發(fā)言人：中國科學(xué)院軟件研究所、可信計(jì)算與信息保障實(shí)驗(yàn)室  秦宇

（本文根據(jù)作者在2016世界互聯(lián)網(wǎng)工業(yè)大會“智能制造工控信息安全”論壇的發(fā)言摘錄整理）

工業(yè)控制系統(tǒng)面臨嚴(yán)峻挑戰(zhàn)

工業(yè)控制系統(tǒng)在信息、網(wǎng)絡(luò)、智能等新技術(shù)的推動下，向智能化、網(wǎng)絡(luò)化方向發(fā)展，同時工控系統(tǒng)面臨新的嚴(yán)峻安全挑戰(zhàn)，對國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定等產(chǎn)生嚴(yán)重影響。我國的工控系統(tǒng)，面臨嚴(yán)重挑戰(zhàn)：

受制于國外“一站到底式”的控制模式：進(jìn)口設(shè)備漏洞后門嚴(yán)重，關(guān)鍵基礎(chǔ)設(shè)施中潛在的安全隱患無法根除

硬件修復(fù)成本高、難度大、周期長：工控系統(tǒng)安全檢測、監(jiān)測、控制與防范難以深入

高端工控產(chǎn)品國產(chǎn)化率低：我國工控領(lǐng)域高端元器件被國外壟斷、核心芯片嚴(yán)重依賴進(jìn)口，無法滿足我國自主可控的要求，國內(nèi)工控廠商與國際廠商在技術(shù)和產(chǎn)品上有較大差距。

安全標(biāo)準(zhǔn)與技術(shù)體系滯后：工控系統(tǒng)重大共性關(guān)鍵安全技術(shù)尚需突破，工控產(chǎn)品和標(biāo)準(zhǔn)體系有待提高和完善。

工控系統(tǒng)典型攻擊分類

工控系統(tǒng)主要攻擊目的：控制底層現(xiàn)場總線與設(shè)備，截獲數(shù)據(jù)情報(bào)，造成物理感染或者破壞。

間接跳板攻擊：攻擊上位機(jī)系統(tǒng)和上層網(wǎng)絡(luò)，將惡意邏輯組態(tài)到現(xiàn)場控制站／PLC中，篡改通過以太網(wǎng)傳輸?shù)默F(xiàn)場總線數(shù)據(jù)。

直接攻擊：在底層現(xiàn)場總線上偷掛攻擊設(shè)備，截獲、偽造、篡改現(xiàn)場總線數(shù)據(jù)

直接攻擊：構(gòu)造異常的協(xié)議數(shù)據(jù)包，引起緩沖區(qū)溢出等漏洞

直接攻擊：攻擊嵌入式系統(tǒng)，預(yù)留惡意邏輯和木馬

工控系統(tǒng)攻擊威脅呈有組織、大規(guī)模、高隱蔽、強(qiáng)持續(xù)的趨勢，具有國家背景的攻擊行為不斷增加；攻擊技術(shù)層出不窮，攻擊方法花樣翻新，國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定和公眾利益面臨巨大威脅。

工控網(wǎng)絡(luò)攻擊事件

工控安全防御理念—基于可信免疫的主動防御體系

過去，工控安全防御主要停留在系統(tǒng)隔離階段，是一種單一隔離的防護(hù)理念，企業(yè)網(wǎng)與互聯(lián)網(wǎng)隔離，工控網(wǎng)與辦公網(wǎng)隔離，網(wǎng)絡(luò)分區(qū)隔離，主機(jī)系統(tǒng)之間隔離。

現(xiàn)在，隨著互聯(lián)網(wǎng)工業(yè)的不斷發(fā)展，多種技術(shù)并用的縱深防御理念已經(jīng)廣泛應(yīng)用于工控安全防御工作，他是一種從互聯(lián)網(wǎng)到企業(yè)網(wǎng)，從工控網(wǎng)絡(luò)到主機(jī)，從主機(jī)到PLC，從PLC到傳感器的多層次防御保障體系。

未來，我們預(yù)測，依據(jù)工控系統(tǒng)威脅情報(bào)的主動防御體系將被逐步建立和發(fā)展，基于自主硬件模塊構(gòu)建工控操作系統(tǒng)主機(jī)加固機(jī)制，基于白名單策略維護(hù)可信可控的系統(tǒng)運(yùn)行環(huán)境。

總體而言，工控安防已從單一的隔離階段，過渡到了多種技術(shù)分層并用的縱深防御階段，未來向基于威脅情報(bào)、基于可信免疫的主動防御體系發(fā)展。

工控安全技術(shù)發(fā)展趨勢——可信計(jì)算技術(shù)

可信計(jì)算是實(shí)施主動防御的重要技術(shù)手段

與IT系統(tǒng)相比，工控網(wǎng)絡(luò)有如下特點(diǎn)：

網(wǎng)絡(luò)通信協(xié)議不同，OPC、Modbus等私有協(xié)議；

網(wǎng)絡(luò)結(jié)構(gòu)與行為穩(wěn)定性要求高；

對系統(tǒng)實(shí)時性和可用性要求高，安全考慮欠缺；

升級不方便，更新代價高，補(bǔ)丁難完善；

系統(tǒng)運(yùn)行環(huán)境相對落后，老舊Windows還在使用。

在這樣的情況下，傳統(tǒng)信息安全“封堵查殺”無法有效地保護(hù)工控系統(tǒng)與網(wǎng)絡(luò)的安全，需要采取更加先進(jìn)的技術(shù)體系和主動防御手段，保障國家基礎(chǔ)設(shè)施免遭敵手攻擊。可信計(jì)算應(yīng)運(yùn)而生。

可信計(jì)算是實(shí)施主動防御的重要技術(shù)手段，通過主動識別、主動控制、主動報(bào)警，可信計(jì)算從體系結(jié)構(gòu)、操作行為、數(shù)據(jù)存儲、策略管理等各個環(huán)節(jié)提供安全免疫，可信計(jì)算技術(shù)與白名單安全加固是解決工業(yè)控制系統(tǒng)安全問題的重要思路之一。

可信計(jì)算技術(shù)原理

以TPM/TCM安全芯片為核心基礎(chǔ)，從軟硬件體系結(jié)構(gòu)方面對計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)環(huán)境進(jìn)行安全增強(qiáng)。他提供了三個方面的能力，一方面是建立可信鏈能力，提供可信服務(wù)及可信應(yīng)用，一方面標(biāo)識平臺身份，識別假冒平臺，第三方面是提供保護(hù)密鑰，保護(hù)數(shù)據(jù)的密鑰密封在密碼模塊內(nèi)，保障安全。

可信計(jì)算技術(shù)研究發(fā)展趨勢

可信計(jì)算技術(shù)除了應(yīng)用于可信PC平臺，還向可信移動平臺、可信嵌入式系統(tǒng)等方向發(fā)展。

可信計(jì)算是以“整體安全”“主動免疫”的安全思想為指導(dǎo)，以密碼為基礎(chǔ)，采用軟硬件協(xié)同設(shè)計(jì)構(gòu)建的平臺安全體系。可信計(jì)算不局限于安全芯片模塊，從PC、移動到嵌入式，可信計(jì)算綜合采用TEE、嵌入式安全體系等更加廣泛的可信思路，滿足移動、輕量化、個性化等新特性。同時，還出現(xiàn)了可以應(yīng)用于多平臺、多場景的統(tǒng)一可信計(jì)算技術(shù)：如隔離執(zhí)行、信任鏈、安全存儲、遠(yuǎn)程證明等。

可信計(jì)算增強(qiáng)工控安全

可信計(jì)算在工控安全中的優(yōu)勢

自主可控的安全芯片

工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備和系統(tǒng)依賴國外廠商，可信計(jì)算芯片完全自主可控，從根上解決工控環(huán)境的信任問題。

可信計(jì)算理念覆蓋多種設(shè)備和網(wǎng)絡(luò)環(huán)境：

典型工控體系包含企業(yè)網(wǎng)、控制網(wǎng)等多個層次，涵蓋PC、控制器、PLC、智能儀表等多種終端設(shè)備，可信計(jì)算的“隔離執(zhí)行”、“安全存儲”和“遠(yuǎn)程證明”的思想適合對各種終端設(shè)備和網(wǎng)絡(luò)進(jìn)行安全增強(qiáng)，形成統(tǒng)一的安全解決方案和管理體系。

可信主動防護(hù)體系：

目前工控系統(tǒng)主要采用被動的防御方式，且傳統(tǒng)病毒查殺方式不一定涵蓋工控環(huán)境的特殊性，可信計(jì)算采用“度量+管控”的思路，阻止一切未知的或者非法的程序執(zhí)行，非白即黑、防患于未然，構(gòu)建主動防護(hù)體系。

可信計(jì)算模式適合相對穩(wěn)定的環(huán)境：

工控系統(tǒng)中的設(shè)備、系統(tǒng)、應(yīng)用、業(yè)務(wù)均較為穩(wěn)定、單一，沒有頻繁的更新；可信計(jì)算安全策略依賴先驗(yàn)的度量值信息，非常適合相對穩(wěn)定的工控軟件環(huán)境，可根據(jù)業(yè)務(wù)環(huán)境，執(zhí)行更嚴(yán)格更加細(xì)致的安全策略。

高效的核心密碼算法、硬件加速：

與各類復(fù)雜的智能算法相比，可信計(jì)算技術(shù)算法簡單、運(yùn)行效率高，硬件芯片加速算法執(zhí)行，可更好的滿足工業(yè)控制系統(tǒng)的實(shí)時性要求。

可信工控解決方案

基于可信計(jì)算的主動防護(hù)系統(tǒng)

①建立基于硬件密碼模塊的主動防御基礎(chǔ)

基于硬件密碼模塊的工控系統(tǒng)安全增強(qiáng)體系結(jié)構(gòu)

嵌入式工控終端輕量級信任加固技術(shù)體系

②系統(tǒng)內(nèi)核安全加固和動態(tài)防護(hù)關(guān)鍵技術(shù)

系統(tǒng)內(nèi)核安全啟動和完整性度量安全框架

基于白名單的系統(tǒng)進(jìn)程和服務(wù)的可信管控

工控系統(tǒng)異常行為的實(shí)時監(jiān)控和報(bào)警

U盤等外設(shè)的安全管控，安全存儲

工控系統(tǒng)環(huán)境的遠(yuǎn)程證明和驗(yàn)證

③工控終端的可信接入和動態(tài)監(jiān)控

基于終端設(shè)備身份及系統(tǒng)完整性的可信網(wǎng)絡(luò)接入

智能可信終端的軟件證明，系統(tǒng)運(yùn)行狀態(tài)動態(tài)監(jiān)控，異常行為的預(yù)警防護(hù)；

終端完整性元數(shù)據(jù)存儲和分析，支持軟件級、設(shè)備級、工藝廠區(qū)級等不同粒度的完整性數(shù)據(jù)管理

工控設(shè)備環(huán)境完整性數(shù)據(jù)和USB設(shè)備信息的統(tǒng)一管理

基于可信計(jì)算的防護(hù)系統(tǒng)

可信工業(yè)控制系統(tǒng)解決方案解決的問題

硬件：PCI/USB-TCM卡，無TCM芯片主機(jī)系統(tǒng)改造

客戶端：基于TCM的系統(tǒng)認(rèn)證和管控

服務(wù)端：工控終端狀態(tài)的監(jiān)控和報(bào)警

信任鏈：實(shí)現(xiàn)計(jì)算機(jī)終端從TCM芯片，OS，應(yīng)用的信任鏈構(gòu)建，確保開機(jī)環(huán)境的可靠可信

身份認(rèn)證：克服IP/MAC篡改缺陷，實(shí)現(xiàn)終端平臺/設(shè)備身份的可信網(wǎng)絡(luò)接入和不可抵賴認(rèn)證

環(huán)境證明：實(shí)現(xiàn)計(jì)算機(jī)終端計(jì)算環(huán)境與平臺初始配置的一致性證明

可信工控系統(tǒng)保障能力

以硬件安全芯片為基礎(chǔ)，采用“白名單”防護(hù)機(jī)制，保證工控終端環(huán)境的安全可信。

可信工控系統(tǒng)特點(diǎn)

①微秒級的白名單管控：白名單檢索采用高效哈希表算法，查詢時間控制在4微妙之內(nèi)，不影響系統(tǒng)進(jìn)程的正常運(yùn)行

②毫秒級的進(jìn)程度量：進(jìn)程平均度量時間在10毫秒左右

高效的工控終端完整性認(rèn)證：平臺身份簽名驗(yàn)證在20毫秒之內(nèi)，完整性校驗(yàn)時間不超過2.1秒

③自主可控的密碼算法與安全芯片：度量采用SM3，簽名和驗(yàn)證采用SM2，加解密采用SMS4，硬件采用自主TCM芯片

④多種硬件接口的安全芯片支持：兼容各種安全和通用PC，采用PCI、USB、軟件模擬等多種方式滿足各種終端機(jī)器的硬件增強(qiáng)和改造

⑤支持多種主流操作系統(tǒng)：支持WinXP、Win7、Win Server等多個Windows系統(tǒng)，以及支持Ubuntu、中標(biāo)麒麟等通用的Linux系統(tǒng)

實(shí)時監(jiān)控與報(bào)警分析：支持對終端平臺的多級管理，對全部工控終端設(shè)備安全狀態(tài)的集中監(jiān)控，實(shí)時產(chǎn)生報(bào)警并統(tǒng)一上傳到服務(wù)器

⑥USB存儲設(shè)備的可信管控：USB設(shè)備的識別、統(tǒng)一白名單制定與管控。

可信工控解決方案的特點(diǎn)