工業控制系統安全分析及解決方法范文

本站小編為你精心準備了工業控制系統安全分析及解決方法參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：工業界面臨著明顯的安全風險控制系統，我們不能忽視其風險，但我們也承擔不起使安全性不斷完美而支出的無限成本。因此，本文分析現有工業控制系統的安全性，并有針對性地提出解決方案，以期高效率地解決現今工業控制系統中的安全問題。

關鍵詞：工業控制系統；安全分析；解決方案

工業界面臨著明顯的安全風險控制系統，我們對其安全風險的認識還不全面，仍需要更多的了解。同時我們也不能忽視風險，但我們也承擔不起使安全性不斷完美而支出的無限成本。因此，分析現有工業控制系統的安全性，并有針對性地提出解決方案至關重要。

1工業控制系統的主要類別

1.1SCADA、DCS、PLCs

SCADA系統是高度分散的系統，用于控制地理上分散的資產，通常分散在數千平方公里的范圍內，集中的數據采集和控制對系統運行至關重要。它們主要用于配水系統，如配水和污水收集系統，石油和天然氣管道，電網和鐵路運輸系統。SCADA控制中心通過遠程通訊網絡對現場進行集中監控，包括監控報警和處理狀態數據。根據從遠程站接收到的信息，自動化或操作員驅動的監控命令可以推送到遠程站控制設備。DCS被用來控制工業過程，如發電、煉油廠、水和廢水處理，以及化學、食品和汽車生產。DCS被集成為包含控制監督多個集成的子系統，其負責控制局部處理的細節的監督電平的控制體系結構。產品和過程控制通常是通過部署反饋或前饋控制回路，由此關鍵的產品和/或工藝條件是自動周圍的期望設定點保持來實現。PLC是基于計算機的固態設備，可以控制工業設備和工藝。雖然PLC是整個SCADA和DCS系統中使用的控制系統組件，但它們通常是小型控制系統配置中的主要組件，用于提供分立過程的操作控制，如汽車組裝線和電廠吹灰器控制。幾乎所有的工業過程都廣泛使用PLC。1.2ICS典型的ICS包含大量的控制回路、人機界面，以及在分層網絡架構上使用一系列網絡協議構建的遠程診斷和維護工具。有時候，這些控制回路是嵌套的和/或級聯的，因此一個回路的設定點基于另一個回路確定的過程變量。監督級循環和低級循環持續在整個過程中運行循環時間范圍從毫秒到分鐘。

2現有工業控制系統的威脅與漏洞

現有的工業控制系統類型很多，本文以ICS為例對其威脅與漏洞進行總結。目前使用的大多數ICS是幾年前開發，這些系統旨在滿足性能、可靠性、安全性和靈活性的要求。在大多數情況下，他們從身體外部網絡隔離，基于專有的硬件，軟件和通信協議，其中包括基本的檢錯和糾錯能力，但缺乏安全在當今的互聯系統所需的通信能力。控制系統的威脅可能來自眾多來源，包括諸如惡意入侵者以及諸如系統復雜性、人為錯誤和事故、設備故障和自然災害等自然資源的敵對來源。還有一些系統潛在的漏洞，這些漏洞分為政策和程序、平臺和網絡類別。當然，還存在著政策及程序漏洞。由于不完整，不適當或不存在的安全文檔（包括策略和實施指南（程序）），常常會將漏洞引入ICS。比如，沒有正式的ICS安全培訓和認知計劃。接著，還有來自平臺的漏洞。ICS平臺中的漏洞可能由于缺陷，錯誤配置或其平臺維護不當（包括硬件，操作系統和ICS應用程序）而發生。這些漏洞可以通過各種安全控制措施（如操作系統和應用程序修補程序，物理訪問控制以及安全軟件（例如防病毒軟件）來緩解。最后，是來自網絡的安全威脅。ICS中的漏洞可能來自漏洞、配置錯誤或ICS網絡及其與其他網絡的連接管理不善。這些漏洞可以通過各種安全控制來消除或減輕，例如縱深防御網絡設計，加密網絡通信，限制網絡通信流量以及為網絡組件提供物理訪問控制。

3工業控制系統安全問題解決辦法

3.1管理控制

管理控制是ICS的安全對策，側重于風險管理和信息安全管理。NISTSP800-53定義了管理控制類中的五個控制系列：安全評估和授權：確保指定的控件得到正確實施，按預期運行并產生期望的結果；規劃：開發和維護一個通過執行評估來處理信息系統安全的計劃，指定和實施安全控制，分配安全級別和響應事件；風險評估：通過確定發生的可能性，由此產生的影響以及額外的安全控制來識別對運營，資產或個人的風險的過程會減輕這種影響；系統和服務獲取：為信息系統安全分配資源根據風險評估結果（包括要求，設計標準，測試程序和相關文件）在整個系統生命周期中維護并制定采購政策；計劃管理：在組織而不是信息系統層面提供安全控制。

3.2操作控制

操作控制是ICS的安全對策，主要由人員而不是系統執行和執行。NISTSP800-53定義了操作控制類中的九個控件系列：人事安全、物理和環境保護、應急計劃、配置管理、維護、系統和信息完整性、媒體保護、事件響應、意識和培訓。

3.3技術控制

技術控制是ICS的安全對策，主要由系統通過系統硬件，軟件或固件組件中包含的機制實施和執行，NISTSP800-53定義了技術控制類中的四個系列：身份識別和身份驗證：通過使用特定憑證（例如，密碼，令牌，生物特征）驗證用戶，進程或設備身份的過程，作為授予對IT系統資源訪問權限的先決條件；訪問控制：授予或拒絕獲取和使用信息和相關信息處理服務以訪問信息系統環境中的區域的具體請求的過程；審計與問責：對記錄和活動進行獨立審查和審查，以評估系統控制的充分性，確保遵守既定政策和操作程序，并就控制措施，政策或程序提出建議；系統和通信保護：保護系統和數據傳輸組件的機制。

4結論

現有的工業控制系統類型很多，如SCADA、DCS、PLCs等，但或多或少都存在一定安全威脅。筆者以ICS為例，分析其存在的安全隱患，并從管理、操作、技術三部分出發，對安全問題的解決辦法進行了梳理，以期有針對性地解決可能存在的安全問題。

參考文獻：

[1]劉威;李冬;孫波.工業控制系統安全分析[J].信息網絡安全.2012（08）

[2]張帥.工業控制系統安全風險分析[J].信息安全與通信保密.2012（03）

[3]陶志堅;姚日煌.工業控制系統信息安全風險評估研究.電子產品可靠性與環境試驗.2016（12）

作者：王婧儀；楊帆 單位：北京航空航天大學