今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著控制對(duì)象日益復(fù)雜、分布區(qū)域不斷擴(kuò)大,傳統(tǒng)的點(diǎn)對(duì)點(diǎn)式的通訊方式已經(jīng)不能滿(mǎn)足工業(yè)控制某些新的需求。把網(wǎng)絡(luò)引入控制系統(tǒng),采用分布式的控制方式克服了傳統(tǒng)控制方式的很多缺點(diǎn),使得分布式網(wǎng)絡(luò)控制系統(tǒng)(Distributed Networked Control System, DNCS)在工業(yè)界得到越來(lái)越多的關(guān)注和應(yīng)用[1]。然而,傳統(tǒng)控制系統(tǒng)的安全性主要依賴(lài)于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對(duì)生產(chǎn)過(guò)程數(shù)據(jù)的日益關(guān)注,工業(yè)控制系統(tǒng)越來(lái)越多地采用開(kāi)放Internet技術(shù)實(shí)現(xiàn)與企業(yè)網(wǎng),甚至是物聯(lián)網(wǎng)的互連,使得一直以來(lái)被認(rèn)為相對(duì)孤立和相對(duì)安全的工業(yè)控制系統(tǒng)在接入物聯(lián)網(wǎng)后成為黑客、不法分子,甚至網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)。作為工業(yè)控制系統(tǒng)神經(jīng)中樞的 SCADA(Supervisory Control And Data Acquisition)系統(tǒng),即數(shù)據(jù)采集、監(jiān)視與控制系統(tǒng),是由計(jì)算機(jī)設(shè)備、工業(yè)過(guò)程控制組件和網(wǎng)絡(luò)組成的典型的分布式網(wǎng)絡(luò)控制系統(tǒng),更是成為攻擊目標(biāo)的中心[2-3]。一些專(zhuān)門(mén)針對(duì)分布式網(wǎng)絡(luò)控制系統(tǒng)的計(jì)算機(jī)病毒也逐漸出現(xiàn)并展示出巨大的破壞力。如2009年在拉斯維加斯召開(kāi)的被譽(yù)為學(xué)術(shù)派的“黑客大會(huì)”上美國(guó)網(wǎng)絡(luò)安全設(shè)計(jì)和部署咨詢(xún)公司(IOActive)發(fā)布了一種智能電表的蠕蟲(chóng)病毒,并現(xiàn)場(chǎng)模擬演示了一個(gè)“恐怖”的場(chǎng)景:一種智能電表的 蠕蟲(chóng)病毒竟能讓1.5萬(wàn)戶(hù)家庭的電力供應(yīng)在24小時(shí)內(nèi)陷入癱瘓,震驚了美國(guó)安全部和能源部。2010年9月一個(gè)名為“震網(wǎng)”(Stuxnet)的特種病毒席卷了全球工業(yè)界,感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò),徹底將工業(yè)控制系統(tǒng)的安全問(wèn)題暴露出來(lái),引起了世界各國(guó)的高度重視。據(jù)權(quán)威工業(yè)安全事件信息庫(kù)(Repository of Industrial Security Incidents, RISI)統(tǒng)計(jì),截至2011年10月,全球己發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件,超過(guò)了過(guò)去10年安全事件的總和。其中,電力、石油、交通和污水處理等分布距離遠(yuǎn)、生產(chǎn)單位分散的重要基礎(chǔ)行業(yè),因其廣域分布的特性使得入侵者更容易通過(guò)網(wǎng)絡(luò)遠(yuǎn)程操縱控制系統(tǒng),給各國(guó)基礎(chǔ)行業(yè)帶來(lái)了巨大安全隱患。因此,分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全問(wèn)題引起了國(guó)內(nèi)外諸多研究工作者的關(guān)注,成為國(guó)際自動(dòng)控制領(lǐng)域進(jìn)入21世紀(jì)以來(lái)的一個(gè)熱點(diǎn)研究課題[4-5]。本綜述將從控制和IT領(lǐng)域兩個(gè)方面介紹分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究現(xiàn)狀,基本方法及其存在的主要安全控制問(wèn)題。
2 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全問(wèn)題
分布式網(wǎng)絡(luò)控制系統(tǒng)是由通信網(wǎng)絡(luò)組成閉環(huán)回路的空間分布式控制系統(tǒng),通常含有四個(gè)基本組成單元,即傳感器、控制器、執(zhí)行器和通信網(wǎng)絡(luò)。其中,通信網(wǎng)絡(luò)是為了連接分布在不同空間位置上的組成單元,其基本結(jié)構(gòu)如圖1 所示。
圖1 分布式網(wǎng)絡(luò)化控制系統(tǒng)結(jié)構(gòu)圖
與傳統(tǒng)的點(diǎn)對(duì)點(diǎn)控制結(jié)構(gòu)相比,DNCS具有資源共享、成本低、靈活性高、安裝維護(hù)簡(jiǎn)單等優(yōu)點(diǎn),已經(jīng)成為學(xué)術(shù)界和工業(yè)界的研究熱點(diǎn)之一[6]。然而,隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,最初依賴(lài)于專(zhuān)用協(xié)議和系統(tǒng)封閉性的安全保障逐漸被打破。在當(dāng)前工業(yè)控制系統(tǒng)廣泛采用標(biāo)準(zhǔn)、通用協(xié)議、軟硬件系統(tǒng)以及與其它網(wǎng)絡(luò)互連的形勢(shì)下,系統(tǒng)越來(lái)越面臨著病毒、木馬、黑客入侵、拒絕服務(wù)等來(lái)自于網(wǎng)絡(luò)的威脅,其安全問(wèn)題日益突出。
2.1 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全現(xiàn)狀
近年來(lái),分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全大事件報(bào)道不絕于耳,如:
·2007年,攻擊者入侵加拿大一個(gè)水利SCADA控制系統(tǒng),破壞了取水調(diào)度的控制計(jì)算機(jī);
·2008年,攻擊者入侵波蘭某城市地鐵系統(tǒng),通過(guò)電視遙控器改變軌道扳道器,致四節(jié)車(chē)廂脫軌;
·2010年,西門(mén)子首次監(jiān)測(cè)到專(zhuān)門(mén)攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒,也稱(chēng)為震網(wǎng)病毒;伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng);
·2011年,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;
·2011年,微軟警告稱(chēng)最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報(bào)數(shù)據(jù);
·2012年,兩座美國(guó)電廠(chǎng)遭USB病毒攻擊,感染了每個(gè)工廠(chǎng)的工控系統(tǒng),可被竊取數(shù)據(jù);
·2012年,發(fā)現(xiàn)攻擊多個(gè)中東國(guó)家的惡意程序Flame火焰病毒,它能收集各行業(yè)的敏感信息。
我國(guó)同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠(chǎng)某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
實(shí)際上,美國(guó)早在20年前就已經(jīng)在政策層面上關(guān)注工業(yè)控制系統(tǒng)信息安全問(wèn)題[7-10]。歷經(jīng)克林頓、布什及奧巴馬三屆政府,發(fā)布了一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全方面的國(guó)家法規(guī)戰(zhàn)略。如2002年美國(guó)國(guó)家研究理事會(huì)將“控制系統(tǒng)攻擊”作為需要“緊急關(guān)注”的事項(xiàng)[11],2004年,美國(guó)政府問(wèn)責(zé)署發(fā)布《防護(hù)控制系統(tǒng)的挑戰(zhàn)和工作》報(bào)告[12],2006年發(fā)布《能源行業(yè)防護(hù)控制系統(tǒng)路線(xiàn)圖》[13],2009年出臺(tái)國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃(NIPP)[14]和2011年發(fā)布《實(shí)現(xiàn)能源供應(yīng)系統(tǒng)信息安全路線(xiàn)圖》[15]等。北美電力可靠性委員會(huì)(NERC)還專(zhuān)門(mén)制定了用于關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)的CIP系列標(biāo)準(zhǔn),并由美國(guó)聯(lián)邦監(jiān)管委員會(huì)(FERC)于2009年批準(zhǔn)成為強(qiáng)制性標(biāo)準(zhǔn)。美國(guó)在國(guó)家層面上工業(yè)控制系統(tǒng)信息安全工作還包括2個(gè)國(guó)家級(jí)專(zhuān)項(xiàng)計(jì)劃[16]:美國(guó)能源部(DOE)的《國(guó)家SCADA測(cè)試床計(jì)劃(NSTB)》[17-18]和美國(guó)國(guó)土安全部(DHS)的《控制系統(tǒng)安全計(jì)劃(CSSP)》[19]。美國(guó)的工控系統(tǒng)已經(jīng)逐步形成完整的信息安全管理體制和技術(shù)體系。與美國(guó)相比,歐盟及歐洲各國(guó)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全的工作起步較晚。但是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全,歐洲已經(jīng)開(kāi)展了一系列的大型專(zhuān)項(xiàng)計(jì)劃。例如2004年至2010年歐共體委員會(huì)發(fā)布一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的報(bào)告[20-21];歐洲網(wǎng)絡(luò)和信息安全局(ENISA)在2011年12月發(fā)布《保護(hù)工業(yè)控制系統(tǒng)》系列報(bào)告,全面總結(jié)當(dāng)前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀[22],充分反映出分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全面臨著嚴(yán)峻的考驗(yàn)。工控系統(tǒng)安全性引起了我國(guó)政府的高度重視,國(guó)家發(fā)改委自2010年起開(kāi)始組織信息安全專(zhuān)項(xiàng),將工業(yè)控制系統(tǒng)安全問(wèn)題作為獨(dú)立領(lǐng)域重點(diǎn)支持[23]。國(guó)家自然科學(xué)基金委也加大對(duì)工控系統(tǒng)安全性研究立項(xiàng)和資助,重點(diǎn)資助了湖南大學(xué)和浙江大學(xué)開(kāi)展智能電網(wǎng)和工控系統(tǒng)安全脆弱性評(píng)估與分析研究。
2.2 分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng) IT系統(tǒng)的比較
分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問(wèn)題,面臨著來(lái)自不同方面的威脅,如管理信息層面臨來(lái)自互聯(lián)網(wǎng)的攻擊,也有企業(yè)內(nèi)部惡意的攻擊通過(guò)企業(yè)網(wǎng)進(jìn)入工控網(wǎng),一直到現(xiàn)場(chǎng)網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作,最嚴(yán)重的要屬第三方運(yùn)維人員對(duì)現(xiàn)場(chǎng)設(shè)備的操作;還有遠(yuǎn)程撥號(hào)的攻擊,有現(xiàn)場(chǎng)及野外搭線(xiàn)的威脅等。當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險(xiǎn)重點(diǎn)不同,比如軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密;石化強(qiáng)調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。國(guó)際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來(lái)源,也從策略程序、平臺(tái)及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險(xiǎn)和脆弱性。這些都從不同角度說(shuō)明分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全既包括SCADA、DCS等信息物理融合系統(tǒng)自身的信息安全,又包括工控系統(tǒng)對(duì)相互依賴(lài)的關(guān)鍵基礎(chǔ)設(shè)施的影響。
分布式網(wǎng)絡(luò)控制系統(tǒng)會(huì)遭遇到與傳統(tǒng)IT系統(tǒng)相同的安全問(wèn)題,且還會(huì)遭遇到很多不同于傳統(tǒng)IT技術(shù)的安全問(wèn)題,其根源在于各自的安全目標(biāo)不同。在傳統(tǒng)的IT信息技術(shù)領(lǐng)域,通常將機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱(chēng)為安全的三種基本屬性,并通常認(rèn)為機(jī)密性的優(yōu)先級(jí)最高,完整性次之,可用性最低。而分布式網(wǎng)絡(luò)控制系統(tǒng)的安全目標(biāo)則正好相反,可用性的優(yōu)先級(jí)最高。
其中可用性是保證所有資源及信息都處于可用狀態(tài);完整性是保證所有信息均保持完整正確,沒(méi)有被篡改、刪除;機(jī)密性是保證正確的人可以訪(fǎng)問(wèn)正確的信息。與傳統(tǒng)的IT系統(tǒng)不同,分布式網(wǎng)絡(luò)控制系統(tǒng)將可用性放在第一位,因?yàn)楣I(yè)數(shù)據(jù)都是原始格式,需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線(xiàn)停機(jī)或誤動(dòng)作都有可能導(dǎo)致巨大經(jīng)濟(jì)損失,甚至是人員生命危險(xiǎn)和環(huán)境的破壞。當(dāng)控制系統(tǒng)安全保護(hù)層被突破后仍必須保證生產(chǎn)過(guò)程的安全,盡量降低對(duì)人員、環(huán)境、資產(chǎn)的破壞。
除此之外,工控系統(tǒng)的實(shí)時(shí)性指標(biāo)也非常重要,且在進(jìn)行安全加固時(shí)各個(gè)系統(tǒng)的側(cè)重點(diǎn)也有所區(qū)別。表 1[24]給出了分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)在不同性能指標(biāo)方面的區(qū)別。
表1 分布式網(wǎng)絡(luò)控制系統(tǒng)與 IT系統(tǒng)的區(qū)別
3 分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究
考慮網(wǎng)絡(luò)環(huán)境對(duì)控制系統(tǒng)性能和設(shè)計(jì)的影響是分布式網(wǎng)絡(luò)控制系統(tǒng)理論研究的一個(gè)重點(diǎn)。IEEE會(huì)刊于2001 年[25],2004 年[26]和2007 年[27,28]相繼出版了關(guān)于網(wǎng)絡(luò)化控制系統(tǒng)的專(zhuān)刊,對(duì)網(wǎng)絡(luò)誘導(dǎo)時(shí)延、網(wǎng)絡(luò)數(shù)據(jù)丟失、時(shí)序錯(cuò)亂、調(diào)度優(yōu)化等多個(gè)方面進(jìn)行了論述[29],給出了模糊控制、預(yù)測(cè)控制、自適應(yīng)控制、魯棒控制、多數(shù)率采樣控制、時(shí)間/事件混合驅(qū)動(dòng)等多種先進(jìn)控制算法。但上述研究主要限于考慮通信網(wǎng)絡(luò)在未受到惡意攻擊情況下網(wǎng)絡(luò)自身因素對(duì)控制系統(tǒng)設(shè)計(jì)的外在影響。
當(dāng)系統(tǒng)受到惡意攻擊時(shí),系統(tǒng)接收或傳遞的部分或全部信息可能受到惡意篡改,系統(tǒng)中某些設(shè)備、控制元器件更可能因接到錯(cuò)誤命令遭到破壞或帶來(lái)不必要的事故。因此,如何讓系統(tǒng)在受到惡意攻擊后仍能保持一定性能,最大限度降低事故引發(fā)的破壞,是我們自動(dòng)化人致力研究的問(wèn)題。目前,針對(duì)系統(tǒng)受到信息物理惡意攻擊下的工業(yè)控制系統(tǒng)安全性問(wèn)題,可以按照攻擊的研究切入點(diǎn)不同主要分為兩類(lèi):信息安全防護(hù)和基于系統(tǒng)理論的安全性能分析與安全控制。
3.1 信息安全防護(hù)
信息安全防護(hù)研究主要借鑒IT信息安全方法,通過(guò)脆弱性分析和風(fēng)險(xiǎn)評(píng)估,分析系統(tǒng)潛在的系統(tǒng)漏洞和攻擊路徑,結(jié)合工業(yè)控制系統(tǒng)特點(diǎn)設(shè)計(jì)信息安全防護(hù)措施。文[30]給出了一種攻擊圖模型,這種模型搜集了所有可能的網(wǎng)絡(luò)入侵方案,同時(shí)使用多準(zhǔn)則決策技術(shù)來(lái)評(píng)估電力控制系統(tǒng)通信網(wǎng)絡(luò)的脆弱性。Ten 等在文[31、32]中提出了一個(gè)基于Petri-nets和攻擊樹(shù)模型的脆弱性評(píng)估框架,這個(gè)框架從系統(tǒng)、方案以及通道點(diǎn)三個(gè)層面系統(tǒng)分析了變電站和控制中心的脆弱性,并以負(fù)載丟失的方式衡量了網(wǎng)絡(luò)攻擊可能帶來(lái)的損失。面對(duì)網(wǎng)絡(luò)層面存在的風(fēng)險(xiǎn),大量的研究工作聚焦于改進(jìn)舊有的協(xié)議,賦予其適應(yīng)如今趨勢(shì)的安全特性。例如,文[33-35]提出通過(guò)修改ICCP,DNP3和Modbus等傳統(tǒng)SCADA協(xié)議,在保持與現(xiàn)有系統(tǒng)兼容的前提下增強(qiáng)其安全性。此外,考慮到網(wǎng)絡(luò)控制系統(tǒng)對(duì)可用性的嚴(yán)格要求以及傳統(tǒng)加密方法的時(shí)延性,Tsang和Smith在文[36]中提出了一種BITW(網(wǎng)路嵌入式)加密方法。這種方法通過(guò)減少加密和認(rèn)證過(guò)程中的信息滯留,明顯改善了其時(shí)延性。在認(rèn)證方面,Khurana等在文[37]中定義了電網(wǎng)中認(rèn)證協(xié)議的設(shè)計(jì)準(zhǔn)則。此外,文[38]提出了更靈活的認(rèn)證協(xié)議來(lái)保證認(rèn)證的長(zhǎng)期有效性,并為應(yīng)對(duì)密鑰妥協(xié)以及認(rèn)證模塊的脆弱性設(shè)計(jì)了密鑰更新和重塑算法。文[39]針對(duì)智能電網(wǎng)不同的角色具有不同接入權(quán)限的特點(diǎn)提出基于角色的智能電網(wǎng)接入控制模型;文[40]針對(duì)信息物理系統(tǒng)實(shí)時(shí)性要求,設(shè)計(jì)了一種輕量級(jí)兩步共同認(rèn)證協(xié)議;文[41]針對(duì)智能電網(wǎng)網(wǎng)絡(luò)攻擊,設(shè)計(jì)了一種分層入侵檢測(cè)方法。上述基于信息安全方法的研究針對(duì)工業(yè)控制系統(tǒng)角色權(quán)限、實(shí)時(shí)性要求、分層網(wǎng)絡(luò)架構(gòu)等特點(diǎn)提出了安全防護(hù)措施。目前國(guó)內(nèi)工業(yè)控制系統(tǒng)安全的研究重點(diǎn)在信息安全防護(hù)技術(shù)的研發(fā)。在工業(yè)控制系統(tǒng)安全脆弱性分析和攻擊建模方面,文[42]研究了基于攻擊圖的控制網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)攻擊建模;文[43]針對(duì)分布式網(wǎng)絡(luò)故障檢測(cè)檢測(cè)及恢復(fù)介紹了故障冗余及恢復(fù)技術(shù);文[44、45]針對(duì)電力系統(tǒng)提出了系統(tǒng)脆弱性和安全分析方法;文[46]詳細(xì)分析了工業(yè)控制系統(tǒng)中的風(fēng)險(xiǎn)要素及其相互關(guān)系;文[47]提出最優(yōu)子模式分配的敏感指標(biāo)構(gòu)建方法。在入侵檢測(cè)系統(tǒng)和安全防護(hù)設(shè)計(jì)方面,文[43]設(shè)計(jì)了一種深度防御自適應(yīng)入侵檢測(cè)系統(tǒng),文[48]提出基于案例同理的入侵檢測(cè)關(guān)聯(lián)分析模型;文[49]設(shè)計(jì)了一種安全交換機(jī)制,保證接入網(wǎng)絡(luò)的用戶(hù)的合法性;文[50]提出通過(guò)功能安全和信息安全結(jié)合建模抵御惡意攻擊。
總體來(lái)說(shuō),國(guó)際在工業(yè)控制系統(tǒng)的信息安全防護(hù)方面的研究較深入,提出了“縱深防御”的工業(yè)控制系統(tǒng)信息安全策略。但主要還是針對(duì)工業(yè)控制系統(tǒng)特點(diǎn)與限制,擴(kuò)展IT信息安全方法,大多僅停留在信息層,很少與工業(yè)控制系統(tǒng)的物理動(dòng)態(tài)有機(jī)結(jié)合。國(guó)內(nèi)在工業(yè)控制系統(tǒng)信息安全的研究還處于起步階段,相關(guān)研究主要集中在系統(tǒng)脆弱性評(píng)估和安全分析上,缺乏在控制系統(tǒng)理論框架下對(duì)工業(yè)控制系統(tǒng)安全性的研究。
3.2 基于系統(tǒng)理論的安全性能分析與安全控制
基于系統(tǒng)系統(tǒng)理論的安全性能分析與安全控制的研究,其安全性問(wèn)題主要從工業(yè)控制系統(tǒng)的物理防護(hù)機(jī)制和物理系統(tǒng)模型切入,研究可能繞過(guò)物理防護(hù)機(jī)制的壞數(shù)據(jù)注入攻擊方法,或者直接針對(duì)物理系統(tǒng)模型,研究破壞物理系統(tǒng)性能的攻擊策略,這部分研究可統(tǒng)稱(chēng)為基于系統(tǒng)理論的攻擊向量和建模的研究。另外,最近國(guó)際上部分學(xué)者提出要充分利用系統(tǒng)物理動(dòng)態(tài)特性設(shè)計(jì)入侵檢測(cè)和安全控制算法,即充分挖掘系統(tǒng)物理系統(tǒng)動(dòng)態(tài)所具備的安全性能。根據(jù)所研究系統(tǒng)物理模型的不同,基于系統(tǒng)理論的安全性能分析與安全控制的研究又可分為靜態(tài)系統(tǒng)和動(dòng)態(tài)系統(tǒng)研究。
在靜態(tài)系統(tǒng)模型下信息物理系統(tǒng)的研究中,主要分為三類(lèi):(a)攻擊向量研究;(b)針對(duì)攻擊向量設(shè)計(jì)安全防護(hù);(c)針對(duì)攻擊向量,研究靜態(tài)系統(tǒng)極限性能,利用極限性能設(shè)計(jì)安全防護(hù)。在靜態(tài)系統(tǒng)模型下,攻擊向量研究注重在系統(tǒng)物理防護(hù)限制下的攻擊模型設(shè)計(jì):如文[51]研究了具有壞數(shù)據(jù)檢測(cè)功能的狀態(tài)估計(jì)中測(cè)量器接入受限和資源受限情況下的攻擊向量;文[52]研究了具有壞數(shù)據(jù)檢測(cè)和系統(tǒng)拓?fù)湎拗频臓顟B(tài)估計(jì)中的拓?fù)涔簟T诠粝蛄垦芯康幕A(chǔ)上,一部分研究者開(kāi)始針對(duì)典型攻擊向量,利用PMU布置等關(guān)鍵節(jié)點(diǎn)防護(hù)或新的壞數(shù)據(jù)檢測(cè)方法設(shè)計(jì)安全防護(hù):如文[53,54]針對(duì)攻擊特點(diǎn)設(shè)計(jì)最大化攻擊影響攻擊向量,提出基于GLRT廣義似然比測(cè)試的壞數(shù)據(jù)檢測(cè)方法,通過(guò)增強(qiáng)壞數(shù)據(jù)檢測(cè)功能,實(shí)現(xiàn)攻擊的檢測(cè);文[55,56]研究了分布式狀態(tài)估計(jì)系統(tǒng)攻擊向量,并針對(duì)分布式狀態(tài)估計(jì)算法收斂性和系統(tǒng)拓?fù)涮攸c(diǎn),設(shè)計(jì)了攻擊檢測(cè)和攻擊定位方法;文[57]針對(duì)壞數(shù)據(jù)注入攻擊,提出最小攻擊數(shù)量?jī)?yōu)化問(wèn)題和最小化PMU布置的安全防護(hù)方法。針對(duì)以上研究缺乏理論指導(dǎo),研究者基于物理系統(tǒng)特點(diǎn),分析靜態(tài)系統(tǒng)的極限性能:如文[58]針對(duì)靜態(tài)系統(tǒng)狀態(tài)估計(jì)問(wèn)題,分析了攻擊可檢測(cè)性條件,即滿(mǎn)足測(cè)量矩陣列滿(mǎn)秩條件;文[59]研究了電力系統(tǒng)狀態(tài)估計(jì)中的拓?fù)涔簦治隽斯艨蓹z測(cè)的充分必要條件,并利用以上條件設(shè)計(jì)基于PMU布置等關(guān)鍵節(jié)點(diǎn)防護(hù)的安全防護(hù)措施。
在靜態(tài)系統(tǒng)中研究工業(yè)控制系統(tǒng)安全性問(wèn)題為動(dòng)態(tài)系統(tǒng)的研究提供了思路,但基于靜態(tài)系統(tǒng)的研究沒(méi)有利用系統(tǒng)動(dòng)態(tài)性能;同時(shí),在攻擊建模中沒(méi)有利用系統(tǒng)中已有的信息安全措施。
動(dòng)態(tài)系統(tǒng)模型下的系統(tǒng)安全性能與控制研究與靜態(tài)系統(tǒng)模型類(lèi)似,主要分為三類(lèi):攻擊向量研究;基于攻擊向量設(shè)計(jì)安全防護(hù);在系統(tǒng)理論下分析系統(tǒng)極限性能,并利用極限性能分析設(shè)計(jì)安全防護(hù)。在攻擊向量研究中,文[60]研究了實(shí)時(shí)電力市場(chǎng)在壞數(shù)據(jù)檢測(cè)約束下的攻擊向量;文[61]研究了帶有卡爾曼濾波器和LQG控制器的線(xiàn)性時(shí)滯系統(tǒng)的攻擊向量。根據(jù)攻擊向量,相關(guān)學(xué)者提出利用動(dòng)態(tài)系統(tǒng)特點(diǎn)設(shè)計(jì)安全防護(hù):文[62]通過(guò)在控制系統(tǒng)中加入獨(dú)立高斯噪聲,對(duì)重放攻擊加以防護(hù);文[63]通過(guò)最優(yōu)化系統(tǒng)認(rèn)證機(jī)制,實(shí)現(xiàn)對(duì)系統(tǒng)整體攻擊檢測(cè)的最大化。由于以上安全防護(hù)設(shè)計(jì)僅僅是針對(duì)具體攻擊特點(diǎn)和已有經(jīng)驗(yàn)的防護(hù)設(shè)計(jì),缺乏具體理論指導(dǎo)。最近有些學(xué)者提出研究物理動(dòng)態(tài)系統(tǒng)在受攻擊下的系統(tǒng)安全極限性能,并以此為指導(dǎo),設(shè)計(jì)系統(tǒng)的安全防護(hù):如文[64]在廣義系統(tǒng)框架下,將攻擊刻畫(huà)為獨(dú)立的任意無(wú)界干擾,分析攻擊的可檢測(cè)性和可辨識(shí)性,并以此指導(dǎo)設(shè)計(jì)入侵檢測(cè)算法;文[65]研究在獨(dú)立的任意無(wú)界干擾攻擊下系統(tǒng)狀態(tài)的可觀測(cè)性,基于壓縮感知理論給出系統(tǒng)可觀測(cè)極限性能條件,并以此為指導(dǎo)設(shè)計(jì)系統(tǒng)彈性控制算法。
在動(dòng)態(tài)系統(tǒng)模型下對(duì)信息物理系統(tǒng)的安全性研究,更接近系統(tǒng)實(shí)際性能。但針對(duì)攻擊構(gòu)建防護(hù)的方法,缺乏動(dòng)態(tài)系統(tǒng)框架下極限性能分析的指導(dǎo)。另一方面,在動(dòng)態(tài)系統(tǒng)框架下分析極限性能的研究把攻擊刻畫(huà)為獨(dú)立的任意無(wú)界干擾,沒(méi)有利用系統(tǒng)固有物理防護(hù)約束,以及系統(tǒng)信息安全約束,導(dǎo)致安全防護(hù)策略過(guò)于保守,實(shí)現(xiàn)成本高。
表2對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)與控制研究現(xiàn)狀進(jìn)行了總結(jié),表明當(dāng)前針對(duì)信息物理攻擊的工業(yè)控制系統(tǒng)安全方面的研究存在如下問(wèn)題:信息安全方法與基于系統(tǒng)理論的安全控制方法分離,即基于系統(tǒng)理論的安全控制研究中沒(méi)有考慮系統(tǒng)固有物理防護(hù)和信息安全機(jī)制帶來(lái)的攻擊約束,使得基于系統(tǒng)理論設(shè)計(jì)的安全檢測(cè)與彈性安全控制算法不能與信息安全機(jī)制有機(jī)融合,由此造成了基于系統(tǒng)理論的安全防護(hù)策略過(guò)于保守,降低了其在工程中的使用價(jià)值。另外,需要指出的是,上述研究大部分是針對(duì)單控制中心的工業(yè)控制系統(tǒng)安全防護(hù)與控制,國(guó)際上針對(duì)具多控制中心的分布式網(wǎng)絡(luò)控制系統(tǒng)的安全性能分析與安全控制方面的研究非常少。
表2 工業(yè)控制系統(tǒng)安全防護(hù)與控制研究現(xiàn)狀總結(jié)
4 結(jié)語(yǔ)
本文詳細(xì)介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問(wèn)題與傳統(tǒng)IT信息安全問(wèn)題的區(qū)別,闡述了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問(wèn)題的研究現(xiàn)狀及存在的問(wèn)題,針對(duì)分布式網(wǎng)絡(luò)控制系統(tǒng)信息物理安全的一些重要問(wèn)題提出了見(jiàn)解。
讀者可以從文中所提及的相應(yīng)參考文獻(xiàn)中找到更深層次的討論。我們寄希望讀者能從中發(fā)現(xiàn)更多新的問(wèn)題,提供有效的解決方案,并在此領(lǐng)域繼續(xù)努力,為分布式控制系統(tǒng)的安全運(yùn)行作出貢獻(xiàn)。
基金項(xiàng)目:國(guó)家自然科學(xué)基金(61104091,61172064,61233004,61473184)。
作者簡(jiǎn)介
鄔晶(1979-),女,2008年于加拿大阿爾伯塔大學(xué)獲博士學(xué)位,現(xiàn)為上海交通大學(xué)自動(dòng)化系副教授。主要研究方向?yàn)橹悄茈娋W(wǎng)、網(wǎng)絡(luò)控制系統(tǒng)分析與綜合,系統(tǒng)安全等。
龍承念,男,現(xiàn)為上海交通大學(xué)自動(dòng)化系教授,教育部新世紀(jì)優(yōu)秀人才,主要研究方向?yàn)闊o(wú)線(xiàn)網(wǎng)絡(luò)、認(rèn)知無(wú)線(xiàn)電、協(xié)作通信等。
李少遠(yuǎn),男,現(xiàn)為上海交通大學(xué)自動(dòng)化系教授,國(guó)家杰出青年基金獲得者,主要研究方向?yàn)樽赃m應(yīng)預(yù)測(cè)控制,網(wǎng)絡(luò)化分布式系統(tǒng)的優(yōu)化控制及數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)控制器設(shè)計(jì)。
參考資料:
[1] A. Bemporad, M. Heemels, M. Johansson, Lecture Notes in Control and Information Sciences: Networked control systems[R]. Springer London Ltd, ISBN ISBN 978-0-85729-033-5, 2010.
[2] http://intl.ce.cn/specials/zxgjzh/201308/23/ t20130823_24687048.shtml
[3] http://www.chinamission.be/chn////zogx/kjhz/t1089500.htm
[4] S. C. Suh, U. J. Tanik, J. N. Carbone, A. Eroglu. Applied Cyber-Physical Systems[J]. Springer, New York, ISBN 978-1-4614-7335-0, 2014.
[5] K. Kim, P. R. Kumar. Cyber-physical systems: a perspective at the centennial[J]. Proceeding of The IEEE, 2012,100: 1287-1308.
[6]游科友,謝立華.網(wǎng)絡(luò)控制系統(tǒng)的最新研究綜述[N],自動(dòng)化學(xué)報(bào),2013,39(2):101-118.
[7] The President’s Commission on Critical Infrastructure Protection. Critical Foundations: Protecting America’s Infrastructure[R]. The Report of President’s Commission on Critical Infrastructure Protection, Washington DC, USA, 1997.
[8] United States Computer Emergency Readiness Team, US-CERT. The National Strategy to Secure Cyberspace[M]. Washington DC, USA, 2003.
[9] Department of Homeland Security (DHS). National Infrastructure Protection Plan[M]. Washington DC, USA, 2006.
[10] Department of Homeland Security (DHS) National Cyber Security Division. Strategy for securing control systems: coordinating and guiding Federal, State, and Private Sector Initiatives[M]. Washington DC, USA, 2009.
[11] The National Research Council, Making the Nation Safer: the Role of Science and Technology in Countering Terrorism[M]. Washington DC, USA, 2002.
[12] United States General Accounting Office, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, GAO-04-354[M]. Washington DC, USA, 2004.
[13] J. Eisenhauer, P. Donnelly, M. Ellis, et al. Roadmap to secure control systems in the energy sector[M]. Washington DC, USA, the US Department of Energy and the US Department of Homeland Security, 2006.
[14] Department of Homeland Security, National Infrastructure Protection Plan[M]. Washington DC, USA, 2009.
[15] Energy Sector Control Systems Working Group (ESCSWG), Roadmap to Achieve Energy Delivery Systems Cyber Security[M]. Washington DC, USA, Office of Electricity Delivery & Energy Reliability, 2011.
[16] http://talontechsoales.cm/blog/?p=104
[17] http://energy.gov/oe/technology-development/energy-delivery-systems-cybersecurity/national-scada-test-bed
[18] Office of Electricity Delivery and Energy Reliability, US Department of Energy. “NSTB fact sheet, national SCADA testbed, enhancing control systems security in the energy sector”, http:// www.inl.gov/scada/factsheets/d/nstb.pdf
[19] US-CERT. ICS-CERT, http://www.us-cert.gov/control_ system/.
[20] Commission of the European Communities. Communication from the Commission – on a European Programme for Critical Infrastructure Protection[M]. COM(2006)786, Brussels, Belgium, 2006.
[21] Commission of the European Communities. The European Economic and Social Committee and the Committee of the Regions – on Critical Infrastructure Protection[M]. COM(2009)149, Brussels, Belgium, 2009.
[22] The European Network and Information Security Agency, Protecting Industrial Control Systems, Recommendations for Europe and Member States[S]. Heraklion, Greece, 2011.
[23]國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2010年信息安全專(zhuān)項(xiàng)有關(guān)事項(xiàng)的通知[S].發(fā)改辦高技[2010]549號(hào)
[24]劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[C].第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2012,(8):41-43.
[25] L.G. Bushnell. Special Section on Networks and Control[J]. IEEE Control Systems Magazine, 2001,21(1): 22-23.
[26] P. Antsaklis, J. Baillieul. Guest editorial special issue on networked control systems[J]. IEEE Transactions on Automatic Control, 2004, 49(9): 1421-1423.
[27] P. Antsaklis, J. Baillieul. Special issue on technology of networked control system[J]. Proceeding of the IEEE, 2007,95(1): 5-8.
[28] F.Y. Wang, et. al. Guest Editorial Networking, Sensing, and Control for Networked Control Systems: Architectures, Algorithms, and Applications[R]. IEEE Transactions on Systems, Man, and Cybernetics -Part C: Applications and Reviews, 2007,37(2): 157-159.
[29] G. C. Walsh, H. Ye, and L. G. Bushnel. Stability analysis of networked control systems[J]. IEEE Transactions on Control Systems and Technology, 2002,10(3):438-446 .
[30] N. Liu, J. Zhang, H. Zhang, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J], IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.
[31] C. W. Ten, C. C. Liu, G. Manimaran. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008,23(4): 1836-1846.
[32] C. W. Ten, G. Manimaran, C. C. Liu. Cybersecurity for critical infrastructures: attack and defense modeling[J]. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 2010,40(4): 853-865.
[33] M. Majdalawieh, F. Parisi-Presicce, D. Wijesekera. DNPSec: Distributed network protocol version 3 (DNP3) security framework, Advances in Computer, Information, and Systems Sciences, and Engineering[M]. Springer Netherlands, 2006. 227-234.
[34] I. N. Fovino, A. Carcano, M. Masera, et al. Design and implementation of a secure modbus protocol, Critical Infrastructure Protection III[M]. Springer Berlin Heidelberg, 2009. 83-96.
[35] J. T. Michalski, A. Lanzone, J. Trent, et al. Secure ICCP Integration Considerations and Recommendations[R]. SANDIA report, 2007.
[36] P. P. Tsang, S. W. Smith. YASIR: A low-latency, high-integrity security retrofit for legacy SCADA systems, Proceedings of The IFIP TC-11 23rd International Information Security Conference[M]. Springer US, 2008. 445-459.
[37] H. Khurana, R. Bobba, T. Yardley, et al. Design principles for power grid cyber-infrastructure authentication protocols[R]. the 43rd Hawaii International Conference on System Sciences (HICSS), 2010. 1-10.
[38] R. Chakravarthy, C. Hauser, D. E. Bakken. Long-lived authentication protocols for process control systems[J]. International Journal of Critical Infrastructure Protection, 2010,3(3): 174-181.
[39] H. Cheung, A. Hamlyn, and T. Mander, Role-based model security access control for smart power-grids computer networks[N], in Power and Energy Society General Meeting-Conversion and Delivery of Electrical Energy in the 21st Century, 2008,(7):1-7.
[40] M. M. Fouda, Z. M. Fadlullah, and N. Kato, A lightweight message authentication scheme for smart grid communications[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):675-685.
[41] Y. Zhang, L. Wang, and W. Sun, Distributed intrusion detection system in a multi-layer network architecture of smart grids[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):796-808,
[42]凌從禮.工業(yè)控制系統(tǒng)脆弱性分析與建模研究[D].浙江大學(xué), 2013.
[43]王偉,陳秀真,管曉宏等.深度防衛(wèi)的自適應(yīng)入侵檢測(cè)系統(tǒng)[N].西安交通大學(xué)學(xué)報(bào), 2005,39(4): 339.
[44]陳杰,高會(huì)生.電力通信網(wǎng)運(yùn)行方式建模[J].電力系統(tǒng)通信,10:45-49, 2011.
[45]高會(huì)生,戴雪嬌,劉柳.變電站綜合自動(dòng)化系統(tǒng)通信安全性評(píng)估[J].電力系統(tǒng)通信, 2012,(2):1-4.
[46]陸赟.基于威脅和脆弱性的ICS量化風(fēng)險(xiǎn)評(píng)估方法[D].華東理工大學(xué),2013.
[47]夏秦,王志文,盧柯.入侵檢測(cè)系統(tǒng)利用信息熵檢測(cè)網(wǎng)絡(luò)攻擊的方法[N].西安交通大學(xué)學(xué)報(bào), 2013,02: 14-19.
[48]曾茹剛,管曉宏,昝鑫等.基于案例推理的入侵檢測(cè)關(guān)聯(lián)分析研究[J].計(jì)算機(jī)工程與應(yīng)用,2006, 42(4): 138-141 .
[49]亞楠.用于工業(yè)控制系統(tǒng)的安全交換機(jī)設(shè)計(jì)[D].浙江大學(xué), 2013.
[50]宋巖,王天然,徐皚冬等.控制系統(tǒng)Safe-Sec安全通信方法研究[J].自動(dòng)化儀表,2013,34(11):30-33, 38.
[51] Y. Liu, P. Ning, and M. K. Reiter, False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC), 2011, 14(1): Article 13:1-33.
[52] J. Kim and L. Tong, On topology attack of a smart grid[J]. in Innovative Smart Grid Technologies (ISGT), 2013,(2):1-6.
[53] M. Ozay, I. Esnaola, and F. Vural, Distributed models for sparse attack construction and state vector estimation in the smart grid[J]. in IEEE Third International Conference on Smart Grid Communications (Smart Grid Comm), 2012, (11): 306-311 .
[54] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on smart grid state estimation: attack strategies and countermeasures[J] in First IEEE International Conference on Smart Grid Communications (Smart Grid Comm),2010,(10): 220-225.
[55] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on the smart grid[J]. IEEE Transactions on Smart Grid, 2011, 2(4): 645-658.
[56] O. Vukovic and G. Dan. On the security of distributed power system state estimation under targeted attacks[J]. in Proceedings of the 28th Annual ACM Symposium on Applied Computing, 2013,(3):666-672.
[57] O. Vukovic and G. Dan, Detection and localization of targeted attacks on fully distributed power system state estimation[J]. in IEEE International Conference on Smart Grid Communications (SmartGridComm), 2013,(10):390-395.
[58] R. B. Bobba, K. M. Rogers, and Q. Wang, “Detecting false data injection attacks on dc state estimation,” in the First Workshop on Secure Control Systems, 2010.
[59] J. Kim and L. Tong. On topology attack of a smart grid: undetectable attacks and countermeasures[J]. IEEE Journal on Selected Areas in Communications, 2013,31(7): 1294-1305.
[60] L. Xie, Y. Mo, and B. Sinopol. Integrity data attacks in power market operations[J]. IEEE Transactions on Smart Grid, 2011,12,2(4): 659-666.
[61] Y. Mo, E. Garone, and A. Casavola. False data injection attacks against state estimation in wireless sensor networks[J]. in 49th IEEE Conference on Decision and Control (CDC), 2010,(12) :5967-5972.
[62] Y. Mo and B. Sinopoli. Secure control against replay attacks[R]. in 47th Annual Allerton Conference on Communication, Control, and Computing, Allerton, 2009: 911-918.
[63] R. Chabukswar, Y. Mo, and B. Sinopoli. Detecting Integrity Attacks on SCADA Systems[R]. in Proceedings of the 18th IFAC World Congress, Milano, Italy, 2011,(3):11239-11244.
[64] F. Pasqualetti, F. Dorfler, and F. Bullo. Attack detection and identification in cyber-physical systems[J] IEEE Transactions on Automatic Control, 2013,58(11): 2715-2729.
[65] H. Fawzi, P. Tabuada, and S. Diggavi, Secure estimation and control for cyber-physical systems under adversarial attacks[J]. IEEE Transactions on Automatic Control, 2014,59(6): 1454-1467.
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)