工業(yè)控制系統(ICS)的安全研究

0引言

現代工業(yè)控制系統包括過(guò)程控制、數據采集系統(sCaDa)，分布式控制系統(DCB}，程序邏輯控制(PLC以及其他控制系統等，口前已應用于電力、水力、石化、醫藥、食品以及汽車(chē)、航天等工業(yè)領(lǐng)域，成為國家關(guān)鍵基礎設施的重要組成部分，關(guān)系到國家的戰略安全。為此，《國家信息化安全標準化“十一五”規劃》特別將制定工CS的安全標準作為“十一五”期間信息安全標準化工作的重點(diǎn)。

與傳統的基于TCP/工C協(xié)議的網(wǎng)絡(luò )與信息系統的安全相比，我國工CS的安全保護水平明顯偏低，長(cháng)期以來(lái)沒(méi)有得到關(guān)注。大多數工CS在開(kāi)發(fā)時(shí)，由于傳統工CS技術(shù)的計算資源有限，在設計時(shí)只考慮到效率和實(shí)時(shí)等特性，并未將安全作為一個(gè)卞要的指標考慮。隨著(zhù)信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，越來(lái)越多的計算機和網(wǎng)絡(luò )技術(shù)應用于工業(yè)控制系統，在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)，也帶來(lái)了工CS的安全問(wèn)題，如木馬、病毒、網(wǎng)絡(luò )攻擊造成信息泄露和控制指令篡改等。

圖1是美國自1982年起發(fā)生的工CS安全事故統計。與互聯(lián)網(wǎng)上的攻擊事件相比，這些數字小得多。但是，由于工CS的特殊性，每一次事件，都代表著(zhù)廣大人群的生活、生產(chǎn)受到巨大影響，經(jīng)濟遭受重大損失甚至倒退。

員、外部非法入侵者等對系統虎視耽耽。國家關(guān)鍵基礎所依賴(lài)的很多重要信息系統從技術(shù)特征上講是工CS，而不是傳統上我們熟悉的TCP/工P網(wǎng)絡(luò )，其安全是國家經(jīng)濟穩定運行的關(guān)鍵，是信息戰中敵方的重點(diǎn)攻擊日標，攻擊后果極其嚴重。

另一方而，系統復雜性、人為事故、操作失誤、設備故障和自然災害等也會(huì )對工CS造成破壞。在現代計算機和網(wǎng)絡(luò )技術(shù)融合進(jìn)工CS后，傳統工CP/工P網(wǎng)絡(luò )上常見(jiàn)的安全問(wèn)題已經(jīng)紛紛出現在工CS之上。例如用戶(hù)可以隨意安裝、運行各類(lèi)應用軟件、訪(fǎng)問(wèn)各類(lèi)網(wǎng)站信息，這類(lèi)行為不僅影響上作效率、浪費系統資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統的卞要原因和途徑。

1. 2工CS的脆弱性分析

(1)策略和實(shí)施存在缺陷

上業(yè)控制系統的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實(shí)施過(guò)程而引起的，安全策略文檔和管理支持是系統安全的基礎，有效的安全策略在系統中的強制實(shí)施是減少系統而臨的安全風(fēng)險的前提。

(2)平臺弱點(diǎn)

由于工Cs終端的安全防護技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點(diǎn)，在終端上發(fā)生、發(fā)起，并通過(guò)網(wǎng)絡(luò )感染或破壞其他系統。事實(shí)是所有的入侵攻擊都是從終端上發(fā)起的，黑客利用被攻擊系統的漏洞竊取超級用戶(hù)權限，肆意進(jìn)行破壞。注入病毒也是從終端發(fā)起的，病毒程序利用操作系統對執行代碼不檢查一致性弱點(diǎn)，將病毒代碼嵌入到執行代碼程序，實(shí)現病毒傳播。更為嚴重的是對合法的用戶(hù)沒(méi)有進(jìn)行嚴格的訪(fǎng)問(wèn)控制，可以進(jìn)行越權訪(fǎng)問(wèn)，造成不安全事故。

(3)網(wǎng)絡(luò )弱點(diǎn)

工CS的網(wǎng)絡(luò )弱點(diǎn)一般來(lái)源于軟件的漏洞、錯誤配置或者工CS網(wǎng)管理的失誤。另外，工CS與其他網(wǎng)絡(luò )勺_連時(shí)缺乏安全邊界控制，也是常見(jiàn)的安全隱患。通過(guò)基于“深層防御”思路的網(wǎng)絡(luò )設計、網(wǎng)絡(luò )通信加密、網(wǎng)絡(luò )流量控制、物理訪(fǎng)問(wèn)控制等措施，工CS的網(wǎng)絡(luò )弱點(diǎn)可以有效避免。

1. 3可能的安全事件

可能導致工Cs安全事件的因素有:

(1)控制系統發(fā)生拒絕服務(wù);
(2)對PLC, DCS或SCADA中可編程指令進(jìn)行非授權修改，使報警門(mén)限值改變，或使設備本身發(fā)生破壞;
(3)向控制系統的操作員發(fā)生虛假信息，使操作員采取錯誤動(dòng)作;
(4)修改控制系統的軟件或配置設置;
(5)系統中被引入了惡意軟件(例如病毒、蠕蟲(chóng)、特洛伊木馬等)。

2一種針對工CS的主動(dòng)式安全方案

在土機及其計算環(huán)境中，安全保護對象包括用戶(hù)應用環(huán)境中的服務(wù)器、客戶(hù)機以及其上安裝的操作系統和應用系統。系統由安全管理平臺和安全終端兩大模塊組成，如圖2所示。

安全管理平臺:負責其所在網(wǎng)絡(luò )中各終端的安全策略的制定、維護和分發(fā);嚴格管理模式:只允許終端安裝和使用與業(yè)務(wù)相關(guān)的應用軟件，禁比一切娛樂(lè )軟件、聊天軟件、理財軟件等的安裝和使用。

安全終端:安全控制系統最突出的特點(diǎn)是終端應用相對固定，要防范傳統方式的病毒或木馬等惡意軟件，最直接的方式就是在應用加載之前對其進(jìn)行真實(shí)性和完整性檢查，但是隨著(zhù)攻擊方式的不斷改進(jìn)，這種安全控制措施強度已經(jīng)變得不夠，因為類(lèi)似rootkit這類(lèi)攻擊會(huì )對操作系統底層代碼和系統服務(wù)產(chǎn)生破壞，因此對操作系統靜態(tài)和動(dòng)態(tài)內容也必須要進(jìn)行有效的可信檢查。深層次的終端防御體系如圖3所示。

現階段木馬的卞要運行方式為向宿卞進(jìn)程插入非法動(dòng)態(tài)庫，達到隱藏木馬進(jìn)程本身的日的，基于這一原理，利用HOOK AP工技術(shù)“鉤住”系統中所有創(chuàng )建進(jìn)程以及動(dòng)態(tài)庫調用過(guò)程，達到監控系統中所有可執行文件加載情況。通過(guò)完整性校驗，判定某一可執行模塊的加載是否合法，實(shí)現對木馬、病毒等惡意代碼的卞動(dòng)防御，判斷的依據是由管理平臺制定并下發(fā)的可信應用自名單。

3結論

目前，土業(yè)控制系統的網(wǎng)絡(luò )安全體系在很大程度上是由通用信息安全技術(shù)在土業(yè)控制系統具體環(huán)境的實(shí)施下演化而來(lái)，土業(yè)控制系統面臨著(zhù)通用信息系統所具有的大多安全問(wèn)題，同時(shí)也存在獨特的安全需求。

本文中我們針對土業(yè)控制系統的安全特點(diǎn)，結合完整性度量技術(shù)，提出了在土業(yè)控制系統中的一種土動(dòng)式安全模型，有效避免了土業(yè)控制系統安全策略實(shí)施的困難性和平臺的安全脆弱性，不僅能夠防范已知病毒和木馬，而且對未知的惡意代碼具有免疫能力，能夠保證土業(yè)控制系統業(yè)務(wù)的連續性。