PLC工控系统可信构建技术的研究.docVIP

PLC工控系统可信构建技术的研究 　　摘要：有效增强工业控制系统安全是信息安全领域研究热点和难点之一，将可信计算技术引入到工控系统是有效解决安全问题的新思路。以PLC工控系统为研究对象，阐述了PLC系统的体系架构和安全威胁，分析了将可信计算与PLC系统结合面临的问题和挑战。从上位机和下位机提出了基于TPM的可信PLC系统构建方案，该方案运用可信计算技术对上位机进行了安全增强，确保上位机运行环境的安全可控；运用身份认证机制，实现对上位机组态软件进行权限管理，防止攻击者恶意篡改和替换；运用数字签名技术，实现对逻辑组态和监控组态的可信软件分发管理。 　　?P键词关键词：工业控制系统；可编程逻辑控制器；可信计算 　　DOIDOI：10.11907/rjdk.172707 　　中图分类号：TP319 　　文献标识码：A文章编号文章编号2017）011016804 　　0引言 　　随着工业4.0的深入推进，越来越多的互联网技术应用到工业控制系统，随之产生的工控系统安全问题变得越来越重要。 　　工业控制系统（ICS， Industrial Control System）是由计算机软硬件与工业过程控制部件组成的自动控制系统，主要通过工业过程控制部件对实时数据进行采集、监测，在计算机的调配下，实现自动化和业务流程的管理与监控，包括监控和数据采集系统（SCADA）、可编程控制器（PLC）、分布式控制系统（DCS）等 [1]。现阶段工业控制系统被控对象包括生产过程、机械装置、交通工具、实验装置、仪器仪表，以及家庭生活设施、家用电器等。国家核设施、钢铁、有色金属、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等都是工业控制系统信息安全管理的重点领域[2]。 　　与互联网信息安全不同，工业控制系统更为注重物理世界的安全与设备安全稳定运行。早期孤岛式的工控系统在通讯协议、操作系统、安管策略与管理流程、应用软件等方面埋下的安全隐患，使工控系统联网之后信息安全问题愈加突出，体现在普遍缺乏网络准入和控制机制，缺乏身份鉴别和认证鉴权机制，导致只要从协议层建立连接，就可对下位机进行修改；缺乏最高权限限制，高权限账号往往掌握着数据库和业务系统命脉，任何一个操作都可能导致数据的修改和泄露[3]。 　　工业控制网络安全事件数量逐年上升。数据表明，自2010年起，重大工控网络安全事件呈现爆炸式增长，由2010年的52起增加到341起，上报的漏洞数为前10年的总和。自2011年之后，漏洞数量持续保持快速增长势头，2013年公开的漏洞数高达177个，2014年上半年又新增了64个，其中高危漏洞占比超过一半，达到了51%。这些漏洞可直接造成设备停机、进入故障模式、自动重启、程序崩溃、破坏数据区等严重危害，此类危害对高实时性的工控系统无疑是致命的。震网、duqu、火焰、havex等病毒的出现说明，工控系统已经成为黑客的重点目标[4]。 　　工控安全问题受到越来越多的关注。现有解决方案中，工业控制系统的安全防护技术仍然采取传统信息安全防护手段，主要分为两个层面：工控计算节点安全防护和工控边界安全防护[5]。对于节点防护集中于防病毒软件和工控系统漏洞扫描工具；对于边界防护集中于对工控协议格式和工控协议内容的监控与过滤。由于工业控制系统是一个由现场设备、过程控制设备、网络设备和工控机组成的复杂系统，采用传统手段只会让病毒库、漏洞扫描库越来越大、入侵检测系统越来越复杂、防火墙越砌越高，但无法应对不断出现的新病毒、新漏洞和新攻击。 　　信息安全领域研究中，密码技术是安全信息系统的基石。只有在信息系统硬件和软件的底层采用基于密码的安全防护措施，才能有效确保信息系统安全。解决工业控制系统安全问题，可信计算技术行之有效，其主要思路是建立可信根和信任链来保证系统的完整性和安全性，由可信根提供与信息系统独立并且隔离的可信度量、可信存储以及可信报告等服务，确保整个系统运行环境和网络接入环境完整可信[6]。 　　1PLC工控系统安全威胁分析 　　1.1体系架构组成 　　典型的PLC工控系统分为站控层、现场控制层和过程层，如图1所示。其中站控层部署在上位机，现场控制层部署PLC下位机，过程层主要包括现场设备如传感器、开关阀门等。上位机与PLC下位机之间通过工业以太网进行互联通信，PLC下位机与现场设备通过现场总线通信[7]。 　　图1PLC工控系统架构组成 　　站控层包括工程师站和操作员站，用于生成PLC下位机执行的控制和监视代码，通过在普通计算机上部署逻辑或监控组态软件，并安装到下位机执行。上位机可将下位机收集的数据通过图形、报表等形式反馈给用户，直接发送操作指令到下位机，修改下位机的运行状态