深圳电子展
2024年11月6-8日
深圳国际会展中心(宝安)

工业控制系统全生命周期主要阶段信息安全防护的对策

1 需求分析及系统设计阶段信息安全防护的对策

信息安全防护作为主要的非功能性需求,在系统需求分析与系统设计阶段需要重点考虑。确定工业控制系统信息安全防护主体,分析系统潜在威胁和风险,拟定其信息安全需求规范。由于系统功能需求规范、信息安全需求规范以及其他非功能需求规范往往存在冲突,故需对多种需求规范进行协调控制,后面需要确定系统整体需求规范。图3所示为工业控制系统信息安全需求分析流程。在进行各方需求协调时,需要考虑工业控制系统多方面的约束条件,如性能约束、资源约束、成本约束以及风险约束等。在控制系统资源受限、成本有限的环境下,寻求较佳的系统性能,并保持系统风险控制在可接受的范围之内。

典型的工业控制系统可分为三层:企业层、监控层和现场控制层。结合系统各层信息安全需求,建立深度融合工业控制系统特点的纵深防御体系已成为工业控制系统信息安全防护的主流形式。图4所示为典型的工业控制系统信息安全纵深防御体系结构。

企业层的信息交互一般通过Internet进行,其功能包括数据管理、客户管理、生产调度等。其信息安全需求与IT系统类似,可用诸如工业防火墙、访问控制等防护手段进行安全防护。监控层,一般结合具体的应用特点,采取专用的工业通信协议。其信息安全防护需求不同于IT系统,制定针对性的访问控制策略和通信管控策略等是实现监控层主动防御的有效方法。现场控制层的信息安全是工业控制系统信息安全防护的重中之重,也是实现本质信息安全的重要保障。针对现场控制层的入侵攻击众多,攻击后果严重。并且,控制系统结构复杂、工艺过程复杂,采用分区、分级的信息安全防护可有效地阻断攻击影响传播,保护系统重要组件和工艺流程。此外,由于工业控制系统属于信息物理融合系统,信息攻击可导致物理故障,甚至引发重大安全事故,而造成人员伤亡和社会负面效应。故现场控制层信息安全防护需具备容忍入侵的能力,以保证入侵攻击下,系统仍能降级运行或安全停机。

因此,该阶段需要结合系统功能需求,分析工业控制系统资产及其运行环境,检测系统的漏洞,及其面临的安全威胁,进行系统信息安全需求分析;在此基础上进行静态攻击预测分析和静态的风险分析,制定风险管理策略。针对系统风险,对系统进行分层、分区、分级,建立纵深防御体系,拟定常见的保护措施如访问控制、通信管控、关键任务容错、容忍入侵的防护等,提升系统安全运行能力。

2 运行阶段信息安全防护的对策

工业控制系统是一个生产运行的实时关键系统,对可用性和可靠性要求很高,需具备容忍入侵的信息安全防护能力。图5所示为运行阶段工业控制系统容忍入侵的信息安全防护控制结构示意图。

该防护架构采用基于风险、状态、时间的多级信息安全闭环控制结构。外层采取风险控制闭环,将系统的风险控制在可接受范围内。中间层的状态控制闭环,保证系统运行状态的安全可控。内层的时间控制闭环,完成安全策略的实施以及效果反馈调节。以此实现具备高度容忍入侵能力的工业控制系统信息安全防护。

工业控制系统实时入侵检测是容忍入侵信息安全防护的感知环节。通过部署系统资源探针,采集并分析全方位系统实时数据,进行攻击特征识别和在线自学习,实现基于特征和基于异常相结合的入侵检测。对检测结果进行警报融合和攻击辨识,识别并预测入侵攻击信息,实现系统的实时在线监控。

基于风险的安全策略决策是容忍入侵的信息安全防护的控制环节。根据系统实时入侵检测的结果,结合系统运行状态,进行系统安全态势感知,评估系统的实时风险。结合系统风险控制需求,进行系统状态控制和动态安全策略决策,给出较佳安全策略及其优化方案,使系统风险处于可接受范围之内。

实时控制是容忍入侵的信息安全防护的实施环节,是系统的安全响应恢复过程。根据控制决策中产生的较佳安全策略,生成相应的安全任务集。结合原本系统任务集,分别从系统级和节点级进行任务可调度性分析,并构建新的系统任务集。然后进行任务一体化实时调度,实施该任务集,及时地进行系统恢复。同时评估并反馈策略执行效果,以进行优化设计,保障系统信息安全。

3 维护阶段信息安全防护的对策

设计开发之时难免会有一部分隐藏的安全缺陷。系统在交付使用后,这些脆弱性在某些特定的情况下会暴露出来,需要进行维护完善。同时,为了适应环境的变化,如系统因入侵攻击而积累的安全缺陷或者系统安全需求的变更等,系统也需做出相应的调整,使系统更长久的运行。故先需要对系统各方面进行评估,然后进行有针对性的改善。

系统评估期间,先统计系统运行环境或安全需求变更,分析实施信息安全后系统运行反馈效果。同时,需评估资产状态和系统状态,如有无组件损害或失效,系统性能是否降低、数据库是否需要更新等。评估系统受损情况以及安全状态,判断系统风险是否处于可接受范围内。

系统改善过程中,依据上述分析评估结果,拟定系统变更方案,并逐步、有序地实施该方案。变更方案实施完毕后,需进行系统安全合格性检验。如果不满足要求,则需要重新修改变更方案,再实施,再检验,直至达到所预期的效果。

来源:网络

Baidu
map