1

引言

工業(yè)自動(dòng)化和控制系統(tǒng)（IndustrialAutomationandControlSystems，IACS），簡稱工控系統(tǒng)，廣泛應(yīng)用于制造業(yè)、流程工業(yè)等工業(yè)領(lǐng)域，航空航天、軌道交通、樓宇等系統(tǒng)，電力、天然氣、自來水供給等公共設(shè)施中。工控系統(tǒng)是國民經(jīng)濟(jì)、人民生活正常運(yùn)轉(zhuǎn)的重要支撐。隨著工控系統(tǒng)的進(jìn)一步開放互聯(lián)、數(shù)字化、網(wǎng)絡(luò)化甚至全面云化，工控系統(tǒng)自身的信息安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設(shè)備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量等方面的威脅與日俱增。NATO（北約）已將網(wǎng)絡(luò)空間認(rèn)定為作戰(zhàn)域，視網(wǎng)絡(luò)攻防為新的戰(zhàn)場，許多西方信息安全公司也已將信息安全上升到軍事戰(zhàn)爭高度。對工控系統(tǒng)僅采用傳統(tǒng)的“封堵查殺”信息安全手段，已基本無法應(yīng)對系統(tǒng)性高強(qiáng)度的網(wǎng)絡(luò)攻擊（如APT攻擊）。按照國家《網(wǎng)絡(luò)安全法》的規(guī)定，能源、交通、水利等國家重要行業(yè)和領(lǐng)域的工控系統(tǒng)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施，其一旦遭到破壞、喪失功能或者關(guān)鍵數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生和公共利益。鑒于關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)對于國民經(jīng)濟(jì)和社會(huì)生活的重要性及其所面臨日趨嚴(yán)峻的環(huán)境，研發(fā)和構(gòu)建滿足關(guān)鍵基礎(chǔ)設(shè)施安全需求的新一代可信工控系統(tǒng)迫在眉睫。2

可信工控系統(tǒng)概念及關(guān)鍵特性

2.1

概念

狹義的工控系統(tǒng)是指工業(yè)生產(chǎn)、交通運(yùn)輸、水電氣等公共設(shè)施中使用的自動(dòng)化和控制系統(tǒng)，包括分散控制系統(tǒng)（DCS）、監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)（SCADA）及其它監(jiān)視和診斷系統(tǒng)，可編程邏輯控制器（PLC）、遠(yuǎn)程終端單元（RTU）及其它智能儀表或電子裝置等。隨著工廠數(shù)字化、網(wǎng)絡(luò)化、智能化的加速推進(jìn)，OT和IT的深度融合，新型的工控系統(tǒng)內(nèi)涵已擴(kuò)大不少。以智能電廠為例，如圖1所示，其工控系統(tǒng)不僅從原先單純的監(jiān)視和控制功能擴(kuò)充到包含模型、預(yù)測、優(yōu)化、管理等功能的控制域和運(yùn)維域，而且還擴(kuò)展到包括信息域、應(yīng)用域，甚至業(yè)務(wù)域（如其中的AMS資產(chǎn)管理系統(tǒng)）。習(xí)慣上，工控系統(tǒng)的安全依賴于物理隔離，系統(tǒng)不與外網(wǎng)和無線網(wǎng)互聯(lián)，將系統(tǒng)中脆弱性組件與網(wǎng)絡(luò)隔離，關(guān)鍵控制系統(tǒng)設(shè)計(jì)和訪問規(guī)則采取隱含或模糊原則等。但在泛在感知、泛在互聯(lián)、云-邊協(xié)同、工控/信息深度融合等發(fā)展背景下，傳統(tǒng)的安全措施已不能系統(tǒng)保護(hù)工控系統(tǒng)的信息安全，研發(fā)新一代可信工控系統(tǒng)的需求提上日程。圖1智能電廠工控系統(tǒng)架構(gòu)及信息流示意圖所謂可信工控系統(tǒng)，是指在面臨環(huán)境干擾、人為錯(cuò)誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時(shí)，系統(tǒng)在信息安全、功能安全、可靠性、韌性、私密性等關(guān)鍵系統(tǒng)特性方面的性能達(dá)到預(yù)期的工業(yè)自動(dòng)化和控制系統(tǒng)，如圖2所示。對于可信工控系統(tǒng)而言，從結(jié)構(gòu)視角來看，不僅構(gòu)成工控系統(tǒng)的I/O單元、控制器、交換機(jī)、服務(wù)器、操作員站等部件及其系統(tǒng)軟件、應(yīng)用軟件等建立在可信機(jī)制上，而且防火墻、網(wǎng)閘、DMZ（非軍事區(qū)）等網(wǎng)絡(luò)安全設(shè)備及其網(wǎng)管設(shè)備和軟件等也均建立于可信機(jī)制之上。可信度是指系統(tǒng)在面對環(huán)境干擾、人為錯(cuò)誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時(shí)，人們對系統(tǒng)在所有關(guān)鍵系統(tǒng)特性方面的性能達(dá)到期望所具有的信心程度?？尚殴た叵到y(tǒng)的可信程度可以用可信度來進(jìn)行度量。圖2可信工控系統(tǒng)特性2.2

關(guān)鍵特性

信息安全是指保護(hù)系統(tǒng)不受意外或未經(jīng)授權(quán)的訪問、變更或破壞，系統(tǒng)連續(xù)可靠正常運(yùn)行的狀態(tài)，其基本要素包括常稱之為CIA三角的機(jī)密性、完整性和可用性。功能安全是指系統(tǒng)運(yùn)行時(shí)，不會(huì)直接或間接引起人身健康或安全、環(huán)境破壞及資產(chǎn)財(cái)產(chǎn)損失方面不可接受風(fēng)險(xiǎn)的狀態(tài)。可靠性是指系統(tǒng)或部件在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)執(zhí)行其所需功能的能力。韌性是指系統(tǒng)在完成分配的任務(wù)時(shí)能規(guī)避、承受和管理所面臨的動(dòng)態(tài)不利條件，并在遭受重大損失后仍能重建其運(yùn)行能力的行為方式，是系統(tǒng)的緊急屬性。私密性是指個(gè)人或團(tuán)體控制或影響與之相關(guān)的信息哪些可被收集、處理和存儲(chǔ)，以及可由誰和向誰披露該信息的權(quán)利。信息安全、功能安全、可靠性、韌性和私密性是判定一個(gè)工控系統(tǒng)是否可信的重要特征，因而將這五個(gè)特征稱之為可信工控系統(tǒng)的關(guān)鍵特征。系統(tǒng)的可擴(kuò)展性、可用性、可維護(hù)性、可移植性或可組合性等其它特性也很重要，但通常不被認(rèn)為是可信性的“關(guān)鍵特征”。3

可信工控系統(tǒng)信息安全技術(shù)框架

可信工控系統(tǒng)信息安全技術(shù)框架可分為三層，如圖3所示，其最高層由基于可信機(jī)制的端點(diǎn)防護(hù)、通信&互聯(lián)防護(hù)、信息安全監(jiān)視&分析、信息安全配置&管理等四個(gè)核心安全功能組成，其支撐層由基于可信機(jī)制的數(shù)據(jù)防護(hù)層和覆蓋整個(gè)系統(tǒng)的信息安全模型&信息安全策略層構(gòu)成。圖3可信工控系統(tǒng)信息安全技術(shù)框架3.1

最高層

最高層是可信工控系統(tǒng)信息安全的關(guān)鍵，其四個(gè)核心功能簡述如下：（1）端點(diǎn)防護(hù)：對本地工控系統(tǒng)或采用云-邊架構(gòu)的工業(yè)互聯(lián)網(wǎng)系統(tǒng)的端點(diǎn)（端點(diǎn)是指具有計(jì)算和通信能力，實(shí)現(xiàn)某種功能的設(shè)備或部件，如工業(yè)互聯(lián)網(wǎng)中的邊緣設(shè)備、通信設(shè)施、云服務(wù)器等）進(jìn)行防護(hù)。又可細(xì)分為端點(diǎn)物理安全、端點(diǎn)可信根、端點(diǎn)身份識(shí)別、端點(diǎn)完整性防護(hù)、端點(diǎn)訪問控制、端點(diǎn)監(jiān)視&分析、端點(diǎn)安全配置&管理和端點(diǎn)信息安全模型&安全策略等。（2）通信和互聯(lián)防護(hù)：通常端點(diǎn)間需相互通信，而通信可能是漏洞的來源，工控信息安全僅單靠端點(diǎn)防護(hù)是不夠的，通信和互聯(lián)防護(hù)的必要性顯而易見?；趯Χ它c(diǎn)的身份鑒別、通信授權(quán)和加密，通信和互聯(lián)防護(hù)為端點(diǎn)到網(wǎng)絡(luò)的連接提供物理安全保障，保護(hù)網(wǎng)絡(luò)中的信息流，并對端點(diǎn)間的通信進(jìn)行加密保護(hù)。從功能劃分視角看，通信和互聯(lián)防護(hù)又可細(xì)分為互聯(lián)物理防護(hù)、通信端點(diǎn)防護(hù)、信息流防護(hù)、密碼防護(hù)、網(wǎng)絡(luò)配置&管理、網(wǎng)絡(luò)監(jiān)視&分析、通信&互聯(lián)防護(hù)的安全策略等。（3）安全監(jiān)視&分析：以監(jiān)視-分析-行動(dòng)的循環(huán)周而復(fù)始進(jìn)行，首先是抓取端點(diǎn)及互聯(lián)通信、遠(yuǎn)程登錄、供應(yīng)鏈的全部狀態(tài)相關(guān)數(shù)據(jù)，然后對這些數(shù)據(jù)進(jìn)行行為分析和基于規(guī)則的分析或其它類別的基于機(jī)器學(xué)習(xí)的態(tài)勢分析，以探測或感知出可能的安全違規(guī)行為或潛在的系統(tǒng)漏洞、威脅、攻擊等。一旦探測或感知到上述狀態(tài)或行為，則立即按照系統(tǒng)安全策略等相關(guān)規(guī)定來執(zhí)行一系列動(dòng)作（如主動(dòng)、預(yù)測性的提前消除威脅；自動(dòng)響應(yīng)正在進(jìn)行的攻擊，減輕威脅，恢復(fù)正常狀態(tài)；根原因/取證分析、取證調(diào)查等）。（4）安全配置和管理：負(fù)責(zé)工控系統(tǒng)運(yùn)營功能（包括可靠性和安全行為）及其網(wǎng)絡(luò)安全設(shè)備的變更控制和管理，以確保所有變更均以安全、受控和可信的方式執(zhí)行。3.2

數(shù)據(jù)防護(hù)層

數(shù)據(jù)防護(hù)層包括端點(diǎn)數(shù)據(jù)防護(hù)、通信數(shù)據(jù)防護(hù)、配置數(shù)據(jù)防護(hù)、監(jiān)視數(shù)據(jù)防護(hù)、數(shù)據(jù)安全模型&安全策略等子功能，通過采用機(jī)密性控制、完整性控制、訪問控制、隔離和復(fù)制等手段，對靜態(tài)數(shù)據(jù)（指在數(shù)據(jù)庫服務(wù)器、控制器固態(tài)磁盤等存儲(chǔ)的數(shù)據(jù)）、在用數(shù)據(jù)（指放置在RAM、CPU緩存和寄存器等中的非持久性數(shù)據(jù)）、運(yùn)動(dòng)數(shù)據(jù)（指在端點(diǎn)間移動(dòng)的數(shù)據(jù)）等實(shí)施防護(hù)，以保護(hù)上述數(shù)據(jù)均不受未經(jīng)授權(quán)的訪問和不受控制的變更。3.3

信息安全模型&策略層

信息安全模型和策略層負(fù)責(zé)對信息安全如何實(shí)施，以及用于確保工控系統(tǒng)在整個(gè)生命周期中的機(jī)密性、完整性和可用性等的信息安全策略進(jìn)行管理和控制。它協(xié)調(diào)整個(gè)信息安全體系中的所有功能元素協(xié)同工作，以使工控系統(tǒng)始終處于持續(xù)的符合要求的安全狀態(tài)。具體而言，該層首先是基于系統(tǒng)威脅分析和系統(tǒng)安全目標(biāo)，確立安全策略（該策略是動(dòng)態(tài)變化的而非固化一成不變的）和安全模型，再依次確立數(shù)據(jù)防護(hù)安全策略、端點(diǎn)防護(hù)安全策略、通信&互聯(lián)安全策略、監(jiān)視&分析安全策略、配置&管理安全策略等。4

可信鏈

眾所周知，一件質(zhì)量優(yōu)良的產(chǎn)品主要是通過優(yōu)良的設(shè)計(jì)和制造而非校核和檢驗(yàn)得到。工控信息安全體系的構(gòu)建也是如此，只有基于可信機(jī)制建立的可信工控系統(tǒng)，才可以克服傳統(tǒng)的網(wǎng)絡(luò)安全基于普通設(shè)備而僅采用“封堵查殺”的不徹底性，從而從根本上系統(tǒng)解決工控系統(tǒng)的信息安全。圖4構(gòu)成可信對象的可信鏈為了確保工控系統(tǒng)的全面安全，無論是網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備，還是工控主機(jī)、服務(wù)器或控制器及其軟件等，都必須是安全可信的。一個(gè)可信的安全對象的可信鏈?zhǔn)怯煽尚殴?yīng)鏈、可信根、可信操作系統(tǒng)、安全數(shù)據(jù)存儲(chǔ)、安全通信、應(yīng)用軟件完整性、安全設(shè)備管理等環(huán)節(jié)構(gòu)成，如圖4所示。各環(huán)節(jié)說明如下：（1）可信供應(yīng)鏈：為建立可信工控系統(tǒng)，必須首先確保系統(tǒng)的全部構(gòu)成部件（包括硬件、固件、軟件等）的供應(yīng)鏈?zhǔn)强尚诺?。具體研發(fā)及應(yīng)用中可按照ISO28000系列國際標(biāo)準(zhǔn)的要求，建立相應(yīng)的可信安全供應(yīng)鏈。（2）可信根：是本質(zhì)上可信的功能集，這些功能可以是硬件功能也可以是軟件功能，主要用于執(zhí)行鑒別、保護(hù)加密密鑰、軟件的測量或驗(yàn)證、探測及報(bào)告對程序或系統(tǒng)的未授權(quán)變更等。國際可信計(jì)算組織（由AMD、惠普、IBM、Intel、微軟等組建）確定了TPM（可信保護(hù)模塊）的規(guī)范和標(biāo)準(zhǔn)，國家密碼管理局也制定有TCM（可信密碼模塊）的相關(guān)標(biāo)準(zhǔn)和規(guī)范。TPM和TCM等都屬于硬件類可信根芯片，均屬于國際標(biāo)準(zhǔn)所對應(yīng)的TPM（可信平臺(tái)模塊）。關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)需采用如TPM、TCM類的硬件方法來對密鑰存儲(chǔ)提供最佳保護(hù)，其次，其供應(yīng)鏈也能受到較好的控制。若設(shè)備沒有可信根，則從設(shè)備發(fā)出的任何信息注定是不可信的。ISO/IEC11889系列國際標(biāo)準(zhǔn)對可信平臺(tái)模塊的架構(gòu)、結(jié)構(gòu)、命令、算法和方法等進(jìn)行了規(guī)定。GB/T38638國家標(biāo)準(zhǔn)對可信計(jì)算的體系結(jié)構(gòu)、可信部件等進(jìn)行了規(guī)定。密碼行業(yè)標(biāo)準(zhǔn)GM/T0012、GM/T0013、GM/T0058、GM/T0082等分別對TCM接口、TCM符合性檢測、TCM服務(wù)模塊接口、TCM保護(hù)輪廓等進(jìn)行了規(guī)范。（3）可信操作系統(tǒng)：可提供安全的引導(dǎo)和安全的操作環(huán)境，具有主體行為的可信性，客體內(nèi)容的保密性、完整性和可信性，自身的完整性等特點(diǎn)。可信操作系統(tǒng)具備提供存貯器和文件保護(hù)、I/O設(shè)備訪問控制、用戶鑒別、訪問控制、探測某些攻擊等功能。不可信的操作系統(tǒng)極易導(dǎo)致惡意代碼或其它攻擊。ISO/IEC

15408國際標(biāo)準(zhǔn)規(guī)定了安全操作環(huán)境的相關(guān)要求。GB/T37935國家標(biāo)準(zhǔn)對可信軟件基的總體結(jié)構(gòu)、功能模塊、交互接口、工作流程、自身安全要求等進(jìn)行了規(guī)定。（4）安全數(shù)據(jù)存儲(chǔ)：除應(yīng)對系統(tǒng)軟件進(jìn)行保護(hù)外，還需對應(yīng)用軟件和存儲(chǔ)在設(shè)備上的數(shù)據(jù)進(jìn)行保護(hù)。安全數(shù)據(jù)存儲(chǔ)的目標(biāo)就是確保存儲(chǔ)在設(shè)備上的數(shù)據(jù)只能由授權(quán)用戶和進(jìn)程進(jìn)行訪問，并提供相應(yīng)機(jī)制以確保數(shù)據(jù)不能被感染、篡改或損壞。（5）安全通信：應(yīng)提供安全的網(wǎng)絡(luò)服務(wù)，便于設(shè)備之間的安全通信。安全通信通過采用恰當(dāng)?shù)募用?、身份識(shí)別、校驗(yàn)等措施，確保信息不被偽造、重放或損壞（如報(bào)文重復(fù)、丟失、插入、亂序、損壞、延遲等）。國際上主要的通信組織都制定有相應(yīng)的安全通信規(guī)約標(biāo)準(zhǔn)，如CIPSafetySpecification（CIP安全通信規(guī)范）、IEC61784-3等。（6）軟件完整性：除采用可信操作系統(tǒng)外，也必須保護(hù)在設(shè)備上運(yùn)行的應(yīng)用軟件免受篡改或感染。軟件完整性即提供應(yīng)用軟件檢測和防護(hù)所需的功能、進(jìn)程和工具。（7）安全設(shè)備管理：可信操作系統(tǒng)、安全數(shù)據(jù)存儲(chǔ)、安全通信、軟件完整性均是有助于設(shè)備保護(hù)的功能，但這些功能和模塊也必須接受安全管理。此外，還需對設(shè)備的安全生命周期進(jìn)行管理，確保其身份識(shí)別、證書和全部生命周期內(nèi)的安全。同理，需對用于保護(hù)設(shè)備的軟件和配置進(jìn)行安全管理。5

端點(diǎn)安全等級(jí)

國際標(biāo)準(zhǔn)IEC62443和國家標(biāo)準(zhǔn)GB/T35673對工業(yè)自動(dòng)化和控制系統(tǒng)從低到高規(guī)定了SL0~SL4五個(gè)網(wǎng)絡(luò)安全防護(hù)等級(jí)：SL0指沒有特殊防護(hù)要求或不需要網(wǎng)絡(luò)安全防護(hù)；SL1要求能防止竊聽或不經(jīng)意的暴露所導(dǎo)致的未經(jīng)授權(quán)的信息披露；SL2要求能防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動(dòng)機(jī)的簡單手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL3要求能防止未經(jīng)授權(quán)地將信息泄露給通過一般資源、IACS特殊技能和一般動(dòng)機(jī)的復(fù)雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL4要求能防止未經(jīng)授權(quán)地將信息泄露給通過擴(kuò)展資源、IACS特殊技能和高動(dòng)機(jī)的復(fù)雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體。當(dāng)忽略工控系統(tǒng)重要性程度、工控系統(tǒng)信息安全威脅兩個(gè)維度時(shí)，SL安全級(jí)別與“等?！本W(wǎng)絡(luò)安全保護(hù)等級(jí)基本一致（國內(nèi)信息系統(tǒng)安全保護(hù)等級(jí)劃分為5級(jí)，實(shí)際使用的是1~4級(jí)）。SL1~SL4所對應(yīng)的需加以防護(hù)的攻擊者及特征如表1所示（從網(wǎng)絡(luò)安全角度看，SL0無實(shí)質(zhì)意義，故不考慮）。表1SL1~SL4需設(shè)防攻擊者及特征對比表由此可見，對于要求具有SL2及以上等級(jí)安全防護(hù)的端點(diǎn)，應(yīng)針對性地采用具有相應(yīng)可信防護(hù)機(jī)制的端點(diǎn)產(chǎn)品。圖5~圖7分別為SL2~SL4等級(jí)的端點(diǎn)安全結(jié)構(gòu)體。圖5

SL2等級(jí)的端點(diǎn)安全結(jié)構(gòu)圖6SL3等級(jí)的端點(diǎn)安全結(jié)構(gòu)圖7SL4等級(jí)的端點(diǎn)安全結(jié)構(gòu)結(jié)構(gòu)體中各個(gè)對象分別說明如下：（1）可信根：每個(gè)端點(diǎn)中所包含的基于可信供應(yīng)鏈之上的可信根構(gòu)成了各個(gè)端點(diǎn)安全可信的基礎(chǔ)，可信根的強(qiáng)度決定了每個(gè)端點(diǎn)設(shè)備所能達(dá)到的可信度，故SL2級(jí)端點(diǎn)可采用基于軟件的可信根，但SL3和SL4級(jí)端點(diǎn)必須采用TCM類硬件可信根。（2）安全引導(dǎo)：采用基于國密算法的密鑰等措施來確保固件、引導(dǎo)程序等的安全引導(dǎo)認(rèn)證，帶電時(shí)執(zhí)行不可變更的或加密防護(hù)的引導(dǎo)代碼，直到擴(kuò)展實(shí)現(xiàn)從引導(dǎo)到操作系統(tǒng)啟動(dòng)的平臺(tái)級(jí)證明，從而有助于防止通過空中或網(wǎng)絡(luò)的對固件、引導(dǎo)加載程序或引導(dǎo)映像等的非授權(quán)變更。（3）端點(diǎn)身份：端點(diǎn)身份標(biāo)識(shí)是其他安全措施所必需的基礎(chǔ)，應(yīng)采用PKI（公鑰基礎(chǔ)設(shè)施）身份認(rèn)證系