張曉梅 錢秀檳 王亮 劉凱俊

【 摘 要 】 為了更好地保障工業(yè)控制系統(tǒng)的信息安全，對(duì)工業(yè)控制系統(tǒng)進(jìn)行了面向信息安全度量的研究。首先，在已有的信息系統(tǒng)安全度量概念體系的基礎(chǔ)上，結(jié)合國(guó)家標(biāo)準(zhǔn)GB/T 20274，引入工作目標(biāo)、系統(tǒng)、區(qū)域、管道等概念，對(duì)工業(yè)控制系統(tǒng)模型進(jìn)行抽象化分析研究。然后，采用該方法，對(duì)煙草行業(yè)的制絲集控系統(tǒng)進(jìn)行了梳理，為定量分析工業(yè)控制系統(tǒng)信息安全工作打下了基礎(chǔ)。

【 關(guān)鍵詞 】 工業(yè)控制系統(tǒng)；信息安全度量；制絲集控系統(tǒng)

【 文獻(xiàn)標(biāo)識(shí)碼 】 A

【 Abstract 】 For protecting the information security of the industrial control system better， the information security metrics of industrial control system was studied. On the basis of the existing information system security metrics concept system， combined with the national standard GB/T 20274， the work objective， system， regional， pipeline and other concepts are introduced for the abstract analysis of industrial control system model. Then， using this method， the tobacco silk distributed control system was analyzed， which has laid the foundation for the quantitative analysis of the information security of industrial control system.

【 Keywords 】 industrial control system； information security metrics； silk distributed control system

1 引言

工業(yè)控制系統(tǒng)廣泛應(yīng)用于國(guó)家關(guān)鍵行業(yè)及基礎(chǔ)設(shè)施中，已是國(guó)家安全戰(zhàn)略的重要組成部分[1]。近年來(lái)國(guó)際上層出不窮的工業(yè)控制系統(tǒng)信息安全事件，表明工業(yè)控制系統(tǒng)的信息安全工作已十分重要和迫切。對(duì)于控制系統(tǒng)，已有成熟的數(shù)學(xué)模型體系，但是對(duì)于信息安全的還沒(méi)有良好的形式化表述方式，信息安全度量還需要進(jìn)一步研究[2]。

文獻(xiàn)[3]提出了S（系統(tǒng)）、E（安全要素）、C（組件）、P（訪問(wèn)路徑）概念為基礎(chǔ)的信息安全度量規(guī)則。但是，其對(duì)S和C的定義較為模糊和靈活，在特定領(lǐng)域中，如不合理定義S和C將可能導(dǎo)致對(duì)P的定位困難，最終導(dǎo)致度量結(jié)果不具有實(shí)踐意義。

特別是在面向工廠的工業(yè)控制系統(tǒng)信息安全領(lǐng)域，其S的多樣性和C的多樣性，均可導(dǎo)致P的數(shù)量遠(yuǎn)大于信息系統(tǒng)，并產(chǎn)生沒(méi)有意義的評(píng)估結(jié)果。因此有必要在工業(yè)控制系統(tǒng)信息安全領(lǐng)域，對(duì)該模型進(jìn)行解釋性研究，明確S、C、P的定義和歸納方法，為度量工廠的控制系統(tǒng)信息安全打下堅(jiān)實(shí)的基礎(chǔ)。

本文擬從國(guó)家標(biāo)準(zhǔn)GB/T 20274的使命、系統(tǒng)、保障、風(fēng)險(xiǎn)模型[4]出發(fā)，引入概念t來(lái)代表工廠的某一個(gè)特定業(yè)務(wù)目標(biāo)，通過(guò)業(yè)務(wù)目標(biāo)從工廠層面切分系統(tǒng)的S的范疇；定義a來(lái)代表S內(nèi)的業(yè)務(wù)區(qū)域，替代原來(lái)的組件概念c；引入概念l來(lái)代表a之間的管道；將原來(lái)的路徑概念P上升成l的集合；根據(jù)工業(yè)控制系統(tǒng)的典型模型，給出區(qū)域a和l的定義和屬性；在完成面向多個(gè)t的分析后，合并a的同類項(xiàng)，來(lái)表述a和相關(guān)l在P中的重要性。從而形成有一定普適性的利用t、a、l、P概念來(lái)對(duì)工廠控制系統(tǒng)TOE交互模型的抽象分析方法。

2 信息系統(tǒng)安全度量概念體系

為實(shí)現(xiàn)信息系統(tǒng)E安全要素的度量，文獻(xiàn)[2]提出了一些概念。

S計(jì)算機(jī)系統(tǒng)：計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)[5]行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

P路徑集合：訪問(wèn)路徑P是在信息系統(tǒng)中，響應(yīng)一種用戶請(qǐng)求（如信息采集、加工、存儲(chǔ)、傳輸、檢索）所涉及到的所有軟件、硬件構(gòu)成一條訪問(wèn)路徑，簡(jiǎn)稱為路徑，記為P，系統(tǒng)中所有訪問(wèn)路徑的集合記為P。

C組件集合：以C表示組件的集合，C={c1，c2，...，ci}

系統(tǒng)、訪問(wèn)路徑、組件之間的包含關(guān)系：

當(dāng)系統(tǒng)S由組件c1，c2，...，ci組合而成時(shí)，記為

S=（c1，c2，...，ci）=ci = C

對(duì)p∈P，p?S表示系統(tǒng)S包含訪問(wèn)路徑P，或者說(shuō)P屬于S；

對(duì)p∈P，c∈C，c∈p表示訪問(wèn)路徑P包含組件c，或者說(shuō)c屬于P。

在實(shí)現(xiàn)特定安全要素e的過(guò)程中，C有三種方式。

獨(dú)立關(guān)系：C中所有ci獨(dú)立實(shí)現(xiàn)e。

互補(bǔ)關(guān)系：C中所有ci均實(shí)現(xiàn)了e后，e才有意義。

關(guān)聯(lián)關(guān)系：C中所有ci只有在特定策略下分別實(shí)現(xiàn)e，e才有意義。

本文認(rèn)為以上體系在工控信息安全中有幾個(gè)問(wèn)題。

S定義過(guò)于寬泛。從S的定義來(lái)看整個(gè)工廠都可以定義為一個(gè)計(jì)算機(jī)系統(tǒng)，同時(shí)一個(gè)控制系統(tǒng)可以定義為一個(gè)計(jì)算機(jī)系統(tǒng)，為滿足一個(gè)業(yè)務(wù)目標(biāo)，也可能存在多個(gè)控制系統(tǒng)組成一個(gè)計(jì)算機(jī)系統(tǒng)。

C概念過(guò)于模糊。c作為系統(tǒng)的組件，可以代表一個(gè)C/S系統(tǒng)中的客戶端，也可以是一個(gè)客戶端中一個(gè)組件、一個(gè)類、一個(gè)通用方法。這對(duì)于實(shí)踐工作中，會(huì)產(chǎn)生由于C的實(shí)際操作過(guò)程中的定義不同，導(dǎo)致度量結(jié)果完全不同的情況。

在系統(tǒng)層面，如果將c定義過(guò)細(xì)，P的數(shù)量可能超出工程實(shí)踐的能力，且不具有現(xiàn)實(shí)意義。比如將c定義到軟件中的類，P則是類相互調(diào)用的管道。

這些問(wèn)題使得信息安全的度量在各個(gè)領(lǐng)域的具體工作過(guò)程中，都需要重新審視其適用性，只有在協(xié)調(diào)好S的范圍和C的粒度后，才能使得P的工作量合理，最終產(chǎn)生良好的效果。

3 工業(yè)控制系統(tǒng)的信息安全度量概念及梳理方法

3.1 概念

面對(duì)業(yè)主單位指定范圍的安全度量工作，按照幾個(gè)體系開(kāi)展。

定義1.工作目標(biāo)t。即為工廠的特定需求，比如產(chǎn)品生產(chǎn)、人身保障、危險(xiǎn)品管理、商業(yè)機(jī)密保密等。所有工作目標(biāo)的集合記為T。

定義2.系統(tǒng)Sti。為完成特定的的所有的計(jì)算機(jī)系統(tǒng)、控制系統(tǒng)和相關(guān)安全體系，計(jì)算機(jī)系統(tǒng)包括由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)[5]行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)；控制系統(tǒng)包括現(xiàn)場(chǎng)儀器儀表、執(zhí)行設(shè)備（電機(jī)、閥門、加熱裝置等）、控制器、網(wǎng)絡(luò)設(shè)備、控制運(yùn)算系統(tǒng)、人機(jī)界面（HMI）等；安全體系包括管理制度、信息安全產(chǎn)品等。一次度量分析工作中所有的St集合記為S。

定義3.區(qū)域a。一個(gè)Sti中所有可以供工作人員操作的場(chǎng)所。一個(gè)區(qū)域具有幾個(gè)屬性：

物理邊界：區(qū)域中的設(shè)備在物理位置上靠近；

通信邊界：區(qū)域中的設(shè)備能實(shí)現(xiàn)互聯(lián)互通；

功能邊界：區(qū)域中能實(shí)現(xiàn)工作目標(biāo)分解后的特定工作任務(wù)；

硬件設(shè)備清單：區(qū)域中所有的硬件設(shè)備；

操作系統(tǒng)/固件清單：區(qū)域中所有PC/SERVER的操作系統(tǒng)，所有專用硬件產(chǎn)品的固件；

應(yīng)用系統(tǒng)清單：每個(gè)PC/SERVER中服務(wù)于s的軟件、專用設(shè)備中的配置、控制器中控制邏輯程序等。

定義4.管道l：區(qū)域間的通信。管道包括通信設(shè)備、通信協(xié)議和信息格式屬性等。

3.2 梳理方法

以上述概念體系為基礎(chǔ)，在進(jìn)行工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)分析時(shí)，對(duì)于工業(yè)控制系統(tǒng)的梳理可按幾個(gè)步驟開(kāi)展。

確定工作范圍：確定參與評(píng)估的控制系統(tǒng)（TOE）。

梳理控制系統(tǒng)的工作目標(biāo)集合T，并對(duì)每個(gè)ti進(jìn)行描述。根據(jù)ti再回到工作范圍中進(jìn)行補(bǔ)充，將參與工作目標(biāo)ti實(shí)現(xiàn)且未列入工作范圍的控制系統(tǒng)納入，形成完整的工作范圍。

根據(jù)每個(gè)ti列出參與其中的Sti，形成每個(gè)ti的Sti。

對(duì)每個(gè)Sti進(jìn)行區(qū)域劃分，形成集合Asti。然后對(duì)Asti進(jìn)行同類合并，形成最簡(jiǎn)區(qū)域集合A。

對(duì)A中每個(gè)ai-aj對(duì)進(jìn)行通信必要性分析，得出最小通信管道集合L{lai-aj}。

對(duì)A和L進(jìn)行表格化梳理，完成梳理文檔。

4 實(shí)踐

以煙草行業(yè)的制絲集控系統(tǒng)為例，工廠劃定的分析范圍為制絲集控系統(tǒng)。工作目標(biāo)是保障生產(chǎn)工作連續(xù)穩(wěn)定開(kāi)展。

整理后A的劃分情況如圖1 、表1、表2和表3所示。

a的設(shè)備清單（略）。

進(jìn)一步地，對(duì)a之間管道情況進(jìn)行整理，見(jiàn)表2、表3。

由此，完成了面向信息安全度量的煙草制絲集控系統(tǒng)梳理工作。

5 結(jié)束語(yǔ)

本文針對(duì)工業(yè)控制領(lǐng)域信息安全如何利用信息安全度量算法進(jìn)行了初步的探索，提出了利用面向信息傳輸?shù)姆治龇椒ǎ蓪⒓姺睆?fù)雜的各行各業(yè)、各種規(guī)模、各種時(shí)期的控制系統(tǒng)都抽象成區(qū)域集合A和管道集合L來(lái)表示。為后續(xù)形成通用的S（系統(tǒng)）、E（安全要素）、C（組件）、P（訪問(wèn)路徑）概念體系來(lái)定量分析工業(yè)控制系統(tǒng)信息安全打下了基礎(chǔ)。

本文研究過(guò)程中繼續(xù)發(fā)現(xiàn)了信息安全度量算法在類似工業(yè)控制領(lǐng)域等大型應(yīng)用領(lǐng)域中的一些問(wèn)題。比如C（組件）概念及本文提出的A（區(qū)域）概念，存在嵌套關(guān)系。E（安全要素）概念在實(shí)踐中除存在一維數(shù)組表示方法外，還存在二維數(shù)組形式，其中也存在嵌套關(guān)系。這些關(guān)系都超越了文獻(xiàn)[1]中提到的獨(dú)立、互補(bǔ)和關(guān)聯(lián)關(guān)系，由此導(dǎo)致在大型應(yīng)用中，通過(guò)消除路徑中的依賴關(guān)系，形成規(guī)范路徑并非最佳選擇，而建立在規(guī)范路徑上的最小值算法也未必能體現(xiàn)大型系統(tǒng)的安全度量。在這些概念和算法上持續(xù)工作，也許可以發(fā)現(xiàn)定量分析大型應(yīng)用安全度量的新方法。

在完善上述方法后，工控信息安全度量工作還需要進(jìn)一步解決針對(duì)特定安全威脅的安全度量、大規(guī)模網(wǎng)絡(luò)中的實(shí)時(shí)安全度量等更為復(fù)雜的工作。

通過(guò)本文提出了在工業(yè)控制領(lǐng)域中，信息安全的重點(diǎn)應(yīng)集中在信息的采集、加工、存儲(chǔ)、傳輸、檢索等信息處理過(guò)程的安全性上，而不必過(guò)多干涉信息系統(tǒng)所驅(qū)動(dòng)的物理系統(tǒng)的原理。這就可以讓控制領(lǐng)域工作人員專心做好控制工作，信息安全領(lǐng)域工作人員專心做好信息安全工作，避免了當(dāng)前工控信息安全工作的協(xié)調(diào)難點(diǎn)，同時(shí)促進(jìn)兩方面工作的合理分工和專業(yè)化發(fā)展。

參考文獻(xiàn)

[1] 盧慧康，陳冬青，彭勇，王華忠.工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估量化研究[J].自動(dòng)化儀表.2014，（10）： 21-5.

[2] Fran Nielsen. Approaches to Security Metrics[R]. Gaithersburg： NIST，2000.

[3] 閆強(qiáng)，陳鐘，段云所等.信息系統(tǒng)安全度量與評(píng)估模型[J]電子學(xué)報(bào)，2003，9（9）： 1351-1355.

[4] GB/T 20274.信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架[S]. 北京：中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，2006.

作者簡(jiǎn)介：

張曉梅（1978-），女，碩士，畢業(yè)于太原理工大學(xué)， 助理研究員；主要研究方向和關(guān)注領(lǐng)域?yàn)椋壕W(wǎng)絡(luò)與信息安全測(cè)評(píng)、工業(yè)控制系統(tǒng)安全。

錢秀檳（1977-），男，碩士，畢業(yè)于清華大學(xué)，助理研究員；主要研究方向和關(guān)注領(lǐng)域：信息安全形勢(shì)、新技術(shù)信息安全。

王亮（1974-），男，碩士，畢業(yè)于北京航空航天大學(xué)，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全評(píng)估。

劉凱?。?987-），男，碩士，畢業(yè)于北京科技大學(xué)，工程師；主要研究方向和關(guān)注領(lǐng)域：工控系統(tǒng)信息安全。