基于可信计算3.0的工控主动防御

基于可信计算3.0的工业控制系统主动防御架构

一、引言

工业控制系统广泛应用于电力、石油和石化、水利、天然气、先进制造等关键基础设施中，发挥着类似中枢神经系统的作用。由于工业控制系统的开放互联以及通用智能组件的广泛应用，黑客攻击、病毒、木马等威胁正不断向工业控制系统蔓延，近年来已发生一系列工业安全事件，如“震网”、“火焰”和乌克兰停电事件。这些攻击严重威胁关键基础设施的正常运行，工业控制系统的安全防护迫在眉睫 [1]。

工业控制系统具有一些特点：1）要求高可用性和实时通信，系统不允许重启。2）设备种类繁多，大多数基于嵌入式系统（如VxWorks、WinCE等）开发和运行。3）许多工业系统采用专用通信协议（如OPC、Modbus、DNP3等）。这使得无法直接将传统信息系统中的信息安全理论和方法应用于工业控制系统。现有的工业控制系统防护主要采用基于防火墙、入侵检测、病毒检测与查杀的纵深防御方法。该方法存在以下问题：1）人们对工业控制系统的认知局限，无法穷尽所有组合通常仅限于设计信息技术系统以完成计算任务，必然存在可利用的漏洞。封堵杀无法解决问题；被动防御无法防范，且超级特权用户违反安全原则。因此，必须重建能够有效抵御攻击的主动免疫可信系统。

沈昌祥院士认为：“主动免疫防御是指确保完成计算任务的逻辑组合不被篡改和破坏，能够实现正确计算。” 基于这一思想，提出了基于可信计算 [2] （简称“可信计算3.0”）的主动免疫防御方案，为工业控制系统的内生安全防护提供了重要参考。然而，该架构的实施需要解决工业控制场景下的主动保护机制、访问控制策略以及可信度量方法等技术问题。

对于主动保护机制，Okhravi [3]提出了基于可信网络概念的适用于过程控制网络的安全架构，并讨论了确保可用性的组件、协议、操作系统和架构的需求分析。Pinto [4]引入了ARM TrustZone技术作为工业物联网中设备安全防护的参考方法，并增强了可信执行环境以满足实时需求。Harshe [5]提出了可信自主接口保护架构（TAIGA），该架构在可编程逻辑中实现可信组件，将其与不可信组件隔离，并监控物理过程以检测工业控制系统中针对网络与软件的重构攻击。Göttert [6]提出了一种基于可信硬件的可证明安全且分布式的可信邻居发现协议（TND）。该协议用于监控、检测和定位工业控制系统中对软件配置和控制序列变化的攻击。现有主动保护方案缺乏对防护架构和策略的研究，且未考虑安全与可用性之间的矛盾。

在访问控制策略方面，阿德里亚诺 [7]认为实现工业控制系统访问控制的关键是将网络层的高层抽象访问控制策略正确映射到低层异构的访问控制执行设备，并提出了一种双模型来弥合访问控制策略映射与转换中的语义鸿沟。类似的研究是贝尔托洛蒂提出的双模型 [8]，其能够在工业环境中自动执行从抽象层到执行层的访问控制策略映射关系。然而，该方法无法解决状态空间爆炸的问题。胡 [9]提出了一种DCS访问控制模型，通过工控社区调整访问控制策略，以确保策略检查以最小特权方式进行。所提出的架构有助于集中进行全厂范围的策略管理和对所有连接现场设备的保护。但是，该架构未考虑节点的动态行为以及合法节点的非法行为。

在可信性度量方面，网络信任评估是可信决策的理论基础。Fadul [10]将信任理论应用于智能电网SCADA系统的安全防护，利用信任理论过滤恶意节点，并设计了一个鲁棒且可配置的信任管理工具箱，用于识别和缓解智能电网故障。Zeng [11]提出了一种基于声誉的内建安全分布式控制方法，用于检测和识别分布式网络控制系统中内部节点的异常行为。为应对动态信任评估相关的复杂演算逻辑，已提出一些基于可信属性的信任评估模型，包括基于概率论的信任模型、基于模糊理论的信任模型、基于博弈论的信任模型以及基于云理论的信任模型等。[12‐13]。由于工业网络的异构结构和有限可用性，目前尚缺乏针对信息物理域跨域信任建模与动态信任评估的可信性评价方法。

总之，工业控制系统主动防御的可信评估模型和可信保护策略仍需进一步研究。

针对上述问题，本文提出了一种基于可信计算3.0的工业控制系统主动免疫保护架构。首先分析了工业控制系统面临的攻击威胁，定义了工业控制系统的主动免疫运行机制。从平台、操作行为和网络节点三个层面的可信性出发，构建了可信双节点免疫架构、多级细粒度访问控制策略以及可信行为度量与决策方法。以DCS中的核心数据保护为例，给出了工业控制系统的协同防护与部署方案。所提出的方法完善了基于可信计算的工业控制系统防护理论。

II. 工业控制系统主动免疫防护机制

典型的工业控制架构和可能的攻击如图1所示。

从系统网络架构的角度来看，工业控制系统主要分为企业管理网络、生产监控网络和现场控制网络。网络的核心功能是实现集中监控和分布式控制。存在三种典型攻击方法：

1) 黑客外部渗透：通过互联网或远程维护终端扫描工业控制系统，利用工业控制系统中软硬件设备的漏洞、漏洞、逻辑错误等，渗透工业控制系统，修改控制指令，并对现场设备发起攻击。

2) 内部维护威胁：攻击者利用通过移动工程师站进行内部维护或故障排除的便利性，以有线或无线方式进入企业管理内网。一旦移动工程师站被植入木马病毒，便可能对控制系统进行有意或无意的攻击。

3) 移动存储设备的内部接入：可在人机界面或工程师站启动。一旦移动存储设备感染病毒，将有意或无意地攻击控制系统。

从上述攻击可以看出，对核心数据的非法访问、控制指令的修改以及内部恶意攻击是工业控制系统保护的核心。主动免疫保护的核心在于，确保在遭受攻击的情况下，工控资产的合规访问，以及控制软件和指令的正常流动。内部和外部的恶意访问、修改和误操作将被自动失效。

定义（工业控制系统的主动免疫运行机制） ：确保工业控制系统正常运行的逻辑组合不被篡改或破坏，使系统运行符合预期。其基本思想是通过可信机制实时监控网络节点的行为，允许正常操作，对异常操作进行认证、阻断或屏蔽，从而使因网络漏洞导致的外部攻击和内部恶意行为失效。

可信机制包括四个层次的方法和策略，其在工业控制系统中的部署如图2所示。

主要在工业控制系统的现场控制、生产监控和企业管理的计算环境中部署可信计算环境，以实现计算环境的可信；在工业控制系统边界部署可信边界子系统，实现对计算环境中信息流的可信度量与验证；在工业网络上部署可信通信子系统，实现对通信对象的可信验证以及数据流的可信传输。将计算环境、应用区域边界和通信网络的管理机制部署在安全管理与审计中心，实现统一安全管理。

III. 工业控制系统的主动免疫保护架构

A. 可信双节点免疫架构

可信计算环境的核心是可信计算平台，它以嵌入式方式部署为可信基点，以确保平台安全。

可信计算平台采用GB/T 29829‐2013《信息安全技术 可信计算规范 可信计算密码支撑平台功能与接口规范》中的架构。在计算节点上构建了基于主机‐可信双节点的可信免疫架构，并以可信平台控制模块（TPCM）作为主动装置，实现可信平台控制模块对计算平台的主动控制。

可信双节点的免疫架构如图3所示。

可信密码模块采用国产密码确保信任根的可信性。可信平台控制模块（TPCM）部署在固件中，并在 BIOS之前启动，以确保BIOS安全。可信软件基加载主机操作系统的基准访问控制策略，通过探测器实时监控主机操作系统，并阻断未授权或未定义的访问。可信软件基通过可信链将可信状态传递给应用软件和远程节点，实现应用软件的可信及行为控制。

可信平台免疫体系结构改变了原有的可信平台模块作为被动设备的方案，实现了可信模块无法被绕过的功能。计算部件与防护部件独立运行，且采用主动监控方法来检测和阻止攻击，以实现不破坏逻辑组合的目标。

B. 多级细粒度访问控制策略

主动免疫程序的核心技术是以密码学为基因的主动识别、状态度量和保密存储。身份控制的核心思想是基于白名单的访问控制。我们在可信计算环境、可信应用区域边界和可信通信网络上建立多级访问控制策略，如图4所示。

可信计算基部署在人机界面所在的计算机、信息流的关键节点、控制指令的关键节点以及远程维护的核心节点，以确保计算环境的可信性，使非法资产访问失效且系统无法被访问。通过进程权限定义操作系统中内核进程的访问控制，限制在特定时间对特定资产的非法访问，并使误操作失败，从而确保系统无法被访问。核心数据的访问控制基于可信计算基的防篡改功能，通过维护工具保护信息流防止泄露，限制远程访问，确保信息无法被获取或修改。关键指令的访问控制通过加密和可信机制保障跨域控制指令的完整性传输机制不会被未授权用户或恶意的授权用户修改。访问控制机制集成了轻量级部署策略，以确保在遭受攻击时业务流的正常运行。

操作系统中的内核进程访问控制采用细粒度访问控制方法。对于过程工业控制系统中的异常操作识别至关重要，例如在油气分离操作、气体加压、加热、混合、反应、排气等过程中具有严格的时序性。恶意操作或误操作将带来危险，因此需要建立针对身份、时间、对象和任务的细粒度访问控制。管理员根据特定的时间、对象和任务定义操作系统的能力集，并配置认证用户的角色能力集和可执行程序能力集。随后在操作系统上部署监控点，主动调用程序进程，根据配置的策略动态执行访问控制，禁止未经授权的操作。

核心数据的访问控制部署在可信基点上，采用基于身份和角色的访问控制策略，为敏感数据制定预期策略。在数据交互过程中，动态创建虚拟隔离环境，建立从存储设备到隔离环境的可信控制通道，加载预期策略，基于预期策略限制交互过程中的操作行为，并防止数据泄露到保护域外。

关键指令的访问控制策略设置在控制流中的各节点之间。对于控制流的度量，一方面验证并记录控制流源主机的平台配置状态，另一方面验证并记录控制流发起者的身份。完整性验证采用TNC（可信网络连接）技术，并通过基于身份/角色的访问策略来设定通信能力。利用TNC技术实现对指令流中关键路径节点的可信认证。关键指令的加密以及传输路径的可信认证，提升了控制数据的篡改威胁防护能力。

C. 可信行为的度量与决策方法

可信性度量模型主要利用信任管理机制实现动态可信管理和访问控制。使用信任管理方法来度量节点行为的可信性是一种成熟的方法[10]。在企业管理网络和具有冗余带宽的总线网络上部署信任管理机制，以识别未经授权访问、信息泄露、信息阻塞或传输虚假消息等恶意行为，并屏蔽恶意节点。

在目标网络中部署可信管理服务器，并在每个节点上部署可信计算模块，用于计算和存储信任值，并与可信管理服务器交换信息。所有节点均可计算自身的信任值，并根据可信状态执行访问控制。例如，只有信任值大于可信阈值（如0.5）的节点才能参与服务，从而阻止低信任值的恶意节点被隔离。遍历从发起者到操作者的路径，经过可信节点的路径为有效路径。

交互完成后，更新节点的信任值，同时提取审计模块的状态。若无异常报警，则按照固定周期例行检查并更新信任值。若出现异常情况，例如对关键指令、关键数据流和操作流的异常访问，则根据审计模块提供的节点或进程信息，利用奖惩机制修改当前信任值。惩罚因子越大，信任值下降越明显。若节点已被攻破，或提供特殊的恶意服务（如病毒等），则直接将该节点的信任值设为低于资源访问的最低阈值，并通知整个网络，同时启动系统修复软件（即杀毒软件）。在通过奖惩机制对信任值进行评估和调整后，评估节点的信任值将根据 DHT方法存储在与对象标识符对应的多个节点上。

IV. 保护方案的部署

基于可信机制的主动免疫保护部署方案如图5所示。

图中的蓝线表示防护方案的部署位置。可信计算平台和操作系统访问控制机制同时部署于现场控制总线、生产监控服务器以及企业管理网络主机上，以保护主环境和操作系统安全。关键数据访问控制部署在监控层的数据库、传输服务器、控制网络总线服务器和移动监控接口上，以防止对敏感信息的未授权访问。关键指令访问控制部署在指令流的关键路径节点上（包括可编程逻辑控制器、PLC服务器、传输服务器、企业网络的关键节点、调度工作站和调度服务器），以保护指令完整性及传输过程安全。可信网络服务器部署在企业网络节点上，并访问网络节点，可信计算引擎加载在部署的节点上。它实时计算节点的可信度，实施基于信任度量的访问控制机制，并隔离恶意节点。监控中的异常信息上报至审计服务器，并根据审计告警信息调整保护策略。

V. 方案分析

A. 保护功能分析

基于可信机制的主动免疫保护方案对典型攻击的响应如下：

1) 未授权访问 ：这是最常见的攻击方式，利用后门或恶意代码获取控制权限，篡改控制数据，并执行错误或危险的控制操作。基于访问控制策略的可信运行机制，从操作系统软件进程识别、关键数据虚拟保护和跨域关键指令强制访问控制三个方面定义访问控制规则。未授权用户无法被识别，未授权进程无法运行，非预期策略无法访问关键数据，未授权用户无法伪造控制指令，无法参与关键指令的传输，也无法解密关键指令。因此，未授权访问被直接阻断。

2) 信息泄露 ：收集工业控制系统的重要信息，截取关键数据。核心数据的访问控制机制采用敏感数据的虚拟保护方法，确保符合预期的可信用户正常使用数据，阻止不符合预期的访问，并将合规但存在风险的访问转移到虚拟保护域中执行，从而避免敏感数据泄露；对于关键指令，采用加密方法和传输过程的可信认证，防止未授权用户伪造控制指令或参与关键指令的传输。

3) 未知威胁缓解 ：未知威胁利用工业控制系统中的芯片、固件、操作系统、应用软件和协议的漏洞，从外部和内部渗透系统，获取系统权限，窃取系统信息，并对控制系统发起攻击。所提出的解决方案以可信计算3.0的双系统保护架构作为保护基础，该架构在BIOS启动前开始运行，无法被绕过且独立运行。通过主动监控方法实时监控操作系统的状态，使固件和操作系统的漏洞失效，系统入侵不会影响可信计算的运行。我们设置了操作系统进程的访问控制策略、核心数据访问控制策略、跨域关键指令访问控制以及加密策略，确保攻击者无法获取数据或修改信息。通过基于可信度量的访问控制机制隔离恶意节点，以缓解恶意行为的持续动作。审计模块提供对攻击的及时告警。该方案正常响应合规行为，实现系统不可访问、信息不可访问、数据不可修改、系统攻击失败及行为记录可追溯的主动免疫功能。恶意攻击的警告，显著缓解了未知威胁。

B. 保护性能分析

轻量级 ：该解决方案充分利用工业控制三层架构中各层不同的资源能力，在不同层级部署相应的保护技术。现场设备层具有最高的实时需求，采用可信虚拟隔离机制防止未授权访问，有效保护现场设备。在生产监控层，部署细粒度访问控制方法，确保操作系统、关键数据和控制流的可用性。在企业管理层，部署复杂的可信网络评估系统，隔离恶意节点，保障外围网络的可用性。所提出的方案采用探测方法主动检测操作系统的安全状态，并根据访问策略验证系统是否可信。与传统可信计算技术中每一步都必须进行完整性度量相比，该方法降低了系统负载。

实时影响 ：现场控制层可能仅在可编程逻辑控制器和现场总线中部署可信计算基和简单的访问控制策略。可信计算基和操作系统访问控制采用主动调用模式，对开环或闭环控制的执行设备无影响。正常情况下，控制指令从控制器上传至操作员站，延迟主要体现在控制指令的加解密以及信任链传输的认证过程；当控制指令下发时，延迟主要体现在输出点的访问控制、指令加解密及信任链传递认证。访问控制规则数量和路径长度均为常量。通过采用基于属性的密钥管理机制，可将加解密操作的实时影响控制在特定范围内。在遭受攻击的情况下，主动免疫机制会隔离攻击节点，确保系统的正确运行和正确响应，其实时影响与正常情况一致。数据资源的获取延迟主要体现在敏感数据上，敏感数据量呈线性增长，无论是否发生攻击，其延迟均相同。通过控制虚拟数据块的数量，可将实时性控制在特定范围内。

协同保护 ：以可信计算架构作为保护基础，确保计算平台的完整性，并在可信计算平台上制定访问控制策略，防止操作系统及以上应用程序和外设对核心数据的未授权篡改和访问。信任链传递保障关键指令传输的安全，可信性度量机制保证服务节点的可信性并隔离恶意节点。三种机制分别从基础平台环境、动态运行环境和动态行为三个方面协同合作，实现可信平台上运行的可信访问控制功能。审计管理接收来自可信平台、可访问控制和可信性度量的异常信息，进行实时告警，并向访问控制模块和可信度量模块提供输入及异常行为信息。结合特征在工业控制中，我们将上述技术和策略部署在不同层级，以确保加载防护方案后对工业控制实时性能的影响处于可接受范围内。

VI. 总结

本文提出了一种基于可信计算3.0的工业控制系统主动免疫保护架构。该架构集成了可信计算平台、多级细粒度访问控制策略、可信行为度量和可信决策方法。结合工业控制系统的分层结构特点，协同部署可信主动免疫解决方案。能够有效防护工业控制系统核心数据的非法访问与监控、控制软件和指令篡改、内部恶意攻击以及误操作等威胁，确保系统运行达到预期的主动免疫效果。分析表明，所提出的方案具有更优的功能性、性能表现和可控的复杂度。