1 引言

    工业控制系统一般是指监测和控制物理对象的计算机系统，它们是深度嵌入了信息和通信技术的信息物理融合系统，工业控制系统在国民经济和人民日常生活中发挥着重要作用，是国家关键基础设施和国民经济各行各业的自动化装备的大脑和中枢神经。随着物联网的普及和两化融合的推进，将IT信息安全的风险延伸到工业控制系统。近年来由网络攻击引起的工业控制系统安全事故频发，并且呈逐年增加的趋势，工业控制系统信息安全的严峻形势引起了社会的高度关注。

    2　工业控制系统信息安全特点

    工业控制系统是一个生产运行系统，其系统结构、功能相对固定，具有较长生命周期，这决定了工业控制系统与传统的IT系统信息安全的诸多不同。

    2.1　工业控制系统信息安全的内容

    工业控制系统信息安全的内容包括：信息自身的安全、信息利用的安全和系统的自身安全三个层次，即包含数据安全、内容安全、系统运行安全和物理安全四个安全层面。数据安全是指对信息在数据处理、存储、传输、显示等过程中的保护，主要的保护方式有加密、数字签名、完整性检查、认证防抵赖等；内容安全是指对信息真实内容的隐藏、发现、选择性阻挡等，主要的处置手段是信息识别与挖掘技术、过滤技术、隐藏技术等；系统运行安全是指对工业控制系统运行过程和运行状态的保护，主要涉及控制系统的可控性和可用性等，主要的保护方式是漏洞扫描、入侵检测、态势感知及风险评估、应急入侵反应等；物理安全是指系统设备、人和环境的保护，主要的保护方式是采取物理隔离和安全仪表系统等。

    对于工业控制系统这样一类信息物理融合系统，其信息安全的研究内容是在关注数据安全和内容安全的前提下，更注重入侵攻击下的系统运行安全和物理安全的研究。

    2.2　工业控制系统信息安全的属性

    被称为信息安全金三角(CIA)的框架模型，包括机密性、完整性和可用性三个核心属性。但工业控制系统的工作和运行特点（24/7/365）决定了工业控制系统信息安全防护研究需要将信息的实时可用性、系统和信息的完整性置于比信息机密性更高的优先级。工业控制系统是一个实时的生产运行系统，不能接受突然停机带来的损失，这也决定了频繁、主动的离线升级，修补软件（含信息安全涉及的软件模块，如访问控制、入侵检测、入侵反应等）漏洞方案不适合工业控制系统。

    2.3　信息安全风险管理的要求

    基于风险的信息安全管理和控制已被业界所接受，而工业控制系统在受到入侵攻击时，会对物理系统，人员、环境产生安全风险，因此，工业控制系统信息安全风险主要来自可用性受到威胁而导致的生命、财产以及环境的损失。在这当中，将人的保护置于最高优先级，其次是控制过程相关的设备和环境及生产的保护。并且工业控制系统的风险评估需要将不同维度的风险因素统一尺度量化，如环境的影响、生命的损失、设备及产品的损失等。

    工业控制系统信息安全风险管理很重要的一个特点是需将动态风险管理置于更加重要的位置，以适应这种具有较长生命周期的实时生产运行系统的控制与管理。

    3　工业控制系统信息安全防护存在的问题

    工业控制系统信息安全防护近年来引起社会和政府的高度关注，在各界同仁的共同努力下，取得了一些共识和成绩，但目前还存在以下一些突出问题。

    3.1　没有从系统整体和全局进行安全防护

    目前的工业控制系统信息安全防护大多是从系统或网络的局部或某一个环节的安全问题展开研究，针对某一方面或某一个层次的安全问题提出的解决方案，不能从整体和根本上解决工业控制系统信息安全问题。这体现在系统信息安全防护全生命周期的各个阶段：

    （1）在运行系统没有考虑信息安全的要求，新的系统很少考虑信息安全的要求，所以这些系统从一开始就很难协调生产运行系统的生产运行要求、可靠性要求以及信息安全要求。

    （2）目前的研究多是针对系统的局部（如网络、应用层协议、控制对象等），或从各自的领域（软件工程、控制工程或通信工程）进行的，但工业控制系统是一个涉及多领域的复杂系统，系统的各领域视角之间是相互耦合的。工业控制系统的入侵检测必须基于工业控制系统各领域知识及领域间耦合关系构建系统的模型知识，展开多源异常入侵检测，并在此基础上根据系统多源异常数据进行攻击辨识。

    （3）目前的入侵反应安全策略决策，多数是根据系统的某一个方面或某一环节进行决策，没有考虑系统的整体和信息安全防护的全过程。工业控制系统属于生产运行系统，其信息安全问题涉及到安全（信息安全、功能安全）、品质、效率、成本（运行成本、维护成本）等多方因素，现在的入侵反应系统基本上没有考虑这些因素的协调和控制。

    3.2　以被动防御为主，缺乏主动防御

    现在的工业控制系统信息安全防护主要是以被动防御为主，更新系统和安装补丁是主流的被动防御手段，但是工业控制系统作为一个24/7/365实时连续运行系统，不能经常更新系统、安装补丁或者更新病毒库，这就导致了工业控制系统存在大量漏洞，极容易被攻击者利用实施攻击。

    入侵检测结合响应系统是工业控制系统运行安全防护的一个有效手段，但对于工业控制系统这种强实时信息物理融合系统，一旦检测到入侵，不管是采取报警手动干预，还是采取半自动的入侵反应系统，都属于事后决策，此时入侵攻击可能已经对工业控制系统造成了不可挽回的损失。

    被动防御的主要特点是“亡羊补牢，消缺补漏”，如果发生入侵攻击，会严重威胁系统的可用性，对于工业控制系统来说可能产生人员伤亡、环境污染等严重损失，工业控制系统因其对可靠性的苛刻要求，其信息安全更需要“未雨绸缪，防患于未然”的主动防御，将入侵攻击扼杀于萌芽中。

    3.3　缺乏对系统运行安全的防护

    传统的 IT 系统的信息安全防护，重点关注的是数据安全和内容安全，所以常见的方法是在阻止和隔离的基础上进行数据的加密和解密、访问控制等措施。但工业控制系统的特点要求信息安全要重点关注系统的运行安全，即控制系统运行过程中入侵攻击导致的功能失效而引起的功能安全问题，这也决定了工业控制系统信息安全防护将可用性置于最高的优先级，但是目前工业控制系统信息安全对运行安全的防护十分单薄，缺乏和忽视工业控制系统遭到网络攻击时的系统运行安全防护，而且工业控制系统的工作和运行特点决定了其信息安全防护的各个环节必须具有自组织等自治能力，其信息安全防护必须具有整体联动、全局防御的能力。

    4　工业控制系统信息安全防护对策分析

    工业控制系统信息安全是一个复杂的系统工程，贯穿控制系统的整个生命周期，涉足到技术、管理、培训等诸多环节，工业控制系统的信息安全防护必须从系统和全局的角度，来平衡各方面的需求，协调多目标之间的控制，而且还必须具有对应用对象和动态环境的自适应能力和运行过程中的自组织管理能力。

    目前，工业控制系统信息安全首先是加强培训，增加各类相关人员的信息安全意识，其次加强信息安全技术管理。对于目前的信息安全防护，以下技术手段（安全对策）值得关注。

    4.1　将信息安全作为控制系统非功能性要求

    信息安全作为现代工业控制系统必备的要求之一，信息安全防护的需求直接决定了系统信息安全的目标，同时工业控制系统还需完成满足系统运行的功能要求以及可靠性和功能安全方面的非功能性要求等其它目标，而且这些需求和目标在一定的成本控制下往往又是对立和矛盾的。因此要协调这些需求和目标之间的矛盾，从系统的需求阶段，就必须将信息安全作为控制系统的非功能性需求，并且经过平衡系统的各种需求和目标，来确定系统的信息安全需求具体内容。

    4.2　利用成本收益方法，平衡设计阶段各方面的需求

    鉴于入侵攻击的智能性，简单的防御对于当前越来越智能的入侵攻击作用甚微，现代的信息安全防护采用纵深防御的多层防护体系，在阻止隔离的基础上，充分发挥软件的作用，运用容忍入侵技术实现系统的信息安全目标。如在实际中实施的安全分区、网络专用、横向隔离和纵向认证得到了很好的应用效果。但由于绝大多数工业控制系统对投资成本的敏感性，如何利用有限的投资，发挥最大的防御作用，是在系统设计阶段，面临的一个棘手问题。

    对系统进行静态风险评估，采用成本收益量化的方法，优化设计方案，是一个切实可行的方法，它可以取得控制系统各方面需求的最优平衡点，进而寻求全局的最优方案。

    4.3 开发适合工业控制系统的入侵检测系统

    检测系统在信息安全的防护中起着举足轻重的作用，它对网络传输和系统运行过程中的入侵行为进行实时监视，在发现可疑时发出警报或者触发入侵反应系统采取反应措施。工业控制系统因为其与传统 IT 系统的区别，系统的功能和结构相对固定，通信协议固定而有限，这使得开发符合工业控制系统特点的入侵检测成为可能，尤其可以克服IT系统中基于异常行为的入侵检测系统的误报率高的缺点。

    基于工业控制系统的多个视角（网络、系统实现、控制对象）进行入侵检测，将基于网络模型、控制系统的实现模型、对象的机理模型和对象的结构模型的入侵检测结果进行信息融合和入侵攻击辨识，这种深度融合工业控制系统特点的入侵检测系统将极大地提高入侵检测的准确率。

    4.4　重视入侵响应系统的开发和研究

    入侵检测系统在系统的信息安全中发挥了较大作用，但对网络和系统的保护能力有限，因为它的作用仅限于发现入侵行为和记录入侵行为便于事后追查，而不能及时地阻止入侵行为，消除入侵造成的危害。目前入侵检测系统在发现入侵行为后通常需要管理员进行人工干预和响应，而且如何响应，完全取决于人的相关知识和技能，因此入侵响应系统的研究显得越来越重要。它与入侵检测系统的结合使用能够更大程度地保护网络和系统的安全。

    工业控制系统的入侵响应系统是在入侵检测的基础上，进行在线态势感知和风险评估，辅助人工进行安全决策，或者为在线自动安全策略决策组件提供当前的安全状态及相关信息，自动进行在线安全决策，及时阻止入侵行为，屏蔽入侵造成的危害。入侵响应系统是系统对入侵后的自组织管理和容忍入侵的核心组件。随着控制系统的发展，入侵响应系统在信息安全防护中的作用显得越来越重要。

    5　结语

    工业控制系统是一个典型的深度嵌入了信息和通信技术的信息物理融合系统，其功能、结构和运行特点，决定了其信息安全防护与传统IT系统的差异性。工业控制系统信息安全防护在关注数据安全和内容安全的前提下，更注重入侵攻击下的系统运行安全和物理安全的研究，它是一个复杂的系统工程，贯穿控制系统的整个生命周期，涉足到技术、管理、培训等诸多环节，它必须从系统和全局的角度，来平衡各方面的需求，协调系统的多个目标之间的控制。

    作者简介

    周纯杰（1965-），男，博士，现为华中科技大学自动化学院教授、博士生导师。目前主要研究方向为工业控制系统信息安全、工业通信及智能系统、安全网络化控制系统、模式识别及智能控制。

    摘自 工业控制系统信息安全专刊