引言

《工业互联网安全研究》—可信计算保障工业互联网安全的思考。国家工业信息安全发展研究中心组织编写《工业互联网安全技术与应用白皮书(2020)》工作已经启动,希望提高业界对工业互联网安全核心技术及挑战的重视和共识,为工业互联网健康发展保驾护航。白皮书将从工业互联网安全技术的演进、安全技术框架、关键技术与挑战、新技术与工业互联网安全的融合、应用案例等多角度全面分析工业互联网安全技术。可信计算是构建积极防御网络安全保障体系的核心技术,能在多方面赋能我国工业互联网安全建设。

一、可信计算概述

(一)可信的内涵

对可信计算的定义目前尚未形成统一的观点,不同专家和组织机构有不同的解释。国际标准化组织与国际电子技术委员会在ISO/IEC 15408标准中定义可信为参与计算的组件、操作或过程在任意条件下是可预测的,并能够抵御病毒和一定程度的物理干扰。可信计算组织(TCG)认为,如果一个实体的行为总是以预期的方式达到预期的目标,则该实体可信。电气电子工程师学会(IEEE)认为,一个计算机系统称为可信是指其提供的服务是可信赖的,而且这种可信赖是可论证的。我国学者认为,可信计算系统是能够提供系统可靠性、可用性、信息和行为安全性的计算机系统。可信包括正确性、可靠性、安全性、效率等,系统的安全性和可靠性是现阶段可信最主要的两个方面,简称为“可信≈可靠+安全”。

由以上几种不同的定义,可以看出一个共同点,可信强调实体行为的预期性,强调系统的安全与可靠。可信计算的总体目标是提高计算机系统的可信性。

(二)可信计算的思想

可信计算以“整体安全”“主动免疫”的思想为指导,以密码技术为基础,以安全芯片为信任根,以计算机系统为平台,以可信基础支撑软件为核心,以可信网络连接为纽带,确保应用程序的可信运行。采用软硬件协同设计构建安全体系,目的是为信息系统构建安全可信的计算环境和通信环境,提升信息系统主动、动态、整体、精准的防御能力。

可信计算首先在计算机系统中建立一个信任根,信任根的可信性由物理安全、技术安全与管理安全共同确保。其次建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级测量认证一级,一级信任一级,把信任扩展到整个计算机系统,从而确保整个计算机系统可信。在系统运行过程中,通过可信度量、可信验证,实现遭受攻击时的自我保护、自我管理和自我恢复。可信计算强调计算机系统硬件、软件在设计时考虑安全保障和安全扩展,融合了内生安全的技术理念,通过主动识别、主动控制、主动报警,从体系结构、应用行为、数据存储、策略管理等各个环节提供安全免疫能力,为计算机系统的安全提供支撑。

二、可信计算保障工业互联网安全的优势

可信计算具有安全芯片自主可控、防护设计主动免疫的优点,其理念能覆盖工业互联网多种设备和网络环境,满足工业互联网业务和应用相对稳定的运行特点。应用可信计算技术保障工业互联网安全具有优势。

(一)国产芯片从根上解决工业互联网的信任问题

我国工业互联网产业空心化问题突出,工控MCU、DSP、FPGA等核心元器件和SCADA、PLC、DCS等系统国外产品占领大部分国内市场。在工业芯片、核心部件、系统产品无法全部实现国产化替代时,以国产可信计算芯片为信任根,作为工业互联网环境中保障从系统到应用可信执行的信任源头,能从根上解决工业互联网环境的信任问题。此外,与各类复杂的智能算法相比,可信计算技术算法简单、运行效率高,硬件芯片加速算法执行,能更好的满足工业互联网的实时性要求。

(二)基于可信计算能构建主动免疫的工业互联网防护体系

目前工业互联网主要采用传统IT扫描、检测、监控、病毒查杀等被动防御手段,无法有效抵御网络攻击。可信计算采用“度量+管控”的思路,其目标不是消除系统中的漏洞或缺陷,而是阻止一切未知的或非法的程序执行,防患于未然,确保系统按照预定期望执行,从而构建主动免疫的工业互联网防护体系。

(三)可信计算理念覆盖工业互联网多种设备和网络环境

典型的工业互联网包含业务网络、办公网络、生产网络(控制网)等多个层次,涵盖工业主机、控制器、PLC、智能仪表等多种终端设备。可信计算隔离执行、安全存储和远程证明的思想适合对工业互联网各种终端设备和网络环境进行安全增强,能形成统一的安全解决方案和管理体系。

(四)可信计算技术满足工业互联网应用和业务相对稳定的运行特点

工业互联网应用和业务通常要求较高的稳定性、可用性和可靠性,工业设备和系统相对稳定、单一,没有频繁的更新。可信计算安全策略依赖先验的度量值信息,非常适合相对稳定的工业互联网环境,可根据工业应用的业务环境,执行更严格细粒度的安全策略。

三、可信的工业互联网安全防护体系构建思路

基于可信计算技术能构建可信的工业互联网安全防护体系,增强未来工业互联网抵御未知威胁的能力。面向工业设备、主机、网络、应用的安全防护需求,提出工业设备可信验证、工业主机可信执行、工业网络可信连接和工业应用可信防护的构建思路。工业互联网平台依托工业云平台构建而成,其安全防御能力依赖云平台自身的安全防护水平,这里没有单独说明。

(一)工业主机可信执行

工业主机类型多样,功能复杂,一般使用专有系统,不联网,存在软硬件升级困难,主机系统老旧“带病”运行的问题。利用可信计算技术加固工业主机,基于自主可控的安全芯片对主机系统启动时和运行时进行周期性或根据用户需求的信任度量和可信性验证,对系统行为进行可信性判断,以构建工业主机可信的执行环境。所有信任度量验证结果都进行日志记录,上传到工业互联网平台安全管理中心,辅助管理员做出决策。日志记录本身也利用安全芯片进行加密保护,防止未授权篡改或破坏。

(二)工业设备可信验证

工业设备处于被破坏、篡改或受控的不可信状态时,接入到工业互联网平台后可能导致威胁扩散。为保证工业设备可信接入,需基于安全芯片对设备进行可信验证。具体在接入时,对设备及用户身份采用基于硬件的认证方式;认证通过后,度量设备的可信状态并进行结果对比,若度量结果满足平台的准入安全策略,则允许连接;否则将设备接入到平台的指定隔离区域,对其进行安全修补和升级。同样地,对工业设备的可信验证也进行日志记录,上传到工业互联网平台。

(三)工业网络可信连接

我国工业网络当前存在较多私有协议如OPC、Modbus等,一般采用明文传输数据,缺乏认证机制、权限区分、广播抑制等安全机制,难以应对网络攻击。对工业网关、工业交换机、工业控制器等可联网的通信设备做软硬件改造以支持可信网络连接,从设备的网络特征和网络行为建立对设备的身份认证和设备行为的安全认证,实现设备间通信、设备与平台通信时对通信端身份、安全策略、安全状态的双向鉴别,建立数据安全传输信道,能保证工业网络通信的安全性。

(四)工业应用可信防护

工业应用在开发、部署、运行、维护等不同环节一般由不同参与方提供支持,容易存在脆弱性。基于可信计算技术对工业应用进行可信防护,能增强工业应用抵御攻击的能力。具体按照最小权限制定应用行为的安全策略,仅允许执行白名单行为,以保证工业应用行为的可控,同时对安全策略和工业应用行为的日志记录进行基于安全芯片的硬件级加密保护,传送到工业互联网平台辅助决策。

四、可信计算保障工业互联网安全面临的挑战

可信计算目前作为一种新型技术,应用到保障工业互联网安全时,主要面临三个方面的挑战。

一是现阶段可信计算技术在易用性上存在不足。可信计算是一种新的防护模式和方法,在推广应用中需要对工业互联网现有设备、系统等进行改变或更新,将加大工业企业数字化智能化转型的难度和成本。

二是缺乏符合工业应用场景的可信计算标准体系。目前仍缺乏我国自主的可信计算核心标准体系,没有根据工业互联网产业发展需求,推出符合工业应用场景的行业或产业标准;工业互联网领域可信计算应用标准体系仍是空白。

三是在工业互联网领域缺乏完整的可信计算产业链。自主可控芯片、可信控制平台等尚未在工业互联网领域得到推广应用,产品比较分散,没有形成合力;可信计算技术没有充分覆盖工业互联网领域融合的云计算、大数据、物联网、边缘计算、移动互联网等新型服务模式,没有进入整体的运营产业链。

作者简介

樊佩茹,博士,就职于国家工业信息安全发展研究中心保障技术所,主要研究领域:工业互联网安全、可信计算。联系方式:fanpeiru@cics-cert.org.cn

王冲华,博士,就职于国家工业信息安全发展研究中心保障技术所,主要研究领域:工业互联网安全、网络与系统安全、网络攻防技术。联系方式:wangchonghua@cics-cert.org.cn

声明:本文来自工业信息安全产业发展联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。