0 、引言
数控系统固有安全漏洞和联网后的开放性,使其面临的信息安全威胁持续扩大。数控系统是数控机床的“大脑”,高端数控系统核心技术基本被工业发达国家垄断,数控系统存在不可控的漏洞、后门等安全隐患。同时针对控制系统的信息安全攻击事件持续发生。数控系统一旦遭到破坏,将会导致数控机床乃至整个生产线停机,造成企业重大损失。所以研究数控机床信息安全防护理论与技术,对保障工业基础设施稳定运行具有重要意义。
美国能源部国家 SCADA 测试床计划 ( NSTB)发布了防护控制系统路线图。欧洲网络与信息安全局ENSIA) 制定的防护控制系统的指导文件也于 2011 年发布。国内王琦魁提出一种数控加工网络信息安全防护方案,部署数控加工网络边界隔离设备和数控系统终端防护设备,保障数控网络安全。王剑提出了 DNC数控网络系统安全防护架构,部署防火墙在办公局域网和 DNC 数控网之间过滤数据,然而该方案对于内部信息泄露缺乏有效的防护。于立业提出工业控制系统信息安全纵深防御解决方案,采用边界隔离和入侵检测的访问控制机制,缺乏系统化协同防护。
可信计算和自治愈被认为是解决控制系统本质安全的重要方法。Fadul将可信计算理论应用到智能电网的 SCADA 系统安全防护中。伍江江提出一种基于虚拟隔离数据可信存储体系来进行数据非授权防护,魏占祯提出了一种基于可逆向扩展的可信数据封装方案。目前可信网络理论和技术的研究主要在普通信息系统或数控系统的办公网络中,还没有被应用到完整的数控系统。张彤对应用于电力系统的基于自治愈理论的网络可生存性理论进行了研究,但未对完整系统体系结构模型进行研究。Kirsch通过入侵容忍策略研究了可生存的 SCADA 系统,但是其策略并不适用于有状态的应用服务器。
本文通过建立数控机床自动化网络信息安全综合防护方案,建立系统化信息安全协同防护技术,有机结合了现有的信息安全防护技术,在保持系统有序性情况下,达到较好的防护效果。
1 、数控机床网络系统架构和安全威胁
为了提高数控企业信息化和综合自动化水平,实现管控一体化,现代数控系统越来越多地与企业网络互联,采用计算机辅助设计制造( CAD) 、产品数据管理系统( PDM) 等提高加工效率和精度。通用协议( 如 TCP/IP 协议) 、通用操作系统等智能化构件不断用于工业数据交换和处理。数控机床与办公网络甚至 Internet 的互联互通导致数控系统面临更多的信息安全威胁。数控机床自动化网络结构和安全威胁如图1所示。
图 1 数控机床自动化网络结构和安全威胁
图 1 中,数控机床网络通过 RS232、串口等接口通过数据交换系统与 DNC 数控网络相连,进而与办公自动化系统互连。双向箭头表示了安全威胁的传递路径。从图 1 可以看出,安全威胁主要来自于外部攻击和内部攻击。外部攻击主要是攻击者通过外部 Internet 扫描目标网络系统的漏洞,找到攻击点,进行持续攻击( 如高级持续性威胁) 。内部攻击包括恶意的数据泄露、通过移动设备的病毒传播等。攻击目标包括操控控制系统,中断加工进程、影响产品质量、窃取企业数据等。
2、 数控机床自动化网络综合防护技术
提出的数控机床网络综合防护技术主要包括体系架构和核心防护技术。
2.1 安全防护体系结构
基于图 1 的结构,提出数控机床自动化网络系统协同化、系统化安全防护体系结构,如图 2 所示。
图 2 中数控系统网络安全防护体系涵盖办公网络安全防护、DNC 数控网络与数控机床设备网络安全防护3 个方面。在办公网络防护中,主要部署了防火墙、入侵检测、恶意代码检测等基本的防护措施,同时部署了可信网络管理服务器来过滤恶意节点,提高网络免疫性。针对 DNC 数控网络,在 DNC 服务器上部署可信计算平台,确保运行控制系统可信; 部署协议入侵检测服务器过滤不合规系统控制流; 在 DNC 数据传输和数据读写中部署可信数据防护机制来阻止非预期访问; 在管理控制接口部署数据访问监控模块,阻止移动设备恶意入侵。针对现场设备防护,主要在接口控制与交换层部署自治愈管理器,防止设备运行故障对生产的影响。每个阶段防护均连接取证审计服务器以备必要时审计。
图 2 数控网络安全综合防护体系结构
为了实现综合协同防护,需要融合各种防护技术,以时间为轴,提出基于事件驱动防护方案,事件生命周期防护需求和防护技术如图 3 所示。
图 3 事件生命周期安全防护技术示意图
结合图 2 和图 3,在安全事件发生前,在 DNC 数控网络中,采用实时监控、可信平台防护方法; 在办公网络中,采用可信网络、可靠预警等方法。在安全事件发生时,针对内部攻击,采用主动访问控制、异常检测方法。针对外部攻击,采用入侵防御、恶意代码防御等方法。在严重安全事件发生后,对数控机床网络启动自治愈和容错恢复机制,并在各个网络取证审计确定威胁源和威胁方法,采用升级补丁、入侵防御等方法阻止事件再次发生。可信防护技术、自治愈作为核心防护技术,融合基本数据和系统防护技术,动态构建基于事件生命周期的数控系统信息安全综合防护机制。
2.2 可信防护技术
首先,在 DNC 系统服务器上部署可信计算平台。DNC 系统服务器是连接办公网和数控机床的关键节点,下达来自办公网的指令到数控机床网络,上传数控机床数据和状态信息到办公网络。其运行平台可信性至关重要。可信计算平台以可信计算模块( TPM,Trus-ted Platform Module) 为核心,以密码和验证技术作为信任链,确保控制计算平台可信安全。可信计算平台主要用于事前监控,认证合法系统,确保平台可控。拒绝安全事件发生后对设备层的非预期控制。
其次,在 DNC 数控网络上部署可信数据防护机制,对数控系统核心数据进行保护,如图 4 所示。
图 4 可信数据防护机制
在控制网总线上动态构建类似于 VPN 的通信隔离环境来保证设备控制数据不被泄漏。结合可信计算和虚拟化技术,在 DNC 数控网络上构建虚拟机系统,建立敏感数据安全保护域(SPDSecureProtection Do-main) ,通过将敏感数据绑定在安全域内,根据数据的保护预期对 DNC 数据访问请求进行安全验证和策略控制,阻止不可信进程对数据的读写操作和传递到不可信区域,从而实现数据防泄漏功能。对不可信的进程传递给恶意代码检测服务器,查验恶意入侵行为。可信虚拟数据防护机制主要用于事前监控、安全隔离,事中入侵检测,事后审计查验。第三,在办公网络上部署可信网络服务器。动态运行中,可信节点具有一定的智能性,其可信与行为动作相关,信任理论就是解决行为可信的有效方法,根据节点历史表现确定可信值,大于可信阈值的节点才能参与服务,从而隔离恶意节点。可信网络主要用于事中检测,结合入侵防御、恶意代码防御,为审计提供证据。基于上述三个方面,建立数控系统可信防护模型。配合传统数据防护和系统防护技术,实现数控系统数据安全和系统安全。
2.3 数据和系统安全防护
基础数据安全防护技术主要包括传统的数据隔离技术( 如访问控制、防火墙等) ,数据防泄露技术、数据安全存储技术。数据隔离设备部署在数控系统外部接口网络、接入网总线、控制网总线之间,作为基础防护手段,用于事前监控、事中检测。数据安全防护主要配合可信数据防护机制,对运行的数据,设置移动设备数据控制功能,存储在移动设备上。一旦接入系统或遭遇不正常访问,主动接通数据访问监控服务器,启动访问控制机制。DNC 数据服务器中的敏感数据配合信息保护域管理器进行安全存储。系统运行基础防护技术主要包括协议检测、入侵检测、恶意代码检测。系统安全防护主要配合可信防护和自治愈机制。在办公网和 DNC 数控网络部署入侵检测/防御系统。对系统运行状态实时监控,对专用工业通信协议进行分析,发掘入侵线索,用于事后审计。可信防护予以拒绝的进程,由入侵检测系统予以判断,做出防御响应。同时收集恶意攻击证据,用于事后审计。在攻击威胁影响到数控机床的可用性时,启动自治愈容错恢复机制。
2.4 自治愈容错
自治愈机制的原理是在攻击发生的情况下,系统通过接受风险、反馈调整,使系统处于健康工作范围内,从而实现对攻击的免疫性。在数控机床网络接口与交换系统上建立自治愈管理器。通过监测系统运行状态和行为来判断系统的改变是否在可接受范围,进而执行相应的策略。检测数控系统异常运行行为,监测采集到的值抽象化,与数控系统功能属性( 如可用性) 关联,根据数控系统各个部件的约束评估值,推理确定数控系统是否运行在可接受范围内,超出某个部件/网络的阈值时,进行系统异常预警。同时,启动自治愈响应机制,根据当前系统状态需要达到的目标生成防御恢复策略和推理演化机制,通过恢复机制对违反系统约束的情况进行恢复,并反馈作用到运行系统上。容错恢复主要是保障系统发生灾难时仍能继续提供服务的能力,或是能够快速恢复被攻击系统到正常状况。冗余技术是最基本的容错恢复技术,在数控机床网络适量部署冗余机床,在数控机床网络接口和交换网上部署软件冗余模块。同时启动自检技术,找到故障位置,屏蔽或隔离故障部件。系统改变和故障定位的过程信息以日志的形式记录,存储在审计服务器中,以备必要时审计。
2. 5 综合防护机制
将前述分步建立的模型依次融合到数控系统事件生命周期中。主要将可信防护技术融入到事前实时监控中,实现可信访问控制; 将自治愈机制融合到事后容错恢复中; 将数据安全防护技术与可信机制结合,保护事件周期中的数据安全; 将系统安全技术融合到事中检测,配合可信机制,进行事后取证审计。
3、 数控系统安全综合防护方案分析
3. 1 防护方案功能分析
所提方案可针对如下几种攻击的应对。恶意代码攻击: 利用数控网络系统的硬件、软件、协议漏洞进行恶意代码攻击。在综合防护体系中,部署在外网和内网恶意代码检测机制可检测恶意攻击,可信访问监控可发现通过移动存储设备的入侵,可信虚拟防护域基于完整性的访问控制需求可阻断恶意代码攻击,并预警或启动自治愈修复。未授权访问: 首先由安全隔离设备进行初步隔离,可信数据防护机制进行拒绝访问操作,并提交审计服务器。信息泄露: 主要是内部网络信息泄露,可依靠可信数据隔离环境、敏感数据安全保护域、对数据读写的认证来防护。根据操作日志,进行审计。拒绝服务攻击: 主要针对 DNC 数控网络中的系统服务器、DNC 传输服务器、接口交换机进行攻击,使之不能正常工作或缓冲区溢出。综合防护方案中主要通过协议检测监控访问流量,通过可信计算平台阻止非可信访问请求。一旦数控机床出现故障,启动自治愈机制中的冗余机制,保证可用性,同时利用自检机制恢复故障。防护方案协同性: 当面临各种攻击时,综合利用可信防护、数据和系统基础防护、自治愈防护,协同防护数控系统。
(1) 防护方案的时间协同。可信防护用于事前监控,实现可信访问控制; 自治愈机制用于事后容错恢复; 基础数据安全防护配合可信数据防护,用于事中主动数据访问控制; 基础系统安全防护配合可信防护,对可信防护拒绝进程进行入侵检测,收集攻击证据,用于事后审计。在攻击威胁到数控系统可用性时,启动自治愈容错恢复机制。
(2) 防护方案的空间协同。所提方案充分利用数控网络架构不同资源属性来部署防护技术,数控机床网络实时性要求高,采用可信虚拟域隔离机制防止非授权访问,并把针对数控机床的入侵防护机制部署在数控网络中。一旦突破所有防护措施,启动自治愈机制,隔离修复受损设备。在DNC数控网络中,部署可信平台、入侵防御监控平台,确保核心控制系统安全性。在办公网中部署复杂可信网络、入侵检测、恶意代码检测等措施,确保外围网络可靠性。
3. 2 防护方案性能分析
所提防护方案相对典型的纵深防御方案,主要增加了可信防护模块(T) 、自治愈模块( S) 、与 IPS、恶意代码检测模块的接口机制( I) ,其时间复杂度分别为f(t(T)) ,f(t(S)) ,f(t(I)) ,f是时间函数,事前监控阶段主要是可信防护模块的持续监控,所提防护方案( P) 的时间复杂度为 f(t(P) ) = f(t(T)) = O(n) ,n 为可信模块部署数量。事中检测阶段包括可信防护检测、数据和系统防护检测、自治愈恢复。可信网络计算的复杂度为 O( n12) ,n1为传输节点数,可信数据防护机制的事件复杂度为 O( n) + O( 1) ,O( 1) 为偶尔的外部移动设备访问监控时间,自治愈恢复为 O(1) ,数据和系统防护的复杂度为 O( n) ,因此事中检测阶段 f( t( P) ) = f( t( T) ) + f( t( S) ) + f( t( I) ) = O(n12) +2O(n) + 2O(1) 。后审计取证阶段的时间复杂度为O(1) 。空间复杂度主要是增加了可信管理服务器、自治愈管理服务器以及相应数据存储服务器,空间复杂度为 3O( n) 。
3. 3 对比分析
相对于王琦魁等所提出数控加工网络防护方案( 简称王方案) ,本文所提方案增加了可信防护、自治愈、以及系统协同防护模块。王方案主要采用加工网络边界隔离设备和终端防护设备,配合审计和防护协议保护数控系统。在抗攻击方面,王方案针对外部攻击具有较好效果,但对恶意内部泄露攻击防护较弱; 在效率方面,王方案通信内容深度检查、细粒度访问控制、主机入侵防御都需要模式匹配和计算,时间复杂度介于 O( n) 和O( n2) 之间,n 为计算实体数量。在防护效果方面,现场设备的深度检查会降低可用性,对完整性破坏的防护措施没有提及,对安全攻击处置较为滞后。
相对于 Fadul 提出智能电网可信防护方案,本文所提方案更为全面。Fadul 方案利用基于信誉的信任管理系统来缓和针对未来智能电网设施脆弱性的攻击,可信系统部署在智能电网通信支持防护系统中。在抗攻击方面,Fadul 方案由于信誉的反馈延时,抗突发攻击能力较弱。在效率方面,信誉计算和信任管理需要多域的网络社区参与迭代计算,时间复杂度接近O( n2) ,空间复杂度为 mn,m 为实体历史向量长度,n为实体数量。在防护效果方面,基于信誉的恶意攻击免疫机制和通信带宽合理分配机制,使得具有较好的安全性,适宜的可用性,但完整性防护欠缺。
以上分析结果列于表 1 中,防护效果用三个级别的属性值表示: “优”、“中”、“差”,“差”表示相应的属性未提及或效果较差。有一定效果,略显不足为“中”。抗攻击效果分为 2 个状态: 可信和不可信。效率用时间复杂度表示。表 1 所示结果为以本文方法作为当前标准的相对性能,可以推测出本文所提方案的优越性。
表 1 防护方案对比
3.4 实例分析
以高级持续性威胁 ( Advanced Persistent Threat,APT) 攻击为例,分析所提综合防护方案的有效性。
APT 攻击灵活组合多种新型攻击方法,对目标长时间渗透,在特定时刻实施攻击。典型的针对数控系统的 APT 攻击过程分为 5 个阶段。①收集情报。利用社会工程,搜集并锁定特定的数控机床。②突破防线。利用服务器漏洞、网站挂马、钓鱼软件、移动客户端漏洞,攻入办公网主机,获取受害主机的权限。③建立据点,横向渗透。建立控制服务器到受害主机的信道并获取系统权限,横向探测办公网系统和 DNC 网络的结构和数据访问规则,入侵更多主机,并规避被发现。④攻击 DNC 系统服务器。模拟正常节点,连接DNC 系统服务器和 DNC 传输服务器,利用服务器漏洞,获取系统代码执行权限。⑤完成攻击。修改或破化控制数据,造成数控机床设备损坏或停机,并伴随踪迹销毁等撤退策略。
所提综合防护方案的防护主要分为 4 个阶段:
第一阶段,攻击办公网络主机。在办公网部署的防火墙、入侵检测、恶意代码检测机制可阻断部分入侵行为; 部署的可信网络可根据节点长期历史表现,隔离不可信主机。并提交取证审计模块。
第二阶段,横向渗透攻击。办公网内的渗透通过上述入侵检测和可信网络隔离。针对 DNC 数控网络的渗透采用协议检测、数据访问监控、可信数据防护机制来监控异常数据流,阻断恶意节点对数控网内数据信息读写和对控制信息的截获,并预警。
第三阶段,攻击 DNC 系统服务器。在服务器上部署的可信计算平台通过完整性认证,拒绝恶意节点对操作系统的非预期控制,并确定数据篡改,实时预警;在 DNC 传输服务器上关联的可信数据防护机制阻断恶意指令的传输,并提交恶意代码检测服务器进一步检测防御,进行取证审计。
第四阶段,恶意行为绕过可信平台,对设备进行攻击。启动虚拟隔离机制,隔离受害数控机床,控制攻击范围; 启动自治愈机制,通过无故障冗余机床持续提供服务; 同时启动自检技术,屏蔽或隔离故障部件,并及时修复和审计。从而最大化消除 APT 攻击的影响。按照图 2 的基本结构搭建模拟环境,部署防护方案,模拟 APT 攻击方式,配合各种渗透技术,入侵到DNC 数控网络 20 次,以读取和破坏 DNC 控制文件为攻击目标。实验结果显示攻击都被有效阻断,第一阶段攻击阻断概率( 阻断的攻击次数占比总攻击次数)为 40% ,第二阶段检测概率为 30% ,最后 30% 都在第三阶段被阻断。综上所述,所提出的综合防护方案对 APT 攻击具有较好的防护效果。
4 、结论
本文提出了一种数控机床自动化网络系统安全综合防护方案,有效解决了数控机床信息安全防护难题,相对于以往的方案具有更好的协同性和有效性。该方案可形成完整的过程防护,并自成体系,对 APT 有较好的防护效果。由于可信防护技术和自治愈的本质安全特点,该方案可部署在异构混杂的数控系统中。