国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★李小川，蘇云濤北京圣博潤高新技術(shù)股份有限公司

關(guān)鍵詞：工業(yè)安全；數(shù)字孿生；PLC仿真；工業(yè)安全

1　項目概況

1.1　項目背景

港口碼頭作為經(jīng)濟(jì)的晴雨表，不僅是現(xiàn)代經(jīng)濟(jì)的血液，還是促進(jìn)貿(mào)易和地區(qū)發(fā)展的重要基礎(chǔ)設(shè)施。近年來，港口裝卸作業(yè)自動化程度逐漸提高，視頻監(jiān)控、分布式工業(yè)控制系統(tǒng)得到了廣泛應(yīng)用，為港口的安全穩(wěn)定運行提供了重要保障。但不足之處也很明顯，港口生產(chǎn)運營中的視頻監(jiān)控、PLC系統(tǒng)、工控監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)較為薄弱，病毒、軟件濫用、網(wǎng)絡(luò)架構(gòu)、U盤濫用等問題日益凸顯。

我國港口碼頭工業(yè)控制系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施，安全可靠性問題突出，受到系統(tǒng)結(jié)構(gòu)復(fù)雜、核心技術(shù)限制、缺乏安全與管理標(biāo)準(zhǔn)等諸多因素影響，運行在工業(yè)控制系統(tǒng)中的數(shù)據(jù)及操作指令隨時可能遭受來自敵對勢力、商業(yè)間諜、網(wǎng)絡(luò)犯罪團(tuán)伙的破壞。而且IT通用化加劇了系統(tǒng)的安全隱患，IT技術(shù)將傳統(tǒng)安全的困擾引入到工業(yè)控制系統(tǒng)中，危及了控制系統(tǒng)的安全。通過分析發(fā)現(xiàn)，港口碼頭行業(yè)工業(yè)控制系統(tǒng)常見的安全威脅主要來自以下幾個方面：邊界隔離措施缺失、工控協(xié)議安全缺陷、高級持續(xù)威脅難以發(fā)現(xiàn)、操作系統(tǒng)安全漏洞、工業(yè)系統(tǒng)設(shè)備漏洞、組態(tài)軟件升級困難、病毒控制手段缺乏、移動存儲介質(zhì)濫用、特權(quán)濫用數(shù)據(jù)泄露、人員管理安全威脅、非法接入風(fēng)險、明文數(shù)據(jù)傳輸風(fēng)險和無線通信鏈路風(fēng)險。

1.2　項目簡介

本項目針對符合港口工控網(wǎng)絡(luò)特點的仿真驗證環(huán)境不足，難以滿足行業(yè)所需的分析、測試、驗證等工作，提出了“港口工控安全仿真驗證平臺”。本項目從兩個方向展開研究：港口工控系統(tǒng)仿真環(huán)境虛擬化和工控仿真環(huán)境安全驗證。首先，基于固件提取技術(shù)、分析技術(shù)及虛擬化技術(shù)等實現(xiàn)設(shè)備控制系統(tǒng)（ECS）虛擬化，解決實體設(shè)備虛擬化問題。然后，基于部分實體設(shè)備和虛擬化設(shè)備通過多維度審計溯源技術(shù)進(jìn)行安全驗證，解決仿真環(huán)境如何有效使用問題。

1.3　項目目標(biāo)

（1）滿足港口碼頭單位安全防護(hù)產(chǎn)品的總體論證和規(guī)劃能力需求；

（2）增強港口碼頭單位工控系統(tǒng)信息安全保障能力；

（3）滿足港口碼頭單位安全訓(xùn)練和攻防演習(xí)需求。

2　項目實施

港口工控安全仿真驗證平臺的總體構(gòu)架如圖1所示。

圖1 港口工控安全仿真驗證平臺的總體架構(gòu)

圖1中虛線部分是本項目的重點研究內(nèi)容，主要涵蓋翻車機(jī)、推料機(jī)、取料機(jī)、裝船機(jī)系統(tǒng)場景，首先通過官方獲取、硬件提取等方式對PLC、RTU、智能儀表的固件進(jìn)行提取、分析，然后借助容器或者虛擬機(jī)實現(xiàn)PLC、RTU、智能儀表仿真，再通過上位機(jī)組態(tài)虛擬機(jī)、計算資源池、網(wǎng)絡(luò)資源池、存儲資源池和網(wǎng)絡(luò)控制器虛擬等完成控制設(shè)備數(shù)字孿生，最后基于搭建的港口工控安全仿真場景完成統(tǒng)計可視化、攻擊溯源、流量分析和仿真驗證等功能。整體以云計算超融合平臺為支撐，具有靈活動態(tài)分配資源、統(tǒng)一管理、維護(hù)成本低、高性價比和便于管理維護(hù)的優(yōu)點。其采用B/S架構(gòu)設(shè)計，通過網(wǎng)絡(luò)將超大規(guī)模的計算與存儲資源整合起來，并將計算任務(wù)分布在這些資源池上，再根據(jù)自己的需要獲得計算、存儲和網(wǎng)絡(luò)等信息服務(wù)。同時，通過業(yè)界主流的信息系統(tǒng)、工控系統(tǒng)（PLC、組態(tài)軟件、網(wǎng)絡(luò)交換機(jī)、主機(jī)系統(tǒng)等）的虛擬化很好地解決了仿真過程過度依賴實物硬件的不便利，同時也能迅速地通過虛擬機(jī)拓?fù)涞母淖冊诙虝r間內(nèi)組建成新的業(yè)務(wù)系統(tǒng)。

本項目安全仿真驗證環(huán)境的總體設(shè)計方案以傳統(tǒng)信息安全和業(yè)務(wù)安全為背景，綜合權(quán)衡信息安全的機(jī)密性與業(yè)務(wù)安全的可用性，并從平臺底層架構(gòu)的完整性、實時性考慮，借助虛擬化技術(shù)增強系統(tǒng)的穩(wěn)定性、可靠性以及安全性，保證上層真實仿真系統(tǒng)的可用性。本方案主要分為四個部分：基礎(chǔ)層設(shè)備虛擬化建設(shè)、虛擬網(wǎng)絡(luò)SDN的映射應(yīng)用、上位機(jī)控制系統(tǒng)及工藝流程虛擬化建設(shè)、平臺仿真資源庫的建設(shè)應(yīng)用。

2.1　基礎(chǔ)層設(shè)備虛擬化建設(shè)

本項目自下而上開展基礎(chǔ)層設(shè)備虛擬化，主要包括：

（1）傳感器數(shù)據(jù)仿真建設(shè)

仿真環(huán)境支持對角度、振幅、高度等碼頭主流傳感器的虛擬化，如圖2所示，通過對傳感器的虛擬化，保證控制器系統(tǒng)通過虛擬的接口與傳感器進(jìn)行通訊，利用軟件技術(shù)對開關(guān)量傳感器的數(shù)據(jù)仿真，為基礎(chǔ)層設(shè)備的虛擬化提供技術(shù)保障。

圖2 傳感器虛擬化

建立傳感器的模型，在其原理分析、結(jié)構(gòu)設(shè)計、樣機(jī)研制中起著重要的作用。一個符合傳感器實際情況的模型，既能充分、準(zhǔn)確地揭示出傳感器的工作機(jī)理，又能有效地指導(dǎo)傳感器實際的優(yōu)化設(shè)計、減小盲目性、縮短樣機(jī)研制過程和處理不同物理量之間的耦合等。

（2）控制器仿真建設(shè)

仿真環(huán)境支持對西門子、羅克韋爾自動化、施耐德、三菱電機(jī)等控制設(shè)備（PLC/RTU）的模擬，每種控制器支持兩種以上的主流系列仿真。它具有實物控制器在功能、可靠性、速度、故障查找等方面的特點。利用軟件技術(shù)可以將標(biāo)準(zhǔn)的工業(yè)PC機(jī)系統(tǒng)轉(zhuǎn)換成全功能的過程控制器，通過一個多任務(wù)控制內(nèi)核，提供強大的指令集快速而準(zhǔn)確的掃播周期、可靠的操作和可連接各種I/O系統(tǒng)及網(wǎng)絡(luò)的開放式結(jié)構(gòu)。

2.2　虛擬網(wǎng)絡(luò)的建立應(yīng)用

該平臺可以提供高逼真的工控仿真環(huán)境，能夠通過網(wǎng)絡(luò)將超大規(guī)模的計算與存儲資源整合起來，并將計算任務(wù)分布在這些資源池上，再根據(jù)自己的需要獲得計算、存儲和網(wǎng)絡(luò)等資源，最終實現(xiàn)高逼真的工控仿真環(huán)境，從網(wǎng)絡(luò)層聯(lián)通控制器、安全防護(hù)設(shè)備、上位機(jī)監(jiān)控系統(tǒng)及其他高層業(yè)務(wù)系統(tǒng)，為虛擬平臺直接互聯(lián)互通打好了通信的基礎(chǔ)工作。

2.3　上位機(jī)系統(tǒng)仿真

作為設(shè)備的直接監(jiān)控層，仿真環(huán)境支持對多種國內(nèi)外上位機(jī)系統(tǒng)的模擬，如Wincc、IFix、Intouch，杰控、力控、組態(tài)王等。

在港口碼頭生產(chǎn)工控系統(tǒng)的典型場景中，需要具備上位機(jī)與控制器設(shè)備間的數(shù)據(jù)交互能力，控制層設(shè)備通過對現(xiàn)場傳感器或虛擬傳感器的數(shù)據(jù)采集，實時與上位機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)交互，達(dá)到工控設(shè)備及系統(tǒng)高逼真還原。同時作為工業(yè)仿真的核心要素，仿真系統(tǒng)可支持對OPC、EIP、Modbus、S7、S7CommPlus等協(xié)議的模擬。工業(yè)通信協(xié)議可承擔(dān)設(shè)備數(shù)據(jù)交互、指令執(zhí)行、程序互傳等功能的橋梁作用，協(xié)議仿真在各類型典型流程工業(yè)場景中起到重要支撐。

2.4　基于機(jī)器學(xué)習(xí)的控制器行為監(jiān)控及溯源技術(shù)

本項目基于人工智能的控制器行為識別技術(shù)，通過研究主體控制器對客體設(shè)備的行為，以及多主體控制器行為之間的相互關(guān)系，得到控制器網(wǎng)絡(luò)行為的模式、特性狀態(tài)和結(jié)構(gòu)抽象。通過對行為觀測所得到的行為樣本與行為庫進(jìn)行匹配，預(yù)測行為變化的趨勢，從而揭示控制器正常運行的規(guī)律?？刂破餍袨榉治鏊菰吹膶崿F(xiàn)技術(shù)路徑如圖3所示。

圖3 虛實結(jié)合的分析溯源示意圖

3　案例亮點及創(chuàng)新性

（1）工控設(shè)備數(shù)字孿生技術(shù)

本項目基于多維度虛實映射的港口工控設(shè)備數(shù)字孿生構(gòu)建方法，在OpenStack基礎(chǔ)平臺上融合KVM和LXC兩種虛擬化技術(shù)，從實物設(shè)備、虛擬化技術(shù)、軟件模擬方法等多個維度設(shè)計港口碼頭生產(chǎn)工控設(shè)備及網(wǎng)絡(luò)的構(gòu)建機(jī)制，滿足真實性、高效性和大規(guī)模需求。

（2）虛實結(jié)合的安全驗證技術(shù)

本項目虛實結(jié)合的實體設(shè)備、軟件、應(yīng)用和數(shù)據(jù)服務(wù)等將在仿真環(huán)境中被抽象為邏輯表示的基礎(chǔ)資源標(biāo)識。仿真環(huán)境的資源模塊管理一切平臺環(huán)境及任務(wù)需要的模塊，時序一致性則具體依靠OpenStack中的Gnocchi模塊實現(xiàn)，主要原理為把各個計量指標(biāo)Metric的計量數(shù)據(jù)measurement直接寫入后端存儲中，并在measurement寫入之前根據(jù)預(yù)先設(shè)定的歸檔策略進(jìn)行聚合操作，查詢時直接讀取對應(yīng)的文件即可獲得聚合后的監(jiān)控信息點，顯然時間復(fù)雜度變?yōu)镺(1)，并且提供資源索引，可以更快地找到每個資源的基礎(chǔ)信息metadata和其相關(guān)的metrics信息。

作者簡介

李小川（1980-），男，遼寧沈陽人，碩士，現(xiàn)就職于北京圣博潤高新技術(shù)股份有限公司，主要從事工控網(wǎng)絡(luò)安全方面的研究。

蘇云濤（1991-），男，河北石家莊人，工程師，學(xué)士，現(xiàn)就職于北京圣博潤高新技術(shù)股份有限公司，主要從事工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全方面的研究。

摘自《自動化博覽》2024年1月刊