第3章 工业控制系统信息安全技术与方案部署

3.1 工业控制系统信息安全技术简介

工业控制系统信息安全技术作为工业控制系统的重中之重，正吸引着全球工业控制系统产品制造商、用户、工程公司、相关职能部门的目光。理解和掌握这些工业控制系统信息安全技术，才能为工业控制系统信息安全提供有效的解决方案。

工业控制系统信息安全技术一般分为五大类，包括鉴别与授权技术，过滤、阻止、访问控制技术，编码技术与数据确认技术，管理、审计、测量、监控和检测技术，以及物理安全控制技术。

3.1.1 鉴别与授权技术

鉴别与授权是工业控制系统访问控制的最基本要求。鉴别用于验证用户所声称的身份，即验证用户身份的过程或装置，通常是允许进行信息系统资源访问的先决条件。授权是批准进入系统访问系统资源的权利。

鉴别与授权技术包括基于角色的授权工具、口令鉴别、物理/令牌鉴别、智能卡鉴别、生物鉴别、基于位置的鉴别、设备至设备的鉴别等。

1. 基于角色的授权工具

根据工业控制系统用户的角色或职责，分配不同的访问权限，如操作人员权限、维护人员权限、管理人员权限、工程人员权限等。

目前的工业控制系统均配置这种基于角色的授权工具。

2. 口令鉴别

口令鉴别是工业控制系统最简单、最常用的鉴别技术。

在工业控制系统中，口令能够用于限制授权用户请求的服务和功能。

3. 物理/令牌鉴别

物理/令牌鉴别与口令鉴别相似，只是用户在请求访问时必须有安全令牌或智能卡。

4. 智能卡鉴别

智能卡鉴别与令牌鉴别相似，只是它能提供更多的功能。

5. 生物鉴别

生物鉴别通过请求用户独特的生物特征来确定其真实性。

常用的生物鉴别有指纹仪、掌形仪、眼睛识别、面部识别、声音识别等。

6. 基于位置的鉴别

基于位置的鉴别技术是指通过设备或请求访问用户的空间位置来确定其真实性。

这种鉴别技术通常要求系统配有GPS技术。目前这种技术应用较少。

7. 设备至设备的鉴别

设备至设备的鉴别是指确保在两个设备之间数据传送发生的恶意改变能得到识别。

这种鉴别技术通常与编码技术一起部署。

3.1.2 过滤、阻止、访问控制技术

过滤、阻止、访问控制技术用于指导和调节已授权的设备或系统的信息流量。

过滤、阻止、访问控制技术包括工业防火墙技术、基于主机的防火墙技术、虚拟网络技术等。

1. 工业防火墙技术

工业防火墙是工业控制系统信息安全必须配置的设备。工业防火墙技术是工业控制系统信息安全技术的基础。

工业防火墙技术可以实现区域管控，划分控制系统安全区域，对安全区域实现隔离保护，保护合法用户访问网络资源；同时，可以对控制协议进行深度解析，可以解析Modbus、DNP3等应用层的异常数据流量，并对OPC端口进行动态追踪，对关键寄存器和操作进行保护。

工业防火墙技术包括数据包过滤防火墙技术、状态包检测防火墙技术和代理服务网关防火墙技术。

数据包过滤防火墙适用于工业控制，早期市场中已普遍使用，但其缺陷也慢慢显现出来。

状态包检测防火墙适用于工业控制，目前正在推广应用，其优越性也开始显现。

代理服务网关防火墙不太适用于工业控制，但也有不计较延时情况的应用。

有关工业防火墙技术的详细分析见第3.2节。

2. 基于主机的防火墙技术

基于主机的防火墙技术是部署在工作站或控制器的软件解决方案，用于控制进出特定设备的流量。

这种基于主机的防火墙技术具有与工业防火墙类似的能力，包括状态包检测。目前这种技术偶尔用于非关键的工作站。

3. 虚拟网络技术

虚拟局域网将物理网络分成几个更小的逻辑网络，以增加性能、提高可管理性，以及简化网络设计。

虚拟网络技术在控制系统中运用较多。

3.1.3 编码技术与数据确认技术

编码技术是对授权信息数据进行编码与解码的技术。数据确认技术可以保护用于工业过程的信息的准确性和完整性。

编码技术与数据确认技术包括对称密钥编码技术、公钥编码与密钥分配技术、虚拟专用网络技术等。

1.对称密钥编码技术

对称密钥编码需要将明码文本转换成密码文本，并且在加密和解密过程中均用同一把密钥。

目前常见的对称密钥算法有三重数据加密标准（3DES）和高级加密标准（AES）。AES常见的有AES128、AES192或AES256。

2.公钥编码与密钥分配技术

与对称密钥编码不同的是，公钥编码使用一对不同且有关联的密钥（也称公私钥对）。

这类公钥鉴别通常部署在传输层安全（如SSL）、虚拟公网技术（如IPsec）等。

3.虚拟专用网络技术

虚拟专用网络（VPN）技术是一种采用加密、认证等安全机制，在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。它不仅可以保护网络的边界安全，同时也是一种网络互联的方式。

目前，SSL VPN已广泛应用于控制系统。

有关虚拟专用网络（VPN）技术的详细分析，见第3.3节。

3.1.4 管理、审计、测量、监控和检测技术

管理、审计、测量、监控和检测技术包括日志审核工具、病毒与恶意代码检测系统、入侵检测与入侵防护技术、漏洞扫描技术、辩论与分析工具。

1.日志审核工具

日志审核工具是系统管理员管理系统日志的工具，能够发现并记录信息安全事件发生的迹象、文件及攻击入口等。

目前市场上也出现一些日志审核工具，如大多数操作系统均有维修日志文件等。

2.病毒与恶意代码检测系统

病毒与恶意代码检测系统是一种主动检测非正常活动的代理机制，通常部署在工作站、服务器和边界。

3.入侵检测与入侵防护技术

入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

入侵防护是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。

目前，入侵检测与入侵防护技术已在控制系统中开始采用。

4.漏洞扫描技术

漏洞扫描技术是一种检测系统和网络漏洞的方式，这种方式通常用于企业系统网络遭到破坏，恶意入侵者进入控制系统时进行检测。

漏洞扫描技术通常由漏洞库、扫描引擎、本地管理权限代理和报告机制组成。

由于工业控制系统漏洞库比较有限，因此其漏洞扫描技术应用并不多。

5.辩论与分析工具

辩论与分析工具用于基本的网络活动，分析非正常的网络流量，以帮助信息安全研究人员和控制系统管理员的工作。

3.1.5 物理安全控制技术

物理安全控制技术采用一些物理措施，以限制对工业控制系统信息资产的物理访问。

物理安全控制技术包括物理保护、人员安全等。

1.物理保护

工业控制系统物理保护通常指的是安全防范系统，包括访问监视系统和访问限制系统。

访问监视系统包括摄像机、传感器等识别系统。访问限制系统包括围栏、门、门禁、保安等。

2.人员安全

工业控制系统人员安全通常指的是减小人为失误、盗窃、欺骗或有意/无意滥用信息资产的可能性和风险。

这些人员安全通常包括雇佣方针、公司方针与实践、任用条款等。