张晓梅 钱秀槟 王亮 刘凯俊

【 摘 要 】 为了更好地保障工业控制系统的信息安全，对工业控制系统进行了面向信息安全度量的研究。首先，在已有的信息系统安全度量概念体系的基础上，结合国家标准GB/T 20274，引入工作目标、系统、区域、管道等概念，对工业控制系统模型进行抽象化分析研究。然后，采用该方法，对烟草行业的制丝集控系统进行了梳理，为定量分析工业控制系统信息安全工作打下了基础。

【 关键词 】 工业控制系统；信息安全度量；制丝集控系统

【 文献标识码 】 A

【 Abstract 】 For protecting the information security of the industrial control system better， the information security metrics of industrial control system was studied. On the basis of the existing information system security metrics concept system， combined with the national standard GB/T 20274， the work objective， system， regional， pipeline and other concepts are introduced for the abstract analysis of industrial control system model. Then， using this method， the tobacco silk distributed control system was analyzed， which has laid the foundation for the quantitative analysis of the information security of industrial control system.

【 Keywords 】 industrial control system； information security metrics； silk distributed control system

1 引言

工业控制系统广泛应用于国家关键行业及基础设施中，已是国家安全战略的重要组成部分[1]。近年来国际上层出不穷的工业控制系统信息安全事件，表明工业控制系统的信息安全工作已十分重要和迫切。对于控制系统，已有成熟的数学模型体系，但是对于信息安全的还没有良好的形式化表述方式，信息安全度量还需要进一步研究[2]。

文献[3]提出了S（系统）、E（安全要素）、C（组件）、P（访问路径）概念为基础的信息安全度量规则。但是，其对S和C的定义较为模糊和灵活，在特定领域中，如不合理定义S和C将可能导致对P的定位困难，最终导致度量结果不具有实践意义。

特别是在面向工厂的工业控制系统信息安全领域，其S的多样性和C的多样性，均可导致P的数量远大于信息系统，并产生没有意义的评估结果。因此有必要在工业控制系统信息安全领域，对该模型进行解释性研究，明确S、C、P的定义和归纳方法，为度量工厂的控制系统信息安全打下坚实的基础。

本文拟从国家标准GB/T 20274的使命、系统、保障、风险模型[4]出发，引入概念t来代表工厂的某一个特定业务目标，通过业务目标从工厂层面切分系统的S的范畴；定义a来代表S内的业务区域，替代原来的组件概念c；引入概念l来代表a之间的管道；将原来的路径概念P上升成l的集合；根据工业控制系统的典型模型，给出区域a和l的定义和属性；在完成面向多个t的分析后，合并a的同类项，来表述a和相关l在P中的重要性。从而形成有一定普适性的利用t、a、l、P概念来对工厂控制系统TOE交互模型的抽象分析方法。

2 信息系统安全度量概念体系

为实现信息系统E安全要素的度量，文献[2]提出了一些概念。

S计算机系统：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进[5]行采集、加工、存储、传输、检索等处理的人机系统。

P路径集合：访问路径P是在信息系统中，响应一种用户请求（如信息采集、加工、存储、传输、检索）所涉及到的所有软件、硬件构成一条访问路径，简称为路径，记为P，系统中所有访问路径的集合记为P。

C组件集合：以C表示组件的集合，C={c1，c2，...，ci}

系统、访问路径、组件之间的包含关系：

当系统S由组件c1，c2，...，ci组合而成时，记为

S=（c1，c2，...，ci）=ci = C

对p∈P，p?S表示系统S包含访问路径P，或者说P属于S；

对p∈P，c∈C，c∈p表示访问路径P包含组件c，或者说c属于P。

在实现特定安全要素e的过程中，C有三种方式。

独立关系：C中所有ci独立实现e。

互补关系：C中所有ci均实现了e后，e才有意义。

关联关系：C中所有ci只有在特定策略下分别实现e，e才有意义。

本文认为以上体系在工控信息安全中有几个问题。

S定义过于宽泛。从S的定义来看整个工厂都可以定义为一个计算机系统，同时一个控制系统可以定义为一个计算机系统，为满足一个业务目标，也可能存在多个控制系统组成一个计算机系统。

C概念过于模糊。c作为系统的组件，可以代表一个C/S系统中的客户端，也可以是一个客户端中一个组件、一个类、一个通用方法。这对于实践工作中，会产生由于C的实际操作过程中的定义不同，导致度量结果完全不同的情况。

在系统层面，如果将c定义过细，P的数量可能超出工程实践的能力，且不具有现实意义。比如将c定义到软件中的类，P则是类相互调用的管道。

这些问题使得信息安全的度量在各个领域的具体工作过程中，都需要重新审视其适用性，只有在协调好S的范围和C的粒度后，才能使得P的工作量合理，最终产生良好的效果。

3 工业控制系统的信息安全度量概念及梳理方法

3.1 概念

面对业主单位指定范围的安全度量工作，按照几个体系开展。

定义1.工作目标t。即为工厂的特定需求，比如产品生产、人身保障、危险品管理、商业机密保密等。所有工作目标的集合记为T。

定义2.系统Sti。为完成特定的的所有的计算机系统、控制系统和相关安全体系，计算机系统包括由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进[5]行采集、加工、存储、传输、检索等处理的人机系统；控制系统包括现场仪器仪表、执行设备（电机、阀门、加热装置等）、控制器、网络设备、控制运算系统、人机界面（HMI）等；安全体系包括管理制度、信息安全产品等。一次度量分析工作中所有的St集合记为S。

定义3.区域a。一个Sti中所有可以供工作人员操作的场所。一个区域具有几个属性：

物理边界：区域中的设备在物理位置上靠近；

通信边界：区域中的设备能实现互联互通；

功能边界：区域中能实现工作目标分解后的特定工作任务；

硬件设备清单：区域中所有的硬件设备；

操作系统/固件清单：区域中所有PC/SERVER的操作系统，所有专用硬件产品的固件；

应用系统清单：每个PC/SERVER中服务于s的软件、专用设备中的配置、控制器中控制逻辑程序等。

定义4.管道l：区域间的通信。管道包括通信设备、通信协议和信息格式属性等。

3.2 梳理方法

以上述概念体系为基础，在进行工业控制系统信息安全风险分析时，对于工业控制系统的梳理可按几个步骤开展。

确定工作范围：确定参与评估的控制系统（TOE）。

梳理控制系统的工作目标集合T，并对每个ti进行描述。根据ti再回到工作范围中进行补充，将参与工作目标ti实现且未列入工作范围的控制系统纳入，形成完整的工作范围。

根据每个ti列出参与其中的Sti，形成每个ti的Sti。

对每个Sti进行区域划分，形成集合Asti。然后对Asti进行同类合并，形成最简区域集合A。

对A中每个ai-aj对进行通信必要性分析，得出最小通信管道集合L{lai-aj}。

对A和L进行表格化梳理，完成梳理文档。

4 实践

以烟草行业的制丝集控系统为例，工厂划定的分析范围为制丝集控系统。工作目标是保障生产工作连续稳定开展。

整理后A的划分情况如图1 、表1、表2和表3所示。

a的设备清单（略）。

进一步地，对a之间管道情况进行整理，见表2、表3。

由此，完成了面向信息安全度量的烟草制丝集控系统梳理工作。

5 结束语

本文针对工业控制领域信息安全如何利用信息安全度量算法进行了初步的探索，提出了利用面向信息传输的分析方法，可将纷繁复杂的各行各业、各种规模、各种时期的控制系统都抽象成区域集合A和管道集合L来表示。为后续形成通用的S（系统）、E（安全要素）、C（组件）、P（访问路径）概念体系来定量分析工业控制系统信息安全打下了基础。

本文研究过程中继续发现了信息安全度量算法在类似工业控制领域等大型应用领域中的一些问题。比如C（组件）概念及本文提出的A（区域）概念，存在嵌套关系。E（安全要素）概念在实践中除存在一维数组表示方法外，还存在二维数组形式，其中也存在嵌套关系。这些关系都超越了文献[1]中提到的独立、互补和关联关系，由此导致在大型应用中，通过消除路径中的依赖关系，形成规范路径并非最佳选择，而建立在规范路径上的最小值算法也未必能体现大型系统的安全度量。在这些概念和算法上持续工作，也许可以发现定量分析大型应用安全度量的新方法。

在完善上述方法后，工控信息安全度量工作还需要进一步解决针对特定安全威胁的安全度量、大规模网络中的实时安全度量等更为复杂的工作。

通过本文提出了在工业控制领域中，信息安全的重点应集中在信息的采集、加工、存储、传输、检索等信息处理过程的安全性上，而不必过多干涉信息系统所驱动的物理系统的原理。这就可以让控制领域工作人员专心做好控制工作，信息安全领域工作人员专心做好信息安全工作，避免了当前工控信息安全工作的协调难点，同时促进两方面工作的合理分工和专业化发展。

参考文献

[1] 卢慧康，陈冬青，彭勇，王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表.2014，（10）： 21-5.

[2] Fran Nielsen. Approaches to Security Metrics[R]. Gaithersburg： NIST，2000.

[3] 闫强，陈钟，段云所等.信息系统安全度量与评估模型[J]电子学报，2003，9（9）： 1351-1355.

[4] GB/T 20274.信息安全技术信息系统安全保障评估框架[S]. 北京：中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会，2006.

作者简介：

张晓梅（1978-），女，硕士，毕业于太原理工大学， 助理研究员；主要研究方向和关注领域为：网络与信息安全测评、工业控制系统安全。

钱秀槟（1977-），男，硕士，毕业于清华大学，助理研究员；主要研究方向和关注领域：信息安全形势、新技术信息安全。

王亮（1974-），男，硕士，毕业于北京航空航天大学，工程师；主要研究方向和关注领域：信息安全评估。

刘凯俊（1987-），男，硕士，毕业于北京科技大学，工程师；主要研究方向和关注领域：工控系统信息安全。