回賽男，胡 俊

(北京工業(yè)大學(xué) 信息學(xué)部，北京 100124)

0 引 言

近年來，系統(tǒng)信息安全事件屢見不鮮，這給國家安全和利益造成了嚴(yán)重危害。目前，等級(jí)保護(hù)已經(jīng)發(fā)展到了2.0版，新的等級(jí)保護(hù)要求需要與其適配的網(wǎng)絡(luò)系統(tǒng)安全分析方法[1]。常見的網(wǎng)絡(luò)系統(tǒng)安全分析方法有態(tài)勢(shì)感知方法、形式化方法和模擬真實(shí)環(huán)境測(cè)試等。態(tài)勢(shì)感知技術(shù)主要通過采集網(wǎng)絡(luò)原始數(shù)據(jù)與系統(tǒng)運(yùn)行生成的動(dòng)態(tài)安全數(shù)據(jù)等信息，再通過對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析實(shí)現(xiàn)，目前態(tài)勢(shì)感知主要依托入侵檢測(cè)、漏洞掃描等機(jī)制，與等保要求不符[2-3]。形式化方法是利用數(shù)學(xué)方法，從源頭驗(yàn)證系統(tǒng)正確、無漏洞的有效手段，這種方法能夠比較嚴(yán)格的論證安全性，但是因?yàn)檠芯窟^程過于復(fù)雜，一般用于比較簡(jiǎn)單的場(chǎng)景，不適合復(fù)雜場(chǎng)景[4]。模擬真實(shí)環(huán)境是在測(cè)試端未受到真實(shí)的網(wǎng)絡(luò)攻擊之前，提早對(duì)其進(jìn)行攻擊和防御模擬的一種測(cè)試方法，通過對(duì)被測(cè)試端進(jìn)行攻擊和防御效果檢測(cè)與評(píng)估，并提出安全改進(jìn)方案，以減小系統(tǒng)受到真實(shí)攻擊的可能性和由此帶來的影響，但是存在成本高、通用性低的問題[5-6]。

根據(jù)高安全級(jí)別等級(jí)保護(hù)系統(tǒng)的安全需求和技術(shù)特點(diǎn)，提出了一種新的安全分析方法。該方法以業(yè)務(wù)流程為保護(hù)對(duì)象，將業(yè)務(wù)流程抽象成信息流和計(jì)算邏輯的組合，搭建模擬場(chǎng)景，并通過該場(chǎng)景下對(duì)攻擊機(jī)制和防御機(jī)制的抽象模擬，構(gòu)造出類似“兵棋”的安全推演場(chǎng)景，通過攻防推演來判斷系統(tǒng)的安全狀況。該方法可以從信息流層面模擬系統(tǒng)的攻防對(duì)抗?fàn)顩r，推演系統(tǒng)面臨的現(xiàn)實(shí)的安全威脅和防護(hù)效果，且具備通用、靈活、低成本等優(yōu)勢(shì)。

1 相關(guān)研究

常見的提供攻防模擬環(huán)境的平臺(tái)是網(wǎng)絡(luò)靶場(chǎng)，目標(biāo)是盡量模擬真實(shí)環(huán)境，通過模擬仿真技術(shù)構(gòu)建真實(shí)環(huán)境的仿真，并在仿真環(huán)境中模擬實(shí)際應(yīng)用搭建攻防測(cè)試場(chǎng)景，進(jìn)行攻防測(cè)試行為[7]。通過在靶場(chǎng)中進(jìn)行各項(xiàng)滲透測(cè)試，可以探索目標(biāo)系統(tǒng)可能存在的安全漏洞，同時(shí)模擬黑客攻擊行為；攻擊方對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊，防御方通過加固系統(tǒng)來防御攻擊，目的是通過網(wǎng)絡(luò)靶場(chǎng)實(shí)戰(zhàn)，掌握黑客的攻擊過程和手段，從而部署最優(yōu)防御措施[8]。

但在網(wǎng)絡(luò)靶場(chǎng)中搭建攻防模擬環(huán)境，建設(shè)靶場(chǎng)的成本和在靶場(chǎng)中構(gòu)建場(chǎng)景的成本較高[9]；現(xiàn)有的靶場(chǎng)多是針對(duì)一些具體的應(yīng)用場(chǎng)景而設(shè)立的，只能在這些設(shè)定好的場(chǎng)景中進(jìn)行攻防，若想在其他應(yīng)用場(chǎng)景下進(jìn)行攻防測(cè)試，就要重新搭建一個(gè)對(duì)該應(yīng)用場(chǎng)景的模擬，不具有通用性；而且許多場(chǎng)景不是真實(shí)系統(tǒng)中存在的。

網(wǎng)絡(luò)仿真可以測(cè)試實(shí)際的系統(tǒng)，和外界真實(shí)網(wǎng)絡(luò)有交互，所構(gòu)造的虛擬網(wǎng)絡(luò)和外界真實(shí)網(wǎng)絡(luò)是需要進(jìn)行同步的，攻防仿真實(shí)驗(yàn)環(huán)境可以對(duì)照真實(shí)系統(tǒng)來搭建應(yīng)用場(chǎng)景，包括試驗(yàn)床和網(wǎng)絡(luò)仿真器等方式。清華大學(xué)的劉武提出用VMWare構(gòu)建高效的網(wǎng)絡(luò)安全實(shí)驗(yàn)床，但是VMWare虛擬化技術(shù)在網(wǎng)絡(luò)環(huán)境構(gòu)建過程中需要手動(dòng)操作，會(huì)隨著網(wǎng)絡(luò)規(guī)模的增大存在效率低下和成本高的問題[10]。L Stoller等提出了使用Emulab構(gòu)建大規(guī)模虛擬化環(huán)境，使用虛擬技術(shù)搭建攻防平臺(tái)，配置步驟往往較為繁瑣復(fù)雜，虛擬機(jī)文件往往較大，對(duì)個(gè)人用戶來說并不友好，且環(huán)境搭建缺少靈活性，不便于擴(kuò)展、管理和維護(hù)[11]。A Ezreik等提出了使用NS2網(wǎng)絡(luò)仿真器來設(shè)計(jì)網(wǎng)絡(luò)并且使用加密算法來安全傳輸信息，描述了通過NS2網(wǎng)絡(luò)仿真器來設(shè)計(jì)網(wǎng)絡(luò)的方法構(gòu)建實(shí)驗(yàn)需要的網(wǎng)絡(luò)環(huán)境，使用網(wǎng)絡(luò)仿真器構(gòu)建實(shí)驗(yàn)環(huán)境簡(jiǎn)單高效，但是虛擬節(jié)點(diǎn)的真實(shí)性無法保證[12]。

2 信息系統(tǒng)安全分析方法的設(shè)計(jì)

該文提出的信息系統(tǒng)安全分析方法借鑒了軍事學(xué)中兵棋的思路，基于已有的網(wǎng)絡(luò)攻防知識(shí)，通過輕量級(jí)模擬方法，嘗試對(duì)系統(tǒng)安全狀況及安全防護(hù)方案的效果進(jìn)行推斷。

兵棋由地圖、棋子和規(guī)則組成，地圖是兵棋模擬的場(chǎng)景，棋子是參戰(zhàn)單位的抽象表示，規(guī)則是根據(jù)戰(zhàn)爭(zhēng)規(guī)律設(shè)計(jì)的裁決方法。在等級(jí)保護(hù)環(huán)境中，本方法的保護(hù)對(duì)象是業(yè)務(wù)流程，攻擊方可使用多種攻擊手段組織攻擊行為，防御方則使用多種安全機(jī)制配合實(shí)現(xiàn)安全保障機(jī)制以對(duì)抗攻擊行為。在進(jìn)行輕量級(jí)攻防模擬時(shí)，“地圖”對(duì)應(yīng)的就是業(yè)務(wù)流程的模擬，“棋子”則是模擬的攻擊機(jī)制和防御機(jī)制，“規(guī)則”包括紅方(攻擊方)和藍(lán)方(防御方)在地圖上對(duì)“棋子”的使用方法，以及“棋子”在地圖上的運(yùn)作規(guī)則。以下對(duì)其進(jìn)行具體說明：

(1)信息系統(tǒng)安全的保護(hù)對(duì)象為業(yè)務(wù)邏輯，因此，“地圖”既包括環(huán)境，也包括在環(huán)境中運(yùn)行的應(yīng)用流程。環(huán)境(如系統(tǒng)中的各個(gè)計(jì)算節(jié)點(diǎn))可以通過一組執(zhí)行程序?qū)嶓w及程序?qū)嶓w間的連接關(guān)系來模擬，應(yīng)用流程則可以通過構(gòu)造與實(shí)際業(yè)務(wù)對(duì)應(yīng)的信息流與數(shù)據(jù)處理模塊，并根據(jù)實(shí)際情況來標(biāo)識(shí)數(shù)據(jù)屬性變化來抽象模擬。

(2)棋子為系統(tǒng)中的攻擊機(jī)制和防御機(jī)制。攻擊機(jī)制和防御機(jī)制都可以通過在業(yè)務(wù)流程中添加攻/防模擬過程來實(shí)現(xiàn)。其中攻擊機(jī)制中的竊聽行為和防御機(jī)制中的監(jiān)視功能可通過復(fù)制業(yè)務(wù)流程數(shù)據(jù)進(jìn)行處理來添加，攻擊機(jī)制中的篡改數(shù)據(jù)和增加輸入，防御機(jī)制中的訪問控制、加解密等行為可以通過攔截業(yè)務(wù)流進(jìn)行處理，再返回業(yè)務(wù)流的方式添加。

(3)規(guī)則是根據(jù)攻擊機(jī)制和防御機(jī)制的特點(diǎn)，以及系統(tǒng)安全規(guī)律設(shè)計(jì)的。高安全級(jí)別等級(jí)保護(hù)的核心規(guī)則為強(qiáng)制訪問控制規(guī)則，其本質(zhì)為信息流控制的規(guī)則，因此，“兵棋”規(guī)則的基礎(chǔ)是信息流限制。信息流限制可以由不同機(jī)制產(chǎn)生，其中根據(jù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣o出的信息流限制可認(rèn)為是模擬場(chǎng)景的背景，除考慮物理安全問題外，一般不應(yīng)違反。而根據(jù)系統(tǒng)中的安全機(jī)制(包括安全隔離機(jī)制和訪問控制機(jī)制)也可給出信息流限制，但這一信息流限制在進(jìn)行攻防模擬時(shí)要考慮被繞過的可能。

在信息流規(guī)則基礎(chǔ)上，還可以補(bǔ)充其他規(guī)則。在執(zhí)行業(yè)務(wù)處理的節(jié)點(diǎn)上，根據(jù)攻擊機(jī)制和防御機(jī)制的特點(diǎn)，可歸納攻擊機(jī)制和防御機(jī)制的規(guī)則，以編程方式模擬該節(jié)點(diǎn)的攻防狀況。對(duì)環(huán)境和人員安全狀況的設(shè)定也可轉(zhuǎn)化為系統(tǒng)安全分析時(shí)的規(guī)則，如威脅來自于外部對(duì)哪些設(shè)備的攻擊，或來自于具有特定權(quán)限的某內(nèi)部人員等。

(4)紅藍(lán)雙方的推演過程為：應(yīng)用流程運(yùn)行過程中，在設(shè)計(jì)的規(guī)則之下，紅方利用攻擊機(jī)制對(duì)系統(tǒng)發(fā)起攻擊；藍(lán)方則利用防御機(jī)制應(yīng)對(duì)紅方的攻擊行為，對(duì)系統(tǒng)進(jìn)行保護(hù)；通過觀察紅藍(lán)雙方攻防對(duì)抗的效果得到推演的結(jié)論。

信息系統(tǒng)安全分析方法的整體架構(gòu)如圖1所示。

圖1 攻防模擬場(chǎng)景架構(gòu)示意圖

3 實(shí)現(xiàn)方法

本方法基于北京工業(yè)大學(xué)可信計(jì)算實(shí)驗(yàn)室自主開發(fā)的可信軟件基原型架構(gòu)[13]實(shí)現(xiàn)信息系統(tǒng)的攻防模擬。這個(gè)原型架構(gòu)為分布式消息驅(qū)動(dòng)架構(gòu)，具備軟件定義和模塊載入功能，其提供的復(fù)制消息路由模式和切面消息路由模式可以用來模擬監(jiān)視和攔截行為，可用來模擬攻擊和防御機(jī)制。

3.1 應(yīng)用場(chǎng)景重構(gòu)

信息系統(tǒng)的應(yīng)用場(chǎng)景采用輕量級(jí)的方法來重構(gòu)。應(yīng)用場(chǎng)景的模擬內(nèi)容包括系統(tǒng)的節(jié)點(diǎn)拓?fù)浣Y(jié)構(gòu)和業(yè)務(wù)流程。可信軟件基原型架構(gòu)中，一個(gè)分布式運(yùn)算進(jìn)程為一個(gè)實(shí)例，實(shí)例可以加載多個(gè)模塊，實(shí)例與模塊間通過消息來交換信息和觸發(fā)模塊行為，消息通過預(yù)定義的消息路由進(jìn)行傳遞。因此，本方法按照表1所示，建立可信軟件基原型架構(gòu)環(huán)境與應(yīng)用場(chǎng)景之間的映射關(guān)系。

表1 映射關(guān)系列表

按照這一映射關(guān)系，本方法可以用可信軟件基原型架構(gòu)搭建出業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)拓?fù)洵h(huán)境，并模擬實(shí)現(xiàn)業(yè)務(wù)流程。這里不需要準(zhǔn)確模擬業(yè)務(wù)的具體計(jì)算邏輯，只需要從屬性上進(jìn)行模擬，即模擬數(shù)據(jù)在經(jīng)過了特定計(jì)算邏輯處理后，具備了何種屬性。因?yàn)橄⒃谙⒙酚芍袀鞑r(shí)，模擬的是一個(gè)處理過程，在該過程的某個(gè)環(huán)節(jié)既有特定的主體，也有具體的客體。因此，消息可以增添表達(dá)主客體屬性的擴(kuò)展項(xiàng)，來表示系統(tǒng)的處理過程。

3.2 攻擊模擬

CC標(biāo)準(zhǔn)(信息技術(shù)安全性評(píng)估標(biāo)準(zhǔn))[14]規(guī)定：脆弱性+威脅=風(fēng)險(xiǎn)。當(dāng)一個(gè)系統(tǒng)存在脆弱性、存在威脅，某種特定的威脅可以利用系統(tǒng)的脆弱性對(duì)系統(tǒng)造成損害，這個(gè)系統(tǒng)就存在著風(fēng)險(xiǎn)。因此，對(duì)攻擊的模擬主要是模擬系統(tǒng)脆弱性被攻擊者利用后產(chǎn)生的效果。

系統(tǒng)脆弱性可理解為系統(tǒng)中攻擊者可以用來執(zhí)行超越合法權(quán)限操作的權(quán)限的位置。而攻擊者可以利用這些位置執(zhí)行越權(quán)操作，獲得更大的權(quán)限，并執(zhí)行對(duì)業(yè)務(wù)系統(tǒng)的破壞行為。因此，對(duì)攻擊的模擬，其核心是權(quán)限的模擬?？梢栽谙到y(tǒng)中多個(gè)節(jié)點(diǎn)上增加模擬脆弱性位置的模塊，根據(jù)該位置脆弱性狀況為其限定權(quán)限范圍，攻擊者在模塊中按照規(guī)則編寫攻擊邏輯，模擬節(jié)點(diǎn)針對(duì)特定脆弱性的攻擊行為，并通過在攻擊模塊之間配置攻擊消息路由，將多個(gè)位置的攻擊邏輯聯(lián)系起來，模擬一個(gè)跨節(jié)點(diǎn)的完整攻擊流程。

配置攻擊消息路由時(shí)，可以通過可信軟件基原型架構(gòu)提供的復(fù)制路由和切面路由，將攻擊機(jī)制接入系統(tǒng)中。其中，對(duì)系統(tǒng)進(jìn)行竊聽和數(shù)據(jù)分析的攻擊行為可以通過可信軟件基原型架構(gòu)的復(fù)制路由，將數(shù)據(jù)從業(yè)務(wù)流程中可竊聽位置復(fù)制下來后，執(zhí)行攻擊。對(duì)系統(tǒng)進(jìn)行攔截和破壞的攻擊行為，則可以通過可信軟件基原型架構(gòu)的切面路由，攔截正常的業(yè)務(wù)流程，并對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行篡改破壞，或在業(yè)務(wù)數(shù)據(jù)中附帶惡意代碼的模擬。

3.3 防御模擬

防御模擬主要模擬等保制度要求的訪問控制、可信計(jì)算和密碼保護(hù)等防御機(jī)制，并通過一個(gè)安全管理中心對(duì)這些防御機(jī)制進(jìn)行統(tǒng)一管理，安全管理中心的管理方式為采集各防御機(jī)制的審計(jì)信息進(jìn)行分析，并向各防御機(jī)制下發(fā)策略。防御機(jī)制接入業(yè)務(wù)流程的方法與攻擊機(jī)制類似，也是采取復(fù)制和攔截等措施以在模擬業(yè)務(wù)流程的消息路由中加入安全機(jī)制。下面分別描述不同安全機(jī)制的模擬方法：

(1)密碼機(jī)制。

模擬數(shù)據(jù)加密機(jī)制時(shí)，可以在加密信道兩端添加切面路由攔截消息，在加密端加密攔截的消息，在解密端解密被加密消息，加解密端通過另行定義的密鑰管理機(jī)制和密鑰管理消息路由實(shí)現(xiàn)密鑰交換。這樣，加密信道中的攻擊者將無法竊聽信息。模擬數(shù)據(jù)簽名驗(yàn)證機(jī)制時(shí)實(shí)現(xiàn)方法類似。

(2)訪問控制機(jī)制。

模擬訪問控制機(jī)制時(shí)，可以在系統(tǒng)脆弱性的位置復(fù)制和攔截傳輸?shù)南?。?fù)制消息轉(zhuǎn)發(fā)給監(jiān)控模塊，通過監(jiān)控模塊分析信息以模擬對(duì)系統(tǒng)的監(jiān)控行為。攔截消息后，可根據(jù)監(jiān)控結(jié)果對(duì)消息內(nèi)容進(jìn)行標(biāo)記，標(biāo)記該消息內(nèi)容的屬性(客體屬性)和該消息操作者的屬性(主體屬性)，訪問控制機(jī)制則根據(jù)安全標(biāo)記和訪問控制策略實(shí)現(xiàn)訪問控制操作，其中消息的擴(kuò)展項(xiàng)為消息提供安全標(biāo)記的添加，安全標(biāo)記和訪問控制策略通過切面路由接入到實(shí)例的消息路由中。

(3)可信度量機(jī)制。

模擬可信度量機(jī)制時(shí)，可以在每個(gè)實(shí)例處添加切面路由攔截消息，獲取消息中主體和客體信息，并與歷史記錄匯總分析，進(jìn)行可信度量，可信度量后可依據(jù)度量結(jié)果進(jìn)行訪問控制或?qū)徲?jì)操作。

3.4 攻防對(duì)抗演練

業(yè)務(wù)流程和攻防模擬準(zhǔn)備好后，紅藍(lán)雙方即可入場(chǎng)進(jìn)行攻防對(duì)抗演練。演練時(shí)，雙方選擇合適位置部署攻擊點(diǎn)和防御機(jī)制，編程實(shí)現(xiàn)攻擊點(diǎn)和防御機(jī)制的攻防邏輯，通過配置攻防的消息路由，實(shí)現(xiàn)攻擊和防御的執(zhí)行流程，并在部署了攻防機(jī)制的環(huán)境中模擬業(yè)務(wù)流程，觀察攻防對(duì)抗效果。此后雙方可以修改攻防方案，進(jìn)行下一輪攻防推演。

4 工程驗(yàn)證

基于提出的安全分析方法，以著名的工業(yè)控制系統(tǒng)震網(wǎng)病毒為實(shí)例[15]，設(shè)計(jì)一個(gè)受震網(wǎng)威脅的網(wǎng)絡(luò)環(huán)境作為此次攻防模擬的應(yīng)用場(chǎng)景，來驗(yàn)證提出的安全分析方法的正確性。

4.1 應(yīng)用場(chǎng)景重構(gòu)

攻防模擬設(shè)想的網(wǎng)絡(luò)拓?fù)洵h(huán)境[16]如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)洵h(huán)境

在這一拓?fù)洵h(huán)境下，設(shè)計(jì)一個(gè)包含移動(dòng)存儲(chǔ)設(shè)備使用、打印、離心機(jī)控制等功能的工控業(yè)務(wù)流程，流程如下所述：

(1)用戶A于外網(wǎng)在H1電腦上完成一個(gè)工作文檔，并寫入移動(dòng)存儲(chǔ)設(shè)備。

(2)用戶A在H2電腦上插入移動(dòng)存儲(chǔ)設(shè)備，將工作文檔復(fù)制到H2電腦。

(3)用戶A將文件編輯處理后，傳輸?shù)紿4電腦。

(4)用戶B在H4電腦編輯文件，并將文件傳輸?shù)紿5電腦。

(5)用戶B將文件傳輸?shù)紿3電腦并打印。

(6)用戶C在H5電腦處理文件，生成PLC控制命令。

(7)用戶C發(fā)送PLC控制命令到工控設(shè)備，實(shí)現(xiàn)對(duì)工控設(shè)備的控制。

本方法建立6個(gè)實(shí)例，分別為H1、H2、H3、H4、H5和PLC,其中H1、H2實(shí)例啟動(dòng)時(shí)，設(shè)定其屬主為用戶A，H3、H4啟動(dòng)時(shí)，設(shè)定其屬主為用戶B,H5、PLC啟動(dòng)時(shí)，設(shè)定其屬主為用戶C。

可信軟件基原型架構(gòu)中，可定義不同的數(shù)據(jù)結(jié)構(gòu)，并為數(shù)據(jù)結(jié)構(gòu)的格式賦予(類型，子類型)對(duì)來唯一描述。定義業(yè)務(wù)流程相關(guān)記錄結(jié)構(gòu)類型為STUXNET_PROC，并定義一些數(shù)據(jù)子類型以對(duì)應(yīng)業(yè)務(wù)流程不同階段的數(shù)據(jù)，如表2所示。

表2 數(shù)據(jù)結(jié)構(gòu)列表

定義如表3所示的一些模塊完成數(shù)據(jù)結(jié)構(gòu)的處理。

表3 業(yè)務(wù)流程模塊列表

在模塊間定義的消息路由如圖3所示。

圖3 業(yè)務(wù)流程路由

啟動(dòng)各節(jié)點(diǎn)后，F(xiàn)ile_input產(chǎn)生消息，將模擬可信軟件基原型架構(gòu)的行為。

4.2 攻擊模擬

假設(shè)環(huán)境中各節(jié)點(diǎn)存在不同的漏洞，各個(gè)主機(jī)上的漏洞信息如表4所示。

表4 主機(jī)漏洞信息

為這四個(gè)漏洞分別設(shè)計(jì)不同的激活數(shù)據(jù)格式，這些數(shù)據(jù)格式定義類型為STUXNET_VUL，可以作為擴(kuò)展項(xiàng)添加在代表業(yè)務(wù)處理過程的正常消息內(nèi)容中，見表5。

表5 數(shù)據(jù)結(jié)構(gòu)列表

為這四個(gè)漏洞分別設(shè)計(jì)攻擊模塊(見表6),攻擊模塊接收到相應(yīng)的數(shù)據(jù)格式后就被激活，調(diào)用相應(yīng)的攻擊函數(shù)，攻擊函數(shù)可以由紅方進(jìn)行編程實(shí)現(xiàn)。

表6 攻擊模塊列表

紅方可以在業(yè)務(wù)流程中設(shè)計(jì)復(fù)制路由與切面路由，在合適點(diǎn)引入攻擊模塊，并在攻擊模塊編程實(shí)現(xiàn)攻擊行為。攻擊模塊間定義的消息路由如圖4所示。

圖4 攻擊模塊路由

4.3 防御模擬

本方法分別設(shè)計(jì)了三種防御機(jī)制來實(shí)現(xiàn)對(duì)攻擊行為的屏蔽，H1-H2節(jié)點(diǎn)的文件檢查，H4節(jié)點(diǎn)的訪問控制(攻擊模塊前置消息攔截機(jī)制)，H5節(jié)點(diǎn)的參數(shù)校驗(yàn)。

防御機(jī)制需要依據(jù)策略執(zhí)行其功能，為三種防御機(jī)制定義的策略數(shù)據(jù)結(jié)構(gòu)如表7所示。

表7 數(shù)據(jù)結(jié)構(gòu)列表

為這三種防御機(jī)制分別設(shè)計(jì)防御模塊(見表8),防御模塊接收到策略后即按照策略執(zhí)行相應(yīng)的防御函數(shù)。

表8 防御模塊列表

在防御模塊間定義的消息路由如圖5所示。

圖5 防御模塊路由

4.4 攻防對(duì)抗測(cè)試

(1)部署業(yè)務(wù)流程后，直接測(cè)試，業(yè)務(wù)流程可正常運(yùn)行。

(2)部署攻擊機(jī)制，再度運(yùn)行業(yè)務(wù)流程，可看到驗(yàn)證PLC命令被篡改，插入非法參數(shù)。

(3)分別部署不同的防御機(jī)制，再運(yùn)行業(yè)務(wù)流程，可看到文件檢查、訪問控制和參數(shù)校驗(yàn)均可阻斷攻擊行為對(duì)應(yīng)用的影響。

(4)假設(shè)局域網(wǎng)其他機(jī)器已被攻擊者入侵，則調(diào)整攻擊場(chǎng)景為H3將受到RPC遠(yuǎn)程攻擊行為，分別部署不同防御機(jī)制，再運(yùn)行業(yè)務(wù)流程，可看到文件檢查無效，訪問控制和參數(shù)校驗(yàn)機(jī)制可阻斷攻擊行為對(duì)應(yīng)用的影響。

5 結(jié)束語

一種通過輕量級(jí)軟件模擬攻防對(duì)抗的安全分析方法旨在低成本地模擬工控系統(tǒng)攻防過程，來研究實(shí)際系統(tǒng)中的安全問題。該方法針對(duì)信息流進(jìn)行輕量級(jí)的場(chǎng)景重構(gòu)，將應(yīng)用場(chǎng)景中的攻擊手段和防御措施在該環(huán)境中進(jìn)行模擬，通過攻防演練的結(jié)果來判斷系統(tǒng)的安全狀況。該方法通過輕量級(jí)的方式用少量計(jì)算機(jī)資源、搭建復(fù)雜環(huán)境；通過軟件定義功能修改參數(shù)，改變節(jié)點(diǎn)安全屬性，成本相對(duì)較低，且可以模擬任意應(yīng)用場(chǎng)景，具有通用性?；谠摲椒ǎ梢赃M(jìn)行多種預(yù)設(shè)條件下的安全可信體系化攻防對(duì)抗，通過對(duì)抗來評(píng)測(cè)系統(tǒng)的防御能力，尋找更佳的防御方法。