1) 事前防御技术
事前防御技术是工业控制信息安全防护技术体系中较为重要的部分,目前有很多成熟的基础技术可以利用:
访问控制/工业控制专用防火墙
身份认证
ID设备
基于生物特征的鉴别技术
安全的调制解调器
加密技术
公共密钥基础设施(PKI)
虚拟局域网(VPN)
2)事中响应技术
入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS有两种常见的形式:数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名,从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对,根据选择的灵敏程度,最终确定比对结果。然后,根据比对结果,确定攻击行为的发生,从而阻断攻击行为并且通报系统管理员当前系统正在遭受到攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异,确定入侵行为的发生且向系统管理员报警。例如,IDS能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某I/O端口等。当不正常的活动发生时,IDS能够阻断攻击并且提醒系统管理员。
以上两种IDS系统都有其优点和缺点,但是,它们都有一个相同的问题—如何设置检测灵敏度。高灵敏度会造成错误的入侵报警, IDS会对每个入侵警报作相应的系统动作,因此,过多的错误入侵警报,不仅会破坏正常系统的某些必须的功能,而且还会对系统造成大量额外的负担。而低灵敏度会使IDS不能检测到某些入侵行为的发生,因此IDS会对一些入侵行为视而不见,从而使入侵者成功进入系统,造成不可预期的损失。
3)事后取证技术
审计日志机制是对合法的和非合法的用户的认证信息和其他特征信息进行记录的文件,是工业控制系统信息安全主要的事后取证技术之一。因此,针对每个对系统的访问及其相关操作均需要被记录在案。当诊断和审核网络电子入侵是否发生时,审计日记是必不可少的判断标准之一。此外,系统行为记录也是工业SCADA系统信息安全的常用技术。
上述讨论的是在工业控制系统信息安全中一些常用的、常规性技术,而在工业控制系统信息安全实施过程中,主要有以下一些特别的关键技术。