工業(yè)控制系統(tǒng)(ICS)的安全研究
0引言
現(xiàn)代工業(yè)控制系統(tǒng)包括過程控制、數(shù)據(jù)采集系統(tǒng)(sCaDa),分布式控制系統(tǒng)(DCB},程序邏輯控制(PLC以及其他控制系統(tǒng)等,口前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域,成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,關(guān)系到國家的戰(zhàn)略安全。為此,《國家信息化安全標(biāo)準(zhǔn)化“十一五”規(guī)劃》特別將制定工CS的安全標(biāo)準(zhǔn)作為“十一五”期間信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)。
與傳統(tǒng)的基于TCP/工C協(xié)議的網(wǎng)絡(luò)與信息系統(tǒng)的安全相比,我國工CS的安全保護(hù)水平明顯偏低,長期以來沒有得到關(guān)注。大多數(shù)工CS在開發(fā)時(shí),由于傳統(tǒng)工CS技術(shù)的計(jì)算資源有限,在設(shè)計(jì)時(shí)只考慮到效率和實(shí)時(shí)等特性,并未將安全作為一個(gè)卞要的指標(biāo)考慮。隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速,越來越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng),在為工業(yè)生產(chǎn)帶來極大推動(dòng)作用的同時(shí),也帶來了工CS的安全問題,如木馬、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等。
圖1是美國自1982年起發(fā)生的工CS安全事故統(tǒng)計(jì)。與互聯(lián)網(wǎng)上的攻擊事件相比,這些數(shù)字小得多。但是,由于工CS的特殊性,每一次事件,都代表著廣大人群的生活、生產(chǎn)受到巨大影響,經(jīng)濟(jì)遭受重大損失甚至倒退。
員、外部非法入侵者等對(duì)系統(tǒng)虎視耽耽。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是工CS,而不是傳統(tǒng)上我們熟悉的TCP/工P網(wǎng)絡(luò),其安全是國家經(jīng)濟(jì)穩(wěn)定運(yùn)行的關(guān)鍵,是信息戰(zhàn)中敵方的重點(diǎn)攻擊日標(biāo),攻擊后果極其嚴(yán)重。
另一方而,系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)工CS造成破壞。在現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)工CS后,傳統(tǒng)工CP/工P網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在工CS之上。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件、訪問各類網(wǎng)站信息,這類行為不僅影響上作效率、浪費(fèi)系統(tǒng)資源,而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的卞要原因和途徑。
1. 2工CS的脆弱性分析
(1)策略和實(shí)施存在缺陷
上業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實(shí)施過程而引起的,安全策略文檔和管理支持是系統(tǒng)安全的基礎(chǔ),有效的安全策略在系統(tǒng)中的強(qiáng)制實(shí)施是減少系統(tǒng)而臨的安全風(fēng)險(xiǎn)的前提。
(2)平臺(tái)弱點(diǎn)
由于工Cs終端的安全防護(hù)技術(shù)措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點(diǎn),在終端上發(fā)生、發(fā)起,并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。事實(shí)是所有的入侵攻擊都是從終端上發(fā)起的,黑客利用被攻擊系統(tǒng)的漏洞竊取超級(jí)用戶權(quán)限,肆意進(jìn)行破壞。注入病毒也是從終端發(fā)起的,病毒程序利用操作系統(tǒng)對(duì)執(zhí)行代碼不檢查一致性弱點(diǎn),將病毒代碼嵌入到執(zhí)行代碼程序,實(shí)現(xiàn)病毒傳播。更為嚴(yán)重的是對(duì)合法的用戶沒有進(jìn)行嚴(yán)格的訪問控制,可以進(jìn)行越權(quán)訪問,造成不安全事故。
(3)網(wǎng)絡(luò)弱點(diǎn)
工CS的網(wǎng)絡(luò)弱點(diǎn)一般來源于軟件的漏洞、錯(cuò)誤配置或者工CS網(wǎng)管理的失誤。另外,工CS與其他網(wǎng)絡(luò)勺_連時(shí)缺乏安全邊界控制,也是常見的安全隱患。通過基于“深層防御”思路的網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)流量控制、物理訪問控制等措施,工CS的網(wǎng)絡(luò)弱點(diǎn)可以有效避免。
1. 3可能的安全事件
可能導(dǎo)致工Cs安全事件的因素有:
(1)控制系統(tǒng)發(fā)生拒絕服務(wù);
(2)對(duì)PLC, DCS或SCADA中可編程指令進(jìn)行非授權(quán)修改,使報(bào)警門限值改變,或使設(shè)備本身發(fā)生破壞;
(3)向控制系統(tǒng)的操作員發(fā)生虛假信息,使操作員采取錯(cuò)誤動(dòng)作;
(4)修改控制系統(tǒng)的軟件或配置設(shè)置;
(5)系統(tǒng)中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。
2一種針對(duì)工CS的主動(dòng)式安全方案
在土機(jī)及其計(jì)算環(huán)境中,安全保護(hù)對(duì)象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機(jī)以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。系統(tǒng)由安全管理平臺(tái)和安全終端兩大模塊組成,如圖2所示。
安全管理平臺(tái):負(fù)責(zé)其所在網(wǎng)絡(luò)中各終端的安全策略的制定、維護(hù)和分發(fā);嚴(yán)格管理模式:只允許終端安裝和使用與業(yè)務(wù)相關(guān)的應(yīng)用軟件,禁比一切娛樂軟件、聊天軟件、理財(cái)軟件等的安裝和使用。
安全終端:安全控制系統(tǒng)最突出的特點(diǎn)是終端應(yīng)用相對(duì)固定,要防范傳統(tǒng)方式的病毒或木馬等惡意軟件,最直接的方式就是在應(yīng)用加載之前對(duì)其進(jìn)行真實(shí)性和完整性檢查,但是隨著攻擊方式的不斷改進(jìn),這種安全控制措施強(qiáng)度已經(jīng)變得不夠,因?yàn)轭愃苧ootkit這類攻擊會(huì)對(duì)操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞,因此對(duì)操作系統(tǒng)靜態(tài)和動(dòng)態(tài)內(nèi)容也必須要進(jìn)行有效的可信檢查。深層次的終端防御體系如圖3所示。
現(xiàn)階段木馬的卞要運(yùn)行方式為向宿卞進(jìn)程插入非法動(dòng)態(tài)庫,達(dá)到隱藏木馬進(jìn)程本身的日的,基于這一原理,利用HOOK AP工技術(shù)“鉤住”系統(tǒng)中所有創(chuàng)建進(jìn)程以及動(dòng)態(tài)庫調(diào)用過程,達(dá)到監(jiān)控系統(tǒng)中所有可執(zhí)行文件加載情況。通過完整性校驗(yàn),判定某一可執(zhí)行模塊的加載是否合法,實(shí)現(xiàn)對(duì)木馬、病毒等惡意代碼的卞動(dòng)防御,判斷的依據(jù)是由管理平臺(tái)制定并下發(fā)的可信應(yīng)用自名單。
3結(jié)論
目前,土業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全體系在很大程度上是由通用信息安全技術(shù)在土業(yè)控制系統(tǒng)具體環(huán)境的實(shí)施下演化而來,土業(yè)控制系統(tǒng)面臨著通用信息系統(tǒng)所具有的大多安全問題,同時(shí)也存在獨(dú)特的安全需求。
本文中我們針對(duì)土業(yè)控制系統(tǒng)的安全特點(diǎn),結(jié)合完整性度量技術(shù),提出了在土業(yè)控制系統(tǒng)中的一種土動(dòng)式安全模型,有效避免了土業(yè)控制系統(tǒng)安全策略實(shí)施的困難性和平臺(tái)的安全脆弱性,不僅能夠防范已知病毒和木馬,而且對(duì)未知的惡意代碼具有免疫能力,能夠保證土業(yè)控制系統(tǒng)業(yè)務(wù)的連續(xù)性。
評(píng)論