1　引言

工業(yè)自動(dòng)化和控制系統（Industrial Automationand Control Systems，IACS），簡(jiǎn)稱(chēng)工控系統，廣泛應用于制造業(yè)、流程工業(yè)等工業(yè)領(lǐng)域，航空航天、軌道交通、樓宇等系統，電力、天然氣、自來(lái)水供給等公共設施中。工控系統是國民經(jīng)濟、人民生活正常運轉的重要支撐。

隨著(zhù)工控系統的進(jìn)一步開(kāi)放互聯(lián)、數字化、網(wǎng)絡(luò )化甚至全面云化，工控系統自身的信息安全脆弱性和所面臨來(lái)自自然環(huán)境、人為失誤、設備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量等方面的威脅與日俱增。NATO（北約）已將網(wǎng)絡(luò )空間認定為作戰域，視網(wǎng)絡(luò )攻防為新的戰場(chǎng)，許多西方信息安全公司也已將信息安全上升到軍事戰爭高度。對工控系統僅采用傳統的“封堵查殺”信息安全手段，已基本無(wú)法應對系統性高強度的網(wǎng)絡(luò )攻擊（如APT攻擊）。

按照國家《網(wǎng)絡(luò )安全法》的規定，能源、交通、水利等國家重要行業(yè)和領(lǐng)域的工控系統，屬于關(guān)鍵信息基礎設施，其一旦遭到破壞、喪失功能或者關(guān)鍵數據泄露，可能?chē)乐匚：野踩?、國計民生和公共利益。鑒于關(guān)鍵基礎設施工控系統對于國民經(jīng)濟和社會(huì )生活的重要性及其所面臨日趨嚴峻的環(huán)境，研發(fā)和構建滿(mǎn)足關(guān)鍵基礎設施安全需求的新一代可信工控系統迫在眉睫。

2　可信工控系統概念及關(guān)鍵特性

2.1　概念

狹義的工控系統是指工業(yè)生產(chǎn)、交通運輸、水電氣等公共設施中使用的自動(dòng)化和控制系統，包括分散控制系統（DCS）、監督控制和數據采集系統（SCADA）及其它監視和診斷系統，可編程邏輯控制器（PLC）、遠程終端單元（RTU）及其它智能儀表或電子裝置等。隨著(zhù)工廠(chǎng)數字化、網(wǎng)絡(luò )化、智能化的加速推進(jìn)，OT和IT的深度融合，新型的工控系統內涵已擴大不少。以智能電廠(chǎng)為例，如圖1所示，其工控系統不僅從原先單純的監視和控制功能擴充到包含模型、預測、優(yōu)化、管理等功能的控制域和運維域，而且還擴展到包括信息域、應用域，甚至業(yè)務(wù)域（如其中的AMS資產(chǎn)管理系統）。習慣上，工控系統的安全依賴(lài)于物理隔離，系統不與外網(wǎng)和無(wú)線(xiàn)網(wǎng)互聯(lián)，將系統中脆弱性組件與網(wǎng)絡(luò )隔離，關(guān)鍵控制系統設計和訪(fǎng)問(wèn)規則采取隱含或模糊原則等。但在泛在感知、泛在互聯(lián)、云-邊協(xié)同、工控/信息深度融合等發(fā)展背景下，傳統的安全措施已不能系統保護工控系統的信息安全，研發(fā)新一代可信工控系統的需求提上日程。

圖1 智能電廠(chǎng)工控系統架構及信息流示意圖

所謂可信工控系統，是指在面臨環(huán)境干擾、人為錯誤、系統故障和網(wǎng)絡(luò )攻擊時(shí)，系統在信息安全、功能安全、可靠性、韌性、私密性等關(guān)鍵系統特性方面的性能達到預期的工業(yè)自動(dòng)化和控制系統，如圖2所示。對于可信工控系統而言，從結構視角來(lái)看，不僅構成工控系統的I/O單元、控制器、交換機、服務(wù)器、操作員站等部件及其系統軟件、應用軟件等建立在可信機制上，而且防火墻、網(wǎng)閘、DMZ（非軍事區）等網(wǎng)絡(luò )安全設備及其網(wǎng)管設備和軟件等也均建立于可信機制之上?？尚哦仁侵赶到y在面對環(huán)境干擾、人為錯誤、系統故障和網(wǎng)絡(luò )攻擊時(shí)，人們對系統在所有關(guān)鍵系統特性方面的性能達到期望所具有的信心程度?？尚殴た叵到y的可信程度可以用可信度來(lái)進(jìn)行度量。

圖2 可信工控系統特性

2.2　關(guān)鍵特性

信息安全是指保護系統不受意外或未經(jīng)授權的訪(fǎng)問(wèn)、變更或破壞，系統連續可靠正常運行的狀態(tài)，其基本要素包括常稱(chēng)之為CIA三角的機密性、完整性和可用性。功能安全是指系統運行時(shí)，不會(huì )直接或間接引起人身健康或安全、環(huán)境破壞及資產(chǎn)財產(chǎn)損失方面不可接受風(fēng)險的狀態(tài)?？煽啃允侵赶到y或部件在規定的條件和規定的時(shí)間內執行其所需功能的能力。韌性是指系統在完成分配的任務(wù)時(shí)能規避、承受和管理所面臨的動(dòng)態(tài)不利條件，并在遭受重大損失后仍能重建其運行能力的行為方式，是系統的緊急屬性。私密性是指個(gè)人或團體控制或影響與之相關(guān)的信息哪些可被收集、處理和存儲，以及可由誰(shuí)和向誰(shuí)披露該信息的權利。

信息安全、功能安全、可靠性、韌性和私密性是判定一個(gè)工控系統是否可信的重要特征，因而將這五個(gè)特征稱(chēng)之為可信工控系統的關(guān)鍵特征。系統的可擴展性、可用性、可維護性、可移植性或可組合性等其它特性也很重要，但通常不被認為是可信性的“關(guān)鍵特征”。

3　可信工控系統信息安全技術(shù)框架

可信工控系統信息安全技術(shù)框架可分為三層，如圖3所示，其最高層由基于可信機制的端點(diǎn)防護、通信&互聯(lián)防護、信息安全監視&分析、信息安全配置&管理等四個(gè)核心安全功能組成，其支撐層由基于可信機制的數據防護層和覆蓋整個(gè)系統的信息安全模型&信息安全策略層構成。

圖3 可信工控系統信息安全技術(shù)框架

3.1　最高層

最高層是可信工控系統信息安全的關(guān)鍵，其四個(gè)核心功能簡(jiǎn)述如下：

（1）端點(diǎn)防護：對本地工控系統或采用云-邊架構的工業(yè)互聯(lián)網(wǎng)系統的端點(diǎn)（端點(diǎn)是指具有計算和通信能力，實(shí)現某種功能的設備或部件，如工業(yè)互聯(lián)網(wǎng)中的邊緣設備、通信設施、云服務(wù)器等）進(jìn)行防護。又可細分為端點(diǎn)物理安全、端點(diǎn)可信根、端點(diǎn)身份識別、端點(diǎn)完整性防護、端點(diǎn)訪(fǎng)問(wèn)控制、端點(diǎn)監視&分析、端點(diǎn)安全配置&管理和端點(diǎn)信息安全模型&安全策略等。

（2）通信和互聯(lián)防護：通常端點(diǎn)間需相互通信，而通信可能是漏洞的來(lái)源，工控信息安全僅單靠端點(diǎn)防護是不夠的，通信和互聯(lián)防護的必要性顯而易見(jiàn)?；趯Χ它c(diǎn)的身份鑒別、通信授權和加密，通信和互聯(lián)防護為端點(diǎn)到網(wǎng)絡(luò )的連接提供物理安全保障，保護網(wǎng)絡(luò )中的信息流，并對端點(diǎn)間的通信進(jìn)行加密保護。從功能劃分視角看，通信和互聯(lián)防護又可細分為互聯(lián)物理防護、通信端點(diǎn)防護、信息流防護、密碼防護、網(wǎng)絡(luò )配置&管理、網(wǎng)絡(luò )監視&分析、通信&互聯(lián)防護的安全策略等。

（3）安全監視&分析：以監視-分析-行動(dòng)的循環(huán)周而復始進(jìn)行，首先是抓取端點(diǎn)及互聯(lián)通信、遠程登錄、供應鏈的全部狀態(tài)相關(guān)數據，然后對這些數據進(jìn)行行為分析和基于規則的分析或其它類(lèi)別的基于機器學(xué)習的態(tài)勢分析，以探測或感知出可能的安全違規行為或潛在的系統漏洞、威脅、攻擊等。一旦探測或感知到上述狀態(tài)或行為，則立即按照系統安全策略等相關(guān)規定來(lái)執行一系列動(dòng)作（如主動(dòng)、預測性的提前消除威脅；自動(dòng)響應正在進(jìn)行的攻擊，減輕威脅，恢復正常狀態(tài)；根原因/取證分析、取證調查等）。

（4）安全配置和管理：負責工控系統運營(yíng)功能（包括可靠性和安全行為）及其網(wǎng)絡(luò )安全設備的變更控制和管理，以確保所有變更均以安全、受控和可信的方式執行。

3.2　數據防護層

數據防護層包括端點(diǎn)數據防護、通信數據防護、配置數據防護、監視數據防護、數據安全模型&安全策略等子功能，通過(guò)采用機密性控制、完整性控制、訪(fǎng)問(wèn)控制、隔離和復制等手段，對靜態(tài)數據（指在數據庫服務(wù)器、控制器固態(tài)磁盤(pán)等存儲的數據）、在用數據（指放置在RAM、CPU緩存和寄存器等中的非持久性數據）、運動(dòng)數據（指在端點(diǎn)間移動(dòng)的數據）等實(shí)施防護，以保護上述數據均不受未經(jīng)授權的訪(fǎng)問(wèn)和不受控制的變更。

3.3　信息安全模型&策略層

信息安全模型和策略層負責對信息安全如何實(shí)施，以及用于確保工控系統在整個(gè)生命周期中的機密性、完整性和可用性等的信息安全策略進(jìn)行管理和控制。它協(xié)調整個(gè)信息安全體系中的所有功能元素協(xié)同工作，以使工控系統始終處于持續的符合要求的安全狀態(tài)。具體而言，該層首先是基于系統威脅分析和系統安全目標，確立安全策略（該策略是動(dòng)態(tài)變化的而非固化一成不變的）和安全模型，再依次確立數據防護安全策略、端點(diǎn)防護安全策略、通信&互聯(lián)安全策略、監視&分析安全策略、配置&管理安全策略等。

4　可信鏈

眾所周知，一件質(zhì)量?jì)?yōu)良的產(chǎn)品主要是通過(guò)優(yōu)良的設計和制造而非校核和檢驗得到。工控信息安全體系的構建也是如此，只有基于可信機制建立的可信工控系統，才可以克服傳統的網(wǎng)絡(luò )安全基于普通設備而僅采用“封堵查殺”的不徹底性，從而從根本上系統解決工控系統的信息安全。

為了確保工控系統的全面安全，無(wú)論是網(wǎng)絡(luò )設備及網(wǎng)絡(luò )安全設備，還是工控主機、服務(wù)器或控制器及其軟件等，都必須是安全可信的。一個(gè)可信的安全對象的可信鏈是由可信供應鏈、可信根、可信操作系統、安全數據存儲、安全通信、應用軟件完整性、安全設備管理等環(huán)節構成，如圖4所示。各環(huán)節說(shuō)明如下：

圖4 構成可信對象的可信鏈

（1）可信供應鏈：為建立可信工控系統，必須首先確保系統的全部構成部件（包括硬件、固件、軟件等）的供應鏈是可信的。具體研發(fā)及應用中可按照ISO 28000系列國際標準的要求，建立相應的可信安全供應鏈。

（2）可信根：是本質(zhì)上可信的功能集，這些功能可以是硬件功能也可以是軟件功能，主要用于執行鑒別、保護加密密鑰、軟件的測量或驗證、探測及報告對程序或系統的未授權變更等。國際可信計算組織（由AMD、惠普、IBM、Intel、微軟等組建）確定了TPM（可信保護模塊）的規范和標準，國家密碼管理局也制定有TCM（可信密碼模塊）的相關(guān)標準和規范。TPM和TCM等都屬于硬件類(lèi)可信根芯片，均屬于國際標準所對應的TPM（可信平臺模塊）。關(guān)鍵信息基礎設施系統需采用如TPM、TCM類(lèi)的硬件方法來(lái)對密鑰存儲提供最佳保護，其次，其供應鏈也能受到較好的控制。若設備沒(méi)有可信根，則從設備發(fā)出的任何信息注定是不可信的。ISO/IEC 11889系列國際標準對可信平臺模塊的架構、結構、命令、算法和方法等進(jìn)行了規定。GB/T 38638國家標準對可信計算的體系結構、可信部件等進(jìn)行了規定。密碼行業(yè)標準GM/T 0012、GM/T 0013、GM/T 0058、GM/T 0082等分別對TCM接口、TCM符合性檢測、TCM服務(wù)模塊接口、TCM保護輪廓等進(jìn)行了規范。

（3）可信操作系統：可提供安全的引導和安全的操作環(huán)境，具有主體行為的可信性，客體內容的保密性、完整性和可信性，自身的完整性等特點(diǎn)?？尚挪僮飨到y具備提供存貯器和文件保護、I/O設備訪(fǎng)問(wèn)控制、用戶(hù)鑒別、訪(fǎng)問(wèn)控制、探測某些攻擊等功能。不可信的操作系統極易導致惡意代碼或其它攻擊。ISO/IEC 15408國際標準規定了安全操作環(huán)境的相關(guān)要求。GB/T 37935國家標準對可信軟件基的總體結構、功能模塊、交互接口、工作流程、自身安全要求等進(jìn)行了規定。

（4）安全數據存儲：除應對系統軟件進(jìn)行保護外，還需對應用軟件和存儲在設備上的數據進(jìn)行保護。安全數據存儲的目標就是確保存儲在設備上的數據只能由授權用戶(hù)和進(jìn)程進(jìn)行訪(fǎng)問(wèn)，并提供相應機制以確保數據不能被感染、篡改或損壞。

（5）安全通信：應提供安全的網(wǎng)絡(luò )服務(wù)，便于設備之間的安全通信。安全通信通過(guò)采用恰當的加密、身份識別、校驗等措施，確保信息不被偽造、重放或損壞（如報文重復、丟失、插入、亂序、損壞、延遲等）。國際上主要的通信組織都制定有相應的安全通信規約標準，如CIP Safety Specification（CIP安全通信規范）、IEC 61784-3等。

（6）軟件完整性：除采用可信操作系統外，也必須保護在設備上運行的應用軟件免受篡改或感染。軟件完整性即提供應用軟件檢測和防護所需的功能、進(jìn)程和工具。

（7）安全設備管理：可信操作系統、安全數據存儲、安全通信、軟件完整性均是有助于設備保護的功能，但這些功能和模塊也必須接受安全管理。此外，還需對設備的安全生命周期進(jìn)行管理，確保其身份識別、證書(shū)和全部生命周期內的安全。同理，需對用于保護設備的軟件和配置進(jìn)行安全管理。

5　端點(diǎn)安全等級

國際標準IEC 62443和國家標準GB/T 35673對工業(yè)自動(dòng)化和控制系統從低到高規定了SL0~SL4五個(gè)網(wǎng)絡(luò )安全防護等級：SL0指沒(méi)有特殊防護要求或不需要網(wǎng)絡(luò )安全防護；SL1要求能防止竊聽(tīng)或不經(jīng)意的暴露所導致的未經(jīng)授權的信息披露；SL2要求能防止未經(jīng)授權地將信息泄露給通過(guò)少量資源、通用技能和低動(dòng)機的簡(jiǎn)單手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL3要求能防止未經(jīng)授權地將信息泄露給通過(guò)一般資源、IACS特殊技能和一般動(dòng)機的復雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL4要求能防止未經(jīng)授權地將信息泄露給通過(guò)擴展資源、IACS特殊技能和高動(dòng)機的復雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體。當忽略工控系統重要性程度、工控系統信息安全威脅兩個(gè)維度時(shí)，SL安全級別與“等?！本W(wǎng)絡(luò )安全保護等級基本一致（國內信息系統安全保護等級劃分為5級，實(shí)際使用的是1~4級）。SL1~SL4所對應的需加以防護的攻擊者及特征如表1所示（從網(wǎng)絡(luò )安全角度看，SL0無(wú)實(shí)質(zhì)意義，故不考慮）。

表1 SL1~SL4需設防攻擊者及特征對比表

由此可見(jiàn)，對于要求具有SL2及以上等級安全防護的端點(diǎn)，應針對性地采用具有相應可信防護機制的端點(diǎn)產(chǎn)品。圖5~圖7分別為SL2~SL4等級的端點(diǎn)安全結構體。

圖5 SL2等級的端點(diǎn)安全結構

圖6 SL3等級的端點(diǎn)安全結構

圖7 SL4等級的端點(diǎn)安全結構

（1）可信根：每個(gè)端點(diǎn)中所包含的基于可信供應鏈之上的可信根構成了各個(gè)端點(diǎn)安全可信的基礎，可信根的強度決定了每個(gè)端點(diǎn)設備所能達到的可信度，故SL2級端點(diǎn)可采用基于軟件的可信根，但SL3和SL4級端點(diǎn)必須采用TCM類(lèi)硬件可信根。

（2）安全引導：采用基于國密算法的密鑰等措施來(lái)確保固件、引導程序等的安全引導認證，帶電時(shí)執行不可變更的或加密防護的引導代碼，直到擴展實(shí)現從引導到操作系統啟動(dòng)的平臺級證明，從而有助于防止通過(guò)空中或網(wǎng)絡(luò )的對固件、引導加載程序或引導映像等的非授權變更。

（3）端點(diǎn)身份：端點(diǎn)身份標識是其他安全措施所必需的基礎，應采用PKI（公鑰基礎設施）身份認證系統或國家密碼管理局所規定的基于國密的其它身份認證系統。

（4）密碼服務(wù)：要確保全面的端點(diǎn)安全，則需要從傳輸規約（運動(dòng)數據），到存儲設備（靜態(tài)數據），再到各類(lèi)應用（在用數據）的全部環(huán)節均正確地利用密碼、實(shí)施加密，從而保護數據的機密性和完整性。因工控類(lèi)端點(diǎn)部署后在役時(shí)間較長(cháng)，考慮到量子計算的快速興起，所應用的密碼算法應易于在線(xiàn)升級，以適應“后-量子”密碼部署的預期需求。

（5）安全通信：端點(diǎn)與端點(diǎn)間的通信需采用符合其安全等級要求的安全通信規約堆棧，通信前進(jìn)行可信驗證，對SL3和SL4級端點(diǎn)的通信過(guò)程需進(jìn)行基于硬件密碼模塊的密碼運算和密鑰管理。

（6）端點(diǎn)配置&管理：對端點(diǎn)的固件、操作系統、配置或應用程序的任何遠程或自動(dòng)更新等都必須進(jìn)行驗證，在保證機密性和完整性的條件下實(shí)現端到端內容的安全可靠交付。需對端點(diǎn)的配置及變更、應用程序及控制活動(dòng)等進(jìn)行實(shí)時(shí)和連續監視，以探測并防止如對固件、操作系統、已安裝應用程序等未授權的變更，或探測并防止危及數據機密性或完整性的未經(jīng)授權的活動(dòng)。

（7）安全信息&事件管理：具備風(fēng)險監視、分配規則、觸發(fā)規則、行為分析、事件響應、日志/事件記錄、減輕威脅、審計等能力。

6　結語(yǔ)

可信機制是工控系統信息安全最為重要的基石，只有建立在可信機制基礎之上的可信工控系統才能確保工控系統信息安全的系統性、徹底性。為此，我國應加大對可信工控系統的研發(fā)，并在關(guān)鍵基礎設施中逐步推廣應用可信工控系統。

作者簡(jiǎn)介：

張晉賓（1967-），男，專(zhuān)業(yè)副總工程師，教授級高級工程師，現就職于電力規劃設計總院，從事發(fā)電自動(dòng)化、信息化工程設計、咨詢(xún)、研究及管理等工作。

參考文獻：

[1] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[R]. 2016.

[2] IEC 62443-3.3:2013. 工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全 第3-3部分：系統安全要求和安全等級[S].

[3] Industrial Internet Consortium. IIC Endpoint Security Best Practices[R]. 2018

[4] 張晉賓, 周四維. 工控系統信息安全體系的構建[J]. 自動(dòng)化博覽, 2017, 40 - 45.

[5] 張晉賓. 電力工控網(wǎng)絡(luò )安全預測[J]. 自動(dòng)化博覽, 2018, (A02) : 24 - 26.

摘自《自動(dòng)化博覽》2021年4月刊