分享 | 訪問控制在工控安全中的應用
關于工控環境下白名單安全機制的解決方案在前期的文章做了很多介紹�,本文將詳細描述在程序白名單防護的基礎上進一步增強系統安全的一種重要的安全機制——訪問控制�����。
訪問控制在信息安全領域是一個比較重要的技術,但是對非安全人士來說還是非常陌生的�����。本文將首先簡單介紹國家信息安全等級保護中對安全防護的要求�,然后介紹強制訪問控制的安全策略模型,最后介紹三中科技安全解決方案中訪問控制技術的應用�����。
訪問控制在信息安全防護過程中起到了重要的作用�����,國家等保標準規范《信息安全等級保護安全設計技術要求》(GB/T 25070-2010)的四級要求分別在 “安全計算環境”和“網絡區域邊界”中闡述了訪問控制的要求���。
1) 安全計算環境
2) 網絡區域邊界
這節將介紹強制訪問控制用于保密性的BLP安全模型和用于完整性的Biba安全策略模型�����,這兩個模型在強制訪問控制中被廣泛使用。
2.1 BLP模型
BLP安全策略模型在1973年提出�����,被證明是完整和有效地解決計算機數據保密性問題的策略模型。BLP是一個定義多個級別的安全策略模型,重點解決數據保密性問題�����。BLP模型分別定義了主體和客體安全級別�����,然后對主體和客體的不同級別定義其安全策略���。
BLP安全策略模型的基本原理是“上讀下寫”���,客體的安全級別低于主體的安全級別則可以讀,但是不能寫;主體的級別低于客體的安全級別�,則只能寫不能讀�;主體的安全級別等于客體的安全級別�����,則可以同時讀寫�����。BLP模型的這種“上讀下寫”安全保密性讀寫訪問策略詳細參考下圖�����,高安全級別主體(Subject-H)允許且只允許讀安全級別比它低的客體(Object-L)�,低安全級別主體(Subject-L)允許且只允許寫安全級別比它高的客體(Object-H),高安全級別(Subject-H)可以同時讀寫高安全級別的客體(Object-H)�����,低安全級別(Subject-L)可以同時讀寫低安全級別的客體(Object-L)���。
2.2 Biba模型
1977年���,為了適應數據的完整性需求產生了Biba安全策略模型���,Biba安全策略模型的實現原理和BLP基本相似,也是將系統中的主體與客體資源劃分成不同的安全級別���,然后定義主體和客體不同級別的訪問控制權限。Biba的安全策略的模型的基本實現原理是“上寫下讀”�����,如下圖所示���,詳細地描述了主體和客體的讀寫訪問控制權限�。?
從這兩種安全策略模型的結果分析�����,發現BLP和Biba模型是互斥的,也就是說�,在同一時刻針對某一個客體集合只能使用一種安全策略模型�。
初步了解訪問控制的安全策略模型之后我們將詳細介紹工控環境的信息安全解決方案和解決方案的訪問控制相關的關鍵功能���。
3.1 體系結構
三中科技工控環境信息安全解決方案體系結構劃分成主機安全���、邊界安全和通信安全三部分�,主機安全、邊界安全�����、通信安全在管理中心的統一管理下組成一個整體的防護體系。
1) 主機安全由工控主機衛士系統實現�,是系統安全的重要組成部分�����,通過雙因子認證�����、訪問控制、可信接入�、外設管控等關鍵技術保障了工控主機的安全�。有效地阻止非法用戶越權訪問�����,確保工控環境下重要資源的保密性和完整性�����,從而為工控主機提供安全保障。
2) 安全邊界由工業防火墻和工控安全監測審計系統組成�,對通過邊界的流量進行監控和控制�,確保沒有違反安全訪問策略的流量經過邊界,防止非法內聯�����、非法外聯�,是工控安全系統中最外層的安全屏障�����。
3) 安全管理中心�,由統一管理平臺和安全態勢感知系統組成,維護系統管理、用戶身份管理�、安全策略管理和審計管理等功能���。
在整個解決方案中�,工業防火墻中基于應用的強制訪問控制策略�,有效的阻止了非法外聯和內聯�。而工控主機衛士提供文件強制訪問控制�����、端口訪問控制�、服務訪問控制、注冊表訪問控制、磁盤訪問控制等訪問控制策略,有效保證系統所有資源的保密性和完整性�。其中文件強制訪問控制尤為重要�����,他主要解決非授權數據破壞系統完整性問題���,端口訪問控制輔助安全邊界訪問控制策略���,更加完善地解決了非授權主機訪問的問題。
3.2 主機環境訪問控制
3.2.1 文件強制訪問控制
文件強制訪問控制采用了BLP和Biba模型�,并在此基礎上增強�����,要求為所有的進程和用戶賦予權限���,實現保密性和完整性兼顧的強制訪問控制模型�,同時把強制訪問控制和自主訪問控制結合���,解決工控環境下不同文件對機密性和完整性的要求�����。
工控主機衛士把文件安全標記分成系統級安全標記庫和應用級安全標記庫���。系統級安全標記庫記錄操作系統內主體和客體的安全標記集合,在安裝之后�,根據操作系統運行自動學習�����,并生成操作系統相關的主客體安全標記���,因此�����,生成之后的安全標記及相應的安全策略能夠允許操作系統的正常運行;應用級安全標記指操作系統之外的應用軟件的主客體安全標記集合,對在操作系統之外的其他應用軟件在安裝之后自動生成安全標記���。系統在生成應用及安全標記及其策略之后�����,默認會拒絕所有的應用軟件使用�����。
通過監控操作系統中各種客體資源的使用,按照安全策略執行強制訪問策略���。文件強制訪問控制包括安全標記管理、客體屬性監控�����、訪問控制執行和訪問控制結果審計四個部分�。
3.2.2 端口訪問控制
端口訪問控制,可控制運行訪問的本地程序打開的端口或特定端口�����,并且能看通過訪問控制策略限制遠端IP訪問本地的端口和程序���。
3.2.3 服務訪問控制
服務強制訪問控制,可控制系統服務不被新增�、刪除及修改服務程序執行路徑�。
3.2.4 注冊表訪問控制
注冊表訪問控制Windows控制對注冊表鍵/鍵值訪問���。
3.2.5 磁盤訪問控制
磁盤對象訪問控制�����,可控制指定物理磁盤與邏輯卷的訪問。
3.3 區域邊界訪問控制
區域邊界完整性保護主要是指防止非法入侵、非法外聯�����,網絡邊界不被破壞。系統的邊界應當是可控的、安全的�����,其完整性主要取決于穿越區域的連接是可控的���、經過授權的���,未經允許禁止建立穿越邊界的網絡連接�����。
根據等保安全要求���,區域邊界控制設備工控防火墻使用智能學習引擎�,對于可深度解析的應用層業務協議進行學習�����,自動輔助生成滿足業務安全需求的白名單規則���,并以此規則為基準進行安全防護�����,極大提高區域邊界的安全性�����。使用支持白名單機制的工業防火墻與安全管理中心配合一起,可以完成對區域邊界的完整性保護。
網絡連接“白名單”機制的基本原理默認禁止所有連接�����,只有白名單里面的連接可以建立���。工業白名單不僅只傳統的五元組���,還支持控制到應用層協議和具體的工業指令�����,從而徹底保證邊界安全�����。
工業系統網絡流量具有確定性,即什么樣的流量可以在網絡間傳輸是明確可控的。傳統的“黑名單”模式防火墻不適用這種場景�����,因為我們很難定義出所有的未知威脅和攔截策略���。
三中科技安全整體解決方案�����,通過的工控主機衛士���,可保障主機環境的程序可信�����、外設連接可信�、數據的保密性和完整性�;通過工業防火墻,可保障工控網絡區域邊界的可信接入和信息的完整性�;通過工控安全監測審計設備���,可以保障一個工業網絡內部的設備訪問控制監測的可度量�����;再配合工控主機態勢感知系統預測網絡攻擊并進行主動防御,就可以建立完整的工控安全管控解決方案�。
