發言人：中國科學院軟件研究所、可信計算與信息保障實驗室  秦宇

（本文根據作者在2016世界互聯網工業大會“智能制造工控信息安全”論壇的發言摘錄整理）

工業控制系統面臨嚴峻挑戰

工業控制系統在信息、網絡、智能等新技術的推動下，向智能化、網絡化方向發展，同時工控系統面臨新的嚴峻安全挑戰，對國家安全、經濟發展和社會穩定等產生嚴重影響。我國的工控系統，面臨嚴重挑戰：

受制于國外“一站到底式”的控制模式：進口設備漏洞后門嚴重，關鍵基礎設施中潛在的安全隱患無法根除

硬件修復成本高、難度大、周期長：工控系統安全檢測、監測、控制與防范難以深入

高端工控產品國產化率低：我國工控領域高端元器件被國外壟斷、核心芯片嚴重依賴進口，無法滿足我國自主可控的要求，國內工控廠商與國際廠商在技術和產品上有較大差距。

安全標準與技術體系滯后：工控系統重大共性關鍵安全技術尚需突破，工控產品和標準體系有待提高和完善。

工控系統典型攻擊分類

工控系統主要攻擊目的：控制底層現場總線與設備，截獲數據情報，造成物理感染或者破壞。

間接跳板攻擊：攻擊上位機系統和上層網絡，將惡意邏輯組態到現場控制站／PLC中，篡改通過以太網傳輸的現場總線數據。

直接攻擊：在底層現場總線上偷掛攻擊設備，截獲、偽造、篡改現場總線數據

直接攻擊：構造異常的協議數據包，引起緩沖區溢出等漏洞

直接攻擊：攻擊嵌入式系統，預留惡意邏輯和木馬

工控系統攻擊威脅呈有組織、大規模、高隱蔽、強持續的趨勢，具有國家背景的攻擊行為不斷增加；攻擊技術層出不窮，攻擊方法花樣翻新，國家安全、經濟發展、社會穩定和公眾利益面臨巨大威脅。

工控網絡攻擊事件

工控安全防御理念—基于可信免疫的主動防御體系

過去，工控安全防御主要停留在系統隔離階段，是一種單一隔離的防護理念，企業網與互聯網隔離，工控網與辦公網隔離，網絡分區隔離，主機系統之間隔離。

現在，隨著互聯網工業的不斷發展，多種技術并用的縱深防御理念已經廣泛應用于工控安全防御工作，他是一種從互聯網到企業網，從工控網絡到主機，從主機到PLC，從PLC到傳感器的多層次防御保障體系。

未來，我們預測，依據工控系統威脅情報的主動防御體系將被逐步建立和發展，基于自主硬件模塊構建工控操作系統主機加固機制，基于白名單策略維護可信可控的系統運行環境。

總體而言，工控安防已從單一的隔離階段，過渡到了多種技術分層并用的縱深防御階段，未來向基于威脅情報、基于可信免疫的主動防御體系發展。

工控安全技術發展趨勢——可信計算技術

可信計算是實施主動防御的重要技術手段

與IT系統相比，工控網絡有如下特點：

網絡通信協議不同，OPC、Modbus等私有協議；

網絡結構與行為穩定性要求高；

對系統實時性和可用性要求高，安全考慮欠缺；

升級不方便，更新代價高，補丁難完善；

系統運行環境相對落后，老舊Windows還在使用。

在這樣的情況下，傳統信息安全“封堵查殺”無法有效地保護工控系統與網絡的安全，需要采取更加先進的技術體系和主動防御手段，保障國家基礎設施免遭敵手攻擊。可信計算應運而生。

可信計算是實施主動防御的重要技術手段，通過主動識別、主動控制、主動報警，可信計算從體系結構、操作行為、數據存儲、策略管理等各個環節提供安全免疫，可信計算技術與白名單安全加固是解決工業控制系統安全問題的重要思路之一。

可信計算技術原理

以TPM/TCM安全芯片為核心基礎，從軟硬件體系結構方面對計算機系統、網絡環境進行安全增強。他提供了三個方面的能力，一方面是建立可信鏈能力，提供可信服務及可信應用，一方面標識平臺身份，識別假冒平臺，第三方面是提供保護密鑰，保護數據的密鑰密封在密碼模塊內，保障安全。

可信計算技術研究發展趨勢

可信計算技術除了應用于可信PC平臺，還向可信移動平臺、可信嵌入式系統等方向發展。

可信計算是以“整體安全”“主動免疫”的安全思想為指導，以密碼為基礎，采用軟硬件協同設計構建的平臺安全體系。可信計算不局限于安全芯片模塊，從PC、移動到嵌入式，可信計算綜合采用TEE、嵌入式安全體系等更加廣泛的可信思路，滿足移動、輕量化、個性化等新特性。同時，還出現了可以應用于多平臺、多場景的統一可信計算技術：如隔離執行、信任鏈、安全存儲、遠程證明等。

可信計算增強工控安全

可信計算在工控安全中的優勢

自主可控的安全芯片

工業控制系統關鍵設備和系統依賴國外廠商，可信計算芯片完全自主可控，從根上解決工控環境的信任問題。

可信計算理念覆蓋多種設備和網絡環境：

典型工控體系包含企業網、控制網等多個層次，涵蓋PC、控制器、PLC、智能儀表等多種終端設備，可信計算的“隔離執行”、“安全存儲”和“遠程證明”的思想適合對各種終端設備和網絡進行安全增強，形成統一的安全解決方案和管理體系。

可信主動防護體系：

目前工控系統主要采用被動的防御方式，且傳統病毒查殺方式不一定涵蓋工控環境的特殊性，可信計算采用“度量+管控”的思路，阻止一切未知的或者非法的程序執行，非白即黑、防患于未然，構建主動防護體系。

可信計算模式適合相對穩定的環境：

工控系統中的設備、系統、應用、業務均較為穩定、單一，沒有頻繁的更新；可信計算安全策略依賴先驗的度量值信息，非常適合相對穩定的工控軟件環境，可根據業務環境，執行更嚴格更加細致的安全策略。

高效的核心密碼算法、硬件加速：

與各類復雜的智能算法相比，可信計算技術算法簡單、運行效率高，硬件芯片加速算法執行，可更好的滿足工業控制系統的實時性要求。

可信工控解決方案

基于可信計算的主動防護系統

①建立基于硬件密碼模塊的主動防御基礎

基于硬件密碼模塊的工控系統安全增強體系結構

嵌入式工控終端輕量級信任加固技術體系

②系統內核安全加固和動態防護關鍵技術

系統內核安全啟動和完整性度量安全框架

基于白名單的系統進程和服務的可信管控

工控系統異常行為的實時監控和報警

U盤等外設的安全管控，安全存儲

工控系統環境的遠程證明和驗證

③工控終端的可信接入和動態監控

基于終端設備身份及系統完整性的可信網絡接入

智能可信終端的軟件證明，系統運行狀態動態監控，異常行為的預警防護；

終端完整性元數據存儲和分析，支持軟件級、設備級、工藝廠區級等不同粒度的完整性數據管理

工控設備環境完整性數據和USB設備信息的統一管理

基于可信計算的防護系統

可信工業控制系統解決方案解決的問題

硬件：PCI/USB-TCM卡，無TCM芯片主機系統改造

客戶端：基于TCM的系統認證和管控

服務端：工控終端狀態的監控和報警

信任鏈：實現計算機終端從TCM芯片，OS，應用的信任鏈構建，確保開機環境的可靠可信

身份認證：克服IP/MAC篡改缺陷，實現終端平臺/設備身份的可信網絡接入和不可抵賴認證

環境證明：實現計算機終端計算環境與平臺初始配置的一致性證明

可信工控系統保障能力

以硬件安全芯片為基礎，采用“白名單”防護機制，保證工控終端環境的安全可信。

可信工控系統特點

①微秒級的白名單管控：白名單檢索采用高效哈希表算法，查詢時間控制在4微妙之內，不影響系統進程的正常運行

②毫秒級的進程度量：進程平均度量時間在10毫秒左右

高效的工控終端完整性認證：平臺身份簽名驗證在20毫秒之內，完整性校驗時間不超過2.1秒

③自主可控的密碼算法與安全芯片：度量采用SM3，簽名和驗證采用SM2，加解密采用SMS4，硬件采用自主TCM芯片

④多種硬件接口的安全芯片支持：兼容各種安全和通用PC，采用PCI、USB、軟件模擬等多種方式滿足各種終端機器的硬件增強和改造

⑤支持多種主流操作系統：支持WinXP、Win7、Win Server等多個Windows系統，以及支持Ubuntu、中標麒麟等通用的Linux系統

實時監控與報警分析：支持對終端平臺的多級管理，對全部工控終端設備安全狀態的集中監控，實時產生報警并統一上傳到服務器

⑥USB存儲設備的可信管控：USB設備的識別、統一白名單制定與管控。

可信工控解決方案的特點