今日頭條
官方微信
官方抖音
資訊頻道
摘要:近年來,工業(yè)控制系統(tǒng)遭受惡意攻擊事件的頻繁報道,使得分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問題引起了極大的關(guān)注。本文通過分析傳統(tǒng)IT系統(tǒng)與分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全目標,揭示了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題的重要性、必要性和緊迫性。詳細介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全研究的當前最新進展。最后,從系統(tǒng)理論的角度探討了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全研究存在的問題并提出了一些見解。
關(guān)鍵詞:分布式網(wǎng)絡(luò)控制系統(tǒng);IT系統(tǒng)信息安全;信息物理安全
Abstract: With a growing number of reports about industry control systems attack, the security issue for distributed networked control systems (DNCSs) has been paid unparalleled attention. In this paper, the objective of information security is analyzed from aspect of both traditional IT systems and DNCSs, which recognizes the importance, necessity and urgency of cyber physical security study in DNCSs. Moreover, a literature review is given to show the latest progress in this area. Finally, several discussions are presented from the viewpoint of system theory to giving some suggestions in dealing with cyber physical security in DNCSs.
Key words: Distributed networked control systems; Information security of IT systems; Cyber physical security
1 引言
隨著控制對象日益復雜、分布區(qū)域不斷擴大,傳統(tǒng)的點對點式的通訊方式已經(jīng)不能滿足工業(yè)控制某些新的需求。把網(wǎng)絡(luò)引入控制系統(tǒng),采用分布式的控制方式克服了傳統(tǒng)控制方式的很多缺點,使得分布式網(wǎng)絡(luò)控制系統(tǒng)(Distributed Networked Control System, DNCS)在工業(yè)界得到越來越多的關(guān)注和應用[1]。然而,傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注,工業(yè)控制系統(tǒng)越來越多地采用開放Internet技術(shù)實現(xiàn)與企業(yè)網(wǎng),甚至是物聯(lián)網(wǎng)的互連,使得一直以來被認為相對孤立和相對安全的工業(yè)控制系統(tǒng)在接入物聯(lián)網(wǎng)后成為黑客、不法分子,甚至網(wǎng)絡(luò)戰(zhàn)的攻擊目標。作為工業(yè)控制系統(tǒng)神經(jīng)中樞的SCADA(Supervisory Control And Data Acquisition)系統(tǒng),即數(shù)據(jù)采集、監(jiān)視與控制系統(tǒng),是由計算機設(shè)備、工業(yè)過程控制組件和網(wǎng)絡(luò)組成的典型的分布式網(wǎng)絡(luò)控制系統(tǒng),更是成為攻擊目標的中心[2-3]。一些專門針對分布式網(wǎng)絡(luò)控制系統(tǒng)的計算機病毒也逐漸出現(xiàn)并展示出巨大的破壞力。如2009年在拉斯維加斯召開的被譽為學術(shù)派的“黑客大會”上美國網(wǎng)絡(luò)安全設(shè)計和部署咨詢公司(IOActive)發(fā)布了一種智能電表的蠕蟲病毒,并現(xiàn)場模擬演示了一個“恐怖”的場景:一種智能電表的蠕蟲病毒竟能讓1.5萬戶家庭的電力供應在24小時內(nèi)陷入癱瘓,震驚了美國安全部和能源部。2010年9月一個
名為“震網(wǎng)”(Stuxnet)的特種病毒席卷了全球工業(yè)界,感染了全球超過45000個網(wǎng)絡(luò),徹底將工業(yè)控制系統(tǒng)的安全問題暴露出來,引起了世界各國的高度重視。據(jù)權(quán)威工業(yè)安全事件信息庫(Repository of IndustrialSecurity Incidents, RISI)統(tǒng)計,截至2011年10月,全球己發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件,超過了過去10年安全事件的總和。其中,電力、石油、交通和污水處理等分布距離遠、生產(chǎn)單位分散的重要基礎(chǔ)行業(yè),因其廣域分布的特性使得入侵者更容易通過網(wǎng)絡(luò)遠程操縱控制系統(tǒng),給各國基礎(chǔ)行業(yè)帶來了巨大安全隱患。因此,分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全問題引起了國內(nèi)外諸多研究工作者的關(guān)注,成為國際自動控制領(lǐng)域進入21世紀以來的一個熱點研究課題[4-5]。本綜述將從控制和IT領(lǐng)域兩個方面介紹分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究現(xiàn)狀,基本方法及其存在的主要安全控制問題。
2 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全問題
分布式網(wǎng)絡(luò)控制系統(tǒng)是由通信網(wǎng)絡(luò)組成閉環(huán)回路的空間分布式控制系統(tǒng),通常含有四個基本組成單元,即傳感器、控制器、執(zhí)行器和通信網(wǎng)絡(luò)。其中,通信網(wǎng)絡(luò)是為了連接分布在不同空間位置上的組成單元,其基本結(jié)構(gòu)如圖1所示。
與傳統(tǒng)的點對點控制結(jié)構(gòu)相比,DNCS具有資源共享、成本低、靈活性高、安裝維護簡單等優(yōu)點,已經(jīng)成為學術(shù)界和工業(yè)界的研究熱點之一[6]。然而,隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,最初依賴于專用協(xié)議和系統(tǒng)封閉性的安全保障逐漸被打破。在當前工業(yè)控制系統(tǒng)廣泛采用標準、通用協(xié)議、軟硬件系統(tǒng)以及與其它網(wǎng)絡(luò)互連的形勢下,系統(tǒng)越來越面臨著病毒、木馬、黑客入侵、拒絕服務等來自于網(wǎng)絡(luò)的威脅,其安全問題日益突出。
2.1 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全現(xiàn)狀
近年來,分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全大事件報道不絕于耳,如:
·2007年,攻擊者入侵加拿大一個水利SCADA控制系統(tǒng),破壞了取水調(diào)度的控制計算機;
·2008年,攻擊者入侵波蘭某城市地鐵系統(tǒng),通過電視遙控器改變軌道扳道器,致四節(jié)車廂脫軌;
·2010年,西門子首次監(jiān)測到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒,也稱為震網(wǎng)病毒;伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,嚴重威脅核反應堆安全運營;
·2011年,黑客入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng),使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;·2011年,微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報數(shù)據(jù);
·2012年,兩座美國電廠遭USB病毒攻擊,感染了每個工廠的工控系統(tǒng),可被竊取數(shù)據(jù);
·2012年,發(fā)現(xiàn)攻擊多個中東國家的惡意程序Flame火焰病毒,它能收集各行業(yè)的敏感信息。
我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務器與控制器通訊不同程度地中斷。
實際上,美國早在20年前就已經(jīng)在政策層面上關(guān)注工業(yè)控制系統(tǒng)信息安全問題[7-10]。歷經(jīng)克林頓、布什及奧巴馬三屆政府,發(fā)布了一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全方面的國家法規(guī)戰(zhàn)略。如2002年美國國家研究理事會將“控制系統(tǒng)攻擊”作為需要“緊急關(guān)注”的事項[11],2004年,美國政府問責署發(fā)布《防護控制系統(tǒng)的挑戰(zhàn)和工作》報告[12],2006年發(fā)布《能源行業(yè)防護控制系統(tǒng)路線圖》[13],2009年出臺國家基礎(chǔ)設(shè)施保護計劃(NIPP)[14]和2011年發(fā)布《實現(xiàn)能源供應系統(tǒng)信息安全路線圖》[15]等。北美電力可靠性委員會(NERC)還專門制定了用于關(guān)鍵基礎(chǔ)設(shè)施信息安全防護的CIP系列標準,并由美國聯(lián)邦監(jiān)管委員會(FERC)于2009年批準成為強制性標準。美國在國家層面上工業(yè)控制系統(tǒng)信息安全工作還包括2個國家級專項計劃[16]:美國能源部(DOE)的《國家SCADA測試床計劃(NSTB)》 [17-18]和美國國土安全部(DHS)的《控制系統(tǒng)安全計劃(CSSP)》 [19]。美國的工控系統(tǒng)已經(jīng)逐步形成完整的信息安全管理體制和技術(shù)體系。與美國相比,歐盟及歐洲各國的關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全的工作起步較晚。但是針對關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全,歐洲已經(jīng)開展了一系列的大型專項計劃。例如2004年至2010年歐共體委員會發(fā)布一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護的報告[20-21];歐洲網(wǎng)絡(luò)和信息安全局(ENISA)在2011年12月發(fā)布《保護工業(yè)控制系統(tǒng)》系列報告,全面總結(jié)當前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀[22],充分反映出分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全面臨著嚴峻的考驗。工控系統(tǒng)安全性引起了我國政府的高度重視,國家發(fā)改委自2010年起開始組織信息安全專項,將工業(yè)控制系統(tǒng)安全問題作為獨立領(lǐng)域重點支持[23]。國家自然科學基金委也加大對工控系統(tǒng)安全性研究立項和資助,重點資助了湖南大學和浙江大學開展智能電網(wǎng)和工控系統(tǒng)安全脆弱性評估與分析研究。
2.2 分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的比較
分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題,面臨著來自不同方面的威脅,如管理信息層面臨來自互聯(lián)網(wǎng)的攻擊,也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進入工控網(wǎng),一直到現(xiàn)場網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作,最嚴重的要屬第三方運維人員對現(xiàn)場設(shè)備的操作;還有遠程撥號的攻擊,有現(xiàn)場及野外搭線的威脅等。當然不同行業(yè)面臨的威脅和風險重點不同,比如軍工行業(yè)主要強調(diào)工控網(wǎng)和涉密網(wǎng)連接時的信息保密;石化強調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。國際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細描述了各種威脅來源,也從策略程序、平臺及網(wǎng)絡(luò)等方面講述了可能的風險和脆弱性。這些都從不同角度說明分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全既包括SCADA、DCS等信息物理融合系統(tǒng)自身的信息安全,又包括工控系統(tǒng)對相互依賴的關(guān)鍵基礎(chǔ)設(shè)施的影響。
分布式網(wǎng)絡(luò)控制系統(tǒng)會遭遇到與傳統(tǒng)IT系統(tǒng)相同的安全問題,且還會遭遇到很多不同于傳統(tǒng)IT技術(shù)的安全問題,其根源在于各自的安全目標不同。在傳統(tǒng)的IT信息技術(shù)領(lǐng)域,通常將機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱為安全的三種基本屬性,并通常認為機密性的優(yōu)先級最高,完整性次之,可用性最低。而分布式網(wǎng)絡(luò)控制系統(tǒng)的安全目標則正好相反,可用性的優(yōu)先級最高。
其中可用性是保證所有資源及信息都處于可用狀態(tài);完整性是保證所有信息均保持完整正確,沒有被篡改、刪除;機密性是保證正確的人可以訪問正確的信息。與傳統(tǒng)的IT系統(tǒng)不同,分布式網(wǎng)絡(luò)控制系統(tǒng)將可用性放在第一位,因為工業(yè)數(shù)據(jù)都是原始格式,需要配合有關(guān)使用環(huán)境進行分析才能獲取其價值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線停機或誤動作都有可能導致巨大經(jīng)濟損失,甚至是人員生命危險和環(huán)境的破壞。當控制系統(tǒng)安全保護層被突破后仍必須保證生產(chǎn)過程的安全,盡量降低對人員、環(huán)境、資產(chǎn)的破壞。
除此之外,工控系統(tǒng)的實時性指標也非常重要,且在進行安全加固時各個系統(tǒng)的側(cè)重點也有所區(qū)別。表1[24]給出了分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)在不同性能指標方面的區(qū)別。
3 分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究
考慮網(wǎng)絡(luò)環(huán)境對控制系統(tǒng)性能和設(shè)計的影響是分布式網(wǎng)絡(luò)控制系統(tǒng)理論研究的一個重點。IEEE 會刊于2001 年[25],2004 年[26]和2007 年[27,28]相繼出版了關(guān)于網(wǎng)絡(luò)化控制系統(tǒng)的專刊,對網(wǎng)絡(luò)誘導時延、網(wǎng)絡(luò)數(shù)據(jù)丟失、時序錯亂、調(diào)度優(yōu)化等多個方面進行了論述[29],給出了模糊控制、預測控制、自適應控制、魯棒控制、多數(shù)率采樣控制、時間/事件混合驅(qū)動等多種先進控制算法。但上述研究主要限于考慮通信網(wǎng)絡(luò)在未受到惡意攻擊情況下網(wǎng)絡(luò)自身因素對控制系統(tǒng)設(shè)計的外在影響。
當系統(tǒng)受到惡意攻擊時,系統(tǒng)接收或傳遞的部分或全部信息可能受到惡意篡改,系統(tǒng)中某些設(shè)備、控制元器件更可能因接到錯誤命令遭到破壞或帶來不必要的事故。因此,如何讓系統(tǒng)在受到惡意攻擊后仍能保持一定性能,最大限度降低事故引發(fā)的破壞,是我們自動化人致力研究的問題。目前,針對系統(tǒng)受到信息物理惡意攻擊下的工業(yè)控制系統(tǒng)安全性問題,可以按照攻擊的研究切入點不同主要分為兩類:信息安全防護和基于系統(tǒng)理論的安全性能分析與安全控制。
3.1 信息安全防護
信息安全防護研究主要借鑒IT信息安全方法,通過脆弱性分析和風險評估,分析系統(tǒng)潛在的系統(tǒng)漏洞和攻擊路徑,結(jié)合工業(yè)控制系統(tǒng)特點設(shè)計信息安全防護措施。文[30]給出了一種攻擊圖模型,這種模型搜集了所有可能的網(wǎng)絡(luò)入侵方案,同時使用多準則決策技術(shù)來評估電力控制系統(tǒng)通信網(wǎng)絡(luò)的脆弱性。Ten 等在文[31、32]中提出了一個基于Petri-nets和攻擊樹模型的脆弱性評估框架,這個框架從系統(tǒng)、方案以及通道點三個層面系統(tǒng)分析了變電站和控制中心的脆弱性,并以負載丟失的方式衡量了網(wǎng)絡(luò)攻擊可能帶來的損失。面對網(wǎng)絡(luò)層面存在的風險,大量的研究工作聚焦于改進舊有的協(xié)議,賦予其適應如今趨勢的安全特性。例如,文[33-35] 提出通過修改ICCP,DNP3和Modbus等傳統(tǒng)SCADA協(xié)議,在保持與現(xiàn)有系統(tǒng)兼容的前提下增強其安全性。此外,考慮到網(wǎng)絡(luò)控制系統(tǒng)對可用性的嚴格要求以及傳統(tǒng)加密方法的時延性,Tsang和Smith在文[36]中提出了一種BITW(網(wǎng)路嵌入式)加密方法。這種方法通過減少加密和認證過程中的信息滯留,明顯改善了其時延性。在認證方面,Khurana等在文[37]中定義了電網(wǎng)中認證協(xié)議的設(shè)計準則。此外,文[38]提出了更靈活的認證協(xié)議來保證認證的長期有效性,并為應對密鑰妥協(xié)以及認證模塊的脆弱性設(shè)計了密鑰更新和重塑算法。文[39]針對智能電網(wǎng)不同的角色具有不同接入權(quán)限的特點提出基于角色的智能電網(wǎng)接入控制模型;文[40]針對信息物理系統(tǒng)實時性要求,設(shè)計了一種輕量級兩步共同認證協(xié)議;文[41]針對智能電網(wǎng)網(wǎng)絡(luò)攻擊,設(shè)計了一種分層入侵檢測方法。上述基于信息安全方法的研究針對工業(yè)控制系統(tǒng)角色權(quán)限、實時性要求、分層網(wǎng)絡(luò)架構(gòu)等特點提出了安全防護措施。目前國內(nèi)工業(yè)控制系統(tǒng)安全的研究重點在信息安全防護技術(shù)的研發(fā)。在工業(yè)控制系統(tǒng)安全脆弱性分析和攻擊建模方面,文[42]研究了基于攻擊圖的控制網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)攻擊建模;文[43]針對分布式網(wǎng)絡(luò)故障檢測檢測及恢復介紹了故障冗余及恢復技術(shù);文[44、45]針對電力系統(tǒng)提出了系統(tǒng)脆弱性和安全分析方法;文[46]詳細分析了工業(yè)控制系統(tǒng)中的風險要素及其相互關(guān)系;文[47]提出最優(yōu)子模式分配的敏感指標構(gòu)建方法。在入侵檢測系統(tǒng)和安全防護設(shè)計方面,文[43]設(shè)計了一種深度防御自適應入侵檢測系統(tǒng),文[48]提出基于案例同理的入侵檢測關(guān)聯(lián)分析模型;文[49]設(shè)計了一種安全交換機制,保證接入網(wǎng)絡(luò)的用戶的合法性;文[50]提出通過功能安全和信息安全結(jié)合建模抵御惡意攻擊。
總體來說,國際在工業(yè)控制系統(tǒng)的信息安全防護方面的研究較深入,提出了“縱深防御”的工業(yè)控制系統(tǒng)信息安全策略。但主要還是針對工業(yè)控制系統(tǒng)特點與限制,擴展IT信息安全方法,大多僅停留在信息層,很少與工業(yè)控制系統(tǒng)的物理動態(tài)有機結(jié)合。國內(nèi)在工業(yè)控制系統(tǒng)信息安全的研究還處于起步階段,相關(guān)研究主要集中在系統(tǒng)脆弱性評估和安全分析上,缺乏在控制系統(tǒng)理論框架下對工業(yè)控制系統(tǒng)安全性的研究。
3.2 基于系統(tǒng)理論的安全性能分析與安全控制
基于系統(tǒng)理論的安全性能分析與安全控制的研究,其安全性問題主要從工業(yè)控制系統(tǒng)的物理防護機制和物理系統(tǒng)模型切入,研究可能繞過物理防護機制的壞數(shù)據(jù)注入攻擊方法,或者直接針對物理系統(tǒng)模型,研究破壞物理系統(tǒng)性能的攻擊策略,這部分研究可統(tǒng)稱為基于系統(tǒng)理論的攻擊向量和建模的研究。另外,最近國際上部分學者提出要充分利用系統(tǒng)物理動態(tài)特性設(shè)計入侵檢測和安全控制算法,即充分挖掘系統(tǒng)物理系統(tǒng)動態(tài)所具備的安全性能。根據(jù)所研究系統(tǒng)物理模型的不同,基于系統(tǒng)理論的安全性能分析與安全控制的研究又可分為靜態(tài)系統(tǒng)和動態(tài)系統(tǒng)研究。
在靜態(tài)系統(tǒng)模型下信息物理系統(tǒng)的研究中,主要分為三類:(a)攻擊向量研究;(b)針對攻擊向量設(shè)計安全防護;(c)針對攻擊向量,研究靜態(tài)系統(tǒng)極限性能,利用極限性能設(shè)計安全防護。在靜態(tài)系統(tǒng)模型下,攻擊向量研究注重在系統(tǒng)物理防護限制下的攻擊模型設(shè)計:如文[51]研究了具有壞數(shù)據(jù)檢測功能的狀態(tài)估計中測量器接入受限和資源受限情況下的攻擊向量;文[52]研究了具有壞數(shù)據(jù)檢測和系統(tǒng)拓撲限制的狀態(tài)估計中的拓撲攻擊。在攻擊向量研究的基礎(chǔ)上,一部分研究者開始針對典型攻擊向量,利用PMU布置等關(guān)鍵節(jié)點防護或新的壞數(shù)據(jù)檢測方法設(shè)計安全防護:如文[53,54]針對攻擊特點設(shè)計最大化攻擊影響攻擊向量,提出基于GLRT廣義似然比測試的壞數(shù)據(jù)檢測方法,通過增強壞數(shù)據(jù)檢測功能,實現(xiàn)攻擊的檢測;文[55,56]研究了分布式狀態(tài)估計系統(tǒng)攻擊向量,并針對分布式狀態(tài)估計算法收斂性和系統(tǒng)拓撲特點,設(shè)計了攻擊檢測和攻擊定位方法;文[57]針對壞數(shù)據(jù)注入攻擊,提出最小攻擊數(shù)量優(yōu)化問題和最小化PMU布置的安全防護方法。針對以上研究缺乏理論指導,研究者基于物理系統(tǒng)特點,分析靜態(tài)系統(tǒng)的極限性能:如文[58]針對靜態(tài)系統(tǒng)狀態(tài)估計問題,分析了攻擊可檢測性條件,即滿足測量矩陣列滿秩條件;文[59]研究了電力系統(tǒng)狀態(tài)估計中的拓撲攻擊,分析了攻擊可檢測的充分必要條件,并利用以上條件設(shè)計基于PMU布置等關(guān)鍵節(jié)點防護的安全防護措施。
在靜態(tài)系統(tǒng)中研究工業(yè)控制系統(tǒng)安全性問題為動態(tài)系統(tǒng)的研究提供了思路,但基于靜態(tài)系統(tǒng)的研究沒有利用系統(tǒng)動態(tài)性能;同時,在攻擊建模中沒有利用系統(tǒng)中已有的信息安全措施。
動態(tài)系統(tǒng)模型下的系統(tǒng)安全性能與控制研究與靜態(tài)系統(tǒng)模型類似,主要分為三類:攻擊向量研究;基于攻擊向量設(shè)計安全防護;在系統(tǒng)理論下分析系統(tǒng)極限性能,并利用極限性能分析設(shè)計安全防護。在攻擊向量研究中,文[60]研究了實時電力市場在壞數(shù)據(jù)檢測約束下的攻擊向量;文[61]研究了帶有卡爾曼濾波器和LQG控制器的線性時滯系統(tǒng)的攻擊向量。根據(jù)攻擊向量,相關(guān)學者提出利用動態(tài)系統(tǒng)特點設(shè)計安全防護:文[62]通過在控制系統(tǒng)中加入獨立高斯噪聲,對重放攻擊加以防護;文[63]通過最優(yōu)化系統(tǒng)認證機制,實現(xiàn)對系統(tǒng)整體攻擊檢測的最大化。由于以上安全防護設(shè)計僅僅是針對具體攻擊特點和已有經(jīng)驗的防護設(shè)計,缺乏具體理論指導。最近有些學者提出研究物理動態(tài)系統(tǒng)在受攻擊下的系統(tǒng)安全極限性能,并以此為指導,設(shè)計系統(tǒng)的安全防護:如文[64]在廣義系統(tǒng)框架下,將攻擊刻畫為獨立的任意無界干擾,分析攻擊的可檢測性和可辨識性,并以此指導設(shè)計入侵檢測算法;文[65]研究在獨立的任意無界干擾攻擊下系統(tǒng)狀態(tài)的可觀測性,基于壓縮感知理論給出系統(tǒng)可觀測極限性能條件,并以此為指導設(shè)計系統(tǒng)彈性控制算法。
在動態(tài)系統(tǒng)模型下對信息物理系統(tǒng)的安全性研究,更接近系統(tǒng)實際性能。但針對攻擊構(gòu)建防護的方法,缺乏動態(tài)系統(tǒng)框架下極限性能分析的指導。另一方面,在動態(tài)系統(tǒng)框架下分析極限性能的研究把攻擊刻畫為獨立的任意無界干擾,沒有利用系統(tǒng)固有物理防護約束,以及系統(tǒng)信息安全約束,導致安全防護策略過于保守,實現(xiàn)成本高。
表2對工業(yè)控制系統(tǒng)的安全防護與控制研究現(xiàn)狀進行了總結(jié),表明當前針對信息物理攻擊的工業(yè)控制系統(tǒng)安全方面的研究存在如下問題:信息安全方法與基于系統(tǒng)理論的安全控制方法分離,即基于系統(tǒng)理論的安全控制研究中沒有考慮系統(tǒng)固有物理防護和信息安全機制帶來的攻擊約束,使得基于系統(tǒng)理論設(shè)計的安全檢測與彈性安全控制算法不能與信息安全機制有機融合,由此造成了基于系統(tǒng)理論的安全防護策略過于保守,降低了其在工程中的使用價值。另外,需要指出的是,上述研究大部分是針對單控制中心的工業(yè)控制系統(tǒng)安全防護與控制,國際上針對具多控制中心的分布式網(wǎng)絡(luò)控制系統(tǒng)的安全性能分析與安全控制方面的研究非常少。
4 結(jié)語
本文詳細介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問題與傳統(tǒng)IT信息安全問題的區(qū)別,闡述了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題的研究現(xiàn)狀及存在的問題,針對分布式網(wǎng)絡(luò)控制系統(tǒng)信息物理安全的一些重要問題提出了見解。
讀者可以從文中所提及的相應參考文獻中找到更深層次的討論。我們寄希望讀者能從中發(fā)現(xiàn)更多新的問題,提供有效的解決方案,并在此領(lǐng)域繼續(xù)努力,為分布式控制系統(tǒng)的安全運行作出貢獻。
基金項目: 國家自然科學基金(61104091 ,61172064,61233004,61473184)。
參考資料:
[1] A. Bemporad, M. Heemels, M. Johansson, Lecture Notes in Control and Information Sciences: Networked control systems[R]. Springer London Ltd, ISBN ISBN 978-0-85729-033-5, 2010.
[2] h t t p : / / i n t l . c e . c n / s p e c i a l s / z x g j z h / 2 0 1 3 0 8 / 2 3 /t20130823_24687048.shtml
[3] http://www.chinamission.be/chn////zogx/kjhz/t1089500.htm
[4] S. C. Suh, U. J. Tanik, J. N. Carbone, A. Eroglu. Applied Cyber-Physical Systems[J]. Springer, New York, ISBN 978-1-4614-7335-0, 2014.
[5] K. Kim, P. R. Kumar. Cyber-physical systems: a perspective at the centennial[J]. Proceeding of The IEEE, 2012,100: 1287-1308.
[6] 游科友,謝立華. 網(wǎng)絡(luò)控制系統(tǒng)的最新研究綜述[N],自動化學報,2013,39(2):101-118.
[7] The President’s Commission on Critical Infrastructure P r o t e c t i o n . C r i t i c a l F o u n d a t i o n s : P r o t e c t i n g Ame r i c a’s Infrastructure[R]. The Report of President’s Commission on Critical Infrastructure Protection, Washington DC, USA, 1997.
[8] United States Computer Emergency Readiness Team, USCERT. The National Strategy to Secure Cyberspace[M]. Washington DC, USA, 2003.
[9] Department of Homeland Security (DHS). National Infrastructure Protection Plan[M]. Washington DC, USA, 2006.
[10] Department of Homeland Security (DHS) National Cyber Security Division. Strategy for securing control systems: coordinating and guiding Federal, State, and Private Sector Initiatives[M]. Washington DC, USA, 2009.
[11] The National Research Council, Making the Nation Safer: the Role of Science and Technology in Countering Terrorism[M]. Washington DC, USA, 2002.
[12] United States General Accounting Office, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, GAO-04-354[M]. Washington DC, USA, 2004.
[13] J. Eisenhauer, P. Donnelly, M. Ellis, et al. Roadmap to secure control systems in the energy sector[M]. Washington DC, USA, the US Department of Energy and the US Department of Homeland Security, 2006.
[14] Department of Homeland Security, National Infrastructure Protection Plan[M]. Washington DC, USA, 2009.
[15] Energy Sector Control Systems Working Group (ESCSWG), Roadmap to Achieve Energy Delivery Systems Cyber Security[M]. Washington DC, USA, Office of Electricity Delivery & Energy Reliability, 2011.
[16] http://talontechsoales.cm/blog/?p=104.
[17] http://energy.gov/oe/technology-development/energydelivery-systems-cybersecurity/national-scada-test-bed.
[18] Office of Electricity Delivery and Energy Reliability, US Department of Energy. “NSTB fact sheet, national SCADA testbed, enhancing control systems security in the energy sector”, http://www.inl.gov/scada/factsheets/d/nstb.pdf .
[19] US-CERT. ICS-CERT, http://www.us-cert.gov/control_system/.
[20] Commission of the European Communities. Communication from the Commission – on a European Programme for Critical Infrastructure Protection[M]. COM(2006)786, Brussels, Belgium,2006.
[21] Commission of the European Communities. The European Economic and Social Committee and the Committee of the Regions– on Critical Infrastructure Protection[M]. COM(2009)149, Brussels, Belgium, 2009.
[22] The European Network and Information Security Agency, Protecting Industrial Control Systems, Recommendations for Europe and Member States[S]. Heraklion, Greece, 2011.
[23] 國家發(fā)展改革委辦公廳關(guān)于組織實施2010年信息安全專項有關(guān)事項的通知[S].發(fā)改辦高技[2010]549號.
[24] 劉威,李冬,孫波. 工業(yè)控制系統(tǒng)安全分析[C]. 第27次全國計算機安全學術(shù)交流會論文集,2012,(8):41-43.
[25] L.G. Bushnell. Special Section on Networks and Control[J]. IEEE Control Systems Magazine, 2001,21(1): 22-23.
[26] P. Antsaklis, J. Baillieul. Guest editorial special issue on networked control systems[J]. IEEE Transactions on Automatic Control, 2004, 49(9): 1421-1423.
[27] P. Antsaklis, J. Baillieul. Special issue on technology of networked control system[J]. Proceeding of the IEEE, 2007,95(1):5-8.
[28] F.Y. Wang, et. al. Guest Editorial Networking, Sensing, and Control for Networked Control Systems: Architectures, Algorithms, and Applications[R]. IEEE Transactions on Systems, Man, and Cybernetics - Part C: Applications and Reviews, 2007,37(2): 157-159.
[29] G. C. Walsh, H. Ye, and L. G. Bushnel. Stability analysis of networked control systems[J]. IEEE Transactions on Control Systems and Technology, 2002,10(3):438-446 .
[30] N. Liu, J. Zhang, H. Zhang, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J], IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.
[31] C. W. Ten, C. C. Liu, G. Manimaran. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008,23(4): 1836-1846.
[32] C. W. Ten, G. Manimaran, C. C. Liu. Cybersecurity for critical infrastructures: attack and defense modeling[J]. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 2010,40(4): 853-865.
[33] M. Majdalawieh, F. Parisi-Presicce, D. Wijesekera. DNPSec: Distributed network protocol version 3 (DNP3) security framework, Advances in Computer, Information, and Systems Sciences, and Engineering[M]. Springer Netherlands, 2006. 227-234.
[34] I. N. Fovino, A. Carcano, M. Masera, et al. Design and implementation of a secure modbus protocol, Critical Infrastructure Protection III[M]. Springer Berlin Heidelberg, 2009. 83-96.
[35] J. T. Michalski, A. Lanzone, J. Trent, et al. Secure ICCP Integration Considerations and Recommendations[R]. SANDIA report, 2007.
[36] P. P. Tsang, S. W. Smith. YASIR: A low-latency, highintegrity security retrofit for legacy SCADA systems, Proceedings of The IFIP TC-11 23rd International Information Security Conference[M]. Springer US, 2008:445-459.
[37] H. Khurana, R. Bobba, T. Yardley, et al. Design principles for power grid cyber-infrastructure authentication protocols[R]. the 43rd Hawaii International Conference on System Sciences (HICSS), 2010. 1-10.
[38] R. Chakravarthy, C. Hauser, D. E. Bakken. Long-lived authentication protocols for process control systems[J]. International Journal of Critical Infrastructure Protection, 2010,3(3): 174-181.
[39] H. Cheung, A. Hamlyn, and T. Mander, Role-based model security access control for smart power-grids computer networks[N], in Power and Energy Society General Meeting-Conversion and Delivery of Electrical Energy in the 21st Century, 2008,(7):1-7.
[40] M. M. Fouda, Z. M. Fadlullah, and N. Kato, A lightweight message authentication scheme for smart grid communications[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):675-685.
[41] Y. Zhang, L. Wang, and W. Sun, Distributed intrusion detection system in a multi-layer network architecture of smart grids[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):796-808.
[42] 凌從禮. 工業(yè)控制系統(tǒng)脆弱性分析與建模研究[D].浙江大學, 2013.
[43] 王偉, 陳秀真, 管曉宏等. 深度防衛(wèi)的自適應入侵檢測系統(tǒng)[N]. 西安交通大學學報, 2005,39(4): 339.
[44] 陳杰, 高會生. 電力通信網(wǎng)運行方式建模[J]. 電力系統(tǒng)通信,10:45-49, 2011.
[45] 高會生, 戴雪嬌, 劉柳. 變電站綜合自動化系統(tǒng)通信安全性評估[J]. 電力系統(tǒng)通信, 2012,(2):1-4.
[46] 陸赟. 基于威脅和脆弱性的ICS量化風險評估方法[D].華東理工大學,2013.
[47] 夏秦, 王志文, 盧柯. 入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法[N]. 西安交通大學學報, 2013,02: 14-19.
[48] 曾茹剛, 管曉宏, 昝鑫等. 基于案例推理的入侵檢測關(guān)聯(lián)分析研究[J]. 計算機工程與應用,2006, 42(4): 138-141 .
[49] 亞楠. 用于工業(yè)控制系統(tǒng)的安全交換機設(shè)計[D]. 浙江大學, 2013.
[50] 宋巖, 王天然, 徐皚冬等. 控制系統(tǒng)Safe-Sec安全通信方法研究[J].自動化儀表,2013,34(11):30-33, 38.
[51] Y. Liu, P. Ning, and M. K. Reiter, False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC), 2011, 14(1): Article 13:1-33.
[52] J. Kim and L. Tong, On topology attack of a smart grid[J]. in Innovative Smart Grid Technologies (ISGT), 2013,(2):1-6.
[53] M. Ozay, I. Esnaola, and F. Vural, Distributed models for sparse attack construction and state vector estimation in the smart grid[J]. in IEEE Third International Conference on Smart Grid Communications (Smart Grid Comm), 2012, (11): 306-311 .
[54] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on smart grid state estimation: attack strategies and countermeasures[J] in First IEEE International Conference on Smart Grid Communications (Smart Grid Comm),2010,(10): 220-225.
[55] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on the smart grid[J]. IEEE Transactions on Smart Grid, 2011, 2(4): 645-658.
[56] O. Vukovic and G. Dan. On the security of distributed power system state estimation under targeted attacks[J]. in Proceedings of the 28th Annual ACM Symposium on Applied Computing, 2013,(3):666-672.
[57] O. Vukovic and G. Dan, Detection and localization of targeted attacks on fully distributed power system state estimation[J]. in IEEE International Conference on Smart Grid Communications (SmartGridComm), 2013, 10):390-395.
[58] R. B. Bobba, K. M. Rogers, and Q. Wang, “Detecting false data injection attacks on dc state estimation,” in the First Workshop on Secure Control Systems, 2010.
[59] J. Kim and L. Tong. On topology attack of a smart grid: undetectable attacks and countermeasures[J]. IEEE Journal on Selected Areas in Communications, 2013,31(7): 1294-1305.
[60] L. Xie, Y. Mo, and B. Sinopol. Integrity data attacks in power market operations[J]. IEEE Transactions on Smart Grid, 2011,12,2(4): 659-666.
[61] Y. Mo, E. Garone, and A. Casavola. False data injection attacks against state estimation in wireless sensor networks[J]. in 49th IEEE Conference on Decision and Control (CDC), 2010,(12) :5967-5972.
[62] Y. Mo and B. Sinopoli. Secure control against replay attacks[R]. in 47th Annual Allerton Conference on Communication, Control, and Computing, Allerton, 2009: 911-918.
[63] R. Chabukswar, Y. Mo, and B. Sinopoli. Detecting Integrity Attacks on SCADA Systems[R]. in Proceedings of the 18th IFAC World Congress, Milano, Italy, 2011,(3):11239-11244.
[64] F. Pasqualetti, F. Dorfler, and F. Bullo. Attack detection and identification in cyber-physical systems[J] IEEE Transactions on Automatic Control, 2013,58(11): 2715-2729.
[65] H. Fawzi, P. Tabuada, and S. Diggavi, Secure estimation and control for cyber-physical systems under adversarial attacks[J]. IEEE Transactions on Automatic Control, 2014,59(6): 1454-1467.
作者簡介
鄔晶(1979-),女,2008年于加拿大阿爾伯塔大學獲博士學位,現(xiàn)為上海交通大學自動化系副教授。主要研究方向為智能電網(wǎng)、網(wǎng)絡(luò)控制系統(tǒng)分析與綜合,系統(tǒng)安全等。
龍承念,男,現(xiàn)為上海交通大學自動化系教授,教育部新世紀優(yōu)秀人才,主要研究方向為無線網(wǎng)絡(luò)、認知無線電、協(xié)作通信等。
李少遠,男,現(xiàn)為上海交通大學自動化系教授,國家杰出青年基金獲得者,主要研究方向為自適應預測控制,網(wǎng)絡(luò)化分布式系統(tǒng)的優(yōu)化控制及數(shù)據(jù)驅(qū)動系統(tǒng)控制器設(shè)計。
北京市公安局海淀分局備案號:11010802023656號