如何建立工業(yè)控制系統(tǒng)事前事中事后防護(hù)系統(tǒng)

發(fā)布時間：2023-10-05

工業(yè)控制系統(tǒng)信息安全內(nèi)涵、需求和目標(biāo)特性，決定了需要一些特殊的信息安全技術(shù)、措施，在工業(yè)生產(chǎn)過程中的ied、plc、rtu、控制器、通信處理機(jī)、scada系統(tǒng)和各種實際的、各種類型的可編程數(shù)字化設(shè)備中使用或配置，達(dá)到保障工業(yè)控制系統(tǒng)生產(chǎn)、控制與管理的安全功能目標(biāo)。所有自動控制系統(tǒng)信息安全的基礎(chǔ)技術(shù)是訪問控制和用戶身份認(rèn)證，在此基礎(chǔ)上發(fā)展了一些通過探針、信道加密、數(shù)據(jù)包核查和認(rèn)證等手段保護(hù)通信數(shù)據(jù)報文安全的技術(shù)。為實現(xiàn)功能安全前提下的工業(yè)控制系統(tǒng)信息安全，需要構(gòu)筑工業(yè)控制系統(tǒng)信息安全事前、事中和事后的全面管理、整體安全的防護(hù)技術(shù)體系。
1.事前防御技術(shù)
事前防御技術(shù)是工業(yè)控制信息安全防護(hù)技術(shù)體系中較為重要的部分，目前有很多成熟的基礎(chǔ)技術(shù)可以利用：訪問控制/工業(yè)控制專用防火墻、身份認(rèn)證、id設(shè)備、基于生物特征的鑒別技術(shù)、安全的調(diào)制解調(diào)器、加密技術(shù)、公共密鑰基礎(chǔ)設(shè)施(pki)、虛擬局域網(wǎng)(vpn)。
2.事中響應(yīng)技術(shù)
入侵檢測(ids)技術(shù)對于識別內(nèi)部的錯誤操作和外部攻擊者嘗試獲得內(nèi)部訪問權(quán)限的攻擊行為是非常有效的。它能夠檢測和識別出內(nèi)部或外部用戶破壞網(wǎng)絡(luò)的意圖。ids有兩種常見的形式：數(shù)字簽名檢測系統(tǒng)和不規(guī)則檢測系統(tǒng)。入侵者常常通過攻擊數(shù)字簽名，從而獲得進(jìn)入系統(tǒng)的權(quán)限或破壞網(wǎng)絡(luò)的完整性。數(shù)字簽名檢測系統(tǒng)通過將現(xiàn)在的攻擊特性與已知攻擊特性數(shù)據(jù)庫進(jìn)行比對，根據(jù)選擇的靈敏程度，最終確定比對結(jié)果。然后，根據(jù)比對結(jié)果，確定攻擊行為的發(fā)生，從而阻斷攻擊行為并且通報系統(tǒng)管理員當(dāng)前系統(tǒng)正在遭受攻擊。不規(guī)則檢測技術(shù)通過對比正在運(yùn)行的系統(tǒng)行為和正常系統(tǒng)行為之間的差異，確定入侵行為的發(fā)生且向系統(tǒng)管理員報警。例如，ids能夠檢測在午夜時分系統(tǒng)不正常的活躍性或者外部網(wǎng)絡(luò)大量訪問某i/o端口等。當(dāng)不正常的活動發(fā)生時，ids能夠阻斷攻擊并且提醒系統(tǒng)管理員。
以上兩種ids系統(tǒng)都有其優(yōu)點和缺點，但是，它們都有一個相同的問題——如何設(shè)置檢測靈敏度。高靈敏度會造成錯誤的入侵報警，ids會對每個入侵警報作相應(yīng)的系統(tǒng)動作，因此，過多的錯誤入侵警報，不僅會破壞正常系統(tǒng)的某些必須的功能，而且還會對系統(tǒng)造成大量額外的負(fù)擔(dān)。而低靈敏度會使ids不能檢測到某些入侵行為的發(fā)生，因此ids會對一些入侵行為視而不見，從而使入侵者成功進(jìn)入系統(tǒng)，造成不可預(yù)期的損失。
3.事后取證技術(shù)
審計日志機(jī)制是對合法的和非合法的用戶的認(rèn)證信息和其他特征信息進(jìn)行記錄的文件，是工業(yè)控制系統(tǒng)信息安全主要的事后取證技術(shù)之一。因此，每個對系統(tǒng)的訪問及其相關(guān)操作均需要記錄在案。當(dāng)診斷和審核網(wǎng)絡(luò)電子入侵是否發(fā)生時，審計日記是必不可少的判斷標(biāo)準(zhǔn)之一。此外，系統(tǒng)行為記錄也是工業(yè)scada系統(tǒng)信息安全的常用技術(shù)。
這些是在工業(yè)控制系統(tǒng)信息安全中一些常用的、常規(guī)性技術(shù)，而在工業(yè)控制系統(tǒng)信息安全實施過程中，還有一些特別的關(guān)鍵技術(shù)。