工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)（微課版）課件 第5、6章 部件制造安全技術(shù)、工業(yè)控制系統(tǒng)防火墻技術(shù)

工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)第5章

部件制造安全技術(shù)5.1可信計算可信計算，即TrustedComputing，簡稱TC，是由可信計算組（TrustComputingGroup,TCG）推動和開發(fā)的技術(shù)。其本質(zhì)是在計算和通信系統(tǒng)中使用基于硬件安全模塊支持下的可信計算平臺，進(jìn)而提升整個系統(tǒng)的安全性。從技術(shù)角度來講，“可信”意味著使用者可以充分相信引入了可信計算的計算機行為會更全面地遵循設(shè)計要求，執(zhí)行設(shè)計者和軟件編寫者所禁止的行為的概率很低。5.1.1可信計算概述可信計算是為了解決計算機和網(wǎng)絡(luò)結(jié)構(gòu)上的不安全，從根本上提高安全性的技術(shù)方法，可信計算是從邏輯正確驗證、計算體系結(jié)構(gòu)和計算模式等方面的技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者所利用的問題，形成攻防矛盾的統(tǒng)一體，確保完成計算任務(wù)的邏輯組合不被篡改和破壞，實現(xiàn)正確計算。關(guān)于可信，目前尚未有一個統(tǒng)一的定義，不同的組織給出了自己的定義，主要有以下幾種說法。1999年，國際標(biāo)準(zhǔn)化組織與國際電子技術(shù)委員會在ISO/IEC15408標(biāo)準(zhǔn)中定義可信為：參與計算的組件、操作或過程在任意的條件下是可預(yù)測的，并能夠抵御病毒和一定程度的物理干擾。2002年，國際可信計算工作組TCG用實體行為的預(yù)期性來定義可信：如果一個實體的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)前進(jìn)，那么這個實體是可信的。這一定義的優(yōu)點是抓住了實體的行為特征，符合哲學(xué)上實踐是檢驗真理的唯一標(biāo)準(zhǔn)的基本原則。電氣電子工程師學(xué)會IEEE可信計算技術(shù)委員會認(rèn)為：可信是指計算機系統(tǒng)所提供的服務(wù)是可信賴的，而且這種可信賴是可以論證的。我國沈昌祥院士認(rèn)為：可信計算系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計算機系統(tǒng)。系統(tǒng)的可靠性和安全性是現(xiàn)階段可信計算最重要的兩個屬性。5.1.2可信計算平臺可信計算平臺通用架構(gòu)可分為3個層次，包括基礎(chǔ)硬件層、可信服務(wù)層和安全應(yīng)用層，如圖5-1所示。5.1.3可信平臺模塊TPMTPM是具有密鑰存儲、管理和簽名認(rèn)證的小型系統(tǒng)芯片，作為可信平臺的核心部件，通過TPM芯片的可信度量機制實現(xiàn)從硬件到操作系統(tǒng)到應(yīng)用的過渡，生成平臺配置信息并保存到平臺配置寄存器中，通過平臺配置寄存器的擴(kuò)展機制實現(xiàn)平臺配置信息的動態(tài)存儲，同時通過TPM對平臺配置信息進(jìn)行承諾計算以及簽名，并提供密鑰存儲、可信報告和可信認(rèn)證等諸多功能特性。5.1.4可信計算涉及的關(guān)鍵技術(shù)可信計算技術(shù)包括多個方面，其研究對象也覆蓋了涉及計算機技術(shù)中的絕大多數(shù)領(lǐng)域。計算機軟硬件、網(wǎng)絡(luò)通信、虛擬網(wǎng)絡(luò)中的用戶行為等都在可信計算技術(shù)的研究層次中。其中涉及到的主要可信計算技術(shù)包括以下幾個方面：（1）信任鏈傳遞。（2）可信BIOS。（3）可信安全芯片。（4）可信計算軟件棧。為了加強系統(tǒng)的可信性以及可靠性，設(shè)計了可信計算軟件棧，其是一種可信計算平臺的支持軟件。通過可信計算軟件棧，軟件應(yīng)用能夠與安全芯片進(jìn)行對接，從而利用物理信任根來保證軟件應(yīng)用的可信，加強系統(tǒng)和軟件的可靠性。其通過建立多個層級的可信協(xié)議棧實現(xiàn)信任機制，并且可以為一些基本數(shù)據(jù)提供必要的認(rèn)證和保護(hù)。（5）可信網(wǎng)絡(luò)連接?？尚啪W(wǎng)絡(luò)連接的意義在于實現(xiàn)在網(wǎng)絡(luò)通信中計算機聯(lián)網(wǎng)的可信接入。在計算機接入網(wǎng)絡(luò)時，要確保接入網(wǎng)絡(luò)的流程符合網(wǎng)絡(luò)的預(yù)期接入策略，例如符合白名單的ip、主機安裝某些特定軟件等，對不符合接入策略的主機將被限制聯(lián)網(wǎng)，只有滿足接入流程中所有網(wǎng)絡(luò)的接入條件后才可以接入網(wǎng)絡(luò)。5.2加解密技術(shù)密碼技術(shù)是網(wǎng)絡(luò)信息保密與安全的核心和關(guān)鍵。它提供了許多有效的核心技術(shù)來確保信息的安全問題，在保證信息的機密性、認(rèn)證性方面發(fā)揮著重要的作用。加解密技術(shù)的主要任務(wù)是解決信息的保密性和可認(rèn)證性問題，也就是保證在生成、傳遞、處理、保存信息的過程中不被非法授權(quán)者更改或者偽造等。

5.2.1數(shù)據(jù)加解密算法概述密碼學(xué)的基本思想是兩種不同形式的消息之間的變換。密碼學(xué)中用到的各種變換稱為密碼算法。如果一個變換能夠?qū)⒁粋€有意義的消息（明文）變換成表面上無意義的消息（密文），從而使得非授權(quán)者無法讀懂明文的內(nèi)容，這個變換稱之為加密算法，這個轉(zhuǎn)換的過程稱為加密。同樣，如果合法授權(quán)用戶用一個變換能夠?qū)⒁粋€非授權(quán)用戶難以讀懂的信息變換成有意義的信息，那么這個變換被稱之為解密算法。合法授權(quán)用戶把已經(jīng)加密的信息（密文）恢復(fù)成明文的過程稱為解密。密碼學(xué)有兩個重要分支，一個是密碼編碼學(xué)（Crotography），另外一個是密碼分析學(xué)（Cryptanalysis）。密碼編碼學(xué)研究如何保密，是對信息進(jìn)行編碼實現(xiàn)隱蔽信息的一門學(xué)科。人們通過信息的變換，將敏感的消息變成在保存和傳輸過程中人們無法直接理解的內(nèi)容，以達(dá)到保密信息的目的。

密碼分析學(xué)研究如何破譯密碼，是運用各種分析手段在未知密鑰的情況下從密文中找出有用的信息破譯密文或者偽造消息。

根據(jù)功能的不同，密碼系統(tǒng)可以分為保密系統(tǒng)（PrivacySystem）和認(rèn)證系統(tǒng)（AuthenticationSystem）兩種。保密系統(tǒng)用來確保消息的保密性，認(rèn)證系統(tǒng)用來確保消息的認(rèn)證性。5.2.2數(shù)據(jù)加解密技術(shù)的常用術(shù)語數(shù)據(jù)加密技術(shù)是當(dāng)今信息安全的主流技術(shù)同時也是信息安全的核心技術(shù)。它主要用來保護(hù)關(guān)鍵信息的安全傳輸與存儲。信息發(fā)送者將關(guān)鍵數(shù)據(jù)使用加密密鑰進(jìn)行加密，將所得到的密文傳送給接收方，信息接收者則使用解密密鑰將傳輸?shù)拿芪臄?shù)據(jù)解密后恢復(fù)出數(shù)據(jù)原文。下面是數(shù)據(jù)加解密技術(shù)中常用的基本術(shù)語。消息（明文）：表示未被加密的數(shù)據(jù)信息，它是加密輸入的原始信息，一般用m或p表示。所有明文的集合稱為明文空間，一般用M或P來表示。密文：是指明文經(jīng)過加密變換后的數(shù)據(jù)，即經(jīng)過加密運算處理后的消息數(shù)據(jù)，通常用c表示。所有密文的集合稱為密文空間，一般用C來表示。密鑰：是指控制密碼變換操作的關(guān)鍵數(shù)據(jù)或參數(shù)，一般用k表示，它由加密密鑰和解密密鑰kd組成。所有密鑰的集合稱為密鑰空間，一般用K來表示。加密算法：是將明文變換成密文的函數(shù)，相應(yīng)的變換過程稱為加密過程，這是一個編碼的過程，通常用E表示，即c=Ek(m)。信息加密的基本原理如圖5-3所示。解密算法：是將密文恢復(fù)為明文的函數(shù)，相應(yīng)的變換過程稱為解密過程，即解碼的過程，通常用D表示，即m=Dk(c)，它與加密過程是互逆的關(guān)系。信息解密的基本原理如圖5-4所示。5.2.3對稱與非對稱加密算法的區(qū)別不論是在日常生活、金融活動、軍事應(yīng)用或者工業(yè)控制系統(tǒng)應(yīng)用當(dāng)中，針對加解密技術(shù)的算法分為兩個大類，分別是對稱密碼算法和非對稱密碼算法，非對稱密碼很多時候也叫做公開密鑰算法。1.對稱加密算法

非對稱加密算法5.2.4加解密算法在工業(yè)控制系統(tǒng)中的應(yīng)用對于工業(yè)控制系統(tǒng)，可以從技術(shù)層面構(gòu)建工控領(lǐng)域行業(yè)密碼保障體系，實現(xiàn)工控行業(yè)信息系統(tǒng)的安全防護(hù)，綜合保障工控行業(yè)業(yè)務(wù)應(yīng)用的安全。大力發(fā)展密碼基礎(chǔ)設(shè)備支撐，其中包括服務(wù)器密碼機、PLC密碼模塊、工業(yè)主機密碼卡、安全網(wǎng)關(guān)，對工控行業(yè)密碼應(yīng)用提供基礎(chǔ)的設(shè)備支撐環(huán)境。密碼基礎(chǔ)服務(wù)支撐是指在密碼基礎(chǔ)設(shè)備支撐的基礎(chǔ)上，提供統(tǒng)一認(rèn)證、授權(quán)管理、單點登錄、訪問控制等信任服務(wù)，包括身份認(rèn)證系統(tǒng)、數(shù)據(jù)加解密服務(wù)系統(tǒng)、數(shù)據(jù)可信服務(wù)系統(tǒng)、密鑰管理系統(tǒng)、PLC密碼模塊中間件、工業(yè)主機密碼卡中間件、安全SCADA密碼應(yīng)用服務(wù)系統(tǒng)。監(jiān)控預(yù)警態(tài)勢感知平臺能夠?qū)崟r采集分析加密裝置、解密裝置、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等的安全與設(shè)備信息。通過大數(shù)據(jù)建模分析與建設(shè)核心知識庫，進(jìn)行風(fēng)險評估、態(tài)勢感知，預(yù)防相關(guān)設(shè)備潛在風(fēng)險的發(fā)生。工控業(yè)務(wù)系統(tǒng)密碼應(yīng)用主要包括用戶或設(shè)備訪問業(yè)務(wù)應(yīng)用時的身份認(rèn)證、授權(quán)管理、數(shù)據(jù)存儲安全、數(shù)據(jù)共享安全等；安全SCADA系統(tǒng)可實現(xiàn)基于國產(chǎn)密碼的安全通信、靜態(tài)可信鏈、動態(tài)度量等功能。工控區(qū)域邊界密碼應(yīng)用用于實現(xiàn)邊界的隔離、身份識別，其密碼應(yīng)用主要表現(xiàn)在訪問者身份可信、訪問權(quán)限的合法性、以及保障資源節(jié)點可信等方面。工控終端設(shè)備密碼應(yīng)用主要是指控制設(shè)備、管理設(shè)備以及各類無線采集設(shè)備等，在遠(yuǎn)程傳輸過程中，保障數(shù)據(jù)在傳輸過程中的機密性、完整性?；趦?nèi)嵌的各類密碼模塊及密碼中間件，能夠為各類工控終端設(shè)備提供安全的密碼應(yīng)用基礎(chǔ)和環(huán)境。為了進(jìn)一步提高安全性，加速密碼應(yīng)用國產(chǎn)化，實現(xiàn)國產(chǎn)密碼在終端設(shè)備中的應(yīng)用。5.3芯片與硬件安全作為現(xiàn)代信息系統(tǒng)硬件設(shè)備的“靈魂”部件，芯片在從個人PC到大型智能工業(yè)控制系統(tǒng)設(shè)備的運轉(zhuǎn)過程中，發(fā)揮了關(guān)鍵性的作用。芯片安全是網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈上極為重要的一環(huán)，芯片技術(shù)的自主可控，成為整個硬件自主可控的關(guān)鍵所在。5.3.1芯片安全問題的產(chǎn)生隨著集成電路的發(fā)展，集成電路的規(guī)模已經(jīng)步入超大規(guī)模，工藝尺寸也越來越低，設(shè)計與制造分工越來越細(xì)化，并且

IC的制造成本也越來越高。在高利潤的誘惑下，越來越多第三方廠商也參與到IC的設(shè)計與制造中，因此導(dǎo)致了芯片在最終制作完成前的每個階段都面臨著風(fēng)險。硬件安全問題的主要源頭為隱藏于集成電路中的惡意模塊，稱為硬件木馬（hardwareTrojan，HT）。在集成電路特別是超大規(guī)模集成電路的設(shè)計中，惡意供應(yīng)商只需要在IC的設(shè)計端稍微進(jìn)行改動，就可以將硬件木馬很方便地嵌入到IC產(chǎn)品中。從寄存器傳輸級（RTL）代碼合成到門級網(wǎng)表設(shè)計，再到芯片集成封裝，每個鏈路都可以嵌入硬件木馬。在設(shè)計階段，IP核供應(yīng)商和設(shè)計師都需要使用EDA供應(yīng)商提供的EDA軟件，但EDA軟件的可靠性無法保證。并且設(shè)計者也無法保證使用的第三方IP核和布局文件的可靠性。另外，當(dāng)設(shè)計布局投入生產(chǎn)時，由于不可信員工的參與和對第三方供應(yīng)商的需求，致使IC的安全問題面臨嚴(yán)峻的考驗。因此，保證設(shè)計與制造周期的每一步能夠正確執(zhí)行，減少甚至避免由硬件安全問題所帶來的不必要的開銷顯得尤為重要，這其中包括時間和額外成本開銷，就需要高度關(guān)注IC的安全性。硬件木馬入侵主要包括五個階段。（1）第一階段，不受信任的鑄造廠參與階段：鑄造廠的惡意攻擊者通過在光刻掩模中將硬件木馬模塊植入設(shè)計中。硬件木馬模塊修改原始布局的晶體管、柵極和互連形式。（2）第二階段，不受信任的EDA工具、員工或第三方設(shè)計公司：由于IC的設(shè)計制造過程極其復(fù)雜，需要越來越多的專業(yè)IC設(shè)計師和工具參與其中。此時，硬件木馬就會被不受信任的第三方商業(yè)EDA工具或內(nèi)部團(tuán)隊中的不受信任的設(shè)計師偷偷插入芯片，這種硬件木馬威脅也稱為內(nèi)部威脅。此外，客戶還可以將IC的設(shè)計規(guī)范外包給海外第三方設(shè)計公司，這些不受信任的設(shè)計公司可能會在原始設(shè)計中添加額外的模塊或功能以此來插入硬件木馬。（3）第三階段，不受信任的第三方IP核供應(yīng)商：SoC開發(fā)者在完成他們設(shè)計的過程中，可以購買并使用第三方IP核來協(xié)助完成。此時威脅更加明顯，不受信任的第三方IP核供應(yīng)商向客戶提供的這些IP核可能包含惡意邏輯或者后門。（4）第四階段，片上總線中不受信任的路由器或鏈路：攻擊者可能會使用已經(jīng)受到硬件木馬感染的惡意路由節(jié)點或流量鏈路來破壞片上總線的完整性。這樣的惡意總線結(jié)構(gòu)將被集成到SoC當(dāng)中。（5）第五階段，不受信任的SoC開發(fā)者：不受信任的SoC開發(fā)者可能會開發(fā)出SoC級受硬件木馬影響的SoC設(shè)計，或集成來自不受信任的第三方IP供應(yīng)商的軟硬IP核，以此來影響整個SoC的功能。5.3.2硬件木馬基本原理1.硬件木馬特征

硬件木馬是指攻擊者通過一定手段在原始電路中植入的特殊功能模塊。由于大多數(shù)硬件木馬模塊占有較小的集成電路的面積且需要在特定的情形下才會觸發(fā)，其余時間不會對電路的功能造成任何的影響，所以硬件木馬能夠在電路中隱藏而不被發(fā)現(xiàn)。隨著半導(dǎo)體工藝精細(xì)化程度的提高，電路的集成度也隨之變高了，硬件木馬的偵測也變得更為困難。

攻擊者通過硬件木馬會對電路造成多種危害，主要有泄露電路傳遞的信息、改變電路正常功能、改變電路設(shè)計參數(shù)以及拒絕服務(wù)等。泄露電路傳遞信息會將用戶的私密消息透漏給攻擊者，這在軍事航空等領(lǐng)域會造成巨大威脅；改變電路正常功能即破壞電路原本的設(shè)計功能，導(dǎo)致電路不能正常運行或者將電路中的部分信息進(jìn)行篡改致使接收方無法收到正確的信息；改變設(shè)計參數(shù)，在功耗、速度、溫度使用壽命上進(jìn)行破壞，降低電路工作的性能，甚至?xí)?dǎo)致錯誤的輸出結(jié)果；拒絕服務(wù)目會直接導(dǎo)致電路無法工作。硬件木馬功能的多樣性，也增加了硬件木馬的檢測難度。

2.硬件木馬結(jié)構(gòu)

硬件木馬電路一般是由觸發(fā)電路以及有效載荷電路組成，圖5-8是硬件木馬電路的基本結(jié)構(gòu)。攻擊者一般通過監(jiān)聽輸入、監(jiān)測原始電路狀態(tài)來實現(xiàn)其需要的功能。觸發(fā)邏輯一般是通過外部輸入的結(jié)合或是芯片內(nèi)部邏輯的產(chǎn)生來實現(xiàn)，并且用于控制有效載荷是否開啟。3.硬件木馬分類

考慮到硬件木馬對電路結(jié)構(gòu)以及功能造成的多種影響，如圖5-9所示為硬件木馬基本分類。盡管單個木馬電路可能包含多種分類特征，但該分類方法依舊可以體現(xiàn)出木馬的基本特性。

5.3.3硬件木馬檢測技術(shù)按照硬件木馬檢測方法占比大小排序，可用于硬件木馬檢測的方法包括側(cè)信道分析法、網(wǎng)表級硬件木馬檢測方法、逆向工程分析法等。在大數(shù)據(jù)廣泛應(yīng)用的時代下，對基于機器學(xué)習(xí)的硬件木馬檢測技術(shù)的研究也成為熱點之一。

1.基于側(cè)信道的硬件木馬檢測方法

側(cè)信道信息又被稱之為旁路信號，是由于電路運轉(zhuǎn)而出現(xiàn)的外部物理特性。常見的旁路信號有電磁信息、功耗信息以及耗時信息等。在同一實驗環(huán)境下，原始電路在運行時會生成一組固有的物理特征信息。同樣，硬件木馬在電路中的運轉(zhuǎn)時也會產(chǎn)生相應(yīng)的物理信息。由硬件木馬模塊所產(chǎn)生的額外的物理信息，會造成植入硬件木馬的電路與原始電路的側(cè)信道信息的不同。通過這種差異比較，就可以區(qū)分出電路中是否含有硬件木馬。

此種硬件木馬檢測方式一般都是應(yīng)用在前端設(shè)計完成之后，最基本的側(cè)信道信息檢測技術(shù)流程如圖5-10所示。該檢測方法主要是對原始電路在同一實驗環(huán)境下輸入相同激勵，并選擇合適的側(cè)信道信息進(jìn)行分析。根據(jù)硬件木馬反映出的側(cè)信道信息設(shè)置正確的判決閾值，最終判斷出待測電路中是否含有硬件木馬。

2.基于網(wǎng)表的硬件木馬檢測技術(shù)

在集成電路的整個設(shè)計過程中，主要由邏輯設(shè)計階段以及后端布局設(shè)計階段組成，而邏輯設(shè)計階段包括規(guī)格制定、RTL設(shè)計、RTL仿真、綜合、靜態(tài)分析以及形式驗證。綜合過程即實現(xiàn)RTL設(shè)計與門級網(wǎng)表之間的轉(zhuǎn)換。網(wǎng)表文件中共包含8個設(shè)計對象，分別是元件庫、設(shè)計、單元、例化、端口、引腳、節(jié)點和時鐘。攻擊方通過插入冗余電路來實現(xiàn)硬件木馬的相應(yīng)功能。當(dāng)門級網(wǎng)表被植入硬件木馬，門級網(wǎng)表的內(nèi)部結(jié)構(gòu)與單元會發(fā)生改變。具體表現(xiàn)為硬件木馬通過節(jié)點信號連接到原始電路，通過節(jié)點將木馬電路實現(xiàn)的惡意信息傳遞到原始電路中。此硬件木馬的相關(guān)節(jié)點具有隱蔽性高且檢測困難的特點，只要硬件木馬電路未被激活，其可測試性極低。

可以使用動態(tài)或靜態(tài)檢測的方式實現(xiàn)對網(wǎng)表階段的硬件木馬檢測。當(dāng)使用動態(tài)檢測的方法時，電路中的硬件木馬必須被激活。然而大多數(shù)硬件木馬都是屬于條件激活類型，且激活條件各不相同。由于大多數(shù)時刻下的硬件木馬都處于非激活狀態(tài)，所以使用動態(tài)檢測方式檢測硬件木馬并不容易。

相比于動態(tài)檢測，靜態(tài)檢測技術(shù)具有明顯的優(yōu)勢。在硬件木馬電路未被激活的狀態(tài)下，靜態(tài)檢測依然能夠?qū)ζ鋵嵤z測。具體操作共分為兩個步驟：一是提取出硬件木馬相關(guān)特征；二是選取不同的分析技術(shù)對特征進(jìn)行分析。目前，網(wǎng)表級的檢測方法可以采取基于搜索以及基于閾值等硬件木馬檢測手段。

一般來說，用于檢測硬件木馬的相關(guān)特征值是多種多樣的，而且對于不同的基準(zhǔn)電路以及木馬結(jié)構(gòu)來說，每個特征值在電路檢測時占有的權(quán)重比例也存在差異。因此選取靜態(tài)檢測作為網(wǎng)表級檢測方法時，提取硬件木馬的相關(guān)特征顯得特別重要。

3.逆向工程檢測法

逆向工程法是指采取現(xiàn)有的集成電路逆向工程技術(shù)來檢測硬件木馬的存在，又被稱作基于失效性分析硬件木馬檢測方法。此方法屬于暴力不可逆的物理檢測方法。

通過抽樣檢測同一批次的部分芯片產(chǎn)品，自底向上對抽樣出的產(chǎn)品進(jìn)行分層解剖。解剖的目的是為了獲得具體的版圖信息，從而分析出電路的邏輯結(jié)構(gòu)。將樣本解剖后得到的電路設(shè)計結(jié)構(gòu)與原始設(shè)計文件進(jìn)行對比，并且判斷兩者存在的差異。

4.基于機器學(xué)習(xí)的硬件木馬檢測技術(shù)

硬件木馬的檢測與識別，不僅需要考慮到檢測結(jié)果的正確率，還要綜合考慮檢測時檢測電路所需的占用面積、測試時間以及檢測所花費用的總和。尋找一個合適的滿足以上條件的檢測方案，是檢測技術(shù)研究上的一個重大的挑戰(zhàn)。

機器學(xué)習(xí)算法在一定程度上提供了新的思路，它的出現(xiàn)大大提升了硬件木馬檢測的準(zhǔn)確度和效率。機器學(xué)習(xí)的概念就是通過使用計算機算法以及數(shù)學(xué)，讓計算機從過去的經(jīng)驗和數(shù)據(jù)中學(xué)習(xí)。只需要收集相關(guān)內(nèi)容的數(shù)據(jù)，利用計算機編程就可以讓其進(jìn)行自學(xué)。機器學(xué)習(xí)的目標(biāo)是從數(shù)據(jù)中發(fā)現(xiàn)出平時觀察不到的規(guī)律信息。

5.4安全數(shù)據(jù)庫技術(shù)較大規(guī)模的工業(yè)控制系統(tǒng)環(huán)境，一般都會采用數(shù)據(jù)庫技術(shù)，在許多工業(yè)生產(chǎn)過程中需要將大量的實時測量數(shù)據(jù)進(jìn)行存儲，采用離散控制系統(tǒng)和關(guān)系數(shù)據(jù)庫技術(shù)難以滿足速度和容量的要求，同時還存在無法平臺化和標(biāo)準(zhǔn)化，相關(guān)接口不統(tǒng)一，訪問復(fù)雜，不適合大規(guī)模集成等問題。因此以分布式實時數(shù)據(jù)庫設(shè)計的工控系統(tǒng)及實時數(shù)據(jù)庫系統(tǒng)緊密的關(guān)聯(lián)到了一起。與歷史數(shù)據(jù)庫相比，實時數(shù)據(jù)庫在工業(yè)控制系統(tǒng)環(huán)境中更多的是應(yīng)用在MES系統(tǒng)、數(shù)據(jù)釆集和實時控制系統(tǒng)當(dāng)中。不論是傳統(tǒng)信息系統(tǒng)普遍使用的歷史關(guān)系型數(shù)據(jù)庫，還是實時性要求極高的實時數(shù)據(jù)庫，甚至一些比較特殊的內(nèi)存數(shù)據(jù)庫，都是整個工業(yè)控制系統(tǒng)的核心組成部分。為了保證數(shù)據(jù)庫的安全性，要從整個系統(tǒng)的安全架構(gòu)和數(shù)據(jù)庫自身的安全設(shè)計兩個方面同時考慮。5.4.1數(shù)據(jù)庫安全的定義數(shù)據(jù)庫安全可以分為數(shù)據(jù)庫運行的系統(tǒng)安全與數(shù)據(jù)庫內(nèi)的信息安全兩種。數(shù)據(jù)庫的系統(tǒng)安全主要指攻擊者對數(shù)據(jù)庫運行的系統(tǒng)環(huán)境進(jìn)行攻擊，使系統(tǒng)無法正常運行，從而導(dǎo)致數(shù)據(jù)庫無法運行。數(shù)據(jù)庫的信息安全主要指數(shù)據(jù)被破壞和泄露的威脅，例如攻擊者侵入數(shù)據(jù)庫獲取數(shù)據(jù)，或者由于內(nèi)部人員可以直接接觸敏感數(shù)據(jù)導(dǎo)致的數(shù)據(jù)泄露問題，后者逐漸成為了數(shù)據(jù)泄露的主要原因之一。5.4.2數(shù)據(jù)庫系統(tǒng)面臨的安全威脅隨著攻擊者的技術(shù)水平不斷提升，數(shù)據(jù)泄露事件頻繁發(fā)生，給數(shù)據(jù)庫帶來了越來越多的安全問題，數(shù)據(jù)庫面臨的威脅主要包括以下幾種：１）外部攻擊攻擊者經(jīng)常利用Web應(yīng)用漏洞，通過Web應(yīng)用竊取數(shù)據(jù)庫中數(shù)據(jù)，如果Web應(yīng)用沒有做好對攻擊的防護(hù)，可能就會導(dǎo)致數(shù)據(jù)庫中的數(shù)據(jù)遭到破壞、篡改或竊取。２）權(quán)限濫用攻擊者有時候會利用合法用戶的身份來對數(shù)據(jù)庫進(jìn)行攻擊，以竊取更高的權(quán)限或更敏感的數(shù)據(jù)。有時候由于合法用戶不當(dāng)操作也會造成數(shù)據(jù)庫中數(shù)據(jù)的損壞。３）內(nèi)部人員竊取數(shù)據(jù)數(shù)據(jù)庫管理員通常有著很高的權(quán)限，可以查看數(shù)據(jù)庫中幾乎所有的信息，此時如果由于管理員的操作失誤或者惡意報復(fù)等原因?qū)?shù)據(jù)進(jìn)行竊取或篡改，就會帶來嚴(yán)重的損失。5.4.3數(shù)據(jù)庫安全管理技術(shù)用戶通常通過Web應(yīng)用來對數(shù)據(jù)庫進(jìn)行訪問，在訪問過程中，需要經(jīng)過防火墻，通過身份認(rèn)證技術(shù)、權(quán)限管理技術(shù)與數(shù)據(jù)管理技術(shù)共同保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的安全性。數(shù)據(jù)庫安全管理如圖5-13所示，主要包括身份認(rèn)證、權(quán)限管理和數(shù)據(jù)管理。1.身份認(rèn)證身份認(rèn)證是指用戶向系統(tǒng)提供證據(jù)證明自己的身份，證據(jù)與身份必須一一對應(yīng)，同時不可偽造，而且數(shù)據(jù)庫應(yīng)該有相應(yīng)機制可以證明用戶的身份合法性。由于身份認(rèn)證技術(shù)主要是通過證據(jù)來證明用戶身份的，常見的證據(jù)主要有以下幾種：口令、生物學(xué)信息、智能卡等，下面分別進(jìn)行介紹：1）基于口令的身份認(rèn)證技術(shù)。用戶需要提供自己的口令供系統(tǒng)進(jìn)行認(rèn)證，認(rèn)證通過則證明用戶身份合法有效。2）基于生物學(xué)信息的身份認(rèn)證技術(shù)。這種身份認(rèn)證技術(shù)通常使用圖像處理技術(shù)或模式識別技術(shù)來識別用戶身份。用戶通常提供指紋、聲音、虹膜、臉部等生物學(xué)特征信息來進(jìn)行驗證。這些信息理論上具有唯一性和不可偽造性。3）基于智能卡的身份認(rèn)證技術(shù)?；谥悄芸ǖ纳矸菡J(rèn)證技術(shù)需要用戶持有一個額外的智能卡，卡中一般存儲了可以證明持卡人身份的唯一的認(rèn)證信息，只有持卡人才可以被識別成功，但是當(dāng)智能卡丟失的時候用戶的身份就會被輕易的冒用，存在一定的安全隱患。2.權(quán)限管理權(quán)限管理技術(shù)是對用戶可以進(jìn)行的操作和訪問的資源進(jìn)行控制的技術(shù)，經(jīng)常被使用在多用戶Web應(yīng)用中。權(quán)限管理一般會給出一套方案，將應(yīng)用中的資源進(jìn)行分類標(biāo)識，對不同類型的用戶賦予不同操作的權(quán)限組，用戶只能夠在自己權(quán)限組范圍內(nèi)進(jìn)行操作，通過這種方式加強應(yīng)用的安全性。權(quán)限管理可以分為功能級的權(quán)限控制與數(shù)據(jù)級的權(quán)限控制兩類，下面分別進(jìn)行說明。

1）功能級的權(quán)限管理功能級的權(quán)限控制一般使用基于角色的訪問控制技術(shù)，將用戶按角色進(jìn)行劃分，賦予每個角色一定權(quán)限，這樣每個用戶就可以使用相應(yīng)角色的權(quán)限，應(yīng)用通過管理角色與權(quán)限來完成權(quán)限管理。2）數(shù)據(jù)級的權(quán)限管理數(shù)據(jù)級的權(quán)限控制可以將權(quán)限控制與業(yè)務(wù)代碼相結(jié)合，以此控制用戶對數(shù)據(jù)的訪問權(quán)限，也可以將訪問的規(guī)則提取出來，形成規(guī)則引擎的方式來控制用戶的訪問，使用規(guī)則對用戶訪問進(jìn)行管理；另外還有一些第三方軟件可以提供權(quán)限管理的解決辦法。3.數(shù)據(jù)管理為了保證數(shù)據(jù)的有效性與完整性，數(shù)據(jù)庫中會使用主鍵約束、唯一約束、檢查約束、外鍵約束與默認(rèn)約束等。主鍵約束的對象必須唯一且非空，唯一約束的對象必須唯一，檢查約束是系統(tǒng)可以根據(jù)數(shù)據(jù)具體需要進(jìn)行一定的設(shè)置，外鍵約束主要規(guī)定了兩表之間的引用與對應(yīng)關(guān)系，默認(rèn)約束規(guī)定了對象的默認(rèn)值。除了以上幾種數(shù)據(jù)庫自帶的各種約束以外，也可以使用存儲過程或觸發(fā)器定期對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行檢驗。存儲過程是一組大型關(guān)系數(shù)據(jù)庫中為了完成特定功能的SQL語句集合，相當(dāng)于一種功能的集合模塊，用戶可以方便的使用存儲過程而不用了解其具體的實現(xiàn)方式。存儲過程分為幾種，具體使用情況如下：（１）系統(tǒng)存儲過程可以用于設(shè)定或獲取系統(tǒng)的相關(guān)信息。（２）本地存儲過程由用戶創(chuàng)建，用于完成用戶所需特定功能。（３）臨時存儲過程存放在臨時數(shù)據(jù)庫中，分為全局臨時存儲過程與本地臨時存儲過程，可以由所有用戶和創(chuàng)建的用戶執(zhí)行。（４）遠(yuǎn)程存儲過程是位于遠(yuǎn)程服務(wù)器上的存儲過程。（５）擴(kuò)展存儲過程可以由其他外部編程語言加以實現(xiàn)。工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)第6章

工業(yè)控制系統(tǒng)防火墻技術(shù)6.1防火墻概述防火墻是由位于兩個信任程度不同的網(wǎng)絡(luò)之間的軟件或與硬件設(shè)備組合而成的一種裝置，集多種安全機制為一體，它是網(wǎng)絡(luò)之間信息的唯一通道，能夠?qū)蓚€網(wǎng)絡(luò)之間的通信進(jìn)行控制。防火墻作為一個過濾器，阻止了不必要的網(wǎng)絡(luò)流量，保證了受保護(hù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間的合法通信，限制了受保護(hù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間的非法通信。6.1.1防火墻的定義國家標(biāo)準(zhǔn)《信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法》（GB/T20281-2020）給出的防火墻（Firewall）定義為：防火墻是對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。根據(jù)這個定義，防火墻具有以下4個基本特征：（1）部署位置上，防火墻是一個邊界網(wǎng)關(guān)，設(shè)置在不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信的公共網(wǎng)絡(luò)）或不同安全域之間，而且應(yīng)當(dāng)是不同網(wǎng)絡(luò)或不同安全域之間信息的唯一出入口。（2）工作原理上，防火墻根據(jù)網(wǎng)絡(luò)安全策略對流經(jīng)的數(shù)據(jù)信息進(jìn)行解析、過濾、限制等控制。（3）性能上，防火墻應(yīng)具有較高的數(shù)據(jù)信息處理效率和較強的自身抗攻擊能力。（4）功能上，防火墻主要在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層控制出入網(wǎng)絡(luò)的信息流，新型防火墻還能實現(xiàn)對更多應(yīng)用層程序的訪問控制、信息泄露防護(hù)、惡意代碼防護(hù)及入侵防御等功能，保證受保護(hù)部分的安全。6.1.2防火墻的主要技術(shù)指標(biāo)防火墻的主要技術(shù)指標(biāo)包括吞吐量、時延、并發(fā)連接數(shù)、丟包率等，以下分別進(jìn)行說明。1）吞吐量（Throughput）網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)幀組成，防火墻對每個數(shù)據(jù)幀的處理都要耗費資源。吞吐量是指在通信過程中沒有任何數(shù)據(jù)幀丟失，防火墻所能接收和轉(zhuǎn)發(fā)數(shù)據(jù)幀的最大速率。2）時延（TimeDelay）網(wǎng)絡(luò)的應(yīng)用越來越普遍，當(dāng)防火墻在網(wǎng)絡(luò)中進(jìn)行應(yīng)用后，其對數(shù)據(jù)的處理會產(chǎn)生一定的時延，如果時延較大將對應(yīng)用產(chǎn)生不良影響。3）并發(fā)連接數(shù)（ConcurrentConnections）并發(fā)連接數(shù)是衡量防火墻性能的—個重要指標(biāo)，在IETFRFC2647中將該指標(biāo)定義為一種最大的連接數(shù)，該連接通常建立在防火墻的主機之間，也可以是建立在防火墻和主機之間。4）丟包率（PacketLossRate）丟包率是指在正常穩(wěn)定的網(wǎng)絡(luò)狀態(tài)下，數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)，但由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)量占全部數(shù)據(jù)包數(shù)量的百分比。較低的丟包率，意味著防火墻在強大的負(fù)載壓力下，能夠穩(wěn)定的工作，可以適應(yīng)各種復(fù)雜網(wǎng)絡(luò)應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求。6.1.3防火墻的分類1.按防火墻表現(xiàn)形態(tài)分類按照防火墻表現(xiàn)形態(tài)進(jìn)行分類一般可以分為軟件防火墻和硬件防火墻兩類。2.按防火墻的應(yīng)用部署位置分類按防火墻的應(yīng)用部署位置分類包括邊界防火墻、個人防火墻、混合防火墻。3.按防火墻通道帶寬分類如果按防火墻的通道帶寬，或者說是吞吐量來分類可以分為百兆級防火墻、千兆級防火墻和萬兆級防火墻等。因為防火墻通常位于網(wǎng)絡(luò)邊界，所以十兆級帶寬的防火墻一般不能夠滿足需求。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因為包過濾或應(yīng)用代理所產(chǎn)生的延時會越小，對整個網(wǎng)絡(luò)通信性能的影響也就越小。6.1.4防火墻規(guī)則1.防火墻規(guī)則定義

防火墻的規(guī)則可以由七元屬性組成，這七元屬性包括三部分：第一部分是規(guī)則號，即規(guī)則在防火墻規(guī)則集中的位置；第二部分是過濾域，過濾域包含協(xié)議類型、源

IP、源端口、目的IP以及目的端口五元屬性，防火墻規(guī)則根據(jù)數(shù)據(jù)包的這五元屬性值進(jìn)行匹配；第三部分是動作域，動作域是指當(dāng)數(shù)據(jù)包與防火墻規(guī)則匹配成功后防火墻對數(shù)據(jù)包進(jìn)行的操作，一般有允許通過（Accpet）和拒絕通過（Deny）兩種。所以一條防火墻規(guī)則可以表示為：Rule=<Order,Protocol,Sip,Sport,Dip,Dport,Action>（6-1）

2.規(guī)則過濾域關(guān)系

過濾域的五元屬性的取值可以是某一個區(qū)間，所以規(guī)則的過濾域之間可能存在關(guān)聯(lián)，一般來說，過濾域之間會存在四種關(guān)系：無關(guān)、相等、包含和交叉。用Fa表示第a條規(guī)則的過濾域，F(xiàn)a[i]表示過濾域的第i個屬性，i=1,2,3,4,5分別對應(yīng)Protocol、Sip、Sport、Dip、Dport。3.防火墻規(guī)則異常

防火墻在對數(shù)據(jù)包進(jìn)行匹配過濾時遵循找到第一條匹配成功的規(guī)則即終止匹配的原則，因此防火墻規(guī)則集對順序是敏感的，數(shù)據(jù)包與不同的規(guī)則匹配存在先后關(guān)系，可能會導(dǎo)致前后規(guī)則之間存在異常，一般來說，防火墻規(guī)則之間的沖突可以分為以下四類：屏蔽異常、交叉異常、包含異常以及冗余異常。

（1）屏蔽異常。對于規(guī)則Ra和Rb，如果a<b，F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action]，則規(guī)則Ra和Rb之間存在屏蔽異常，Rb被Ra屏蔽。一般屏蔽異常是因為防火墻策略配置出錯引起的，解決屏蔽異常需要人工檢查規(guī)則集然后根據(jù)實際防火墻策略修正規(guī)則。（2）交叉異常。對于規(guī)則Ra和Rb，如果Fa和Fb交叉并且Ra[Action]≠Rb[Action]，則規(guī)則Ra和Rb之間存在交叉異常。對于存在交叉沖突的規(guī)則，將排序靠后的規(guī)則的過濾域剔除掉交叉的部分即可解決。（3）包含異常。對于規(guī)則Ra和Rb，如果a>b，F(xiàn)a包含F(xiàn)b并且Ra[Action]≠Rb[Action]，則規(guī)則Ra和Rb之間存在包含異常。一般來說包含異常并不會影響防火墻的正常過濾策略，但是當(dāng)Ra和Rb的相對關(guān)系發(fā)生變化時，Rb會被Ra屏蔽。解決包含異常需要將Ra過濾域中包含Rb過濾域的部分剔除，拆分成一條或兩條新的規(guī)則。（4）冗余異常。對于規(guī)則Ra和Rb，如果a<b，F(xiàn)a包含F(xiàn)b并且Ra[Action]=Rb[Action]，則規(guī)則Ra和Rb之間存在冗余異常，Rb是Ra的冗余規(guī)則。解決冗余異常一般直接將Rb直接刪除即可。6.2防火墻的體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)可以分為四類：屏蔽路由器結(jié)構(gòu)、雙宿堡壘主機結(jié)構(gòu)、屏蔽主機結(jié)構(gòu)、屏蔽子網(wǎng)結(jié)構(gòu)。6.2.1屏蔽路由器結(jié)構(gòu)屏蔽路由器結(jié)構(gòu)是最基本的防火墻設(shè)計結(jié)構(gòu)，它不是采用專用的防火墻設(shè)備進(jìn)行部署，而是在原有的包過濾路由器上進(jìn)行訪問控制。具備這種包過濾技術(shù)的路由器通常稱為屏蔽路由器防火墻，又稱為包過濾路由器防火墻。在實際使用中，系統(tǒng)安全漏洞從被發(fā)現(xiàn)到被糾正的一般過程是用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤，而入侵者會有意利用其中的某些錯誤并使其成為威脅系統(tǒng)安全的工具，這時人們會認(rèn)識到這個錯誤是一個系統(tǒng)安全漏洞，系統(tǒng)供應(yīng)商發(fā)現(xiàn)后會盡快發(fā)布針對這個漏洞的補丁程序，糾正這個錯誤。由于包過濾路由器工作在網(wǎng)絡(luò)層，其工作效率高，但是也因此無法對應(yīng)用層提供很好的保護(hù)，包過濾規(guī)則的設(shè)置較為復(fù)雜，因而防護(hù)能力較弱。6.2.2雙宿堡壘主機結(jié)構(gòu)雙宿堡壘主機結(jié)構(gòu)如下圖所示，雙宿堡壘主機是一臺至少配有兩個網(wǎng)絡(luò)接口的主機，它可以作為與這些接口相連的網(wǎng)絡(luò)之間的路由器來使用，在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù)包。主機上運行防火墻軟件，被保護(hù)的內(nèi)網(wǎng)與外網(wǎng)之間的通信必須通過堡壘主機，因而可以對內(nèi)網(wǎng)提供保護(hù)。而一般情況下雙宿堡壘主機的路由功能被禁止使用，因而能夠隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的直接通信，從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。雙宿堡壘主機結(jié)構(gòu)要求的硬件較少，但是堡壘主機本身缺乏保護(hù)，因此容易受到攻擊。6.2.3屏蔽主機結(jié)構(gòu)屏蔽主機結(jié)構(gòu)如下圖所示，這種結(jié)構(gòu)是由一臺堡壘主機以及屏蔽路由器共同構(gòu)成防火墻系統(tǒng)，屏蔽路由器提供對堡壘主機的安全防護(hù)。6.2.4屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)如下圖所示，這種結(jié)構(gòu)將防火墻的概念擴(kuò)充至一個由外部和內(nèi)部屏蔽路由器包圍起來的周邊網(wǎng)絡(luò)，并且將易受攻擊的堡壘主機，以及組織對外提供服務(wù)的Web服務(wù)器、郵件服務(wù)器以及其他公用服務(wù)器放在該網(wǎng)絡(luò)中。這種在內(nèi)、外網(wǎng)之間建立的被隔離的子網(wǎng)常被稱為隔離網(wǎng)絡(luò)或非軍事區(qū)（DemilitarizedZone，DMZ）。被屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻主要由四部分構(gòu)成，分別是周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機。6.3工業(yè)防火墻技術(shù)工業(yè)防火墻是工業(yè)控制系統(tǒng)信息安全必須配置的設(shè)備。工業(yè)防火墻技術(shù)是工業(yè)控制系統(tǒng)信息安全技術(shù)的基礎(chǔ)。利用工業(yè)控制系統(tǒng)防火墻技術(shù)可以實現(xiàn)區(qū)域管控，劃分控制系統(tǒng)安全區(qū)域，對安全區(qū)域?qū)崿F(xiàn)隔離保護(hù)，保護(hù)合法用戶訪問網(wǎng)絡(luò)資源。同時，可以對控制協(xié)議進(jìn)行深度解析，可以解析Modbus、DNP3等應(yīng)用層異常數(shù)據(jù)流量，并對OPC端口進(jìn)行動態(tài)追蹤，對關(guān)鍵寄存器和操作進(jìn)行保護(hù)。6.3.1工業(yè)防火墻的概念工業(yè)防火墻是應(yīng)用于工控網(wǎng)