公務(wù)員期刊網(wǎng) 論文中心 正文

工控系統(tǒng)信息安全的設(shè)計(jì)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了工控系統(tǒng)信息安全的設(shè)計(jì)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

工控系統(tǒng)信息安全的設(shè)計(jì)

摘要:工業(yè)控制系統(tǒng)作為智能制造的神經(jīng)中樞,關(guān)系到中國(guó)制造2025強(qiáng)國(guó)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。受限于國(guó)內(nèi)微電子工業(yè)的能力,芯片和操作系統(tǒng)無法安全可控。再加上網(wǎng)絡(luò)化、信息化,黑客攻擊手段更加復(fù)雜多樣。通過分析工控系統(tǒng)典型威脅、技術(shù)上的脆弱性及攻擊手段,給出了縱深防御的安全防御方案。該方案對(duì)邊界隔離、終端加固、內(nèi)核安全的設(shè)計(jì)進(jìn)行詳細(xì)說明。該方案的實(shí)施能夠保障工業(yè)控制系統(tǒng)的信息安全。

關(guān)鍵詞:工業(yè)控制系統(tǒng),信息安全,脆弱性,縱深防御,邊界隔離,終端加固,加密技術(shù)

1工控系統(tǒng)信息安全面臨的威脅及分析

由博萊斯福德(DillonBeresford)實(shí)驗(yàn)得出工控系統(tǒng)非常脆弱,并很容易被利用。深究其威脅的根本原因:控制網(wǎng)、生產(chǎn)網(wǎng)、管理網(wǎng)、互聯(lián)網(wǎng)的連接,TCP/IP協(xié)議的普及,類Windows系統(tǒng)廣泛使用。

1.1技術(shù)對(duì)工控系統(tǒng)脆弱性影響

工控設(shè)備的脆弱性源于操作系統(tǒng)漏洞、開發(fā)工具漏洞、應(yīng)用軟件設(shè)計(jì)不周、算法問題。硬件芯片依賴進(jìn)口,硬件缺陷隱蔽性強(qiáng),難以發(fā)現(xiàn)。工控通訊的脆弱性包括企業(yè)內(nèi)集成互聯(lián)、信息共享,工控系統(tǒng)由信息孤島向公共平臺(tái)延伸,意味著工控系統(tǒng)暴露在更大范圍、更加虛擬化的攻擊者面前。遠(yuǎn)程運(yùn)維Web訪問遠(yuǎn)程監(jiān)控,暴露多、入口多,隨時(shí)都有被攻擊的可能。通訊協(xié)議采用通用開放的TCP/IP協(xié)議,開放了大量端口,為黑客進(jìn)攻提供途徑。

1.2工控系統(tǒng)安全的攻擊手段

隨著技術(shù)的發(fā)展,攻擊手段越來越復(fù)雜多樣,攻擊者除了利用工具包、釣魚攻擊等傳統(tǒng)感染方式外,還采用了新型攻擊手段,如0day漏洞利用、變形木馬、隱蔽通道等。同時(shí)常用的攻擊手段還包括:暴力破解、重放攻擊、偽造證書、留后門、遠(yuǎn)程指令、惡意代碼、反射dll注入、DNS欺騙、假冒數(shù)據(jù)、躲避入侵檢測(cè)、分布DOS攻擊等。

2縱深防御體系設(shè)計(jì)

以《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》為依據(jù),按照工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的具體辦法,采用內(nèi)外結(jié)合縱深防御、綜合防范的設(shè)計(jì)思路,建立從外到內(nèi)的邊界隔離、終端加固、內(nèi)核安全三重防御體系,從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù),保障信息系統(tǒng)的保密性、完整性和可用性,指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。

2.1邊界隔離

區(qū)域邊界是工控系統(tǒng)主機(jī)環(huán)境與通信網(wǎng)絡(luò)之間完成聯(lián)接的部件。采用網(wǎng)絡(luò)分區(qū)隔離,DCS系統(tǒng)網(wǎng)絡(luò)相對(duì)獨(dú)立/內(nèi)部網(wǎng)絡(luò)劃分Vlan。由于各區(qū)域邊界在進(jìn)入工控系統(tǒng)核心網(wǎng)絡(luò)有共同的出口,可在區(qū)域邊界部署工業(yè)防火墻、單向網(wǎng)關(guān)對(duì)用戶訪問時(shí)的網(wǎng)絡(luò)訪問控制、包過濾防護(hù)、入侵防范、安全審計(jì)、完整性防護(hù)、網(wǎng)絡(luò)設(shè)備自身保護(hù)等方面進(jìn)行安全防護(hù)。利用防火墻和單向網(wǎng)關(guān)檢查數(shù)據(jù)包的傳輸方向、源地址、目的地址、端口、傳輸層協(xié)議、MAC地址、時(shí)間等,對(duì)網(wǎng)絡(luò)流量?jī)?nèi)的OPC、Modbus等通用協(xié)議進(jìn)行深度過濾解析,利用白名單與規(guī)則匹配方式進(jìn)行安全防護(hù),只有可信任的設(shè)備,才能接入到工控系統(tǒng)網(wǎng)絡(luò),只有可信任的數(shù)據(jù),才能在網(wǎng)絡(luò)上傳輸。對(duì)工控系統(tǒng)的異常流量、違規(guī)活動(dòng)、網(wǎng)絡(luò)攻擊行為進(jìn)行實(shí)時(shí)監(jiān)測(cè),并在發(fā)現(xiàn)可疑或危險(xiǎn)的活動(dòng)時(shí)采取相應(yīng)的安全措施,如告警、阻斷當(dāng)前連接等。利用防火墻DOS防護(hù)功能,有效檢測(cè)常見的端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。工控系統(tǒng)的連接訪問,進(jìn)行身份認(rèn)證,提供兩種或兩種以上的認(rèn)證方式進(jìn)行訪問控制,實(shí)現(xiàn)網(wǎng)絡(luò)連接的保密性、完整性和唯一性。

2.2終端加固

對(duì)工控系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器、上位機(jī)(服務(wù)器、工作站)等設(shè)備,增加對(duì)終端設(shè)備加固。進(jìn)行漏洞掃描、網(wǎng)絡(luò)入侵檢測(cè),通過使用主機(jī)監(jiān)控與審計(jì)的資源,隔離限制特定進(jìn)程對(duì)特定文件的訪問權(quán)限等操作,對(duì)服務(wù)器、終端采用安全操作系統(tǒng),實(shí)時(shí)和定時(shí)防病毒檢測(cè),安裝安全補(bǔ)丁,使用集中式的日志服務(wù)器管理系統(tǒng)日志,實(shí)現(xiàn)強(qiáng)身份鑒別、強(qiáng)制訪問控制、程序可信執(zhí)行保護(hù)、惡意代碼防護(hù)。漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù),通過掃描等手段對(duì)指定系統(tǒng)設(shè)備的的安全脆弱性進(jìn)行檢測(cè),了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí),在被攻擊前進(jìn)行防范。防火墻是被動(dòng)的防御手段,那么漏洞掃描就是一種主動(dòng)的防范措施,做到防患于未然。因此漏洞掃描和防火墻互相配合,能夠有效提高系統(tǒng)的安全性。網(wǎng)絡(luò)入侵檢測(cè)是對(duì)防火墻的有效補(bǔ)充,利用特征匹配或異常識(shí)別技術(shù)檢測(cè)攻擊,實(shí)時(shí)進(jìn)行協(xié)議分析、網(wǎng)絡(luò)流量分析,違反安全策略的流量及時(shí)報(bào)警和防護(hù),實(shí)現(xiàn)從事前警告、事中防護(hù)到事后取證。可利用入侵監(jiān)測(cè)系統(tǒng)實(shí)時(shí)記錄各種黑客攻擊(如緩沖區(qū)溢出、SQL注入、暴力猜測(cè)、拒絕服務(wù)、掃描探測(cè)、非授權(quán)訪問、蠕蟲病毒、僵尸網(wǎng)絡(luò)等)。主機(jī)監(jiān)控及審計(jì)系統(tǒng)具備軟硬件資產(chǎn)管理、行為管理、網(wǎng)絡(luò)訪問管理、安全漏洞管理、補(bǔ)丁分發(fā)管理、審計(jì)及報(bào)表等功能。對(duì)非法接入和違規(guī)外聯(lián)進(jìn)行阻斷,并記錄審計(jì)日志和告警;使用黑白名單方式管理進(jìn)程;關(guān)閉不需要的網(wǎng)絡(luò)端口,關(guān)閉不需要的網(wǎng)絡(luò)服務(wù);關(guān)閉或拆除主機(jī)不需要的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口等;根據(jù)需要限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。安裝防病毒系統(tǒng),實(shí)時(shí)和定時(shí)檢測(cè)/清除病毒,并及時(shí)更新病毒代碼庫(kù)和病毒掃描引擎,更新前進(jìn)行安全性和兼容性測(cè)試。各種防護(hù)設(shè)備的安全審計(jì)能夠及時(shí)發(fā)現(xiàn)各種違規(guī)行為、攻擊行為。此外使用日志服務(wù)器對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)等通用計(jì)算機(jī)軟硬件系統(tǒng)以及各種特定業(yè)務(wù)系統(tǒng)在運(yùn)行過程中產(chǎn)生的日志、狀態(tài)、操作等信息的采集,在實(shí)時(shí)分析的基礎(chǔ)上,監(jiān)測(cè)并發(fā)現(xiàn)各種異常事件,準(zhǔn)確發(fā)出實(shí)時(shí)告警。審計(jì)系統(tǒng)同時(shí)提供對(duì)存儲(chǔ)的歷史日志數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和關(guān)聯(lián)分析,通過可視化的界面和報(bào)表向管理人員提供準(zhǔn)確、詳盡的統(tǒng)計(jì)分析數(shù)據(jù)和異常分析報(bào)告,協(xié)助管理人員及時(shí)發(fā)現(xiàn)安全漏洞。

2.3內(nèi)核安全

內(nèi)核的信息安全是縱深防御的最核心部分,它將是信息安全保護(hù)的最后一道技術(shù)防護(hù)閘門,在其它防護(hù)手段失效的情況下,內(nèi)核信息安全設(shè)計(jì)將給整個(gè)系統(tǒng)提供一個(gè)強(qiáng)大的防護(hù)能力,防止關(guān)鍵數(shù)據(jù)被篡改、被偽造,以保護(hù)工控系統(tǒng)設(shè)備的安全。內(nèi)核安全主要包括數(shù)據(jù)加密保護(hù)、認(rèn)證機(jī)制、通訊保護(hù)三部分。對(duì)工控系統(tǒng)的上位機(jī)、控制器、卡件的重要數(shù)據(jù)進(jìn)行加密解密。只有符合條件的,經(jīng)過授權(quán)的機(jī)器以及用戶才能打開加密的文件,以防止重要數(shù)據(jù)失竊。采用國(guó)密算法,如SM1、SM2、SM3、SM4、祖沖之算法,實(shí)現(xiàn)加解密多樣性。即同一環(huán)網(wǎng)中的不同數(shù)據(jù)類型采用不同的密鑰算法和密鑰機(jī)制,上下層網(wǎng)絡(luò)之間采用不用的密鑰算法和密鑰機(jī)制。對(duì)上位機(jī)、控制器、卡件、應(yīng)用、操作者身份進(jìn)行認(rèn)證確認(rèn)。設(shè)備加入到工業(yè)控制系統(tǒng)前,需要進(jìn)行認(rèn)證。采用SM2、SM3進(jìn)行數(shù)字簽字、密鑰交換、公鑰加密等處理,采用類似CA認(rèn)證方式,將公鑰和公鑰的主人名字(也就是上位機(jī)、應(yīng)用、用戶等)聯(lián)系在一起,加上企業(yè)的簽名,形成證書。證書由企業(yè)來簽發(fā),私鑰就分發(fā)給上位機(jī),每一個(gè)上位機(jī)、每一個(gè)控制器都需要一個(gè)私鑰,用來證明它的身份。對(duì)工控系統(tǒng)的上位機(jī)、控制器、卡件相互間通訊數(shù)據(jù)進(jìn)行加密保護(hù)。通訊前進(jìn)行認(rèn)證,采用可靠的認(rèn)證機(jī)制,保證通訊兩端都是合法的設(shè)備、應(yīng)用和用戶。通訊中的加密采用SSL體制,使用SM3驗(yàn)證數(shù)據(jù)的完整性,保證數(shù)據(jù)在發(fā)送之后和接收之前沒有被篡改,使用序列號(hào)來防止重放攻擊。

3結(jié)束語

隨著信息化與工業(yè)化融合的深度推進(jìn),關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)已進(jìn)入工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、智能制造時(shí)代。當(dāng)務(wù)之急,利用縱深防御體系思想,指導(dǎo)企業(yè)進(jìn)一步優(yōu)化技術(shù)防護(hù)手段,健全工控信息安全標(biāo)準(zhǔn)體系,為工控系統(tǒng)提供可靠安全的運(yùn)行環(huán)境。

參考文獻(xiàn)

[1]王小山,楊安,石志強(qiáng),等.工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].信息網(wǎng)絡(luò)安全,2015(1):6-11

[2]向人鵬.火力發(fā)電廠控制系統(tǒng)的縱深防御[J].自動(dòng)化博覽,2015(z2)

[3]周躍,鄢斌,谷會(huì)濤,等.計(jì)算機(jī)網(wǎng)絡(luò)安全威脅分析及防護(hù)體系架構(gòu)研究[J].計(jì)算機(jī)安全,2013(12):18-21

[4]何之棟,裘坤,鐘晨,等.工業(yè)控制系統(tǒng)信息安全問題研究[J].工業(yè)控制計(jì)算機(jī),2013,26(10):1-4

[5]晏國(guó)勛.加密技術(shù)下的信息安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(8):100-104

作者:甘先榮  單位:國(guó)核自儀系統(tǒng)工程有限公司