摘要：针对目前工业测控系统中起到核心应用的传统PLC自身信息安全防护能力底下的问题，本文提出了一种采用基于工业控制系统嵌入式设备安全防护关键技术的可信计算环境的构建方法。首先分析了传统工控设备如PLC存在的信息安全风险，以及现有可信计算在系统应用方面的一些研究成果和不足，然后介绍了可信PLC、网络安全单元和安管平台的设计和体系结构。最后通过将这些安全产品与工业现场信息安全解决方案进行融合后提出了可信技术安全防护体系，为传统工控设备组建了安全可信的系统网络，实现了设备的内建安全能力。

关键词：工业控制系统、可信计算、可信PLC、多融合联动响应、网络安全单元
中图分类号：□□□□ 文献标识码：□
Construction Technology and Application of Industrial Control System Security and Trusted Environment
YIN Long1,SHANG Wenli1, LIU Xianda1, ZHAO Jianming1, ZENG Peng1
1. Shenyang Institute of Automation Chinese Academy of Sciences, Shenyang 110016,China

Abstract
Aiming at the problem of the traditional PLC's own information security protection ability in the current industrial measurement and control system, this paper proposes a construction method of trusted computing environment based on the key technology of embedded equipment security protection in industrial control system. Firstly, it analyzes the information security risks of traditional industrial equipment such as PLC, and some research results and shortcomings of existing trusted computing in system application, then introduces the design and architecture of trusted PLC, network security unit and security management platform. . Finally, by integrating these security products with industrial site information security solutions, a trusted technology security protection system was proposed, which established a secure and trusted system network for traditional industrial control equipment, and realized the built-in security capabilities of the equipment.
Keywords
Industrial Control System
trusted computing
trusted PLC
Multi-fusion linkage response
Network sercurity unit


1 引言
伴随着“中国智能制造2025”的脚步，核心控制装置正向开放互联方向发展，作为工业控制系统的主要构成单元的嵌入式可编程设备如PLC，其自身防护几乎没有安全防护能力，已经成为影响我国工业控制系统生态安全的重要隐患，同时，现有安全分区及隔离技术难以有效解决“零日”漏洞威胁，迫切需要以可信计算技术为基础的自身本质安全防护能力。
工业控制系统核心装置如PLC设备的信息安全威胁主要包括来自外部的网络安全威胁和内部终端安全威胁[1]，外部网络安全威胁主要体现在攻击者没有经过系统授权情况下，非法进入控制网络内部访问系统资源，恶意公布系统机密信息，突出表现为篡改控制指令、传播病毒、伪造状态信息，关键时刻干扰控制信道正常通信造成系统瘫痪；而内部威胁主要体现在恶意程序可以轻易被植入开放式平台架构的软件系统中，传统恶意代码检测技术仅能检测软件执行过程中出现的异常状况，但对软件本身的安全性无法进行有效验证，一旦隐藏在系统固件程序中的恶意代码被攻击者远程激活，将可能出现系统机密信息被窃取、被删除，甚至破坏系统等严重后果。
可信计算理论在诸多涉及信息安全的系统和产品中都有所应用，国内外已有学者、机构针对可信计算技术应用于安全主机、可信网络、数据存储和数字版权管理等方面开展了一定的研究工作，目前相关的研究成果有：胡计鹏[2]等提出了一种基于可信密码模块的用户行为度量方法，但该研究的可信认证授权机制比较依赖平台架构和硬件组成，需要平台支持USBKEY；李孟君[3]等提出了一种基于PLC工控系统的可信构建技术，但该构建方案仅仅是从组态逻辑可信增强和控制指令可信增强的角度来实现安全增强，没有提供一个全面的系统级安全解决方案；张焕国[4]等提出了一种适应嵌入式环境的新型可信平台模块ETPM，但该文献采用的星型信任模型不能避免当系统程序增多时会加重TPM负载所带来的影响；李涛[5]等提出一种可信模块与强制访问控制结合的安全防护方案，但该方案会加重系统内核的运算任务和负担，当执行文件读写操作时性能下降在6%到16%之间。吴悠[6]等提出了一种带数据恢复功能的混合式信任结构，但该方法仅是将两种信任模型进行单纯的过程叠加，并且没有彻底解决当外加节点进入可信系统后的可信度量问题；Dietrich K [7]提出通过解除MTM功能和动态加载TPM命令方式来降低MTM的复杂性和托管安全扩展的资源需求，并提出了两种体系结构解决资源限制，但两种体系各有优缺点，互补性不足；Zhao B[8]提出一种基于可信计算技术的白名单安全管理机制，虽然解决了启动时的动态测量和验证，但对运行时的动态测量和验证没有提出解决方案，对于启动次数少的软件测量和验证不足； Nepal Surya [9]提出了一种以USB为介质的移动、便携式可信计算平台，但是并没有完全解决可信计算平台的信任机制与特定机器的紧密耦合问题，同时可信程度也在一定程度上降低；Chernov A Yu[10]等提出了一种在Intel芯片上构建可信计算环境的方法，但该方法缺少对工控机特殊性要求方面的考虑； Nagarajan Aarth[11]等提出了一种用于可信计算平台的信任增强安全模型，使用基于主观逻辑的混合信任模型减少不确定性，但该模型本质还是一种静态证明方法，对工业控制系统的应用效果有待测试。
综上，现有的可信计算理论方法从安全启动、数据加密、完整性度量、软件可信属性验证等几个方面形成了基于可信计算的安全防护技术体系，但是单独采用可信计算作为安全防护手段并不能保证程序在运行阶段中仍然处于安全可信状态。并且随着系统应用增多，对多个程序的度量也会造成系统性能开销增加。为了解决该问题，本文提出一种“面向可编程嵌入式电子设备的安全技术架构方案和安全防护关键技术以及工业控制系统可信环境构建体系”的研究思路，通过围绕新一代PLC控制器、网络安全单元、安全管控功能软件库、安全管控平台的开发以及创新应用模式的设计，构建高安全、高可信的工业控制系统整体运行环境。
作者：尹隆1,2,3，尚文利1,2,3*，刘贤达1,2,3 ，赵剑明1,2,3，曾鹏