推荐星级：

基于可信计算的工业控制系统安全互联模型

更新时间：2020-01-02 22:46:48 大小：781K 上传用户：xiaohei1810 查看TA发布的资源 标签：工业控制 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

针对生产区与管理区网络互联的边界安全问题,提出了基于可信计算的工业控制系统网络互联安全模型.模型将整个系统划分为生产区与管理区两大部分,利用基础安全标识、数据验证重封装、可信性验证完成了交换数据的封装、访问控制及访问路径的可信性验证,阻断了源端口到目的端口的非法网络信息流,最终实现了管理区与生产区安全隔离前提下高效受控的数据交换,从互联边界上降低来自外部的攻击风险.

部分文件列表

文件名	大小
基于可信计算的工业控制系统安全互联模型.pdf	781K

立即下载

【关注B站账户领20积分】

部分页面预览

（完整内容请下载后查看）

2013．06．30

Journal of

ISSN 1001．9081

Computer Applications

CODEN

计算机应用，2013，33(S1)：141—143，147

JYIIDU

http：／／www．joca．an

文章编号：1001—9081(2013)S1—0141—03

基于可信计算的工业控制系统安全互联模型

章志华1，汪欢文1，李健俊1，胡雅军1，李轷’，毛军捷3

(1．浙江中烟工业有限责任公司，杭州310009；2．国家保密科技测评中心，北京100044；3．中国信息安全测评中心，北京100085)

(· 通信作者电子邮箱liyue_mail@163．COIll)

摘要：针对生产区与管理区网络互联的边界安全问题，提出了基于可信计算的工业控制系统网络互联安全模

型。模型将整个系统划分为生产区与管理区两大部分，利用基础安全标识、数据验证重封装、可信性验证完成了交换

数据的封装、访问控制及访问路径的可信性验证，阻断了源端口到目的端口的非法网络信息流，最终实现了管理区与

生产区安全隔离前提下高效受控的数据交换，从互联边界上降低来自外部的攻击风险。

关键词：工业控制系统；安全互联；安全隔离；可信计算

中图分类号：TP303．08

文献标志码：ATP393

Secure interconnectin model based on trusted

of industrial control

computing

system

ZHANG_{Zhihual，WANG}

Huanwenl，LI

Yu”，MAOJunjie3

Jianjunl，HU Yajunl，LI

Tobacco

Industrial

310009，China；

(1．China

2．National

Zhejiang

CompanyLimited,Hangzhou Zhejiang

Evaluation

Science and

Secrecy

Technology

100044，China；

Center,Beijing

3．China

Evaluation

Information Technology Security

Center,Beijing 100085，China)

Abstract：For the network intercounection border

issues between

area and arP誓l of

management

security

production

Industrial Control

intereonnection

model based on trusted

ICS(ISMBT)was

System(ICS)，the

security

into two

computing

proposed

divides the entire

area and

area．The three

^thepaper．ISMBT

management

information

system

identification，data

encapsulation

parts，the production

main

basic

and trusted

ensure the

validation，can

parts

ISMBT，namely

security

and trustworthiness of

the

block

network information flow from solll℃e

to destination

data，and

confidentiality

ports．Through

exchange

illegal

ports

area

achieves the secure data

between

and

security isolation，ISMBT

exchange

management

production

reduces the risk of external attacks from the network

area，and

boundary．

words：industrial control

isolation；trusted

computing

Key

system；secure intereonnection；security

题，本文以烟草工业企业信息系统为例，提出了基于可信计算

的工业控制系统网络互联安全模型。通过将整个信息网络划

分为生产区与管理区两大部分，利用基础安全标识、数据验证

重封装、可信性验证三部分完成了交换数据的封装、访问控制

及访问路径的可信性验证，最终实现了管理区与生产区安全

隔离前提下高效受控的数据交换，从互联边界上降低来自外

部的攻击风险。

引言

Control

工业控制系统(Industrial

o在电

System，ICS)¨ 。2

力、交通、能源及工业制造等各个行业得到广泛的应用，为了

实现生产过程控制和管理的一体化，生产区网络和管理区网

络之间必须建立连接，实现双向的数据交换。然而，IP网络

的普及，ICS已基本采用以IP协议和通用操作系统为主的标

准化信息技术，这些趋于标准化的技术手段存在较多可被攻

击者利用的安全漏洞，如果仅将ICS的生产区网络和管理区

网络进行简单互联，则会引入如下不可避免的安全隐患：I)

可能使来自管理区网络或互联网的威胁渗透至生产区网络，

如病毒、木马、恶意网络攻击等，从而影响ICS的生产安全；2)

可能使来自生产区网络的威胁扩散到管理区网络，从而影响

ICS的经营管理安全。由此所导致的攻击事件也日益严

重H-4]：2010年，Stuxnet”1病毒通过携带高度专业化的恶意

代码，能够控制和监视特定的工业处理过程，伊朗的核工业受

到严重影响；2011年美国伊利诺伊州水厂的工业控制系统遭

受黑客入侵导致其水泵被烧毁并停止运作。

研究现状及存在的主要问题

国标GB／T20720【61将ICS网络划分为5个层次：经营管

理区、生产管理区、过程管理区、直接管理区和工业生产过程

区。为了解决网络互联的安全问题，本文将ICS的网络主要

划分为两个区，即管理区和生产区。其中，管理区网络承载管

理协同层和生产执行层的业务系统，生产区网络承载工业控

制层的业务系统。生产区网络和管理区网络之间需要双向数

据交换。

以烟草工业企业信息系统为例，生产区网络与管理区网

络连接要按照图l所示架构进行部署。生产区网络如果需要

和其他网络进行连接，要通过管理区网络进行联通。

因此，针对ICS生产区与管理区网络互联的边界安全问

收稿日期：2012—11—26：修回日期：2013．Ol一28。

基金项目：国家核高基重大专项(2010zx01037枷14)01)；信息安全国家重点实验室开放课题资助项目。

作者简介：章志华(1961一)，男，浙江宁波人，高级工程师，硕士，主要研究方向：网络与信息安全；汪欢文(1971一)，男，浙江遂昌人，高级

工程师，硕士，主要研究方向：网络与信息安全；李健俊(1970一)，男，浙江丽水人，高级工程师，硕士，主要研究方向：网络与信息安全；胡雅

军(1970一)，男，浙江金华人，工程师，硕士，主要研究方向：网络与信息安全；李瑜(1983一)，男，山东高密人，博士，主要研究方向：操作系统

安全、可信计算；毛军捷(1982一)，男，河南平顶山人，博士，主要研究方向：嵌入式系统设计、芯片固件安全。

万方数据

142

计算机应用

第33卷

TRuE，尸a腩符合安全策略

其他网络

管理区网络

臂理生产

协同层制造层

生产区网络

如tr淞￡ed(Path)：f

一

^LFALSE，Path不符合安全策略

工业控制层

I省域网l

l互联咧

定义4

定义安全标识函数{seclabel，itelabel}，其中

生产执I

觥刭隋系统l

互联接口|

互联接口

l制丝集控I

l物流高架崩

l卷包数采

seclabel为安全级别标识函数，itelabel为完整性标识函数；定

行业

骨干网

庐品设

计管理

义{checksec，checkite}分别为安全级别检查函数和完整性校

验函数。

通过上述函数能够对数据的安全性和完整性进行标识及

图1 烟草工业企业生产区网络与管理区网络连接架构

校验。

由于企业多级网络互联使得经营管理区的用户可以访问

生产管理区、过程管理区及其对现场设备运行状态进行监控，

从而产生了新的安全问题，由于以太网协议中身份认证的不

完善使得通信易于受到扫描、修改与应答攻击。在各个数据

通信环节中都可能存在着被未授权的用户入侵和数据被窃取

等安全隐患。与烟草工业企业信息系统类似，大部分的ICS

的网络生产区与管理区通过防火墙、入侵检测等设备相连。

虽然传统的商业防火墙能够实现网络包过滤，但对于工业控

制协议却不能很好地适应。例如，MODBUS／TCP采用502端

13传输所有的包，防火墙无法识别某一个传输包是否应该放

行；OPC协议的端口范围为1024—65535，不同工控系统的端

口范围完全不同，传统防火墙只能把可能用到的端口全部放

开，类似这样的策略很难做到细粒度的管控。

定义5

封装函数protocol(p，req)，表示对访问请求re口

通过协议P进行封装；与之对应的解封函数为unprotocol(p，

req)。

3．2 ISMBT

基于上述设计思路，本文提出基于可信计算的工业控制

Model Base on

统网络安全互联模型(Interconnection

Security

Trusted

Computing

ICS，ISMBT)，模型主要由基础安全标识、

数据验证重封装、可信性验证三部分组成。

1)基础安全标识。

基础安全标识主要完成对服务接口的安全标识，并将原

始的网络访问请求进行封装，主要逻辑如下。

seclabel($cr)A seclabel(des)

(1)

(2)

itelabel(req)

A_{protocol(p，req)}

(3)

设计思路

式(1)是为所有的服务接口制定相应的安全级别，包括

访问的源端口和目的端口。式(2)是对网络访问请求req通

过杀毒技术、加密技术等，提供数据完整性检查的功能，根据

检查结果，生成完整性标记，为安全隔离与信息交换的完整性

验证提供依据。式(3)是对网络访问请求进行封装，比如通

过提供基于类似XML的统一数据交换接口，实现基于文件、

针对上述问题，为了应对与互联网连接的管理区对生产

区造成的安全威胁，同时又保证管理区与生产区必要的数据

交互，本文通过在管理区和生产区之间搭建可信增强的安全

互联平台，将现有的网络隔离成管理网和生产网，从而实现两

个区域的安全互联需求。

如图2所示，实现生产区网络与管理区网络的安全互联，

消除由于数据交换带来的安全威胁，必须包含三个方面的安

全约束：

SOAP协议、REST协议等数据格式转换。

2)数据验证重封装。

该阶段主要完成对数据的合法性验证，并重新对访问请

求进行封装转发。其主要的逻辑如下：

1)数据交换必须通过平台提供的互联接口完成，这是数

据交换的唯一路径，且互联接口仅开放必要的数据交换端口；

2)交换的数据流进行合法性验证；

(4)

(5)

(6)

(7)

unprotocol(p，req)

checkite(req)

3)通过可信验证技术保证数据交换源头的可信。

checksec($cr)^checksec(des)

圆圆

网网

protocol(p’，req)

式(4)是完成剥离网络协议(如TCP／IP)，将相关的信息

还原为应用层原始信息。式(5)验证数据的完整性标记，只

有满足约束l的访问数据，才能够进行进一步的操作。

幽幽圆圈

孽

网络隔离

生产区

l亘焦堡堕l

图2设计思路

约束l

checkite(req)=itelabel(req)。

该约束是指对于网络访问请求，其完整性验证结果必须

与原始的完整性标签一致；否则，认为该数据请求遭到了恶意

篡改，将被丢弃。

模型设计

3．1基本符号

定义1

式(6)是获取访问的源及目的端口信息，依据安全管理

中心的安全标记策略，确定主客体二者的安全级别，只有满足

如下约束2的访问请求才允许通过：

网络访问请求为三元组REQ=(SCR，DES，

INFOR)。其中：SCR为访问的源伊地址及端口集合；DES为访

问的目的伊地址及端口集合；INFOR为包括访问的参数等访

问请求信息集合。

约束2 seclabel($cr) seclabel(des)。

该约束表明源端口的安全级别必然支配目的端口的安全

级别，访问才被允许；否则认为违背了强制访问控制策略。

式(7)是将网络访问请求信息通过专用通信协议P’重新

封装，向下转发，其必然满足如下约束：

一个系统可以通过调用该服务提供的接口，发起对另一

个系统数据的访问。

定义2

访问路径Path(SCR—DES)，表示从源端口SeE

到目的端口des中途所经过所有通信端口。

例如，一个网络访问请求由s端口经过防火墙的t端口，

对访问d端口发起访问，则Path(s—d)={s，￡，d}。

定义3 路径可信判定函数

约束3

protocol(p’)≠protocol(p)。

即重封装的协议算法与初始的封装算法必须不相同，这

样目的端口对数据解封时，能够根据协议类型，明确区分是否

万方数据

143

增刊1

章志华等：基于可信计算的工业控制系统安全互联模型

4．2

系统部署

是经过ISMBT判定后的数据。必须指出的是，该步骤必然是

在完成可信性验证后，即确认该请求的是可信的，才能进行重

封装转发。

本文基于某烟草工业有限公司的网络信息系统，实现了

对ISMBT的安全性验证。该网络信息系统主要由三部分构

3)可信性验证。

成：

该部分主要完成对访问数据的可信性验证，定义ISMBT

所对应的封装端口为ENVPORT，必然满足如下安全定理：

经营管理区

主要应用为企业资源规划(Enterprise

Resource

Data

Planning，ERP)(SAP)、产品数据管理(Product

Management，PDM)、数据交换系统、客户端和其他服务。

生产管理区

定理l

envp ENVPORTj envp Path(鲫_如)。

证明采用反证法，假设上述命题不成立，即下式成立：

主要应用为生产执行系统(Manufacturing

System，MES)、数据交换平台和一些客户端。

_{Venvp ENVPORT}j_{envp隹Path(scr-+des)}

(8)

Execution

这说明从源端口到目的端口的访问路径中，不包含任何

ISMBT所对应的封装端口，即没有经过模型的判定，源端口便

直接将数据发送至目的端口，这显然是不被允许的。因此，式

过程管理区主要应用为物流系统、集控／数采系统等。

为了实现其管理区和生产区的安全互联，在两个区域之

间部署ISMBT对应的安全互联平台，如图4所示。

(8)不成立。

证毕。

定理l说明所有由源端口发起的访问请求数据，其访问路

径必然包含封装端口，只有经过安全判定，才能到达目的端口。

ENVPORT

envp Path($Cr_

引理1

envp

生产区

网络边界

des)j istrusted(盯_+envp-+des)=TRUEo

该引理说明，源端口的访问请求，经过的ISMBT封装端

口，最后到达目的端口，该访问路径必然满足系统的安全策

略，即系统许可这种访问行为，该访问才被允许发生。

此外，对生产区、管理区和ISMBT中的各计算平台及设

备，必须提供身份鉴别功能，建立可信网络连接"‘9J，保证接

人身份的可信性，才能有效防止仿冒攻击。

4．3安全性分析

工程验证

下面分析基于ISMBT的安全平台的系统安全性。

1)阻断网络层攻击。

4．1模型实现

管理区和生产区之间只可以进行数据交换，所有网络协

议信息在会话过程中全部被剥离，因此所有网络协议类攻击，

Flood、TCP

如图3所示，模型主要由安全管理中心、管理区数据交换

前置(记为L端数据交换前置)、生产区数据交换前置(记为

如IP

Flood等，都无法从管理网渗透到生产网。

H端数据交换前置)、安全隔离与信息交换、可信网络连接五

部分组成。

另外，安全隔离与信息交换部件只允许业务需要的应用

通过，因此攻击者无法通过目前大多数的应用层攻击方式

(如端口扫描等)从管理网渗透到生产网。

安全管理中心

石。

方

『(H端]

{

}

安全隔离

{

2)阻断数据交换时的潜在攻击。

L端数据

交换前置

H端数据

交换前置

生产区和管理区的数据交换安全措施由L／H端数据交

换前置和安全隔离与信息交换部件共同保证。L／H端数据交

换前置只接收特定格式的数据，并且对接收到的数据进行安

全检查，这样就大幅度减少被攻破的威胁；数据交换前置对数

据检查合法后，将其转化成XML格式，并且对其进行安全标

记，然后采用SOAP协议将数据传递到安全隔离与信息交换

部件，安全隔离与信息交换部件检查安全标记，只有拥有合法

标记的数据才能穿过，这样就可以确保攻击者无法通过数据

交换形式渗透生产网。

与信息交换

数据}

服务接口

SOAP

服务接121l

SOAP

l数据还劂

I标记验浏

l访问控侧

I协议转刮

李黎

耀

REST

}

爿网络

骼F

I访问

|格式转换|

盼式转捌

瞰据标到

瞰据标涮

可信网络连接

＼

／

ISMBT

图3

图3中ISMBT各部分的功能具体如下：

结语

L／H端数据交换前置以服务的方式为两个信息系统提供

数据交换接口，一个系统可以通过调用该服务提供的接口，发

起对另一个系统数据的访问。

针对生产区与管理区网络互联的边界安全问题，本文提

出了基于可信计算的工业控制系统网络互联安全模型。模型

将整个系统划分为生产区与管理区两大部分，利用基础安全

标识、数据验证重封装、可信性验证完成了交换数据的封装、

访问控制及访问路径的可信性验证，阻断了源端口到目的端

口的非法网络信息流，最终实现了管理区与生产区安全隔离

前提下高效受控的数据交换，从互联边界上降低来自外部的

攻击风险。

安全隔离与信息交换系统采用三层网络体系结构，其内

端机和外端机分别是管理网和生产网网络协议的终点，依据

管理中心下发的安全控制策略，通过检查数据包的源地址、目

的地址、传输层协议、发起请求的服务，确定是否允许该数据

包进出该边界。

安全管理中心主要完成安全策略的制定，统一实现对整

个安全平台的监管。

(下转第147页)

万方数据

147

增刊1

陈永强：非线性图像水印理论与技术综述

(上接第143页)

参考文献：

curity＆Privacy，2011，9(3)：49—51．

【6】全国工业自动化系统与集成标准化技术委员会．CB／T20720．

1—2006，企业控制系统集成第1部分：模型和术语【s】．北京：

中国标准出版社，2006．

【l】

【2】

【3】

【4】

陈维刚。费敏锐．工业控制系统的网络化发展【J】．工业仅表与

自动化装置。2004(1)：10—13．

彭勇。江常青，谢丰，等．工业控制系统信息安全研究进展【J】．

清华大学学报：自然科学版，2012，52(10)：1396—1408．

王文字，刘玉红．工控系统安全威胁分析及防护研究【J】．信息

【7】沈昌祥，张焕国，王怀民，等．可信计算的研究与发展【J】．中国

科学：信息科学，2010，40(2)：139—166．

安全与通信保密，2012(2)：33—35。

唐文．工业自动化控制系统信息安全研究【J】．计算机安全，

2012(4)：2—7．

【81施光源，张建标．可信计算领域中可信证明的研究与进展【J】。

计算机应用与研究，2012，28(12)：4414—4419．

【9】

赵勇，刘吉强，韩臻，等．信息泄露防御模型在企业内网安全

中的应用【j】．计算机研究与发展，2007，44(5)：761—767．

5】LANGNER R．Sluxnet：Dissecting cyberwaffare weaponI J】．Se-

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

基于可信计算的工业控制系统安全互联模型

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页