1) 事前防御技術(shù)
事前防御技術(shù)是工業(yè)控制信息安全防護(hù)技術(shù)體系中較為重要的部分,目前有很多成熟的基礎(chǔ)技術(shù)可以利用:
訪問控制/工業(yè)控制專用防火墻
身份認(rèn)證
ID設(shè)備
基于生物特征的鑒別技術(shù)
安全的調(diào)制解調(diào)器
加密技術(shù)
公共密鑰基礎(chǔ)設(shè)施(PKI)
虛擬局域網(wǎng)(VPN)
2)事中響應(yīng)技術(shù)
入侵檢測(cè)(IDS)技術(shù)對(duì)于識(shí)別內(nèi)部的錯(cuò)誤操作和外部攻擊者嘗試獲得內(nèi)部訪問權(quán)限的攻擊行為是非常有效的。它能夠檢測(cè)和識(shí)別出內(nèi)部或外部用戶破壞網(wǎng)絡(luò)的意圖。IDS有兩種常見的形式:數(shù)字簽名檢測(cè)系統(tǒng)和不規(guī)則檢測(cè)系統(tǒng)。入侵者常常通過攻擊數(shù)字簽名,從而獲得進(jìn)入系統(tǒng)的權(quán)限或破壞網(wǎng)絡(luò)的完整性。數(shù)字簽名檢測(cè)系統(tǒng)通過將現(xiàn)在的攻擊特性與已知攻擊特性數(shù)據(jù)庫(kù)進(jìn)行比對(duì),根據(jù)選擇的靈敏程度,最終確定比對(duì)結(jié)果。然后,根據(jù)比對(duì)結(jié)果,確定攻擊行為的發(fā)生,從而阻斷攻擊行為并且通報(bào)系統(tǒng)管理員當(dāng)前系統(tǒng)正在遭受到攻擊。不規(guī)則檢測(cè)技術(shù)通過對(duì)比正在運(yùn)行的系統(tǒng)行為和正常系統(tǒng)行為之間的差異,確定入侵行為的發(fā)生且向系統(tǒng)管理員報(bào)警。例如,IDS能夠檢測(cè)在午夜時(shí)分系統(tǒng)不正常的活躍性或者外部網(wǎng)絡(luò)大量訪問某I/O端口等。當(dāng)不正常的活動(dòng)發(fā)生時(shí),IDS能夠阻斷攻擊并且提醒系統(tǒng)管理員。
以上兩種IDS系統(tǒng)都有其優(yōu)點(diǎn)和缺點(diǎn),但是,它們都有一個(gè)相同的問題—如何設(shè)置檢測(cè)靈敏度。高靈敏度會(huì)造成錯(cuò)誤的入侵報(bào)警, IDS會(huì)對(duì)每個(gè)入侵警報(bào)作相應(yīng)的系統(tǒng)動(dòng)作,因此,過多的錯(cuò)誤入侵警報(bào),不僅會(huì)破壞正常系統(tǒng)的某些必須的功能,而且還會(huì)對(duì)系統(tǒng)造成大量額外的負(fù)擔(dān)。而低靈敏度會(huì)使IDS不能檢測(cè)到某些入侵行為的發(fā)生,因此IDS會(huì)對(duì)一些入侵行為視而不見,從而使入侵者成功進(jìn)入系統(tǒng),造成不可預(yù)期的損失。
3)事后取證技術(shù)
審計(jì)日志機(jī)制是對(duì)合法的和非合法的用戶的認(rèn)證信息和其他特征信息進(jìn)行記錄的文件,是工業(yè)控制系統(tǒng)信息安全主要的事后取證技術(shù)之一。因此,針對(duì)每個(gè)對(duì)系統(tǒng)的訪問及其相關(guān)操作均需要被記錄在案。當(dāng)診斷和審核網(wǎng)絡(luò)電子入侵是否發(fā)生時(shí),審計(jì)日記是必不可少的判斷標(biāo)準(zhǔn)之一。此外,系統(tǒng)行為記錄也是工業(yè)SCADA系統(tǒng)信息安全的常用技術(shù)。
上述討論的是在工業(yè)控制系統(tǒng)信息安全中一些常用的、常規(guī)性技術(shù),而在工業(yè)控制系統(tǒng)信息安全實(shí)施過程中,主要有以下一些特別的關(guān)鍵技術(shù)。