張坤

摘 要當(dāng)前木馬、病毒、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊、黑客攻擊等多元化的網(wǎng)絡(luò)安全威脅讓傳統(tǒng)的系統(tǒng)補丁升級及殺毒軟件等主動防御方式已經(jīng)難以應(yīng)付，筆者基于對可信計算針對系統(tǒng)進程的識別方面認識，針對工控系統(tǒng)主機在安全防護方面的薄弱點，提出建設(shè)性的工控安全防護思路。

【關(guān)鍵詞】工控系統(tǒng) 可信計算 安全防護

當(dāng)前木馬、病毒、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊、黑客攻擊等多元化的網(wǎng)絡(luò)安全威脅讓傳統(tǒng)的系統(tǒng)補丁升級及殺毒軟件等主動防御方式已經(jīng)難以應(yīng)付。工控系統(tǒng)雖然大部分情況下處于非聯(lián)網(wǎng)狀態(tài)，但在廠商等運維過程中都有可能接入可移動設(shè)備，增加了病毒等惡意程序傳播的可能性，嚴重時會對控制網(wǎng)絡(luò)通訊造成影響，另外工控系統(tǒng)網(wǎng)絡(luò)環(huán)境較為封閉，通用的網(wǎng)絡(luò)邊界完整性技術(shù)（如終端管理等）在實際部署過程中也面臨著一些問題。筆者基于對可信計算針對系統(tǒng)進程的識別方面認識，針對工控系統(tǒng)主機在安全防護方面的薄弱點，提出建設(shè)性的工控安全防護思路。

1 概述

工控系統(tǒng)主機在可信計算技術(shù)下的安全防護可根據(jù)工控主機特點，利用現(xiàn)有TCM標(biāo)準開發(fā)相應(yīng)芯片優(yōu)化PCI硬件I/0資源的使用，另外通過獲取和工控系統(tǒng)相關(guān)進程的第一手信息，基于白名單方式確保信息的授權(quán)可信，以TCM芯片作為信任根設(shè)計上層架構(gòu)，實現(xiàn)簽名、授權(quán)、病毒資源、USB驅(qū)動指紋等信息的統(tǒng)一認證和監(jiān)測。

2 理論架構(gòu)

PLC、DCS、SCADA、等工控系統(tǒng)主機主板硬件基本都有基于PCI接口形式的I/O資源，筆者所研究的可信計算技術(shù)下的工控系統(tǒng)安全防護主要思路就是以此類接口作為基礎(chǔ)，并根據(jù)TCM標(biāo)準討論工控系統(tǒng)安全防護思路的可能性。架構(gòu)如圖1所示。

2.1 物理硬件層

主要包含可信密碼模塊TCM、PCI硬件I/O資源、EK、Dinic、PIK等安全密鑰，用于唯一身份標(biāo)識的簽名認證操作，并通過開發(fā)相應(yīng)寄存器，開發(fā)相應(yīng)安全變量存儲度量值，確保收集到的終端度量值不會被篡改。

2.2 應(yīng)用開發(fā)層

主要通過安全度量參數(shù)和安全管控對工控運行進程及內(nèi)存數(shù)據(jù)進行度量，并擴展到TCM可信開發(fā)芯片單元中保護；通過安全管控參數(shù)設(shè)定進一步將安全度量中的安全度量值與已建USB驅(qū)動指紋信息等白名單進行對比，并規(guī)定只有在白名單中的進程才能執(zhí)行，如運行日志采集等關(guān)鍵證據(jù)信息，必須要滿足國家及行業(yè)等相關(guān)保存要求。

2.3 接口展示層

代理等各類接口負責(zé)與安全參數(shù)度量單元交互，監(jiān)控最新度量日志；用戶UI設(shè)置與TCM交互、簽名下發(fā)、密鑰讀取等；安全基線檢查則側(cè)重根據(jù)國家及各行業(yè)合規(guī)性要求，通過技術(shù)手段制定工控系統(tǒng)主機的基線檢查內(nèi)容，如可疑進程檢測、系統(tǒng)帳戶安全檢測、自啟動項檢測、弱口令檢測、系統(tǒng)完整性校驗檢測等。

3 關(guān)鍵問題

USB驅(qū)動指紋等白名單單元開發(fā)。USB驅(qū)動指紋信息至少要包括usb_device設(shè)備信息、usb_bus總線信息、usb_driver客戶驅(qū)動信息、URB通信數(shù)據(jù)結(jié)構(gòu)信息等，當(dāng)把一個USB設(shè)備插入到端口時，集中器就會檢測到設(shè)備的接入，從而在下一次受到主機通過中斷交互查詢時就會向其報告。集中器的端口在沒有設(shè)備接入時都處于關(guān)閉狀態(tài)，插入設(shè)備之后也不會自動打開，必須由主機通過控制交互發(fā)出命令予以打開。所以，在得到集中器的報告之后，主機的USB驅(qū)動程序就會為新插入的設(shè)備調(diào)度若干個控制交互，并向集中器發(fā)出打開這個端口的命令，這樣新插入的設(shè)備就會出現(xiàn)在USB總線上了，并為該設(shè)備分配唯一的地址。

代理等各類接口設(shè)計。接口通訊基本包括同步請求/應(yīng)答方式、異步請求/應(yīng)答方式、會話方式、廣播通知方式、事件訂閱方式、可靠消息傳輸方式、文件傳輸?shù)韧ㄓ嵎绞剑紤]到完整性和健壯性，系統(tǒng)接口需要滿足在系統(tǒng)的高并發(fā)和大容量的基礎(chǔ)上提供安全可靠的接入；提供完善的信息安全機制，以實現(xiàn)對信息的全面保護，保證系統(tǒng)的正常運行，應(yīng)防止大量訪問，以及大量占用資源的情況發(fā)生，保證系統(tǒng)的健壯性；提供有效的系統(tǒng)的可監(jiān)控機制，使得接口的運行情況可監(jiān)控，便于及時發(fā)現(xiàn)錯誤及排除故障；保證在充分利用系統(tǒng)資源的前提下，實現(xiàn)系統(tǒng)平滑的移植和擴展，同時在系統(tǒng)并發(fā)增加時提供系統(tǒng)資源的動態(tài)擴展，以保證系統(tǒng)的穩(wěn)定性。

安全基線接口設(shè)計。工控系統(tǒng)封閉性較強，一般運維人員比較依賴廠商的運維，這樣就大大增加了來至第三方人員方面的安全風(fēng)險，因此安全基線接口的設(shè)計更多的是國家及行業(yè)合規(guī)性考慮，對工控系統(tǒng)運行使用者給出參考性意見和建議。安全基線庫要結(jié)合國家在網(wǎng)絡(luò)安全等級保護要求中關(guān)于工控系統(tǒng)安全等級保護要求內(nèi)容，至少要包括DD0S木馬檢測、可疑進程檢測、系統(tǒng)帳戶安全檢測、數(shù)據(jù)庫安全檢測、啟動項安全檢測、文件訪問控制檢測、弱口令安全檢測、文件完整性校驗等內(nèi)容。

4 總結(jié)

在網(wǎng)絡(luò)空間安全技術(shù)的發(fā)展歷程中，各類安全技術(shù)的產(chǎn)生都是網(wǎng)絡(luò)攻防博弈的技術(shù)結(jié)晶， 通過汲取和重組已有技術(shù)，可以實現(xiàn)更順應(yīng)網(wǎng)絡(luò)空間安全新形勢的安全技術(shù)。本文介紹了工控系統(tǒng)在可信計算技術(shù)下的安全防護思路，主要從架構(gòu)規(guī)劃設(shè)計和關(guān)鍵問題分析了工控系統(tǒng)主機在安全防護方面的一些思路，可信計算技術(shù)作為基于硬件安全模塊的成熟安全技術(shù)是實現(xiàn)工控系統(tǒng)安全防護的基礎(chǔ)，為工控系統(tǒng)安全防護的進一步研究和發(fā)展提供參考。

作者單位

山東新潮信息技術(shù)有限公司 山東省濟南市 250000endprint