工控安全與網(wǎng)絡(luò)信息安全的區(qū)別

發(fā)布時間：2024-02-20

工業(yè)控制系統(tǒng)信息安全與傳統(tǒng)的ip信息網(wǎng)絡(luò)安全的區(qū)別在于：1.安全需求不同，2.安全補丁與升級機制存在的區(qū)別，3.實時性方面的差異，4.安全保護優(yōu)先級方面的差異，5.安全防護技術(shù)適應(yīng)性方面的差異。
總體來說，傳統(tǒng)ip信息網(wǎng)絡(luò)安全已經(jīng)發(fā)展到較為成熟的技術(shù)和設(shè)計準則(認證、訪問控制、信息完整性、特權(quán)分離等)，這些能夠幫助我們阻止和響應(yīng)針對工業(yè)控制系統(tǒng)的攻擊。然而，傳統(tǒng)意義上講，計算機信息安全研究關(guān)注于信息的保護，研究人員是不會考慮攻擊如何影響評估和控制算法以及最終攻擊是如何影響物理世界的。
當前已有的各種信息安全工具，能夠?qū)刂葡到y(tǒng)安全給予必要機制，這些單獨的機制對于深度防護控制并不夠，通過深入理解控制系統(tǒng)與真實物理世界的交互過程，研究人員在未來需要開展的工作可能是：
1.更好地理解攻擊的后果：到目前為止，還沒有深入研究攻擊者獲得非授權(quán)訪問一些控制網(wǎng)絡(luò)設(shè)備后將造成的危害。
2.設(shè)計全新的攻擊檢測算法：通過理解物理過程應(yīng)有的控制行為，并基于過程控制命令和傳感器測量，能夠識別攻擊者是否試圖干擾控制或傳感器的數(shù)據(jù)。
3.設(shè)計新的抗攻擊彈性算法和架構(gòu)：檢測到一個工業(yè)控制系統(tǒng)攻擊行為，能夠適時改變控制命令，用于增加控制系統(tǒng)的彈性，減少損失。
4.設(shè)計適合工業(yè)scada系統(tǒng)現(xiàn)場設(shè)備的身份認證與密碼技術(shù)：目前一些成熟的、復(fù)雜的、健壯的密碼技術(shù)通常不能在工業(yè)控制系統(tǒng)的現(xiàn)場設(shè)備中完成訪問控制功能，主要原因在于過于復(fù)雜的密碼機制可能存在著在緊急情況下妨礙應(yīng)急處理程序快速響應(yīng)的風(fēng)險。工業(yè)自動控制領(lǐng)域的專家一般認為相對較弱的密碼機制(如缺省密碼、固定密碼，甚至空口令等)，比較容易在緊急情況下進行猜測、傳送等，進而不會對應(yīng)急處理程序本身產(chǎn)生額外影響。
5.開發(fā)硬件兼容能力更強的工業(yè)scada系統(tǒng)安全防護技術(shù)：傳統(tǒng)it數(shù)據(jù)網(wǎng)絡(luò)中安全防護能力較強的技術(shù)如身份認證、鑒別、加密、入侵檢測和訪問控制技術(shù)等普遍強調(diào)占用更多的網(wǎng)絡(luò)帶寬、處理器性能和內(nèi)存資源，而這些資源在工業(yè)控制系統(tǒng)設(shè)備中十分有限，工業(yè)控制設(shè)備最初的設(shè)計目標是完成特定現(xiàn)場作業(yè)任務(wù)，它們一般是低成本、低處理器效能的設(shè)備。而且，在石油、供水等能源工業(yè)系統(tǒng)控制裝置中仍然在使用一些很陳舊的處理器(如1978年出廠的intel8088處理器)。因此，在這類裝置中部署主流的信息安全防護技術(shù)而又不顯著降低工業(yè)現(xiàn)場控制裝置的性能具有一定難度。
6.研制兼容多種操作系統(tǒng)或軟件平臺的安全防護技術(shù)：傳統(tǒng)it數(shù)據(jù)網(wǎng)絡(luò)中的信息安全技術(shù)機制，主要解決windows、linux、unix等通用型操作系統(tǒng)平臺上的信息安全問題。而在工業(yè)scada系統(tǒng)領(lǐng)域，現(xiàn)場工業(yè)scada系統(tǒng)裝置一般使用設(shè)備供應(yīng)商(abb、西門子、霍尼韋爾等)獨立研發(fā)的、非公開的操作系統(tǒng)(有時稱為固件)、專用軟件平臺(如ge的ifix等)完成特定的工業(yè)過程控制功能。因此，如何在非通用操作系統(tǒng)及軟件平臺上開發(fā)、部署甚至升級信息安全防護技術(shù)，是工業(yè)scada系統(tǒng)信息安全未來需要重點解決的問題。