面向TSN工控系統的安全策略沖突消解方法

關鍵詞：時間敏感網絡工控系統；信息安全；功能安全；沖突消解

中圖分類號：ＴＰ３９３．０８ 文獻標志碼：Ａ DOI：１０．１２３０５／ｊ．ｉｓｓｎ．１００１-５０６Ｘ．２０２４．１２．２１

０引言

工業控制系統是國家關鍵基礎設施的大腦，其安全、穩定運行是保證國家經濟正常運轉的基礎。為保證工控系統的功能安全，國際電工委員會制訂了ＩＥＣ６１５０８［１］功能安全標準，為系統功能安全全生命活動周期提供了框架。在工業互聯網的背景下，工控系統逐步由封閉走向開放，并成為黑客網絡攻擊新的目標，對國家經濟基礎設施和人民生活保障設施等造成了巨大的威脅。為了確保工控系統的信息安全，國際電工委員會制定了ＩＥＣ６２４４３［２］工業自動化和控制系統網絡安全系列標準，其目標是從根本上減少工控網絡安全風險的發生，降低工控網絡安全風險的影響。需要注意的是，工控系統是典型的信息物理系統（ｃｙｂｅｒｐｈｙｓｉｃａｌｓｙｓｔｅｍｓ，ＣＰＳ），包括信息空間和物理空間，且信息域和物理域是耦合的，這就決定了工控系統的安全防護需要覆蓋系統各個層級，將系統的信息安全和功能安全進行一體化考慮。在實際系統中，信息安全策略和功能安全策略可能存在沖突，為了實現工控系統信息安全和功能安全的一體化，必須解決二者之間的沖突問題。

近年來，許多學者對工控系統中信息安全和功能安全一體化問題進行了探索。Ｋｒｉａａ等［３］指出，信息安全與功能安全之間有相互促進、相互沖突、相互獨立３種關系，實現信息安全與功能安全一體化有融合和集成兩種方法。Ｓｔｏｎｅｂｕｒｎｅｒ［４］提出一種融合信息安全與功能安全的框架，該框架結合美國國家標準與技術研究所的信息安全風險分級法和美國聯邦航空管理局的功能安全風險分級法，統一定義信息安全隱患和功能安全威脅中的“事件”一詞，并提出一種分類方法。Ｐａｓｑｕｉｎｉ等［５］提出一種集成方法，首先單獨分析信息安全和功能安全的要素，并確定各自的需求，然后將功能安全的需求引入信息安全分析中；反之亦然，分析二者的相互作用，并找出可能存在的沖突，最終采取相應措施，實現信息安全和功能安全的一體化。Ｘｉｏｎｇ等［６］對信息安全與功能安全之間的區別與聯系進行詳細分析，提出一個實現信息安全與功能安全整合初步描述的框架。Ｈｏｌｌｅｒｅｒ等［７］從潛在風險和現場管理人員這些要素著手進行分析，以解決在運營技術（ｏｐｅｒａｔｉｏｎａｌｔｅｃｈｎｏｌｏｇｙ，ＯＴ）系統進行風險管理時的信息安全與功能安全沖突問題。Ｍｅ-ｎｏｎ等［８］提出一個圍繞開發和部署生命周期展開的分類體系，概述信息安全與功能安全之間的常見沖突領域，并基于防御深度共享原則的概念和解決方法進行討論。Ｚｈｏｕ等［９］對工控系統信息安全和功能安全的沖突消解，提出優先確保工控系統功能安全的方法。胡博文等［１０］對信息安全已知沖突和未知沖突進行識別，并基于優先確保功能安全思路提出針對已知沖突的消解方式。靳江紅等［１１］提出基于作用域及策略動作實現信息安全與功能安全沖突識別的方法。以上研究雖然對比了不同的安全策略并提供了消解安全策略沖突的思路，但是安全策略需要通過具體的安全任務來落實，上述研究并未考慮安全策略實施的可行性等問題。

關于如何合理地分配和編排安全任務以確保安全策略的實施，目前有一些研究工作關注于解決安全任務調度問題。Ｌｅｉｖａｄｅａｓ等［１２］以最小化端到端時延為優化目標，提出基于親和度的方法（ａｆｆｉｎｉｔｙ-ｂａｓｅｄａｐｐｒｏａｃｈ，ＡＢＡ）以解決服務功能鏈（ｓｅｒｖｉｃｅｆｕｎｃｔｉｏｎｃｈａｉｎ，ＳＦＣ）編排問題，并與貪婪算法比較，得出的結論是ＡＢＡ 算法不僅效率更高，并且計算出的端到端時延更小。然而，該研究假設ＳＦＣ 請求到達服從泊松分布，將服務器處理網絡虛擬功能（ｎｅｔｗｏｒｋｖｉｓｕａｌｉｚｅｄｆｕｎｃｔｉｏｎ，ＶＮＦ）隊列建模為Ｍ／Ｍ／１排隊模型，將端口轉發建模為Ｍ／Ｄ／１排隊模型，僅適用于特定場景［１３］。劉藝［１４］以最小化安全服務時延為優化目標，將ＳＦＣ 編排問題轉化為帶容量約束的多商品流問題，使用基于混合禁忌搜索的服務路徑優化算法進行求解。然而，該研究工作只考慮了鏈路傳輸時延，忽略了服務器處理時延，不適用于對時延敏感的應用場景。黃睿等［１５］提出基于貪心算法的資源分配方案和基于混合蜂群算法的資源調度方案以避免沖突，減少等待時延。張奇［１６］為解決沖突問題，設計策略沖突決策算法和網絡流調度算法，通過設定優先級解決策略沖突，以保證虛擬網絡功能序列的正確編排。王澤南等［１７］使用混合整數非線性規劃的方法構建服務鏈以解決在對時延上限有需求的網絡中，數據流傳輸時延過長而造成的丟包問題。劉璐等［１８］針對工控系統中智能儀表協調調度要求，設計靜態動態混合調度算法，以實現任務一體化實時調度。總體而言，現有針對安全任務調度的研究工作是在選定安全任務的基礎上進行編排，而沒有考慮安全任務選擇的問題。

作為下一代工業網絡演進方向的時間敏感網絡（ｔｉｍｅｓｅｎｓｉｔｉｖｅｎｅｔｕｏｒｋｉｎｇ，ＴＳＮ）技術遵循標準的工業以太網協議體系，在通過ＩＥＥＥ８０２．１ＡＳ［１９］ （時間同步協議）、ＩＥＥＥ８０２．１Ｑｂｖ［２０］（時間感知調度協議）等流量調度機制保證不同業務流確定性時延的同時，實現標準、開放的數據鏈路層轉發，從而打破傳統工業網絡眾多制約的壁壘［２１］。ＴＳＮ 技術與工控系統的結合即為ＴＳＮ 工控系統，ＴＳＮ 工控系統具有多業務流共網傳輸、確定性服務等特點［２２］。和傳統工控系統相比，ＴＳＮ 工控系統安全邊界更加模糊，面臨的信息安全威脅更多［２３］，因此信息域和控制域融合的扁平化結構塊需要采取多種信息安全防御策略和手段。目前，有研究工作圍繞ＴＳＮ 網絡和信息安全融合展開，Ｗａｎｇ等［２４］對ＴＳＮ 協議和攻擊者進行形式化建模，使用時間自動機挖掘漏洞，并通過實驗證明現有的ＴＳＮ 協議對中間人攻擊、重放攻擊和拒絕服務（ｄｅｎｉａｌｏｆｓｅｒｖｉｃｅ，ＤｏＳ）攻擊無保護作用。Ｐｅｎａ等［２５］和Ｄｉｋ等［２６］從ＴＳＮ 技術和硬件設備融合著手，設計使二者兼容的服務架構。Ｓｅｔｈｉ等［２７］分析５Ｇ ＴＳＮ 網絡的脆弱性，并提出解決方案以避免該ＴＳＮ 網絡遭受攻擊。這些工作都是圍繞漏洞分析以及針對這些漏洞提出對應的安全策略而展開，未考慮安全任務調度的問題。Ｌｉ等［２８］提出軟件定義ＴＳＮ 架構，構建時間同步安全功能，為ＶＮＦ提供服務，并使用ＶＮＦ 處理精密時間協議（ｐｒｅｃｉｓｉｏｎｔｉｍｅｐｒｏｔｏｃｏｌ，ＰＴＰ）延遲攻擊。Ｚｈａｎｇ等［２９］針對支持網絡功能虛擬化（ｎｅｔｗｏｒｋｆｕｎｃｔｉｏｎｖｉｓｕａｌｉｚａｔｉｏｎ，ＮＦＶ）的ＴＳＮ 網絡提出ＳＦＣ調度方案。然而，這些研究工作未考慮到不同種類業務流具有不同的實時性要求，而滿足多業務流共網傳輸是ＴＳＮ 工控系統功能安全的重要組成部分之一。不合理的安全策略、不合理的安全策略執行和不合理的安全任務編排，都有可能影響業務流的實時傳輸，導致ＴＳＮ工控系統中信息安全性與功能實時性之間產生沖突。因此，相對于傳統工控系統，ＴＳＮ工控系統中信息安全與功能安全之間的沖突識別與消解更具挑戰性。合理制定信息安全策略、執行信息安全任務以及平衡信息安全性和功能實時性要求，是確保ＴＳＮ工控系統信息安全和功能安全的關鍵因素。

當前，研究普遍沒有從安全策略與安全任務兩個層面綜合考慮ＴＳＮ工控系統中信息安全與功能安全一體化問題，這意味著安全策略向安全任務轉換的策略解析過程尚不明確。除此之外，工控系統中信息安全與功能安全之間的量化指標不統一，ＴＳＮ工控系統中的安全策略與安全任務尚未明確。針對以上問題，本文提出沖突識別與消解方案，將在下文中對該方案進行闡述。本文結構安排如下：第１節對信息安全策略與功能安全策略安全指標進行統一量化，在此基礎上對安全策略與安全任務進行統一的形式化建模。第２節在安全策略與安全任務模型的基礎上，提出雙粒度融合的沖突識別與消解多步方法框架，首先在策略決策層面對信息安全策略與功能安全策略進行粗粒度的沖突識別與消解；接著在任務調度層面使用策略解析時延預估閉環優化方法得到無沖突的任務調度方案。第３ 節以ＴＳＮ數控系統為研究對象，驗證本文沖突消解方法的可行性。本文方法綜合考慮ＴＳＮ 工控系統中安全策略生成階段產生的沖突問題與安全任務部署階段產生的可調度性問題，并使用策略解析時延預估閉環優化方法，在獲得無沖突策略組合的前提下得到最優調度方案。本文所提方法適用于對時延敏感的工控系統場景，為后續ＴＳＮ工控系統安全性研究提供理論支撐。

１信息安全與功能安全的安全策略的統一量化和形式化建模

在ＴＳＮ工控系統中，信息安全策略和功能安全策略是其穩定運行的重要保障。信息安全策略使用網絡訪問控制、入侵檢測、身份加密和認證等手段，保障工控系統數據的完整性、保密性和可用性等。功能安全策略著重設計和實施系統功能，以防止由人為錯誤引發的事故或故障，避免衛生、安全和環境（ｈｅａｌｔｈ，ｓａｆｅｔｙａｎｄｅｎｖｉｒｏｎｍｅｎｔ，ＨＳＥ）事故的發生。這兩種安全策略基于不同的目的、依照不同的文件制定，因此有著不同的評價指標。

１．１安全指標的統一量化

ＩＥＣ６２４４３［２］將信息的安全等級（ｓｅｃｕｒｉｔｙｌｅｖｅｌ，ＳＬ）分為３類，分別為能力安全級別ＳＬ-Ｃ（ｃａｐａｂｉｌｉｔｉｅｓ），即設備能夠支持達到的安全級別；目標安全級別ＳＬ-Ｔ（ｔａｒｇｅｔ），即設備應根據系統風險評估達到的安全級別；實現安全級別ＳＬ-Ａ（ａｃｈｉｅｖｅｄ），即實際達到的安全級別。策略決策的沖突識別與消解應當考慮信息安全的目標安全級別。

ＳＬ共有７個評價維度包括身份和授權控制（ｉｄｅｎｔｉｆｉｃａ-ｔｉｏｎａｎｄａｕｔｈｏｒｉｔｙｃｏｎｔｒｏｌ，ＩＡＣ）、使用控制（ｕｓａｇｅｃｏｎｔｒｏｌ，ＵＣ）、系統完整性（ｓｙｓｔｅｍｉｎｔｅｇｒｉｔｙ，ＳＩ）、數據保密性（ｄａｔａｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ，ＤＣ）、受限數據流（ｒｅｓｔｒａｉｎｅｄ ｄａｔａｆｌｏｗ，ＲＤＦ）、事件的實時響應（ｔｒｕｅ-ｔｉｍｅｒｅｓｐｏｎｓｅ ｏｆｅｖｅｎｔ，ＴＲＥ）、資源可用性（ｒｅｓｏｕｒｃｅａｖａｉｌａｂｉｌｉｔｙ，ＲＡ），如表１ 所示。同時，ＳＬ被分為４個等級，評判標準如表２所示。

ＩＥＣ６１５０８［１］將功能安全完整性等級（ｓａｆｅｔｙｉｎｔｅｇｒｉｔｙｌｅｖｅｌ，ＳＩＬ）的評價場景分為兩類：低需求模式和持續需求模式。在低需求模式中，確定ＳＬ 需要需求率，即因設備失效被需求的概率（ｐｒｏｂａｂｉｌｉｔｙｏｆｆａｉｌｕｒｅｏｎｄｅｍａｎｄ，ＰＦＤ）的平均值ＰＦＤ_ａｖｇ，如表３所示。

在持續需求模式中，確定ＳＬ需要計算故障率犺，即每小時的風險發生平均頻率，等級的確定如表４所示。

考慮到信息安全ＳＬ和功能ＳＬ雖然都劃分為４個等級，但是定級的標準不一，本文使用模糊層次分析法［２２］進行一體化描述，具體如圖１所示。在圖１中，ＴＳＮ 工控系統安全策略評價體系一共有３層。第１層為總安全指標犛，第２層為信息安全指標Ｓｅ （ｓｅｃｕｒｉｔｙ）與功能安全指標Ｓａ（ｓａｆｅｔｙ），第３層為由信息安全或功能安全的各個評價維度確定的信息ＳＬＳＩＬ或功能ＳＬＳＩＬ。

３．２．２細粒度沖突識別與消解

表９中信息安全策略可選擇的安全任務如表１０所示。

為了驗證策略解析時延預估優化閉環的有效性，本文設系統總體安全指標權值ω狊為０．２，總體時延指標權值ω狋為０．８，運用粒子群算法尋找式（１５）的近似最優解。算法將種群數設為１０，迭代次數設為１０，統計每一輪迭代中種群中總體指標犠的值。統計后總體指標犠的變化趨勢如圖５所示，圖中每個點對應于在該迭代輪數中，一個種群的總體指標犠的值。為了便于分析，將ｌｇ犠作為縱坐標。從圖５可見，在１～５輪迭代中，每一輪總體指標犠隨著輪數的增加快速減小，且種群每個個體的犠值集中；在６～１０輪迭代中，總體指標犠變化不大，趨于收斂。以上結果證明了策略解析時延預估閉環優化方法的收斂性，表明該方法可以有效獲得時延估值最低且安全性最高的任務組合。

接下來，經過細粒度的沖突識別與消解閉環優化過程，得到的任務編排結果如表１１所示。

３．２．３輸出結果分析

為驗證所提方法的有效性，本文設計３種實驗場景：①所有數據流均不執行安全任務。② 數據流執行安全任務，但是這些安全任務未經過沖突消解。③ 數據流執行如表１１所示的安全任務。以運行時長為橫坐標，數據流傳輸時延與其限值之比為縱坐標，系統所有ＴＴ流和ＡＶＢ 流時延結果如圖６（ａ）、圖６（ｂ）和圖６（ｃ）所示。

圖６中，紅線為基準值，表示傳輸時延與時延限制比值為１，若超過該值，意味著該數據流未能滿足實時性要求。如圖６（ａ）所示，在未給數據流分配安全任務的情況下，除了極個別數據流以外，均可滿足實時性需求。若未經策略解析，為系統中數據流分配安全任務，則極有可能使得大量數據流無法滿足實時性需求，出現信息安全與實時性之間的沖突，如圖６（ｂ）所示。在策略解析后，即安全任務經過優化和編排后，數據流分配表１１ 中的安全任務，在運行時間段內，所有數據流時延均未超過限值，如圖６（ｃ）所示，這表明該組安全任務可同時滿足安全性和實時性需求，證明了雙粒度融合的沖突識別與消解方法的有效性。

４結論

本文針對ＴＳＮ工控系統中信息安全與功能安全沖突問題，建立信息安全與功能安全策略與任務模型，并據此提出雙粒度融合的沖突識別與消解方法。在策略決策層面，通過安全策略模型中的沖突判別矩陣和安全指標進行粗粒度的沖突識別與消解，形成無沖突安全策略集合。在任務調度層面，在無沖突安全策略的基礎上進行策略解析，并使用ＭＣ方法預估時延，形成策略解析時延預估閉環模型，經過閉環優化獲得無沖突安全任務集合。實驗結果表明，雙粒度融合的沖突識別與消解方法可有效消除ＴＳＮ工控系統信息安全與功能安全之間的沖突，保證其同時滿足安全性和實時性需求。

作者簡介

王志通（１９９９—），男，碩士研究生，主要研究方向為工業互聯網信息安全、功能安全一體化。

胡曉婭（１９７４—），女，教授，博士，主要研究方向為工控系統信息安全。