張?jiān)瀑F
教授級(jí)高工冶金自動(dòng)化研究設(shè)計(jì)院混合流程工業(yè)自動(dòng)化系統(tǒng)與裝備技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室副主任享受國(guó)務(wù)院特殊津貼專家
(1966-),男,湖南漢壽人,博士,于2005年獲得國(guó)務(wù)院特殊貢獻(xiàn)專家津貼,研究領(lǐng)域涉及工業(yè)物聯(lián)網(wǎng)技術(shù)、工業(yè)控制系統(tǒng)安全、現(xiàn)場(chǎng)總線技術(shù)應(yīng)用、嵌入式智能控制系統(tǒng)等方面。負(fù)責(zé)的“兩化融合”課題有基于物聯(lián)網(wǎng)的冶金廢棄物循環(huán)利用、冶金企業(yè)能源管控信息化系統(tǒng)、基于物聯(lián)網(wǎng)和云計(jì)算的城市能源管控中心、基于物聯(lián)網(wǎng)的大型光伏發(fā)電站監(jiān)測(cè)與運(yùn)行優(yōu)化控制系統(tǒng)、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全裝置及軟件平臺(tái)開(kāi)發(fā)、基于數(shù)據(jù)驅(qū)動(dòng)的冶金重大裝備故障診斷與壽命預(yù)測(cè)等。
1 引言
隨著2010年伊朗布什爾核電站遭到Stuxnet(“震網(wǎng)”病毒)攻擊,工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全問(wèn)題受到了廣泛關(guān)注[1]。作為一個(gè)新興的研究領(lǐng)域,為了清晰地理解ICS信息安全研究的對(duì)象、理論與方法,需要從其內(nèi)涵和外延兩個(gè)方面進(jìn)行分析和研究[2,3]。ICS信息安全外延是從宏觀上研究ICS的行業(yè)類和子行業(yè),重點(diǎn)研究相互依賴性、級(jí)聯(lián)故障等整體性、結(jié)構(gòu)性的信息安全問(wèn)題;而ICS信息安全內(nèi)涵是從微觀上研究ICS本身及其組件,重點(diǎn)研究系統(tǒng)、設(shè)備、協(xié)議的漏洞以及黑客攻擊方法、防護(hù)技術(shù)等具體的信息安全問(wèn)題。針對(duì)這兩個(gè)方面,無(wú)論是從研究的對(duì)象、還是研究的內(nèi)容和方法角度切入,都有大量問(wèn)題需要解決。
與IT系統(tǒng)不同,工業(yè)控制系統(tǒng)的本質(zhì)是信息物理融合系統(tǒng)(CPS,Cyber-physicalsystem),多維異構(gòu)的計(jì)算單元和物理對(duì)象在網(wǎng)絡(luò)環(huán)境中高度集成與交互,構(gòu)成了一類新型的智能復(fù)雜系統(tǒng),其中最具代表性的就是網(wǎng)絡(luò)控制系統(tǒng)(NCS,Network ControlSystem)。網(wǎng)絡(luò)控制系統(tǒng)分布、柔性、自治的特點(diǎn)給物理安全(Safety)帶來(lái)了風(fēng)險(xiǎn)分散、標(biāo)準(zhǔn)化、易擴(kuò)展與易維護(hù)等好處,與此同時(shí),高度網(wǎng)絡(luò)化又使其在信息安全(Security)方面面臨前所未有的挑戰(zhàn)。網(wǎng)絡(luò)控制系統(tǒng)所有要素完全依賴網(wǎng)絡(luò)連接在一起,其信息安全問(wèn)題極具代表性。
如何從工業(yè)控制系統(tǒng)信息物理融合這一本質(zhì)特點(diǎn)出發(fā),深度融合計(jì)算、通信和控制領(lǐng)域的研究成果,構(gòu)建一個(gè)可控、可信、可擴(kuò)展并且安全高效的工業(yè)控制網(wǎng)絡(luò)安全技術(shù)體系,是工業(yè)控制系統(tǒng)信息安全亟待研究的方向。
2 工業(yè)控制系統(tǒng)安全的本質(zhì)是信息物理融合
ICS系統(tǒng)和IT系統(tǒng)的區(qū)別總結(jié)如表1所示[4]。ICS系統(tǒng)與IT系統(tǒng)最核心的區(qū)別在于:工業(yè)控制系統(tǒng)與生產(chǎn)過(guò)程的各物理要素有著緊密的聯(lián)系,對(duì)工業(yè)控制系統(tǒng)的惡意攻擊,其目的除了獲取生產(chǎn)工藝參數(shù)之類的核心商業(yè)機(jī)密外,主要還反映在對(duì)物理系統(tǒng)的破壞上。
一個(gè)典型的工業(yè)控制系統(tǒng)按ANSI/ISA-99標(biāo)準(zhǔn)可以分為五個(gè)層次:企業(yè)系統(tǒng)層、運(yùn)行管理層、監(jiān)測(cè)控制層、基本控制層和過(guò)程層。從是否與現(xiàn)實(shí)的物理系統(tǒng)直接聯(lián)系的角度分析,上述的層次結(jié)構(gòu)可以分成物理空間、信息空間,如圖1所示。圖中可以清楚地看出信息物理系統(tǒng)連接的邊界。
表1 ICS系統(tǒng)與 IT系統(tǒng)的區(qū)別
圖1 信息物理融合的工業(yè)控制系統(tǒng)
從圖1可以看出,信息、物理的最直接的界面在第0、1層之間。網(wǎng)絡(luò)控制系統(tǒng)的各要素(信道、設(shè)備、系統(tǒng))均處在第0、1層之間。
3 網(wǎng)絡(luò)控制系統(tǒng)(NCS)安全研究的對(duì)象及面臨的挑戰(zhàn)
一個(gè)典型的NCS的組成可以用圖2(a)來(lái)表示,其中S表示傳感器(Sensor),A表示執(zhí)行器(Actuator),C表示控制器(Controller)。圖中的箭頭表示信息流而非網(wǎng)絡(luò)拓?fù)潢P(guān)系??梢钥闯鰝鞲衅?、執(zhí)行器的信息流是單向的,控制器的信息流是雙向的,這是NCS系統(tǒng)的一個(gè)特點(diǎn)。
圖2(b)是NCS的抽象模型。為了理解方便,把傳感器、執(zhí)行器的網(wǎng)絡(luò)能力抽象為與控制器的參數(shù)傳遞關(guān)系,分別是控制信號(hào)u(從控制器到執(zhí)行器)和傳感信號(hào)y(從傳感器到控制器)。
從控制系統(tǒng)的視角,圖2(b)的NCS模型是一個(gè)單信息流方向的圖。容易混淆的一個(gè)問(wèn)題是,真實(shí)的網(wǎng)絡(luò)控制系統(tǒng)中,網(wǎng)絡(luò)化的執(zhí)行器與控制器之間有雙向的信息流,既有控制器命令(由控制器到執(zhí)行器的信息),也有執(zhí)行器執(zhí)行控制器命令效果的反饋,如閥門的開(kāi)度(由執(zhí)行器到控制器的信息)。在圖2(b)中執(zhí)行器到控制器的數(shù)據(jù)傳遞被歸集到了傳感信號(hào)y中。
圖2 信息物理融合的 NCS結(jié)構(gòu)
基于NCS的信息物理抽象模型,就可以把黑客對(duì)NCS的攻擊模型用圖3來(lái)表示。圖中清楚地表現(xiàn)了黑客可能發(fā)動(dòng)攻擊的位置(物理對(duì)象)和攻擊的目標(biāo)(信息對(duì)象)。
A1:對(duì)傳感器攻擊,導(dǎo)致傳感器傳輸錯(cuò)誤的結(jié)果;
A2、A4:對(duì)網(wǎng)絡(luò)攻擊,使通信不正常;
A3:對(duì)控制器攻擊,輸出錯(cuò)誤命令;
A5:對(duì)生產(chǎn)過(guò)程攻擊(不通過(guò)網(wǎng)絡(luò)攻擊),導(dǎo)致生產(chǎn)目標(biāo)偏離。
圖3 NCS的攻擊模型
黑客對(duì)網(wǎng)絡(luò)控制系統(tǒng)的攻擊可以分為三個(gè)層次:
(1)信道層攻擊:接入物理通信信道,對(duì)通信報(bào)文發(fā)動(dòng)攻擊;
(2)設(shè)備層攻擊:侵入設(shè)備(傳感器、執(zhí)行器、控制器節(jié)點(diǎn)),對(duì)過(guò)程參數(shù)、控制命令、執(zhí)行器動(dòng)作進(jìn)行干擾;
(3)系統(tǒng)層攻擊:潛伏在系統(tǒng)中,伺機(jī)獲得某種控制任務(wù)的執(zhí)行權(quán),運(yùn)行惡意程序發(fā)動(dòng)攻擊。
上述三個(gè)層次的攻擊,從時(shí)間軸上可以分為兩個(gè)階段,其分水嶺是網(wǎng)絡(luò)訪問(wèn)權(quán)的獲得。黑客獲得網(wǎng)絡(luò)控制權(quán)之前的攻擊對(duì)象是網(wǎng)絡(luò)的協(xié)議報(bào)文。獲得網(wǎng)絡(luò)控制權(quán)之后,黑客的攻擊目標(biāo)是控制設(shè)備的參數(shù)與程序。從安全防御的角度看,前一階段的防御是主動(dòng)防御,目的是隔離攻擊者與被攻擊目標(biāo),后一階段是被動(dòng)防御,目的是對(duì)攻擊行為預(yù)警與干預(yù)。
4 信道層安全問(wèn)題
目前廣泛使用的NCS控制網(wǎng)絡(luò)是現(xiàn)場(chǎng)總線技術(shù)。傳統(tǒng)上把現(xiàn)場(chǎng)總線看作是與外界物理隔離的通信系統(tǒng),重視物理安全而忽視信息安全,因此其協(xié)議設(shè)計(jì)的重心在保證通信的可靠性、帶寬利用率和實(shí)時(shí)性,對(duì)信息安全(Cyber Security)的考慮較少。黑客對(duì)現(xiàn)場(chǎng)總線的攻擊場(chǎng)景是:攻擊者已經(jīng)突破控制系統(tǒng)的邊界防御(如工業(yè)防火墻),可以接觸到現(xiàn)場(chǎng)總線的通信介質(zhì)和通信報(bào)文;攻擊者可以通過(guò)對(duì)報(bào)文的偵聽(tīng)、分析,可以實(shí)施竊聽(tīng)(Eavesdrop)、封鎖(Drop)、延時(shí)(Delay)、篡改(Modification)、注入(Injection)、反演(Replay)等攻擊手段。
在IEC61158國(guó)際標(biāo)準(zhǔn)中定義的現(xiàn)場(chǎng)總線是18種現(xiàn)場(chǎng)總線協(xié)議的集合,各種現(xiàn)場(chǎng)總線之間存在很大的差異。從安全(Security)的角度,這些現(xiàn)場(chǎng)總線大致可以分為兩類:以ControlNet、P-Net和SwiftNet為代表的現(xiàn)場(chǎng)總線基本上就沒(méi)有任何安全措施;基金會(huì)現(xiàn)場(chǎng)總線(FF)、Profibus、WorldFIP和Interbus等則有著非常簡(jiǎn)單的安全措施。不同現(xiàn)場(chǎng)總線的安全機(jī)制[5]可以用表2來(lái)簡(jiǎn)單說(shuō)明。
表2 不同現(xiàn)場(chǎng)總線的安全機(jī)制
總結(jié)起來(lái),現(xiàn)場(chǎng)總線的面臨安全隱患主要體現(xiàn)在以下幾個(gè)方面:
(1)報(bào)文以明文的方式傳輸,或者只是采取了簡(jiǎn)單的加密,這些加密措施往往容易受到攻擊。典型的例子是Modbus、Profibus-DP,而這類現(xiàn)場(chǎng)總線系統(tǒng)應(yīng)用面極為廣泛。
(2)沒(méi)有校驗(yàn)碼,或者校驗(yàn)碼主要為了應(yīng)對(duì)物理層的信號(hào)擾動(dòng),沒(méi)有針對(duì)惡意網(wǎng)絡(luò)攻擊的設(shè)計(jì)。如Modbus采用的CRC校驗(yàn)碼,其算法簡(jiǎn)單而且公開(kāi),攻擊者很容易修改報(bào)文的內(nèi)容,也很容易修改校驗(yàn)碼,使被篡改的報(bào)文看起來(lái)“合法”。
(3)相比于IT通信系統(tǒng),現(xiàn)場(chǎng)總線上的通信具有報(bào)文短小、模式基本固定、高頻度重復(fù)等特點(diǎn),這給“黑客”猜測(cè)報(bào)文的模板、報(bào)文的周期規(guī)律提供了便利。
(4)沒(méi)有會(huì)話過(guò)程的時(shí)序管理,缺乏安全會(huì)話的同步機(jī)制。這也是與IT網(wǎng)絡(luò)的最大差別之一。在IT網(wǎng)絡(luò)中報(bào)文的分拆、重構(gòu)、分組交換是常用的技術(shù),根本就沒(méi)有同步的要求。但是,基于狀態(tài)空間的線性控制系統(tǒng),無(wú)論是傳感器信號(hào),還是控制信號(hào)是有嚴(yán)格時(shí)序要求的,內(nèi)容合法的報(bào)文在不正確的時(shí)間或者以不正確的次序發(fā)送,都會(huì)破壞NCS的控制算法的正確性。黑客可以利用這一弱點(diǎn),采用“重播”、“延時(shí)”的攻擊手段來(lái)攻擊NCS算法。
(5)現(xiàn)場(chǎng)總線節(jié)點(diǎn)上CPU計(jì)算能力有限。如有些Modbus/Profibus-DP從站設(shè)備甚至?xí)捎?位的51系列單片機(jī),功能性、實(shí)時(shí)性和安全性在有限的計(jì)算資源下如何達(dá)到平衡,是設(shè)計(jì)和實(shí)施現(xiàn)場(chǎng)總線安全協(xié)議的難點(diǎn)。
如何設(shè)計(jì)一種安全的協(xié)議架構(gòu),在保證現(xiàn)場(chǎng)總線的可用性、實(shí)時(shí)性的基礎(chǔ)上,最大限度地保障信道的通信安全,是目前學(xué)術(shù)界面臨的一個(gè)很大的挑戰(zhàn)。目前學(xué)術(shù)界已經(jīng)取得了一系列成果,比較有代表性的研究成果有三種:①適當(dāng)改變總線的固有通信模式,通過(guò)增加安全會(huì)話來(lái)實(shí)現(xiàn)主動(dòng)防御。具有代表性的最新成果是基于已知安全傳感器量測(cè)(Know Secure Sensor Measurement,簡(jiǎn)稱KSSM)。②引入加密和訪問(wèn)控制技術(shù)甄別通信異常,這是一種被動(dòng)防御方法,也是目前為數(shù)不多的現(xiàn)場(chǎng)總線安全機(jī)制中最常用的一種。③基于安全狀態(tài)同步的安全加密認(rèn)證機(jī)制,核心是用對(duì)稱流密碼技術(shù)產(chǎn)生安全、動(dòng)態(tài)、隨機(jī)的Hash碼流,通過(guò)合理地切分碼流,對(duì)現(xiàn)場(chǎng)總線報(bào)文實(shí)現(xiàn)加密、同步和MAC認(rèn)證,比較有代表性的有S3M安全協(xié)議架構(gòu)。
5 設(shè)備層安全問(wèn)題
網(wǎng)絡(luò)控制系統(tǒng)的設(shè)備層由傳感器、執(zhí)行器與控制器組成。黑客通過(guò)攻擊傳感器信號(hào)及控制信號(hào),可以發(fā)動(dòng)欺騙攻擊(修改傳感器測(cè)量值或者控制命令參數(shù))、DoS攻擊(屏蔽傳感器測(cè)量值或控制命令參數(shù))。
“Stuxnet”一類的病毒更是直接嵌入到PLC等控制器中,在一定的觸發(fā)條件下執(zhí)行惡意程序。網(wǎng)絡(luò)控制系統(tǒng)中,黑客對(duì)傳感器、執(zhí)行器、控制器發(fā)動(dòng)的高級(jí)攻擊,表現(xiàn)出以下特點(diǎn):
(1)黑客攻克了通信信道的所有防御技術(shù)(加密、認(rèn)證、安全狀態(tài)管理等),可以通過(guò)修改報(bào)文來(lái)修改傳感器測(cè)量值或者控制命令參數(shù);
(2)或者黑客成功地將惡意程序植入傳感器、執(zhí)行器、控制器節(jié)點(diǎn),并實(shí)現(xiàn)成功的潛伏,當(dāng)某種觸發(fā)條件成立時(shí),執(zhí)行惡意程序,修改傳感器測(cè)量值或者控制命令參數(shù);
(3)黑客了解NCS的控制算法,可以采用適當(dāng)?shù)墓袈肪€,使得NCS在最終崩潰前,狀態(tài)處于安全狀態(tài)集,從而避開(kāi)NCS的一般性安全檢測(cè)(如液位超限報(bào)警等)。
設(shè)備層的安全防御有兩種途徑:基于可信計(jì)算的主動(dòng)防御,以及基于入侵檢測(cè)的被動(dòng)防御。
IT網(wǎng)絡(luò)安全領(lǐng)域的入侵檢測(cè)系統(tǒng)(IDS,Intrusion Detection System)的研究已經(jīng)取得了大量的成果,其共同特點(diǎn)是將網(wǎng)絡(luò)本身作為研究對(duì)象,研究的是攻防雙方在網(wǎng)絡(luò)上的博弈策略和對(duì)網(wǎng)絡(luò)特性的影響。
對(duì)于具備上述攻擊特征的黑客攻擊行為,單純地研究網(wǎng)絡(luò)特征的變化已經(jīng)無(wú)能為力。這是因?yàn)楫?dāng)“Stuxnet”一類的高級(jí)攻擊代碼已經(jīng)植入PLC之后,其發(fā)動(dòng)攻擊時(shí)不會(huì)在網(wǎng)絡(luò)傳輸上表現(xiàn)出任何異常。在這種場(chǎng)景下,即使物理信道的通信一切正常,NCS的控制也不會(huì)正常。如何開(kāi)發(fā)針對(duì)這類惡意節(jié)點(diǎn)的入侵檢測(cè)技術(shù),是NCS被動(dòng)防御的關(guān)鍵問(wèn)題,也是學(xué)術(shù)界的核心問(wèn)題之一。
設(shè)備層入侵檢測(cè)的難點(diǎn)在于,到目前為止,對(duì)于一個(gè)黑客在獲得智能設(shè)備的控制權(quán)后會(huì)采用何種攻擊策略缺乏系統(tǒng)的研究,更沒(méi)有對(duì)這些攻擊策略的數(shù)學(xué)描述。博弈論在研究IT網(wǎng)絡(luò)的理性攻擊者方面取得了一些成果,但是關(guān)于如何建立黑客入侵信息物理融合的控制系統(tǒng)的行為模型,從而為NCS的IDS(入侵檢測(cè)系統(tǒng))、IPS(入侵防御系統(tǒng))提供理論基礎(chǔ),目前為止還沒(méi)有見(jiàn)到。
惡意節(jié)點(diǎn)入侵檢測(cè)的另一個(gè)難點(diǎn)是,即使可以預(yù)計(jì)黑客的可能攻擊策略,也無(wú)法獲得黑客采用這些策略的概率、發(fā)起攻擊的強(qiáng)度等關(guān)鍵參數(shù)。這就需要所設(shè)計(jì)的IDS算法可以對(duì)連續(xù)檢測(cè)的結(jié)果進(jìn)行自修正,從而提高檢出結(jié)果的可信度。
考慮到網(wǎng)絡(luò)控制系統(tǒng)對(duì)黑客攻擊的檢測(cè)的在線和實(shí)時(shí)性要求,此類攻擊檢測(cè)可以抽象為“基于變化檢測(cè)的最優(yōu)停止問(wèn)題”?;谙到y(tǒng)異常的入侵檢測(cè)技術(shù)遇到的一個(gè)挑戰(zhàn)是檢測(cè)結(jié)果只具有統(tǒng)計(jì)意義上的參考價(jià)值,并非絕對(duì)判斷,存在錯(cuò)判漏判的可能。如何降低誤報(bào)、漏報(bào)率是算法有效的關(guān)鍵。
6 系統(tǒng)層安全問(wèn)題
在一個(gè)NCS系統(tǒng)中,可能存在已經(jīng)被植入惡意代碼的傳感器、執(zhí)行器以及控制器,到底哪一個(gè)是可信的,這就涉及到信任管理的問(wèn)題。在黑客成功入侵NCS后,需要有一種辦法判斷NCS每個(gè)成員的可信賴度。在有容錯(cuò)能力的NCS中,在檢測(cè)到系統(tǒng)異常后,需要選擇可信賴的資源進(jìn)行替換。基于這些原因,需要建立一套理論體系和方法,實(shí)現(xiàn)對(duì)NCS成員的可信任度進(jìn)行評(píng)估和管理,當(dāng)系統(tǒng)中的某項(xiàng)資源的可信任度偏離嚴(yán)重時(shí),可以隔離或限制該資源在NCS里的作用。
目前為止,還沒(méi)有關(guān)于NCS系統(tǒng)信任管理方面的研究成果。主要原因是現(xiàn)有的PLC、SCADA等過(guò)程控制系統(tǒng)中,有一個(gè)基本假設(shè):控制系統(tǒng)的所有單元都是可信的,只要不出現(xiàn)功能故障,系統(tǒng)就會(huì)按照既定的程序運(yùn)行。控制系統(tǒng)安全的概念還限于功能安全,作為備份的冗余資源,不管是I/O部件、電源部件、CPU部件,在“主”部件出現(xiàn)故障時(shí),都會(huì)無(wú)條件地進(jìn)行替換。衡量這類系統(tǒng)的安全性的指標(biāo)是在線熱切換的速度。
在物聯(lián)網(wǎng)環(huán)境下,上述的假設(shè)越來(lái)越不成立,尤其是在德國(guó)工業(yè)4.0提出的應(yīng)用場(chǎng)景下,M2M(機(jī)器對(duì)機(jī)器)是未來(lái)制造的一種常見(jiàn)模式。一個(gè)工廠中,能完成某項(xiàng)任務(wù)的智能體(Agent)不止一個(gè),選擇哪一個(gè),為什么選擇,就成為了一個(gè)很急迫的問(wèn)題。
可以借用人類社會(huì)活動(dòng)中的信譽(yù)概念,通過(guò)信譽(yù)度來(lái)評(píng)判NCS中各單元的安全(Security)程度,并以此為基礎(chǔ)來(lái)決定任務(wù)分配策略,是一種可行的思路。就像社會(huì)系統(tǒng)中,通過(guò)一個(gè)人的消費(fèi)記錄、犯罪記錄、信用記錄等來(lái)評(píng)判他的信譽(yù)度,并以此為依據(jù)來(lái)決定保險(xiǎn)、貸款、是否聘用等。這里的關(guān)鍵是,需要找到一種方法,對(duì)NCS進(jìn)行“擬人”化描述,即建立NCS的一種數(shù)學(xué)模型,這個(gè)模型下,可以準(zhǔn)確地描述NCS各“成員”的行為,并把這種行為的歷史數(shù)據(jù)轉(zhuǎn)化為信譽(yù)值。
NCS的安全信任管理是一項(xiàng)全新的研究,需要應(yīng)用到諸多跨學(xué)科的知識(shí)。目前學(xué)術(shù)界已經(jīng)開(kāi)始有人嘗試用多Agent技術(shù)來(lái)對(duì)NCS建模,以此為基礎(chǔ)建立了初步的NCS信譽(yù)度量機(jī)制[6]。
7 NCS安全的研究目標(biāo)
信息系統(tǒng)安全三原則(CIA)和自動(dòng)化系統(tǒng)的安全(如魯棒性、自適應(yīng)等)概念都不能很好地概括信息物理融合的NCS系統(tǒng)的安全目標(biāo)(Security Goal),因此學(xué)術(shù)界把彈性概念引入到控制系統(tǒng),提出了彈性控制系統(tǒng)[7]。
彈性控制系統(tǒng)的概念涉及大尺度、復(fù)雜系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、生產(chǎn)過(guò)程效率和穩(wěn)定性問(wèn)題。在面對(duì)不可預(yù)期的或者惡意的擾動(dòng)時(shí),如果一個(gè)控制系統(tǒng)是具有安全彈性的,它必須能夠清楚地意識(shí)到系統(tǒng)的安全狀態(tài),而且能保持一定程度的正常運(yùn)行。
從設(shè)計(jì)和運(yùn)行方式角度來(lái)審視,彈性控制系統(tǒng)應(yīng)滿足以下條件[8]:
(1)可以將異常事件數(shù)量最小化;
(2)大多數(shù)的異常事件可以消除;
(3)如果異常事件不能消除,這種異常事件的負(fù)面影響可以最小化;
(4)可以在比較短的時(shí)間內(nèi)恢復(fù)正常。
彈性控制系統(tǒng)的安全目標(biāo)恰好涵蓋了功能安全、信息安全,同時(shí)充分考慮了控制系統(tǒng)的服役對(duì)象的特點(diǎn)。
如何構(gòu)建彈性的網(wǎng)絡(luò)控制系統(tǒng),并對(duì)控制系統(tǒng)的安全彈性給予量化評(píng)估,是這一領(lǐng)域可以深入研究的課題。
8 結(jié)語(yǔ)
網(wǎng)絡(luò)控制系統(tǒng)(NCS)的傳感器、執(zhí)行器和控制器之間通過(guò)通信網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的信息交互來(lái)實(shí)現(xiàn)閉環(huán)控制,在所有類型的控制系統(tǒng)中,其安全問(wèn)題是最具代表性的。如何從信息物理融合的角度來(lái)理解NCS的安全問(wèn)題,并找到相應(yīng)的解決辦法,學(xué)術(shù)界相關(guān)的研究成果很少。建立了一個(gè)基于信息物理融合概念的控制系統(tǒng)安全技術(shù)體系,可以為進(jìn)一步的工業(yè)控制系統(tǒng)信息安全技術(shù)的深入研究和產(chǎn)品研發(fā)提供一定的基礎(chǔ)。
依托混合流程工業(yè)自動(dòng)化控制系統(tǒng)與裝備國(guó)家重點(diǎn)實(shí)驗(yàn)室,利用其網(wǎng)絡(luò)攻防對(duì)抗實(shí)驗(yàn)平臺(tái),冶金自動(dòng)化研究設(shè)計(jì)院針對(duì)NCS的黑客攻擊模型、信道安全機(jī)制、入侵檢測(cè)技術(shù)與系統(tǒng)信任管理幾個(gè)方面展開(kāi)了研究,在NCS的信息安全問(wèn)題的數(shù)學(xué)描述、現(xiàn)場(chǎng)總線安全協(xié)議架構(gòu)、信息物理融合的入侵檢測(cè)技術(shù),以及基于簇信譽(yù)的信任管理方面取得了一系列成果,這些成果可以為同行在這一方向的深入研究提供一定的借鑒。
作者簡(jiǎn)介
張?jiān)瀑F(1966-),男,湖南漢壽人,博士,教授級(jí)高工,現(xiàn)就職于冶金自動(dòng)化研究設(shè)計(jì)院混合流程工業(yè)自動(dòng)化系統(tǒng)與裝備技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室,研究領(lǐng)域涉及工業(yè)物聯(lián)網(wǎng)技術(shù)、工業(yè)控制系統(tǒng)安全、現(xiàn)場(chǎng)總線技術(shù)應(yīng)用、嵌入式智能控制系統(tǒng)等方面。
付修章(1990-),男,河南商丘人,研究生在讀,主要研究方向?yàn)榭刂评碚撆c控制工程。
孫希艷(1987-),女,山東濰坊人,碩士,研發(fā)工程師,初級(jí)高工,主要研究方向?yàn)楣I(yè)物聯(lián)網(wǎng)。
參考文獻(xiàn):
[1] Falliere N, Murchu L O, Chien E W . Stuxnet Dossier[R] . Version 1. 3. Symantec Security Response, 2010 .
[2]彭勇,江常青 ,謝豐等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2012, 52 (10) .
[3] Xiaofei Zhang, Luolin Zheng, Ruying Zhao. Discussion on Information Security of Industrial Control System[A]. Asia -Pacific Computational Intelligence and Information Technology Conference, 2013 : 1 -6.
[4] US -CERT. The National Strategy to Secure Cyberspace[R]. Ishington DC, USA: United States Computer Emergency Readiness Team , 2003 .
[5] Treytl A, Sauter T, Schwaiger C. Security Measures in Automation Systems -A Practice -Oriented Approach. 10th IEEE Conf. Emerging Technologiesand Factory Automation ETFA, 2005: 847 -855.
[6]張?jiān)瀑F,佟為明,蔣玖川,劉文印.基于多Agent的惡意環(huán)境下控制系統(tǒng)任務(wù)分配方法[J] .計(jì)算機(jī)集成制造系統(tǒng), 2013,19 (8): 2050 -2057 .
[7] Rieger C G, Gertman D I, McQueen M A. Resilient Control Systems: Next Generation Design Research[C]. I: Proceedings of 2nd Conference on Human System Interactions, 2009: 632 -636.
[8] Nathanael D, Marmaras N. Work Practices and Prescription: A Key Issue for Organizational Resilience[J]. Ashgate Publishing, 2008, 01 (9): 101 -118.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第二輯)》