周森鑫，韓江洪，李 超，吳德成

（1.合肥工業(yè)大學計算機與信息學院 合肥 230009；2.安徽財經大學管理科學與工程學院 蚌埠 233030）

1 引言

工業(yè)控制系統（industrial control systems,ICS）是實現工業(yè)生產自動化的關鍵，是衡量一個國家工業(yè)水平的重要指標。它是大型的、復雜的系統，除了實現控制功能外，它往往還具有信息處理、管理、決策等功能。當前網絡化系統已成為國內外自動控制領域中的研究熱點?？梢灶A計，未來的幾十年中，網絡化控制必將深刻地影響和推動著控制理論及其應用的發(fā)展。從理論上說，控制系統將要進入集網絡化、軟件控制、現代傳感器技術為一體的復雜控制系統階段，工業(yè)控制網絡的可信技術研究即網絡控制系統的安全性、可控性、可生存性等相關理論研究也正在開展，為我國先進控制系統的開發(fā)與應用提供科學支撐。從應用上說，可信工業(yè)控制網絡系統的出現，必將大大推動國家經濟、社會、國防等領域的信息化應用，促進國家“以信息化帶動工業(yè)化”的發(fā)展[1]。

據權威工業(yè)安全事件信息庫（repository of security incident,RISI）統計數據表明，截至目前，全球已發(fā)生200余起針對工業(yè)控制系統的安全事件。典型案例有2007年加拿大的一個水利控制系統SCADA（supervisory control and data acquisition,SCADA）遭到人為安裝惡意軟件，破壞了用于取水調度的控制計算機；2008年攻擊者入侵波蘭某城市的地鐵系統導致4節(jié)車廂脫軌；2010年Stuxnet病毒入侵伊朗布什爾核電站核反應堆的ICS，嚴重威脅其安全運營；2011年美國伊利諾伊州城市供水系統的數據采集與監(jiān)控系統SCADA被黑客入侵，供水泵遭到破壞；2011年11月12日正在準備測試的伊朗彈道導彈收到控制指令后突然爆炸引起國際社會廣泛關注，相關安全專家認為造成這次事故的原因很可能是曾攻擊布什爾核電站工業(yè)控制系統的Stuxnet蠕蟲病毒；2011年7月23日溫州動車事故造成重大財產缺失和人員傷亡。諸如此類的安全事故表明，工業(yè)控制系統的隱患是影響國家關鍵基礎設施穩(wěn)定運行的重要因素，甚至會威脅到國家安全戰(zhàn)略實施。我國工業(yè)和信息化部在2011年10月發(fā)布文件，要求加強國家主要工業(yè)領域基礎設施控制系統與SCADA系統的安全保護工作[2]。

2 可信工業(yè)控制網絡系統安全

工業(yè)控制系統是一種用于配水、污水凈化、供電、油氣輸送、設備制造、化工等領域的高度分布網絡，通常包含兩個子網絡：現場控制網絡（process control network,PCN）和企業(yè)網絡（enterprise network,EN），前者由控制器、開關轉換器、驅動器和底層控制裝置構成，后者由高層監(jiān)督節(jié)點和計算機設備構成。PCN網絡包括SCADA和分布式控制系統。PCN的一個主要組成部分是控制服務器、主終端單元 （master terminal unit,MTU）、遠程終端單元（remote terminal unit,RTU）、智能供電設備 （intelligent electronic device,IED）、可編程邏輯控制器 （programmable logic controller,PLC）、操作控制臺、人機界面（human-machine interface,HMI）和歷史數據記錄。美國國家標準與技術研究 院 （National Institute of Standards and Technology,NIST）、電子電氣工程師協會 （Institute of Electrical and Electronics Engineers,IEEE）、儀表系統與自動化協會（Instrumentation Systems and Automation Society,ISA）、國際電工委員會 （International Electrotechnical Commission,IEC）、工業(yè)自動化開放網絡協會 （Industrial Automation Open Networking Association,IAONA）等國際權威機構各自提出了自己的ICS安全指南，建議將PCN和EN進行隔離。防火墻是常用的隔離PCN和EN的工具，可以被配置用于阻攔不必要的服務、協議和端口，提供了較高層次的隔離。通過在防火墻前放置路由器完成簡單的分組過濾任務，可以使得防火墻有能力進行更復雜的任務如狀態(tài)過濾和代理服務等。在PCN和EN之間使用單個防火墻存在著嚴重的隱患，由于防火墻必需允許歷史數據記錄工具能夠便捷地訪問PCN，每項服務為了確保正確操作都要在防火墻上開個洞，在防火墻上配置過多特例會降低PCN-EN的分隔度，導致PCN開放并受到攻擊，這個問題的解決辦法是創(chuàng)建一個“非控制區(qū)”（demilitarized zone,DMZ）。DMZ部署框架包括3個區(qū)域：一個外圍區(qū)域包括EN，一個內部區(qū)域包括PCN，還有一個DMZ包括數據記錄工具。編制嚴格的防火墻規(guī)則保證DMZ中的記錄器獨立訪問EN和PCN的內容，這個記錄器能夠為PCN提供數據，EN也能夠被允許訪問記錄器，在此基礎上防火墻屏蔽其他一切設備訪問PCN。大多數由EN發(fā)起的針對記錄器的攻擊不會影響到控制系統，最壞的情況是這些攻擊會沖擊到記錄器中的數據（如造成數據的丟失等）。

在PCN中部署成對的防火墻，并通過DMZ分隔的結構，這個結構簡化了防火墻規(guī)則并清晰地區(qū)分了責任，使得PCN端的防火墻可以被控制部門管理，而EN端的防火墻由IT部門進行管理，這種結構倍受ICS推薦并在實踐中通過對防火墻的配置得以實現。有些機制用來處理控制系統中主機的安全問題，這些機制的一個示例是已經在控制設備中實現的基于過程的安全控制（process-based security,PBS），它將訪問控制從基于用戶的模型轉化為基于行程，基于用戶模型中訪問控制依賴于用戶識別，在基于行程的安全模型中，被限定的行程將不能訪問非法資源，PBS減少了攻擊中權限的提升行為。

Hamed Okhravi、David M Nicol在參考文獻[3]中提出可信過程控制網絡 （trusted process control network,TPCN）的體系如圖1所示，客戶端通過與網絡接入設備（network access device,NAD）通信來加入網絡，NAD利用EAP通過IEEE 802.1x協議驗證客戶端設備的身份并將驗證結果通過RADIUS協議發(fā)送到AAA服務器（身份認證服務器、目錄服務器、審計服務器），AAA服務器返回一份屬性驗證和恰當的PVS地址列表?？蛻舳送ㄟ^各個PVS驗證屬性，如果客戶端符合標準，驗證的結果將通過HCAP發(fā)送到AAA服務器，如果客戶端缺失某些必要屬性，屬性修復服務器將為客戶端提供修復服務。目錄服務器檢測客戶所屬組和角色，利用所有PVS和目錄服務器返回的結果，AAA服務器檢測匹配客戶端訪問和通信的規(guī)則，并將這些規(guī)則發(fā)送至NAD。在此基礎上，客戶端被允許在NAD的監(jiān)視下實施通信。服務器管理策略是認證范式和狀態(tài)驗證列表，例如基于令牌認證需要請求和利用反病毒服務器、補丁管理服務器和驅動驗證服務器進行屬性驗證，當客戶端設備加入網絡時，NAD利用設備的身份與AAA服務器進行通信。AAA服務器驗證該設備并提供基于設備的安全模式規(guī)則的NAD，在此基礎上，NAD對所有入口和出口的流量應用策略，例如一個配置通過驗證的RTU設備可能與記錄器進行通信，其他所有的通信則被阻攔。Hamed Okhravi、David M Nicol的可信工業(yè)網絡體系結構和安全措施明確了可信工業(yè)控制網絡內涵和研究對象，基本上解決了其安全屬性，但缺少可生存性和可控性研究，也沒給出安全性度量模型[3，4]。

圖1 可信工業(yè)控制網絡系統結構

3 多狀態(tài)有獎馬爾可夫工業(yè)控制網絡可信測度模型

3.1 多狀態(tài)有獎馬爾可夫理論

由兩個或兩個以上不同狀態(tài)構成的系統，稱為多態(tài)系統（multi-state system，MSS）。多態(tài)系統所有可能的狀態(tài)集合劃分成可接受和不可接受兩個相互獨立的狀態(tài)子集合。當系統處于可接受狀態(tài)子集時，認定此時系統為正常態(tài)；當系統進入到不可接受狀態(tài)子集時，認定此時系統進入失敗態(tài)。根據數據統計分析或者實驗數據可以得出狀態(tài)之間的轉移概率，從而得出一步狀態(tài)轉移概率矩陣A=|Aij|。多態(tài)系統的可接受狀態(tài)是以系統的輸出表現以及具體的閾值標準——期望水平來進行衡量的。絕大多數時候，多態(tài)系統的表現必須達到或者超過設定的標準。一般來說，有獎馬爾科夫模型可以理解為由狀態(tài)空間{1，2，…，K}以及一步狀態(tài)轉移概率矩陣A=|Aij|，i，j={1，2，…，K}組成的連續(xù)時間馬爾科夫鏈。假設當隨機過程在任意時間單元處于狀態(tài)i，應該給予整個系統適當的獎勵報酬rii。同樣地，如果發(fā)生了從狀態(tài)i到狀態(tài)j的轉變，也應該給予整個系統適當的報酬rij，并且將所得的報酬rii和rij稱為獎勵值。當然這些獎勵也可以表示負的意義，比如說需要表示的含義是進入失敗狀態(tài)或者遭受懲罰的時候。模型最主要的任務是在特定初始條件下，找出系統從開始時間累積到瞬時時刻t的總期望獎勵值。用Vi(t)來表示系統在狀態(tài)i為初始狀態(tài)的條件下到時刻t累積的總期望獎勵值。

3.2 可信狀態(tài)空間劃分

從工業(yè)控制網絡的系統層次確定系統狀態(tài)總數，根據需求和輸出表現對系統劃定可信狀態(tài)和不可信狀態(tài)。設置系統需求函數W(t)、輸出函數G(t)，規(guī)定狀態(tài)劃分函數Φ(G(t),W(t))=G(t)-W(t)。當Φ(G(t),W(t))≥0時，指定狀態(tài)為可信狀態(tài)；當Φ(G(t),W(t))＜0時，指定狀態(tài)為不信狀態(tài)。如圖2所示，狀態(tài)1、2、4、5、6為可接受狀態(tài)，狀態(tài)3、7為不可接受狀態(tài)，陰影表示不可接受狀態(tài)。

圖2 可信狀態(tài)空間劃分

根據不同狀態(tài)之間的相互轉化，構建多態(tài)系統狀態(tài)空間，并確定各自之間相互轉化的概率，規(guī)定λ為較好狀態(tài)至較差狀態(tài)的概率，μ為較差狀態(tài)返回較好狀態(tài)的概率。如λ23表示從狀態(tài)2到狀態(tài)3的概率，由圖2可知狀態(tài)2與狀態(tài)3比較好。根據狀態(tài)轉換圖以及各狀態(tài)轉移概率，得到一步轉移概率矩陣A=|Aij|。同時可根據復雜程度采用層次分析法對系統進行層次分解，分別劃分子系統的狀態(tài)空間，例如系統中有交換機可針對它進行狀態(tài)分解，這樣可避免狀態(tài)空間爆炸問題。

3.3 可信測度數學模型及其求解方法

多態(tài)系統瞬時可用性A(t)表示在任意t>0時刻系統處于可接受狀態(tài)的可能性大小，用概率表示。多態(tài)系統的平均可用性表示當系統在時間間隔[0，t]中處于可接受態(tài)的可能性，可以有以下表示：

其中，前面提到，A(t)是瞬時可用性——在t>0的某一時刻狀態(tài)系統處于可接收狀態(tài)的概率：

為了計算，可在如下規(guī)則下確定獎勵矩陣r的獎勵值：

·所有與可接受態(tài)相關的獎勵必須規(guī)定為1；

·所有不可接受態(tài)相關的獎勵必須規(guī)定為0；

·無直接狀態(tài)轉換的狀態(tài)之間的獎勵值必須為0。

VK(t)表示在狀態(tài)K為初始態(tài)的條件下，多態(tài)系統在時間間隔[0，t]中處于可接受狀態(tài)的累積獎勵值。帶入獎勵矩陣r，通過Howard微分方程解出累積值。解出微分方程以及得出VK(t)的值之后，多態(tài)系統的平均可信性也可以被表示成VK(t)/t，此時K為初始狀態(tài)。Howard微分方程如下：

設Nf(t)表示多態(tài)系統在時間間隔[0，t]內的平均失敗次數，失敗可以理解成整個系統處于癱瘓狀態(tài)或者機構失效，平均失敗次數這個指標可以當成是在時間間隔[0，t]內多態(tài)系統完全處于不可接受狀態(tài)的次數。對于Nf(t)的計算，此時獎勵矩陣的值就表示負的意義，由可接受態(tài)到不可接受態(tài)的所有獎勵值都必須賦值為1，所有其他獎勵值必須為0。由此得到失敗次數獎勵矩陣，在這種情況下，平均累積獎勵值VK(t)表示的含義為在時間間隔[0，t]內進入不可接受狀態(tài)的平均次數。同樣也可以借助Howard微分方程解出VK(t)，得出多態(tài)系統進入不可修復態(tài)（失敗態(tài)）次數Nf(t)，其中Nf(t)=VK(t)，此時K為初始狀態(tài)。通過可用性和平均失敗次數歸一化處理可得出系統的可信度分析此模型可以看出Hamed Okhravi、David M Nicol的可信工業(yè)網絡體系構和安全措施明顯降低了工業(yè)網絡系統從可接收狀態(tài)到不可接收狀態(tài)的轉移概率，因此有效提升了其可信度[5]。

3.4 計算實例及實驗方法

以圖2為例，首先計算可靠性時可以先根據狀態(tài)空間寫出狀態(tài)轉換概率矩陣A和獎勵矩陣rA(t)。

其中，C1=-(λ12+λ14);C2=-(μ21+λ23+λ25);C3=-μ32

因狀態(tài)1、2、4、5、6為可接受狀態(tài)，所以獎勵矩陣中{r11=r22=r44=r55=r66=1}，狀態(tài)轉移矩陣如下：

根據Howard方程寫出微分方程組：

求解微分方程組即可得出不同初始狀態(tài)下系統的可用性A(t)。計算進入失敗狀態(tài)的次數Nf(t)，其獎勵矩陣rNf={r23=r57=r67=1}，其余為0。

進入失敗態(tài)次數Howard微分方程組為：

求解微分方程組即可得出進入失敗狀態(tài)的次數Nf(t)，通過系統的可用性A(t)和進入失敗狀態(tài)的次數Nf(t)歸一化處理可求出系統的可信值[6,7]。

4 結束語

對工業(yè)網絡系統的可信屬性可用性、安全性、可控性及可生存性等研究已成為學術界研究熱點，也是工業(yè)領域迫切解決的問題。網絡系統安全性能的感知是解決網絡系統安全的前提和基礎，本文以工業(yè)控制網絡為研究對象提出可信工業(yè)控制網絡系統架構，并基于此架構研究有獎馬可夫工業(yè)控制網絡可信度評估模型及其求解方法。該方法泛化后也可解決電信通信網絡系統和物聯網系統的類似可信度測量和評估。本文下一步將要研究的問題是網絡系統可信屬性界定及其相互之間關聯的定量關系，找出并優(yōu)化歸一化函數以提高測量精度[8]。

1 沈昌祥，張煥國，馮登國.信息安全綜述.中國科學E輯，2007（2）Shen C X,Zhang H G,Feng D G.Information security overview.Science in China(Series E),2007(2)

2 Stouffer K，Falco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security，NIST,2011

3 Okhravi H,Nicol M D.Application of trusted network technology to industrial control networks.International Journal of Critical Infrastructure Protection,2009(2)

4 卿斯?jié)h，周啟明，杜虹.可信計算研究進展分析，電信科學，2011,27(1):11～15 Qing S H,Zhou Q M,Du H.Progress of research on trusted computing.Telecommunications Science,2011,27(1):11～15

5 Howard R.Dynamic Programming and Markov Processes.Cambridge,Massachusetts:MIT Press,1960

6 Karagiannis T,Papagiannaki K,Faloutsos M.Blinc:multilevel traffic classification in the dark.Proceedings of SIGCOMM'05,Philadelphia,Pennsylvania,USA,2005

7 Karagiannis T,Roido A,Aloutsos M,et al.Transport layer identification of P2P traffic.Proceedings of the 2004 ACM SIGCOMM Internet Measurement Conference,Taormina,Italy,2004

8 閆智，詹靜.面向行為可信的大數據安全系統形式化描述，電信科學，2014,30(7):32～38 Yan Z,Zhan J.Formal description of trusted behavior oriented security system for big data.Telecommunications Science,2014,30(7):32～38