劉　杰，汪京培，李　丹，云　雷，陳晶晶

(1.中國(guó)賽寶實(shí)驗(yàn)室 信息安全研究中心，廣州　510610；2.中國(guó)和平利用軍工技術(shù)協(xié)會(huì)，北京　100088)

?

數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)信息安全綜合防護(hù)方案*

劉杰1，汪京培1，李丹1，云雷1，陳晶晶2

(1.中國(guó)賽寶實(shí)驗(yàn)室 信息安全研究中心，廣州510610；2.中國(guó)和平利用軍工技術(shù)協(xié)會(huì)，北京100088)

摘要：為了解決數(shù)控機(jī)床聯(lián)網(wǎng)后的信息安全威脅，提出了一種數(shù)控網(wǎng)絡(luò)信息安全綜合防護(hù)方案。該方案基于數(shù)控網(wǎng)絡(luò)系統(tǒng)架構(gòu)，以事件生命周期為主線，采用可信安全防護(hù)技術(shù)、自治愈理論，融合基礎(chǔ)數(shù)據(jù)和系統(tǒng)安全防護(hù)技術(shù)，形成數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)安全綜合防護(hù)功能。對(duì)方案的功能、性能以及基于數(shù)控系統(tǒng)的高級(jí)持續(xù)性威脅實(shí)例進(jìn)行詳細(xì)分析，結(jié)果表明了所提方案的合理性和較好防護(hù)效果。該方案的建立實(shí)現(xiàn)了數(shù)控網(wǎng)絡(luò)系統(tǒng)事前監(jiān)控、事中檢測(cè)和自治愈、事后審計(jì)系統(tǒng)化的信息安全防護(hù)。

關(guān)鍵詞：數(shù)控機(jī)床；數(shù)控系統(tǒng)；信息安全防護(hù)；可信；自治愈

0引言

數(shù)控系統(tǒng)固有安全漏洞和聯(lián)網(wǎng)后的開放性，使其面臨的信息安全威脅持續(xù)擴(kuò)大。數(shù)控系統(tǒng)是數(shù)控機(jī)床的“大腦”，高端數(shù)控系統(tǒng)核心技術(shù)基本被工業(yè)發(fā)達(dá)國(guó)家壟斷，數(shù)控系統(tǒng)存在不可控的漏洞、后門等安全隱患。同時(shí)針對(duì)控制系統(tǒng)的信息安全攻擊事件持續(xù)發(fā)生[1]。數(shù)控系統(tǒng)一旦遭到破壞，將會(huì)導(dǎo)致數(shù)控機(jī)床乃至整個(gè)生產(chǎn)線停機(jī)，造成企業(yè)重大損失。所以研究數(shù)控機(jī)床信息安全防護(hù)理論與技術(shù)，對(duì)保障工業(yè)基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行具有重要意義。

美國(guó)能源部國(guó)家SCADA測(cè)試床計(jì)劃 (NSTB)[2]發(fā)布了防護(hù)控制系統(tǒng)路線圖。歐洲網(wǎng)絡(luò)與信息安全局(ENSIA)制定的防護(hù)控制系統(tǒng)的指導(dǎo)文件也于2011年發(fā)布。國(guó)內(nèi)王琦魁[3]提出一種數(shù)控加工網(wǎng)絡(luò)信息安全防護(hù)方案，部署數(shù)控加工網(wǎng)絡(luò)邊界隔離設(shè)備和數(shù)控系統(tǒng)終端防護(hù)設(shè)備，保障數(shù)控網(wǎng)絡(luò)安全。王劍[4]提出了DNC數(shù)控網(wǎng)絡(luò)系統(tǒng)安全防護(hù)架構(gòu)，部署防火墻在辦公局域網(wǎng)和DNC數(shù)控網(wǎng)之間過(guò)濾數(shù)據(jù)，然而該方案對(duì)于內(nèi)部信息泄露缺乏有效的防護(hù)。于立業(yè)[5]提出工業(yè)控制系統(tǒng)信息安全縱深防御解決方案，采用邊界隔離和入侵檢測(cè)的訪問(wèn)控制機(jī)制，缺乏系統(tǒng)化協(xié)同防護(hù)。

可信計(jì)算和自治愈被認(rèn)為是解決控制系統(tǒng)本質(zhì)安全的重要方法。Fadul[6]將可信計(jì)算理論應(yīng)用到智能電網(wǎng)的SCADA系統(tǒng)安全防護(hù)中。伍江江[7]提出一種基于虛擬隔離數(shù)據(jù)可信存儲(chǔ)體系來(lái)進(jìn)行數(shù)據(jù)非授權(quán)防護(hù)，魏占禎[8]提出了一種基于可逆向擴(kuò)展的可信數(shù)據(jù)封裝方案。目前可信網(wǎng)絡(luò)理論和技術(shù)的研究主要在普通信息系統(tǒng)或數(shù)控系統(tǒng)的辦公網(wǎng)絡(luò)中，還沒(méi)有被應(yīng)用到完整的數(shù)控系統(tǒng)。張彤[9]對(duì)應(yīng)用于電力系統(tǒng)的基于自治愈理論的網(wǎng)絡(luò)可生存性理論進(jìn)行了研究，但未對(duì)完整系統(tǒng)體系結(jié)構(gòu)模型進(jìn)行研究。Kirsch[10]通過(guò)入侵容忍策略研究了可生存的SCADA系統(tǒng)，但是其策略并不適用于有狀態(tài)的應(yīng)用服務(wù)器。

本文通過(guò)建立數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)信息安全綜合防護(hù)方案，建立系統(tǒng)化信息安全協(xié)同防護(hù)技術(shù)，有機(jī)結(jié)合了現(xiàn)有的信息安全防護(hù)技術(shù)，在保持系統(tǒng)有序性情況下，達(dá)到較好的防護(hù)效果。

1數(shù)控機(jī)床網(wǎng)絡(luò)系統(tǒng)架構(gòu)和安全威脅

為了提高數(shù)控企業(yè)信息化和綜合自動(dòng)化水平，實(shí)現(xiàn)管控一體化，現(xiàn)代數(shù)控系統(tǒng)越來(lái)越多地與企業(yè)網(wǎng)絡(luò)互聯(lián)，采用計(jì)算機(jī)輔助設(shè)計(jì)制造(CAD)、產(chǎn)品數(shù)據(jù)管理系統(tǒng)(PDM)等提高加工效率和精度。通用協(xié)議(如TCP/IP協(xié)議)、通用操作系統(tǒng)等智能化構(gòu)件不斷用于工業(yè)數(shù)據(jù)交換和處理。數(shù)控機(jī)床與辦公網(wǎng)絡(luò)甚至Internet的互聯(lián)互通導(dǎo)致數(shù)控系統(tǒng)面臨更多的信息安全威脅。數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全威脅如圖1所示。

圖1　數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)結(jié)構(gòu)和安全威脅

圖1中，數(shù)控機(jī)床網(wǎng)絡(luò)通過(guò)RS232、串口等接口通過(guò)數(shù)據(jù)交換系統(tǒng)與DNC數(shù)控網(wǎng)絡(luò)相連，進(jìn)而與辦公自動(dòng)化系統(tǒng)互連。雙向箭頭表示了安全威脅的傳遞路徑。

從圖1可以看出，安全威脅主要來(lái)自于外部攻擊和內(nèi)部攻擊。外部攻擊主要是攻擊者通過(guò)外部Internet掃描目標(biāo)網(wǎng)絡(luò)系統(tǒng)的漏洞，找到攻擊點(diǎn)，進(jìn)行持續(xù)攻擊(如高級(jí)持續(xù)性威脅)。內(nèi)部攻擊包括惡意的數(shù)據(jù)泄露、通過(guò)移動(dòng)設(shè)備的病毒傳播等。攻擊目標(biāo)包括操控控制系統(tǒng)，中斷加工進(jìn)程、影響產(chǎn)品質(zhì)量、竊取企業(yè)數(shù)據(jù)等。

2數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)綜合防護(hù)技術(shù)

提出的數(shù)控機(jī)床網(wǎng)絡(luò)綜合防護(hù)技術(shù)主要包括體系架構(gòu)和核心防護(hù)技術(shù)。

2.1安全防護(hù)體系結(jié)構(gòu)

基于圖1的結(jié)構(gòu)，提出數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)系統(tǒng)協(xié)同化、系統(tǒng)化安全防護(hù)體系結(jié)構(gòu)，如圖2所示。

圖2中數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系涵蓋辦公網(wǎng)絡(luò)安全防護(hù)、DNC數(shù)控網(wǎng)絡(luò)與數(shù)控機(jī)床設(shè)備網(wǎng)絡(luò)安全防護(hù)3個(gè)方面。在辦公網(wǎng)絡(luò)防護(hù)中，主要部署了防火墻、入侵檢測(cè)、惡意代碼檢測(cè)等基本的防護(hù)措施，同時(shí)部署了可信網(wǎng)絡(luò)管理服務(wù)器來(lái)過(guò)濾惡意節(jié)點(diǎn)，提高網(wǎng)絡(luò)免疫性。針對(duì)DNC數(shù)控網(wǎng)絡(luò)，在DNC服務(wù)器上部署可信計(jì)算平臺(tái)，確保運(yùn)行控制系統(tǒng)可信；部署協(xié)議入侵檢測(cè)服務(wù)器過(guò)濾不合規(guī)系統(tǒng)控制流；在DNC數(shù)據(jù)傳輸和數(shù)據(jù)讀寫中部署可信數(shù)據(jù)防護(hù)機(jī)制來(lái)阻止非預(yù)期訪問(wèn)；在管理控制接口部署數(shù)據(jù)訪問(wèn)監(jiān)控模塊，阻止移動(dòng)設(shè)備惡意入侵。針對(duì)現(xiàn)場(chǎng)設(shè)備防護(hù)，主要在接口控制與交換層部署自治愈管理器，防止設(shè)備運(yùn)行故障對(duì)生產(chǎn)的影響。每個(gè)階段防護(hù)均連接取證審計(jì)服務(wù)器以備必要時(shí)審計(jì)。

圖2　數(shù)控網(wǎng)絡(luò)安全綜合防護(hù)體系結(jié)構(gòu)

為了實(shí)現(xiàn)綜合協(xié)同防護(hù)，需要融合各種防護(hù)技術(shù)，以時(shí)間為軸，提出基于事件驅(qū)動(dòng)防護(hù)方案，事件生命周期防護(hù)需求和防護(hù)技術(shù)如圖3所示。

圖3　事件生命周期安全防護(hù)技術(shù)示意圖

結(jié)合圖2和圖3，在安全事件發(fā)生前，在DNC數(shù)控網(wǎng)絡(luò)中，采用實(shí)時(shí)監(jiān)控、可信平臺(tái)防護(hù)方法；在辦公網(wǎng)絡(luò)中，采用可信網(wǎng)絡(luò)、可靠預(yù)警等方法。在安全事件發(fā)生時(shí)，針對(duì)內(nèi)部攻擊，采用主動(dòng)訪問(wèn)控制、異常檢測(cè)方法。針對(duì)外部攻擊，采用入侵防御、惡意代碼防御等方法。在嚴(yán)重安全事件發(fā)生后，對(duì)數(shù)控機(jī)床網(wǎng)絡(luò)啟動(dòng)自治愈和容錯(cuò)恢復(fù)機(jī)制，并在各個(gè)網(wǎng)絡(luò)取證審計(jì)確定威脅源和威脅方法，采用升級(jí)補(bǔ)丁、入侵防御等方法阻止事件再次發(fā)生。

可信防護(hù)技術(shù)、自治愈作為核心防護(hù)技術(shù)，融合基本數(shù)據(jù)和系統(tǒng)防護(hù)技術(shù)，動(dòng)態(tài)構(gòu)建基于事件生命周期的數(shù)控系統(tǒng)信息安全綜合防護(hù)機(jī)制。

2.2可信防護(hù)技術(shù)

首先，在DNC系統(tǒng)服務(wù)器上部署可信計(jì)算平臺(tái)。DNC系統(tǒng)服務(wù)器是連接辦公網(wǎng)和數(shù)控機(jī)床的關(guān)鍵節(jié)點(diǎn)，下達(dá)來(lái)自辦公網(wǎng)的指令到數(shù)控機(jī)床網(wǎng)絡(luò)，上傳數(shù)控機(jī)床數(shù)據(jù)和狀態(tài)信息到辦公網(wǎng)絡(luò)。其運(yùn)行平臺(tái)可信性至關(guān)重要。可信計(jì)算平臺(tái)以可信計(jì)算模塊(TPM，Trusted Platform Module)為核心，以密碼和驗(yàn)證技術(shù)作為信任鏈，確?？刂朴?jì)算平臺(tái)可信安全?？尚庞?jì)算平臺(tái)主要用于事前監(jiān)控，認(rèn)證合法系統(tǒng)，確保平臺(tái)可控。拒絕安全事件發(fā)生后對(duì)設(shè)備層的非預(yù)期控制。

其次，在DNC數(shù)控網(wǎng)絡(luò)上部署可信數(shù)據(jù)防護(hù)機(jī)制，對(duì)數(shù)控系統(tǒng)核心數(shù)據(jù)進(jìn)行保護(hù)，如圖4所示。

圖4可信數(shù)據(jù)防護(hù)機(jī)制

在控制網(wǎng)總線上動(dòng)態(tài)構(gòu)建類似于VPN的通信隔離環(huán)境來(lái)保證設(shè)備控制數(shù)據(jù)不被泄漏。結(jié)合可信計(jì)算和虛擬化技術(shù)，在DNC數(shù)控網(wǎng)絡(luò)上構(gòu)建虛擬機(jī)系統(tǒng)，建立敏感數(shù)據(jù)安全保護(hù)域(SPD，Secure Protection Domain)，通過(guò)將敏感數(shù)據(jù)綁定在安全域內(nèi)，根據(jù)數(shù)據(jù)的保護(hù)預(yù)期對(duì)DNC數(shù)據(jù)訪問(wèn)請(qǐng)求進(jìn)行安全驗(yàn)證和策略控制，阻止不可信進(jìn)程對(duì)數(shù)據(jù)的讀寫操作和傳遞到不可信區(qū)域，從而實(shí)現(xiàn)數(shù)據(jù)防泄漏功能。對(duì)不可信的進(jìn)程傳遞給惡意代碼檢測(cè)服務(wù)器，查驗(yàn)惡意入侵行為?？尚盘摂M數(shù)據(jù)防護(hù)機(jī)制主要用于事前監(jiān)控、安全隔離，事中入侵檢測(cè)，事后審計(jì)查驗(yàn)。

第三，在辦公網(wǎng)絡(luò)上部署可信網(wǎng)絡(luò)服務(wù)器。動(dòng)態(tài)運(yùn)行中，可信節(jié)點(diǎn)具有一定的智能性，其可信與行為動(dòng)作相關(guān)，信任理論就是解決行為可信的有效方法，根據(jù)節(jié)點(diǎn)歷史表現(xiàn)確定可信值，大于可信閾值的節(jié)點(diǎn)才能參與服務(wù)，從而隔離惡意節(jié)點(diǎn)。可信網(wǎng)絡(luò)主要用于事中檢測(cè)，結(jié)合入侵防御、惡意代碼防御，為審計(jì)提供證據(jù)?；谏鲜鋈齻€(gè)方面，建立數(shù)控系統(tǒng)可信防護(hù)模型。配合傳統(tǒng)數(shù)據(jù)防護(hù)和系統(tǒng)防護(hù)技術(shù)，實(shí)現(xiàn)數(shù)控系統(tǒng)數(shù)據(jù)安全和系統(tǒng)安全。

2.3數(shù)據(jù)和系統(tǒng)安全防護(hù)

基礎(chǔ)數(shù)據(jù)安全防護(hù)技術(shù)主要包括傳統(tǒng)的數(shù)據(jù)隔離技術(shù)(如訪問(wèn)控制、防火墻等)，數(shù)據(jù)防泄露技術(shù)、數(shù)據(jù)安全存儲(chǔ)技術(shù)。數(shù)據(jù)隔離設(shè)備部署在數(shù)控系統(tǒng)外部接口網(wǎng)絡(luò)、接入網(wǎng)總線、控制網(wǎng)總線之間，作為基礎(chǔ)防護(hù)手段，用于事前監(jiān)控、事中檢測(cè)。

數(shù)據(jù)安全防護(hù)主要配合可信數(shù)據(jù)防護(hù)機(jī)制，對(duì)運(yùn)行的數(shù)據(jù)，設(shè)置移動(dòng)設(shè)備數(shù)據(jù)控制功能，存儲(chǔ)在移動(dòng)設(shè)備上。一旦接入系統(tǒng)或遭遇不正常訪問(wèn)，主動(dòng)接通數(shù)據(jù)訪問(wèn)監(jiān)控服務(wù)器，啟動(dòng)訪問(wèn)控制機(jī)制。DNC數(shù)據(jù)服務(wù)器中的敏感數(shù)據(jù)配合信息保護(hù)域管理器進(jìn)行安全存儲(chǔ)。

系統(tǒng)運(yùn)行基礎(chǔ)防護(hù)技術(shù)主要包括協(xié)議檢測(cè)、入侵檢測(cè)、惡意代碼檢測(cè)。

系統(tǒng)安全防護(hù)主要配合可信防護(hù)和自治愈機(jī)制。在辦公網(wǎng)和DNC數(shù)控網(wǎng)絡(luò)部署入侵檢測(cè)/防御系統(tǒng)。對(duì)系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控，對(duì)專用工業(yè)通信協(xié)議進(jìn)行分析，發(fā)掘入侵線索，用于事后審計(jì)。可信防護(hù)予以拒絕的進(jìn)程，由入侵檢測(cè)系統(tǒng)予以判斷，做出防御響應(yīng)。同時(shí)收集惡意攻擊證據(jù)，用于事后審計(jì)。在攻擊威脅影響到數(shù)控機(jī)床的可用性時(shí)，啟動(dòng)自治愈容錯(cuò)恢復(fù)機(jī)制。

2.4自治愈容錯(cuò)

自治愈機(jī)制的原理是在攻擊發(fā)生的情況下，系統(tǒng)通過(guò)接受風(fēng)險(xiǎn)、反饋調(diào)整，使系統(tǒng)處于健康工作范圍內(nèi)，從而實(shí)現(xiàn)對(duì)攻擊的免疫性。

在數(shù)控機(jī)床網(wǎng)絡(luò)接口與交換系統(tǒng)上建立自治愈管理器。通過(guò)監(jiān)測(cè)系統(tǒng)運(yùn)行狀態(tài)和行為來(lái)判斷系統(tǒng)的改變是否在可接受范圍，進(jìn)而執(zhí)行相應(yīng)的策略。檢測(cè)數(shù)控系統(tǒng)異常運(yùn)行行為，監(jiān)測(cè)采集到的值抽象化，與數(shù)控系統(tǒng)功能屬性(如可用性)關(guān)聯(lián)，根據(jù)數(shù)控系統(tǒng)各個(gè)部件的約束評(píng)估值，推理確定數(shù)控系統(tǒng)是否運(yùn)行在可接受范圍內(nèi)，超出某個(gè)部件/網(wǎng)絡(luò)的閾值時(shí)，進(jìn)行系統(tǒng)異常預(yù)警。同時(shí)，啟動(dòng)自治愈響應(yīng)機(jī)制，根據(jù)當(dāng)前系統(tǒng)狀態(tài)需要達(dá)到的目標(biāo)生成防御恢復(fù)策略和推理演化機(jī)制，通過(guò)恢復(fù)機(jī)制對(duì)違反系統(tǒng)約束的情況進(jìn)行恢復(fù)，并反饋?zhàn)饔玫竭\(yùn)行系統(tǒng)上。

容錯(cuò)恢復(fù)主要是保障系統(tǒng)發(fā)生災(zāi)難時(shí)仍能繼續(xù)提供服務(wù)的能力，或是能夠快速恢復(fù)被攻擊系統(tǒng)到正常狀況。冗余技術(shù)是最基本的容錯(cuò)恢復(fù)技術(shù)，在數(shù)控機(jī)床網(wǎng)絡(luò)適量部署冗余機(jī)床，在數(shù)控機(jī)床網(wǎng)絡(luò)接口和交換網(wǎng)上部署軟件冗余模塊。同時(shí)啟動(dòng)自檢技術(shù)，找到故障位置，屏蔽或隔離故障部件。系統(tǒng)改變和故障定位的過(guò)程信息以日志的形式記錄，存儲(chǔ)在審計(jì)服務(wù)器中，以備必要時(shí)審計(jì)。

2.5綜合防護(hù)機(jī)制

將前述分步建立的模型依次融合到數(shù)控系統(tǒng)事件生命周期中。主要將可信防護(hù)技術(shù)融入到事前實(shí)時(shí)監(jiān)控中，實(shí)現(xiàn)可信訪問(wèn)控制；將自治愈機(jī)制融合到事后容錯(cuò)恢復(fù)中；將數(shù)據(jù)安全防護(hù)技術(shù)與可信機(jī)制結(jié)合，保護(hù)事件周期中的數(shù)據(jù)安全；將系統(tǒng)安全技術(shù)融合到事中檢測(cè)，配合可信機(jī)制，進(jìn)行事后取證審計(jì)。

3數(shù)控系統(tǒng)安全綜合防護(hù)方案分析

3.1防護(hù)方案功能分析

所提方案可針對(duì)如下幾種攻擊的應(yīng)對(duì)。

惡意代碼攻擊：利用數(shù)控網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、協(xié)議漏洞進(jìn)行惡意代碼攻擊。在綜合防護(hù)體系中，部署在外網(wǎng)和內(nèi)網(wǎng)惡意代碼檢測(cè)機(jī)制可檢測(cè)惡意攻擊，可信訪問(wèn)監(jiān)控可發(fā)現(xiàn)通過(guò)移動(dòng)存儲(chǔ)設(shè)備的入侵，可信虛擬防護(hù)域基于完整性的訪問(wèn)控制需求可阻斷惡意代碼攻擊，并預(yù)警或啟動(dòng)自治愈修復(fù)。

未授權(quán)訪問(wèn)：首先由安全隔離設(shè)備進(jìn)行初步隔離，可信數(shù)據(jù)防護(hù)機(jī)制進(jìn)行拒絕訪問(wèn)操作，并提交審計(jì)服務(wù)器。

信息泄露：主要是內(nèi)部網(wǎng)絡(luò)信息泄露，可依靠可信數(shù)據(jù)隔離環(huán)境、敏感數(shù)據(jù)安全保護(hù)域、對(duì)數(shù)據(jù)讀寫的認(rèn)證來(lái)防護(hù)。根據(jù)操作日志，進(jìn)行審計(jì)。

拒絕服務(wù)攻擊：主要針對(duì)DNC數(shù)控網(wǎng)絡(luò)中的系統(tǒng)服務(wù)器、DNC傳輸服務(wù)器、接口交換機(jī)進(jìn)行攻擊，使之不能正常工作或緩沖區(qū)溢出。綜合防護(hù)方案中主要通過(guò)協(xié)議檢測(cè)監(jiān)控訪問(wèn)流量，通過(guò)可信計(jì)算平臺(tái)阻止非可信訪問(wèn)請(qǐng)求。一旦數(shù)控機(jī)床出現(xiàn)故障，啟動(dòng)自治愈機(jī)制中的冗余機(jī)制，保證可用性，同時(shí)利用自檢機(jī)制恢復(fù)故障。

防護(hù)方案協(xié)同性：當(dāng)面臨各種攻擊時(shí)，綜合利用可信防護(hù)、數(shù)據(jù)和系統(tǒng)基礎(chǔ)防護(hù)、自治愈防護(hù)，協(xié)同防護(hù)數(shù)控系統(tǒng)。

(1)防護(hù)方案的時(shí)間協(xié)同?？尚欧雷o(hù)用于事前監(jiān)控，實(shí)現(xiàn)可信訪問(wèn)控制；自治愈機(jī)制用于事后容錯(cuò)恢復(fù)；基礎(chǔ)數(shù)據(jù)安全防護(hù)配合可信數(shù)據(jù)防護(hù)，用于事中主動(dòng)數(shù)據(jù)訪問(wèn)控制；基礎(chǔ)系統(tǒng)安全防護(hù)配合可信防護(hù)，對(duì)可信防護(hù)拒絕進(jìn)程進(jìn)行入侵檢測(cè)，收集攻擊證據(jù)，用于事后審計(jì)。在攻擊威脅到數(shù)控系統(tǒng)可用性時(shí)，啟動(dòng)自治愈容錯(cuò)恢復(fù)機(jī)制。

(2)防護(hù)方案的空間協(xié)同。所提方案充分利用數(shù)控網(wǎng)絡(luò)架構(gòu)不同資源屬性來(lái)部署防護(hù)技術(shù)，數(shù)控機(jī)床網(wǎng)絡(luò)實(shí)時(shí)性要求高，采用可信虛擬域隔離機(jī)制防止非授權(quán)訪問(wèn)，并把針對(duì)數(shù)控機(jī)床的入侵防護(hù)機(jī)制部署在數(shù)控網(wǎng)絡(luò)中。一旦突破所有防護(hù)措施，啟動(dòng)自治愈機(jī)制，隔離修復(fù)受損設(shè)備。在DNC數(shù)控網(wǎng)絡(luò)中，部署可信平臺(tái)、入侵防御監(jiān)控平臺(tái)，確保核心控制系統(tǒng)安全性。在辦公網(wǎng)中部署復(fù)雜可信網(wǎng)絡(luò)、入侵檢測(cè)、惡意代碼檢測(cè)等措施，確保外圍網(wǎng)絡(luò)可靠性。

3.2防護(hù)方案性能分析

所提防護(hù)方案相對(duì)典型的縱深防御方案[2]，主要增加了可信防護(hù)模塊(T)、自治愈模塊(S)、與IPS、惡意代碼檢測(cè)模塊的接口機(jī)制(I)，其時(shí)間復(fù)雜度分別為f(t(T))，f(t(S))，f(t(I))，f是時(shí)間函數(shù)，事前監(jiān)控階段主要是可信防護(hù)模塊的持續(xù)監(jiān)控，所提防護(hù)方案(P)的時(shí)間復(fù)雜度為f(t(P))=f(t(T))=O(n)，n為可信模塊部署數(shù)量。事中檢測(cè)階段包括可信防護(hù)檢測(cè)、數(shù)據(jù)和系統(tǒng)防護(hù)檢測(cè)、自治愈恢復(fù)?？尚啪W(wǎng)絡(luò)計(jì)算的復(fù)雜度為O(n12)，n1為傳輸節(jié)點(diǎn)數(shù)，可信數(shù)據(jù)防護(hù)機(jī)制的事件復(fù)雜度為O(n)+O(1),O(1)為偶爾的外部移動(dòng)設(shè)備訪問(wèn)監(jiān)控時(shí)間，自治愈恢復(fù)為O(1)，數(shù)據(jù)和系統(tǒng)防護(hù)的復(fù)雜度為O(n),因此事中檢測(cè)階段f(t(P)) =f(t(T)) +f(t(S))+f(t(I))=O(n12)+2O(n)+2O(1)。事后審計(jì)取證階段的時(shí)間復(fù)雜度為O(1)?？臻g復(fù)雜度主要是增加了可信管理服務(wù)器、自治愈管理服務(wù)器以及相應(yīng)數(shù)據(jù)存儲(chǔ)服務(wù)器，空間復(fù)雜度為3O(n)。

3.3對(duì)比分析

相對(duì)于王琦魁等所提出數(shù)控加工網(wǎng)絡(luò)防護(hù)方案[3](簡(jiǎn)稱王方案)，本文所提方案增加了可信防護(hù)、自治愈、以及系統(tǒng)協(xié)同防護(hù)模塊。王方案主要采用加工網(wǎng)絡(luò)邊界隔離設(shè)備和終端防護(hù)設(shè)備，配合審計(jì)和防護(hù)協(xié)議保護(hù)數(shù)控系統(tǒng)。在抗攻擊方面，王方案針對(duì)外部攻擊具有較好效果，但對(duì)惡意內(nèi)部泄露攻擊防護(hù)較弱；在效率方面，王方案通信內(nèi)容深度檢查、細(xì)粒度訪問(wèn)控制、主機(jī)入侵防御都需要模式匹配和計(jì)算，時(shí)間復(fù)雜度介于O(n)和O(n2)之間，n為計(jì)算實(shí)體數(shù)量。在防護(hù)效果方面，現(xiàn)場(chǎng)設(shè)備的深度檢查會(huì)降低可用性，對(duì)完整性破壞的防護(hù)措施沒(méi)有提及，對(duì)安全攻擊處置較為滯后。

相對(duì)于Fadul提出智能電網(wǎng)可信防護(hù)方案[6]，本文所提方案更為全面。Fadul方案利用基于信譽(yù)的信任管理系統(tǒng)來(lái)緩和針對(duì)未來(lái)智能電網(wǎng)設(shè)施脆弱性的攻擊，可信系統(tǒng)部署在智能電網(wǎng)通信支持防護(hù)系統(tǒng)中。在抗攻擊方面，F(xiàn)adul方案由于信譽(yù)的反饋延時(shí)，抗突發(fā)攻擊能力較弱。在效率方面，信譽(yù)計(jì)算和信任管理需要多域的網(wǎng)絡(luò)社區(qū)參與迭代計(jì)算，時(shí)間復(fù)雜度接近O(n2)，空間復(fù)雜度為mn，m為實(shí)體歷史向量長(zhǎng)度，n為實(shí)體數(shù)量。在防護(hù)效果方面，基于信譽(yù)的惡意攻擊免疫機(jī)制和通信帶寬合理分配機(jī)制，使得具有較好的安全性，適宜的可用性，但完整性防護(hù)欠缺。

以上分析結(jié)果列于表1中，防護(hù)效果用三個(gè)級(jí)別的屬性值表示：“優(yōu)”、“中”、“差”，“差”表示相應(yīng)的屬性未提及或效果較差。有一定效果，略顯不足為“中”?？构粜Ч譃?個(gè)狀態(tài)：可信和不可信。效率用時(shí)間復(fù)雜度表示。表1所示結(jié)果為以本文方法作為當(dāng)前標(biāo)準(zhǔn)的相對(duì)性能，可以推測(cè)出本文所提方案的優(yōu)越性。

表1　防護(hù)方案對(duì)比

3.4實(shí)例分析

以高級(jí)持續(xù)性威脅(Advanced Persistent Threat, APT)攻擊為例，分析所提綜合防護(hù)方案的有效性。

APT攻擊靈活組合多種新型攻擊方法，對(duì)目標(biāo)長(zhǎng)時(shí)間滲透，在特定時(shí)刻實(shí)施攻擊。典型的針對(duì)數(shù)控系統(tǒng)的APT攻擊過(guò)程分為5個(gè)階段。①收集情報(bào)。利用社會(huì)工程，搜集并鎖定特定的數(shù)控機(jī)床。②突破防線。利用服務(wù)器漏洞、網(wǎng)站掛馬、釣魚軟件、移動(dòng)客戶端漏洞，攻入辦公網(wǎng)主機(jī)，獲取受害主機(jī)的權(quán)限。③建立據(jù)點(diǎn)，橫向滲透。建立控制服務(wù)器到受害主機(jī)的信道并獲取系統(tǒng)權(quán)限，橫向探測(cè)辦公網(wǎng)系統(tǒng)和DNC網(wǎng)絡(luò)的結(jié)構(gòu)和數(shù)據(jù)訪問(wèn)規(guī)則，入侵更多主機(jī)，并規(guī)避被發(fā)現(xiàn)。④攻擊DNC系統(tǒng)服務(wù)器。模擬正常節(jié)點(diǎn)，連接DNC系統(tǒng)服務(wù)器和DNC傳輸服務(wù)器，利用服務(wù)器漏洞，獲取系統(tǒng)代碼執(zhí)行權(quán)限。⑤完成攻擊。修改或破化控制數(shù)據(jù)，造成數(shù)控機(jī)床設(shè)備損壞或停機(jī)，并伴隨蹤跡銷毀等撤退策略。

所提綜合防護(hù)方案的防護(hù)主要分為4個(gè)階段：

第一階段，攻擊辦公網(wǎng)絡(luò)主機(jī)。在辦公網(wǎng)部署的防火墻、入侵檢測(cè)、惡意代碼檢測(cè)機(jī)制可阻斷部分入侵行為；部署的可信網(wǎng)絡(luò)可根據(jù)節(jié)點(diǎn)長(zhǎng)期歷史表現(xiàn)，隔離不可信主機(jī)。并提交取證審計(jì)模塊。

第二階段，橫向滲透攻擊。辦公網(wǎng)內(nèi)的滲透通過(guò)上述入侵檢測(cè)和可信網(wǎng)絡(luò)隔離。針對(duì)DNC數(shù)控網(wǎng)絡(luò)的滲透采用協(xié)議檢測(cè)、數(shù)據(jù)訪問(wèn)監(jiān)控、可信數(shù)據(jù)防護(hù)機(jī)制來(lái)監(jiān)控異常數(shù)據(jù)流，阻斷惡意節(jié)點(diǎn)對(duì)數(shù)控網(wǎng)內(nèi)數(shù)據(jù)信息讀寫和對(duì)控制信息的截獲，并預(yù)警。

第三階段，攻擊DNC系統(tǒng)服務(wù)器。在服務(wù)器上部署的可信計(jì)算平臺(tái)通過(guò)完整性認(rèn)證，拒絕惡意節(jié)點(diǎn)對(duì)操作系統(tǒng)的非預(yù)期控制，并確定數(shù)據(jù)篡改，實(shí)時(shí)預(yù)警；在DNC傳輸服務(wù)器上關(guān)聯(lián)的可信數(shù)據(jù)防護(hù)機(jī)制阻斷惡意指令的傳輸，并提交惡意代碼檢測(cè)服務(wù)器進(jìn)一步檢測(cè)防御，進(jìn)行取證審計(jì)。

第四階段，惡意行為繞過(guò)可信平臺(tái)，對(duì)設(shè)備進(jìn)行攻擊。啟動(dòng)虛擬隔離機(jī)制，隔離受害數(shù)控機(jī)床，控制攻擊范圍；啟動(dòng)自治愈機(jī)制，通過(guò)無(wú)故障冗余機(jī)床持續(xù)提供服務(wù)；同時(shí)啟動(dòng)自檢技術(shù)，屏蔽或隔離故障部件，并及時(shí)修復(fù)和審計(jì)。從而最大化消除APT攻擊的影響。

按照?qǐng)D2的基本結(jié)構(gòu)搭建模擬環(huán)境，部署防護(hù)方案，模擬APT攻擊方式，配合各種滲透技術(shù)，入侵到DNC數(shù)控網(wǎng)絡(luò)20次，以讀取和破壞DNC控制文件為攻擊目標(biāo)。實(shí)驗(yàn)結(jié)果顯示攻擊都被有效阻斷，第一階段攻擊阻斷概率(阻斷的攻擊次數(shù)占比總攻擊次數(shù))為40%，第二階段檢測(cè)概率為30%，最后30%都在第三階段被阻斷。

綜上所述，所提出的綜合防護(hù)方案對(duì)APT攻擊具有較好的防護(hù)效果。

4結(jié)論

本文提出了一種數(shù)控機(jī)床自動(dòng)化網(wǎng)絡(luò)系統(tǒng)安全綜合防護(hù)方案，有效解決了數(shù)控機(jī)床信息安全防護(hù)難題，相對(duì)于以往的方案具有更好的協(xié)同性和有效性。該方案可形成完整的過(guò)程防護(hù)，并自成體系，對(duì)APT有較好的防護(hù)效果。由于可信防護(hù)技術(shù)和自治愈的本質(zhì)安全特點(diǎn)，該方案可部署在異構(gòu)混雜的數(shù)控系統(tǒng)中。

[參考文獻(xiàn)]

[1] Mansfield-Devine S. Western energy firms come under concerted and successful cyber-attack [J]. Network Security, 2014, 7: 1-2.

[2] US-CERT. ICS-CERT[EB/OL]. http:// www.us-cert.gov/control_system/.2012-06-20.

[3] 王琦魁，李昕，趙甫. 工控系統(tǒng)信息安全與加工網(wǎng)絡(luò)防護(hù)方案研究[J]. 信息網(wǎng)絡(luò)安全, 2014(9): 120-122.

[4] 王劍, 郭照敏, 王國(guó)營(yíng). DNC數(shù)控網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)[J]. 保密科學(xué)技術(shù), 2012(8): 33-36.

[5] 于立業(yè)，薛向榮，張?jiān)瀑F,等.工業(yè)控制系統(tǒng)信息安全解決方案[J]. 冶金自動(dòng)化, 2013, 37(1): 5-11.

[6] Fadul J, Hopkinson K, Sheffield C. Trust Management and Security in the Future Communication-Based “Smart” Electric Power Grid [C]. Proceedings in 44th International Conference on System Sciences, Hawaii, 2011.

[7] 伍江江，王志英，馬俊,等. 一種基于虛擬隔離的數(shù)據(jù)可信存儲(chǔ)技術(shù)研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與科學(xué), 2012, 34(5): 58-62.

[8] 魏占禎，李偉，池亞平,等. 基于可逆向擴(kuò)展的可信數(shù)據(jù)封裝存儲(chǔ)方案[J]. 吉林大學(xué)學(xué)報(bào)(工學(xué)版), 2012, 42(4): 985-991.

[9] 張彤. 電力可信網(wǎng)絡(luò)體系及關(guān)鍵技術(shù)的研究[D]. 北京:華北電力大學(xué), 2013.

[10] Kirsch J, Goose S, Amir Y, et al. Survivable SCADA Via Intrusion-Tolerant Replication [J]. IEEE Transactions on Smart Grid, 2014, 5(1): 60 -70.

(編輯李秀敏)

Integrated Information Security Protection Method in the Automatic Network of CNC

LIU Jie1, WANG Jing-pei1, LI Dan1, YUN Lei1, CHEN Jing-jing2

(1. Information Security Research Center, China CEPREI Laboratory, Guangzhou 510610, China;2. China Association of Peaceful User of Military Industrial Technology, Beijing 100088, China)

Abstract：In order to solve the information security threats for the interconnected CNC, an information security integrated protection method for automatic network of CNC is studied in this paper. Based on the NC network system architecture, this method takes the event lifecycle as the main line, adopts the trusted security protection, self-healing theory, and integrates into basic data and system security protection technologies, finally forms a comprehensive security protection for automation network of CNC. Detailed analysis from functionality, performance, and an example of advanced persistent threats for NC system are performed, the results validate the rationality and effectiveness of the proposed method. The integrated protection method realizes the systematic security protection covering the proactive monitoring, detection, self-healing, post auditing and evidence collecting for the network systems of CNC.

Key words：CNC; NC system; information security protection; trusted; self-healing

中圖分類號(hào)：TH166;TH659

文獻(xiàn)標(biāo)識(shí)碼：A

作者簡(jiǎn)介：劉杰(1963—)，男，安徽泗縣人，中國(guó)賽寶實(shí)驗(yàn)室信息安全研究中心研究員，研究領(lǐng)域?yàn)閿?shù)控機(jī)床、信息安全與軟件可靠性測(cè)評(píng)，(E-mail)liujie@ceprei.com；通信作者：汪京培(1983—)，男，湖北嘉魚縣人，中國(guó)賽寶實(shí)驗(yàn)室工程師，博士，研究方向?yàn)樾畔⒕W(wǎng)絡(luò)安全，(E-mail)wjpbupt@163.com。

*基金項(xiàng)目：國(guó)防基礎(chǔ)科研計(jì)劃資助(JSQB2014205A005)

收稿日期：2015-12-16；修回日期：2016-02-03

文章編號(hào)：1001-2265(2016)03-0082-04

DOI:10.13462/j.cnki.mmtamt.2016.03.023