中国电子科技集团公司信息安全首席专家，第三十研究所副总工程师 饶志宏

简介：本文从工业控制系统信息安全概念、防护目标、技术体系、发展趋势等方面进行了系统介绍。

　　一、工业控制系统信息安全概述

通常情况下，工业控制系统安全可以分成三个方面，即功能安全、物理安全和信息安全。

功能安全是为了达到设备和工厂安全功能，受保护的、和控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。

在IEC62443中针对工业控制系统信息安全的定义是：“保护系统所采取的措施；由建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。” 工业控制系统的信息安全不仅可能造成信息的丢失，还可能造成工业过程生产故障的发生，从而造成人员损害及设备损坏，其直接财产的损失是巨大的，甚至有可能引起环境问题和社会问题。

三种安全在定义和内涵上有很大的差别。

功能安全，使用安全完整性等级的概念已有近20年。功能安全规范要求通常将一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。

物理安全，保护要素主要由一系列安全生产操作规范定义。政府、企业及行业组织等一般通过完备的安全生产操作流程约束工业系统现场操作的标准性，确保事故的可追溯性，并可以明确有关人员的责任，管理和制度因素是保护物理安全的主要方式。

工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全，但是功能安全使用安全完整性等级是基于随机硬件失效的一个部件或系统失效的可能性计算得出的，而信息安全系统有着更为广阔的应用，以及更多可能的诱因和后果。影响信息安全的因数非常复杂，很难用一个简单的数字描述出来。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安全的管理和维护也必须是周而复始不断进行的。

　　二、工业控制系统信息安全与IP数据网络信息安全的区别

1、两种网络的信息安全特点对比

通过结合前期一些项目研究工作经历及相关研究结论，现总结出一些先前所认识到的工业控制系统信息安全与传统的IP信息网络安全的区别，并提出工业控制系统信息安全必须解决的新问题。

1)安全需求不同；2)安全补丁与升级机制存在的区别；3)实时性方面的差异；4)安全保护优先级方面的差异；5)安全防护技术适应性方面的差异；

2、工业控制系统信息安全面临的挑战

上文论述的这些区别都是重要的，控制系统相对于其他IT系统的主要区别是控制系统与物理世界的相互作用。总体来说，传统IP信息网络安全已经发展到较为成熟的技术和设计准则(认证，访问控制，信息完整性，特权分离等)，这些能够帮助我们阻止和响应针对工业控制系统的攻击。然而，传统意义上讲，计算机信息安全研究关注于信息的保护；研究人员不会考虑攻击是如何影响评估和控制算法，最终，攻击是如何影响物理世界的。当前已有的各种信息安全工具，能够对控制系统安全给予必要机制，这些单独的机制对于深度防护控制是不够的。通过深入理解控制系统与真实物理世界的交互过程，研究人员在未来需要开展的工作可能是： 1)更好地理解攻击的后果：到目前为止，没有深入研究攻击者获得非授权访问一些控制网络设备后将造成的危害。 2)设计全新的攻击检测算法：通过理解物理过程应有的控制行为，并基于过程控制命令和传感器测量，能够识别攻击者是否试图干扰控制或传感器的数据。 3)设计新的抗攻击弹性算法和架构：如果检测到一个工业控制系统攻击行为，能够适时改变控制命令，用于增加控制系统的弹性，减少损失。 4)设计适合工业SCADA系统现场设备的身份认证与密码技术：目前一些成熟的、复杂的、健壮的密码技术通常不能在工业控制系统的现场设备中完成访问控制功能，主要原因在于过于复杂的密码机制可能隐藏在紧急情况下妨碍应急处理程序快速响应的风险。工业自动控制领域的专家一般认为相对较弱的密码机制(如缺省密码、固定密码甚至空口令等)，比较容易在紧急情况下进行猜测、传送等，进而不会对应急处理程序本身产生额外影响。

(责任编辑：安博涛)