孫 瑜，洪 宇，王炎玲

(北京可信華泰信息技術(shù)有限公司，北京100195)

0 引言

目前，隨著網(wǎng)絡(luò)空間成為繼陸、海、空、天之后的第五維空間，我國(guó)網(wǎng)絡(luò)安全形勢(shì)面臨著嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)安全的首要問題是解決核心技術(shù)受制于人的問題，亟需建立創(chuàng)新發(fā)展的主動(dòng)免疫可信防護(hù)體系[1]。 我國(guó)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行往往是由工業(yè)控制系統(tǒng)的生產(chǎn)系統(tǒng)來實(shí)現(xiàn)的，數(shù)字化控制系統(tǒng)已成為工業(yè)控制系統(tǒng)的普遍趨勢(shì)。 數(shù)字化控制系統(tǒng)是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，將會(huì)給國(guó)家安全、國(guó)計(jì)民生、公共利益帶來嚴(yán)重危害。 因此數(shù)字化控制系統(tǒng)往往成為網(wǎng)絡(luò)戰(zhàn)的第一目標(biāo)，針對(duì)工業(yè)控制系統(tǒng)的攻擊通常具有極強(qiáng)的針對(duì)性和隱蔽性，能夠突破以隔離為主的安全防護(hù)體系，使現(xiàn)有安全防護(hù)失效。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十一條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。 國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0 核心標(biāo)準(zhǔn)《GBT22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GBT25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》于 2019 年 12 月正式實(shí)施，在等級(jí)保護(hù)2.0 基本要求及設(shè)計(jì)要求中強(qiáng)調(diào)了基于可信根的可信驗(yàn)證在整個(gè)信息系統(tǒng)防護(hù)中的重要地位。 一方面可信驗(yàn)證是通用要求，是所有系統(tǒng)的基礎(chǔ)性安全要求；另一方面在基本要求中對(duì)信息系統(tǒng)進(jìn)行分類，在擴(kuò)展要求中對(duì)工業(yè)控制系統(tǒng)也提出了更具針對(duì)性的安全防護(hù)要求[2-4]。

綜上，設(shè)計(jì)具有可信根和可信驗(yàn)證功能的工業(yè)控制系統(tǒng)，對(duì)我國(guó)生產(chǎn)制造業(yè)和國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的發(fā)展有著重要的意義。

1 工業(yè)控制系統(tǒng)的安全分析

隨著信息化技術(shù)在工業(yè)控制領(lǐng)域的快速發(fā)展，工業(yè)互聯(lián)網(wǎng)、智能制造等技術(shù)的應(yīng)用推廣，控制系統(tǒng)的物理隔離被打破，孤島現(xiàn)象逐步消失，其開放性帶來便利的同時(shí)也擴(kuò)大了安全暴露面，安全風(fēng)險(xiǎn)也與日俱增。 對(duì)于企業(yè)而言，工業(yè)控制系統(tǒng)與 IT 的集成和融合不可避免，由此會(huì)面臨愈加復(fù)雜的安全風(fēng)險(xiǎn)，如何進(jìn)行工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)，已經(jīng)成為一個(gè)制約企業(yè)發(fā)展的重要問題。 卡巴斯基Kaspersky 早在 2016 年曾對(duì) 188 019 套工業(yè)控制系統(tǒng)所面臨的威脅進(jìn)行調(diào)查研究，發(fā)現(xiàn)超過91%的工業(yè)控制系統(tǒng)存在安全漏洞，所有安全漏洞均可能被非法遠(yuǎn)控和利用，絕大部分組織或企業(yè)的工控系統(tǒng)都面臨網(wǎng)絡(luò)威脅。

目前工業(yè)控制系統(tǒng)的安全防護(hù)主要依靠防火墻、網(wǎng)閘、漏洞掃描、主機(jī)加固、防病毒軟件、USB禁用等手段。 然而，網(wǎng)絡(luò)空間安全主要是攻防雙方的安全博弈，由于雙方的不對(duì)稱性使以上防護(hù)手段不能有效地發(fā)揮作用。 如在工業(yè)控制系統(tǒng)領(lǐng)域，防病毒軟件病毒庫往往不能夠及時(shí)更新，因?yàn)槊恳淮胃伦兓伎赡軐?duì)工業(yè)系統(tǒng)運(yùn)行帶來不良影響，未實(shí)時(shí)更新的病毒庫不能有效防御新出現(xiàn)的病毒。 另外，即使實(shí)時(shí)更新的病毒庫也不能有效應(yīng)對(duì)未知病毒，例如Stuxnet 病毒作為一種新病毒，在其攻擊系統(tǒng)前，防病毒軟件由于病毒庫中沒有該病毒特征值而無法予以發(fā)現(xiàn)和識(shí)別。再如漏掃機(jī)制，在其連接敏感設(shè)備并進(jìn)行漏洞數(shù)據(jù)收集時(shí)，可能給系統(tǒng)帶來無法接受的生產(chǎn)中斷，對(duì)生產(chǎn)造成極大的損失[5-7]。

較一般信息系統(tǒng)而言，工業(yè)控制系統(tǒng)具備其特殊的特點(diǎn)及要求，如強(qiáng)實(shí)時(shí)性通信、通信協(xié)議豐富多樣、系統(tǒng)不允許重啟、人和控制過程安全、加入安全功能及機(jī)制后不影響控制流程、設(shè)備不易更換且設(shè)備生命周期較長(zhǎng)等。鑒于工業(yè)系統(tǒng)自身特點(diǎn)及對(duì)安全的特殊要求及限制，傳統(tǒng)的“封堵查殺”安全防護(hù)技術(shù)多是基于特征匹配的方法，無法解決利用未知漏洞的攻擊，難以有效解決工業(yè)控制系統(tǒng)的安全問題。 無論是外部攻擊還是內(nèi)部惡意行為(如病毒感染、員工失誤、員工/服務(wù)商人員惡意修改等)，最終都是通過改變控制系統(tǒng)的程序組態(tài)實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)的攻擊，或者直接取得對(duì)控制系統(tǒng)的操控權(quán)。

可信計(jì)算3.0 技術(shù)將控制系統(tǒng)計(jì)算節(jié)點(diǎn)構(gòu)建為工業(yè)生產(chǎn)過程控制的可信計(jì)算環(huán)境，能夠保障業(yè)務(wù)邏輯不被篡改，可對(duì)業(yè)務(wù)環(huán)境和使用者進(jìn)行有效鑒別驗(yàn)證，通過安全管理中心支撐下的計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全組成三重防護(hù)體系結(jié)構(gòu)，構(gòu)建縱深防御、主動(dòng)免疫的防護(hù)能力，從而解決工業(yè)系統(tǒng)當(dāng)前面臨的安全風(fēng)險(xiǎn)，并同時(shí)滿足國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)要求[8-12]。

2 控制系統(tǒng)的可信防護(hù)設(shè)計(jì)

2.1 我國(guó)可信計(jì)算發(fā)展現(xiàn)狀

相比于國(guó)外可信計(jì)算技術(shù)，我國(guó)在可信計(jì)算方面的研究起步較早，于1992 年發(fā)明了微機(jī)保護(hù)卡，通過密碼技術(shù)為DOS 運(yùn)行環(huán)境中的PC 實(shí)施安全保護(hù)，達(dá)到了無病毒、自我免疫的效果。 歷經(jīng)二十多年的發(fā)展，我國(guó)可信計(jì)算技術(shù)已經(jīng)擁有了完整的技術(shù)理論、逐步完善豐富的標(biāo)準(zhǔn)體系[13-21]和產(chǎn)品應(yīng)用。

我國(guó)自主創(chuàng)新的可信計(jì)算3.0 技術(shù)是以TPCM為技術(shù)路線，核心的主動(dòng)免疫雙體系架構(gòu)是基于自主創(chuàng)新的對(duì)稱與非對(duì)稱結(jié)合的密碼體制，將其作為主動(dòng)免疫基因；在系統(tǒng)設(shè)備硬件層通過植入TPCM可信控制模塊作為可信根，內(nèi)置TCM 模塊具備可信控制功能，將密碼與控制相結(jié)合，構(gòu)建計(jì)算與防護(hù)并行的可信計(jì)算節(jié)點(diǎn)，由信任根實(shí)現(xiàn)對(duì)可信計(jì)算平臺(tái)的主動(dòng)控制；在設(shè)備軟件層通過部署可信軟件基軟件，實(shí)現(xiàn)宿主機(jī)操作系統(tǒng)和可信軟件基的雙重系統(tǒng)核心， 無需改變應(yīng)用層軟件即可實(shí)現(xiàn)對(duì)系統(tǒng)的執(zhí)行環(huán)境及進(jìn)程行為的主動(dòng)可信度量，為系統(tǒng)構(gòu)建主動(dòng)免疫防御能力；在系統(tǒng)網(wǎng)絡(luò)層，通過可信連接技術(shù)實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)源、 目標(biāo)平臺(tái)的可信驗(yàn)證和控制，確保網(wǎng)絡(luò)連接的可信性，將可信由單點(diǎn)拓展至整個(gè)網(wǎng)絡(luò)[9]。

隨著可信計(jì)算體系標(biāo)準(zhǔn)的逐漸豐富和完善，越來越多的企業(yè)開始對(duì)可信計(jì)算進(jìn)行研究，目前市場(chǎng)上已有幾十家企業(yè)推出了可信計(jì)算產(chǎn)品，可信計(jì)算產(chǎn)品已具備完整的產(chǎn)品體系，目前已覆蓋芯片、固件、板卡、軟件、整機(jī)、網(wǎng)絡(luò)、外設(shè)、專用設(shè)備等。 可信計(jì)算產(chǎn)品最核心的可信模塊包括TPCM 可信根硬件和配套可信軟件基軟件體系，TPCM 可信根實(shí)現(xiàn)方式主要包括 CPU 內(nèi)置和外置插卡/板載芯片。

2.2 可信 PLC 構(gòu) 建

PLC 作為 SCADA 和 DCS 等主要工控系統(tǒng)中的現(xiàn)場(chǎng)控制組件，通常應(yīng)用于工業(yè)過程控制領(lǐng)域。對(duì)PLC 的編程控制和診斷，一般通過常見的Unity Pro、WINCC 等下位機(jī)軟件來實(shí)現(xiàn)。

可信PLC 的構(gòu)建基于可信計(jì)算3.0 技術(shù)，采用“計(jì)算+防護(hù)”并行的雙體系架構(gòu)，通過在PLC 硬件層植入主動(dòng)度量控制芯片TPCM 構(gòu)建可信根，實(shí)現(xiàn)計(jì)算和可信的融合。 具體構(gòu)建方式如下：

構(gòu)建可信PLC，即在原有的PLC 基礎(chǔ)上融合可信芯片，同時(shí)在PLC 的操作系統(tǒng)中內(nèi)置預(yù)裝可信功能模塊，從而構(gòu)建可信 PLC 環(huán)境。 在可信 PLC 啟動(dòng)時(shí)，可信機(jī)制首先進(jìn)行自身安全診斷，然后進(jìn)行PLC 的計(jì)算環(huán)境檢測(cè)，并對(duì)PLC 的業(yè)務(wù)模塊進(jìn)行檢測(cè)，當(dāng)通過上位機(jī)軟件對(duì)PLC 進(jìn)行編程控制和診斷時(shí)，可信機(jī)制能夠度量和執(zhí)行驗(yàn)證代理，并對(duì)PLC的操作系統(tǒng)進(jìn)行完整性度量、驗(yàn)證和存儲(chǔ)，對(duì)上位機(jī)軟件進(jìn)行可信驗(yàn)證，PLC 根據(jù)上位機(jī)軟件的指令開始運(yùn)行。

可信PLC 的功能除了包括PLC 本身帶有的處理、通信、輸入輸出等核心功能外，還包括TPCM。 作為可信計(jì)算模塊， TPCM 是可信功能結(jié)構(gòu)的核心，主要發(fā)揮存儲(chǔ)信任根、報(bào)告信任根和計(jì)算信任根的作用，并為工控系統(tǒng)其他組件提供基本的存儲(chǔ)保護(hù)功能及PCR 和簽名密鑰等可信資源。 其結(jié)構(gòu)如圖1 所示。

圖 1 可信 PLC 的功能結(jié)構(gòu)圖

從整機(jī)設(shè)備體系結(jié)構(gòu)上看，最關(guān)鍵的設(shè)計(jì)就是如何將可信根接入PLC 整機(jī)?？尚鸥钦w可信保障體系的核心。 針對(duì)工控 PLC，一種典型的信任鏈構(gòu)建及傳遞過程為：在 PLC 設(shè)備上電以后，TPCM 模塊有優(yōu)先執(zhí)行權(quán)，對(duì)初始化的固件鏡像進(jìn)行可信度量驗(yàn)證，待驗(yàn)證通過后，執(zhí)行權(quán)再由TPCM 模塊交給初始化固件，PLC 主控 CPU 讀取驗(yàn)證過的固件鏡像并執(zhí)行，從而完成PLC 設(shè)備初始化工作。 在產(chǎn)品實(shí)現(xiàn)上，TPCM 可由獨(dú)立芯片進(jìn)行整機(jī)構(gòu)建，再配合修改啟動(dòng)時(shí)序電路、獨(dú)立存儲(chǔ)資源從而實(shí)現(xiàn)可信PLC；或者利用 PLC 主控 CPU 內(nèi)部安全芯片或IP 核實(shí)現(xiàn)TPCM 功能，例如我國(guó)飛騰 CPU 基于 AMAB 總線 AXI擴(kuò)展接口能夠?qū)崿F(xiàn)安全I(xiàn)P 核的資源隔離，可用該安全 IP 核實(shí)現(xiàn) TPCM，構(gòu)建可信 PLC 從而節(jié)省了 PLC整機(jī)硬件設(shè)計(jì)修改工作。

采用飛騰 2000/4 型號(hào) CPU 作為 PLC 的主控CPU 實(shí)現(xiàn)信任鏈啟動(dòng)。 飛騰 2000/4 型號(hào) CPU 是ARMV8 架構(gòu)支持可信，可以完整運(yùn)行 Linux、嵌入式Linux 之類操作系統(tǒng)，并且內(nèi)部已經(jīng)集成 SM2、SM3、SM4 國(guó)密算法引擎和真隨機(jī)數(shù)生成器，具備實(shí)現(xiàn)可信根的密碼資源和計(jì)算資源。 在整機(jī)上電后飛騰CPU 首先加載飛騰 PBF 固件初始化 CPU， 同時(shí)將CPU 中的四個(gè)核中的一個(gè)作為可信核以實(shí)現(xiàn)TPCM功能，另外三個(gè)核作為計(jì)算核以實(shí)現(xiàn)PLC 原有的業(yè)務(wù)邏輯。 用飛騰 CPU 分核實(shí)現(xiàn)安全和計(jì)算，這種設(shè)計(jì)不僅節(jié)省了傳統(tǒng)方案中兩個(gè)分立芯片的開銷，并且利用CPU 內(nèi)部的高精度實(shí)現(xiàn)，達(dá)到安全業(yè)務(wù)和計(jì)算業(yè)務(wù)之間的高帶寬低延時(shí)的連接效果。 同時(shí)它又發(fā)揮出計(jì)算和安全由一個(gè)芯片實(shí)現(xiàn)帶來的諸多優(yōu)勢(shì)，如：物理尺寸減小，整體開銷、費(fèi)用降低，無需因?yàn)榘踩~外修改 PLC 主板電路等。 在 PBF 初始化后，可信核也就是TPCM 首先開啟度量工作，度量PLC 的Boot.bin 引導(dǎo)文件、內(nèi)核鏡像、設(shè)備樹文件等，可信核通過總線獲取存儲(chǔ)于Flash 芯片上的數(shù)據(jù)文件并通過SM3 計(jì)算出哈希值，與內(nèi)部存儲(chǔ)的Boot.bin引導(dǎo)文件、內(nèi)核鏡像、設(shè)備樹文件預(yù)期值進(jìn)行比對(duì)；當(dāng)可信驗(yàn)證通過后可信核發(fā)出信號(hào)，計(jì)算核開始工作加載Boot.bin 引導(dǎo)文件、內(nèi)核鏡像、設(shè)備樹文件等，PLC 進(jìn)入工作狀態(tài)實(shí)現(xiàn)可信啟動(dòng)。 當(dāng) PLC 進(jìn)入工作狀態(tài)后，位于PLC 操作系統(tǒng)的可信軟件基依據(jù)策略周期性度量操作系統(tǒng)的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)（例如系統(tǒng)調(diào)用表、內(nèi)核代碼段、關(guān)鍵驅(qū)動(dòng)等），以確保 PLC 在可信安全的運(yùn)行空間中執(zhí)行工業(yè)控制任務(wù)。

3 安全管理中心支撐下的工業(yè)控制系統(tǒng)防護(hù)

可信PLC 同時(shí)結(jié)合可信上位機(jī)和可信服務(wù)器，可逐步構(gòu)建出工業(yè)控制系統(tǒng)的可信計(jì)算環(huán)境。 可信上位機(jī)的安全防護(hù)主要利用可信根、可信軟件基提供的基礎(chǔ)安全保障，做好對(duì)組態(tài)的管理和對(duì)非法組態(tài)修改的識(shí)別。 系統(tǒng)組態(tài)的改變主要包括由病毒感染引起的修改、黑客入侵修改、未經(jīng)批準(zhǔn)的惡意修改、經(jīng)批準(zhǔn)但因工作疏忽造成的錯(cuò)誤修改，無論哪種情況都可以利用可信計(jì)算的防護(hù)機(jī)制進(jìn)行阻斷修改。 即需要做好對(duì)組態(tài)的基準(zhǔn)值管理，建立操作系統(tǒng)和工業(yè)控制軟件的基準(zhǔn)值采集和管理機(jī)制。

在工業(yè)控制系統(tǒng)內(nèi)包括并涉及大量設(shè)備，對(duì)多源異構(gòu)設(shè)備的集中安全管理是一個(gè)難點(diǎn)，可信安全管理中心可實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)眾多設(shè)備的統(tǒng)一管理，確保安全策略的有效一致性，同時(shí)便于安全管理和監(jiān)測(cè)。 工業(yè)控制系統(tǒng)的另一個(gè)難點(diǎn)就是OT 和 IT 的結(jié)合問題，傳統(tǒng)網(wǎng)絡(luò)安全防御的處理機(jī)制并不適用于工業(yè)控制系統(tǒng)，例如在典型車間，當(dāng)報(bào)警值高于聯(lián)鎖值，則容易造成非計(jì)劃停車，即在沒有對(duì)報(bào)警處理的情況下出現(xiàn)停車，從而造成重大的經(jīng)濟(jì)損失。因此工業(yè)控制系統(tǒng)安全在定義策略時(shí)要考慮到安全阻斷行為會(huì)觸發(fā)怎樣工業(yè)行為，管理中心就是統(tǒng)一制定安全策略的平臺(tái)，安全管理員通過管理中心進(jìn)行安全策略的制定和預(yù)演，依據(jù)工業(yè)系統(tǒng)的應(yīng)急措施和處理邏輯制定出符合現(xiàn)場(chǎng)的安全防護(hù)策略。

4 結(jié)論

當(dāng)前工業(yè)控制系統(tǒng)“封堵查殺”的防護(hù)技術(shù)難以應(yīng)對(duì)當(dāng)前所面臨的安全威脅，本文基于我國(guó)自主創(chuàng)新的可信計(jì)算3.0 技術(shù)，針對(duì)工業(yè)控制系統(tǒng) PLC，提出了主動(dòng)免疫的計(jì)算和防護(hù)并行雙體系架構(gòu)，并以此實(shí)現(xiàn)PLC 節(jié)點(diǎn)從啟動(dòng)到運(yùn)行的信任鏈建立和傳遞，同時(shí)構(gòu)建了工業(yè)控制系統(tǒng)關(guān)鍵計(jì)算節(jié)點(diǎn)可信PLC、上位機(jī)和服務(wù)器，克服了工業(yè)控制系統(tǒng)被動(dòng)防護(hù)的現(xiàn)狀，使工業(yè)控制系統(tǒng)在計(jì)算運(yùn)算的同時(shí)實(shí)現(xiàn)安全防護(hù)，保障工業(yè)系統(tǒng)邏輯計(jì)算全程可測(cè)可控，不被干擾，確保計(jì)算結(jié)果與預(yù)期結(jié)果的一致性，為工業(yè)系統(tǒng)的安全運(yùn)行提供安全支撐。