面向TSN工控系統(tǒng)的安全策略沖突消解方法

關(guān)鍵詞：時間敏感網(wǎng)絡(luò)工控系統(tǒng)；信息安全；功能安全；沖突消解

中圖分類號：ＴＰ３９３．０８ 文獻標(biāo)志碼：Ａ DOI：１０．１２３０５／ｊ．ｉｓｓｎ．１００１-５０６Ｘ．２０２４．１２．２１

０引言

工業(yè)控制系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施的大腦，其安全、穩(wěn)定運行是保證國家經(jīng)濟正常運轉(zhuǎn)的基礎(chǔ)。為保證工控系統(tǒng)的功能安全，國際電工委員會制訂了ＩＥＣ６１５０８［１］功能安全標(biāo)準(zhǔn)，為系統(tǒng)功能安全全生命活動周期提供了框架。在工業(yè)互聯(lián)網(wǎng)的背景下，工控系統(tǒng)逐步由封閉走向開放，并成為黑客網(wǎng)絡(luò)攻擊新的目標(biāo)，對國家經(jīng)濟基礎(chǔ)設(shè)施和人民生活保障設(shè)施等造成了巨大的威脅。為了確保工控系統(tǒng)的信息安全，國際電工委員會制定了ＩＥＣ６２４４３［２］工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)，其目標(biāo)是從根本上減少工控網(wǎng)絡(luò)安全風(fēng)險的發(fā)生，降低工控網(wǎng)絡(luò)安全風(fēng)險的影響。需要注意的是，工控系統(tǒng)是典型的信息物理系統(tǒng)（ｃｙｂｅｒｐｈｙｓｉｃａｌｓｙｓｔｅｍｓ，ＣＰＳ），包括信息空間和物理空間，且信息域和物理域是耦合的，這就決定了工控系統(tǒng)的安全防護需要覆蓋系統(tǒng)各個層級，將系統(tǒng)的信息安全和功能安全進行一體化考慮。在實際系統(tǒng)中，信息安全策略和功能安全策略可能存在沖突，為了實現(xiàn)工控系統(tǒng)信息安全和功能安全的一體化，必須解決二者之間的沖突問題。

近年來，許多學(xué)者對工控系統(tǒng)中信息安全和功能安全一體化問題進行了探索。Ｋｒｉａａ等［３］指出，信息安全與功能安全之間有相互促進、相互沖突、相互獨立３種關(guān)系，實現(xiàn)信息安全與功能安全一體化有融合和集成兩種方法。Ｓｔｏｎｅｂｕｒｎｅｒ［４］提出一種融合信息安全與功能安全的框架，該框架結(jié)合美國國家標(biāo)準(zhǔn)與技術(shù)研究所的信息安全風(fēng)險分級法和美國聯(lián)邦航空管理局的功能安全風(fēng)險分級法，統(tǒng)一定義信息安全隱患和功能安全威脅中的“事件”一詞，并提出一種分類方法。Ｐａｓｑｕｉｎｉ等［５］提出一種集成方法，首先單獨分析信息安全和功能安全的要素，并確定各自的需求，然后將功能安全的需求引入信息安全分析中；反之亦然，分析二者的相互作用，并找出可能存在的沖突，最終采取相應(yīng)措施，實現(xiàn)信息安全和功能安全的一體化。Ｘｉｏｎｇ等［６］對信息安全與功能安全之間的區(qū)別與聯(lián)系進行詳細分析，提出一個實現(xiàn)信息安全與功能安全整合初步描述的框架。Ｈｏｌｌｅｒｅｒ等［７］從潛在風(fēng)險和現(xiàn)場管理人員這些要素著手進行分析，以解決在運營技術(shù)（ｏｐｅｒａｔｉｏｎａｌｔｅｃｈｎｏｌｏｇｙ，ＯＴ）系統(tǒng)進行風(fēng)險管理時的信息安全與功能安全沖突問題。Ｍｅ-ｎｏｎ等［８］提出一個圍繞開發(fā)和部署生命周期展開的分類體系，概述信息安全與功能安全之間的常見沖突領(lǐng)域，并基于防御深度共享原則的概念和解決方法進行討論。Ｚｈｏｕ等［９］對工控系統(tǒng)信息安全和功能安全的沖突消解，提出優(yōu)先確保工控系統(tǒng)功能安全的方法。胡博文等［１０］對信息安全已知沖突和未知沖突進行識別，并基于優(yōu)先確保功能安全思路提出針對已知沖突的消解方式。靳江紅等［１１］提出基于作用域及策略動作實現(xiàn)信息安全與功能安全沖突識別的方法。以上研究雖然對比了不同的安全策略并提供了消解安全策略沖突的思路，但是安全策略需要通過具體的安全任務(wù)來落實，上述研究并未考慮安全策略實施的可行性等問題。

關(guān)于如何合理地分配和編排安全任務(wù)以確保安全策略的實施，目前有一些研究工作關(guān)注于解決安全任務(wù)調(diào)度問題。Ｌｅｉｖａｄｅａｓ等［１２］以最小化端到端時延為優(yōu)化目標(biāo)，提出基于親和度的方法（ａｆｆｉｎｉｔｙ-ｂａｓｅｄａｐｐｒｏａｃｈ，ＡＢＡ）以解決服務(wù)功能鏈（ｓｅｒｖｉｃｅｆｕｎｃｔｉｏｎｃｈａｉｎ，ＳＦＣ）編排問題，并與貪婪算法比較，得出的結(jié)論是ＡＢＡ 算法不僅效率更高，并且計算出的端到端時延更小。然而，該研究假設(shè)ＳＦＣ 請求到達服從泊松分布，將服務(wù)器處理網(wǎng)絡(luò)虛擬功能（ｎｅｔｗｏｒｋｖｉｓｕａｌｉｚｅｄｆｕｎｃｔｉｏｎ，ＶＮＦ）隊列建模為Ｍ／Ｍ／１排隊模型，將端口轉(zhuǎn)發(fā)建模為Ｍ／Ｄ／１排隊模型，僅適用于特定場景［１３］。劉藝［１４］以最小化安全服務(wù)時延為優(yōu)化目標(biāo)，將ＳＦＣ 編排問題轉(zhuǎn)化為帶容量約束的多商品流問題，使用基于混合禁忌搜索的服務(wù)路徑優(yōu)化算法進行求解。然而，該研究工作只考慮了鏈路傳輸時延，忽略了服務(wù)器處理時延，不適用于對時延敏感的應(yīng)用場景。黃睿等［１５］提出基于貪心算法的資源分配方案和基于混合蜂群算法的資源調(diào)度方案以避免沖突，減少等待時延。張奇［１６］為解決沖突問題，設(shè)計策略沖突決策算法和網(wǎng)絡(luò)流調(diào)度算法，通過設(shè)定優(yōu)先級解決策略沖突，以保證虛擬網(wǎng)絡(luò)功能序列的正確編排。王澤南等［１７］使用混合整數(shù)非線性規(guī)劃的方法構(gòu)建服務(wù)鏈以解決在對時延上限有需求的網(wǎng)絡(luò)中，數(shù)據(jù)流傳輸時延過長而造成的丟包問題。劉璐等［１８］針對工控系統(tǒng)中智能儀表協(xié)調(diào)調(diào)度要求，設(shè)計靜態(tài)動態(tài)混合調(diào)度算法，以實現(xiàn)任務(wù)一體化實時調(diào)度?？傮w而言，現(xiàn)有針對安全任務(wù)調(diào)度的研究工作是在選定安全任務(wù)的基礎(chǔ)上進行編排，而沒有考慮安全任務(wù)選擇的問題。

作為下一代工業(yè)網(wǎng)絡(luò)演進方向的時間敏感網(wǎng)絡(luò)（ｔｉｍｅｓｅｎｓｉｔｉｖｅｎｅｔｕｏｒｋｉｎｇ，ＴＳＮ）技術(shù)遵循標(biāo)準(zhǔn)的工業(yè)以太網(wǎng)協(xié)議體系，在通過ＩＥＥＥ８０２．１ＡＳ［１９］ （時間同步協(xié)議）、ＩＥＥＥ８０２．１Ｑｂｖ［２０］（時間感知調(diào)度協(xié)議）等流量調(diào)度機制保證不同業(yè)務(wù)流確定性時延的同時，實現(xiàn)標(biāo)準(zhǔn)、開放的數(shù)據(jù)鏈路層轉(zhuǎn)發(fā)，從而打破傳統(tǒng)工業(yè)網(wǎng)絡(luò)眾多制約的壁壘［２１］。ＴＳＮ 技術(shù)與工控系統(tǒng)的結(jié)合即為ＴＳＮ 工控系統(tǒng)，ＴＳＮ 工控系統(tǒng)具有多業(yè)務(wù)流共網(wǎng)傳輸、確定性服務(wù)等特點［２２］。和傳統(tǒng)工控系統(tǒng)相比，ＴＳＮ 工控系統(tǒng)安全邊界更加模糊，面臨的信息安全威脅更多［２３］，因此信息域和控制域融合的扁平化結(jié)構(gòu)塊需要采取多種信息安全防御策略和手段。目前，有研究工作圍繞ＴＳＮ 網(wǎng)絡(luò)和信息安全融合展開，Ｗａｎｇ等［２４］對ＴＳＮ 協(xié)議和攻擊者進行形式化建模，使用時間自動機挖掘漏洞，并通過實驗證明現(xiàn)有的ＴＳＮ 協(xié)議對中間人攻擊、重放攻擊和拒絕服務(wù)（ｄｅｎｉａｌｏｆｓｅｒｖｉｃｅ，ＤｏＳ）攻擊無保護作用。Ｐｅｎａ等［２５］和Ｄｉｋ等［２６］從ＴＳＮ 技術(shù)和硬件設(shè)備融合著手，設(shè)計使二者兼容的服務(wù)架構(gòu)。Ｓｅｔｈｉ等［２７］分析５Ｇ ＴＳＮ 網(wǎng)絡(luò)的脆弱性，并提出解決方案以避免該ＴＳＮ 網(wǎng)絡(luò)遭受攻擊。這些工作都是圍繞漏洞分析以及針對這些漏洞提出對應(yīng)的安全策略而展開，未考慮安全任務(wù)調(diào)度的問題。Ｌｉ等［２８］提出軟件定義ＴＳＮ 架構(gòu)，構(gòu)建時間同步安全功能，為ＶＮＦ提供服務(wù)，并使用ＶＮＦ 處理精密時間協(xié)議（ｐｒｅｃｉｓｉｏｎｔｉｍｅｐｒｏｔｏｃｏｌ，ＰＴＰ）延遲攻擊。Ｚｈａｎｇ等［２９］針對支持網(wǎng)絡(luò)功能虛擬化（ｎｅｔｗｏｒｋｆｕｎｃｔｉｏｎｖｉｓｕａｌｉｚａｔｉｏｎ，ＮＦＶ）的ＴＳＮ 網(wǎng)絡(luò)提出ＳＦＣ調(diào)度方案。然而，這些研究工作未考慮到不同種類業(yè)務(wù)流具有不同的實時性要求，而滿足多業(yè)務(wù)流共網(wǎng)傳輸是ＴＳＮ 工控系統(tǒng)功能安全的重要組成部分之一。不合理的安全策略、不合理的安全策略執(zhí)行和不合理的安全任務(wù)編排，都有可能影響業(yè)務(wù)流的實時傳輸，導(dǎo)致ＴＳＮ工控系統(tǒng)中信息安全性與功能實時性之間產(chǎn)生沖突。因此，相對于傳統(tǒng)工控系統(tǒng)，ＴＳＮ工控系統(tǒng)中信息安全與功能安全之間的沖突識別與消解更具挑戰(zhàn)性。合理制定信息安全策略、執(zhí)行信息安全任務(wù)以及平衡信息安全性和功能實時性要求，是確保ＴＳＮ工控系統(tǒng)信息安全和功能安全的關(guān)鍵因素。

當(dāng)前，研究普遍沒有從安全策略與安全任務(wù)兩個層面綜合考慮ＴＳＮ工控系統(tǒng)中信息安全與功能安全一體化問題，這意味著安全策略向安全任務(wù)轉(zhuǎn)換的策略解析過程尚不明確。除此之外，工控系統(tǒng)中信息安全與功能安全之間的量化指標(biāo)不統(tǒng)一，ＴＳＮ工控系統(tǒng)中的安全策略與安全任務(wù)尚未明確。針對以上問題，本文提出沖突識別與消解方案，將在下文中對該方案進行闡述。本文結(jié)構(gòu)安排如下：第１節(jié)對信息安全策略與功能安全策略安全指標(biāo)進行統(tǒng)一量化，在此基礎(chǔ)上對安全策略與安全任務(wù)進行統(tǒng)一的形式化建模。第２節(jié)在安全策略與安全任務(wù)模型的基礎(chǔ)上，提出雙粒度融合的沖突識別與消解多步方法框架，首先在策略決策層面對信息安全策略與功能安全策略進行粗粒度的沖突識別與消解；接著在任務(wù)調(diào)度層面使用策略解析時延預(yù)估閉環(huán)優(yōu)化方法得到無沖突的任務(wù)調(diào)度方案。第３ 節(jié)以ＴＳＮ數(shù)控系統(tǒng)為研究對象，驗證本文沖突消解方法的可行性。本文方法綜合考慮ＴＳＮ 工控系統(tǒng)中安全策略生成階段產(chǎn)生的沖突問題與安全任務(wù)部署階段產(chǎn)生的可調(diào)度性問題，并使用策略解析時延預(yù)估閉環(huán)優(yōu)化方法，在獲得無沖突策略組合的前提下得到最優(yōu)調(diào)度方案。本文所提方法適用于對時延敏感的工控系統(tǒng)場景，為后續(xù)ＴＳＮ工控系統(tǒng)安全性研究提供理論支撐。

１信息安全與功能安全的安全策略的統(tǒng)一量化和形式化建模

在ＴＳＮ工控系統(tǒng)中，信息安全策略和功能安全策略是其穩(wěn)定運行的重要保障。信息安全策略使用網(wǎng)絡(luò)訪問控制、入侵檢測、身份加密和認證等手段，保障工控系統(tǒng)數(shù)據(jù)的完整性、保密性和可用性等。功能安全策略著重設(shè)計和實施系統(tǒng)功能，以防止由人為錯誤引發(fā)的事故或故障，避免衛(wèi)生、安全和環(huán)境（ｈｅａｌｔｈ，ｓａｆｅｔｙａｎｄｅｎｖｉｒｏｎｍｅｎｔ，ＨＳＥ）事故的發(fā)生。這兩種安全策略基于不同的目的、依照不同的文件制定，因此有著不同的評價指標(biāo)。

１．１安全指標(biāo)的統(tǒng)一量化

ＩＥＣ６２４４３［２］將信息的安全等級（ｓｅｃｕｒｉｔｙｌｅｖｅｌ，ＳＬ）分為３類，分別為能力安全級別ＳＬ-Ｃ（ｃａｐａｂｉｌｉｔｉｅｓ），即設(shè)備能夠支持達到的安全級別；目標(biāo)安全級別ＳＬ-Ｔ（ｔａｒｇｅｔ），即設(shè)備應(yīng)根據(jù)系統(tǒng)風(fēng)險評估達到的安全級別；實現(xiàn)安全級別ＳＬ-Ａ（ａｃｈｉｅｖｅｄ），即實際達到的安全級別。策略決策的沖突識別與消解應(yīng)當(dāng)考慮信息安全的目標(biāo)安全級別。

ＳＬ共有７個評價維度包括身份和授權(quán)控制（ｉｄｅｎｔｉｆｉｃａ-ｔｉｏｎａｎｄａｕｔｈｏｒｉｔｙｃｏｎｔｒｏｌ，ＩＡＣ）、使用控制（ｕｓａｇｅｃｏｎｔｒｏｌ，ＵＣ）、系統(tǒng)完整性（ｓｙｓｔｅｍｉｎｔｅｇｒｉｔｙ，ＳＩ）、數(shù)據(jù)保密性（ｄａｔａｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ，ＤＣ）、受限數(shù)據(jù)流（ｒｅｓｔｒａｉｎｅｄ ｄａｔａｆｌｏｗ，ＲＤＦ）、事件的實時響應(yīng)（ｔｒｕｅ-ｔｉｍｅｒｅｓｐｏｎｓｅ ｏｆｅｖｅｎｔ，ＴＲＥ）、資源可用性（ｒｅｓｏｕｒｃｅａｖａｉｌａｂｉｌｉｔｙ，ＲＡ），如表１ 所示。同時，ＳＬ被分為４個等級，評判標(biāo)準(zhǔn)如表２所示。

ＩＥＣ６１５０８［１］將功能安全完整性等級（ｓａｆｅｔｙｉｎｔｅｇｒｉｔｙｌｅｖｅｌ，ＳＩＬ）的評價場景分為兩類：低需求模式和持續(xù)需求模式。在低需求模式中，確定ＳＬ 需要需求率，即因設(shè)備失效被需求的概率（ｐｒｏｂａｂｉｌｉｔｙｏｆｆａｉｌｕｒｅｏｎｄｅｍａｎｄ，ＰＦＤ）的平均值ＰＦＤ_ａｖｇ，如表３所示。

在持續(xù)需求模式中，確定ＳＬ需要計算故障率犺，即每小時的風(fēng)險發(fā)生平均頻率，等級的確定如表４所示。

考慮到信息安全ＳＬ和功能ＳＬ雖然都劃分為４個等級，但是定級的標(biāo)準(zhǔn)不一，本文使用模糊層次分析法［２２］進行一體化描述，具體如圖１所示。在圖１中，ＴＳＮ 工控系統(tǒng)安全策略評價體系一共有３層。第１層為總安全指標(biāo)犛，第２層為信息安全指標(biāo)Ｓｅ （ｓｅｃｕｒｉｔｙ）與功能安全指標(biāo)Ｓａ（ｓａｆｅｔｙ），第３層為由信息安全或功能安全的各個評價維度確定的信息ＳＬＳＩＬ或功能ＳＬＳＩＬ。

３．２．２細粒度沖突識別與消解

表９中信息安全策略可選擇的安全任務(wù)如表１０所示。

為了驗證策略解析時延預(yù)估優(yōu)化閉環(huán)的有效性，本文設(shè)系統(tǒng)總體安全指標(biāo)權(quán)值ω狊為０．２，總體時延指標(biāo)權(quán)值ω狋為０．８，運用粒子群算法尋找式（１５）的近似最優(yōu)解。算法將種群數(shù)設(shè)為１０，迭代次數(shù)設(shè)為１０，統(tǒng)計每一輪迭代中種群中總體指標(biāo)犠的值。統(tǒng)計后總體指標(biāo)犠的變化趨勢如圖５所示，圖中每個點對應(yīng)于在該迭代輪數(shù)中，一個種群的總體指標(biāo)犠的值。為了便于分析，將ｌｇ犠作為縱坐標(biāo)。從圖５可見，在１～５輪迭代中，每一輪總體指標(biāo)犠隨著輪數(shù)的增加快速減小，且種群每個個體的犠值集中；在６～１０輪迭代中，總體指標(biāo)犠變化不大，趨于收斂。以上結(jié)果證明了策略解析時延預(yù)估閉環(huán)優(yōu)化方法的收斂性，表明該方法可以有效獲得時延估值最低且安全性最高的任務(wù)組合。

接下來，經(jīng)過細粒度的沖突識別與消解閉環(huán)優(yōu)化過程，得到的任務(wù)編排結(jié)果如表１１所示。

３．２．３輸出結(jié)果分析

為驗證所提方法的有效性，本文設(shè)計３種實驗場景：①所有數(shù)據(jù)流均不執(zhí)行安全任務(wù)。② 數(shù)據(jù)流執(zhí)行安全任務(wù)，但是這些安全任務(wù)未經(jīng)過沖突消解。③ 數(shù)據(jù)流執(zhí)行如表１１所示的安全任務(wù)。以運行時長為橫坐標(biāo)，數(shù)據(jù)流傳輸時延與其限值之比為縱坐標(biāo)，系統(tǒng)所有ＴＴ流和ＡＶＢ 流時延結(jié)果如圖６（ａ）、圖６（ｂ）和圖６（ｃ）所示。

圖６中，紅線為基準(zhǔn)值，表示傳輸時延與時延限制比值為１，若超過該值，意味著該數(shù)據(jù)流未能滿足實時性要求。如圖６（ａ）所示，在未給數(shù)據(jù)流分配安全任務(wù)的情況下，除了極個別數(shù)據(jù)流以外，均可滿足實時性需求。若未經(jīng)策略解析，為系統(tǒng)中數(shù)據(jù)流分配安全任務(wù)，則極有可能使得大量數(shù)據(jù)流無法滿足實時性需求，出現(xiàn)信息安全與實時性之間的沖突，如圖６（ｂ）所示。在策略解析后，即安全任務(wù)經(jīng)過優(yōu)化和編排后，數(shù)據(jù)流分配表１１ 中的安全任務(wù)，在運行時間段內(nèi)，所有數(shù)據(jù)流時延均未超過限值，如圖６（ｃ）所示，這表明該組安全任務(wù)可同時滿足安全性和實時性需求，證明了雙粒度融合的沖突識別與消解方法的有效性。

４結(jié)論

本文針對ＴＳＮ工控系統(tǒng)中信息安全與功能安全沖突問題，建立信息安全與功能安全策略與任務(wù)模型，并據(jù)此提出雙粒度融合的沖突識別與消解方法。在策略決策層面，通過安全策略模型中的沖突判別矩陣和安全指標(biāo)進行粗粒度的沖突識別與消解，形成無沖突安全策略集合。在任務(wù)調(diào)度層面，在無沖突安全策略的基礎(chǔ)上進行策略解析，并使用ＭＣ方法預(yù)估時延，形成策略解析時延預(yù)估閉環(huán)模型，經(jīng)過閉環(huán)優(yōu)化獲得無沖突安全任務(wù)集合。實驗結(jié)果表明，雙粒度融合的沖突識別與消解方法可有效消除ＴＳＮ工控系統(tǒng)信息安全與功能安全之間的沖突，保證其同時滿足安全性和實時性需求。

作者簡介

王志通（１９９９—），男，碩士研究生，主要研究方向為工業(yè)互聯(lián)網(wǎng)信息安全、功能安全一體化。

胡曉婭（１９７４—），女，教授，博士，主要研究方向為工控系統(tǒng)信息安全。