今日頭條
官方微信
官方抖音
資訊頻道 1 引言
隨著控制對象日益復雜、分布區域不斷擴大,傳統的點對點式的通訊方式已經不能滿足工業控制某些新的需求。把網絡引入控制系統,采用分布式的控制方式克服了傳統控制方式的很多缺點,使得分布式網絡控制系統(Distributed Networked Control System,DNCS)在工業界得到越來越多的關注和應用[1]。然而,傳統控制系統的安全性主要依賴于其技術的隱秘性,幾乎未采取任何安全措施。隨著企業管理層對生產過程數據的日益關注,工業控制系統越來越多地采用開放Internet技術實現與企業網,甚至是物聯網的互連,使得一直以來被認為相對孤立和相對安全的工業控制系統在接入物聯網后成為黑客、不法分子,甚至網絡戰的攻擊目標。作為工業控制系統神經中樞的SCADA(Supervisory Control And Data Acquisition)系統,即數據采集、監視與控制系統,是由計算機設備、工業過程控制組件和網絡組成的典型的分布式網絡控制系統,更是成為攻擊目標的中心[2-3]。一些專門針對分布式網絡控制系統的計算機病毒也逐漸出現并展示出巨大的破壞力。如2009年在拉斯維加斯召開的被譽為學術派的“黑客大會”上美國網絡安全設計和部署咨詢公司(IOActive)發布了一種智能電表的蠕蟲病毒,并現場模擬演示了一個“恐怖”的場景:一種智能電表的蠕蟲病毒竟能讓1.5萬戶家庭的電力供應在24小時內陷入癱瘓,震驚了美國安全部和能源部。2010年9月一個名為“震網”(Stuxnet)的特種病毒席卷了全球工業界,感染了全球超過45000個網絡,徹底將工業控制系統的安全問題暴露出來,引起了世界各國的高度重視。
據權威工業安全事件信息庫(Repository of Industrial Security Incidents, RISI)統計,截至2011年10月,全球己發生200余起針對工業控制系統的攻擊事件,超過了過去10年安全事件的總和。其中,電力、石油、交通和污水處理等分布距離遠、生產單位分散的重要基礎行業,因其廣域分布的特性使得入侵者更容易通過網絡遠程操縱控制系統,給各國基礎行業帶來了巨大安全隱患。因此,分布式網絡控制系統的信息安全問題引起了國內外諸多研究工作者的關注,成為國際自動控制領域進入21世紀以來的一個熱點研究課題[4-5]。本綜述將從控制和IT領域兩個方面介紹分布式網絡控制系統的信息安全研究現狀,基本方法及其存在的主要安全控制問題。
2 分布式網絡控制系統信息安全問題
分布式網絡控制系統是由通信網絡組成閉環回路的空間分布式控制系統,通常含有四個基本組成單元,即傳感器、控制器、執行器和通信網絡。其中,通信網絡是為了連接分布在不同空間位置上的組成單元,其基本結構如圖1 所示。
圖1 分布式網絡化控制系統結構圖
與傳統的點對點控制結構相比,DNCS具有資源共享、成本低、靈活性高、安裝維護簡單等優點,已經成為學術界和工業界的研究熱點之一[6]。然而,隨著計算機技術和網絡技術的飛速發展,特別是信息化與工業化深度融合以及物聯網的快速發展,最初依賴于專用協議和系統封閉性的安全保障逐漸被打破。在當前工業控制系統廣泛采用標準、通用協議、軟硬件系統以及與其它網絡互連的形勢下,系統越來越面臨著病毒、木馬、黑客入侵、拒絕服務等來自于網絡的威脅,其安全問題日益突出。
2.1 分布式網絡控制系統信息安全現狀近年來,分布式網絡控制系統信息安全大事件報道不絕于耳,如:
·2007年,攻擊者入侵加拿大一個水利SCADA控制系統,破壞了取水調度的控制計算機;
·2008年,攻擊者入侵波蘭某城市地鐵系統,通過電視遙控器改變軌道扳道器,致四節車廂脫軌;
·2010年,西門子首次監測到專門攻擊該公司工業控制系統的Stuxnet病毒,也稱為震網病毒;伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,嚴重威脅核反應堆安全運營;
·2011年,黑客入侵數據采集與監控系統,使美國伊利諾伊州城市供水系統的供水泵遭到破壞;
·2011年,微軟警告稱最新發現的“Duqu”病毒可從工業控制系統制造商收集情報數據;
·2012年,兩座美國電廠遭USB病毒攻擊,感染了每個工廠的工控系統,可被竊取數據;
·2012年,發現攻擊多個中東國家的惡意程序Flame火焰病毒,它能收集各行業的敏感信息。
我國同樣遭受著工業控制系統信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠某裝置控制系統分別感染Conficker病毒,都造成控制系統服務器與控制器通訊不同程度地中斷。
實際上,美國早在20年前就已經在政策層面上關注工業控制系統信息安全問題[7-10]。歷經克林頓、布什及奧巴馬三屆政府,發布了一系列關于關鍵基礎設施保護和工業控制系統信息安全方面的國家法規戰略。如2002年美國國家研究理事會將“控制系統攻擊”作為需要“緊急關注”的事項[11],2004年,美國政府問責署發布《防護控制系統的挑戰和工作》報告[12],2006年發布《能源行業防護控制系統路線圖》[13],2009年出臺國家基礎設施保護計劃(NIPP)[14]和2011年發布《實現能源供應系統信息安全路線圖》[15]等。北美電力可靠性委員會(NERC)還專門制定了用于關鍵基礎設施信息安全防護的CIP系列標準,并由美國聯邦監管委員會(FERC)于2009年批準成為強制性標準。美國在國家層面上工業控制系統信息安全工作還包括2個國家級專項計劃[16]:美國能源部(DOE)的《國家SCADA測試床計劃(NSTB)》 [17-18]和美國國土安全部(DHS)的《控制系統安全計劃(CSSP)》 [19]。美國的工控系統已經逐步形成完整的信息安全管理體制和技術體系。
與美國相比,歐盟及歐洲各國的關鍵基礎設施保護和工業控制系統信息安全的工作起步較晚。但是針對關鍵基礎設施保護和工業控制系統信息安全,歐洲已經開展了一系列的大型專項計劃。例如2004年至2010年歐共體委員會發布一系列關于關鍵基礎設施保護的報告[20-21];歐洲網絡和信息安全局(ENISA)在2011年12月發布《保護工業控制系統》系列報告,全面總結當前工業控制系統信息安全現狀[22],充分反映出分布式網絡控制系統信息安全面臨著嚴峻的考驗。工控系統安全性引起了我國政府的高度重視,國家發改委自2010年起開始組織信息安全專項,將工業控制系統安全問題作為獨立領域重點支持[23]。國家自然科學基金委也加大對工控系統安全性研究立項和資助,重點資助了湖南大學和浙江大學開展智能電網和工控系統安全脆弱性評估與分析研究。
2.2 分布式網絡控制系統與傳統IT系統的比較分布式網絡控制系統的信息物理安全問題,面臨著來自不同方面的威脅,如管理信息層面臨來自互聯網的攻擊,也有企業內部惡意的攻擊通過企業網進入工控網,一直到現場網絡;在控制層有系統管理人員非法操作,最嚴重的要屬第三方運維人員對現場設備的操作;還有遠程撥號的攻擊,有現場及野外搭線的威脅等。當然不同行業面臨的威脅和風險重點不同,比如軍工行業主要強調工控網和涉密網連接時的信息保密;石化強調DCS系統生產的連續和非異常;電力強調SCADA調度系統的不中斷等。國際NIST SP800-82《工業控制系統安全指南》中已經詳細描述了各種威脅來源,也從策略程序、平臺及網絡等方面講述了可能的風險和脆弱性。這些都從不同角度說明分布式網絡控制系統的信息安全既包括SCADA、DCS等信息物理融合系統自身的信息安全,又包括工控系統對相互依賴的關鍵基礎設施的影響。
分布式網絡控制系統會遭遇到與傳統IT系統相同的安全問題,且還會遭遇到很多不同于傳統IT技術的安全問題,其根源在于各自的安全目標不同。在傳統的IT信息技術領域,通常將機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱為安全的三種基本屬性,并通常認為機密性的優先級最高,完整性次之,可用性最低。而分布式網絡控制系統的安全目標則正好相反,可用性的優先級最高。
其中可用性是保證所有資源及信息都處于可用狀態;完整性是保證所有信息均保持完整正確,沒有被篡改、刪除;機密性是保證正確的人可以訪問正確的信息。與傳統的IT系統不同,分布式網絡控制系統將可用性放在第一位,因為工業數據都是原始格式,需要配合有關使用環境進行分析才能獲取其價值。而系統的可用性則直接影響到企業生產,生產線停機或誤動作都有可能導致巨大經濟損失,甚至是人員生命危險和環境的破壞。當控制系統安全保護層被突破后仍必須保證生產過程的安全,盡量降低對人員、環境、資產的破壞。
除此之外,工控系統的實時性指標也非常重要,且在進行安全加固時各個系統的側重點也有所區別。表1[24]給出了分布式網絡控制系統與傳統IT系統在不同性能指標方面的區別。
3 分布式網絡控制系統的信息安全研究
考慮網絡環境對控制系統性能和設計的影響是分布式網絡控制系統理論研究的一個重點。IEEE 會刊于2001 年[25],2004 年[26]和2007 年[27,28]相繼出版了關于網絡化控制系統的專刊,對網絡誘導時延、網絡數據丟失、時序錯亂、調度優化等多個方面進行了論述[29],給出了模糊控制、預測控制、自適應控制、魯棒控制、多數率采樣控制、時間/事件混合驅動等多種先進控制算法。但上述研究主要限于考慮通信網絡在未受到惡意攻擊情況下網絡自身因素對控制系統設計的外在影響。
當系統受到惡意攻擊時,系統接收或傳遞的部分或全部信息可能受到惡意篡改,系統中某些設備、控制元器件更可能因接到錯誤命令遭到破壞或帶來不必要的事故。因此,如何讓系統在受到惡意攻擊后仍能保持一定性能,最大限度降低事故引發的破壞,是我們自動化人致力研究的問題。目前,針對系統受到信息物理惡意攻擊下的工業控制系統安全性問題,可以按照攻擊的研究切入點不同主要分為兩類:信息安全防護和基于系統理論的安全性能分析與安全控制。
3.1 信息安全防護
信息安全防護研究主要借鑒IT信息安全方法,通過脆弱性分析和風險評估,分析系統潛在的系統漏洞和攻擊路徑,結合工業控制系統特點設計信息安全防護措施。文[30]給出了一種攻擊圖模型,這種模型搜集了所有可能的網絡入侵方案,同時使用多準則決策技術來評估電力控制系統通信網絡的脆弱性。Ten 等在文[31、32]中提出了一個基于Petri-nets和攻擊樹模型的脆弱性評估框架,這個框架從系統、方案以及通道點三個層面系統分析了變電站和控制中心的脆弱性,并以負載丟失的方式衡量了網絡攻擊可能帶來的損失。面對網絡層面存在的風險,大量的研究工作聚焦于改進舊有的協議,賦予其適應如今趨勢的安全特性。例如,文[33-35] 提出通過修改ICCP,DNP3和Modbus等傳統SCADA協議,在保持與現有系統兼容的前提下增強其安全性。此外,考慮到網絡控制系統對可用性的嚴格要求以及傳統加密方法的時延性,Tsang和Smith在文[36]中提出了一種BITW(網路嵌入式)加密方法。這種方法通過減少加密和認證過程中的信息滯留,明顯改善了其時延性。在認證方面,Khurana等在文[37]中定義了電網中認證協議的設計準則。此外,文[38]提出了更靈活的認證協議來保證認證的長期有效性,并為應對密鑰妥協以及認證模塊的脆弱性設計了密鑰更新和重塑算法。
文[39]針對智能電網不同的角色具有不同接入權限的特點提出基于角色的智能電網接入控制模型;文[40]針對信息物理系統實時性要求,設計了一種輕量級兩步共同認證協議;文[41]針對智能電網網絡攻擊,設計了一種分層入侵檢測方法。上述基于信息安全方法的研究針對工業控制系統角色權限、實時性要求、分層網絡架構等特點提出了安全防護措施。目前國內工業控制系統安全的研究重點在信息安全防護技術的研發。在工業控制系統安全脆弱性分析和攻擊建模方面,文[42]研究了基于攻擊圖的控制網絡脆弱性網絡攻擊建模;文[43]針對分布式網絡故障檢測檢測及恢復介紹了故障冗余及恢復技術;文[44、45]針對電力系統提出了系統脆弱性和安全分析方法;文[46]詳細分析了工業控制系統中的風險要素及其相互關系;文[47]提出最優子模式分配的敏感指標構建方法。在入侵檢測系統和安全防護設計方面,文[43]設計了一種深度防御自適應入侵檢測系統,文[48]提出基于案例同理的入侵檢測關聯分析模型;文[49]設計了一種安全交換機制,保證接入網絡的用戶的合法性;文[50]提出通過功能安全和信息安全結合建模抵御惡意攻擊。
總體來說,國際在工業控制系統的信息安全防護方面的研究較深入,提出了“縱深防御”的工業控制系統信息安全策略。但主要還是針對工業控制系統特點與限制,擴展IT信息安全方法,大多僅停留在信息層,很少與工業控制系統的物理動態有機結合。國內在工業控制系統信息安全的研究還處于起步階段,相關研究主要集中在系統脆弱性評估和安全分析上,缺乏在控制系統理論框架下對工業控制系統安全性的研究。
3.2 基于系統理論的安全性能分析與安全控制基于系統系統理論的安全性能分析與安全控制的研究,其安全性問題主要從工業控制系統的物理防護機制和物理系統模型切入,研究可能繞過物理防護機制的壞數據注入攻擊方法,或者直接針對物理系統模型,研究破壞物理系統性能的攻擊策略,這部分研究可統稱為基于系統理論的攻擊向量和建模的研究。另外,最近國際上部分學者提出要充分利用系統物理動態特性設計入侵檢測和安全控制算法,即充分挖掘系統物理系統動態所具備的安全性能。根據所研究系統物理模型的不同,基于系統理論的安全性能分析與安全控制的研究又可分為靜態系統和動態系統研究。
在靜態系統模型下信息物理系統的研究中,主要分為三類:(a)攻擊向量研究;(b)針對攻擊向量設計安全防護;(c)針對攻擊向量,研究靜態系統極限性能,利用極限性能設計安全防護。在靜態系統模型下,攻擊向量研究注重在系統物理防護限制下的攻擊模型設計:如文[51]研究了具有壞數據檢測功能的狀態估計中測量器接入受限和資源受限情況下的攻擊向量;文[52]研究了具有壞數據檢測和系統拓撲限制的狀態估計中的拓撲攻擊。在攻擊向量研究的基礎上,一部分研究者開始針對典型攻擊向量,利用PMU布置等關鍵節點防護或新的壞數據檢測方法設計安全防護:如文[53,54]針對攻擊特點設計最大化攻擊影響攻擊向量,提出基于GLRT廣義似然比測試的壞數據檢測方法,通過增強壞數據檢測功能,實現攻擊的檢測;文[55,56]研究了分布式狀態估計系統攻擊向量,并針對分布式狀態估計算法收斂性和系統拓撲特點,設計了攻擊檢測和攻擊定位方法;文[57]針對壞數據注入攻擊,提出最小攻擊數量優化問題和最小化PMU布置的安全防護方法。針對以上研究缺乏理論指導,研究者基于物理系統特點,分析靜態系統的極限性能:如文[58]針對靜態系統狀態估計問題,分析了攻擊可檢測性條件,即滿足測量矩陣列滿秩條件;文[59]研究了電力系統狀態估計中的拓撲攻擊,分析了攻擊可檢測的充分必要條件,并利用以上條件設計基于PMU布置等關鍵節點防護的安全防護措施。
在靜態系統中研究工業控制系統安全性問題為動態系統的研究提供了思路,但基于靜態系統的研究沒有利用系統動態性能;同時,在攻擊建模中沒有利用系統中已有的信息安全措施。
動態系統模型下的系統安全性能與控制研究與靜態系統模型類似,主要分為三類:攻擊向量研究;基于攻擊向量設計安全防護;在系統理論下分析系統極限性能,并利用極限性能分析設計安全防護。在攻擊向量研究中,文[60]研究了實時電力市場在壞數據檢測約束下的攻擊向量;文[61]研究了帶有卡爾曼濾波器和LQG控制器的線性時滯系統的攻擊向量。根據攻擊向量,相關學者提出利用動態系統特點設計安全防護:文[62]通過在控制系統中加入獨立高斯噪聲,對重放攻擊加以防護;文[63]通過最優化系統認證機制,實現對系統整體攻擊檢測的最大化。由于以上安全防護設計僅僅是針對具體攻擊特點和已有經驗的防護設計,缺乏具體理論指導。最近有些學者提出研究物理動態系統在受攻擊下的系統安全極限性能,并以此為指導,設計系統的安全防護:如文[64]在廣義系統框架下,將攻擊刻畫為獨立的任意無界干擾,分析攻擊的可檢測性和可辨識性,并以此指導設計入侵檢測算法;文[65]研究在獨立的任意無界干擾攻擊下系統狀態的可觀測性,基于壓縮感知理論給出系統可觀測極限性能條件,并以此為指導設計系統彈性控制算法。
在動態系統模型下對信息物理系統的安全性研究,更接近系統實際性能。但針對攻擊構建防護的方法,缺乏動態系統框架下極限性能分析的指導。另一方面,在動態系統框架下分析極限性能的研究把攻擊刻畫為獨立的任意無界干擾,沒有利用系統固有物理防護約束,以及系統信息安全約束,導致安全防護策略過于保守,實現成本高。
表2對工業控制系統的安全防護與控制研究現狀進行了總結,表明當前針對信息物理攻擊的工業控制系統安全方面的研究存在如下問題:信息安全方法與基于系統理論的安全控制方法分離,即基于系統理論的安全控制研究中沒有考慮系統固有物理防護和信息安全機制帶來的攻擊約束,使得基于系統理論設計的安全檢測與彈性安全控制算法不能與信息安全機制有機融合,由此造成了基于系統理論的安全防護策略過于保守,降低了其在工程中的使用價值。另外,需要指出的是,上述研究大部分是針對單控制中心的工業控制系統安全防護與控制,國際上針對具多控制中心的分布式網絡控制系統的安全性能分析與安全控制方面的研究非常少。
4 結語
本文詳細介紹了分布式網絡控制系統的安全問題與傳統IT信息安全問題的區別,闡述了分布式網絡控制系統的信息物理安全問題的研究現狀及存在的問題,針對分布式網絡控制系統信息物理安全的一些重要問題提出了見解。
讀者可以從文中所提及的相應參考文獻中找到更深層次的討論。我們寄希望讀者能從中發現更多新的問題,提供有效的解決方案,并在此領域繼續努力,為分布式控制系統的安全運行作出貢獻。
摘自 工業控制系統信息安全專刊
北京市公安局海淀分局備案號:11010802023656號