工业信息论文:工业防控的信息安全性解析

时间:2022-03-28 10:45:32

工业信息论文:工业防控的信息安全性解析

本文作者:彭杰刘力工作单位:南昌大学信息工程学院

对控制性能的威胁典型的对控制性能的威胁就是控制系统的通信实时性。以在监控层占据主流地位的工业以太网为例。网络响应时间反映了整个工业以太网系统的实时性能。影响网络响应时间的因素主要来自3个方面:①本地系统,即源节点的处理;②工业以太网网络,即传输部分;③目的节点系统,即目的节点的处理。工业以太网响应时间示意图如图2所示。此图表明了从源节点向目的节点发送信息所花费的时间,也就是网络响应时间Tdelay。总的时间延迟可分为:源节点的时间延迟、网络通道上的时间延迟和目标节点的时间延迟3个部分。图2工业以太网响应时间示意图Fig.2SchematicdiagramofresponsetimeofindustrialEthernet源节点的时间延迟包括:①预处理时间Tpre,它是计算时间Tscomp和编码时间Tscode的总和;②节点内部排队的时间Tn-queue,是等待时间Twait的一部分,取决于源节点需传送数据的总和与网络的传送状况。网络时间延迟包括:①传送时间Ttx,它是帧发送时间Tframe和网络的物理传播迟延Tprop的总和,取决于信息的大小、数据传送率和网络缆线的长度;②网络阻塞时间Tblock,它是等待时间Twait的另外一部分;③目的节点的时间延迟Tpost是数据的后期处理时间,它是目的节点解码时间Tdcode和目的节点计算时间Tdcomp的总和。所以总的时间延迟可表示为:Tdelay=Tpre+Twait+Ttx+Tpost=Tscomp+Tscode+Tn-queue+Tblock+Tframe+Tprop+Tdcode+Tdcomp=Tpre+Twait+Ttx+Tpost(1)式中:Tpre=Tscomp+Tscode;Twait=Tn-quene+Tblock;Ttx=Tframe+Tprop;Tpost=Tdcode+Tdcomp。从图2可知,计算机病毒即使不造成操作系统崩溃,也可以通过占用资源,使得源节点的时间延迟和目的节点的时间延迟具有不确定性;局域网病毒或者网络攻击即使不造成以太网瘫痪,也可以通过堵塞造成网络传输的时间延迟具有不确定性。这些不确定性将造成那些具有优先权的工业实时数据的实时性得不到满足,从而破坏系统控制性能。对控制功能的破坏典型的对控制功能的破坏就是破坏和操纵工业控制软件,例如对OPC软件或者实时数据库的破坏,但破坏力更强的是对工控软件的操纵。国家计算机病毒应急处理中心于2010年10月3日信息:通过互联网络监测发现,一种利用微软公司漏洞的新型病毒“震网”(也称超级病毒Stuxnet)出现,提醒用户尤其是大型工业部门小心谨防。该病毒可以通过移动存储介质和局域网进行传播,并且利用西门子公司控制系统(SIMATICWinCC/Step7)存在的漏洞感染数据采集与监视控制系统(SCADA)。Stuxnet的目的是通过修改PLC来改变工业生产控制系统的行为,包括:拦截发送给PLC的读/写请求,以此判断系统是否为潜在的攻击目标;修改现有的PLC代码块,并往PLC中写入新的代码块;利用Rootkit功能隐藏PLC感染,躲避PLC管理员或程序员的检测。Step7软件使用库文件s7otbxdx.dll来和PLC通信。当Step7程序准备进入PLC时,它会调用该DLL文件中不同的例程。例如,如果一个代码块需要用Step7从PLC中读出,那么,例程s7blk_read就会被调用。s7otbxdx.dll中的代码会进入PLC,读出其中的代码,并将它传回Step7程序。Stuxnet运行后,Stuxnet会将原始的s7otbxdx.dll文件重命名为s7otbxsx.dll。然后,它将用自身取代原始的DLL文件,这样Stuxnet就可以拦截任何来自其他程序的访问PLC的命令。被Stuxnet修改后的s7otbxdx.dll文件保留了原来的导出表,导出函数为109个,这就使得Stuxnet可以应付所有相同的请求。大部分导出命令会转发给真正的DLL,即重命名后的s7otbxsx.dll,剩下的16种导出命令不会被简单地转发,而是被改动后的DLL拦截。被拦截的导出命令为在PLC中读、写、定位代码块的例程。通过拦截这些请求,Stuxnet可以在PLC管理员没有察觉的情况下,修改发送至PLC或从PLC返回的数据。同时,通过利用这些例程,Stuxnet可以将恶意代码隐藏在PLC中。通过初步分析,确认Stuxnet病毒主要存在以下安全威胁:①该病毒针对的目标是用于数据采集与监视控制的专用计算机系统;②此类数据采集与监视控制系统由于其自身功能的特殊性和重要性,往往与互联网隔离,造成无法及时进行安全更新,为病毒传播提供可乘之机;③虽然目前该病毒只是针对西门子公司的数据采集与监视控制系统,但不排除可能出现针对其他专用计算机系统的变种。潜在的脆弱点工业控制系统还存在潜在的脆弱点,这些脆弱点虽然可能还没有立即对控制功能或者控制软件造成损害,但显然增加了系统的安全性威胁。这些潜在的脆弱点包括:①工业控制系统中采用的主流操作系统,如MicrosoftWindows操作系统存在的安全脆弱点,最近的Microsoft远程桌面协议拒绝访问和远程代码执行漏洞;②缓冲区溢出漏洞,例如ABB公司就确认在其机器人通信运行软件中存在这类漏洞,通过这个漏洞,攻击者可能具有管理员权限执行远程代码;③控制装置认证机制中存在的脆弱点,例如,西门子公司已经确认在编程和配置客户端软件认证机制中存在潜在的安全弱点。这些机制使用在西门子公司的SIMATICS7PLC上,其中包括S7-200、S7-300、S7-400和S7-1200。通过这些脆弱点,攻击者有机会接入控制系统的通信链路,截获并破译产品的密码,导致未经授权的更改操作。

商用系统的信息安全威胁和安全防护一直是矛盾的关系,是动态发展的问题,而基于主流信息技术的发展应用和改造应用的工控系统对此问题的解决显然也是动态的,所以不可能有一成不变的解决方案。因此,应该制定合理的信息安全策略,然后选择可行的防护技术。限于篇幅,本文对此进行初步探讨。裁减操纵系统Stuxnet蠕虫病毒是利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击。它一共利用了5个微软漏洞,其中4个在此前均已得到微软官方修复。2010年12月15日,微软修复的“Windows计划任务本地权限提升漏洞”(公告编号:MS10-092),是被“超级工厂”病毒利用的最后一个Windows0day漏洞。随着第5个漏洞的修复,Stuxnet“超级工厂”病毒的危害已经得到解决。但由于操作系统自身存在许多安全漏洞,运行在该系统上的工业软件难免会受到威胁,所以最好能根据应用情况,裁减操纵系统。防火墙技术在主流的分布式防火墙技术基础上,开发和应用适合工控的分布式防火墙技术如图3所示。图3工控用分布式防火墙Fig.3Thedistributedfirewallforindustrialcontrol与传统边界防火墙相比,分布式防火墙克服了许多传统边界防火墙的缺点,增加了一种用于对内部子网之间的安全防护层;可以针对各个服务对象的不同需要,进行不同配置,配置时能够充分考虑到运行的应用;网络处理负荷分布,克服了传统防火墙因网络规模增大而不堪重负的弊端。信息网络分布式防火墙的主机防火墙驻留在主机中,负责策略的实施,以及对网络中的服务器和桌面机进行防护。主机防火墙驻留在被保护的主机上,可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。正如在主流信息网络技术基础上进行适应工业控制特点的改造,这使得现场总线和实时以太网技术一样,可以对应地开发用于工控的类似主机防火墙。两者的不同仅在于这些类似主机防火墙的保护对象是控制器、PLC和RTU等执行控制策略的“主机”。信息安全风险评估对系统的信息安全风险评估有利于采取有针对性的安全策略,制定事故处理方案。这对类似Stuxnet这样破坏控制功能的安全威胁尤其有意义。目前,国内外关于IT系统风险评估的方法有许多种,例如基于概率论方法、层次分析法和模糊逻辑方法。虽然工控系统是一个信息系统,但它更是一个控制系统,这使其在采用风险评估方法中要着重注意保证控制系统正常运行特有的要求。这就使得对工业控制系统的风险评估,要在商用信息系统已经较为成熟的系统风险评估方法和工具应用的基础上,结合控制系统风险特征,例如工业以太网的实时性要求。由于控制系统引发的后果比较严重,所以对风险事件发生后果的影响评价需要更为“保守”。同时,根据技术发展探讨其他可行的策略,例如VPN、SSL技术等,许多文献对此已经有诸多研究。

当前工业控制系统与基于TCP/IP协议的信息系统已结合得越来越紧密,这使得工控系统容易受到信息安全问题的威胁,例如计算机病毒、网络病毒、数据操纵,从而使整个工业控制系统遭受破坏。本文针对工业控制系统网络化和信息化的特点,对工业控制系统信息安全问题进行了分析;对威胁到系统控制性能甚至破坏控制功能的信息安全威胁进行了研究;同时指出了工业控制系统还存在的潜在脆弱点,并提出了相应的对策。这些对策包括根据工业控制系统要求来裁减操作系统、研究工控用分布式防火墙技术应用以及进行工控系统安全风险评估。

上一篇:工业废物论文:工业固体废物的风险分析 下一篇:生态决择论文:工业企业生态决择的解析