1、可信计算技术下的工控安全防护思路 张坤 山东新潮信息技术有限公司 摘 要: 当前木马、病毒、数据扫描、密钥数据块攻击、黑客攻击等多元化的网络安全威胁让传统的系统补丁升级及杀毒软件等主动防御方式已经难以应付, 笔者基于对可信计算针对系统进程的识别方面认识, 针对工控系统主机在安全防护方面的薄弱点, 提出建设性的工控安全防护思路。关键词: 工控系统; 可信计算; 安全防护; 当前木马、病毒、数据扫描、密钥数据块攻击、黑客攻击等多元化的网络安全威胁让传统的系统补丁升级及杀毒软件等主动防御方式已经难以应付。工控系统虽然大部分情况下处于非联网状态, 但在厂商等运维过程中都有可能接入可移动设备, 增加了病
2、毒等恶意程序传播的可能性, 严重时会对控制网络通讯造成影响, 另外工控系统网络环境较为封闭, 通用的网络边界完整性技术 (如终端管理等) 在实际部署过程中也面临着一些问题。笔者基于对可信计算针对系统进程的识别方面认识, 针对工控系统主机在安全防护方面的薄弱点, 提出建设性的工控安全防护思路。1 概述工控系统主机在可信计算技术下的安全防护可根据工控主机特点, 利用现有TCM 标准开发相应芯片优化 PCI 硬件 I/0 资源的使用, 另外通过获取和工控系统相关进程的第一手信息, 基于白名单方式确保信息的授权可信, 以 TCM 芯片作为信任根设计上层架构, 实现签名、授权、病毒资源、USB 驱动指纹
3、等信息的统一认证和监测。2 理论架构PLC、DCS、SCADA、等工控系统主机主板硬件基本都有基于 PCI 接口形式的 I/O资源, 笔者所研究的可信计算技术下的工控系统安全防护主要思路就是以此类接口作为基础, 并根据 TCM 标准讨论工控系统安全防护思路的可能性。架构如图 1 所示。2.1 物理硬件层主要包含可信密码模块 TCM、PCI 硬件 I/O 资源、EK、Dinic、PIK 等安全密钥, 用于唯一身份标识的签名认证操作, 并通过开发相应寄存器, 开发相应安全变量存储度量值, 确保收集到的终端度量值不会被篡改。2.2 应用开发层图 1 下载原图主要通过安全度量参数和安全管控对工控运行进
4、程及内存数据进行度量, 并扩展到 TCM 可信开发芯片单元中保护;通过安全管控参数设定进一步将安全度量中的安全度量值与已建 USB 驱动指纹信息等白名单进行对比, 并规定只有在白名单中的进程才能执行, 如运行日志采集等关键证据信息, 必须要满足国家及行业等相关保存要求。2.3 接口展示层代理等各类接口负责与安全参数度量单元交互, 监控最新度量日志;用户 UI 设置与 TCM 交互、签名下发、密钥读取等;安全基线检查则侧重根据国家及各行业合规性要求, 通过技术手段制定工控系统主机的基线检查内容, 如可疑进程检测、系统帐户安全检测、自启动项检测、弱口令检测、系统完整性校验检测等。3 关键问题USB
5、 驱动指纹等白名单单元开发。USB 驱动指纹信息至少要包括 usb_device 设备信息、usb_bus 总线信息、usb_driver 客户驱动信息、URB 通信数据结构信息等, 当把一个 USB 设备插入到端口时, 集中器就会检测到设备的接入, 从而在下一次受到主机通过中断交互查询时就会向其报告。集中器的端口在没有设备接入时都处于关闭状态, 插入设备之后也不会自动打开, 必须由主机通过控制交互发出命令予以打开。所以, 在得到集中器的报告之后, 主机的 USB 驱动程序就会为新插入的设备调度若干个控制交互, 并向集中器发出打开这个端口的命令, 这样新插入的设备就会出现在 USB 总线上了,
6、 并为该设备分配唯一的地址。代理等各类接口设计。接口通讯基本包括同步请求/应答方式、异步请求/应答方式、会话方式、广播通知方式、事件订阅方式、可靠消息传输方式、文件传输等通讯方式, 考虑到完整性和健壮性, 系统接口需要满足在系统的高并发和大容量的基础上提供安全可靠的接入;提供完善的信息安全机制, 以实现对信息的全面保护, 保证系统的正常运行, 应防止大量访问, 以及大量占用资源的情况发生, 保证系统的健壮性;提供有效的系统的可监控机制, 使得接口的运行情况可监控, 便于及时发现错误及排除故障;保证在充分利用系统资源的前提下, 实现系统平滑的移植和扩展, 同时在系统并发增加时提供系统资源的动态扩
7、展, 以保证系统的稳定性。安全基线接口设计。工控系统封闭性较强, 一般运维人员比较依赖厂商的运维, 这样就大大增加了来至第三方人员方面的安全风险, 因此安全基线接口的设计更多的是国家及行业合规性考虑, 对工控系统运行使用者给出参考性意见和建议。安全基线库要结合国家在网络安全等级保护要求中关于工控系统安全等级保护要求内容, 至少要包括 DD0S 木马检测、可疑进程检测、系统帐户安全检测、数据库安全检测、启动项安全检测、文件访问控制检测、弱口令安全检测、文件完整性校验等内容。4 总结在网络空间安全技术的发展历程中, 各类安全技术的产生都是网络攻防博弈的技术结晶, 通过汲取和重组已有技术, 可以实现更顺应网络空间安全新形势的安全技术。本文介绍了工控系统在可信计算技术下的安全防护思路, 主要从架构规划设计和关键问题分析了工控系统主机在安全防护方面的一些思路, 可信计算技术作为基于硬件安全模块的成熟安全技术是实现工控系统安全防护的基础, 为工控系统安全防护的进一步研究和发展提供参考。
