下载掌阅APP,畅读海量书库
立即打开
从信息安全的角度来看,在传统的IT系统中,通常将安全的三个核心属性表示为CIA,即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。其中,保密性被看作最关键的属性,其次是完整性,可用性则被认为是优先级较低的属性。然而,工业控制系统更加关注可用性,因为它直接影响工厂的正常运营和生产效率。无法预料的系统停机可能会引发重大的经济损失或造成人员伤亡等严重后果,因此,工业控制系统将可用性置于首要位置,完整性是第二位,而保密性则是最后关注的因素。工业控制系统和传统IT系统在信息安全优先级方面的差异如图2-10所示。
图2-10 工业控制系统与传统IT系统的信息安全优先级
相较于传统的IT系统,工业控制系统(ICS)具备许多独有的特点,其中包括不同的优先考量和风险。ICS对性能和可用性有特殊需要,所采用的应用程序和操作系统也不同于典型的IT系统。工业控制系统与传统IT系统的典型差异如表2-3所示。
表2-3 工业控制系统与传统IT系统的典型差异
❑部件生命周期:传统的IT部件因技术发展迅速,生命周期通常为3~5年。相比之下,ICS的技术开发主要针对特定应用和实现,因此其生命周期通常较长,大约为15~20年,甚至更长的时间。
❑性能要求:IT系统需要容忍一定程度的抖动和延迟,并且应具备高吞吐量。与之相比,工业控制系统通常被要求具备时间关键性能,设备应满足合理的抖动和延迟要求,而某些系统则要确保响应的确定性。
❑可用性要求:许多ICS的生产过程是不间断的,要求系统全年无休地运行。因此,ICS对非计划中断的容忍度非常低。要进行计划内中断,必须提前安排测试以确保高可用性。此外,为确保生产的不间断性,许多控制系统不允许随意启停。在部分情形下,产品的制造或设备的运行相对于信息中断更加关键。通常,ICS具备冗余功能,通过多重数据备份提高系统的稳定性,备份系统与主系统同时工作,以确保后者发生问题时仍能维持生产的连续性。因此,采用传统的IT技术解决方案,如重新启动整个系统,通常无法被接受,因为这会对ICS的维护、可用性和稳定性造成不良影响。
❑风险管理要求:ICS注重故障容忍和人身安全,而传统的IT系统则侧重数据的完整性和保密性,以防范危及生命、违背法规、损害公众健康与信心、造成设备毁损或生产破坏、导致知识产权损失等多种风险。因此,对于ICS的系统维护人员、信息安全保障人员和操作人员而言,深刻理解信息安全与功能安全之间的紧密关联至关重要。
❑系统操作:对于ICS的操作系统和应用程序来说,传统的IT信息安全政策并非完全适用。资源不可用和定时中断是老旧系统特别容易遇到的问题。操控和维护这些系统需要不同程度的专业知识,因为控制网络通常更为繁杂。以ICS控制网络为例,负责这一任务的通常是控制工程师,而非IT工程师。此外,硬件和软件的更新较为复杂,当前运行的很多系统还未采用错误日志记录和加密等与信息安全相关的功能。因此,对于ICS来说,需要采取更强有力的措施来确保信息安全。
❑资源限制:资源受限是ICS和实时操作系统的常见特点,因此它们不具备典型的IT信息安全功能。在一些情形下,ICS组件可能缺少足够的资源来支持当前系统所需的信息安全功能。另外,由于ICS制造商的服务协议和授权制约,可能不容许使用未经供应商验证和核准的外部安全解决方案,若安装了未经验证和核准的外部应用程序,有可能失去供应商提供的支持服务。
❑变更管理:变更管理是确保IT和控制系统完整性的重要组成部分。未应用补丁的软件是系统中最显著的弱点之一。然而,要及时执行ICS的软件升级并非易事。因为这些升级需要通过全面测试,必须由工业控制应用供应商来完成,而且在执行之前需要提前若干天甚至若干周来筹划ICS的终止运行。在变更管理的过程中,IT人员、信息安全专家和ICS专家(如控制工程师)需要协同合作,认真评估。同时还面临其他挑战,很多ICS使用的是供应商已停止维护的古老版本的操作系统,因此难以运行有效的修补程序。固件和硬件的升级同样需要遵循变更管理程序。相比之下,IT系统通常遵循安全规程和方针,定期进行软件升级,包括安全补丁,并使用基于服务器的应用程序执行这些更新。
❑技术支持:传统IT系统使用的协议与ICS存在明显差异。特别是在工业现场总线层面,数据传输主要依赖于专用协议。目前,主流的专用协议包括Modbus、Profibus和CC-Link等。而传统IT系统则使用标准的互联网协议,如TCP/IP。
❑通信方式:ICS使用各自专用的通信协议,而不同供应商提供的通信协议之间相互不兼容,主要通过专用线、无线电和卫星等介质进行通信。相比之下,传统IT系统使用通用通信协议,在具备局部范围无线设备的有线网络中进行信息传输。
❑访问组件:ICS的组件有时是远程且分离的,访问相对烦琐,而典型的IT组件通常可以在本地访问。