0 引言

　　工業(yè)控制系統(tǒng)包括過程控制、數(shù)據(jù)采集系統(tǒng)(sCaDa)，分布式控制系統(tǒng),程序邏輯控制(PLC以及其他控制系統(tǒng)等，口前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品以及汽車、航天等工業(yè)領(lǐng)域，成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。為此，《國家信息化安全標(biāo)準(zhǔn)化“十一五”規(guī)劃》特別將制定工CS的安全標(biāo)準(zhǔn)作為“十一五”期間信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)。

　　由于傳統(tǒng)工業(yè)控制系統(tǒng)的計算資源（包括CPU和存儲器）有限，在設(shè)計時只考慮到效率和實(shí)時相關(guān)的特性，控制系統(tǒng)網(wǎng)絡(luò)安全并未作為一個主要的指標(biāo)考慮。然而，隨著技術(shù)的發(fā)展、信息化推動、工業(yè)化進(jìn)程的加速，越來越多的計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，比如用通用的計算機(jī)設(shè)備和數(shù)據(jù)通信設(shè)備取代專用的控制和通信設(shè)備，嵌入式技術(shù)、PCS、EPR等企業(yè)信息自動化的應(yīng)用以及企業(yè)信息網(wǎng)絡(luò)與Internet互連等。在這些技術(shù)應(yīng)用的同時，帶來了控制網(wǎng)絡(luò)的安全問題，如病毒、信息泄漏和篡改、系統(tǒng)不能使用等。同時，現(xiàn)代工業(yè)控制網(wǎng)絡(luò)系統(tǒng)（ICS:industrial control system）已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。因此，如何保障工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全性是當(dāng)務(wù)之急。

　　圖1是美國自1982年起發(fā)生的iCS安全事故統(tǒng)計。與互聯(lián)網(wǎng)上的攻擊事件相比，這些數(shù)字小得多。但是，由于工CS的特殊性，每事件，都代表著廣大人群的生活、生產(chǎn)受到巨大影響，經(jīng)濟(jì)遭受重大損失甚至倒退。

　　1 工業(yè)控制系統(tǒng)安全分析

　　1.1 ICS的威脅分析

　　工業(yè)控制系統(tǒng)面臨的威脅是多樣化的：

　　一方面，敵對政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等對系統(tǒng)虎視眈眈。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是ICS，而不是傳統(tǒng)上我們熟悉的TCP／IP網(wǎng)絡(luò)，其安全是國家經(jīng)濟(jì)穩(wěn)定運(yùn)行的關(guān)鍵，是信息戰(zhàn)中敵方的重點(diǎn)攻擊目標(biāo)，攻擊后果極其嚴(yán)重。另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對ICS造成破壞。在現(xiàn)代計算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)ICS后，傳統(tǒng)ICP／IP網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在ICS之上。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件、訪問各類網(wǎng)站信息，這類行為不僅影響工作效率、浪費(fèi)系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。

　　內(nèi)部人員、外部非法入侵者等對系統(tǒng)虎視耽耽。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是iCS，而不是傳統(tǒng)上我們熟悉的TCP/IP網(wǎng)絡(luò)，其安全是國家經(jīng)濟(jì)穩(wěn)定運(yùn)行的關(guān)鍵，是信息戰(zhàn)中敵方的重點(diǎn)攻擊日標(biāo)，攻擊后果極其嚴(yán)重。

　　另一方而，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對工CS造成破壞。在現(xiàn)代計算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)工CS后，傳統(tǒng)工網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在工CS之上。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件、訪問各類網(wǎng)站信息，這類行為不僅影響上作效率、浪費(fèi)系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的卞要原因和途徑。

　　1.2 ICS的脆弱性分析

　　(1)策略和實(shí)施存在缺陷

　　上業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實(shí)施過程而引起的，安全策略文檔和管理支持是系統(tǒng)安全的基礎(chǔ)，有效的安全策略在系統(tǒng)中的強(qiáng)制實(shí)施是減少系統(tǒng)而臨的安全風(fēng)險的前提。

　　(2)平臺弱點(diǎn)

　　由于工Cs終端的安全防護(hù)技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點(diǎn)，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。事實(shí)是所有的入侵攻擊都是從終端上發(fā)起的，黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權(quán)限，肆意進(jìn)行破壞。注入病毒也是從終端發(fā)起的，病毒程序利用操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點(diǎn)，將病毒代碼嵌入到執(zhí)行代碼程序，實(shí)現(xiàn)病毒傳播。更為嚴(yán)重的是對合法的用戶沒有進(jìn)行嚴(yán)格的訪問控制，可以進(jìn)行越權(quán)訪問，造成不安全事故。

　　(3)網(wǎng)絡(luò)弱點(diǎn)

　　ICS的網(wǎng)絡(luò)弱點(diǎn)一般來源于軟件的漏洞、錯誤配置或者ICS網(wǎng)管理的失誤。另外，ICS與其他網(wǎng)絡(luò)連接時缺乏安全邊界控制，也是常見的安全隱患。通過基于“深層防御”思路的網(wǎng)絡(luò)設(shè)計、網(wǎng)絡(luò)通信加密、網(wǎng)絡(luò)流量控制、物理訪問控制等措施，ICS的網(wǎng)絡(luò)弱點(diǎn)可以有效避免。

　　1.3 可能的安全事件

　　可能導(dǎo)致ICs安全事件的因素有:

　?。?）控制系統(tǒng)發(fā)生拒絕服務(wù);

　　（2）病毒感染：惡意或非惡意的個體引入病毒，從而引起不必要的系統(tǒng)死機(jī)和數(shù)據(jù)的侵蝕。

　?。?）較弱的或未受控制的物理安全機(jī)制：未授權(quán)的個體非法物理進(jìn)入系統(tǒng)，從而獲取信息。

　?。?）自然災(zāi)難引起的系統(tǒng)失?。鹤匀粸?zāi)難引起的系統(tǒng)部分或全部的中斷，比如地震、火災(zāi)、洪水以及別的不可預(yù)知事件。

　?。?）拒絕服務(wù)：未授權(quán)的個體實(shí)施攻擊，使系統(tǒng)組件暫時對合法用戶的服務(wù)失效。

　?。?）訪問特權(quán)的獲?。簾o特權(quán)用戶實(shí)施惡意攻擊，獲取系統(tǒng)特殊權(quán)限，從而達(dá)到其目的。

　?。?）操作人員的操作錯誤：合法用戶無惡意的錯誤操作，通常是由于缺乏相應(yīng)的知識或粗心造成的。

　　2一種針對ICS的主動式安全方案

　　在土機(jī)及其計算環(huán)境中，安全保護(hù)對象包括用戶應(yīng)用環(huán)境中的服務(wù)器、客戶機(jī)以及其上安裝的操作系統(tǒng)和應(yīng)用系統(tǒng)。系統(tǒng)由安全管理平臺和安全終端兩大模塊組成，如圖2所示。

　　安全管理平臺:負(fù)責(zé)其所在網(wǎng)絡(luò)中各終端的安全策略的制定、維護(hù)和分發(fā);嚴(yán)格管理模式:只允許終端安裝和使用與業(yè)務(wù)相關(guān)的應(yīng)用軟件，禁比一切娛樂軟件、聊天軟件、理財軟件等的安裝和使用。

　　安全終端:安全控制系統(tǒng)突出的特點(diǎn)是終端應(yīng)用相對固定，要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，直接的方式就是在應(yīng)用加載之前對其進(jìn)行真實(shí)性和完整性檢查，但是隨著攻擊方式的不斷改進(jìn)，這種安全控制措施強(qiáng)度已經(jīng)變得不夠，因?yàn)轭愃苧ootkit這類攻擊會對操作系統(tǒng)底層代碼和系統(tǒng)服務(wù)產(chǎn)生破壞，因此對操作系統(tǒng)靜態(tài)和動態(tài)內(nèi)容也必須要進(jìn)行有效的可信檢查。深層次的終端防御體系如圖3所示。

　　現(xiàn)階段木馬的卞要運(yùn)行方式為向宿卞進(jìn)程插入非法動態(tài)庫，達(dá)到隱藏木馬進(jìn)程本身的日的，基于這一原理，利用HOOK  AP工技術(shù)“鉤住”系統(tǒng)中所有創(chuàng)建進(jìn)程以及動態(tài)庫調(diào)用過程，達(dá)到監(jiān)控系統(tǒng)中所有可執(zhí)行文件加載情況。通過完整性校驗(yàn)，判定某一可執(zhí)行模塊的加載是否合法，實(shí)現(xiàn)對木馬、病毒等惡意代碼的卞動防御，判斷的依據(jù)是由管理平臺制定并下發(fā)的可信應(yīng)用自名單。

　　3結(jié)論

　　目前，土業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全體系在很大程度上是由通用信息安全技術(shù)在土業(yè)控制系統(tǒng)具體環(huán)境的實(shí)施下演化而來，土業(yè)控制系統(tǒng)面臨著通用信息系統(tǒng)所具有的大多安全問題，同時也存在獨(dú)特的安全需求。

　　本文中我們針對土業(yè)控制系統(tǒng)的安全特點(diǎn)，結(jié)合完整性度量技術(shù)，提出了在土業(yè)控制系統(tǒng)中的一種土動式安全模型，有效避免了土業(yè)控制系統(tǒng)安全策略實(shí)施的困難性和平臺的安全脆弱性，不僅能夠防范已知病毒和木馬，而且對未知的惡意代碼具有免疫能力，能夠保證土業(yè)控制系統(tǒng)業(yè)務(wù)的連續(xù)性。