導(dǎo)語：工業(yè)信息論文：工業(yè)防控的信息安全性解析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

本文作者：彭杰劉力工作單位：南昌大學(xué)信息工程學(xué)院

對控制性能的威脅典型的對控制性能的威脅就是控制系統(tǒng)的通信實時性。以在監(jiān)控層占據(jù)主流地位的工業(yè)以太網(wǎng)為例。網(wǎng)絡(luò)響應(yīng)時間反映了整個工業(yè)以太網(wǎng)系統(tǒng)的實時性能。影響網(wǎng)絡(luò)響應(yīng)時間的因素主要來自3個方面:①本地系統(tǒng)，即源節(jié)點的處理;②工業(yè)以太網(wǎng)網(wǎng)絡(luò)，即傳輸部分;③目的節(jié)點系統(tǒng)，即目的節(jié)點的處理。工業(yè)以太網(wǎng)響應(yīng)時間示意圖如圖2所示。此圖表明了從源節(jié)點向目的節(jié)點發(fā)送信息所花費的時間，也就是網(wǎng)絡(luò)響應(yīng)時間Tdelay?？偟臅r間延遲可分為:源節(jié)點的時間延遲、網(wǎng)絡(luò)通道上的時間延遲和目標(biāo)節(jié)點的時間延遲3個部分。圖2工業(yè)以太網(wǎng)響應(yīng)時間示意圖Fig．2SchematicdiagramofresponsetimeofindustrialEthernet源節(jié)點的時間延遲包括:①預(yù)處理時間Tpre，它是計算時間Tscomp和編碼時間Tscode的總和;②節(jié)點內(nèi)部排隊的時間Tn-queue，是等待時間Twait的一部分，取決于源節(jié)點需傳送數(shù)據(jù)的總和與網(wǎng)絡(luò)的傳送狀況。網(wǎng)絡(luò)時間延遲包括:①傳送時間Ttx，它是幀發(fā)送時間Tframe和網(wǎng)絡(luò)的物理傳播遲延Tprop的總和，取決于信息的大小、數(shù)據(jù)傳送率和網(wǎng)絡(luò)纜線的長度;②網(wǎng)絡(luò)阻塞時間Tblock，它是等待時間Twait的另外一部分;③目的節(jié)點的時間延遲Tpost是數(shù)據(jù)的后期處理時間，它是目的節(jié)點解碼時間Tdcode和目的節(jié)點計算時間Tdcomp的總和。所以總的時間延遲可表示為:Tdelay=Tpre+Twait+Ttx+Tpost=Tscomp+Tscode+Tn-queue+Tblock+Tframe+Tprop+Tdcode+Tdcomp=Tpre+Twait+Ttx+Tpost(1)式中:Tpre=Tscomp+Tscode;Twait=Tn-quene+Tblock;Ttx=Tframe+Tprop;Tpost=Tdcode+Tdcomp。從圖2可知，計算機病毒即使不造成操作系統(tǒng)崩潰，也可以通過占用資源，使得源節(jié)點的時間延遲和目的節(jié)點的時間延遲具有不確定性;局域網(wǎng)病毒或者網(wǎng)絡(luò)攻擊即使不造成以太網(wǎng)癱瘓，也可以通過堵塞造成網(wǎng)絡(luò)傳輸?shù)臅r間延遲具有不確定性。這些不確定性將造成那些具有優(yōu)先權(quán)的工業(yè)實時數(shù)據(jù)的實時性得不到滿足，從而破壞系統(tǒng)控制性能。對控制功能的破壞典型的對控制功能的破壞就是破壞和操縱工業(yè)控制軟件，例如對OPC軟件或者實時數(shù)據(jù)庫的破壞，但破壞力更強的是對工控軟件的操縱。國家計算機病毒應(yīng)急處理中心于2010年10月3日信息:通過互聯(lián)網(wǎng)絡(luò)監(jiān)測發(fā)現(xiàn)，一種利用微軟公司漏洞的新型病毒“震網(wǎng)”(也稱超級病毒Stuxnet)出現(xiàn)，提醒用戶尤其是大型工業(yè)部門小心謹防。該病毒可以通過移動存儲介質(zhì)和局域網(wǎng)進行傳播，并且利用西門子公司控制系統(tǒng)(SIMATICWinCC/Step7)存在的漏洞感染數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)。Stuxnet的目的是通過修改PLC來改變工業(yè)生產(chǎn)控制系統(tǒng)的行為，包括:攔截發(fā)送給PLC的讀/寫請求，以此判斷系統(tǒng)是否為潛在的攻擊目標(biāo);修改現(xiàn)有的PLC代碼塊，并往PLC中寫入新的代碼塊;利用Rootkit功能隱藏PLC感染，躲避PLC管理員或程序員的檢測。Step7軟件使用庫文件s7otbxdx．dll來和PLC通信。當(dāng)Step7程序準(zhǔn)備進入PLC時，它會調(diào)用該DLL文件中不同的例程。例如，如果一個代碼塊需要用Step7從PLC中讀出，那么，例程s7blk_read就會被調(diào)用。s7otbxdx．dll中的代碼會進入PLC，讀出其中的代碼，并將它傳回Step7程序。Stuxnet運行后，Stuxnet會將原始的s7otbxdx．dll文件重命名為s7otbxsx．dll。然后，它將用自身取代原始的DLL文件，這樣Stuxnet就可以攔截任何來自其他程序的訪問PLC的命令。被Stuxnet修改后的s7otbxdx．dll文件保留了原來的導(dǎo)出表，導(dǎo)出函數(shù)為109個，這就使得Stuxnet可以應(yīng)付所有相同的請求。大部分導(dǎo)出命令會轉(zhuǎn)發(fā)給真正的DLL，即重命名后的s7otbxsx．dll，剩下的16種導(dǎo)出命令不會被簡單地轉(zhuǎn)發(fā)，而是被改動后的DLL攔截。被攔截的導(dǎo)出命令為在PLC中讀、寫、定位代碼塊的例程。通過攔截這些請求，Stuxnet可以在PLC管理員沒有察覺的情況下，修改發(fā)送至PLC或從PLC返回的數(shù)據(jù)。同時，通過利用這些例程，Stuxnet可以將惡意代碼隱藏在PLC中。通過初步分析，確認Stuxnet病毒主要存在以下安全威脅:①該病毒針對的目標(biāo)是用于數(shù)據(jù)采集與監(jiān)視控制的專用計算機系統(tǒng);②此類數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)由于其自身功能的特殊性和重要性，往往與互聯(lián)網(wǎng)隔離，造成無法及時進行安全更新，為病毒傳播提供可乘之機;③雖然目前該病毒只是針對西門子公司的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，但不排除可能出現(xiàn)針對其他專用計算機系統(tǒng)的變種。潛在的脆弱點工業(yè)控制系統(tǒng)還存在潛在的脆弱點，這些脆弱點雖然可能還沒有立即對控制功能或者控制軟件造成損害，但顯然增加了系統(tǒng)的安全性威脅。這些潛在的脆弱點包括:①工業(yè)控制系統(tǒng)中采用的主流操作系統(tǒng)，如MicrosoftWindows操作系統(tǒng)存在的安全脆弱點，最近的Microsoft遠程桌面協(xié)議拒絕訪問和遠程代碼執(zhí)行漏洞;②緩沖區(qū)溢出漏洞，例如ABB公司就確認在其機器人通信運行軟件中存在這類漏洞，通過這個漏洞，攻擊者可能具有管理員權(quán)限執(zhí)行遠程代碼;③控制裝置認證機制中存在的脆弱點，例如，西門子公司已經(jīng)確認在編程和配置客戶端軟件認證機制中存在潛在的安全弱點。這些機制使用在西門子公司的SIMATICS7PLC上，其中包括S7-200、S7-300、S7-400和S7-1200。通過這些脆弱點，攻擊者有機會接入控制系統(tǒng)的通信鏈路，截獲并破譯產(chǎn)品的密碼，導(dǎo)致未經(jīng)授權(quán)的更改操作。

商用系統(tǒng)的信息安全威脅和安全防護一直是矛盾的關(guān)系，是動態(tài)發(fā)展的問題，而基于主流信息技術(shù)的發(fā)展應(yīng)用和改造應(yīng)用的工控系統(tǒng)對此問題的解決顯然也是動態(tài)的，所以不可能有一成不變的解決方案。因此，應(yīng)該制定合理的信息安全策略，然后選擇可行的防護技術(shù)。限于篇幅，本文對此進行初步探討。裁減操縱系統(tǒng)Stuxnet蠕蟲病毒是利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個漏洞進行攻擊。它一共利用了5個微軟漏洞，其中4個在此前均已得到微軟官方修復(fù)。2010年12月15日，微軟修復(fù)的“Windows計劃任務(wù)本地權(quán)限提升漏洞”(公告編號:MS10-092)，是被“超級工廠”病毒利用的最后一個Windows0day漏洞。隨著第5個漏洞的修復(fù)，Stuxnet“超級工廠”病毒的危害已經(jīng)得到解決。但由于操作系統(tǒng)自身存在許多安全漏洞，運行在該系統(tǒng)上的工業(yè)軟件難免會受到威脅，所以最好能根據(jù)應(yīng)用情況，裁減操縱系統(tǒng)。防火墻技術(shù)在主流的分布式防火墻技術(shù)基礎(chǔ)上，開發(fā)和應(yīng)用適合工控的分布式防火墻技術(shù)如圖3所示。圖3工控用分布式防火墻Fig．3Thedistributedfirewallforindustrialcontrol與傳統(tǒng)邊界防火墻相比，分布式防火墻克服了許多傳統(tǒng)邊界防火墻的缺點，增加了一種用于對內(nèi)部子網(wǎng)之間的安全防護層;可以針對各個服務(wù)對象的不同需要，進行不同配置，配置時能夠充分考慮到運行的應(yīng)用;網(wǎng)絡(luò)處理負荷分布，克服了傳統(tǒng)防火墻因網(wǎng)絡(luò)規(guī)模增大而不堪重負的弊端。信息網(wǎng)絡(luò)分布式防火墻的主機防火墻駐留在主機中，負責(zé)策略的實施，以及對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護。主機防火墻駐留在被保護的主機上，可以針對該主機上運行的具體應(yīng)用和對外提供的服務(wù)來設(shè)定針對性很強的安全策略。正如在主流信息網(wǎng)絡(luò)技術(shù)基礎(chǔ)上進行適應(yīng)工業(yè)控制特點的改造，這使得現(xiàn)場總線和實時以太網(wǎng)技術(shù)一樣，可以對應(yīng)地開發(fā)用于工控的類似主機防火墻。兩者的不同僅在于這些類似主機防火墻的保護對象是控制器、PLC和RTU等執(zhí)行控制策略的“主機”。信息安全風(fēng)險評估對系統(tǒng)的信息安全風(fēng)險評估有利于采取有針對性的安全策略，制定事故處理方案。這對類似Stuxnet這樣破壞控制功能的安全威脅尤其有意義。目前，國內(nèi)外關(guān)于IT系統(tǒng)風(fēng)險評估的方法有許多種，例如基于概率論方法、層次分析法和模糊邏輯方法。雖然工控系統(tǒng)是一個信息系統(tǒng)，但它更是一個控制系統(tǒng)，這使其在采用風(fēng)險評估方法中要著重注意保證控制系統(tǒng)正常運行特有的要求。這就使得對工業(yè)控制系統(tǒng)的風(fēng)險評估，要在商用信息系統(tǒng)已經(jīng)較為成熟的系統(tǒng)風(fēng)險評估方法和工具應(yīng)用的基礎(chǔ)上，結(jié)合控制系統(tǒng)風(fēng)險特征，例如工業(yè)以太網(wǎng)的實時性要求。由于控制系統(tǒng)引發(fā)的后果比較嚴重，所以對風(fēng)險事件發(fā)生后果的影響評價需要更為“保守”。同時，根據(jù)技術(shù)發(fā)展探討其他可行的策略，例如VPN、SSL技術(shù)等，許多文獻對此已經(jīng)有諸多研究。

當(dāng)前工業(yè)控制系統(tǒng)與基于TCP/IP協(xié)議的信息系統(tǒng)已結(jié)合得越來越緊密，這使得工控系統(tǒng)容易受到信息安全問題的威脅，例如計算機病毒、網(wǎng)絡(luò)病毒、數(shù)據(jù)操縱，從而使整個工業(yè)控制系統(tǒng)遭受破壞。本文針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化和信息化的特點，對工業(yè)控制系統(tǒng)信息安全問題進行了分析;對威脅到系統(tǒng)控制性能甚至破壞控制功能的信息安全威脅進行了研究;同時指出了工業(yè)控制系統(tǒng)還存在的潛在脆弱點，并提出了相應(yīng)的對策。這些對策包括根據(jù)工業(yè)控制系統(tǒng)要求來裁減操作系統(tǒng)、研究工控用分布式防火墻技術(shù)應(yīng)用以及進行工控系統(tǒng)安全風(fēng)險評估。