工業(yè)控制系統(tǒng)(ICS)的安全研究

0引言

現(xiàn)代工業(yè)控制系統(tǒng)包括過程控制、數(shù)據(jù)采集系統(tǒng)(sCaDa)，分布式控制系統(tǒng)(DCB}，程序邏輯控制(PLC以及其他控制系統(tǒng)等，口前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域，成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。為此，《國家信息化安全標(biāo)準(zhǔn)化“十一五”規(guī)劃》特別將制定工CS的安全標(biāo)準(zhǔn)作為“十一五”期間信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)。

與傳統(tǒng)的基于TCP/工C協(xié)議的網(wǎng)絡(luò)與信息系統(tǒng)的安全相比，我國工CS的安全保護(hù)水平明顯偏低，長期以來沒有得到關(guān)注。大多數(shù)工CS在開發(fā)時，由于傳統(tǒng)工CS技術(shù)的計算資源有限，在設(shè)計時只考慮到效率和實(shí)時等特性，并未將安全作為一個卞要的指標(biāo)考慮。隨著信息化的推動和工業(yè)化進(jìn)程的加速，越來越多的計算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也帶來了工CS的安全問題，如木馬、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等。

圖1是美國自1982年起發(fā)生的工CS安全事故統(tǒng)計。與互聯(lián)網(wǎng)上的攻擊事件相比，這些數(shù)字小得多。但是，由于工CS的特殊性，每一次事件，都代表著廣大人群的生活、生產(chǎn)受到巨大影響，經(jīng)濟(jì)遭受重大損失甚至倒退。

員、外部非法入侵者等對系統(tǒng)虎視耽耽。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是工CS，而不是傳統(tǒng)上我們熟悉的TCP/工P網(wǎng)絡(luò)，其安全是國家經(jīng)濟(jì)穩(wěn)定運(yùn)行的關(guān)鍵，是信息戰(zhàn)中敵方的重點(diǎn)攻擊日標(biāo)，攻擊后果極其嚴(yán)重。

另一方而，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對工CS造成破壞。在現(xiàn)代計算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)工CS后，傳統(tǒng)工CP/工P網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在工CS之上。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件、訪問各類網(wǎng)站信息，這類行為不僅影響上作效率、浪費(fèi)系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的卞要原因和途徑。

1. 2工CS的脆弱性分析

(1)策略和實(shí)施存在缺陷

上業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實(shí)施過程而引起的，安全策略文檔和管理支持是系統(tǒng)安全的基礎(chǔ)，有效的安全策略在系統(tǒng)中的強(qiáng)制實(shí)施是減少系統(tǒng)而臨的安全風(fēng)險的前提。

(2)平臺弱點(diǎn)

由于工Cs終端的安全防護(hù)技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點(diǎn)，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。事實(shí)是所有的入侵攻擊都是從終端上發(fā)起的，黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權(quán)限，肆意進(jìn)行破壞。注入病毒也是從終端發(fā)起的，病毒程序利用操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點(diǎn)，將病毒代碼嵌入到執(zhí)行代碼程序，實(shí)現(xiàn)病毒傳播。更為嚴(yán)重的是對合法的用戶沒有進(jìn)行嚴(yán)格的訪問控制，可以進(jìn)行越權(quán)訪問，造成不安全事故。

(3)網(wǎng)絡(luò)弱點(diǎn)

工CS的網(wǎng)絡(luò)弱點(diǎn)一般來源于軟件的漏洞、錯誤配置或者工CS網(wǎng)管理的失誤。另外，工CS與其他網(wǎng)絡(luò)勺_連時缺乏安全邊界控制，也是常見的安全隱患。通過基于“深層防御”思路的網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)流量控制、物理訪問控制等措施，工CS的網(wǎng)絡(luò)弱點(diǎn)可以有效避免。

1. 3可能的安全事件

可能導(dǎo)致工Cs安全事件的因素有:

(1)控制系統(tǒng)發(fā)生拒絕服務(wù);
(2)對PLC, DCS或SCADA中可編程指令進(jìn)行非授權(quán)修改，使報警門限值改變，或使設(shè)備本身發(fā)生破壞;
(3)向控制系統(tǒng)的操作員發(fā)生虛假信息，使操作員采取錯誤動作;
(4)修改控制系統(tǒng)的軟件或配置設(shè)置;
(5)系統(tǒng)中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。

2一種針對工CS的主動式安全方案

在土機(jī)及其計算環(huán)境中，安全保護(hù)對象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機(jī)以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。系統(tǒng)由安全管理平臺和安全終端兩大模塊組成，如圖2所示。

安全管理平臺:負(fù)責(zé)其所在網(wǎng)絡(luò)中各終端的安全策略的制定、維護(hù)和分發(fā);嚴(yán)格管理模式:只允許終端安裝和使用與業(yè)務(wù)相關(guān)的應(yīng)用軟件，禁比一切娛樂軟件、聊天軟件、理財軟件等的安裝和使用。

安全終端:安全控制系統(tǒng)最突出的特點(diǎn)是終端應(yīng)用相對固定，要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，最直接的方式就是在應(yīng)用加載之前對其進(jìn)行真實(shí)性和完整性檢查，但是隨著攻擊方式的不斷改進(jìn)，這種安全控制措施強(qiáng)度已經(jīng)變得不夠，因?yàn)轭愃苧ootkit這類攻擊會對操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞，因此對操作系統(tǒng)靜態(tài)和動態(tài)內(nèi)容也必須要進(jìn)行有效的可信檢查。深層次的終端防御體系如圖3所示。

現(xiàn)階段木馬的卞要運(yùn)行方式為向宿卞進(jìn)程插入非法動態(tài)庫，達(dá)到隱藏木馬進(jìn)程本身的日的，基于這一原理，利用HOOK AP工技術(shù)“鉤住”系統(tǒng)中所有創(chuàng)建進(jìn)程以及動態(tài)庫調(diào)用過程，達(dá)到監(jiān)控系統(tǒng)中所有可執(zhí)行文件加載情況。通過完整性校驗(yàn)，判定某一可執(zhí)行模塊的加載是否合法，實(shí)現(xiàn)對木馬、病毒等惡意代碼的卞動防御，判斷的依據(jù)是由管理平臺制定并下發(fā)的可信應(yīng)用自名單。

3結(jié)論

目前，土業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全體系在很大程度上是由通用信息安全技術(shù)在土業(yè)控制系統(tǒng)具體環(huán)境的實(shí)施下演化而來，土業(yè)控制系統(tǒng)面臨著通用信息系統(tǒng)所具有的大多安全問題，同時也存在獨(dú)特的安全需求。

本文中我們針對土業(yè)控制系統(tǒng)的安全特點(diǎn)，結(jié)合完整性度量技術(shù)，提出了在土業(yè)控制系統(tǒng)中的一種土動式安全模型，有效避免了土業(yè)控制系統(tǒng)安全策略實(shí)施的困難性和平臺的安全脆弱性，不僅能夠防范已知病毒和木馬，而且對未知的惡意代碼具有免疫能力，能夠保證土業(yè)控制系統(tǒng)業(yè)務(wù)的連續(xù)性。