对于重要数据的存储保护仍然不够,这主要是由于数据的新鲜性仍然能够被破坏。例如,攻击者可以通过将操作系统中存储数据库的文件全部替换为旧版本文件,从而达到攻击目的——白名单被替换为旧版本,生产配方被替换为旧版本等。该攻击是无法通过版本号或时间戳来抵御的,因为版本号只是对数据处于的某个状态进行了编号,而时间戳只能表明在某个时间点数据已经存在,它们都无法表明数据是否为最新的。本发明提供如下的基于安全芯片的新鲜性保护方法来进一步加强重要数据的存储安全性。
[0024]在可信数据库系统所部署的主机(台式机、笔记本、服务器)上,增加一个新鲜性保护模块,它与可信数据库及安全芯片相互配合,实现可信数据库中存放的数据的新鲜性保护,主要包括如下几个过程:
[0025](I)初始化过程
[0026]可信数据库系统安装完毕,第一次启动前,新鲜性保护模块要完成初始化过程:
[0027]a)新鲜性保护模块调用安全芯片产生一对受安全芯片保护的签名密钥(pkf, skf),该密钥对的私钥Skf的使用环境被绑定为新鲜性保护模块正常运行的环境,同时申请安全芯片中的非易失存储区空间;
[0028]b)新鲜性保护模块在可信数据库中建立一个新鲜性保护数据表T(FileID,Sigskf(File)),它记录了操作系统中的存储数据库表的数据库文件名FileID与该文件哈希值的签名Sigskf(File)的所有对应关系;
[0029]c)新鲜性保护模块对新鲜性保护数据表T进行哈希运算,并签名,产生Sigskf (T),并将Sigskf(T)作为新鲜性保护的根存放在安全芯片的非易失存储区中。
[0030](2)可信数据库系统启动过程
[0031]在每次可信数据库系统启动前,都必须由新鲜性保护模块完成如下过程:
[0032]a)新鲜性保护模块重新度量操作系统中的每个数据库文件的哈希值,并从新鲜性保护数据表T(FilelD,Sigskf (File))中查询其对应的签名值,验证该文件的签名值和哈希值是否正确;
[0033]b)若在新鲜性保护数据表T中,有某文件查询不到它对应的签名值,则向管理员报警,并退出启动流程;
[0034]c)若存在某文件的签名值或哈希值不正确,则向管理员报警,并退出启动流程;
[0035]d)若操作系统中所有数据库文件都有对应的签名值,且其签名值或哈希值都正确,则进一步对新鲜性保护数据表T进行哈希运算,并从安全芯片的非易失存储区中查询签名Sigskf(T),验证T的签名值和哈希值的正确性,若不正确则向管理员报警,并退出启动流程,否则继续可信数据库系统的正常启动。
[0036](3)可信数据库系统关闭过程
[0037]在每次可信数据库系统关闭后,都必须由新鲜性保护模块完成如下过程:
[0038]a)新鲜性保护模块重新度量操作系统中的每个数据库文件的哈希值,并利用skf对其进行签名,然后更新到新鲜性保护数据表T (FilelD,Sigskf (File))中;
[0039]b)新鲜性保护模块对新鲜性保护数据表T进行哈希运算,并用skf签名产生Sigskf(T),再存储到安全芯片的非易失存储区中。
[0040]在上述过程中,由于可信数据库系统运行期间受到工控系统可信环境管控平台对其运行环境的保护,因此攻击者无法在其运行过程中侵入系统环境,并进行重放攻击。而上述过程又保证了可信数据库系统在关闭后到开启前一段时间内,攻击者对存储于硬盘上的数据库文件的新鲜性破坏能够被检测出来,因此能够确保存储于可信数据库中的重要数据的新鲜性。
[0041]本发明的有益效果如下:
[0042](一 )可以通过数据安全性分析平台对所有进程进行分析,安全管理员再基于分析结果来建立白名单,并通过工控系统可信环境管控平台来阻止白名单之外的进程在工控系统中运行。因此,确保了实际运行中的工控系统环境只含有经过分析的可信的进程。
[0043](二)将工控系统中的一些重要参数等敏感数据及本发明中工控系统安全支撑平台的安全相关数据都存储在可信数据库系统中,可以有效确保它们的机密性和完整性。这种安全保护是建立在安全芯片的硬件基础上,因此具有更高的安全性。
[0044](三)在工控网络中部署可信工控系统防火墙能够对网络中的攻击行为进行有效隔离,提高工控网络的安全性。
[0045](四)可信移动介质管控系统的部署能够有效抑制病毒、木马等恶意代码通过移动介质在工控系统中进行传播。
[0046](五)数据安全性分析平台能够为工控系统安全管理员提供对未知文件、进程的安全性分析,并且不需要特征库的支持,也避免的频繁升级和更新,更加适合工控系统。
[0047](六)在上述组成部分之间的重要数据的传输和存储都基于安全芯片实施了保护,覆盖了数据传输和存储的完整的三个阶段一一数据从源主机到目的主机的传输阶段、数据到达目的主机后及被存储前的阶段、数据存储阶段,有效确保了本发明的工业控制系统安全支撑平台各组成部分相互之间可信的数据流动,进而加强了整体系统的安全性。
【附图说明】
[0048]图1是工业控制系统安全支撑平台架构示意图;
[0049]图2是工业控制系统安全支撑平台部署及实施方法示意图。
【具体实施方式】
[0050]下面将对
【发明内容】
中所描述的工业控制系统安全支撑平台的具体部署和实施方法进行示例性解释,但不以这种解释限制发明的范围。
[0051 ] 首先,工控系统可信环境管控平台通常实现为客户端/服务端架构。客户端部署于需要可信环境管控的工控终端或工控服务器上,例如工程师站、操作员站等。而为了不影响现有工控系统的架构,服务端通常部署于独立的安全服务器上。这种实现方式不会对工控系统的稳定性和可靠性造成影响。
[0052]可信数据库系统部署于数据库服务器上,与工控系统可信环境管控平台、可信工控系统防火墙、可信移动介质管控系统这三个安全支撑平台的其他组成部分连接,为安全相关数据提供安全存储。此外,它还会与工业控制系统进行连接,为一些非实时的工控系统敏感数据提供安全存储。
[0053]可信工控系统防火墙部署于工控网络的不同网络层之间,实现它们之间的隔离,例如现场设备层与车间监控层之间等。具体地,可信工控防火墙也将采用客户端/服务端架构,即在需要隔离的网络之间部署防火墙的客户端来执行具体的网络规则,而其服务端部署于前述的安全服务器上来管理和维护这些网络规则。
[0054]可信移动介质管控系统通常也被实现为客户端/服务器架构。客户端部署于需要移动介质管控的工控终端或工控服务器上,例如工程师站、操作员站等。而服务端则往往部署于独立的安全服务器上,可以与工控系统可信环境管控平台的服务端位于同一安全服务器。
[0055]而数据安全性分析平台需要对可能恶意的文件进行分析,因此需要单独位于一个安全服务器上,并在它与安全支撑平台其他部分之间部署可信工控系统防火墙进行隔离。该分析平台的分析结果一般会包括两个方面的内容:其一,通过模拟文件的预期使用环境,并收集该文件在该模拟环境下的运行情况,得到文件在预期环境下的所有行为;其二,依据预先定义的恶意行为判定规则,这些行为是否具有恶意性。对于后者,管理员可以直接利用它对工控系统的整体安全性进行管理和维护。而前者可以被用于进一步的分析,以不断提高恶意行为判定规则的准确性。
[0056]而
【发明内容】
中用于连接各个部件,并保护其中数据传输和存储安全性的安全传输方法和安全存储方法,可以采用软件调用安全芯片相应功能的方式来实现,而软件实现的部分必须位于本发明的工控系统可信环境管控平台所保护的系统环境中,即白名单列表中。
[0057]最后,给出一个具体的例子来进一步解释说明本
【发明内容】
。
[0058]首先,工控系统的工程师站等工控终端或工控服务器在部署了工控系统可信环境管控平台的客户端后,将按照服务端预先定义且签名过的进程白名单对本地的系统环境进行可信管理,阻止一切白名单外的进程启动。也就是通过可信计算技术实现系统的安全启动,在启动过程及后继新启动进程时对进程进行度量,并与白名单进行比较,确保度量结果和比较结果的可信性。若该进程不在白名单中,则被阻止运行。而白名单是可以由管理员在服务端进行审核和管理的。因此,能够确保工控系统中运行的进程都是经过管理员批准的,恶意或未知的进程都是无法在系统中运行的。
[0059]其二,可信数据库能够基于可信芯片提供的存储信任根将上述白名单及其他的一些敏感数据进行安全保护。可信数据库可以利用存储信任根生成并保护两对公私钥,分别用于加密和签名。加密密钥用于对存储在数据库中的敏感数据进行机密性保护,签名密钥则用于完整性保护。并且在可信计算技术中,这两对密钥的使用环境可以被管理员指定为预期的安全环境。在这种情况下,一旦环境发生变化,则加密密钥和签名密钥就无法被正常使用,数据库中的敏感数据则无法被解密,也无法产生正确的签名值,从