技术分享 | 访问控制在工控安全中的应用

1介绍

关于工控环境下白名单安全机制的解决方案在小威前期的微信文章做了很多介绍，本文将详细描述在程序白名单防护的基础上进一步增强系统安全的一种重要的安全机制——访问控制。

访问控制在信息安全领域是一个比较重要的技术，但是对非安全人士来说还是非常陌生的。本文将首先简单介绍国家信息安全等级保护中对安全防护的要求，然后介绍强制访问控制的安全策略模型，最后介绍威努特系统安全解决方案中访问控制技术的应用。

访问控制在信息安全防护过程中起到了重要的作用，国家等保标准规范《信息安全等级保护安全设计技术要求》(GB/T 25070-2010)的四级要求分别在 “安全计算环境”和“网络区域边界”中阐述了访问控制的要求。

1) 安全计算环境



2) 网络区域边界



2安全策略模型

这节将介绍强制访问控制用于保密性的BLP安全模型和用于完整性的Biba安全策略模型，这两个模型在强制访问控制中被广泛使用。

2.1 BLP模型

BLP安全策略模型在1973年提出，被证明是完整和有效地解决计算机数据保密性问题的策略模型。BLP是一个定义多个级别的安全策略模型，重点解决数据保密性问题。BLP模型分别定义了主体和客体安全级别，然后对主体和客体的不同级别定义其安全策略。

BLP安全策略模型的基本原理是“上读下写”，客体的安全级别低于主体的安全级别则可以读，但是不能写；主体的级别低于客体的安全级别，则只能写不能读；主体的安全级别等于客体的安全级别，则可以同时读写。BLP模型的这种“上读下写”安全保密性读写访问策略详细参考下图，高安全级别主体（Subject-H）允许且只允许读安全级别比它低的客体（Object-L），低安全级别主体（Subject-L）允许且只允许写安全级别比它高的客体（Object-H），高安全级别（Subject-H）可以同时读写高安全级别的客体（Object-H），低安全级别（Subject-L）可以同时读写低安全级别的客体（Object-L）。



2.2 Biba模型

1977年，为了适应数据的完整性需求产生了Biba安全策略模型，Biba安全策略模型的实现原理和BLP基本相似，也是将系统中的主体与客体资源划分成不同的安全级别，然后定义主体和客体不同级别的访问控制权限。Biba的安全策略的模型的基本实现原理是“上写下读”，如下图所示，详细地描述了主体和客体的读写访问控制权限。



从这两种安全策略模型的结果分析，发现BLP和Biba模型是互斥的，也就是说，在同一时刻针对某一个客体集合只能使用一种安全策略模型。

3访问控制应用

初步了解访问控制的安全策略模型之后我们将详细介绍工控环境的信息安全解决方案和解决方案的访问控制相关的关键功能。

3.1 体系结构

威努特工控环境信息安全解决方案体系结构划分成主机安全、边界安全和通信安全三部分，主机安全、边界安全、通信安全在管理中心的统一管理下组成一个整体的防护体系。

1) 主机安全由工控主机卫士系统实现，是系统安全的重要组成部分，通过双因子认证、访问控制、可信接入、外设管控等关键技术保障了工控主机的安全。有效地阻止非法用户越权访问，确保工控环境下重要资源的保密性和完整性，从而为工控主机提供安全保障。

2) 安全边界由工业防火墙和工控安全监测审计系统组成，对通过边界的流量进行监控和控制，确保没有违反安全访问策略的流量经过边界，防止非法内联、非法外联，是工控安全系统中最外层的安全屏障。

3) 安全管理中心，由统一管理平台和安全态势感知系统组成，维护系统管理、用户身份管理、安全策略管理和审计管理等功能。



在整个解决方案中，工业防火墙中基于应用的强制访问控制策略，有效的阻止了非法外联和内联。而工控主机卫士提供文件强制访问控制、端口访问控制、服务访问控制、注册表访问控制、磁盘访问控制等访问控制策略，有效保证系统所有资源的保密性和完整性。其中文件强制访问控制尤为重要，他主要解决非授权数据破坏系统完整性问题，端口访问控制辅助安全边界访问控制策略，更加完善地解决了非授权主机访问的问题。

3.2 主机环境访问控制

3.2.1 文件强制访问控制

文件强制访问控制采用了BLP和Biba模型，并在此基础上增强，要求为所有的进程和用户赋予权限，实现保密性和完整性兼顾的强制访问控制模型，同时把强制访问控制和自主访问控制结合，解决工控环境下不同文件对机密性和完整性的要求。

工控主机卫士把文件安全标记分成系统级安全标记库和应用级安全标记库。系统级安全标记库记录操作系统内主体和客体的安全标记集合，在安装之后，根据操作系统运行自动学习，并生成操作系统相关的主客体安全标记，因此，生成之后的安全标记及相应的安全策略能够允许操作系统的正常运行；应用级安全标记指操作系统之外的应用软件的主客体安全标记集合，对在操作系统之外的其他应用软件在安装之后自动生成安全标记。系统在生成应用及安全标记及其策略之后，默认会拒绝所有的应用软件使用。

通过监控操作系统中各种客体资源的使用，按照安全策略执行强制访问策略。文件强制访问控制包括安全标记管理、客体属性监控、访问控制执行和访问控制结果审计四个部分，系统实现如下图所示：



文件强制保护具体安全属性如下：



3.2.2 端口访问控制

端口访问控制，可控制运行访问的本地程序打开的端口或特定端口，并且能看通过访问控制策略限制远端IP访问本地的端口和程序，具体安全属性如下：



3.2.3 服务访问控制

服务强制访问控制，可控制系统服务不被新增、删除及修改服务程序执行路径，具体安全属性如下：



3.2.4 注册表访问控制

注册表访问控制Windows控制对注册表键/键值访问，具体安全属性如下：



3.2.5 磁盘访问控制

磁盘对象访问控制，可控制指定物理磁盘与逻辑卷的访问，具体安全属性如下：



3.3 区域边界访问控制

区域边界完整性保护主要是指防止非法入侵、非法外联，网络边界不被破坏。系统的边界应当是可控的、安全的，其完整性主要取决于穿越区域的连接是可控的、经过授权的，未经允许禁止建立穿越边界的网络连接。

根据等保安全要求，区域边界控制设备工控防火墙使用智能学习引擎，对于可深度解析的应用层业务协议进行学习，自动辅助生成满足业务安全需求的白名单规则，并以此规则为基准进行安全防护，极大提高区域边界的安全性。使用支持白名单机制的工业防火墙与安全管理中心配合一起，可以完成对区域边界的完整性保护。

网络连接“白名单”机制的基本原理默认禁止所有连接，只有白名单里面的连接可以建立。工业白名单不仅只传统的五元组，还支持控制到应用层协议和具体的工业指令，从而彻底保证边界安全。

工业系统网络流量具有确定性，即什么样的流量可以在网络间传输是明确可控的。传统的“黑名单”模式防火墙不适用这种场景，因为我们很难定义出所有的未知威胁和拦截策略。

4总结

如下图所示，威努特安全整体解决方案，通过的工控主机卫士，可保障主机环境的程序可信、外设连接可信、数据的保密性和完整性；通过工业防火墙，可保障工控网络区域边界的可信接入和信息的完整性；通过工控安全监测审计设备，可以保障一个工业网络内部的设备访问控制监测的可度量；再配合工控主机态势感知系统预测网络攻击并进行主动防御，就可以建立完整的工控安全管控解决方案。

更多阅读：

技术分享 | TCP ISN安全性分析

威努特荣登《人民日报》，ISC 2018圆满闭幕

技术分享 |【八步】提高城市轨道交通ISCS系统网络安全（上）

技术分享 | 火电厂DCS控制系统的安全防护建议

技术分享 | 全国安防监控系统安全态势分析报告

---

威努特工控安全

专注工控·捍卫安全