0 、引言

　　數控系統(tǒng)固有安全漏洞和聯(lián)網后的開放性，使其面臨的信息安全威脅持續(xù)擴大。數控系統(tǒng)是數控機床的“大腦”，高端數控系統(tǒng)核心技術基本被工業(yè)發(fā)達國家壟斷，數控系統(tǒng)存在不可控的漏洞、后門等安全隱患。同時針對控制系統(tǒng)的信息安全攻擊事件持續(xù)發(fā)生。數控系統(tǒng)一旦遭到破壞，將會導致數控機床乃至整個生產線停機，造成企業(yè)重大損失。所以研究數控機床信息安全防護理論與技術，對保障工業(yè)基礎設施穩(wěn)定運行具有重要意義。

　　美國能源部國家 SCADA 測試床計劃 ( NSTB)發(fā)布了防護控制系統(tǒng)路線圖。歐洲網絡與信息安全局ENSIA) 制定的防護控制系統(tǒng)的指導文件也于 2011 年發(fā)布。國內王琦魁提出一種數控加工網絡信息安全防護方案，部署數控加工網絡邊界隔離設備和數控系統(tǒng)終端防護設備，保障數控網絡安全。王劍提出了 DNC數控網絡系統(tǒng)安全防護架構，部署防火墻在辦公局域網和 DNC 數控網之間過濾數據，然而該方案對于內部信息泄露缺乏有效的防護。于立業(yè)提出工業(yè)控制系統(tǒng)信息安全縱深防御解決方案，采用邊界隔離和入侵檢測的訪問控制機制，缺乏系統(tǒng)化協(xié)同防護。

　　可信計算和自治愈被認為是解決控制系統(tǒng)本質安全的重要方法。Fadul將可信計算理論應用到智能電網的 SCADA 系統(tǒng)安全防護中。伍江江提出一種基于虛擬隔離數據可信存儲體系來進行數據非授權防護，魏占禎提出了一種基于可逆向擴展的可信數據封裝方案。目前可信網絡理論和技術的研究主要在普通信息系統(tǒng)或數控系統(tǒng)的辦公網絡中，還沒有被應用到完整的數控系統(tǒng)。張彤對應用于電力系統(tǒng)的基于自治愈理論的網絡可生存性理論進行了研究，但未對完整系統(tǒng)體系結構模型進行研究。Kirsch通過入侵容忍策略研究了可生存的 SCADA 系統(tǒng)，但是其策略并不適用于有狀態(tài)的應用服務器。

　　本文通過建立數控機床自動化網絡信息安全綜合防護方案，建立系統(tǒng)化信息安全協(xié)同防護技術，有機結合了現(xiàn)有的信息安全防護技術，在保持系統(tǒng)有序性情況下，達到較好的防護效果。

　　1 、數控機床網絡系統(tǒng)架構和安全威脅

　　為了提高數控企業(yè)信息化和綜合自動化水平，實現(xiàn)管控一體化，現(xiàn)代數控系統(tǒng)越來越多地與企業(yè)網絡互聯(lián)，采用計算機輔助設計制造( CAD) 、產品數據管理系統(tǒng)( PDM) 等提高加工效率和精度。通用協(xié)議( 如 TCP/IP 協(xié)議) 、通用操作系統(tǒng)等智能化構件不斷用于工業(yè)數據交換和處理。數控機床與辦公網絡甚至 Internet 的互聯(lián)互通導致數控系統(tǒng)面臨更多的信息安全威脅。數控機床自動化網絡結構和安全威脅如圖1所示。

圖 1 數控機床自動化網絡結構和安全威脅

　　圖 1 中，數控機床網絡通過 ＲS232、串口等接口通過數據交換系統(tǒng)與 DNC 數控網絡相連，進而與辦公自動化系統(tǒng)互連。雙向箭頭表示了安全威脅的傳遞路徑。從圖 1 可以看出，安全威脅主要來自于外部攻擊和內部攻擊。外部攻擊主要是攻擊者通過外部 Internet 掃描目標網絡系統(tǒng)的漏洞，找到攻擊點，進行持續(xù)攻擊( 如高級持續(xù)性威脅) 。內部攻擊包括惡意的數據泄露、通過移動設備的病毒傳播等。攻擊目標包括操控控制系統(tǒng)，中斷加工進程、影響產品質量、竊取企業(yè)數據等。

　　2、 數控機床自動化網絡綜合防護技術

　　提出的數控機床網絡綜合防護技術主要包括體系架構和核心防護技術。

　　2．1 安全防護體系結構

　　基于圖 1 的結構，提出數控機床自動化網絡系統(tǒng)協(xié)同化、系統(tǒng)化安全防護體系結構，如圖 2 所示。

　　圖 2 中數控系統(tǒng)網絡安全防護體系涵蓋辦公網絡安全防護、DNC 數控網絡與數控機床設備網絡安全防護3 個方面。在辦公網絡防護中，主要部署了防火墻、入侵檢測、惡意代碼檢測等基本的防護措施，同時部署了可信網絡管理服務器來過濾惡意節(jié)點，提高網絡免疫性。針對 DNC 數控網絡，在 DNC 服務器上部署可信計算平臺，確保運行控制系統(tǒng)可信; 部署協(xié)議入侵檢測服務器過濾不合規(guī)系統(tǒng)控制流; 在 DNC 數據傳輸和數據讀寫中部署可信數據防護機制來阻止非預期訪問; 在管理控制接口部署數據訪問監(jiān)控模塊，阻止移動設備惡意入侵。針對現(xiàn)場設備防護，主要在接口控制與交換層部署自治愈管理器，防止設備運行故障對生產的影響。每個階段防護均連接取證審計服務器以備必要時審計。

圖 2 數控網絡安全綜合防護體系結構

　　為了實現(xiàn)綜合協(xié)同防護，需要融合各種防護技術，以時間為軸，提出基于事件驅動防護方案，事件生命周期防護需求和防護技術如圖 3 所示。

圖 3 事件生命周期安全防護技術示意圖

　　結合圖 2 和圖 3，在安全事件發(fā)生前，在 DNC 數控網絡中，采用實時監(jiān)控、可信平臺防護方法; 在辦公網絡中，采用可信網絡、可靠預警等方法。在安全事件發(fā)生時，針對內部攻擊，采用主動訪問控制、異常檢測方法。針對外部攻擊，采用入侵防御、惡意代碼防御等方法。在嚴重安全事件發(fā)生后，對數控機床網絡啟動自治愈和容錯恢復機制，并在各個網絡取證審計確定威脅源和威脅方法，采用升級補丁、入侵防御等方法阻止事件再次發(fā)生?？尚欧雷o技術、自治愈作為核心防護技術，融合基本數據和系統(tǒng)防護技術，動態(tài)構建基于事件生命周期的數控系統(tǒng)信息安全綜合防護機制。

　　2．2 可信防護技術

　　首先，在 DNC 系統(tǒng)服務器上部署可信計算平臺。DNC 系統(tǒng)服務器是連接辦公網和數控機床的關鍵節(jié)點，下達來自辦公網的指令到數控機床網絡，上傳數控機床數據和狀態(tài)信息到辦公網絡。其運行平臺可信性至關重要?？尚庞嬎闫脚_以可信計算模塊( TPM，Trus-ted Platform Module) 為核心，以密碼和驗證技術作為信任鏈，確?？刂朴嬎闫脚_可信安全?？尚庞嬎闫脚_主要用于事前監(jiān)控，認證合法系統(tǒng)，確保平臺可控。拒絕安全事件發(fā)生后對設備層的非預期控制。

　　其次，在 DNC 數控網絡上部署可信數據防護機制，對數控系統(tǒng)核心數據進行保護，如圖 4 所示。

圖 4 可信數據防護機制

　　在控制網總線上動態(tài)構建類似于 VPN 的通信隔離環(huán)境來保證設備控制數據不被泄漏。結合可信計算和虛擬化技術，在 DNC 數控網絡上構建虛擬機系統(tǒng)，建立敏感數據安全保護域(SPDSecureProtection Do-main) ，通過將敏感數據綁定在安全域內，根據數據的保護預期對 DNC 數據訪問請求進行安全驗證和策略控制，阻止不可信進程對數據的讀寫操作和傳遞到不可信區(qū)域，從而實現(xiàn)數據防泄漏功能。對不可信的進程傳遞給惡意代碼檢測服務器，查驗惡意入侵行為?？尚盘摂M數據防護機制主要用于事前監(jiān)控、安全隔離，事中入侵檢測，事后審計查驗。第三，在辦公網絡上部署可信網絡服務器。動態(tài)運行中，可信節(jié)點具有一定的智能性，其可信與行為動作相關，信任理論就是解決行為可信的有效方法，根據節(jié)點歷史表現(xiàn)確定可信值，大于可信閾值的節(jié)點才能參與服務，從而隔離惡意節(jié)點。可信網絡主要用于事中檢測，結合入侵防御、惡意代碼防御，為審計提供證據。基于上述三個方面，建立數控系統(tǒng)可信防護模型。配合傳統(tǒng)數據防護和系統(tǒng)防護技術，實現(xiàn)數控系統(tǒng)數據安全和系統(tǒng)安全。

　　2．3 數據和系統(tǒng)安全防護

　　基礎數據安全防護技術主要包括傳統(tǒng)的數據隔離技術( 如訪問控制、防火墻等) ，數據防泄露技術、數據安全存儲技術。數據隔離設備部署在數控系統(tǒng)外部接口網絡、接入網總線、控制網總線之間，作為基礎防護手段，用于事前監(jiān)控、事中檢測。數據安全防護主要配合可信數據防護機制，對運行的數據，設置移動設備數據控制功能，存儲在移動設備上。一旦接入系統(tǒng)或遭遇不正常訪問，主動接通數據訪問監(jiān)控服務器，啟動訪問控制機制。DNC 數據服務器中的敏感數據配合信息保護域管理器進行安全存儲。系統(tǒng)運行基礎防護技術主要包括協(xié)議檢測、入侵檢測、惡意代碼檢測。系統(tǒng)安全防護主要配合可信防護和自治愈機制。在辦公網和 DNC 數控網絡部署入侵檢測/防御系統(tǒng)。對系統(tǒng)運行狀態(tài)實時監(jiān)控，對專用工業(yè)通信協(xié)議進行分析，發(fā)掘入侵線索，用于事后審計?？尚欧雷o予以拒絕的進程，由入侵檢測系統(tǒng)予以判斷，做出防御響應。同時收集惡意攻擊證據，用于事后審計。在攻擊威脅影響到數控機床的可用性時，啟動自治愈容錯恢復機制。

　　2．4 自治愈容錯

　　自治愈機制的原理是在攻擊發(fā)生的情況下，系統(tǒng)通過接受風險、反饋調整，使系統(tǒng)處于健康工作范圍內，從而實現(xiàn)對攻擊的免疫性。在數控機床網絡接口與交換系統(tǒng)上建立自治愈管理器。通過監(jiān)測系統(tǒng)運行狀態(tài)和行為來判斷系統(tǒng)的改變是否在可接受范圍，進而執(zhí)行相應的策略。檢測數控系統(tǒng)異常運行行為，監(jiān)測采集到的值抽象化，與數控系統(tǒng)功能屬性( 如可用性) 關聯(lián)，根據數控系統(tǒng)各個部件的約束評估值，推理確定數控系統(tǒng)是否運行在可接受范圍內，超出某個部件/網絡的閾值時，進行系統(tǒng)異常預警。同時，啟動自治愈響應機制，根據當前系統(tǒng)狀態(tài)需要達到的目標生成防御恢復策略和推理演化機制，通過恢復機制對違反系統(tǒng)約束的情況進行恢復，并反饋作用到運行系統(tǒng)上。容錯恢復主要是保障系統(tǒng)發(fā)生災難時仍能繼續(xù)提供服務的能力，或是能夠快速恢復被攻擊系統(tǒng)到正常狀況。冗余技術是最基本的容錯恢復技術，在數控機床網絡適量部署冗余機床，在數控機床網絡接口和交換網上部署軟件冗余模塊。同時啟動自檢技術，找到故障位置，屏蔽或隔離故障部件。系統(tǒng)改變和故障定位的過程信息以日志的形式記錄，存儲在審計服務器中，以備必要時審計。

　　2． 5 綜合防護機制

　　將前述分步建立的模型依次融合到數控系統(tǒng)事件生命周期中。主要將可信防護技術融入到事前實時監(jiān)控中，實現(xiàn)可信訪問控制; 將自治愈機制融合到事后容錯恢復中; 將數據安全防護技術與可信機制結合，保護事件周期中的數據安全; 將系統(tǒng)安全技術融合到事中檢測，配合可信機制，進行事后取證審計。

　　3、 數控系統(tǒng)安全綜合防護方案分析

　　3． 1 防護方案功能分析

　　所提方案可針對如下幾種攻擊的應對。惡意代碼攻擊: 利用數控網絡系統(tǒng)的硬件、軟件、協(xié)議漏洞進行惡意代碼攻擊。在綜合防護體系中，部署在外網和內網惡意代碼檢測機制可檢測惡意攻擊，可信訪問監(jiān)控可發(fā)現(xiàn)通過移動存儲設備的入侵，可信虛擬防護域基于完整性的訪問控制需求可阻斷惡意代碼攻擊，并預警或啟動自治愈修復。未授權訪問: 首先由安全隔離設備進行初步隔離，可信數據防護機制進行拒絕訪問操作，并提交審計服務器。信息泄露: 主要是內部網絡信息泄露，可依靠可信數據隔離環(huán)境、敏感數據安全保護域、對數據讀寫的認證來防護。根據操作日志，進行審計。拒絕服務攻擊: 主要針對 DNC 數控網絡中的系統(tǒng)服務器、DNC 傳輸服務器、接口交換機進行攻擊，使之不能正常工作或緩沖區(qū)溢出。綜合防護方案中主要通過協(xié)議檢測監(jiān)控訪問流量，通過可信計算平臺阻止非可信訪問請求。一旦數控機床出現(xiàn)故障，啟動自治愈機制中的冗余機制，保證可用性，同時利用自檢機制恢復故障。防護方案協(xié)同性: 當面臨各種攻擊時，綜合利用可信防護、數據和系統(tǒng)基礎防護、自治愈防護，協(xié)同防護數控系統(tǒng)。

　　(1) 防護方案的時間協(xié)同?？尚欧雷o用于事前監(jiān)控，實現(xiàn)可信訪問控制; 自治愈機制用于事后容錯恢復; 基礎數據安全防護配合可信數據防護，用于事中主動數據訪問控制; 基礎系統(tǒng)安全防護配合可信防護，對可信防護拒絕進程進行入侵檢測，收集攻擊證據，用于事后審計。在攻擊威脅到數控系統(tǒng)可用性時，啟動自治愈容錯恢復機制。

　　(2) 防護方案的空間協(xié)同。所提方案充分利用數控網絡架構不同資源屬性來部署防護技術，數控機床網絡實時性要求高，采用可信虛擬域隔離機制防止非授權訪問，并把針對數控機床的入侵防護機制部署在數控網絡中。一旦突破所有防護措施，啟動自治愈機制，隔離修復受損設備。在DNC數控網絡中，部署可信平臺、入侵防御監(jiān)控平臺，確保核心控制系統(tǒng)安全性。在辦公網中部署復雜可信網絡、入侵檢測、惡意代碼檢測等措施，確保外圍網絡可靠性。

　　3． 2 防護方案性能分析

　　所提防護方案相對典型的縱深防御方案，主要增加了可信防護模塊(T) 、自治愈模塊( S) 、與 IPS、惡意代碼檢測模塊的接口機制( I) ，其時間復雜度分別為f(t(T)) ，f(t(S)) ，f(t(I)) ，f是時間函數，事前監(jiān)控階段主要是可信防護模塊的持續(xù)監(jiān)控，所提防護方案( P) 的時間復雜度為 f(t(P) ) = f(t(T)) = O(n) ，n 為可信模塊部署數量。事中檢測階段包括可信防護檢測、數據和系統(tǒng)防護檢測、自治愈恢復?？尚啪W絡計算的復雜度為 O( n12) ，n1為傳輸節(jié)點數，可信數據防護機制的事件復雜度為 O( n) + O( 1) ，O( 1) 為偶爾的外部移動設備訪問監(jiān)控時間，自治愈恢復為 O(1) ，數據和系統(tǒng)防護的復雜度為 O( n) ，因此事中檢測階段 f( t( P) ) = f( t( T) ) + f( t( S) ) + f( t( I) ) = O(n12) +2O(n) + 2O(1) 。后審計取證階段的時間復雜度為O(1) 。空間復雜度主要是增加了可信管理服務器、自治愈管理服務器以及相應數據存儲服務器，空間復雜度為 3O( n) 。

　　3． 3 對比分析

　　相對于王琦魁等所提出數控加工網絡防護方案( 簡稱王方案) ，本文所提方案增加了可信防護、自治愈、以及系統(tǒng)協(xié)同防護模塊。王方案主要采用加工網絡邊界隔離設備和終端防護設備，配合審計和防護協(xié)議保護數控系統(tǒng)。在抗攻擊方面，王方案針對外部攻擊具有較好效果，但對惡意內部泄露攻擊防護較弱; 在效率方面，王方案通信內容深度檢查、細粒度訪問控制、主機入侵防御都需要模式匹配和計算，時間復雜度介于 O( n) 和O( n2) 之間，n 為計算實體數量。在防護效果方面，現(xiàn)場設備的深度檢查會降低可用性，對完整性破壞的防護措施沒有提及，對安全攻擊處置較為滯后。

　　相對于 Fadul 提出智能電網可信防護方案，本文所提方案更為全面。Fadul 方案利用基于信譽的信任管理系統(tǒng)來緩和針對未來智能電網設施脆弱性的攻擊，可信系統(tǒng)部署在智能電網通信支持防護系統(tǒng)中。在抗攻擊方面，F(xiàn)adul 方案由于信譽的反饋延時，抗突發(fā)攻擊能力較弱。在效率方面，信譽計算和信任管理需要多域的網絡社區(qū)參與迭代計算，時間復雜度接近O( n2) ，空間復雜度為 mn，m 為實體歷史向量長度，n為實體數量。在防護效果方面，基于信譽的惡意攻擊免疫機制和通信帶寬合理分配機制，使得具有較好的安全性，適宜的可用性，但完整性防護欠缺。

　　以上分析結果列于表 1 中，防護效果用三個級別的屬性值表示: “優(yōu)”、“中”、“差”，“差”表示相應的屬性未提及或效果較差。有一定效果，略顯不足為“中”?？构粜Ч譃?2 個狀態(tài): 可信和不可信。效率用時間復雜度表示。表 1 所示結果為以本文方法作為當前標準的相對性能，可以推測出本文所提方案的優(yōu)越性。

　　表 1 防護方案對比

　　3．4 實例分析

　　以高級持續(xù)性威脅 ( Advanced Persistent Threat，APT) 攻擊為例，分析所提綜合防護方案的有效性。

　　APT 攻擊靈活組合多種新型攻擊方法，對目標長時間滲透，在特定時刻實施攻擊。典型的針對數控系統(tǒng)的 APT 攻擊過程分為 5 個階段。①收集情報。利用社會工程，搜集并鎖定特定的數控機床。②突破防線。利用服務器漏洞、網站掛馬、釣魚軟件、移動客戶端漏洞，攻入辦公網主機，獲取受害主機的權限。③建立據點，橫向滲透。建立控制服務器到受害主機的信道并獲取系統(tǒng)權限，橫向探測辦公網系統(tǒng)和 DNC 網絡的結構和數據訪問規(guī)則，入侵更多主機，并規(guī)避被發(fā)現(xiàn)。④攻擊 DNC 系統(tǒng)服務器。模擬正常節(jié)點，連接DNC 系統(tǒng)服務器和 DNC 傳輸服務器，利用服務器漏洞，獲取系統(tǒng)代碼執(zhí)行權限。⑤完成攻擊。修改或破化控制數據，造成數控機床設備損壞或停機，并伴隨蹤跡銷毀等撤退策略。

　　所提綜合防護方案的防護主要分為 4 個階段:

　　第一階段，攻擊辦公網絡主機。在辦公網部署的防火墻、入侵檢測、惡意代碼檢測機制可阻斷部分入侵行為; 部署的可信網絡可根據節(jié)點長期歷史表現(xiàn)，隔離不可信主機。并提交取證審計模塊。

　　第二階段，橫向滲透攻擊。辦公網內的滲透通過上述入侵檢測和可信網絡隔離。針對 DNC 數控網絡的滲透采用協(xié)議檢測、數據訪問監(jiān)控、可信數據防護機制來監(jiān)控異常數據流，阻斷惡意節(jié)點對數控網內數據信息讀寫和對控制信息的截獲，并預警。

　　第三階段，攻擊 DNC 系統(tǒng)服務器。在服務器上部署的可信計算平臺通過完整性認證，拒絕惡意節(jié)點對操作系統(tǒng)的非預期控制，并確定數據篡改，實時預警;在 DNC 傳輸服務器上關聯(lián)的可信數據防護機制阻斷惡意指令的傳輸，并提交惡意代碼檢測服務器進一步檢測防御，進行取證審計。

　　第四階段，惡意行為繞過可信平臺，對設備進行攻擊。啟動虛擬隔離機制，隔離受害數控機床，控制攻擊范圍; 啟動自治愈機制，通過無故障冗余機床持續(xù)提供服務; 同時啟動自檢技術，屏蔽或隔離故障部件，并及時修復和審計。從而最大化消除 APT 攻擊的影響。按照圖 2 的基本結構搭建模擬環(huán)境，部署防護方案，模擬 APT 攻擊方式，配合各種滲透技術，入侵到DNC 數控網絡 20 次，以讀取和破壞 DNC 控制文件為攻擊目標。實驗結果顯示攻擊都被有效阻斷，第一階段攻擊阻斷概率( 阻斷的攻擊次數占比總攻擊次數)為 40% ，第二階段檢測概率為 30% ，最后 30% 都在第三階段被阻斷。綜上所述，所提出的綜合防護方案對 APT 攻擊具有較好的防護效果。

　　4 、結論

　　本文提出了一種數控機床自動化網絡系統(tǒng)安全綜合防護方案，有效解決了數控機床信息安全防護難題，相對于以往的方案具有更好的協(xié)同性和有效性。該方案可形成完整的過程防護，并自成體系，對 APT 有較好的防護效果。由于可信防護技術和自治愈的本質安全特點，該方案可部署在異構混雜的數控系統(tǒng)中。