張坤

摘 要當(dāng)前木馬、病毒、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊、黑客攻擊等多元化的網(wǎng)絡(luò)安全威脅讓傳統(tǒng)的系統(tǒng)補(bǔ)丁升級(jí)及殺毒軟件等主動(dòng)防御方式已經(jīng)難以應(yīng)付，筆者基于對(duì)可信計(jì)算針對(duì)系統(tǒng)進(jìn)程的識(shí)別方面認(rèn)識(shí)，針對(duì)工控系統(tǒng)主機(jī)在安全防護(hù)方面的薄弱點(diǎn)，提出建設(shè)性的工控安全防護(hù)思路。

【關(guān)鍵詞】工控系統(tǒng) 可信計(jì)算 安全防護(hù)

當(dāng)前木馬、病毒、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊、黑客攻擊等多元化的網(wǎng)絡(luò)安全威脅讓傳統(tǒng)的系統(tǒng)補(bǔ)丁升級(jí)及殺毒軟件等主動(dòng)防御方式已經(jīng)難以應(yīng)付。工控系統(tǒng)雖然大部分情況下處于非聯(lián)網(wǎng)狀態(tài)，但在廠商等運(yùn)維過程中都有可能接入可移動(dòng)設(shè)備，增加了病毒等惡意程序傳播的可能性，嚴(yán)重時(shí)會(huì)對(duì)控制網(wǎng)絡(luò)通訊造成影響，另外工控系統(tǒng)網(wǎng)絡(luò)環(huán)境較為封閉，通用的網(wǎng)絡(luò)邊界完整性技術(shù)（如終端管理等）在實(shí)際部署過程中也面臨著一些問題。筆者基于對(duì)可信計(jì)算針對(duì)系統(tǒng)進(jìn)程的識(shí)別方面認(rèn)識(shí)，針對(duì)工控系統(tǒng)主機(jī)在安全防護(hù)方面的薄弱點(diǎn)，提出建設(shè)性的工控安全防護(hù)思路。

1 概述

工控系統(tǒng)主機(jī)在可信計(jì)算技術(shù)下的安全防護(hù)可根據(jù)工控主機(jī)特點(diǎn)，利用現(xiàn)有TCM標(biāo)準(zhǔn)開發(fā)相應(yīng)芯片優(yōu)化PCI硬件I/0資源的使用，另外通過獲取和工控系統(tǒng)相關(guān)進(jìn)程的第一手信息，基于白名單方式確保信息的授權(quán)可信，以TCM芯片作為信任根設(shè)計(jì)上層架構(gòu)，實(shí)現(xiàn)簽名、授權(quán)、病毒資源、USB驅(qū)動(dòng)指紋等信息的統(tǒng)一認(rèn)證和監(jiān)測(cè)。

2 理論架構(gòu)

PLC、DCS、SCADA、等工控系統(tǒng)主機(jī)主板硬件基本都有基于PCI接口形式的I/O資源，筆者所研究的可信計(jì)算技術(shù)下的工控系統(tǒng)安全防護(hù)主要思路就是以此類接口作為基礎(chǔ)，并根據(jù)TCM標(biāo)準(zhǔn)討論工控系統(tǒng)安全防護(hù)思路的可能性。架構(gòu)如圖1所示。

2.1 物理硬件層

主要包含可信密碼模塊TCM、PCI硬件I/O資源、EK、Dinic、PIK等安全密鑰，用于唯一身份標(biāo)識(shí)的簽名認(rèn)證操作，并通過開發(fā)相應(yīng)寄存器，開發(fā)相應(yīng)安全變量存儲(chǔ)度量值，確保收集到的終端度量值不會(huì)被篡改。

2.2 應(yīng)用開發(fā)層

主要通過安全度量參數(shù)和安全管控對(duì)工控運(yùn)行進(jìn)程及內(nèi)存數(shù)據(jù)進(jìn)行度量，并擴(kuò)展到TCM可信開發(fā)芯片單元中保護(hù)；通過安全管控參數(shù)設(shè)定進(jìn)一步將安全度量中的安全度量值與已建USB驅(qū)動(dòng)指紋信息等白名單進(jìn)行對(duì)比，并規(guī)定只有在白名單中的進(jìn)程才能執(zhí)行，如運(yùn)行日志采集等關(guān)鍵證據(jù)信息，必須要滿足國(guó)家及行業(yè)等相關(guān)保存要求。

2.3 接口展示層

代理等各類接口負(fù)責(zé)與安全參數(shù)度量單元交互，監(jiān)控最新度量日志；用戶UI設(shè)置與TCM交互、簽名下發(fā)、密鑰讀取等；安全基線檢查則側(cè)重根據(jù)國(guó)家及各行業(yè)合規(guī)性要求，通過技術(shù)手段制定工控系統(tǒng)主機(jī)的基線檢查內(nèi)容，如可疑進(jìn)程檢測(cè)、系統(tǒng)帳戶安全檢測(cè)、自啟動(dòng)項(xiàng)檢測(cè)、弱口令檢測(cè)、系統(tǒng)完整性校驗(yàn)檢測(cè)等。

3 關(guān)鍵問題

USB驅(qū)動(dòng)指紋等白名單單元開發(fā)。USB驅(qū)動(dòng)指紋信息至少要包括usb_device設(shè)備信息、usb_bus總線信息、usb_driver客戶驅(qū)動(dòng)信息、URB通信數(shù)據(jù)結(jié)構(gòu)信息等，當(dāng)把一個(gè)USB設(shè)備插入到端口時(shí)，集中器就會(huì)檢測(cè)到設(shè)備的接入，從而在下一次受到主機(jī)通過中斷交互查詢時(shí)就會(huì)向其報(bào)告。集中器的端口在沒有設(shè)備接入時(shí)都處于關(guān)閉狀態(tài)，插入設(shè)備之后也不會(huì)自動(dòng)打開，必須由主機(jī)通過控制交互發(fā)出命令予以打開。所以，在得到集中器的報(bào)告之后，主機(jī)的USB驅(qū)動(dòng)程序就會(huì)為新插入的設(shè)備調(diào)度若干個(gè)控制交互，并向集中器發(fā)出打開這個(gè)端口的命令，這樣新插入的設(shè)備就會(huì)出現(xiàn)在USB總線上了，并為該設(shè)備分配唯一的地址。

代理等各類接口設(shè)計(jì)。接口通訊基本包括同步請(qǐng)求/應(yīng)答方式、異步請(qǐng)求/應(yīng)答方式、會(huì)話方式、廣播通知方式、事件訂閱方式、可靠消息傳輸方式、文件傳輸?shù)韧ㄓ嵎绞?，考慮到完整性和健壯性，系統(tǒng)接口需要滿足在系統(tǒng)的高并發(fā)和大容量的基礎(chǔ)上提供安全可靠的接入；提供完善的信息安全機(jī)制，以實(shí)現(xiàn)對(duì)信息的全面保護(hù)，保證系統(tǒng)的正常運(yùn)行，應(yīng)防止大量訪問，以及大量占用資源的情況發(fā)生，保證系統(tǒng)的健壯性；提供有效的系統(tǒng)的可監(jiān)控機(jī)制，使得接口的運(yùn)行情況可監(jiān)控，便于及時(shí)發(fā)現(xiàn)錯(cuò)誤及排除故障；保證在充分利用系統(tǒng)資源的前提下，實(shí)現(xiàn)系統(tǒng)平滑的移植和擴(kuò)展，同時(shí)在系統(tǒng)并發(fā)增加時(shí)提供系統(tǒng)資源的動(dòng)態(tài)擴(kuò)展，以保證系統(tǒng)的穩(wěn)定性。

安全基線接口設(shè)計(jì)。工控系統(tǒng)封閉性較強(qiáng)，一般運(yùn)維人員比較依賴廠商的運(yùn)維，這樣就大大增加了來至第三方人員方面的安全風(fēng)險(xiǎn)，因此安全基線接口的設(shè)計(jì)更多的是國(guó)家及行業(yè)合規(guī)性考慮，對(duì)工控系統(tǒng)運(yùn)行使用者給出參考性意見和建議。安全基線庫要結(jié)合國(guó)家在網(wǎng)絡(luò)安全等級(jí)保護(hù)要求中關(guān)于工控系統(tǒng)安全等級(jí)保護(hù)要求內(nèi)容，至少要包括DD0S木馬檢測(cè)、可疑進(jìn)程檢測(cè)、系統(tǒng)帳戶安全檢測(cè)、數(shù)據(jù)庫安全檢測(cè)、啟動(dòng)項(xiàng)安全檢測(cè)、文件訪問控制檢測(cè)、弱口令安全檢測(cè)、文件完整性校驗(yàn)等內(nèi)容。

4 總結(jié)

在網(wǎng)絡(luò)空間安全技術(shù)的發(fā)展歷程中，各類安全技術(shù)的產(chǎn)生都是網(wǎng)絡(luò)攻防博弈的技術(shù)結(jié)晶， 通過汲取和重組已有技術(shù)，可以實(shí)現(xiàn)更順應(yīng)網(wǎng)絡(luò)空間安全新形勢(shì)的安全技術(shù)。本文介紹了工控系統(tǒng)在可信計(jì)算技術(shù)下的安全防護(hù)思路，主要從架構(gòu)規(guī)劃設(shè)計(jì)和關(guān)鍵問題分析了工控系統(tǒng)主機(jī)在安全防護(hù)方面的一些思路，可信計(jì)算技術(shù)作為基于硬件安全模塊的成熟安全技術(shù)是實(shí)現(xiàn)工控系統(tǒng)安全防護(hù)的基礎(chǔ)，為工控系統(tǒng)安全防護(hù)的進(jìn)一步研究和發(fā)展提供參考。

作者單位

山東新潮信息技術(shù)有限公司 山東省濟(jì)南市 250000endprint