可信工業(yè)自動化和控制系統(tǒng)研發(fā)之探討

1

引言

工業(yè)自動化和控制系統(tǒng)（IndustrialAutomationandControlSystems，IACS），簡稱工控系統(tǒng)，廣泛應(yīng)用于制造業(yè)、流程工業(yè)等工業(yè)領(lǐng)域，航空航天、軌道交通、樓宇等系統(tǒng)，電力、天然氣、自來水供給等公共設(shè)施中。工控系統(tǒng)是國民經(jīng)濟、人民生活正常運轉(zhuǎn)的重要支撐。隨著工控系統(tǒng)的進一步開放互聯(lián)、數(shù)字化、網(wǎng)絡(luò)化甚至全面云化，工控系統(tǒng)自身的信息安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設(shè)備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量等方面的威脅與日俱增。NATO（北約）已將網(wǎng)絡(luò)空間認定為作戰(zhàn)域，視網(wǎng)絡(luò)攻防為新的戰(zhàn)場，許多西方信息安全公司也已將信息安全上升到軍事戰(zhàn)爭高度。對工控系統(tǒng)僅采用傳統(tǒng)的“封堵查殺”信息安全手段，已基本無法應(yīng)對系統(tǒng)性高強度的網(wǎng)絡(luò)攻擊（如APT攻擊）。按照國家《網(wǎng)絡(luò)安全法》的規(guī)定，能源、交通、水利等國家重要行業(yè)和領(lǐng)域的工控系統(tǒng)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施，其一旦遭到破壞、喪失功能或者關(guān)鍵數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益。鑒于關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)對于國民經(jīng)濟和社會生活的重要性及其所面臨日趨嚴峻的環(huán)境，研發(fā)和構(gòu)建滿足關(guān)鍵基礎(chǔ)設(shè)施安全需求的新一代可信工控系統(tǒng)迫在眉睫。2

可信工控系統(tǒng)概念及關(guān)鍵特性

2.1

概念

狹義的工控系統(tǒng)是指工業(yè)生產(chǎn)、交通運輸、水電氣等公共設(shè)施中使用的自動化和控制系統(tǒng)，包括分散控制系統(tǒng)（DCS）、監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)（SCADA）及其它監(jiān)視和診斷系統(tǒng)，可編程邏輯控制器（PLC）、遠程終端單元（RTU）及其它智能儀表或電子裝置等。隨著工廠數(shù)字化、網(wǎng)絡(luò)化、智能化的加速推進，OT和IT的深度融合，新型的工控系統(tǒng)內(nèi)涵已擴大不少。以智能電廠為例，如圖1所示，其工控系統(tǒng)不僅從原先單純的監(jiān)視和控制功能擴充到包含模型、預(yù)測、優(yōu)化、管理等功能的控制域和運維域，而且還擴展到包括信息域、應(yīng)用域，甚至業(yè)務(wù)域（如其中的AMS資產(chǎn)管理系統(tǒng)）。習慣上，工控系統(tǒng)的安全依賴于物理隔離，系統(tǒng)不與外網(wǎng)和無線網(wǎng)互聯(lián)，將系統(tǒng)中脆弱性組件與網(wǎng)絡(luò)隔離，關(guān)鍵控制系統(tǒng)設(shè)計和訪問規(guī)則采取隱含或模糊原則等。但在泛在感知、泛在互聯(lián)、云-邊協(xié)同、工控/信息深度融合等發(fā)展背景下，傳統(tǒng)的安全措施已不能系統(tǒng)保護工控系統(tǒng)的信息安全，研發(fā)新一代可信工控系統(tǒng)的需求提上日程。圖1智能電廠工控系統(tǒng)架構(gòu)及信息流示意圖所謂可信工控系統(tǒng)，是指在面臨環(huán)境干擾、人為錯誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時，系統(tǒng)在信息安全、功能安全、可靠性、韌性、私密性等關(guān)鍵系統(tǒng)特性方面的性能達到預(yù)期的工業(yè)自動化和控制系統(tǒng)，如圖2所示。對于可信工控系統(tǒng)而言，從結(jié)構(gòu)視角來看，不僅構(gòu)成工控系統(tǒng)的I/O單元、控制器、交換機、服務(wù)器、操作員站等部件及其系統(tǒng)軟件、應(yīng)用軟件等建立在可信機制上，而且防火墻、網(wǎng)閘、DMZ（非軍事區(qū)）等網(wǎng)絡(luò)安全設(shè)備及其網(wǎng)管設(shè)備和軟件等也均建立于可信機制之上?？尚哦仁侵赶到y(tǒng)在面對環(huán)境干擾、人為錯誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時，人們對系統(tǒng)在所有關(guān)鍵系統(tǒng)特性方面的性能達到期望所具有的信心程度。可信工控系統(tǒng)的可信程度可以用可信度來進行度量。圖2可信工控系統(tǒng)特性2.2

關(guān)鍵特性

信息安全是指保護系統(tǒng)不受意外或未經(jīng)授權(quán)的訪問、變更或破壞，系統(tǒng)連續(xù)可靠正常運行的狀態(tài)，其基本要素包括常稱之為CIA三角的機密性、完整性和可用性。功能安全是指系統(tǒng)運行時，不會直接或間接引起人身健康或安全、環(huán)境破壞及資產(chǎn)財產(chǎn)損失方面不可接受風險的狀態(tài)。可靠性是指系統(tǒng)或部件在規(guī)定的條件和規(guī)定的時間內(nèi)執(zhí)行其所需功能的能力。韌性是指系統(tǒng)在完成分配的任務(wù)時能規(guī)避、承受和管理所面臨的動態(tài)不利條件，并在遭受重大損失后仍能重建其運行能力的行為方式，是系統(tǒng)的緊急屬性。私密性是指個人或團體控制或影響與之相關(guān)的信息哪些可被收集、處理和存儲，以及可由誰和向誰披露該信息的權(quán)利。信息安全、功能安全、可靠性、韌性和私密性是判定一個工控系統(tǒng)是否可信的重要特征，因而將這五個特征稱之為可信工控系統(tǒng)的關(guān)鍵特征。系統(tǒng)的可擴展性、可用性、可維護性、可移植性或可組合性等其它特性也很重要，但通常不被認為是可信性的“關(guān)鍵特征”。3

可信工控系統(tǒng)信息安全技術(shù)框架

可信工控系統(tǒng)信息安全技術(shù)框架可分為三層，如圖3所示，其最高層由基于可信機制的端點防護、通信&互聯(lián)防護、信息安全監(jiān)視&分析、信息安全配置&管理等四個核心安全功能組成，其支撐層由基于可信機制的數(shù)據(jù)防護層和覆蓋整個系統(tǒng)的信息安全模型&信息安全策略層構(gòu)成。圖3可信工控系統(tǒng)信息安全技術(shù)框架3.1

最高層

最高層是可信工控系統(tǒng)信息安全的關(guān)鍵，其四個核心功能簡述如下：（1）端點防護：對本地工控系統(tǒng)或采用云-邊架構(gòu)的工業(yè)互聯(lián)網(wǎng)系統(tǒng)的端點（端點是指具有計算和通信能力，實現(xiàn)某種功能的設(shè)備或部件，如工業(yè)互聯(lián)網(wǎng)中的邊緣設(shè)備、通信設(shè)施、云服務(wù)器等）進行防護。又可細分為端點物理安全、端點可信根、端點身份識別、端點完整性防護、端點訪問控制、端點監(jiān)視&分析、端點安全配置&管理和端點信息安全模型&安全策略等。（2）通信和互聯(lián)防護：通常端點間需相互通信，而通信可能是漏洞的來源，工控信息安全僅單靠端點防護是不夠的，通信和互聯(lián)防護的必要性顯而易見。基于對端點的身份鑒別、通信授權(quán)和加密，通信和互聯(lián)防護為端點到網(wǎng)絡(luò)的連接提供物理安全保障，保護網(wǎng)絡(luò)中的信息流，并對端點間的通信進行加密保護。從功能劃分視角看，通信和互聯(lián)防護又可細分為互聯(lián)物理防護、通信端點防護、信息流防護、密碼防護、網(wǎng)絡(luò)配置&管理、網(wǎng)絡(luò)監(jiān)視&分析、通信&互聯(lián)防護的安全策略等。（3）安全監(jiān)視&分析：以監(jiān)視-分析-行動的循環(huán)周而復(fù)始進行，首先是抓取端點及互聯(lián)通信、遠程登錄、供應(yīng)鏈的全部狀態(tài)相關(guān)數(shù)據(jù)，然后對這些數(shù)據(jù)進行行為分析和基于規(guī)則的分析或其它類別的基于機器學習的態(tài)勢分析，以探測或感知出可能的安全違規(guī)行為或潛在的系統(tǒng)漏洞、威脅、攻擊等。一旦探測或感知到上述狀態(tài)或行為，則立即按照系統(tǒng)安全策略等相關(guān)規(guī)定來執(zhí)行一系列動作（如主動、預(yù)測性的提前消除威脅；自動響應(yīng)正在進行的攻擊，減輕威脅，恢復(fù)正常狀態(tài)；根原因/取證分析、取證調(diào)查等）。（4）安全配置和管理：負責工控系統(tǒng)運營功能（包括可靠性和安全行為）及其網(wǎng)絡(luò)安全設(shè)備的變更控制和管理，以確保所有變更均以安全、受控和可信的方式執(zhí)行。3.2

數(shù)據(jù)防護層

數(shù)據(jù)防護層包括端點數(shù)據(jù)防護、通信數(shù)據(jù)防護、配置數(shù)據(jù)防護、監(jiān)視數(shù)據(jù)防護、數(shù)據(jù)安全模型&安全策略等子功能，通過采用機密性控制、完整性控制、訪問控制、隔離和復(fù)制等手段，對靜態(tài)數(shù)據(jù)（指在數(shù)據(jù)庫服務(wù)器、控制器固態(tài)磁盤等存儲的數(shù)據(jù)）、在用數(shù)據(jù)（指放置在RAM、CPU緩存和寄存器等中的非持久性數(shù)據(jù)）、運動數(shù)據(jù)（指在端點間移動的數(shù)據(jù)）等實施防護，以保護上述數(shù)據(jù)均不受未經(jīng)授權(quán)的訪問和不受控制的變更。3.3

信息安全模型&策略層

信息安全模型和策略層負責對信息安全如何實施，以及用于確保工控系統(tǒng)在整個生命周期中的機密性、完整性和可用性等的信息安全策略進行管理和控制。它協(xié)調(diào)整個信息安全體系中的所有功能元素協(xié)同工作，以使工控系統(tǒng)始終處于持續(xù)的符合要求的安全狀態(tài)。具體而言，該層首先是基于系統(tǒng)威脅分析和系統(tǒng)安全目標，確立安全策略（該策略是動態(tài)變化的而非固化一成不變的）和安全模型，再依次確立數(shù)據(jù)防護安全策略、端點防護安全策略、通信&互聯(lián)安全策略、監(jiān)視&分析安全策略、配置&管理安全策略等。4

可信鏈

眾所周知，一件質(zhì)量優(yōu)良的產(chǎn)品主要是通過優(yōu)良的設(shè)計和制造而非校核和檢驗得到。工控信息安全體系的構(gòu)建也是如此，只有基于可信機制建立的可信工控系統(tǒng)，才可以克服傳統(tǒng)的網(wǎng)絡(luò)安全基于普通設(shè)備而僅采用“封堵查殺”的不徹底性，從而從根本上系統(tǒng)解決工控系統(tǒng)的信息安全。圖4構(gòu)成可信對象的可信鏈為了確保工控系統(tǒng)的全面安全，無論是網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備，還是工控主機、服務(wù)器或控制器及其軟件等，都必須是安全可信的。一個可信的安全對象的可信鏈是由可信供應(yīng)鏈、可信根、可信操作系統(tǒng)、安全數(shù)據(jù)存儲、安全通信、應(yīng)用軟件完整性、安全設(shè)備管理等環(huán)節(jié)構(gòu)成，如圖4所示。各環(huán)節(jié)說明如下：（1）可信供應(yīng)鏈：為建立可信工控系統(tǒng)，必須首先確保系統(tǒng)的全部構(gòu)成部件（包括硬件、固件、軟件等）的供應(yīng)鏈是可信的。具體研發(fā)及應(yīng)用中可按照ISO28000系列國際標準的要求，建立相應(yīng)的可信安全供應(yīng)鏈。（2）可信根：是本質(zhì)上可信的功能集，這些功能可以是硬件功能也可以是軟件功能，主要用于執(zhí)行鑒別、保護加密密鑰、軟件的測量或驗證、探測及報告對程序或系統(tǒng)的未授權(quán)變更等。國際可信計算組織（由AMD、惠普、IBM、Intel、微軟等組建）確定了TPM（可信保護模塊）的規(guī)范和標準，國家密碼管理局也制定有TCM（可信密碼模塊）的相關(guān)標準和規(guī)范。TPM和TCM等都屬于硬件類可信根芯片，均屬于國際標準所對應(yīng)的TPM（可信平臺模塊）。關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)需采用如TPM、TCM類的硬件方法來對密鑰存儲提供最佳保護，其次，其供應(yīng)鏈也能受到較好的控制。若設(shè)備沒有可信根，則從設(shè)備發(fā)出的任何信息注定是不可信的。ISO/IEC11889系列國際標準對可信平臺模塊的架構(gòu)、結(jié)構(gòu)、命令、算法和方法等進行了規(guī)定。GB/T38638國家標準對可信計算的體系結(jié)構(gòu)、可信部件等進行了規(guī)定。密碼行業(yè)標準GM/T0012、GM/T0013、GM/T0058、GM/T0082等分別對TCM接口、TCM符合性檢測、TCM服務(wù)模塊接口、TCM保護輪廓等進行了規(guī)范。（3）可信操作系統(tǒng)：可提供安全的引導(dǎo)和安全的操作環(huán)境，具有主體行為的可信性，客體內(nèi)容的保密性、完整性和可信性，自身的完整性等特點?？尚挪僮飨到y(tǒng)具備提供存貯器和文件保護、I/O設(shè)備訪問控制、用戶鑒別、訪問控制、探測某些攻擊等功能。不可信的操作系統(tǒng)極易導(dǎo)致惡意代碼或其它攻擊。ISO/IEC

15408國際標準規(guī)定了安全操作環(huán)境的相關(guān)要求。GB/T37935國家標準對可信軟件基的總體結(jié)構(gòu)、功能模塊、交互接口、工作流程、自身安全要求等進行了規(guī)定。（4）安全數(shù)據(jù)存儲：除應(yīng)對系統(tǒng)軟件進行保護外，還需對應(yīng)用軟件和存儲在設(shè)備上的數(shù)據(jù)進行保護。安全數(shù)據(jù)存儲的目標就是確保存儲在設(shè)備上的數(shù)據(jù)只能由授權(quán)用戶和進程進行訪問，并提供相應(yīng)機制以確保數(shù)據(jù)不能被感染、篡改或損壞。（5）安全通信：應(yīng)提供安全的網(wǎng)絡(luò)服務(wù)，便于設(shè)備之間的安全通信。安全通信通過采用恰當?shù)募用堋⑸矸葑R別、校驗等措施，確保信息不被偽造、重放或損壞（如報文重復(fù)、丟失、插入、亂序、損壞、延遲等）。國際上主要的通信組織都制定有相應(yīng)的安全通信規(guī)約標準，如CIPSafetySpecification（CIP安全通信規(guī)范）、IEC61784-3等。（6）軟件完整性：除采用可信操作系統(tǒng)外，也必須保護在設(shè)備上運行的應(yīng)用軟件免受篡改或感染。軟件完整性即提供應(yīng)用軟件檢測和防護所需的功能、進程和工具。（7）安全設(shè)備管理：可信操作系統(tǒng)、安全數(shù)據(jù)存儲、安全通信、軟件完整性均是有助于設(shè)備保護的功能，但這些功能和模塊也必須接受安全管理。此外，還需對設(shè)備的安全生命周期進行管理，確保其身份識別、證書和全部生命周期內(nèi)的安全。同理，需對用于保護設(shè)備的軟件和配置進行安全管理。5

端點安全等級

國際標準IEC62443和國家標準GB/T35673對工業(yè)自動化和控制系統(tǒng)從低到高規(guī)定了SL0~SL4五個網(wǎng)絡(luò)安全防護等級：SL0指沒有特殊防護要求或不需要網(wǎng)絡(luò)安全防護；SL1要求能防止竊聽或不經(jīng)意的暴露所導(dǎo)致的未經(jīng)授權(quán)的信息披露；SL2要求能防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動機的簡單手段主動進行信息搜索的實體；SL3要求能防止未經(jīng)授權(quán)地將信息泄露給通過一般資源、IACS特殊技能和一般動機的復(fù)雜手段主動進行信息搜索的實體；SL4要求能防止未經(jīng)授權(quán)地將信息泄露給通過擴展資源、IACS特殊技能和高動機的復(fù)雜手段主動進行信息搜索的實體。當忽略工控系統(tǒng)重要性程度、工控系統(tǒng)信息安全威脅兩個維度時，SL安全級別與“等?！本W(wǎng)絡(luò)安全保護等級基本一致（國內(nèi)信息系統(tǒng)安全保護等級劃分為5級，實際使用的是1~4級）。SL1~SL4所對應(yīng)的需加以防護的攻擊者及特征如表1所示（從網(wǎng)絡(luò)安全角度看，SL0無實質(zhì)意義，故不考慮）。表1SL1~SL4需設(shè)防攻擊者及特征對比表由此可見，對于要求具有SL2及以上等級安全防護的端點，應(yīng)針對性地采用具有相應(yīng)可信防護機制的端點產(chǎn)品。圖5~圖7分別為SL2~SL4等級的端點安全結(jié)構(gòu)體。圖5

SL2等級的端點安全結(jié)構(gòu)圖6SL3等級的端點安全結(jié)構(gòu)圖7SL4等級的端點安全結(jié)構(gòu)結(jié)構(gòu)體中各個對象分別說明如下：（1）可信根：每個端點中所包含的基于可信供應(yīng)鏈之上的可信根構(gòu)成了各個端點安全可信的基礎(chǔ)，可信根的強度決定了每個端點設(shè)備所能達到的可信度，故SL2級端點可采用基于軟件的可信根，但SL3和SL4級端點必須采用TCM類硬件可信根。（2）安全引導(dǎo)：采用基于國密算法的密鑰等措施來確保固件、引導(dǎo)程序等的安全引導(dǎo)認證，帶電時執(zhí)行不可變更的或加密防護的引導(dǎo)代碼，直到擴展實現(xiàn)從引導(dǎo)到操作系統(tǒng)啟動的平臺級證明，從而有助于防止通過空中或網(wǎng)絡(luò)的對固件、引導(dǎo)加載程序或引導(dǎo)映像等的非授權(quán)變更。（3）端點身份：端點身份標識是其他安全措施所必需的基礎(chǔ)，應(yīng)采用PKI（公鑰基礎(chǔ)設(shè)施）身份認證系