1　引言

    近年来，随着社会的进步，工业控制系统已广泛应用于各种关系到国计民生的安全关键系统中。物联网的普及以及两化融合的推进，使得大量IT技术被应用到工业生产中，工业控制系统已从传统孤立、封闭，向着大规模、开放性、互联互通的方向发展。然而，在控制系统发展的初期，主要考虑系统的可用性和可靠性，对系统的信息安全并未提出很高的要求，这就不可避免地导致系统存在安全缺陷。这些缺陷如果被人利用，将会导致大量的工业控制系统信息安全事件，如2010年发生的“震网”病毒事件。工业控制系统是信息域和物理域交互的复杂系统，信息攻击导致物理系统故障，甚至可以引发重大安全事故，造成严重经济损失和社会负面效应。据美国工业控制系统信息安全应急响应小组（Industrial Control Systems Cyber Emergency Response Team）统计，工业控制系统信息安全事件呈现愈演愈烈、逐年急剧上升的态势，并且几乎涉及关乎国家安全和国民生计的所有行业领域。因此，工业控制系统信息安全防护问题是一个亟待解决的、无法避免，也不能避免的关键问题。

    2　工业控制系统信息安全特点

    与IT系统不同，工业控制系统功能、结构相对固定，IT领域信息安全解决方案并不能完全满足工业控制系统信息安全需求。工业控制系统是具有较长生命周期的生产运行系统，系统组件一般要求能够运行15~20年，对其可靠性和可用性要求很高。在信息安全方面不仅要保障IT领域所重点关注的数据安全、内容安全，更重要的是保障其物理安全和系统的运行安全。作为实时关键系统，其工作方式和运行特点（24/7/365）决定了信息安全三个安全属性中可用性优先于完整性和机密性。因此，系统意外停机是不允许的，必须提前数天或数周进行通知和计划。软件的更新和数据库的升级必须经过严格的测试才能应用于工业控制系统。

    工业控制系统是集深度嵌入网络通信、计算控制、物理过程于一体的复杂信息物理融合系统。与物理过程的复杂交互，如现场PLC直接控制最终生产过程，使得网络信息攻击可延伸到物理环境，严重影响系统或设备的可用性，发生安全事故，对人员、环境、资产造成威胁。因此，工业控制系统信息安全的主要风险来源于信息攻击而引起可用性损失，并且重点关注由此导致的生命、财产和环境的损失。其中，人员的安全风险置于最高优先级，其次是保护系统设备及环境。工业控制系统的实时、动态、长周期特性，也决定了工业控制系统信息安全动态风险管理必须满足系统全生命周期的管理和控制需求。

    3　工业控制系统信息安全防护的主要内容

    大量IT技术的采用，工业控制系统面临的信息安全威胁日趋严重。各种网络攻击技术的发展，使得单一的防御技术已经很难抵御网络威胁。作为生产运行系统，工业控制系统信息安全防护是一个涉及整个系统全生命周期的、动态防护过程。其防护在标准规范的指导下，不仅需要从技术上保障，同样需要从管理上进行优化。图1显示了工业控制系统信息安全综合防护所涉及的主要功能模块。

图1 工业控制系统信息安全防护的主要功能模块

    工业控制系统信息安全管理须遵循一定的标准规范，包括管理规范、设计规范和评估规范。管理规范，规定合理有效的策略操作和控制流程，指导工作人员行为，提升员工的业务水平，减少管理上带来的系统风险。系统设计也需要遵循标准的设计规范。按照规范的流程，多方面考虑控制系统需求，详细地对系统各阶段、各部分进行分析和规划，尽可能在设计阶段减少系统安全缺陷。严格的评估规范也是必不可少的，它是评估系统风险和客观评价系统信息安全优劣程度的标杆。在各类标准规范的指导下，系统的分析设计才能以最小的代价获得最大的收益。

    结合标准规范准则的指导，从工业控制系统全生命周期出发，分析其主要阶段的信息安全防护对策，保障在生命周期主要阶段过程中工业控制系统信息安全防护始终处于较高水平，这是工业控制系统信息安全防护的有效手段之一。本文拟从需求分析及系统设计、系统运行和系统维护三个阶段分析工业控制系统信息安全防护的对策。图2所示为主要阶段的信息安全防护关键技术间的逻辑关系。

图2 工业控制系统信息安全防护主要关键技术间逻辑 关系

    在需求分析及系统设计阶段，在系统识别的基础上，制定安全防护措施及方法，进行安全保护。在系统运行阶段，基于“系统检测-控制决策-响应恢复”的容忍入侵方法，将闭环反馈控制的思想引入动态信息安全防护中，实现具有一定安全弹性的实时动态调节能力的容忍入侵信息安全防护。在系统维护阶段，评估运行阶段积累遗留的问题及系统需求的变更，改善系统，使之达到预期效果。

    4　工业控制系统全生命周期主要阶段信息安全防护的对策

    4.1　需求分析及系统设计阶段信息安全防护的对策

    信息安全防护作为主要的非功能性需求，在系统需求分析与系统设计阶段需要重点考虑。确定工业控制系统信息安全防护主体，分析系统潜在威胁和风险，拟定其信息安全需求规范。由于系统功能需求规范、信息安全需求规范以及其他非功能需求规范往往存在冲突，故需对多种需求规范进行协调控制，最终确定系统整体需求规范。图3所示为工业控制系统信息安全需求分析流程。在进行各方需求协调时，需要考虑工业控制系统多方面的约束条件，如性能约束、资源约束、成本约束以及风险约束等。在控制系统资源受限、成本有限的环境下，寻求最佳的系统性能，并保持系统风险控制在可接受的范围之内。

图3 工业控制系统信息安全需求分析流程

    典型的工业控制系统可分为三层：企业层、监控层和现场控制层。结合系统各层信息安全需求，建立深度融合工业控制系统特点的纵深防御体系已成为工业控制系统信息安全防护的主流形式。图4所示为典型的工业控制系统信息安全纵深防御体系结构。

图4 典型工业控制系统信息安全纵深防御体系结构

    企业层的信息交互一般通过Internet进行，其功能包括数据管理、客户管理、生产调度等。其信息安全需求与IT系统类似，可用诸如工业防火墙、访问控制等防护手段进行安全防护。监控层，一般结合具体的应用特点，采取专用的工业通信协议。其信息安全防护需求不同于IT系统，制定针对性的访问控制策略和通信管控策略等是实现监控层主动防御的有效方法。现场控制层的信息安全是工业控制系统信息安全防护的重中之重，也是实现本质信息安全的重要保障。针对现场控制层的入侵攻击众多，攻击后果严重。并且，控制系统结构复杂、工艺过程复杂，采用分区、分级的信息安全防护可有效地阻断攻击影响传播，保护系统重要组件和工艺流程。此外，由于工业控制系统属于信息物理融合系统，信息攻击可导致物理故障，甚至引发重大安全事故，而造成人员伤亡和社会负面效应。故现场控制层信息安全防护需具备容忍入侵的能力，以保证入侵攻击下，系统仍能降级运行或安全停机。

    因此，该阶段需要结合系统功能需求，分析工业控制系统资产及其运行环境，检测系统的漏洞，及其面临的安全威胁，进行系统信息安全需求分析；在此基础上进行静态攻击预测分析和静态的风险分析，制定风险管理策略。针对系统风险，对系统进行分层、分区、分级，建立纵深防御体系，拟定常见的保护措施如访问控制、通信管控、关键任务容错、容忍入侵的防护等，提升系统安全运行能力。

    4.2　运行阶段信息安全防护的对策

    工业控制系统是一个生产运行的实时关键系统，对可用性和可靠性要求极高，需具备容忍入侵的信息安全防护能力。图5所示为运行阶段工业控制系统容忍入侵的信息安全防护控制结构示意图。

图5 运行阶段容忍入侵的信息安全防护控制结构示意图

    该防护架构采用基于风险、状态、时间的多级信息安全闭环控制结构。外层采取风险控制闭环，将系统的风险控制在可接受范围内。中间层的状态控制闭环，保证系统运行状态的安全可控。内层的时间控制闭环，完成安全策略的实施以及效果反馈调节。以此实现具备高度容忍入侵能力的工业控制系统信息安全防护。

    工业控制系统实时入侵检测是容忍入侵信息安全防护的感知环节。通过部署系统资源探针，采集并分析全方位系统实时数据，进行攻击特征识别和在线自学习，实现基于特征和基于异常相结合的入侵检测。对检测结果进行警报融合和攻击辨识，识别并预测入侵攻击信息，实现系统的实时在线监控。

    基于风险的安全策略决策是容忍入侵的信息安全防护的控制环节。根据系统实时入侵检测的结果，结合系统运行状态，进行系统安全态势感知，评估系统的实时风险。结合系统风险控制需求，进行系统状态控制和动态安全策略决策，给出最佳安全策略及其优化方案，使系统风险处于可接受范围之内。

    实时控制是容忍入侵的信息安全防护的实施环节，是系统的安全响应恢复过程。根据控制决策中产生的最佳安全策略，生成相应的安全任务集。结合原本系统任务集，分别从系统级和节点级进行任务可调度性分析，并构建新的系统任务集。然后进行任务一体化实时调度，实施该任务集，及时地进行系统恢复。同时评估并反馈策略执行效果，以进行优化设计，保障系统信息安全。

    4.3　维护阶段信息安全防护的对策

    设计开发之时难免会有一部分隐藏的安全缺陷。系统在交付使用后，这些脆弱性在某些特定的情况下会暴露出来，需要进行维护完善。同时，为了适应环境的变化，如系统因入侵攻击而积累的安全缺陷或者系统安全需求的变更等，系统也需做出相应的调整，使系统更长久的运行。故首先需要对系统各方面进行评估，然后进行有针对性的改善。

    系统评估期间，首先统计系统运行环境或安全需求变更，分析实施信息安全后系统运行反馈效果。同时，需评估资产状态和系统状态，如有无组件损害或失效，系统性能是否降低、数据库是否需要更新等。评估系统受损情况以及安全状态，判断系统风险是否处于可接受范围内。

    系统改善过程中，依据上述分析评估结果，拟定系统变更方案，并逐步、有序地实施该方案。变更方案实施完毕后，需进行系统安全合格性检验。如果不满足要求，则需要重新修改变更方案，再实施，再检验，直至达到所预期的效果。

    5　结语

    本文在详细分析工业控制系统典型特点的基础上，提出了工业控制系统信息安全综合防护的主要对策，指明工业控制系统信息安全防护所涉及的思路和关键技术。并且，从工业控制系统全生命周期的角度出发，分别考虑需求分析及系统设计阶段、系统运行阶段以及系统维护阶段信息安全实现的具体内容，旨在为工业控制系统信息安全防护设计提供参考。

    在需求分析及系统设计阶段，考虑系统功能性需求和非功能性需求，以及在性能、资源、成本和风险等多个约束条件下的协调关系。结合工业控制系统典型特点，建立纵深防御体系，并分析各层的信息安全防护方法。系统运行阶段，提出基于风险、状态、时间的多级信息安全防护控制结构，以实现具备一定安全弹性、容忍入侵能力的工业控制系统信息安全防护。并从实时入侵检测、动态风险安全策略决策、系统实时控制方面描述其具体实现的关键技术。维护阶段，则识别系统安全隐患，统计系统变更情况，制定、实施改善措施，并进行安全验证，直至到达预期效果。

    基金项目：国家自然科学基金重点项目（61433006）、国家自然科学基金面上项目（61272204）。


作者简介

李汇云（1991-），男，硕士，华中科技大学自动化学院硕士。目前主要研究方向为工业通信和智能系统、工业控制系统信息安全。

李璇（1990-），男，博士，华中科技大学自动化学院博士。目前主要研究方向为工业控制系统信息安全、资产分析及评估。