400-6966-109
<  行业新闻

当前位置: 首页> 新闻动态 > 行业新闻

军工行业控制系统信息安全需求与防护
2020-01-14   297

本文分别从离散工业和过程工业的角度分析了这两种控制系统的信息安全需求与所面临的挑战,并从离散工业主机保护、过程工业通信监控、加强系统网络维护、审计与取证四个方面总结了军工行业控制系统的安全防护措施,以期对军工行业的信息安全问题有所启示。

工控安全

军工控制系统信息安全需求与挑战

工业控制系统的基本需求遵循AIC(Availability,Integrity,Confidentiality)原则。但是军工行业不同系统类型的基本需求差异很大,在某些高安全感等级信息系统中应首先考虑保密性需求,即数据保密。而对于过程工业来说,最关键的是动态监控的实时性需求,即可用性。

1. 离散工业数据保密需求

离散工业的产品相对复杂,由多个零部件以相对固定的产品结构通过组装完成。军工行业的离散控制系统基本实现两个功能——零部件成形制造和多零件组装。目前最通用且先进的成形制造技术为数控技术,多零件组装通常为复杂的总装配生产线。数控系统(DNC)网络通信不仅要实现设备状态的监控,同时要传输大量零部件的数控程序。对于企业来说,数控程序相当于固定资产,而对于军工行业来说,尤其需要保密,因为任何具备一定能力的机械工程师都可以通过数控程序还原所加工的零件,因此注重保密需求迫在眉睫。

2. 过程工业动态监控实时性需求

与离散工业相比,过程工业在军工行业应用略少,主要应用在实验测试平台、飞行模拟系统、能源输送控制等领域。实验测试平台与飞行模拟系统主要关注控制的灵敏度、测试数据采集回传的真实性。试验人员通过人机界面(HMI)对末端执行器的灵敏度控制建立在较高的实时性基础上,而测试数据回传的真实性是试验人员进行判断并实施控制的前提。军工控制系统中能源输送过程工业包括流体输送、电力控制等。这要求末端仪器仪表回传数据具有真实性和实时性,阀门等末端执行器的动作触发具有及时性的特点。总之,过程工业要对现场状态实时收集,并提供给工作人员做出决策,辅助工作人员及时实现远程控制。因此过程工业控制系统网络数据量较小,但现场视频监控网络数据量较大,大多采用用户数据报协议(UDP)传输,能保证基本的实时性。

3. “后门”与漏洞带来安全隐患

我国大多工业控制系统及设备采用进口产品,而工控设备的核心芯片更加依赖进口,Intel和ARM芯片同样在工控机中应用广泛。而2019年爆出的Meltdown和Spectre两个芯片硬件漏洞几乎涵盖了所有芯片类型。硬件漏洞是硬件设计时出现的问题,所以芯片一旦定硅,即使存在漏洞也无法修复,只能通过修改操作系统的机制来适当规避或者削弱漏洞的影响。而工控主机的操作系统基本不升级更新,如果攻击者利用这些硬件漏洞进行攻击,或者供应商利用这些漏洞为设备设置远程后门,则可以远程窃取数据,干扰设备正常运行。此外工控软件和通信协议大多没有保密措施,军工行业控制系统与互联网的连接互通受到严格限制,这将严格限制软件升级,打补丁等安全措施的实施。因此,硬件和软件的过度依赖进口,导致了工业系统安全不可控,存在诸多安全隐患。

军工控制系统信息安全防护措施

1. 离散工业主机保护

离散工业主机包括数控设备主机、机械臂控制柜、装配线机械臂调度站等。该类主机有一定的计算资源,为恶意代码的寄生与运行提供了空间,并且主机上尚无病毒防护相关的措施,例如数控设备PCU上运行Windows XP/NT/7等操作系统,有足够的计算资源运行病毒防护软件。而在数控系统中NCU为主要控制器,PCU只负责软件的运行,基本文件的存储,因此在PCU上运行病毒防护软件并不会给数控设备的可用性、完整性、保密性造成影响。工控网络与信息网络的互联互通使得远程网络访问工控主机成为可能,因此主机需要对网络访问进行过滤,对网络访问进行控制,防止攻击者利用漏洞远程访问主机进行数据窃取和恶意破坏。离散工业系统中应能保证工业主机数据的真实性,由于数据通常存储在服务器中,操作员可根据生产进度向服务器发起请求并将程序下发到本地。因此,需要一种完整性检查机制以确保主机接收到的数据在传输过程中不被篡改。

2. 过程工业通信监控

过程工业主要需求是动态实时监控、数据采集和控制行为的真实性。通常MITM攻击和智能终端的DDoS攻击为防御的主要目标,因此需要对工控网络内资产进行正确识别,并且基于确定的资产对网络数据的传输进行定向准入控制,即基于资产确定详细的白名单等准入机制。因而有必要从网络层面挖掘关键控制设备的物理指纹,以确定数据传输的准确性、定向性。

3. 加强系统网络维护 

工控网与信息网的互联互通固然提高了生产率,增加了企业收益,但同时也模糊了两网边界,给来自信息系统的攻击者提供了新的入口。因此需要对工控网与信息网的信息交换边界进行准入控制,可以采用单向网闸对上下行数据单向传输控制,并配置网络状态异常监测设备。此外,工控网络复杂、节点众多,有必要对网络节点的物理访问进行限制。

4. 加强审计、日志关联、审查取证

网络的互联互通带来很多安全隐患,因此需要对军工现场的人员管控机制、安全措施实施合规性、入侵检测设备的规则设置进行审计。与此同时,分别对工控网络行为和物理行为进行日志关联,落实主体责任制,以确保事件的应急响应速度和审查取证工作的开展。


(文章来源:《保密科学技术》;作者:李东/中国铁路总公司,金忠峰/中国科学院信息工程研究所,李楠/中国科学院信息工程研究所,刘超/中国科学院信息工程研究所,吴金洋/公安部第三研究所,李娟/沧州市交通运输局;图片来源:百度图库)


分享

Copyright © 北京天大清源通信科技股份有限公司版权所有

京ICP备12053277号-1 企业邮箱

400-6966-109
北京天大清源通信科技股份有限公司