工业控制（工控）

击：重复发送某个过时的消息，如用户认证或命令等。

　　2、工业控制系统的信息安全解决思路

　　为了防止工业控制系统在通信过程中遭受上述各种威胁与攻击，需要使用多层安全措施完成对系统的保护。本文将以现有的研究成果为基础，从网络边界防护、安全协议和安全控制器方面，介绍控制系统信息安全解决思路。

　　2.1网络边界防护

　　上文所述工业控制系统的系统威胁，一方面是由于系统采用传统IT技术，如操作系统、Web服务器、邮箱的漏洞等造成，另一方面控制系统与企业网实现互连，暴露于公共网络之中，面临更多的攻击。因此，为了保证工业控制系统的安全性，首先需要增强网络边界的防护，以降低由企业网引入的威胁风险。标准SP800-82《工业控制系统（ICS）安全指南》指出，在处理工业控制系统网络与其他应用网络的连接问题时，需要按照最小访问原则设计，具体分为两点建议：

　　1）工业控制系统部署网络时，建议隔离工业控制系统与其他企业网络。通常这两类网络的流量不同，且企业网对网络设备变更没有指定严格的控制规程;如果工业控制系统网络流量存在于企业网上，可能会遭受拒绝服务式攻击。网络隔离可以通过采用防火墙等技术实现。

　　2）如果工业控制系统网络与企业网之间必须建立连接，尽可能地只允许建立一个连接，且连接通过防火墙或非军事区实现。在具体的技术措施上，SP800-82从身份认证、访问控制、审计与核查、系统与通信保护等方面详细介绍了可用的技术措施。

　　（1）身份认证

　　通过PIN码或密码验证申请访问的设备或人员。在网络上传输密码时需要对密码进行加密，通过选取合适的加密哈希函数，可以阻止重播攻击。密码认证还可以辅以其他认证措施，如询问/应答或使用生物令牌或物理令牌。紧急情况下，工业控制系统使用密码和生物认证都存在一定危险。因此在不适合使用密码的情况下，可以采用严密的物理安全控制作为替代。

　　（2）访问控制

　　基于角色的访问控制（RBAC）可以用于限制用户的权限，使其能以最小的权限完成任务。系统管理员的通讯需要加以认证，并对其保密性和完整性加以保护，如使用SSHv2和HTTPS协议。这两个协议都使用公钥/私钥对进行用户认证。通信双方产生并使用对称密钥加密数据交互过程。

　　RADJUS远程认证拨号用户服务式目前使用最多的认证和授权服务。它使用IEEE802.1×和EAP协议，可以在网络的各个层实现用户认证。例如，防火墙和接入路由可以作为认证代理。

　　当无线设备或中断用户设备需要与其连接时，认证代理向设备发出询问，设备通过认证服务器返回认证信息，从而获得授权和接入许可。

　　调制解调器经常用于提供备份连接。回叫系统通过存储于数据库中的回叫号码，确认拨号者是否为合法用户。远程控制软件需要使用唯一的用户名和密码，加密和审计日志。链路层的邻居认证需要使用CHAP协议等实现。

　　无线用户接入和网络设备间的链接可以使用多种方式实现，如IEEE 802.11b/g的网络接入点方式。所有的无线通信需要使用强加密，如IEEE802.11i中的AEP加密。无线接入需要使用IEEE802.1x认证客户。

　　（3）审计与核查

　　工业控制系统需要进行周期性的审计，验证内容包括：测试阶段的安全控制措施在生产系统中仍安装使用;生产系统不受安全破坏，如果受到安全破坏则提供攻击的信息;改动项目需要为所有的变动建立审查和批准的记录。

　　周期性的审计结果用一定的度量表示，用于显示安全性能和安全趋势。审计需要使用特定工具进行记录维护，需要工业控制系统中的组件支持。审计有利于维护工业控制系统在系统生命周期内的完整性。工业控制系统需要为审计工具提供可靠的同步时间戳。工业控制系统应用中维护的日志可以存储于多个地点，加密或不加密都是可以的。

　　（4）系统与通信保护

　　系统与通信的保护可以通过网络防护措施，如防火墙和入侵检测系统等，以及数据加密，如VPN等实现。网络防火墙控制不同安全等级的网络区域间的数据流量。NIST SP 800-41为防火墙的选择和防火墙策略提供了指导。在工业控制系统环境下，需要在控制网和企业网之间部署防火墙。防火墙包含的特征功能包括：事件记录，入侵检测系统，基于非军事区的路由，访问列表等。

　　当系统被嗅探或攻击时，入侵检测系统发出警报。入侵检测系统通过在网络的各个关键点收集信息，分析数据包内容发现恶意流量，并发出警报、废弃无效数据、记录事件和活动并触发其他安全响应。对于多种工业控制系统中的应用协议所受到的攻击，如DNP和lCCP，入侵检测系统也会增加相应的攻击特征。

基于