艦船電站網(wǎng)絡控制系統(tǒng)可信性分析設計技術

張 峰，吳立金

(1.中國人民解放軍91404部隊,河北 秦皇島 066001；2.中國船舶集團有限公司 綜合技術經(jīng)濟研究院，北京 100081)

0 引言

當前，控制系統(tǒng)正向網(wǎng)絡化、分布化、智能化方向發(fā)展。分布式控制系統(tǒng)(DCS)、工業(yè)以太網(wǎng)、現(xiàn)場總線控制系統(tǒng)(FCS)均為典型的網(wǎng)絡控制系統(tǒng)。隨著網(wǎng)絡控制系統(tǒng)技術發(fā)展，封閉環(huán)境逐漸打破，功能安全和信息安全問題關聯(lián)交織，亟需考慮系統(tǒng)可信性[1]。例如，2013年“震網(wǎng)”蠕蟲病毒攻擊伊朗的鈾濃縮設備，造成伊朗核電站推遲發(fā)電。2014年土耳其境內(nèi)的伊拉克向土耳其輸出原油的輸油管道由于黑客關閉了報警、切斷了通信聯(lián)系，給管道內(nèi)的原油大量增壓，引發(fā)爆炸，然而在爆炸將管道破壞前，卻沒有引發(fā)一個遇險信號。2021年4月11日，“以色列網(wǎng)絡襲擊”使伊朗納坦茲核設施的電力系統(tǒng)發(fā)生故障。

可信性是系統(tǒng)需要時按要求執(zhí)行的能力包括可靠性、可用性、恢復性、維修性，以及在某種情況下如耐久性，安全性和安保等其他特性。艦船電站網(wǎng)絡控制系統(tǒng)是應用在裝備中的典型網(wǎng)絡控制系統(tǒng)，如何對應用在裝備中的網(wǎng)絡控制系統(tǒng)進行可信設計、提高系統(tǒng)安全運行能力，是當前裝備研制中面臨的重要問題。以艦船電站網(wǎng)絡控制系統(tǒng)為典型對象，面向網(wǎng)絡控制系統(tǒng)可信性技術現(xiàn)狀，從設備與控制系統(tǒng)、數(shù)據(jù)、網(wǎng)絡3方面分析了可信性需求，提出了對應的可信性設計技術，通過配置網(wǎng)絡內(nèi)部及其邊界防護方案，審計網(wǎng)絡中數(shù)據(jù)的使用、保證設備、系統(tǒng)和芯片的安全可控；實時感知內(nèi)部、外部的安全風險，建立響應恢復機制，及時應對可信威脅，為提升裝備網(wǎng)絡控制系統(tǒng)可信性提供技術支撐。

1 艦船電站網(wǎng)絡控制系統(tǒng)結構及原理

艦船電站網(wǎng)絡控制系統(tǒng)是一個集散型控制系統(tǒng)，由信息管理層、監(jiān)測控制層、現(xiàn)場設備層共3層構成,如圖1所示。

圖1 艦船電站網(wǎng)絡控制系統(tǒng)結構

艦船電站網(wǎng)絡控制系統(tǒng)原理是：現(xiàn)場設備層、監(jiān)測控制層通過現(xiàn)場總線技術形成分布式控制網(wǎng)絡，通過現(xiàn)場總線、信息集成等技術對發(fā)電機組進行運行控制、信息共享；信息管理層通過網(wǎng)關與現(xiàn)場總線連接，與控制設備交互信息[2]，通過網(wǎng)絡控制技術實現(xiàn)了艦船電站一體化管控[2-12]。

網(wǎng)絡控制協(xié)議在各種網(wǎng)絡控制系統(tǒng)中得到廣泛部署，如OPC協(xié)議、Modbus協(xié)議、DNP3協(xié)議、Profinet協(xié)議等，這些協(xié)議用于控制網(wǎng)絡的不同區(qū)域；提供不同的驗證數(shù)據(jù)完整性和可信性的方法，網(wǎng)絡控制系統(tǒng)常見的組網(wǎng)方式如表1所示。

表1 網(wǎng)絡控制系統(tǒng)組網(wǎng)方式

艦船電站網(wǎng)絡控制系統(tǒng)實時性、同步通信等特殊需求使其更容易受到干擾影響。網(wǎng)絡控制系統(tǒng)漏洞的類型分別廣泛，包括跨站腳本、數(shù)字錯誤、代碼注入等30多種，其中緩沖區(qū)溢出、輸入驗證和信息泄露是出現(xiàn)最多的漏洞類型[13-14]。當前，網(wǎng)絡控制系統(tǒng)中，針對控制協(xié)議的惡意軟件增多；對裝備的運行使用造成嚴重影響。隨著數(shù)據(jù)為中心(數(shù)據(jù)驅動、共享)的控制互聯(lián)，數(shù)據(jù)可信對裝備運行使用越來越重要。系統(tǒng)軟件、網(wǎng)絡技術從專有到通用，控制環(huán)境開放化(IT和OT融合)，控制系統(tǒng)、運行設備、智能終端等面臨嚴峻的安全可信挑戰(zhàn)?？尚庞嬎?、智能動態(tài)防御、擬態(tài)防御等可信防護技術也應運而生。

2 艦船電站網(wǎng)絡控制系統(tǒng)可信性分析技術

2.1 控制系統(tǒng)可信性需求分析

2.1.1 工業(yè)協(xié)議風險

Modbus、S7、OPC、IEC104、Profibus等工業(yè)協(xié)議在設計初期主要是為了保證生產(chǎn)的連通性和穩(wěn)定性，協(xié)議的應用、傳輸沒有加密措施，沒有認證措施，可信風險極大。

OPC(olefor process control)一項應用于自動化行業(yè)及其他行業(yè)的數(shù)據(jù)可信交換可互操作性標準，常用在現(xiàn)場總線的“上游”，作為其他協(xié)議與基于Windows的計算網(wǎng)絡之間的網(wǎng)關。OPC協(xié)議的可信缺陷主要有：

1)OPC使用DCOM與RPC技術，受到DCOM與RPC漏洞的影響，導致易受到攻擊[15-16]。

2)OPC運行于Windows系統(tǒng)，容易受到Windows漏洞的攻擊影響。

3)主機運行的可靠性影響OPC系統(tǒng)的可靠性。

4)OPC主機常使用弱可信認證機制和弱口令。

5)系統(tǒng)啟用了與控制系統(tǒng)無關的服務，導致非必須的進程和端口。

6)受限于維護等因素，網(wǎng)絡控制系統(tǒng)通常升級困難，不可信的授權機制在使用[6]。

Modbus一種串行通信協(xié)議，常用來連接監(jiān)控計算機和遠程終端控制系統(tǒng)(RTU)[17]。Modbus協(xié)議的可信缺陷主要有：

1)缺少認證的相關機制。Modbus采用TCP協(xié)議，已知目標IP時利用502端口可建立連接，當攜帶設備支持的功能碼，就能夠建立Modbus會話[18]。

2)缺乏數(shù)據(jù)加密。Modbus協(xié)議以明文的形式傳輸，通過抓包技術可獲取并解析處數(shù)據(jù)，可以偽造假冒的合法數(shù)據(jù)包對工控設備進行欺騙[19]。

3)缺乏數(shù)據(jù)檢驗，ModbusTCP實現(xiàn)中，檢驗和是在傳輸層而非應用層生成，使得假冒命令更加容易。

2.1.2 控制設備風險

國內(nèi)用的控制設備基本上來自西門子、AB、施耐德等國外廠商，這些控制設備設計的時候多數(shù)是為了實現(xiàn)功能，沒有相應的安全設置或相應的安全功能模塊[20]，存在較多漏洞，甚至后門，一旦被攻擊利用會導致嚴重后果。

2.1.3 應用軟件風險

網(wǎng)絡控制系統(tǒng)中使用的Sixnet、iFix、SIMATIC、HollySys等組態(tài)軟件存在大量的安全漏洞，嚴重影響安全運行[21]。

2.1.4 操作系統(tǒng)風險

操作員站、工程師站、工業(yè)服務器使用Windows系統(tǒng)，存在安全漏洞。并且考慮到工業(yè)系統(tǒng)運行的穩(wěn)定性，操作系統(tǒng)很少打補丁，容易遭受惡意攻擊。

2.1.5 人機操作風險

上位機操作人員具有較高操作權限，能夠執(zhí)行狀態(tài)變更、程序下裝、執(zhí)行操作等重要行為，當出現(xiàn)誤操作時會導致事故發(fā)生，造成損失。

2.1.6 管理意識風險

各項制度、規(guī)范、標準，將人和技術結合在一起，以確保技術防護手段能夠真正發(fā)揮作用。用戶安全意識不足是很多安全事件產(chǎn)生的根本原因。

裝備網(wǎng)絡控制系統(tǒng)應用嵌入式系統(tǒng)+微處理器+應用軟件的新模式，面臨攻擊范圍擴大、擴散速度增加、漏洞影響擴大等威脅[13]，應分別從設備可信、協(xié)議可信、軟件可信3方面采取可信性設計措施[3]。

2.2 控制數(shù)據(jù)可信性需求分析

控制數(shù)據(jù)可信保證數(shù)據(jù)在生命周期內(nèi)的機密性、完整性、可用性[4]。裝備網(wǎng)絡控制系統(tǒng)數(shù)據(jù)類型包括運行數(shù)據(jù)、用戶數(shù)據(jù)、設備數(shù)據(jù)、外部數(shù)據(jù)、基礎數(shù)據(jù)等，控制數(shù)據(jù)可信貫穿于整個裝備網(wǎng)絡控制系統(tǒng)架構。

從風險的位置看，數(shù)據(jù)可信風險包括內(nèi)部風險和外部風險。內(nèi)部風險主要源于內(nèi)部網(wǎng)絡、設備內(nèi)部、控制平臺內(nèi)部等，主要包括內(nèi)網(wǎng)健壯性以及內(nèi)網(wǎng)病毒風險等；外部風險主要源于外部網(wǎng)絡，包括外部攻擊、病毒入侵等。從風險產(chǎn)生的環(huán)節(jié)看，數(shù)據(jù)的感知、傳輸、存儲和處理都會受到不同的威脅。數(shù)據(jù)感知的主要威脅包括數(shù)據(jù)竊取、數(shù)據(jù)受損、節(jié)點故障、隱私侵犯等；數(shù)據(jù)傳輸?shù)闹饕{包括數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)破壞等；數(shù)據(jù)存儲和處理的主要威脅包括數(shù)據(jù)泄露、數(shù)據(jù)破壞等。

控制數(shù)據(jù)可信防護需要從數(shù)據(jù)可信管理、數(shù)據(jù)可信技術兩方面進行防護。

2.2.1 數(shù)據(jù)可信管理

建立裝備網(wǎng)絡控制系統(tǒng)全產(chǎn)業(yè)鏈數(shù)據(jù)可信管理體系，包括管理策略、分級分類的管理制度，明確數(shù)據(jù)可信包含的責任和目標。

1)數(shù)據(jù)可信管理策略：加強對裝備網(wǎng)絡控制系統(tǒng)數(shù)據(jù)的可信監(jiān)督檢查；加強數(shù)據(jù)各環(huán)節(jié)的可信防護能力；加大對管理者的數(shù)據(jù)可信意識培訓；定時定期對涉及數(shù)據(jù)的使用者進行檢查；及時對應用平臺、設備進行可信檢查、維護、升級。

2)數(shù)據(jù)分級分類制度：依照控制數(shù)據(jù)可信的重要性、可信目標、影響范圍與嚴重程度，將數(shù)據(jù)分為不同的敏感級：一般數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)。

3)明確數(shù)據(jù)可信責任和目標：管理者需要深入了解“四問”“四知”。四問：哪些數(shù)據(jù)需要保護、這些數(shù)據(jù)面對什么威脅、誰負責保護受威脅數(shù)據(jù)、如何保護受威脅數(shù)據(jù)。四知：知悉控制數(shù)據(jù)可信保護的政策、方法、要求和期望。

2.2.2 數(shù)據(jù)可信技術

構建數(shù)據(jù)可信技術體系，保證全生命周期的數(shù)據(jù)可信，具體包括：終端加密、認證機制、數(shù)據(jù)審計等數(shù)據(jù)感知技術；訪問控制、存儲加密、備份和恢復、數(shù)據(jù)分布地圖等數(shù)據(jù)存儲技術[22-23]；數(shù)據(jù)加密、安全技術保護、消息認證技術、數(shù)據(jù)識別技術、數(shù)據(jù)轉流審計及分布地圖等數(shù)據(jù)傳輸技術；使用授權、數(shù)據(jù)銷毀、數(shù)據(jù)脫敏等數(shù)據(jù)處理技術。

2.3 控制網(wǎng)絡可信性需求分析

控制網(wǎng)絡可信指工廠內(nèi)有線網(wǎng)絡、無線網(wǎng)絡的可信以及工廠外與用戶、協(xié)作系統(tǒng)等事項互聯(lián)的功能網(wǎng)絡可信。目前控制網(wǎng)絡可信風險主要包括：部分現(xiàn)有控制網(wǎng)絡已經(jīng)存在威脅；控制網(wǎng)、管理網(wǎng)以及上級管理網(wǎng)之間缺乏系統(tǒng)有效的防護策略，現(xiàn)有防火墻、網(wǎng)閘等形同虛設；控制網(wǎng)與管理網(wǎng)邊界不清晰，控制網(wǎng)存在多個數(shù)據(jù)出口且無防護措施；控制網(wǎng)絡普遍無審計措施；無線設備管理不完善，無線網(wǎng)絡可信問題較突出，面臨DoS攻擊、DDoS攻擊、假冒攻擊、中間人攻擊、跨異構網(wǎng)絡的網(wǎng)絡攻擊等。

網(wǎng)絡可信防護內(nèi)容具體可分為3類：

1)內(nèi)部網(wǎng)絡可信需求：區(qū)域劃分與隔離、數(shù)據(jù)傳輸完整性、網(wǎng)絡異常監(jiān)測、無線網(wǎng)絡攻擊的防護、網(wǎng)絡入侵防范、惡意代碼防范、網(wǎng)絡可信審計、數(shù)據(jù)傳輸保密性保護、網(wǎng)絡訪問控制。

2)外部網(wǎng)絡可信要求：數(shù)據(jù)傳輸完整性、數(shù)據(jù)傳輸保密性、網(wǎng)絡入侵防范、惡意代碼防范、網(wǎng)絡可信審計、網(wǎng)絡訪問控制、網(wǎng)絡集中管控。

3)邊界可信防護要求：網(wǎng)絡邊界隔離、網(wǎng)絡邊界訪問控制、網(wǎng)絡邊界可信審計、網(wǎng)絡邊界惡意代碼防范。

3 艦船電站控制系統(tǒng)可信性設計技術

3.1 設備可信性設計技術

3.1.1 操作系統(tǒng)/應用軟件可信設計

1)固件可信增強，可從操作系統(tǒng)內(nèi)核、協(xié)議棧等方面進行可信增強，阻止惡意代碼傳播與運行，力爭實現(xiàn)設備固件的自主可控。

2)漏洞修復，對工業(yè)現(xiàn)場常見的設備進行漏洞掃描與挖掘，發(fā)現(xiàn)操作系統(tǒng)和應用軟件中存在的安全漏洞，并及時進行修復。

3)補丁升級，針對網(wǎng)絡控制系統(tǒng)現(xiàn)場設備的安全漏洞，及時采取補丁升級措施，并在補丁安裝前對補丁進行嚴格的可信評估和測試驗證。

3.1.2 硬件可信設計

1)硬件可信增強，利用可信芯片或可信固件作為信任根，為現(xiàn)場設備安全啟動、數(shù)據(jù)安全傳輸提供支持和保護[5]。

2)運維監(jiān)測控制，部署在機組主控DCS系統(tǒng)等重要控制系統(tǒng)的操作員站、工程師站、歷史站，對外部存儲設備、USB接口設備識別與管控[24]。

3.2 系統(tǒng)可信性設計技術

圖2 艦船電站軟件可信性設計技術

3.2.1 協(xié)議可信設計

1)身份認證：在控制協(xié)議通信過程中加入認證方面的約束，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程可信。

2)訪問控制：建立基于角色的訪問機制，對用戶權限進行劃分。

3)傳輸加密：采用加密措施保證通信雙方的信息不被第三方獲取。

4)健壯性測試：控制協(xié)議應用到工業(yè)現(xiàn)場之前通過健壯性測試，如風暴測試、飽和測試、語法測試、模糊測試等。

3.2.2 應用可信防護

1)權限設置：不同的應用程序應根據(jù)不同的對象設置不同的權限，以最小權限完成的相關任務。

2)病毒防護：應用程序應該具有查殺病毒、木馬等檢測手段，做好預防和恢復相關措施。

3)防止篡改：利用完整性校驗技術對程序校驗，及時發(fā)現(xiàn)應用程序的篡改情況；對軟件重要代碼進行加密。

4)協(xié)議過濾：通過防火墻技術對協(xié)議數(shù)據(jù)過濾，對通信內(nèi)容進行監(jiān)測跟蹤。

5)補丁升級：應用程序的變更、升級應經(jīng)過嚴格測試，并有回退計劃，重要補丁應盡快測試、部署。

3.3 軟件可信性設計技術

軟件可信性設計方法主要包括避錯設計、容錯設計、排錯設計、預錯設計等。避錯設計是傳統(tǒng)的可靠性設計技術，體現(xiàn)了以預防為主的思想，貫穿于軟件開發(fā)的全過程，主要方法由結構化設計、貫徹相關設計標準和編碼標準等。避錯是艦船電站網(wǎng)絡控制系統(tǒng)軟件可信性的基本方法，但只能達到一定的限度。要想進一步提高可信性，需要進行容錯設計。軟件容錯設計是在系統(tǒng)存在故障的情況下，發(fā)現(xiàn)故障并糾正故障，使系統(tǒng)運行不受影響，或將故障影響降到可接受范圍，設計方法主要錯誤檢測、錯誤處理、錯誤恢復等。排錯設計主要是在開發(fā)階段進行排錯和運行階段進行校正性維護與預防性維護。預錯主要通過定性的等級評價或定量的概率評價對故障進行預測。軟件可信性設計技術如圖2所示。

4 艦船電站控制數(shù)據(jù)可信性設計技術

4.1 數(shù)據(jù)分級分類要求

對數(shù)據(jù)內(nèi)容的理解，并對數(shù)據(jù)進行分級分類；根據(jù)數(shù)據(jù)類別和密級對需要保護的數(shù)據(jù)進行定位和標記；根據(jù)數(shù)據(jù)類別和密級，結合數(shù)據(jù)的創(chuàng)建者、流轉情況、分布情況、使用方式分析數(shù)據(jù)的風險情況及信任情況；根據(jù)不同風險和信任情況制定出多樣的響應方式對數(shù)據(jù)進行保護[14]。

數(shù)據(jù)分級分類主要依照控制數(shù)據(jù)可信的重要性、可信目標、影響范圍與嚴重程度，將互聯(lián)網(wǎng)相關數(shù)據(jù)分為不同的敏感級：一般數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)。

1)一般數(shù)據(jù)：裝備控制數(shù)據(jù)發(fā)生泄露時，對與裝備網(wǎng)絡控制系統(tǒng)相關的生產(chǎn)商、服務提供商、用戶等造成一定影響，但不會對財產(chǎn)和人身安全構成危害，影響范圍與程度有限。

2)重要數(shù)據(jù)：數(shù)據(jù)一旦泄露，會對裝備網(wǎng)絡控制系統(tǒng)運行造成較大影響，在一定范圍內(nèi)影響經(jīng)濟消息或造成財產(chǎn)損失，或對用戶的人身和財產(chǎn)造成較大影響，或產(chǎn)生安全事故。

3)敏感數(shù)據(jù)：裝備網(wǎng)絡控制系統(tǒng)的數(shù)據(jù)活動中，與軍事利益密切相關，或關系到裝備隱私，一旦未經(jīng)授權泄露、丟失、濫用、篡改或銷毀，造成嚴重后果，嚴重影響裝備實戰(zhàn)能力或產(chǎn)生重大安全事故。

數(shù)據(jù)分級分類通過調(diào)研訪談對樣本采樣，通過機器學習對樣本進行聚類分析，分析數(shù)據(jù)實現(xiàn)分級分類，提取特征進行策略應用。

4.2 數(shù)據(jù)可信性設計技術

敏感數(shù)據(jù)可信處理主要是：對敏感數(shù)據(jù)進行加密處理；對敏感數(shù)據(jù)的外傳進行提請審批；對敏感數(shù)據(jù)外傳進行阻斷處理；對敏感數(shù)據(jù)的外傳進行多種方式告警；對敏感數(shù)據(jù)外傳的詳情進行審計；對存儲的敏感數(shù)據(jù)進行轉發(fā)和移動/刪除。具體設計技術為：

1)數(shù)據(jù)監(jiān)控，監(jiān)控所有TCP/UDP網(wǎng)絡鏈接，分析應用協(xié)議所傳輸?shù)膬?nèi)容，發(fā)現(xiàn)并記錄可能違反數(shù)據(jù)可信策略的時間，監(jiān)控網(wǎng)絡數(shù)據(jù)流向、終端數(shù)據(jù)流向等。

2)網(wǎng)絡保護，對HTTP和HTTPS協(xié)議的網(wǎng)絡數(shù)據(jù)流量實施進行內(nèi)容恢復和掃描，進行審計和阻斷。

3)終端保護，掃描并發(fā)現(xiàn)終端上的敏感信息分布和不當存儲，監(jiān)控對敏感數(shù)據(jù)的使用并進行實時保護。

4)數(shù)據(jù)發(fā)現(xiàn)，掃描各類服務器及存儲，結合終端保護模塊可對終端進行掃描，生成敏感信息分布熱力圖、數(shù)據(jù)分布地圖，對敏感數(shù)據(jù)定位。

5)數(shù)據(jù)管理，基于Web界面的綜合管理平臺，可配置基于用戶角色的數(shù)據(jù)防泄露策略和系統(tǒng)管理選項。管理平臺可視化程序敏感數(shù)據(jù)分布狀況好可信態(tài)勢，可生成泄露事件日志和報表，幫助用戶采取進行審核、審計和補救措施。

4.3 數(shù)據(jù)可信性檢查驗證要求

軟件設計要素之一的數(shù)據(jù)設計包括數(shù)據(jù)庫、數(shù)據(jù)文件和全局數(shù)據(jù)結構的定義，是確定整個系統(tǒng)和軟件所有數(shù)據(jù)的關鍵階段。設計數(shù)據(jù)分析評價在該軟件設計中每個數(shù)據(jù)項的描述和預期的使用。數(shù)據(jù)分析確保數(shù)據(jù)的結構和預期的使用將不違反安全性需求。在執(zhí)行設計數(shù)據(jù)分析中使用的一項技術是將該設計邏輯中的每一個數(shù)據(jù)項的描述同其使用進行比較。共享存儲器和動態(tài)存儲器分配可能影響到數(shù)據(jù)的完整性，還應該保護數(shù)據(jù)項不被未授權的應用程序覆蓋。軟件數(shù)據(jù)設計分析驗證檢查單如表2所示。

5 艦船電站控制網(wǎng)絡可信性設計技術

5.1 網(wǎng)絡可信性設計技術

網(wǎng)絡可信性設計技術主要通過網(wǎng)絡與邊界的劃分隔離、訪問控制、機密性與完整性保護、異常監(jiān)測、入侵防范、可信審計等方式保證，網(wǎng)絡信息傳輸?shù)目尚判?。網(wǎng)絡可信防護重點關注控制系統(tǒng)與信息系統(tǒng)之間，對內(nèi)部云平臺的訪問，接入云平臺、信息系統(tǒng)、工業(yè)控制系統(tǒng)的設備，接入云平臺的智能產(chǎn)品、智能終端等。具體技術包括：

1)網(wǎng)絡隔離技術:通過專用物理硬件和安全協(xié)議在不同網(wǎng)絡之間架構器安全隔離網(wǎng)墻，使兩個系統(tǒng)在空間上物理隔離，同時又能過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等信息，常用工具包括防火墻、網(wǎng)閘、物理隔離卡、安全路由等[7]。

2)加解密技術:加密技術是網(wǎng)絡可信防護的一項重要保密措施，利用技術手段把重要數(shù)據(jù)變?yōu)閬y碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)，加密技術包括兩個元素：算法和密鑰。常用的攻擊包括密碼算法、安全協(xié)議、VPN等。

3)認證技術:認證技術是確認操作者身份的過程而產(chǎn)生的有效解決方法。所有對用戶的授權是針對用戶數(shù)字身份的授權，認證手段包括基于信息秘密的身份認證(如靜態(tài)密碼)、基于生物特征的身份認證(如生物識別)、基于信任物體的身份認證(如智能卡、短信秘密、動態(tài)口令、數(shù)字簽名等)[8]。

表2 數(shù)據(jù)可信性分析驗證檢查單

4)入侵檢測技術:入侵檢測是通過對行為、安全日志或審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖，作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等[23]。常用攻擊包括基于協(xié)議的入侵檢測、基于異常行為的入侵檢測、基于特征的入侵檢測等[9]。

5)惡意代碼防護技術:常見的惡意代碼包括計算機病毒、特洛伊木馬、計算機蠕蟲、后門、邏輯炸彈等。惡意代碼防護技術主要包括基于主機的惡意代碼防護技術和基于網(wǎng)絡的惡意代碼防護技術。

6)監(jiān)測審計技術:監(jiān)測技術包括數(shù)據(jù)采集技術、關聯(lián)分析技術、預警技術，審計技術包括邏輯命令自動識別技術、正則表達式匹配技術、會話重建技術、多線程協(xié)議還原技術等。

5.2 某控制網(wǎng)絡典型可信防護措施

針對某型裝備控制網(wǎng)絡，根據(jù)網(wǎng)絡特性，制定了以下的典型可信防護措施：

1)優(yōu)化網(wǎng)絡結構，通過在關鍵網(wǎng)絡節(jié)點和標識解析節(jié)點采用雙機熱備和負載均衡技術，通過合理的網(wǎng)絡結構和設置提高網(wǎng)絡的靈活性和可擴展性[10]。

2)網(wǎng)絡可信接入，接入網(wǎng)絡的設備具有唯一標識，網(wǎng)絡對接入的設備進行身份認證。

3)網(wǎng)絡可信邊界，根據(jù)重要程度將整個網(wǎng)絡劃分為不同的可信域，形成縱深防御體系。

4)網(wǎng)絡可信傳輸，利用加密技術防止非法竊取，采取校驗機制保障篡改被有效甄別。

5)設備可信防護，網(wǎng)絡設備與標識解析節(jié)點啟用安全登錄方式，對遠程登錄的源地址限制，對登錄用戶進行身份鑒別，登錄過程采取完備的登錄失敗處理措施。

6)可信監(jiān)測審計，通過漏洞掃描工具等探測系統(tǒng)漏洞，及時預警；記錄設備運行信息和用戶活動，對安全事件告警；監(jiān)測內(nèi)部人員錯誤操作或越權操作，及時告警。

6 結束語

艦船電站網(wǎng)絡系統(tǒng)信息技術(IT)與操作技術(OT)融合，控制范圍從局部擴展到全局，并且控制監(jiān)測上移、實時控制下移，信息安全與功能安全交織，危害范圍擴大、程度加深。然而，艦船電站網(wǎng)絡控制系統(tǒng)在安全可信方面的測評標準體系尚不完善，網(wǎng)絡、設備、系統(tǒng)的可信防護變得尤為重要[11]，并且艦船電站網(wǎng)絡控制系統(tǒng)是應用于裝備上的系統(tǒng)，由于軍事使用需求，在可信性設計方面需要將“風險”與“可信”進行平衡，以滿足裝備實時性、易用性、可靠性等使用需求，強調(diào)信任則會提高風險，強調(diào)風險則會較低效率。因此，艦船電站網(wǎng)絡控制系統(tǒng)在研制過程中，應針對不同的數(shù)據(jù)和不同的使用場景，進行風險分析、可信設計，配合自適應的可信防護響應機制來實現(xiàn)。網(wǎng)絡控制系統(tǒng)可信防護理念是：1)可知，風險評估、安全培訓、形勢跟蹤；2)安全，安全應用、安全設備、安全網(wǎng)絡；3)可管，管理制度、管理措施、管理水平；4)可防，主機防護、邊界防護、網(wǎng)絡防護。通過分析了裝備網(wǎng)絡控制系統(tǒng)可信性需求，提出了對應的可信性設計措施，為艦船電站網(wǎng)絡控制系統(tǒng)以及其他裝備中的網(wǎng)絡控制系統(tǒng)開展可信性防護設計提供了技術支持。