工業(yè)控制系統(tǒng)中主動式安全模型的研究

現(xiàn)代工業(yè)控制系統(tǒng)包括過程控制、數(shù)據(jù)采集系統(tǒng)（sCaDa），分布式控制系統(tǒng)（DCB}，程序邏輯控制（PLC以及其他控制系統(tǒng)等，口前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域，成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。為此，《國家信息化安全標準化“十一五”規(guī)劃》特別將制定工CS的安全標準作為“十一五”期間信息安全標準化工作的重點。

與傳統(tǒng)的基于TCP/工C協(xié)議的網(wǎng)絡(luò)與信息系統(tǒng)的安全相比，我國工CS的安全保護水平明顯偏低，長期以來沒有得到關(guān)注。大多數(shù)工CS在開發(fā)時，由于傳統(tǒng)工CS技術(shù)的計算資源有限，在設(shè)計時只考慮到效率和實時等特性，并未將安全作為一個卞要的指標考慮。隨著信息化的推動和工業(yè)化進程的加速，越來越多的計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也帶來了工CS的安全問題，如木馬、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等。

圖1是美國自1982年起發(fā)生的工CS安全事故統(tǒng)計。與互聯(lián)網(wǎng)上的攻擊事件相比，這些數(shù)字小得多。但是，由于工CS的特殊性，每一次事件，都代表著廣大人群的生活、生產(chǎn)受到巨大影響，經(jīng)濟遭受重大損失甚至倒退。

員、外部非法入侵者等對系統(tǒng)虎視耽耽。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是工CS，而不是傳統(tǒng)上我們熟悉的TCP/工P網(wǎng)絡(luò)，其安全是國家經(jīng)濟穩(wěn)定運行的關(guān)鍵，是信息戰(zhàn)中敵方的重點攻擊日標，攻擊后果極其嚴重。

另一方而，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對工CS造成破壞。在現(xiàn)代計算機和網(wǎng)絡(luò)技術(shù)融合進工CS后，傳統(tǒng)工CP/工P網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在工CS之上。例如用戶可以隨意安裝、運行各類應(yīng)用軟件、訪問各類網(wǎng)站信息，這類行為不僅影響上作效率、浪費系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進入系統(tǒng)的卞要原因和途徑。

1. 2工CS的脆弱性分析

（1）策略和實施存在缺陷

上業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實施過程而引起的，安全策略文檔和管理支持是系統(tǒng)安全的基礎(chǔ)，有效的安全策略在系統(tǒng)中的強制實施是減少系統(tǒng)而臨的安全風(fēng)險的前提。

（2）平臺弱點

由于工Cs終端的安全防護技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。事實是所有的入侵攻擊都是從終端上發(fā)起的，黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權(quán)限，肆意進行破壞。注入病毒也是從終端發(fā)起的，病毒程序利用操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點，將病毒代碼嵌入到執(zhí)行代碼程序，實現(xiàn)病毒傳播。更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制，可以進行越權(quán)訪問，造成不安全事故。

（3）網(wǎng)絡(luò)弱點

工CS的網(wǎng)絡(luò)弱點一般來源于軟件的漏洞、錯誤配置或者工CS網(wǎng)管理的失誤。另外，工CS與其他網(wǎng)絡(luò)勺_連時缺乏安全邊界控制，也是常見的安全隱患。通過基于“深層防御”思路的網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)流量控制、物理訪問控制等措施，工CS的網(wǎng)絡(luò)弱點可以有效避免。

1. 3可能的安全事件

可能導(dǎo)致工Cs安全事件的因素有：

（1）控制系統(tǒng)發(fā)生拒絕服務(wù);

（2）對PLC， DCS或SCADA中可編程指令進行非授權(quán)修改，使報警門限值改變，或使設(shè)備本身發(fā)生破壞;

（3）向控制系統(tǒng)的操作員發(fā)生虛假信息，使操作員采取錯誤動作;

（4）修改控制系統(tǒng)的軟件或配置設(shè)置;

（5）系統(tǒng)中被引入了惡意軟件（例如病毒、蠕蟲、特洛伊木馬等）。

2 一種針對工CS的主動式安全方案

在主機及其計算環(huán)境中，安全保護對象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。系統(tǒng)由安全管理平臺和安全終端兩大模塊組成，如圖2所示。

安全管理平臺：負責(zé)其所在網(wǎng)絡(luò)中各終端的安全策略的制定、維護和分發(fā);嚴格管理模式：只允許終端安裝和使用與業(yè)務(wù)相關(guān)的應(yīng)用軟件，禁比一切娛樂軟件、聊天軟件、理財軟件等的安裝和使用。

安全終端：安全控制系統(tǒng)最突出的特點是終端應(yīng)用相對固定，要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，最直接的方式就是在應(yīng)用加載之前對其進行真實性和完整性檢查，但是隨著攻擊方式的不斷改進，這種安全控制措施強度已經(jīng)變得不夠，因為類似rootkit這類攻擊會對操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞，因此對操作系統(tǒng)靜態(tài)和動態(tài)內(nèi)容也必須要進行有效的可信檢查。深層次的終端防御體系如圖3所示。

現(xiàn)階段木馬的卞要運行方式為向宿卞進程插入非法動態(tài)庫，達到隱藏木馬進程本身的日的，基于這一原理，利用HOOK AP工技術(shù)“鉤住”系統(tǒng)中所有創(chuàng)建進程以及動態(tài)庫調(diào)用過程，達到監(jiān)控系統(tǒng)中所有可執(zhí)行文件加載情況。通過完整性校驗，判定某一可執(zhí)行模塊的加載是否合法，實現(xiàn)對木馬、病毒等惡意代碼的卞動防御，判斷的依據(jù)是由管理平臺制定并下發(fā)的可信應(yīng)用自名單。

3 結(jié)論

目前，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全體系在很大程度上是由通用信息安全技術(shù)在工業(yè)控制系統(tǒng)具體環(huán)境的實施下演化而來，工業(yè)控制系統(tǒng)面臨著通用信息系統(tǒng)所具有的大多安全問題，同時也存在獨特的安全需求。

本文中我們針對工業(yè)控制系統(tǒng)的安全特點，結(jié)合完整性度量技術(shù)，提出了在工業(yè)控制系統(tǒng)中的一種主動式安全模型，有效避免了工業(yè)控制系統(tǒng)安全策略實施的困難性和平臺的安全脆弱性，不僅能夠防范已知病毒和木馬，而且對未知的惡意代碼具有免疫能力，能夠保證土業(yè)控制系統(tǒng)業(yè)務(wù)的連續(xù)性。