今日頭條
官方微信
官方抖音
案例頻道★李小川,蘇云濤北京圣博潤高新技術股份有限公司
關鍵詞:工業安全;數字孿生;PLC仿真;工業安全
1 項目概況
1.1 項目背景
港口碼頭作為經濟的晴雨表,不僅是現代經濟的血液,還是促進貿易和地區發展的重要基礎設施。近年來,港口裝卸作業自動化程度逐漸提高,視頻監控、分布式工業控制系統得到了廣泛應用,為港口的安全穩定運行提供了重要保障。但不足之處也很明顯,港口生產運營中的視頻監控、PLC系統、工控監控系統網絡安全防護較為薄弱,病毒、軟件濫用、網絡架構、U盤濫用等問題日益凸顯。
我國港口碼頭工業控制系統屬于關鍵信息基礎設施,安全可靠性問題突出,受到系統結構復雜、核心技術限制、缺乏安全與管理標準等諸多因素影響,運行在工業控制系統中的數據及操作指令隨時可能遭受來自敵對勢力、商業間諜、網絡犯罪團伙的破壞。而且IT通用化加劇了系統的安全隱患,IT技術將傳統安全的困擾引入到工業控制系統中,危及了控制系統的安全。通過分析發現,港口碼頭行業工業控制系統常見的安全威脅主要來自以下幾個方面:邊界隔離措施缺失、工控協議安全缺陷、高級持續威脅難以發現、操作系統安全漏洞、工業系統設備漏洞、組態軟件升級困難、病毒控制手段缺乏、移動存儲介質濫用、特權濫用數據泄露、人員管理安全威脅、非法接入風險、明文數據傳輸風險和無線通信鏈路風險。
1.2 項目簡介
本項目針對符合港口工控網絡特點的仿真驗證環境不足,難以滿足行業所需的分析、測試、驗證等工作,提出了“港口工控安全仿真驗證平臺”。本項目從兩個方向展開研究:港口工控系統仿真環境虛擬化和工控仿真環境安全驗證。首先,基于固件提取技術、分析技術及虛擬化技術等實現設備控制系統(ECS)虛擬化,解決實體設備虛擬化問題。然后,基于部分實體設備和虛擬化設備通過多維度審計溯源技術進行安全驗證,解決仿真環境如何有效使用問題。
1.3 項目目標
(1)滿足港口碼頭單位安全防護產品的總體論證和規劃能力需求;
(2)增強港口碼頭單位工控系統信息安全保障能力;
(3)滿足港口碼頭單位安全訓練和攻防演習需求。
2 項目實施
港口工控安全仿真驗證平臺的總體構架如圖1所示。
圖1 港口工控安全仿真驗證平臺的總體架構
圖1中虛線部分是本項目的重點研究內容,主要涵蓋翻車機、推料機、取料機、裝船機系統場景,首先通過官方獲取、硬件提取等方式對PLC、RTU、智能儀表的固件進行提取、分析,然后借助容器或者虛擬機實現PLC、RTU、智能儀表仿真,再通過上位機組態虛擬機、計算資源池、網絡資源池、存儲資源池和網絡控制器虛擬等完成控制設備數字孿生,最后基于搭建的港口工控安全仿真場景完成統計可視化、攻擊溯源、流量分析和仿真驗證等功能。整體以云計算超融合平臺為支撐,具有靈活動態分配資源、統一管理、維護成本低、高性價比和便于管理維護的優點。其采用B/S架構設計,通過網絡將超大規模的計算與存儲資源整合起來,并將計算任務分布在這些資源池上,再根據自己的需要獲得計算、存儲和網絡等信息服務。同時,通過業界主流的信息系統、工控系統(PLC、組態軟件、網絡交換機、主機系統等)的虛擬化很好地解決了仿真過程過度依賴實物硬件的不便利,同時也能迅速地通過虛擬機拓撲的改變在短時間內組建成新的業務系統。
本項目安全仿真驗證環境的總體設計方案以傳統信息安全和業務安全為背景,綜合權衡信息安全的機密性與業務安全的可用性,并從平臺底層架構的完整性、實時性考慮,借助虛擬化技術增強系統的穩定性、可靠性以及安全性,保證上層真實仿真系統的可用性。本方案主要分為四個部分:基礎層設備虛擬化建設、虛擬網絡SDN的映射應用、上位機控制系統及工藝流程虛擬化建設、平臺仿真資源庫的建設應用。
2.1 基礎層設備虛擬化建設
本項目自下而上開展基礎層設備虛擬化,主要包括:
(1)傳感器數據仿真建設
仿真環境支持對角度、振幅、高度等碼頭主流傳感器的虛擬化,如圖2所示,通過對傳感器的虛擬化,保證控制器系統通過虛擬的接口與傳感器進行通訊,利用軟件技術對開關量傳感器的數據仿真,為基礎層設備的虛擬化提供技術保障。
圖2 傳感器虛擬化
建立傳感器的模型,在其原理分析、結構設計、樣機研制中起著重要的作用。一個符合傳感器實際情況的模型,既能充分、準確地揭示出傳感器的工作機理,又能有效地指導傳感器實際的優化設計、減小盲目性、縮短樣機研制過程和處理不同物理量之間的耦合等。
(2)控制器仿真建設
仿真環境支持對西門子、羅克韋爾自動化、施耐德、三菱電機等控制設備(PLC/RTU)的模擬,每種控制器支持兩種以上的主流系列仿真。它具有實物控制器在功能、可靠性、速度、故障查找等方面的特點。利用軟件技術可以將標準的工業PC機系統轉換成全功能的過程控制器,通過一個多任務控制內核,提供強大的指令集快速而準確的掃播周期、可靠的操作和可連接各種I/O系統及網絡的開放式結構。
2.2 虛擬網絡的建立應用
該平臺可以提供高逼真的工控仿真環境,能夠通過網絡將超大規模的計算與存儲資源整合起來,并將計算任務分布在這些資源池上,再根據自己的需要獲得計算、存儲和網絡等資源,最終實現高逼真的工控仿真環境,從網絡層聯通控制器、安全防護設備、上位機監控系統及其他高層業務系統,為虛擬平臺直接互聯互通打好了通信的基礎工作。
2.3 上位機系統仿真
作為設備的直接監控層,仿真環境支持對多種國內外上位機系統的模擬,如Wincc、IFix、Intouch,杰控、力控、組態王等。
在港口碼頭生產工控系統的典型場景中,需要具備上位機與控制器設備間的數據交互能力,控制層設備通過對現場傳感器或虛擬傳感器的數據采集,實時與上位機系統進行數據交互,達到工控設備及系統高逼真還原。同時作為工業仿真的核心要素,仿真系統可支持對OPC、EIP、Modbus、S7、S7CommPlus等協議的模擬。工業通信協議可承擔設備數據交互、指令執行、程序互傳等功能的橋梁作用,協議仿真在各類型典型流程工業場景中起到重要支撐。
2.4 基于機器學習的控制器行為監控及溯源技術
本項目基于人工智能的控制器行為識別技術,通過研究主體控制器對客體設備的行為,以及多主體控制器行為之間的相互關系,得到控制器網絡行為的模式、特性狀態和結構抽象。通過對行為觀測所得到的行為樣本與行為庫進行匹配,預測行為變化的趨勢,從而揭示控制器正常運行的規律。控制器行為分析溯源的實現技術路徑如圖3所示。
圖3 虛實結合的分析溯源示意圖
3 案例亮點及創新性
(1)工控設備數字孿生技術
本項目基于多維度虛實映射的港口工控設備數字孿生構建方法,在OpenStack基礎平臺上融合KVM和LXC兩種虛擬化技術,從實物設備、虛擬化技術、軟件模擬方法等多個維度設計港口碼頭生產工控設備及網絡的構建機制,滿足真實性、高效性和大規模需求。
(2)虛實結合的安全驗證技術
本項目虛實結合的實體設備、軟件、應用和數據服務等將在仿真環境中被抽象為邏輯表示的基礎資源標識。仿真環境的資源模塊管理一切平臺環境及任務需要的模塊,時序一致性則具體依靠OpenStack中的Gnocchi模塊實現,主要原理為把各個計量指標Metric的計量數據measurement直接寫入后端存儲中,并在measurement寫入之前根據預先設定的歸檔策略進行聚合操作,查詢時直接讀取對應的文件即可獲得聚合后的監控信息點,顯然時間復雜度變為O(1),并且提供資源索引,可以更快地找到每個資源的基礎信息metadata和其相關的metrics信息。
作者簡介
李小川(1980-),男,遼寧沈陽人,碩士,現就職于北京圣博潤高新技術股份有限公司,主要從事工控網絡安全方面的研究。
蘇云濤(1991-),男,河北石家莊人,工程師,學士,現就職于北京圣博潤高新技術股份有限公司,主要從事工業互聯網網絡安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號