仪器仪表与信息安全

智能工厂智慧城市是当今的热点，也代表了未来工厂和城市的发展方向。但是，无论是智能工厂还是智慧城市，物联网都是其核心。泛在感知（包括执行）和万物互联是物联网的显著特征，而仪器仪表（包括传感器和执行机构等）则是泛在感知和万物互联的基础，也是现代信息社会赖以存在和发展的基石，因而仪器仪表的安全运行对现代社会来说至关重要。

仪器仪表的变迁

在现代社会，特别是近二三十年来，仪器仪表较之过去发生了以下显著变化：

1、从模拟式过渡到数字式：早期的仪器仪表采用的是气动单元组合仪表等。后随着计算机技术的发展进步，现已普遍采用带微处理器的数字仪表，如智能传感器等。

2、从硬连接向软连接转变：过去的仪器仪表输出接口常采用的是硬连接或硬接口，现在的仪器仪表则基本上都配带有通信接口。

3、从专有、孤网向标准、开放、互联转变：早期的仪器仪表通信接口基本上都采用制造商自主研发的专用通信协议，基本不与外界存在交互。现在的仪器仪表已普遍演变为采用开放的网络协议、标准通信接口。

潜在的信息安全风险

随着仪器仪表的数字化、网络化、智能化，以及产品高度商业技术化和开放共享、互联程度的提高，其所面临来自自然环境、人为失误、自身故障、恶意软件、工业间谍等方面的信息安全威胁日益增长。

当前仪器仪表系统所面临的信息安全风险趋势如下：

1、对商用和工控系统的恶意代码攻击显著增加。

2、工控仪表系统转向采用商用系统和标准通信协议，并与商业网络互联，从而使得这些工控系统和商业系统、桌面设备一样，极易遭到同样的软件攻击。

3、互联网上用于自动攻击的方法和工具随处可见。

4、工业领域的技术合作以及外包服务日益增加，使得工控仪表系统的信息安全变得更加复杂。

5、非法访问已经从业余黑客或对企业不满的员工扩展到有预谋的犯罪或恐怖活动，后者意图对更大的组织机构或设施造成更加恶劣的影响。

以上这些趋势的组合，已大大增加了工控仪器仪表系统设计、运行和维护相关的安全风险。威胁不仅仅来自外部，内部具有一定技术能力的人员恶意或无意的行为也可能导致严重信息安全风险。对工控仪器仪表系统的入侵可能造成以下后果：①未授权访问、窃取或滥用机密信息；②向未经授权的目的地发布信息；③丧失过程数据和生产信息的完整性或可靠性；④丧失系统的可用性；⑤带来过程扰动，导致过程功能出错，降低产品质量，丧失生产能力，带来人员或设备健康、安全、环境等方面的重大或特大事故；⑥设备损坏；⑦违反法律法规相关规定；⑧带来公共健康和社会信任的风险；⑨对国家信息安全造成威胁，对所在地区或国家的基础设施造成破坏。

信息安全等级

和国际上通行作法类似，我国实行信息安全等级保护制度，保护等级从低到高分为：第一级：用户自主保护级，第二级：系统审计保护级，第三级：安全标记保护级，第四级：结构化保护级，第五级：访问验证保护级。对于工业和民用系统而言，仅涉及第一级至第四级。

国际上，通常按照国际电工委员会IEC 62443国际标准，将工业仪表与自动化系统信息安全等级从低到高分为SL1到SL4级：SL1 - 防止窃听或不经意的暴露所导致的未经授权的信息泄漏；SL2 - 防止未经授权地将信息泄露给通过少量资源、通用技能和低动机的简单手段主动进行信息搜索的实体；SL3 - 防止未经授权地将信息泄露给通过一般资源、工控系统特殊技能和一般动机的复杂手段主动进行信息搜索的实体；SL4 - 防止未经授权地将信息泄露给通过扩展资源、工控系统特殊技能和高动机的复杂手段主动进行信息搜索的实体。

信息安全等级概念是以区域为基础，而不是基于单个仪表或系统来思考信息安全问题。通常工业仪表与自动化系统由多个厂家的设备与系统组成，所有功能相互协调一起为工业运行提供集成的测控功能。正如单个设备的功能能力有助于工业仪表与自动化的能力一样，单个仪表设备的信息安全能力和实施策略也需要相互作用来达到该区域所期望的信息安全等级。

信息安全体系

工业仪器仪表系统信息安全体系构建时，应遵循以下基本原则：

1、应从设计、生产、部署开始，直至运行的各个阶段，确保工业仪器仪表系统信息安全性、功能安全性、可靠性、韧性、私密性等关键特性满足要求。

2、当信息安全与工业仪器仪表系统的基本功能（指保持健康、安全、环境和受控设备可用性所需的功能和能力）相冲突时，应按下列原则处理：

● 信息安全措施不应对高可用性工业仪器仪表系统的基本功能产生有害影响，除非得到风险评估认可。通常，信息安全措施的实施不宜造成保护丧失、控制丧失、监视丧失及其它基本功能的丧失。但无论如何，任何信息安全措施均不应造成会导致HSE（健康、安全和环境）不良后果的保护丧失。

● 访问控制不应妨碍基本功能的运行，尤其是：①用于基本功能的账户不应被锁定，即使是短暂的锁定也不行；②为了实施抗抵赖功能，需对操作员的动作进行验证和记录，但也不应给系统响应时间造成显著延迟；③对于高可用性的工业仪器仪表系统，当证书机构（如PKI）故障时，不应中断基本功能；④识别和鉴别不应阻止安全仪表功能的触发；⑤不正确时间戳的审计记录不应对基本功能产生不利影响。

● 若区域边界防护进入故障关闭或孤岛模式，工业仪器仪表系统基本功能也应保持。

● 在控制系统或安全仪表系统（SIS）网络上的拒绝服务事件(DoS)，不应妨碍安全仪表功能的动作。

信息安全体系构建从生命周期角度看，包括识别、防护、探测、响应、恢复等五个基本功能（见表1）。

表1 关键基础设施核心结构和功能

仪器仪表与信息安全相关的安全属性包括：①证明对等实体的真实性；②保护消息的真实性和完整性；③保护消息/信息/通信的保密性；④确保问责制（不可否认性）；⑤强制访问控制策略；⑥防止拒绝服务攻击；⑦维护平台信任度；⑧检测篡改；⑨监视安全状态。

案例：无线传感网（WSN）的信息安全

无线传感器及其WSN与有线方案相比，其建设及其运营成本通常低得多，并且安装更快，对生产造成的干扰也最小，因而特别适宜于工厂的升级改造。

配置781现场链路的Emerson无线1410网关

WSN的信息安全威胁源主要有：欺骗AP（无线接入点）点、自组织无线桥接、中间人攻击、拒绝服务攻击、干扰、偷听、侦察和破解等。需采取深度防御策略来保护WSN，深度防御措施包括：其一是控制对WSN的访问；其二是防护WSN基础设施；其三是确保通信客户的完整性；其四是加装入侵防护系统等。

例如，美国Emerson公司要求接入无线HART网的全部仪表设备均带有符合NIST/IEEE要求的AES-128加密芯片、单个设备会话密钥、逐跳CRC和MIC计算、预配置的“join key”（连接密钥）等功能。再配置专用防火墙等网络安全设备，采用白名单、加密、鉴别、验证、抗干扰、密钥管理等安全机制，从而有效防止拒绝服务、欺骗、中间人、重放、HELLO flood、Sinkholes、偷听等的网络攻击。图1为配置781现场链路的Emerson无线1410网关，该网关为2.4GHz DSSS，无线HART，可支持Modbus TCP/IP、OPC、EtherNet/IP等通信协议，具有安全套接层TCP/IP通信、基于角色的访问控制、AES-128加密、连接密钥、白名单、内置防火墙等功能，取得Wurldtech的Achilles 1级网络安全认证证书。