工業(yè)控制系統(tǒng)應(yīng)用與安全防護技術(shù)（微課版）課件 第5章 部件制造安全技術(shù)

工業(yè)控制系統(tǒng)應(yīng)用與安全防護技術(shù)第5章

部件制造安全技術(shù)5.1可信計算可信計算，即TrustedComputing，簡稱TC，是由可信計算組（TrustComputingGroup,TCG）推動和開發(fā)的技術(shù)。其本質(zhì)是在計算和通信系統(tǒng)中使用基于硬件安全模塊支持下的可信計算平臺，進而提升整個系統(tǒng)的安全性。從技術(shù)角度來講，“可信”意味著使用者可以充分相信引入了可信計算的計算機行為會更全面地遵循設(shè)計要求，執(zhí)行設(shè)計者和軟件編寫者所禁止的行為的概率很低。5.1.1可信計算概述可信計算是為了解決計算機和網(wǎng)絡(luò)結(jié)構(gòu)上的不安全，從根本上提高安全性的技術(shù)方法，可信計算是從邏輯正確驗證、計算體系結(jié)構(gòu)和計算模式等方面的技術(shù)創(chuàng)新，以解決邏輯缺陷不被攻擊者所利用的問題，形成攻防矛盾的統(tǒng)一體，確保完成計算任務(wù)的邏輯組合不被篡改和破壞，實現(xiàn)正確計算。關(guān)于可信，目前尚未有一個統(tǒng)一的定義，不同的組織給出了自己的定義，主要有以下幾種說法。1999年，國際標準化組織與國際電子技術(shù)委員會在ISO/IEC15408標準中定義可信為：參與計算的組件、操作或過程在任意的條件下是可預(yù)測的，并能夠抵御病毒和一定程度的物理干擾。2002年，國際可信計算工作組TCG用實體行為的預(yù)期性來定義可信：如果一個實體的行為總是以預(yù)期的方式，朝著預(yù)期的目標前進，那么這個實體是可信的。這一定義的優(yōu)點是抓住了實體的行為特征，符合哲學(xué)上實踐是檢驗真理的唯一標準的基本原則。電氣電子工程師學(xué)會IEEE可信計算技術(shù)委員會認為：可信是指計算機系統(tǒng)所提供的服務(wù)是可信賴的，而且這種可信賴是可以論證的。我國沈昌祥院士認為：可信計算系統(tǒng)是能夠提供系統(tǒng)的可靠性、可用性、信息和行為安全性的計算機系統(tǒng)。系統(tǒng)的可靠性和安全性是現(xiàn)階段可信計算最重要的兩個屬性。5.1.2可信計算平臺可信計算平臺通用架構(gòu)可分為3個層次，包括基礎(chǔ)硬件層、可信服務(wù)層和安全應(yīng)用層，如圖5-1所示。5.1.3可信平臺模塊TPMTPM是具有密鑰存儲、管理和簽名認證的小型系統(tǒng)芯片，作為可信平臺的核心部件，通過TPM芯片的可信度量機制實現(xiàn)從硬件到操作系統(tǒng)到應(yīng)用的過渡，生成平臺配置信息并保存到平臺配置寄存器中，通過平臺配置寄存器的擴展機制實現(xiàn)平臺配置信息的動態(tài)存儲，同時通過TPM對平臺配置信息進行承諾計算以及簽名，并提供密鑰存儲、可信報告和可信認證等諸多功能特性。5.1.4可信計算涉及的關(guān)鍵技術(shù)可信計算技術(shù)包括多個方面，其研究對象也覆蓋了涉及計算機技術(shù)中的絕大多數(shù)領(lǐng)域。計算機軟硬件、網(wǎng)絡(luò)通信、虛擬網(wǎng)絡(luò)中的用戶行為等都在可信計算技術(shù)的研究層次中。其中涉及到的主要可信計算技術(shù)包括以下幾個方面：（1）信任鏈傳遞。（2）可信BIOS。（3）可信安全芯片。（4）可信計算軟件棧。為了加強系統(tǒng)的可信性以及可靠性，設(shè)計了可信計算軟件棧，其是一種可信計算平臺的支持軟件。通過可信計算軟件棧，軟件應(yīng)用能夠與安全芯片進行對接，從而利用物理信任根來保證軟件應(yīng)用的可信，加強系統(tǒng)和軟件的可靠性。其通過建立多個層級的可信協(xié)議棧實現(xiàn)信任機制，并且可以為一些基本數(shù)據(jù)提供必要的認證和保護。（5）可信網(wǎng)絡(luò)連接?？尚啪W(wǎng)絡(luò)連接的意義在于實現(xiàn)在網(wǎng)絡(luò)通信中計算機聯(lián)網(wǎng)的可信接入。在計算機接入網(wǎng)絡(luò)時，要確保接入網(wǎng)絡(luò)的流程符合網(wǎng)絡(luò)的預(yù)期接入策略，例如符合白名單的ip、主機安裝某些特定軟件等，對不符合接入策略的主機將被限制聯(lián)網(wǎng)，只有滿足接入流程中所有網(wǎng)絡(luò)的接入條件后才可以接入網(wǎng)絡(luò)。5.2加解密技術(shù)密碼技術(shù)是網(wǎng)絡(luò)信息保密與安全的核心和關(guān)鍵。它提供了許多有效的核心技術(shù)來確保信息的安全問題，在保證信息的機密性、認證性方面發(fā)揮著重要的作用。加解密技術(shù)的主要任務(wù)是解決信息的保密性和可認證性問題，也就是保證在生成、傳遞、處理、保存信息的過程中不被非法授權(quán)者更改或者偽造等。

5.2.1數(shù)據(jù)加解密算法概述密碼學(xué)的基本思想是兩種不同形式的消息之間的變換。密碼學(xué)中用到的各種變換稱為密碼算法。如果一個變換能夠?qū)⒁粋€有意義的消息（明文）變換成表面上無意義的消息（密文），從而使得非授權(quán)者無法讀懂明文的內(nèi)容，這個變換稱之為加密算法，這個轉(zhuǎn)換的過程稱為加密。同樣，如果合法授權(quán)用戶用一個變換能夠?qū)⒁粋€非授權(quán)用戶難以讀懂的信息變換成有意義的信息，那么這個變換被稱之為解密算法。合法授權(quán)用戶把已經(jīng)加密的信息（密文）恢復(fù)成明文的過程稱為解密。密碼學(xué)有兩個重要分支，一個是密碼編碼學(xué)（Crotography），另外一個是密碼分析學(xué)（Cryptanalysis）。密碼編碼學(xué)研究如何保密，是對信息進行編碼實現(xiàn)隱蔽信息的一門學(xué)科。人們通過信息的變換，將敏感的消息變成在保存和傳輸過程中人們無法直接理解的內(nèi)容，以達到保密信息的目的。

密碼分析學(xué)研究如何破譯密碼，是運用各種分析手段在未知密鑰的情況下從密文中找出有用的信息破譯密文或者偽造消息。

根據(jù)功能的不同，密碼系統(tǒng)可以分為保密系統(tǒng)（PrivacySystem）和認證系統(tǒng)（AuthenticationSystem）兩種。保密系統(tǒng)用來確保消息的保密性，認證系統(tǒng)用來確保消息的認證性。5.2.2數(shù)據(jù)加解密技術(shù)的常用術(shù)語數(shù)據(jù)加密技術(shù)是當今信息安全的主流技術(shù)同時也是信息安全的核心技術(shù)。它主要用來保護關(guān)鍵信息的安全傳輸與存儲。信息發(fā)送者將關(guān)鍵數(shù)據(jù)使用加密密鑰進行加密，將所得到的密文傳送給接收方，信息接收者則使用解密密鑰將傳輸?shù)拿芪臄?shù)據(jù)解密后恢復(fù)出數(shù)據(jù)原文。下面是數(shù)據(jù)加解密技術(shù)中常用的基本術(shù)語。消息（明文）：表示未被加密的數(shù)據(jù)信息，它是加密輸入的原始信息，一般用m或p表示。所有明文的集合稱為明文空間，一般用M或P來表示。密文：是指明文經(jīng)過加密變換后的數(shù)據(jù)，即經(jīng)過加密運算處理后的消息數(shù)據(jù)，通常用c表示。所有密文的集合稱為密文空間，一般用C來表示。密鑰：是指控制密碼變換操作的關(guān)鍵數(shù)據(jù)或參數(shù)，一般用k表示，它由加密密鑰和解密密鑰kd組成。所有密鑰的集合稱為密鑰空間，一般用K來表示。加密算法：是將明文變換成密文的函數(shù)，相應(yīng)的變換過程稱為加密過程，這是一個編碼的過程，通常用E表示，即c=Ek(m)。信息加密的基本原理如圖5-3所示。解密算法：是將密文恢復(fù)為明文的函數(shù)，相應(yīng)的變換過程稱為解密過程，即解碼的過程，通常用D表示，即m=Dk(c)，它與加密過程是互逆的關(guān)系。信息解密的基本原理如圖5-4所示。5.2.3對稱與非對稱加密算法的區(qū)別不論是在日常生活、金融活動、軍事應(yīng)用或者工業(yè)控制系統(tǒng)應(yīng)用當中，針對加解密技術(shù)的算法分為兩個大類，分別是對稱密碼算法和非對稱密碼算法，非對稱密碼很多時候也叫做公開密鑰算法。1.對稱加密算法

非對稱加密算法5.2.4加解密算法在工業(yè)控制系統(tǒng)中的應(yīng)用對于工業(yè)控制系統(tǒng)，可以從技術(shù)層面構(gòu)建工控領(lǐng)域行業(yè)密碼保障體系，實現(xiàn)工控行業(yè)信息系統(tǒng)的安全防護，綜合保障工控行業(yè)業(yè)務(wù)應(yīng)用的安全。大力發(fā)展密碼基礎(chǔ)設(shè)備支撐，其中包括服務(wù)器密碼機、PLC密碼模塊、工業(yè)主機密碼卡、安全網(wǎng)關(guān)，對工控行業(yè)密碼應(yīng)用提供基礎(chǔ)的設(shè)備支撐環(huán)境。密碼基礎(chǔ)服務(wù)支撐是指在密碼基礎(chǔ)設(shè)備支撐的基礎(chǔ)上，提供統(tǒng)一認證、授權(quán)管理、單點登錄、訪問控制等信任服務(wù)，包括身份認證系統(tǒng)、數(shù)據(jù)加解密服務(wù)系統(tǒng)、數(shù)據(jù)可信服務(wù)系統(tǒng)、密鑰管理系統(tǒng)、PLC密碼模塊中間件、工業(yè)主機密碼卡中間件、安全SCADA密碼應(yīng)用服務(wù)系統(tǒng)。監(jiān)控預(yù)警態(tài)勢感知平臺能夠?qū)崟r采集分析加密裝置、解密裝置、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等的安全與設(shè)備信息。通過大數(shù)據(jù)建模分析與建設(shè)核心知識庫，進行風(fēng)險評估、態(tài)勢感知，預(yù)防相關(guān)設(shè)備潛在風(fēng)險的發(fā)生。工控業(yè)務(wù)系統(tǒng)密碼應(yīng)用主要包括用戶或設(shè)備訪問業(yè)務(wù)應(yīng)用時的身份認證、授權(quán)管理、數(shù)據(jù)存儲安全、數(shù)據(jù)共享安全等；安全SCADA系統(tǒng)可實現(xiàn)基于國產(chǎn)密碼的安全通信、靜態(tài)可信鏈、動態(tài)度量等功能。工控區(qū)域邊界密碼應(yīng)用用于實現(xiàn)邊界的隔離、身份識別，其密碼應(yīng)用主要表現(xiàn)在訪問者身份可信、訪問權(quán)限的合法性、以及保障資源節(jié)點可信等方面。工控終端設(shè)備密碼應(yīng)用主要是指控制設(shè)備、管理設(shè)備以及各類無線采集設(shè)備等，在遠程傳輸過程中，保障數(shù)據(jù)在傳輸過程中的機密性、完整性。基于內(nèi)嵌的各類密碼模塊及密碼中間件，能夠為各類工控終端設(shè)備提供安全的密碼應(yīng)用基礎(chǔ)和環(huán)境。為了進一步提高安全性，加速密碼應(yīng)用國產(chǎn)化，實現(xiàn)國產(chǎn)密碼在終端設(shè)備中的應(yīng)用。5.3芯片與硬件安全作為現(xiàn)代信息系統(tǒng)硬件設(shè)備的“靈魂”部件，芯片在從個人PC到大型智能工業(yè)控制系統(tǒng)設(shè)備的運轉(zhuǎn)過程中，發(fā)揮了關(guān)鍵性的作用。芯片安全是網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈上極為重要的一環(huán)，芯片技術(shù)的自主可控，成為整個硬件自主可控的關(guān)鍵所在。5.3.1芯片安全問題的產(chǎn)生隨著集成電路的發(fā)展，集成電路的規(guī)模已經(jīng)步入超大規(guī)模，工藝尺寸也越來越低，設(shè)計與制造分工越來越細化，并且

IC的制造成本也越來越高。在高利潤的誘惑下，越來越多第三方廠商也參與到IC的設(shè)計與制造中，因此導(dǎo)致了芯片在最終制作完成前的每個階段都面臨著風(fēng)險。硬件安全問題的主要源頭為隱藏于集成電路中的惡意模塊，稱為硬件木馬（hardwareTrojan，HT）。在集成電路特別是超大規(guī)模集成電路的設(shè)計中，惡意供應(yīng)商只需要在IC的設(shè)計端稍微進行改動，就可以將硬件木馬很方便地嵌入到IC產(chǎn)品中。從寄存器傳輸級（RTL）代碼合成到門級網(wǎng)表設(shè)計，再到芯片集成封裝，每個鏈路都可以嵌入硬件木馬。在設(shè)計階段，IP核供應(yīng)商和設(shè)計師都需要使用EDA供應(yīng)商提供的EDA軟件，但EDA軟件的可靠性無法保證。并且設(shè)計者也無法保證使用的第三方IP核和布局文件的可靠性。另外，當設(shè)計布局投入生產(chǎn)時，由于不可信員工的參與和對第三方供應(yīng)商的需求，致使IC的安全問題面臨嚴峻的考驗。因此，保證設(shè)計與制造周期的每一步能夠正確執(zhí)行，減少甚至避免由硬件安全問題所帶來的不必要的開銷顯得尤為重要，這其中包括時間和額外成本開銷，就需要高度關(guān)注IC的安全性。硬件木馬入侵主要包括五個階段。（1）第一階段，不受信任的鑄造廠參與階段：鑄造廠的惡意攻擊者通過在光刻掩模中將硬件木馬模塊植入設(shè)計中。硬件木馬模塊修改原始布局的晶體管、柵極和互連形式。（2）第二階段，不受信任的EDA工具、員工或第三方設(shè)計公司：由于IC的設(shè)計制造過程極其復(fù)雜，需要越來越多的專業(yè)IC設(shè)計師和工具參與其中。此時，硬件木馬就會被不受信任的第三方商業(yè)EDA工具或內(nèi)部團隊中的不受信任的設(shè)計師偷偷插入芯片，這種硬件木馬威脅也稱為內(nèi)部威脅。此外，客戶還可以將IC的設(shè)計規(guī)范外包給海外第三方設(shè)計公司，這些不受信任的設(shè)計公司可能會在原始設(shè)計中添加額外的模塊或功能以此來插入硬件木馬。（3）第三階段，不受信任的第三方IP核供應(yīng)商：SoC開發(fā)者在完成他們設(shè)計的過程中，可以購買并使用第三方IP核來協(xié)助完成。此時威脅更加明顯，不受信任的第三方IP核供應(yīng)商向客戶提供的這些IP核可能包含惡意邏輯或者后門。（4）第四階段，片上總線中不受信任的路由器或鏈路：攻擊者可能會使用已經(jīng)受到硬件木馬感染的惡意路由節(jié)點或流量鏈路來破壞片上總線的完整性。這樣的惡意總線結(jié)構(gòu)將被集成到SoC當中。（5）第五階段，不受信任的SoC開發(fā)者：不受信任的SoC開發(fā)者可能會開發(fā)出SoC級受硬件木馬影響的SoC設(shè)計，或集成來自不受信任的第三方IP供應(yīng)商的軟硬IP核，以此來影響整個SoC的功能。5.3.2硬件木馬基本原理1.硬件木馬特征

硬件木馬是指攻擊者通過一定手段在原始電路中植入的特殊功能模塊。由于大多數(shù)硬件木馬模塊占有較小的集成電路的面積且需要在特定的情形下才會觸發(fā)，其余時間不會對電路的功能造成任何的影響，所以硬件木馬能夠在電路中隱藏而不被發(fā)現(xiàn)。隨著半導(dǎo)體工藝精細化程度的提高，電路的集成度也隨之變高了，硬件木馬的偵測也變得更為困難。

攻擊者通過硬件木馬會對電路造成多種危害，主要有泄露電路傳遞的信息、改變電路正常功能、改變電路設(shè)計參數(shù)以及拒絕服務(wù)等。泄露電路傳遞信息會將用戶的私密消息透漏給攻擊者，這在軍事航空等領(lǐng)域會造成巨大威脅；改變電路正常功能即破壞電路原本的設(shè)計功能，導(dǎo)致電路不能正常運行或者將電路中的部分信息進行篡改致使接收方無法收到正確的信息；改變設(shè)計參數(shù)，在功耗、速度、溫度使用壽命上進行破壞，降低電路工作的性能，甚至?xí)?dǎo)致錯誤的輸出結(jié)果；拒絕服務(wù)目會直接導(dǎo)致電路無法工作。硬件木馬功能的多樣性，也增加了硬件木馬的檢測難度。

2.硬件木馬結(jié)構(gòu)

硬件木馬電路一般是由觸發(fā)電路以及有效載荷電路組成，圖5-8是硬件木馬電路的基本結(jié)構(gòu)。攻擊者一般通過監(jiān)聽輸入、監(jiān)測原始電路狀態(tài)來實現(xiàn)其需要的功能。觸發(fā)邏輯一般是通過外部輸入的結(jié)合或是芯片內(nèi)部邏輯的產(chǎn)生來實現(xiàn)，并且用于控制有效載荷是否開啟。3.硬件木馬分類

考慮到硬件木馬對電路結(jié)構(gòu)以及功能造成的多種影響，如圖5-9所示為硬件木馬基本分類。盡管單個木馬電路可能包含多種分類特征，但該分類方法依舊可以體現(xiàn)出木馬的基本特性。

5.3.3硬件木馬檢測技術(shù)按照硬件木馬檢測方法占比大小排序，可用于硬件木馬檢測的方法包括側(cè)信道分析法、網(wǎng)表級硬件木馬檢測方法、逆向工程分析法等。在大數(shù)據(jù)廣泛應(yīng)用的時代下，對基于機器學(xué)習(xí)的硬件木馬檢測技術(shù)的研究也成為熱點之一。

1.基于側(cè)信道的硬件木馬檢測方法

側(cè)信道信息又被稱之為旁路信號，是由于電路運轉(zhuǎn)而出現(xiàn)的外部物理特性。常見的旁路信號有電磁信息、功耗信息以及耗時信息等。在同一實驗環(huán)境下，原始電路在運行時會生成一組固有的物理特征信息。同樣，硬件木馬在電路中的運轉(zhuǎn)時也會產(chǎn)生相應(yīng)的物理信息。由硬件木馬模塊所產(chǎn)生的額外的物理信息，會造成植入硬件木馬的電路與原始電路的側(cè)信道信息的不同。通過這種差異比較，就可以區(qū)分出電路中是否含有硬件木馬。

此種硬件木馬檢測方式一般都是應(yīng)用在前端設(shè)計完成之后，最基本的側(cè)信道信息檢測技術(shù)流程如圖5-10所示。該檢測方法主要是對原始電路在同一實驗環(huán)境下輸入相同激勵，并選擇合適的側(cè)信道信息進行分析。根據(jù)硬件木馬反映出的側(cè)信道信息設(shè)置正確的判決閾值，最終判斷出待測電路中是否含有硬件木馬。

2.基于網(wǎng)表的硬件木馬檢測技術(shù)

在集成電路的整個設(shè)計過程中，主要由邏輯設(shè)計階段以及后端布局設(shè)計階段組成，而邏輯設(shè)計階段包括規(guī)格制定、RTL設(shè)計、RTL仿真、綜合、靜態(tài)分析以及形式驗證。綜合過程即實現(xiàn)RTL設(shè)計與門級網(wǎng)表之間的轉(zhuǎn)換。網(wǎng)表文件中共包含8個設(shè)計對象，分別是元件庫、設(shè)計、單元、例化、端口、引腳、節(jié)點和時鐘。攻擊方通過插入冗余電路來實現(xiàn)硬件木馬的相應(yīng)功能。當門級網(wǎng)表被植入硬件木馬，門級網(wǎng)表的內(nèi)部結(jié)構(gòu)與單元會發(fā)生改變。具體表現(xiàn)為硬件木馬通過節(jié)點信號連接到原始電路，通過節(jié)點將木馬電路實現(xiàn)的惡意信息傳遞到原始電路中。此硬件木馬的相關(guān)節(jié)點具有隱蔽性高且檢測困難的特點，只要硬件木馬電路未被激活，其可測試性極低。

可以使用動態(tài)或靜態(tài)檢測的方式實現(xiàn)對網(wǎng)表階段的硬件木馬檢測。當使用動態(tài)檢測的方法時，電路中的硬件木馬必須被激活。然而大多數(shù)硬件木馬都是屬于條件激活類型，且激活條件各不相同。由于大多數(shù)時刻下的硬件木馬都處于非激活狀態(tài)，所以使用動態(tài)檢測方式檢測硬件木馬并不容易。

相比于動態(tài)檢測，靜態(tài)檢測技術(shù)具有明顯的優(yōu)勢。在硬件木馬電路未被激活的狀態(tài)下，靜態(tài)檢測依然能夠?qū)ζ鋵嵤z測。具體操作共分為兩個步驟：一是提取出硬件木馬相關(guān)特征；二是選取不同的分析技術(shù)對特征進行分析。目前，網(wǎng)表級的檢測方法可以采取基于搜索以及基于閾值等硬件木馬檢測手段。

一般來說，用于檢測硬件木馬的相關(guān)特征值是多種多樣的，而且對于不同的基準電路以及木馬結(jié)構(gòu)來說，每個特征值在電路檢測時占有的權(quán)重比例也存在差異。因此選取靜態(tài)檢測作為網(wǎng)表級檢測方法時，提取硬件木馬的相關(guān)特征顯得特別重要。

3.逆向工程檢測法

逆向工程法是指采取現(xiàn)有的集成電路逆向工程技術(shù)來檢測硬件木馬的存在，又被稱作基于失效性分析硬件木馬檢測方法。此方法屬于暴力不可逆的物理檢測方法。

通過抽樣檢測同一批次的部分芯片產(chǎn)品，自底向上對抽樣出的產(chǎn)品進行分層解剖。解剖的目的是為了獲得具體的版圖信息，從而分析出電路的邏輯結(jié)構(gòu)。將樣本解剖后得到的電路設(shè)計結(jié)構(gòu)與原始設(shè)計文件進行對比，并且判斷兩者存在的差異。

4.基于機器學(xué)習(xí)的硬件木馬檢測技術(shù)

硬件木馬的檢測與識別，不僅需要考慮到檢測結(jié)果的正確率，還要綜合考慮檢測時檢測電路所需的占用面積、測試時間以及檢測所花費用的總和。尋找一個合適的滿足以上條件的檢測方案，是檢測技術(shù)研究上的一個重大的挑戰(zhàn)。

機器學(xué)習(xí)算法在一定程度上提供了新的思路，它的出現(xiàn)大大提升了硬件木馬檢測的準確度和效率。機器學(xué)習(xí)的概念就是通過使用計算機算法以及數(shù)學(xué)，讓計算機從過去的經(jīng)驗和數(shù)據(jù)中學(xué)習(xí)。只需要收集相關(guān)內(nèi)容的數(shù)據(jù)，利用計算機編程就可以讓其進行自學(xué)。機器學(xué)習(xí)的目標是從數(shù)據(jù)中發(fā)現(xiàn)出平時觀察不到的規(guī)律信息。

5.4安全數(shù)據(jù)庫技術(shù)較大規(guī)模的工業(yè)控制系統(tǒng)環(huán)境，一般都會采用數(shù)據(jù)庫技術(shù)，在許多工業(yè)生產(chǎn)過程中需要將大量的實時測量數(shù)據(jù)進行存儲，采用離散控制系統(tǒng)和關(guān)系數(shù)據(jù)庫技術(shù)難以滿足速度和容量的要求，同時還存在無法平臺化和標準化，相關(guān)接口不統(tǒng)一，訪問復(fù)雜，不適合大規(guī)模集成等問題。因此以分布式實時數(shù)據(jù)庫設(shè)計的工控系統(tǒng)及實時數(shù)據(jù)庫系統(tǒng)緊密的關(guān)聯(lián)到了一起。與歷史數(shù)據(jù)庫相比，實時數(shù)據(jù)庫在工業(yè)控制系統(tǒng)環(huán)境中更多的是應(yīng)用在MES系統(tǒng)、數(shù)據(jù)釆集和實時控制系統(tǒng)當中。不論是傳統(tǒng)信息系統(tǒng)普遍使用的歷史關(guān)系型數(shù)據(jù)庫，還是實時性要求極高的實時數(shù)據(jù)庫，甚至一些比較特殊的內(nèi)存數(shù)據(jù)庫，都是整個工業(yè)控制系統(tǒng)的核心組成部分。為了保證數(shù)據(jù)庫的安全性，要從整個系統(tǒng)的安全架構(gòu)和數(shù)據(jù)庫自身的安全設(shè)計兩個方面同時考慮。5.4.1數(shù)據(jù)庫安全的定義數(shù)據(jù)庫安全可以分為數(shù)據(jù)庫運行的系統(tǒng)安全與數(shù)據(jù)庫內(nèi)的信息安全兩種。數(shù)據(jù)庫的系統(tǒng)安全主要指攻擊者對數(shù)據(jù)庫運行的系統(tǒng)環(huán)境進行攻擊，使系統(tǒng)無法正常運行，從而導(dǎo)致數(shù)據(jù)庫無法運行。數(shù)據(jù)庫的信息安全主要指數(shù)據(jù)被破壞和泄露的威脅，例如攻擊者侵入數(shù)據(jù)庫獲取數(shù)據(jù)，或者由于內(nèi)部人員可以直接接觸敏感數(shù)據(jù)導(dǎo)致的數(shù)據(jù)泄露問題，后者逐漸成為了數(shù)據(jù)泄露的主要原因之一。5.4.2數(shù)據(jù)庫系統(tǒng)面臨的安全威脅隨著攻擊者的技術(shù)水平不斷提升，數(shù)據(jù)泄露事件頻繁發(fā)生，給數(shù)據(jù)庫帶來了越來越多的安全問題，數(shù)據(jù)庫面臨的威脅主要包括以下幾種：１）外部攻擊攻擊者經(jīng)常利用Web應(yīng)用漏洞，通過Web應(yīng)用竊取數(shù)據(jù)庫中數(shù)據(jù)，如果Web應(yīng)用沒有做好對攻擊的防護，可能就會導(dǎo)致數(shù)據(jù)庫中的數(shù)據(jù)遭到破壞、篡改或竊取。２）權(quán)限濫用攻擊者有時候會利用合法用戶的身份來對數(shù)據(jù)庫進行攻擊，以竊取更高的權(quán)限或更敏感的數(shù)據(jù)。有時候由于合法用戶不當操作也會造成數(shù)據(jù)庫中數(shù)據(jù)的損壞。３）內(nèi)部人員竊取數(shù)據(jù)數(shù)據(jù)庫管理員通常有著很高的權(quán)限，可以查看數(shù)據(jù)庫中幾乎所有的信息，此時如果由于管理員的操作失誤或者惡意報復(fù)等原因?qū)?shù)據(jù)進行竊取或篡改，就會帶來嚴重的損失。5.4.3數(shù)據(jù)庫安全管理技術(shù)用戶通常通過Web應(yīng)用來對數(shù)據(jù)庫進行訪問，在訪問過程中，需要經(jīng)過防火墻，通過身份認證技術(shù)、權(quán)限管理技術(shù)與數(shù)據(jù)管理技術(shù)共同保護數(shù)據(jù)庫中數(shù)據(jù)的安全性。數(shù)據(jù)庫安全管理如圖5-13所示，主要包括身份認證、權(quán)限管理和數(shù)據(jù)管理。1.身份認證身份認證是指用戶向系統(tǒng)提供證據(jù)證明自己的身份，證據(jù)與身份必須一一對應(yīng)，同時不可偽造，而且數(shù)據(jù)庫應(yīng)該有相應(yīng)機制可以證明用戶的身份合法性。由于身份認證技術(shù)主要是通過證據(jù)來證明用戶身份的，常見的證據(jù)主要有以下幾種：口令、生物學(xué)信息、智能卡等，下面分別進行介紹：1）基于口令的身份認證技術(shù)。用戶需要提供自己的口令供系統(tǒng)進行認證，認證通過則證明用戶身份合法有效。2）基于生物學(xué)信息的身份認證技術(shù)。這種身份認證技術(shù)通常使用圖像處理技術(shù)或模式識別技術(shù)來識別用戶身份。用戶通常提供指紋、聲音、虹膜、臉部等生物學(xué)特征信息來進行驗證。這些信息理論上具有唯一性和不可偽造性。3）基于智能卡的身份認證技術(shù)?；谥悄芸ǖ纳矸菡J證技術(shù)需要用戶持有一個額外的智