張曉梅 錢秀檳 王亮 劉凱俊

【 摘 要 】 為了更好地保障工業(yè)控制系統(tǒng)的信息安全，對工業(yè)控制系統(tǒng)進行了面向信息安全度量的研究。首先，在已有的信息系統(tǒng)安全度量概念體系的基礎上，結(jié)合國家標準GB/T 20274，引入工作目標、系統(tǒng)、區(qū)域、管道等概念，對工業(yè)控制系統(tǒng)模型進行抽象化分析研究。然后，采用該方法，對煙草行業(yè)的制絲集控系統(tǒng)進行了梳理，為定量分析工業(yè)控制系統(tǒng)信息安全工作打下了基礎。

【 關鍵詞 】 工業(yè)控制系統(tǒng)；信息安全度量；制絲集控系統(tǒng)

【 文獻標識碼 】 A

【 Abstract 】 For protecting the information security of the industrial control system better， the information security metrics of industrial control system was studied. On the basis of the existing information system security metrics concept system， combined with the national standard GB/T 20274， the work objective， system， regional， pipeline and other concepts are introduced for the abstract analysis of industrial control system model. Then， using this method， the tobacco silk distributed control system was analyzed， which has laid the foundation for the quantitative analysis of the information security of industrial control system.

【 Keywords 】 industrial control system； information security metrics； silk distributed control system

1 引言

工業(yè)控制系統(tǒng)廣泛應用于國家關鍵行業(yè)及基礎設施中，已是國家安全戰(zhàn)略的重要組成部分[1]。近年來國際上層出不窮的工業(yè)控制系統(tǒng)信息安全事件，表明工業(yè)控制系統(tǒng)的信息安全工作已十分重要和迫切。對于控制系統(tǒng)，已有成熟的數(shù)學模型體系，但是對于信息安全的還沒有良好的形式化表述方式，信息安全度量還需要進一步研究[2]。

文獻[3]提出了S（系統(tǒng)）、E（安全要素）、C（組件）、P（訪問路徑）概念為基礎的信息安全度量規(guī)則。但是，其對S和C的定義較為模糊和靈活，在特定領域中，如不合理定義S和C將可能導致對P的定位困難，最終導致度量結(jié)果不具有實踐意義。

特別是在面向工廠的工業(yè)控制系統(tǒng)信息安全領域，其S的多樣性和C的多樣性，均可導致P的數(shù)量遠大于信息系統(tǒng)，并產(chǎn)生沒有意義的評估結(jié)果。因此有必要在工業(yè)控制系統(tǒng)信息安全領域，對該模型進行解釋性研究，明確S、C、P的定義和歸納方法，為度量工廠的控制系統(tǒng)信息安全打下堅實的基礎。

本文擬從國家標準GB/T 20274的使命、系統(tǒng)、保障、風險模型[4]出發(fā)，引入概念t來代表工廠的某一個特定業(yè)務目標，通過業(yè)務目標從工廠層面切分系統(tǒng)的S的范疇；定義a來代表S內(nèi)的業(yè)務區(qū)域，替代原來的組件概念c；引入概念l來代表a之間的管道；將原來的路徑概念P上升成l的集合；根據(jù)工業(yè)控制系統(tǒng)的典型模型，給出區(qū)域a和l的定義和屬性；在完成面向多個t的分析后，合并a的同類項，來表述a和相關l在P中的重要性。從而形成有一定普適性的利用t、a、l、P概念來對工廠控制系統(tǒng)TOE交互模型的抽象分析方法。

2 信息系統(tǒng)安全度量概念體系

為實現(xiàn)信息系統(tǒng)E安全要素的度量，文獻[2]提出了一些概念。

S計算機系統(tǒng)：計算機信息系統(tǒng)是由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進[5]行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

P路徑集合：訪問路徑P是在信息系統(tǒng)中，響應一種用戶請求（如信息采集、加工、存儲、傳輸、檢索）所涉及到的所有軟件、硬件構成一條訪問路徑，簡稱為路徑，記為P，系統(tǒng)中所有訪問路徑的集合記為P。

C組件集合：以C表示組件的集合，C={c1，c2，...，ci}

系統(tǒng)、訪問路徑、組件之間的包含關系：

當系統(tǒng)S由組件c1，c2，...，ci組合而成時，記為

S=（c1，c2，...，ci）=ci = C

對p∈P，p?S表示系統(tǒng)S包含訪問路徑P，或者說P屬于S；

對p∈P，c∈C，c∈p表示訪問路徑P包含組件c，或者說c屬于P。

在實現(xiàn)特定安全要素e的過程中，C有三種方式。

獨立關系：C中所有ci獨立實現(xiàn)e。

互補關系：C中所有ci均實現(xiàn)了e后，e才有意義。

關聯(lián)關系：C中所有ci只有在特定策略下分別實現(xiàn)e，e才有意義。

本文認為以上體系在工控信息安全中有幾個問題。

S定義過于寬泛。從S的定義來看整個工廠都可以定義為一個計算機系統(tǒng)，同時一個控制系統(tǒng)可以定義為一個計算機系統(tǒng)，為滿足一個業(yè)務目標，也可能存在多個控制系統(tǒng)組成一個計算機系統(tǒng)。

C概念過于模糊。c作為系統(tǒng)的組件，可以代表一個C/S系統(tǒng)中的客戶端，也可以是一個客戶端中一個組件、一個類、一個通用方法。這對于實踐工作中，會產(chǎn)生由于C的實際操作過程中的定義不同，導致度量結(jié)果完全不同的情況。

在系統(tǒng)層面，如果將c定義過細，P的數(shù)量可能超出工程實踐的能力，且不具有現(xiàn)實意義。比如將c定義到軟件中的類，P則是類相互調(diào)用的管道。

這些問題使得信息安全的度量在各個領域的具體工作過程中，都需要重新審視其適用性，只有在協(xié)調(diào)好S的范圍和C的粒度后，才能使得P的工作量合理，最終產(chǎn)生良好的效果。

3 工業(yè)控制系統(tǒng)的信息安全度量概念及梳理方法

3.1 概念

面對業(yè)主單位指定范圍的安全度量工作，按照幾個體系開展。

定義1.工作目標t。即為工廠的特定需求，比如產(chǎn)品生產(chǎn)、人身保障、危險品管理、商業(yè)機密保密等。所有工作目標的集合記為T。

定義2.系統(tǒng)Sti。為完成特定的的所有的計算機系統(tǒng)、控制系統(tǒng)和相關安全體系，計算機系統(tǒng)包括由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進[5]行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)；控制系統(tǒng)包括現(xiàn)場儀器儀表、執(zhí)行設備（電機、閥門、加熱裝置等）、控制器、網(wǎng)絡設備、控制運算系統(tǒng)、人機界面（HMI）等；安全體系包括管理制度、信息安全產(chǎn)品等。一次度量分析工作中所有的St集合記為S。

定義3.區(qū)域a。一個Sti中所有可以供工作人員操作的場所。一個區(qū)域具有幾個屬性：

物理邊界：區(qū)域中的設備在物理位置上靠近；

通信邊界：區(qū)域中的設備能實現(xiàn)互聯(lián)互通；

功能邊界：區(qū)域中能實現(xiàn)工作目標分解后的特定工作任務；

硬件設備清單：區(qū)域中所有的硬件設備；

操作系統(tǒng)/固件清單：區(qū)域中所有PC/SERVER的操作系統(tǒng)，所有專用硬件產(chǎn)品的固件；

應用系統(tǒng)清單：每個PC/SERVER中服務于s的軟件、專用設備中的配置、控制器中控制邏輯程序等。

定義4.管道l：區(qū)域間的通信。管道包括通信設備、通信協(xié)議和信息格式屬性等。

3.2 梳理方法

以上述概念體系為基礎，在進行工業(yè)控制系統(tǒng)信息安全風險分析時，對于工業(yè)控制系統(tǒng)的梳理可按幾個步驟開展。

確定工作范圍：確定參與評估的控制系統(tǒng)（TOE）。

梳理控制系統(tǒng)的工作目標集合T，并對每個ti進行描述。根據(jù)ti再回到工作范圍中進行補充，將參與工作目標ti實現(xiàn)且未列入工作范圍的控制系統(tǒng)納入，形成完整的工作范圍。

根據(jù)每個ti列出參與其中的Sti，形成每個ti的Sti。

對每個Sti進行區(qū)域劃分，形成集合Asti。然后對Asti進行同類合并，形成最簡區(qū)域集合A。

對A中每個ai-aj對進行通信必要性分析，得出最小通信管道集合L{lai-aj}。

對A和L進行表格化梳理，完成梳理文檔。

4 實踐

以煙草行業(yè)的制絲集控系統(tǒng)為例，工廠劃定的分析范圍為制絲集控系統(tǒng)。工作目標是保障生產(chǎn)工作連續(xù)穩(wěn)定開展。

整理后A的劃分情況如圖1 、表1、表2和表3所示。

a的設備清單（略）。

進一步地，對a之間管道情況進行整理，見表2、表3。

由此，完成了面向信息安全度量的煙草制絲集控系統(tǒng)梳理工作。

5 結(jié)束語

本文針對工業(yè)控制領域信息安全如何利用信息安全度量算法進行了初步的探索，提出了利用面向信息傳輸?shù)姆治龇椒?，可將紛繁復雜的各行各業(yè)、各種規(guī)模、各種時期的控制系統(tǒng)都抽象成區(qū)域集合A和管道集合L來表示。為后續(xù)形成通用的S（系統(tǒng)）、E（安全要素）、C（組件）、P（訪問路徑）概念體系來定量分析工業(yè)控制系統(tǒng)信息安全打下了基礎。

本文研究過程中繼續(xù)發(fā)現(xiàn)了信息安全度量算法在類似工業(yè)控制領域等大型應用領域中的一些問題。比如C（組件）概念及本文提出的A（區(qū)域）概念，存在嵌套關系。E（安全要素）概念在實踐中除存在一維數(shù)組表示方法外，還存在二維數(shù)組形式，其中也存在嵌套關系。這些關系都超越了文獻[1]中提到的獨立、互補和關聯(lián)關系，由此導致在大型應用中，通過消除路徑中的依賴關系，形成規(guī)范路徑并非最佳選擇，而建立在規(guī)范路徑上的最小值算法也未必能體現(xiàn)大型系統(tǒng)的安全度量。在這些概念和算法上持續(xù)工作，也許可以發(fā)現(xiàn)定量分析大型應用安全度量的新方法。

在完善上述方法后，工控信息安全度量工作還需要進一步解決針對特定安全威脅的安全度量、大規(guī)模網(wǎng)絡中的實時安全度量等更為復雜的工作。

通過本文提出了在工業(yè)控制領域中，信息安全的重點應集中在信息的采集、加工、存儲、傳輸、檢索等信息處理過程的安全性上，而不必過多干涉信息系統(tǒng)所驅(qū)動的物理系統(tǒng)的原理。這就可以讓控制領域工作人員專心做好控制工作，信息安全領域工作人員專心做好信息安全工作，避免了當前工控信息安全工作的協(xié)調(diào)難點，同時促進兩方面工作的合理分工和專業(yè)化發(fā)展。

參考文獻

[1] 盧慧康，陳冬青，彭勇，王華忠.工業(yè)控制系統(tǒng)信息安全風險評估量化研究[J].自動化儀表.2014，（10）： 21-5.

[2] Fran Nielsen. Approaches to Security Metrics[R]. Gaithersburg： NIST，2000.

[3] 閆強，陳鐘，段云所等.信息系統(tǒng)安全度量與評估模型[J]電子學報，2003，9（9）： 1351-1355.

[4] GB/T 20274.信息安全技術信息系統(tǒng)安全保障評估框架[S]. 北京：中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局和中國國家標準化管理委員會，2006.

作者簡介：

張曉梅（1978-），女，碩士，畢業(yè)于太原理工大學， 助理研究員；主要研究方向和關注領域為：網(wǎng)絡與信息安全測評、工業(yè)控制系統(tǒng)安全。

錢秀檳（1977-），男，碩士，畢業(yè)于清華大學，助理研究員；主要研究方向和關注領域：信息安全形勢、新技術信息安全。

王亮（1974-），男，碩士，畢業(yè)于北京航空航天大學，工程師；主要研究方向和關注領域：信息安全評估。

劉凱俊（1987-），男，碩士，畢業(yè)于北京科技大學，工程師；主要研究方向和關注領域：工控系統(tǒng)信息安全。