS 中,需要根據(jù)實際需求研究適用于ICS 的安全技術(shù),這使我國起步較晚的工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的挑戰(zhàn).本文對2018年ICS-CSR 會議涉及的先進(jìn)的ICS 信息安全解決方案做出闡述與分析,并根據(jù)實際需求對研究方向提出針對性建議.總之,ICS 信息安全行業(yè)剛剛步入正軌,成長空間廣闊,仍需要研究人員對工業(yè)控制系統(tǒng)信息安全技術(shù)做出新的研究.