智能網聯場景下工業控制系統一體化安全防護

◎武漢大學 趙波 嚴飛 張立強 王鵑

一、引言

5G 作為新一代移動通信系統，在與工業融合之后逐步成為支撐工業生產的基礎設施。5G 網絡工業移動專網所具有的大帶寬、廣連接、高可靠、低時延特性為工控系統帶來了顛覆性機遇，從多個維度提升了安全特性，實現工業向智能化、高端化轉型。智能網聯場景下的工業控制系統已經成為國家重要基礎設施的“大腦”和“中樞神經”，但是智能網聯工控系統的泛在、高可靠、低時延等核心需求與應用場景的多樣化為整個系統帶來了巨大的潛在安全風險，已成為制約我國“兩化融合”以及工業4.0發展的重要因素，其安全問題面臨更加嚴峻的挑戰。

2020年，國家互聯網應急中心報道指出，我國工控系統已成為黑客攻擊利用的重要對象，僅2月，針對存在某特定漏洞工控設備的惡意代碼攻擊次數達6700萬次，攻擊對象包含數十萬個IP 地址，全球每年有超過300 起大型工業網絡安全事件發生。2020年，國家工信部發布《關于推動工業互聯網加快發展的通知》中，特別強調了工控系統安全保障的必要性與迫切性。為此，開展智能網聯場景工業控制系統深度防御與安全處置技術研究勢在必行。

然而，智能網聯場景工業控制系統的深度防御與安全處置技術還處于探索階段，圖1 展示了工業生產網整體安全防護框架。在工業控制系統防護方面，傳統工業控制系統多運行于封閉環境中，其安全問題并不突出，安全措施相對缺乏。而近年來傳統工控系統的攻擊面不斷擴大，特別是5G 通信技術的高速發展，云-邊-端運行模式的不斷演進，如何在滿足高可靠、低時延的工控系統要求之下，構建面向5G 融合的多源異構應用場景約束的云-邊-端融合可信防護能力至關重要。與此同時，網絡協議異構、設備數量規模大、系統動態開放等特征給工控系統安全防護也帶來了新的挑戰，如何在滿足智能網聯場景下工控系統的安全性和功能性前提下，構建面向異構工控系統實體全生命周期的端到端一體化安全防護迫在眉睫。

圖1 工業生產網整體安全防護框架

5G 工控場景對現有安全機制的融合性和實時性提出了更高要求，智能網聯場景下設備屬性工控系統可信性不強、實時防護力弱、結構復雜多源異構。國內外研究沒有關注工控系統運行體內部行為和運行環境威脅之間的關系，僅僅能在啟動等簡單環節實現局部可信，缺乏面向工控系統的異構基礎設施全要素一體化的安全可信執行環境架構支撐。

此外,智能網聯工控系統具有安全機制多源異構、安全邊界動態難確定、訪問路徑動態多樣的特點，圖2 展示了基于邊界的網絡安全措施安全防護現狀，傳統的基于邊界的訪問控制機制具有授權主體確定、授權策略靜態、授權區域單一等問題，無法適應智能網聯工控系統的需求。現有的密碼防護技術只進行了簡單的應用與部署，并沒有針對工控場景進行深度融合，不適應智能網聯工控系統安全邊界動態跨域要求，也不能有效支持攻擊溯源和授權最小化，導致工控設備資源受限與高速加解密要求存在沖突。

圖2 基于邊界的安全措施安全防護現狀

本文在此背景下，從智能網聯場景下工業控制系統一體化安全防護角度出發，研究智能網聯場景下高可信工業控制系統層構建，解決智能網聯工控系統復雜性和實時性要求下，安全可信屬性的發現與量化問題，為工控系統基礎設施環境和認證兩個層面提供可信性保障，從而實現工控系統層的高可信。

二、研究方案

圍繞智能網聯工業控制系統一體化安全防護層面的研究目標，本文的研究主要包括兩個部分，分別為：5G 融合工業控制系統可信防護技術、5G 融合工業控制系統密碼一體化安全防護技術。圖3 為工業控制系統現場控制層的系統部署示意圖。

圖3 工業控制系統現場控制層

（一）5G 融合工業控制系統可信防護技術

本節主要針對工業控制系統高安全期望與資源受限矛盾帶來的安全挑戰，立足于面向5G 融合的智能網聯可信安全工業控制系統架構下，融合可信啟動、動態度量與可信執行環境構建，展開關鍵技術研究。實現5G 融合工業控制系統可信防護技術所需各研究內容間的關系示意圖如圖4所示。

圖4 各研究內容關系示意圖

面向5G 工控系統多維多層攻擊平面的多要素安全建模

工業控制系統的全生命周期可信性保證和工控設備組態安全是工控關鍵數據、代碼及控制邏輯安全運行的重要保

證手段，為工控系統安全運行構建基礎。通過實時信息采集與分析，建立動態更新的工控軟件模型知識庫，生成和維護真實系統的輕量化數字副本；同時基形式化方法，驗證面向業務邏輯和數據安全的安全策略符合性，從模型角度提高設備組態的可信度。通過研究系統設備組網數據的全生命周期要素管理模型構建，挖掘工控系統云-邊-端關鍵要素內在安全關聯性，實現面向多維多層攻擊平面的工控系統多要素形式化建模，解決可信要素建模不適應5G 場景下工控系統設備屬性多樣化、全要素多、數據結構復雜的情況。

面向工控系統基礎設施的“靜-動”結合可信度量技術

可信度量技術是構建工控系統信任鏈、實現工控基礎設施安全可信的重要基礎。針對目前已實現的工控可信系統由于可靠性和性能的限制，系統缺乏細粒度的可信靜態度量與運行時可信動態度量機制的支撐等問題，本節討論在通過對節點屬性及行為的抽取、度量和封裝，構建工控系統完整性度量的計算、存儲、報告、驗證機制，實現實時性約束下的可信啟動的基礎上，以面向組態安全要求的狀態遷移動態度量為核心，研究工控系統運行過程中的安全狀態屬性驗證機制。通過構建靜-動結合的信任管理模型，基于形式化建模方法間接定義系統行為，實現節點綜合可信評估，實現系統可信度量。

面向5G 工控場景的多元融合分布式可信驗證技術

5G 工控場景下系統的多源異構帶來了可信度量機制的多元化，導致異構設備可信證據采集機制缺乏，集中式單點可信驗證性能消耗大等問題突出。為解決這些問題，文章首先通過結合工控設備的安全可信鏈接和通訊的動態監測機制，實現工控系統通訊網絡邊界可信驗證；其次對身份指紋與狀態指紋融合的主動可信驗證機制，支持工控系統中信息不完備的多源異構節點設備可信證據收集。最后在基于邊緣計算技術進行分布式認證的基礎上，實現5G 融合場景下工控系統邊端設備的高速接入驗證，并對過對接入設備的動態監測和定期主動探測，實現異常設備的發現與隔離修復，構建滿足高擴展、低延遲、高可信的工業控制系統可信驗證架構。

其中多接入邊緣計算技術是使能5G 業務多元化的核心技術之一。邊緣計算技術將服務能力和應用推進到網絡邊緣，部署位置更接近用戶，從而減少對傳輸網的帶寬壓力，大幅降低網絡時延，可滿足工業互聯網等低時延業務的需求。邊緣計算技術平臺需要承載部分網絡功能和垂直行業應用示意圖如圖5所示。

圖5 位于邊緣網絡的邊緣計算技術平臺

面向多源異構應用場景約束的云-邊-端融合可信執行環境構建技術

目前基于異構環境的工控系統由于節點結構復雜、安全機制異構，導致在5G 復雜場景下難以提供統一的可信執行環境，同時，攻擊手法的多樣化也為構建統一的可信執行環境帶來困難。針對5G 工控系統多端點全要素可信度低、資源受限等問題，對5G 工控系統下云邊端不同節點的可信運行基礎研究；并從低開銷、高延展性的可信環境構建需求出發，設計支持關鍵任務中信任根選取的柔性體系架構，設計面向多維指標的智能化性能優化技術，構造面向云-邊-端協同的5G 工控性能數據采集與智能化分析方法，實現多源異構工控應用場景下云-邊-端可信執行環境優化構建技術。保障工控系統云-邊-端基礎設施安全，解決5G 復雜場景下，工控系統節點結構復雜、安全機制異構導致難以提供統一的可信執行環境的問題。

（二）5G 融合工業控制系統密碼一體化安全防護技術

本節圍繞5G 融合網聯工控場景，針對基于密碼的認證和訪問控制等安全防護問題，分析系統多源異構、安全邊界動態、設備計算資源受限等特點，展開面向工控系統的軟硬件協同的國密算法優化方法、面向5G 融合工控場景的全生命周期異構協同認證技術、跨動態邊界的訪問控制和授權管理技術的研究。實現5G 融合工業控制系統密碼一體化安全防護技術所需各研究內容間的關系示意圖如圖6所示。

圖6 各研究內容關系示意圖

面向工控系統的軟硬件協同的國密算法優化方法

高安全、高性能、低功耗的密碼設備對智能網聯工控系統至關重要，設計并實現自主知識產權的密碼算法是保障工控系統信息安全的基礎。本小節從國密算法軟硬件協同的角度進行研究，通過分析SM2、SM3、SM4、SM9 算法的運行原理，利用硬件友好設計技術，充分挖掘算法的并行特性和適合硬件的低功耗實現方法，在系統層和算法層面對國密算法進行優化；同時基于軟硬件協同的密碼設備，對密碼算法在系統層和算法層面對國密算法進行優化，在處理器上實現計算資源的合理分配和高效運行以及多個密碼算法的綜合調用，在FPGA上實現基本模塊的并行執行和硬件系統的低功耗設計；設計構建軟硬件協同的密碼算法實現流程，并研究密碼設備旁路信息的分析方法，來評估密碼設備的安全性，整體提升基于軟硬件協同優化的國密算法執行效率。

面向5G 融合工控場景的全生命周期異構協同認證技術

實體之間信任關系的建立對于智能網聯工控系統的業務邏輯至關重要，安全且高效的認證方法是實體信任關系構建的基礎。本文考慮以5G 網絡安全協議為中心，通過構建5G 融合的工控系統協同認證機制，實現工控系統用戶和設備的全生命周期數字身份管理和身份認證；開展工控協議和FIDO 標準協議的交互融合方法，實現工控認證協議的統一化，研究多因素認證機制，并通過基于多維度特征數據的認證因素，提高認證的安全性，研究特征數據隱私保護，針對網聯工控系統用戶和設備特征數據的開放性、高真實性、大量化、多樣化、動態化等特點，基于同態加密等技術實現細粒度、高可靠的特征數據隱私保護。

跨動態邊界的訪問控制和授權管理技術

訪問控制是指主體依據授權策略對客體進行的不同授權訪問，是信息系統安全的重要保障。可以通過身份鑒別、安全狀態持續監測、動態訪問控制、授權、審計等技術，以最小化實時授權為核心，以多維信任算法為基礎，基于軟件定義邊界、身份識別與訪問管理、網絡微隔離等技術，實現面向動態邊界的端到端訪問控制機制。同時利用可信執行環境技術，構建面向安全邊界動態劃分的可信第三方，實現可信的動態訪問控制決策和授權信息加密存儲；通過智能網聯工控系統的網絡安全數據的動態分析，實現安全風險和信任狀態的實時且持續評估，依據系統的網絡安全環境因素，實現授權策略的上下文關聯和動態自適應調整；研究授權策略的動態自適應管理，實現策略的上下文關聯和動態自適應調整，研究跨域多級授權自動檢測，實現工控系統授權漏洞的自動發現。

三、總結

智能網聯場景工控系統的所面臨的安全問題在世界范圍內得到了廣泛的關注，本文從工業控制系統防護角度出發，研究智能網聯場景下工業控制系統可信啟動、動態度量、工業控制系統可信執行環境構建等一體化系統安全關鍵技術，實現復雜多維可信屬性發現、實時性約束下信任泛在、高可靠、低時延的通訊網絡可信度量機制，解決工控系統的整體可信性缺失問題，從而保障工控系統云-邊-端的基礎設施安全。同時，從密碼一體化安全防護方面研究5G 融合場景下工業控制系統協同安全認證、商用密碼加密通信等一體化密碼關鍵技術，滿足5G 融合場景工控系統的安全性和功能性前提下，構建面向異構工控系統實體全生命周期的端到端一體化安全防護。由此可見，如何構建高安全、低開銷、高延展的智能網聯工業控制系統一體化安全防護層目前是一個非常有挑戰性的研究方向。