工业信息论文：工业防控的信息安全性解析.docVIP

工业信息论文：工业防控的信息安全性解析 本文 对控制性能的威胁典型的对控制性能的威胁就是控制系统的通信实时性。以在监控层占据主流地位的工业以太网为例。网络响应时间反映了整个工业以太网系统的实时性能。影响网络响应时间的因素主要来自3个方面:①本地系统，即源节点的处理;②工业以太网网络，即传输部分;③目的节点系统，即目的节点的处理。工业以太网响应时间示意图如图2所示。此图表明了从源节点向目的节点发送信息所花费的时间，也就是网络响应时间Tdelay。总的时间延迟可分为:源节点的时间延迟、网络通道上的时间延迟和目标节点的时间延迟3个部分。图2工业以太网响应时间示意图Fig．2SchematicdiagramofresponsetimeofindustrialEthernet源节点的时间延迟包括:①预处理时间Tpre，它是计算时间Tscomp和编码时间Tscode的总和;②节点内部排队的时间Tn-queue，是等待时间Twait的一部分，取决于源节点需传送数据的总和与网络的传送状况。网络时间延迟包括:①传送时间Ttx，它是帧发送时间Tframe和网络的物理传播迟延Tprop的总和，取决于信息的大小、数据传送率和网络缆线的长度;②网络阻塞时间Tblock，它是等待时间Twait的另外一部分;③目的节点的时间延迟Tpost是数据的后期处理时间，它是目的节点解码时间Tdcode和目的节点计算时间Tdcomp的总和。所以总的时间延迟可表示为:Tdelay=Tpre+Twait+Ttx+Tpost=Tscomp+Tscode+Tn-queue+Tblock+Tframe+Tprop+Tdcode+Tdcomp=Tpre+Twait+Ttx+Tpost(1)式中:Tpre=Tscomp+Tscode;Twait=Tn-quene+Tblock;Ttx=Tframe+Tprop;Tpost=Tdcode+Tdcomp。从图2可知，计算机病毒即使不造成操作系统崩溃，也可以通过占用资源，使得源节点的时间延迟和目的节点的时间延迟具有不确定性;局域网病毒或者网络攻击即使不造成以太网瘫痪，也可以通过堵塞造成网络传输的时间延迟具有不确定性。这些不确定性将造成那些具有优先权的工业实时数据的实时性得不到满足，从而破坏系统控制性能。对控制功能的破坏典型的对控制功能的破坏就是破坏和操纵工业控制软件，例如对OPC软件或者实时数据库的破坏，但破坏力更强的是对工控软件的操纵。国家计算机病毒应急处理中心于2010年10月3日发布信息:通过互联网络监测发现，一种利用微软公司漏洞的新型病毒“震网”(也称超级病毒Stuxnet)出现，提醒用户尤其是大型工业部门小心谨防。该病毒可以通过移动存储介质和局域网进行传播，并且利用西门子公司控制系统(SIMATICWinCC/Step7)存在的漏洞感染数据采集与监视控制系统(SCADA)。Stuxnet的目的是通过修改PLC来改变工业生产控制系统的行为，包括:拦截发送给PLC的读/写请求，以此判断系统是否为潜在的攻击目标;修改现有的PLC代码块，并往PLC中写入新的代码块;利用Rootkit功能隐藏PLC感染，躲避PLC管理员或程序员的检测。Step7软件使用库文件s7otbxdx．dll来和PLC通信。当Step7程序准备进入PLC时，它会调用该DLL文件中不同的例程。例如，如果一个代码块需要用Step7从PLC中读出，那么，例程s7blk_read就会被调用。s7otbxdx．dll中的代码会进入PLC，读出其中的代码，并将它传回Step7程序。Stuxnet运行后，Stuxnet会将原始的s7otbxdx．dll文件重命名为s7otbxsx．dll。然后，它将用自身取代原始的DLL文件，这样Stuxnet就可以拦截任何来自其他程序的访问PLC的命令。被Stuxnet修改后的s7otbxdx．dll文件保留了原来的导出表，导出函数为109个，这就使得Stuxnet可以应付所有相同的请求。大部分导出命令会转发给真正的DLL，即重命名后的s7otbxsx．dll，剩下的16种导出命令不会被简单地转发，而是被改动后的DLL拦截。被拦截的导出命令为在PLC中读、写、定位代码块的例程。通过拦截这些请求，Stuxnet可以在PLC管理员没有察觉的情况下，修改发送至PLC或从PLC返回的数据。同时，通过利用这些例程，Stuxnet可以将恶意代码隐藏在PLC中。通过初步分析，确认Stuxnet病毒主要存在以下安全威胁:①该病毒针对的目标是用于数据采集与监视控制的专用计算机系统;②此类数据采集与监视控制系统由于其自身功能的特殊性和重要性，往往与互联网隔离，造成无法及时进行安全更新，为病毒传播提供可乘之机;③虽然目前该病毒只是针对西门子公