張 峰，吳立金

(1.中國人民解放軍91404部隊,河北 秦皇島 066001；2.中國船舶集團有限公司 綜合技術經濟研究院，北京 100081)

0 引言

當前，控制系統正向網絡化、分布化、智能化方向發(fā)展。分布式控制系統(DCS)、工業(yè)以太網、現場總線控制系統(FCS)均為典型的網絡控制系統。隨著網絡控制系統技術發(fā)展，封閉環(huán)境逐漸打破，功能安全和信息安全問題關聯交織，亟需考慮系統可信性[1]。例如，2013年“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，造成伊朗核電站推遲發(fā)電。2014年土耳其境內的伊拉克向土耳其輸出原油的輸油管道由于黑客關閉了報警、切斷了通信聯系，給管道內的原油大量增壓，引發(fā)爆炸，然而在爆炸將管道破壞前，卻沒有引發(fā)一個遇險信號。2021年4月11日，“以色列網絡襲擊”使伊朗納坦茲核設施的電力系統發(fā)生故障。

可信性是系統需要時按要求執(zhí)行的能力包括可靠性、可用性、恢復性、維修性，以及在某種情況下如耐久性，安全性和安保等其他特性。艦船電站網絡控制系統是應用在裝備中的典型網絡控制系統，如何對應用在裝備中的網絡控制系統進行可信設計、提高系統安全運行能力，是當前裝備研制中面臨的重要問題。以艦船電站網絡控制系統為典型對象，面向網絡控制系統可信性技術現狀，從設備與控制系統、數據、網絡3方面分析了可信性需求，提出了對應的可信性設計技術，通過配置網絡內部及其邊界防護方案，審計網絡中數據的使用、保證設備、系統和芯片的安全可控；實時感知內部、外部的安全風險，建立響應恢復機制，及時應對可信威脅，為提升裝備網絡控制系統可信性提供技術支撐。

1 艦船電站網絡控制系統結構及原理

艦船電站網絡控制系統是一個集散型控制系統，由信息管理層、監(jiān)測控制層、現場設備層共3層構成,如圖1所示。

圖1 艦船電站網絡控制系統結構

艦船電站網絡控制系統原理是：現場設備層、監(jiān)測控制層通過現場總線技術形成分布式控制網絡，通過現場總線、信息集成等技術對發(fā)電機組進行運行控制、信息共享；信息管理層通過網關與現場總線連接，與控制設備交互信息[2]，通過網絡控制技術實現了艦船電站一體化管控[2-12]。

網絡控制協議在各種網絡控制系統中得到廣泛部署，如OPC協議、Modbus協議、DNP3協議、Profinet協議等，這些協議用于控制網絡的不同區(qū)域；提供不同的驗證數據完整性和可信性的方法，網絡控制系統常見的組網方式如表1所示。

表1 網絡控制系統組網方式

艦船電站網絡控制系統實時性、同步通信等特殊需求使其更容易受到干擾影響。網絡控制系統漏洞的類型分別廣泛，包括跨站腳本、數字錯誤、代碼注入等30多種，其中緩沖區(qū)溢出、輸入驗證和信息泄露是出現最多的漏洞類型[13-14]。當前，網絡控制系統中，針對控制協議的惡意軟件增多；對裝備的運行使用造成嚴重影響。隨著數據為中心(數據驅動、共享)的控制互聯，數據可信對裝備運行使用越來越重要。系統軟件、網絡技術從專有到通用，控制環(huán)境開放化(IT和OT融合)，控制系統、運行設備、智能終端等面臨嚴峻的安全可信挑戰(zhàn)。可信計算、智能動態(tài)防御、擬態(tài)防御等可信防護技術也應運而生。

2 艦船電站網絡控制系統可信性分析技術

2.1 控制系統可信性需求分析

2.1.1 工業(yè)協議風險

Modbus、S7、OPC、IEC104、Profibus等工業(yè)協議在設計初期主要是為了保證生產的連通性和穩(wěn)定性，協議的應用、傳輸沒有加密措施，沒有認證措施，可信風險極大。

OPC(olefor process control)一項應用于自動化行業(yè)及其他行業(yè)的數據可信交換可互操作性標準，常用在現場總線的“上游”，作為其他協議與基于Windows的計算網絡之間的網關。OPC協議的可信缺陷主要有：

1)OPC使用DCOM與RPC技術，受到DCOM與RPC漏洞的影響，導致易受到攻擊[15-16]。

2)OPC運行于Windows系統，容易受到Windows漏洞的攻擊影響。

3)主機運行的可靠性影響OPC系統的可靠性。

4)OPC主機常使用弱可信認證機制和弱口令。

5)系統啟用了與控制系統無關的服務，導致非必須的進程和端口。

6)受限于維護等因素，網絡控制系統通常升級困難，不可信的授權機制在使用[6]。

Modbus一種串行通信協議，常用來連接監(jiān)控計算機和遠程終端控制系統(RTU)[17]。Modbus協議的可信缺陷主要有：

1)缺少認證的相關機制。Modbus采用TCP協議，已知目標IP時利用502端口可建立連接，當攜帶設備支持的功能碼，就能夠建立Modbus會話[18]。

2)缺乏數據加密。Modbus協議以明文的形式傳輸，通過抓包技術可獲取并解析處數據，可以偽造假冒的合法數據包對工控設備進行欺騙[19]。

3)缺乏數據檢驗，ModbusTCP實現中，檢驗和是在傳輸層而非應用層生成，使得假冒命令更加容易。

2.1.2 控制設備風險

國內用的控制設備基本上來自西門子、AB、施耐德等國外廠商，這些控制設備設計的時候多數是為了實現功能，沒有相應的安全設置或相應的安全功能模塊[20]，存在較多漏洞，甚至后門，一旦被攻擊利用會導致嚴重后果。

2.1.3 應用軟件風險

網絡控制系統中使用的Sixnet、iFix、SIMATIC、HollySys等組態(tài)軟件存在大量的安全漏洞，嚴重影響安全運行[21]。

2.1.4 操作系統風險

操作員站、工程師站、工業(yè)服務器使用Windows系統，存在安全漏洞。并且考慮到工業(yè)系統運行的穩(wěn)定性，操作系統很少打補丁，容易遭受惡意攻擊。

2.1.5 人機操作風險

上位機操作人員具有較高操作權限，能夠執(zhí)行狀態(tài)變更、程序下裝、執(zhí)行操作等重要行為，當出現誤操作時會導致事故發(fā)生，造成損失。

2.1.6 管理意識風險

各項制度、規(guī)范、標準，將人和技術結合在一起，以確保技術防護手段能夠真正發(fā)揮作用。用戶安全意識不足是很多安全事件產生的根本原因。

裝備網絡控制系統應用嵌入式系統+微處理器+應用軟件的新模式，面臨攻擊范圍擴大、擴散速度增加、漏洞影響擴大等威脅[13]，應分別從設備可信、協議可信、軟件可信3方面采取可信性設計措施[3]。

2.2 控制數據可信性需求分析

控制數據可信保證數據在生命周期內的機密性、完整性、可用性[4]。裝備網絡控制系統數據類型包括運行數據、用戶數據、設備數據、外部數據、基礎數據等，控制數據可信貫穿于整個裝備網絡控制系統架構。

從風險的位置看，數據可信風險包括內部風險和外部風險。內部風險主要源于內部網絡、設備內部、控制平臺內部等，主要包括內網健壯性以及內網病毒風險等；外部風險主要源于外部網絡，包括外部攻擊、病毒入侵等。從風險產生的環(huán)節(jié)看，數據的感知、傳輸、存儲和處理都會受到不同的威脅。數據感知的主要威脅包括數據竊取、數據受損、節(jié)點故障、隱私侵犯等；數據傳輸的主要威脅包括數據泄露、數據篡改、數據破壞等；數據存儲和處理的主要威脅包括數據泄露、數據破壞等。

控制數據可信防護需要從數據可信管理、數據可信技術兩方面進行防護。

2.2.1 數據可信管理

建立裝備網絡控制系統全產業(yè)鏈數據可信管理體系，包括管理策略、分級分類的管理制度，明確數據可信包含的責任和目標。

1)數據可信管理策略：加強對裝備網絡控制系統數據的可信監(jiān)督檢查；加強數據各環(huán)節(jié)的可信防護能力；加大對管理者的數據可信意識培訓；定時定期對涉及數據的使用者進行檢查；及時對應用平臺、設備進行可信檢查、維護、升級。

2)數據分級分類制度：依照控制數據可信的重要性、可信目標、影響范圍與嚴重程度，將數據分為不同的敏感級：一般數據、重要數據、敏感數據。

3)明確數據可信責任和目標：管理者需要深入了解“四問”“四知”。四問：哪些數據需要保護、這些數據面對什么威脅、誰負責保護受威脅數據、如何保護受威脅數據。四知：知悉控制數據可信保護的政策、方法、要求和期望。

2.2.2 數據可信技術

構建數據可信技術體系，保證全生命周期的數據可信，具體包括：終端加密、認證機制、數據審計等數據感知技術；訪問控制、存儲加密、備份和恢復、數據分布地圖等數據存儲技術[22-23]；數據加密、安全技術保護、消息認證技術、數據識別技術、數據轉流審計及分布地圖等數據傳輸技術；使用授權、數據銷毀、數據脫敏等數據處理技術。

2.3 控制網絡可信性需求分析

控制網絡可信指工廠內有線網絡、無線網絡的可信以及工廠外與用戶、協作系統等事項互聯的功能網絡可信。目前控制網絡可信風險主要包括：部分現有控制網絡已經存在威脅；控制網、管理網以及上級管理網之間缺乏系統有效的防護策略，現有防火墻、網閘等形同虛設；控制網與管理網邊界不清晰，控制網存在多個數據出口且無防護措施；控制網絡普遍無審計措施；無線設備管理不完善，無線網絡可信問題較突出，面臨DoS攻擊、DDoS攻擊、假冒攻擊、中間人攻擊、跨異構網絡的網絡攻擊等。

網絡可信防護內容具體可分為3類：

1)內部網絡可信需求：區(qū)域劃分與隔離、數據傳輸完整性、網絡異常監(jiān)測、無線網絡攻擊的防護、網絡入侵防范、惡意代碼防范、網絡可信審計、數據傳輸保密性保護、網絡訪問控制。

2)外部網絡可信要求：數據傳輸完整性、數據傳輸保密性、網絡入侵防范、惡意代碼防范、網絡可信審計、網絡訪問控制、網絡集中管控。

3)邊界可信防護要求：網絡邊界隔離、網絡邊界訪問控制、網絡邊界可信審計、網絡邊界惡意代碼防范。

3 艦船電站控制系統可信性設計技術

3.1 設備可信性設計技術

3.1.1 操作系統/應用軟件可信設計

1)固件可信增強，可從操作系統內核、協議棧等方面進行可信增強，阻止惡意代碼傳播與運行，力爭實現設備固件的自主可控。

2)漏洞修復，對工業(yè)現場常見的設備進行漏洞掃描與挖掘，發(fā)現操作系統和應用軟件中存在的安全漏洞，并及時進行修復。

3)補丁升級，針對網絡控制系統現場設備的安全漏洞，及時采取補丁升級措施，并在補丁安裝前對補丁進行嚴格的可信評估和測試驗證。

3.1.2 硬件可信設計

1)硬件可信增強，利用可信芯片或可信固件作為信任根，為現場設備安全啟動、數據安全傳輸提供支持和保護[5]。

2)運維監(jiān)測控制，部署在機組主控DCS系統等重要控制系統的操作員站、工程師站、歷史站，對外部存儲設備、USB接口設備識別與管控[24]。

3.2 系統可信性設計技術

圖2 艦船電站軟件可信性設計技術

3.2.1 協議可信設計

1)身份認證：在控制協議通信過程中加入認證方面的約束，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程可信。

2)訪問控制：建立基于角色的訪問機制，對用戶權限進行劃分。

3)傳輸加密：采用加密措施保證通信雙方的信息不被第三方獲取。

4)健壯性測試：控制協議應用到工業(yè)現場之前通過健壯性測試，如風暴測試、飽和測試、語法測試、模糊測試等。

3.2.2 應用可信防護

1)權限設置：不同的應用程序應根據不同的對象設置不同的權限，以最小權限完成的相關任務。

2)病毒防護：應用程序應該具有查殺病毒、木馬等檢測手段，做好預防和恢復相關措施。

3)防止篡改：利用完整性校驗技術對程序校驗，及時發(fā)現應用程序的篡改情況；對軟件重要代碼進行加密。

4)協議過濾：通過防火墻技術對協議數據過濾，對通信內容進行監(jiān)測跟蹤。

5)補丁升級：應用程序的變更、升級應經過嚴格測試，并有回退計劃，重要補丁應盡快測試、部署。

3.3 軟件可信性設計技術

軟件可信性設計方法主要包括避錯設計、容錯設計、排錯設計、預錯設計等。避錯設計是傳統的可靠性設計技術，體現了以預防為主的思想，貫穿于軟件開發(fā)的全過程，主要方法由結構化設計、貫徹相關設計標準和編碼標準等。避錯是艦船電站網絡控制系統軟件可信性的基本方法，但只能達到一定的限度。要想進一步提高可信性，需要進行容錯設計。軟件容錯設計是在系統存在故障的情況下，發(fā)現故障并糾正故障，使系統運行不受影響，或將故障影響降到可接受范圍，設計方法主要錯誤檢測、錯誤處理、錯誤恢復等。排錯設計主要是在開發(fā)階段進行排錯和運行階段進行校正性維護與預防性維護。預錯主要通過定性的等級評價或定量的概率評價對故障進行預測。軟件可信性設計技術如圖2所示。

4 艦船電站控制數據可信性設計技術

4.1 數據分級分類要求

對數據內容的理解，并對數據進行分級分類；根據數據類別和密級對需要保護的數據進行定位和標記；根據數據類別和密級，結合數據的創(chuàng)建者、流轉情況、分布情況、使用方式分析數據的風險情況及信任情況；根據不同風險和信任情況制定出多樣的響應方式對數據進行保護[14]。

數據分級分類主要依照控制數據可信的重要性、可信目標、影響范圍與嚴重程度，將互聯網相關數據分為不同的敏感級：一般數據、重要數據、敏感數據。

1)一般數據：裝備控制數據發(fā)生泄露時，對與裝備網絡控制系統相關的生產商、服務提供商、用戶等造成一定影響，但不會對財產和人身安全構成危害，影響范圍與程度有限。

2)重要數據：數據一旦泄露，會對裝備網絡控制系統運行造成較大影響，在一定范圍內影響經濟消息或造成財產損失，或對用戶的人身和財產造成較大影響，或產生安全事故。

3)敏感數據：裝備網絡控制系統的數據活動中，與軍事利益密切相關，或關系到裝備隱私，一旦未經授權泄露、丟失、濫用、篡改或銷毀，造成嚴重后果，嚴重影響裝備實戰(zhàn)能力或產生重大安全事故。

數據分級分類通過調研訪談對樣本采樣，通過機器學習對樣本進行聚類分析，分析數據實現分級分類，提取特征進行策略應用。

4.2 數據可信性設計技術

敏感數據可信處理主要是：對敏感數據進行加密處理；對敏感數據的外傳進行提請審批；對敏感數據外傳進行阻斷處理；對敏感數據的外傳進行多種方式告警；對敏感數據外傳的詳情進行審計；對存儲的敏感數據進行轉發(fā)和移動/刪除。具體設計技術為：

1)數據監(jiān)控，監(jiān)控所有TCP/UDP網絡鏈接，分析應用協議所傳輸的內容，發(fā)現并記錄可能違反數據可信策略的時間，監(jiān)控網絡數據流向、終端數據流向等。

2)網絡保護，對HTTP和HTTPS協議的網絡數據流量實施進行內容恢復和掃描，進行審計和阻斷。

3)終端保護，掃描并發(fā)現終端上的敏感信息分布和不當存儲，監(jiān)控對敏感數據的使用并進行實時保護。

4)數據發(fā)現，掃描各類服務器及存儲，結合終端保護模塊可對終端進行掃描，生成敏感信息分布熱力圖、數據分布地圖，對敏感數據定位。

5)數據管理，基于Web界面的綜合管理平臺，可配置基于用戶角色的數據防泄露策略和系統管理選項。管理平臺可視化程序敏感數據分布狀況好可信態(tài)勢，可生成泄露事件日志和報表，幫助用戶采取進行審核、審計和補救措施。

4.3 數據可信性檢查驗證要求

軟件設計要素之一的數據設計包括數據庫、數據文件和全局數據結構的定義，是確定整個系統和軟件所有數據的關鍵階段。設計數據分析評價在該軟件設計中每個數據項的描述和預期的使用。數據分析確保數據的結構和預期的使用將不違反安全性需求。在執(zhí)行設計數據分析中使用的一項技術是將該設計邏輯中的每一個數據項的描述同其使用進行比較。共享存儲器和動態(tài)存儲器分配可能影響到數據的完整性，還應該保護數據項不被未授權的應用程序覆蓋。軟件數據設計分析驗證檢查單如表2所示。

5 艦船電站控制網絡可信性設計技術

5.1 網絡可信性設計技術

網絡可信性設計技術主要通過網絡與邊界的劃分隔離、訪問控制、機密性與完整性保護、異常監(jiān)測、入侵防范、可信審計等方式保證，網絡信息傳輸的可信性。網絡可信防護重點關注控制系統與信息系統之間，對內部云平臺的訪問，接入云平臺、信息系統、工業(yè)控制系統的設備，接入云平臺的智能產品、智能終端等。具體技術包括：

1)網絡隔離技術:通過專用物理硬件和安全協議在不同網絡之間架構器安全隔離網墻，使兩個系統在空間上物理隔離，同時又能過濾數據交換過程中的病毒、惡意代碼等信息，常用工具包括防火墻、網閘、物理隔離卡、安全路由等[7]。

2)加解密技術:加密技術是網絡可信防護的一項重要保密措施，利用技術手段把重要數據變?yōu)閬y碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)，加密技術包括兩個元素：算法和密鑰。常用的攻擊包括密碼算法、安全協議、VPN等。

3)認證技術:認證技術是確認操作者身份的過程而產生的有效解決方法。所有對用戶的授權是針對用戶數字身份的授權，認證手段包括基于信息秘密的身份認證(如靜態(tài)密碼)、基于生物特征的身份認證(如生物識別)、基于信任物體的身份認證(如智能卡、短信秘密、動態(tài)口令、數字簽名等)[8]。

表2 數據可信性分析驗證檢查單

4)入侵檢測技術:入侵檢測是通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖，作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等[23]。常用攻擊包括基于協議的入侵檢測、基于異常行為的入侵檢測、基于特征的入侵檢測等[9]。

5)惡意代碼防護技術:常見的惡意代碼包括計算機病毒、特洛伊木馬、計算機蠕蟲、后門、邏輯炸彈等。惡意代碼防護技術主要包括基于主機的惡意代碼防護技術和基于網絡的惡意代碼防護技術。

6)監(jiān)測審計技術:監(jiān)測技術包括數據采集技術、關聯分析技術、預警技術，審計技術包括邏輯命令自動識別技術、正則表達式匹配技術、會話重建技術、多線程協議還原技術等。

5.2 某控制網絡典型可信防護措施

針對某型裝備控制網絡，根據網絡特性，制定了以下的典型可信防護措施：

1)優(yōu)化網絡結構，通過在關鍵網絡節(jié)點和標識解析節(jié)點采用雙機熱備和負載均衡技術，通過合理的網絡結構和設置提高網絡的靈活性和可擴展性[10]。

2)網絡可信接入，接入網絡的設備具有唯一標識，網絡對接入的設備進行身份認證。

3)網絡可信邊界，根據重要程度將整個網絡劃分為不同的可信域，形成縱深防御體系。

4)網絡可信傳輸，利用加密技術防止非法竊取，采取校驗機制保障篡改被有效甄別。

5)設備可信防護，網絡設備與標識解析節(jié)點啟用安全登錄方式，對遠程登錄的源地址限制，對登錄用戶進行身份鑒別，登錄過程采取完備的登錄失敗處理措施。

6)可信監(jiān)測審計，通過漏洞掃描工具等探測系統漏洞，及時預警；記錄設備運行信息和用戶活動，對安全事件告警；監(jiān)測內部人員錯誤操作或越權操作，及時告警。

6 結束語

艦船電站網絡系統信息技術(IT)與操作技術(OT)融合，控制范圍從局部擴展到全局，并且控制監(jiān)測上移、實時控制下移，信息安全與功能安全交織，危害范圍擴大、程度加深。然而，艦船電站網絡控制系統在安全可信方面的測評標準體系尚不完善，網絡、設備、系統的可信防護變得尤為重要[11]，并且艦船電站網絡控制系統是應用于裝備上的系統，由于軍事使用需求，在可信性設計方面需要將“風險”與“可信”進行平衡，以滿足裝備實時性、易用性、可靠性等使用需求，強調信任則會提高風險，強調風險則會較低效率。因此，艦船電站網絡控制系統在研制過程中，應針對不同的數據和不同的使用場景，進行風險分析、可信設計，配合自適應的可信防護響應機制來實現。網絡控制系統可信防護理念是：1)可知，風險評估、安全培訓、形勢跟蹤；2)安全，安全應用、安全設備、安全網絡；3)可管，管理制度、管理措施、管理水平；4)可防，主機防護、邊界防護、網絡防護。通過分析了裝備網絡控制系統可信性需求，提出了對應的可信性設計措施，為艦船電站網絡控制系統以及其他裝備中的網絡控制系統開展可信性防護設計提供了技術支持。