工业控制系统安全

引言 工业控制网络(ICN)通常是由专用的硬件资源和通信网络组成，是单独的，孤立的系统，用于完成控制功能的计算资源(包括CPU计算时间和内存)是极其有限的，控制系统的设计需要满足可靠性、实时性和灵活性等需求。在工业控制网络的早期开发过程中，信息安全的问题还没有凸显出来，信息安全通常都不是一个重要的设计要求，因而为了提高性能要求和节约成本，通常都忽略了信息交互的考虑。此外，信息安全目标有时和控制系统的高可靠性和实时操作相冲突。 在整个工业控制网络技术体系中，基于SCADA系统(监视控制和数据采集系统)平台的控制网络是一种使用较为广泛的工业控制网络，其综合集成了计算机网络、现代通信，微电子以及自动化技术，普遍应用于电力，供水、石油，天然气、轨道交通和化学工业领域，是国家关键基础设施的重要组成部分，关系到国家的战略安全。2007年以来，世界各国政府和各种网络信息安全机构已经注意到工业SCADA系统网络的安全问题，纷纷开展了相关工作，如欧盟已经开展关于SCADA安全规范的标准讨论与制定。为保障工业SCADA系统网络的机密性，完整性。同时满足可用性，文中设计了一个安全服务框架，并讨论了该框架的具体细节。一、工业SCADA系统网络结构 SCADA系统广泛应用于诸多行业，功能越来越强大，结构也越来越复杂。一般意义上，工业控制SCADA系统可分为3层，如图1所示。图1：工业SCADA系统网络 第1层为数据采集层，由RTU与一次仪表构成，完成现场原始数据的采集与预处理，而且根据设计需求还可以实现现场的数据存储，以保证通信中断后数据的连续性； 第2层为SCADA系统通信网络层，由光纤、微波，卫星，GPRS，数传电台等信道组成，以实现远距离通信； 第3层为SCADA控制端系统层，在此层实现对已采集数据的分析、整理，并根据需要实现多种形式的发布。业界很多公司分别在数据采集层，SCADA系统通信网络层、SCADA控制端系统层都拥有极其稳定的产品和丰富的系统集成经验。 此外，根据工业控制网络的具体应用环境和规模，数据采集层会将SCADA信息数据进行分布式处理，形成SCADA系统子站设备层，以减轻SCADA系统中心控制端的负载。二、工业SCADA系统网络的常见安全威胁 工业自动控制领域使用较为普遍的、成熟的是与IP网技术截然不同的工业控制网通信技术体系，如现场总线网通信系列、RS485总线通信、PLC网络通信等。虽然一些研究机构新近提出了实时控制IP网承载技术方案，但离广泛的应用尚存在一定差距。工业SCADA系统网络的安全威胁主要来自外部与内部两个方面外部威胁主要表现在外部攻击者通过非授权方式进入控制系统，对工业控制网络内部资源进行访问，造成机密信息的丢失或误用，危及工业过程安全，突出表现在篡改控制命令、伪造状态信息、传播病毒、关键时刻阻塞控制信道和导致系统不能正常运转等。内部威胁主要表现在网络自身故障，本地用户对设备控制系统的攻击与非法访问几个方面。三、工业SCADA系统网络的防护技术及问题 3.1 SCADA系统网络安全现状 大型基础设施工业界通常把以非IP网络的sCADA过程控制网络看成一个很大的黑箱，通过尽量把控制网络环境从IP信息网络中分离出来，作为主要的保护工业SCADA系统网络安全的方法。所以目前的网络安全现状如下： 截止到2009年，尚没有出现专门针对工业SCADA系统网络安全的，已发布的，确切的国际标准(ISO/IEC)； 一些国际组织开始发布与SCADA控制网络安全相关的协议规范讨论稿，但离形成标准推广应用存在的差距较大； 越来越多的来自工业自动控制领域的高校、科研院所、大型企业开始关注SCADA网络的安全性，发表了一定数量的相关论文和报告； 目前业界关注工业控制领域的信息网络安全主要以工业以太网为焦点，以SCADA系统为基础的工业控制网络相对较少。 3.2 目前的SCADA系统网络安全防护方案面临的问题 从2009年网络安全技术产品的最新发展看，对于使用TCP/IP网络作为SCADA业务承载通道的工业控制网SCADA系统，国内外的信息安全公司已经研发出了相应的网络安全产品，并形成了相应的安全技术方案。 3.2.1 技术机制 技术机制包括VPN、密码机制，人像识别，访问控制、防病毒软件、登录认证、网络隔离技术等。 3.2.2 主要能解决的问题 目前以IP网络为基础的SCADA系统网络安全方案或产品，主要是保证实时SCADA工业控制网络安全地接入Internet外部信息网络。但是，现有的SCADA系统网络安全防护方案面临的问题非常突出，如下所述： 没有SCADA网络系统信息领域的国际标准； SCADA网络系统主要应用于实时控制系统，对网络延迟十分敏感； SCADA网络系统的应用领域复杂多样，如电力、供水、石油等，设备类型以及技术体制多种多样，很难找到一种统一的安全防护模式； 工业控制网络的终端节点设备并非完全属于微机设备，大多为单片机、PLC等，很难支持加解密以及认证算法等运算重大的操作，或者会因此而降低设备处理速度； SCADA网络安全需求跟IT信息网络安全需求不一样，SCADA网络是相对封闭的网络，面临的安全威胁与IP网不一样； 不能简单把并非针对SCADA网络而设计的传统IP网络机制生硬地搬到SCADA网络，这会造成严重的后果。四、安全服务框架 针对上文提出的工业SCADA系统网络的多种安全威胁和现有解决方案的不足，文中从SCADA系统安全体系以及设备的角度，提出了一种分布式的SCADA系统安全服务框架。该框架采用模块化设计，分布式的体系架构，通过对SCADA网络系统传输业务消息的认证、签名、报文过滤等，形成安全SCADA业务信息(指经过安全处理后的控制、测量，传感等消息)，确保了工业SCADA系统网络和业务消息的安全性和可靠性。 4.1 安全服务框架的设计目标设计目标如下： 安全性：综合采用消息认证，基于SCADA协议的包过滤技术，保证SCADA系统控制端与受控端节点通信的安全可靠，解决了传统的IP网络安全方案无法适应非IP技术的实时控制系统的问题； 独立性：安全服务框架采用模块化的设计，独立于SCADA系统的控制端和受控端节点，易于兼容多种不同协议体制下的SCADA系统设备。安全服务框架的升级与维护等操作，能够独立于SCADA系统单独进行，同时，SCADA系统端节点设备本身的升级改造，也不会影响到安全服务框架。 4.2 系统架构 安全服务框架介于SCADA系统控制端设备与受控端设备之间，采用点对点的部署模式，整体网络系统架构如图2所示。图2：安全服务框架的网络架构 安全服务框架主要实现对SCADA系统控制端设备与受控端设备待发送消息的安全封装，并将封装后的安全消息发送到目的SCADA系统节点；同时，安全服务框架负责监听通过SCADA通信网络发送过来的安全SCADA业务消息，对消息进行认证，合法性检测处理，并将处理后的有效明文SCADA消息传递给SCADA系统端设备。安全服务框架采用模块化设计，包括内部接口模块、外部接口模块、安全控制模块、ISO 5类安全服务提供模块、安全SCADA业务消息处理算法模块， 并分为以下4个层次： 编程接口层：是安全服务框架的对外统一接口，包括内部接口模块和外部接口模块。内部接口模块负责与SCADA系统端节点设备进行明文信息交互，外部接口模块负责与通信对端节点设备通过SCADA通信网络进行安全信息的发送和接收。编程接口层定义了标准的调用接口，便于安全服务框架上层代码以标准的方式进行调用，保证了安全服务框架的独立性； 逻辑控制层：是安全服务框架的核心调度层， 包括安全控制模块和安全策略配置文件。通过调用功能层的功能模块，结合配置文件的安全处理流程。能够实现为SCADA系统端节点设备待发送消息添加用户身份信息，进行签名和消息认证处理、报文封装等功能； 安全机制层：是安全处理功能的具体实现层，将参考IP网络信息安全的技术体制，并改造，优化传统的IP网络安全技术，实现通过安全机制层，能提供具有实时控制工业网络特色的信息安全服务，即ISO开放系统互连的5大类服务：抗抵赖、机密性、完整性、鉴别、访问控制服务； 安全资源层：提供安全机制层需要的所有物理和逻辑资源的抽象封装，主要包括安全机制层实现5大类安全服务操作时需要使用的各个管理节点的随机数，ID身份信息。安全服务框架模块与层次如图3所示：图3：安全服务框架内部模块结构与层次五、结语 在工业SCADA系统网络被日益广泛应用，具有工业应用背景的信息安全问题日益严峻的今天，一个合理的安全服务框架的建立与安全措施的使用可以