今日頭條
官方微信
官方抖音
資訊頻道摘要:目前工控安全形勢嚴峻,而傳統(tǒng)的信息安全以防御為主,沒有針對工業(yè)控制系統(tǒng)的獨特性進行量身打造,難以有效抵御各種安全事故的發(fā)生。工業(yè)控制系統(tǒng)的核心價值體現(xiàn)在最終的生產(chǎn)環(huán)節(jié),一般要產(chǎn)生破壞效果,需要通過對生產(chǎn)系統(tǒng)造成影響,才能達到其目的。針對工業(yè)控制系統(tǒng)的安全需求,本文提出工控伴生安全新模式,通過建立一套與工業(yè)控制系統(tǒng)并行伴生的安全系統(tǒng),對工業(yè)生產(chǎn)控制過程進行及時有效的監(jiān)督診斷和干預(yù)恢復(fù),實現(xiàn)工業(yè)生產(chǎn)過程的安全管控。
關(guān)鍵詞:工控安全;軟件定義;伴生;大安全
Abstract: Nowadays most Industrial Control Systems (ICS) are in great dangerous,and the traditional information security focuses on defense, which is not based on the characteristics of ICS, thus difficult to effectively avoid the occurrence of various accidents. The kernel value of ICS is embodied in the production phase, and to cause any accident, it is a must to influence the production system. According to the safety requirement of ICS, we propose a new framework, i.e., ICS Associated Safety. To do so, an Associated Safety system is built, in parallel with ICS, to monitor and intervention during production, thus to realize the safety control of industrial production process.
Key words: Industrial Control Systems; Software-defined; Associated; Macro-security
1 引言
工業(yè)控制系統(tǒng)(簡稱工控系統(tǒng))指的是利用控制理論、儀器儀表、計算機和其他信息技術(shù),對工業(yè)生產(chǎn)過程實現(xiàn)檢測、控制、優(yōu)化、調(diào)度、管理和決策,使工廠的生產(chǎn)和制造過程更加自動化、效率化、精確化,并具有可控性及可視性,從而達到增加產(chǎn)量、提高質(zhì)量、降低消耗等目標(biāo)。
目前,工控系統(tǒng)普遍采用通用協(xié)議、硬軟件系統(tǒng),并且與企業(yè)內(nèi)網(wǎng),甚至是與互聯(lián)網(wǎng)發(fā)生了應(yīng)用對接。在“工業(yè)4.0”背景下,針對用戶的需求,提供精準(zhǔn)的服務(wù)成為重要的發(fā)展趨勢,從而也需要工業(yè)生產(chǎn)
方式有所變革,逐漸轉(zhuǎn)化為“按需定制”。這種需求方式的變革對工業(yè)生態(tài)的要求越來越高,尤其是對于現(xiàn)有海量的存量市場,如何應(yīng)對新的需求是一個亟待解決的難題。隨著工控系統(tǒng)的發(fā)展,尤其是互聯(lián)網(wǎng)接入,使得傳統(tǒng)信息安全威脅逐漸擴散至工控系統(tǒng),新的安全問題層出不窮,工控系統(tǒng)安全面臨前所未有的嚴峻形勢。
2 工控安全
工控系統(tǒng)目前被廣泛地應(yīng)用在支撐國家安全、國計民生、經(jīng)濟發(fā)展等核心領(lǐng)域,工控系統(tǒng)安全事故對社會和經(jīng)濟造成的危害也愈來愈嚴重。正是由于工控系統(tǒng)的重要性,其逐漸成為重點攻擊目標(biāo),工控系統(tǒng)安全問題受到越來越多的關(guān)注。
傳統(tǒng)工控系統(tǒng)以生產(chǎn)持續(xù)優(yōu)先,最看重系統(tǒng)的可用性,多采用基于主從關(guān)系的非對等網(wǎng)絡(luò),側(cè)重于安全防護能力的建設(shè)。在安全問題方面,工控系統(tǒng)更多地將其轉(zhuǎn)化為傳統(tǒng)信息系統(tǒng)的安全問題。但是,由于工控系統(tǒng)的獨特性,其核心價值體現(xiàn)在最終的生產(chǎn)環(huán)節(jié),需要有一套量身打造的能夠落實在生產(chǎn)環(huán)節(jié)的安全產(chǎn)品,才能有效抵御各種安全事故的發(fā)生,為客戶帶來安全防護的真正價值。
傳統(tǒng)信息安全防護的目標(biāo)是信息,以防御為主。因為一旦突破信息訪問的屏障,信息的安全性將蕩然無存。對于工控系統(tǒng)而言,工業(yè)信息的安全性固然重要,最核心的安全威脅是在突破安全防御后,對生產(chǎn)造成實質(zhì)性的破壞,影響到生產(chǎn),包括出現(xiàn)生產(chǎn)事故或者降低生產(chǎn)效率。一般工控安全事故要產(chǎn)生破壞效果,需要通過對生產(chǎn)系統(tǒng)造成影響,才能達到其目的。
目前的工控安全是把工控與安全割裂開,信息安全廠商和控制廠商從各自理解出發(fā),過分強調(diào)各自部分的重要性,不能從工業(yè)生產(chǎn)的全局來考慮工控與安全的有機融合,導(dǎo)致現(xiàn)在的工控安全解決方案仍拘泥于“防護”,遵循傳統(tǒng)的信息安全分區(qū)隔離、邊界防護理念,未能深入工控系統(tǒng)的本質(zhì),從而難以避免到處補缺查漏,疲于奔命的困境。
3 工業(yè)控制系統(tǒng)的本質(zhì)
工控系統(tǒng)的本質(zhì)是生產(chǎn)控制。目前的工業(yè)生產(chǎn)系統(tǒng)或工控系統(tǒng),主要聚焦在生產(chǎn)控制過程,但缺乏對生產(chǎn)過程的監(jiān)督診斷和干預(yù)、自主診斷和恢復(fù)功能,使得系統(tǒng)容易受外界的操縱,從而引發(fā)安全生產(chǎn)事故。
工控系統(tǒng)由于其“兩個有限”(合法狀態(tài)有限、合法指令有限)的特性,在狀態(tài)可明確窮舉和每個狀態(tài)合法指令有限條件下,工控系統(tǒng)的執(zhí)行裝置和控制設(shè)備的運行狀態(tài)、接收和下發(fā)的指令都是可監(jiān)測和檢測的。無論是外部攻擊還是誤操作等任何原因造成的狀態(tài)異常以及非法指令,也都是可知,因此,在“兩個有限”原則下,實現(xiàn)對工控系統(tǒng)安全運行態(tài)勢的監(jiān)測,是完全可行并且可信的。
為了確保工業(yè)生成過程的安全有序,工業(yè)控制系統(tǒng)應(yīng)該包括工控系統(tǒng)和安全保障系統(tǒng),即大安全的工控系統(tǒng),如圖1所示。從本質(zhì)而言,工控系統(tǒng)的設(shè)計目標(biāo)在生命周期內(nèi)的功能安全可達性,是以實現(xiàn)工業(yè)系統(tǒng)可用性為目標(biāo),綜合運用功能安全、信息安全等技術(shù)手段和防護措施,保障工業(yè)系統(tǒng)在生命周期內(nèi)的安全穩(wěn)定運行。
圖1 工業(yè)控制系統(tǒng)的大安全
在工控系統(tǒng)的核心工業(yè)流程基礎(chǔ)上,實現(xiàn)對工業(yè)流程的基本控制,通過對流程進行過程監(jiān)控了解工控的運行狀態(tài),并對各類操作的合法性進行管理;在此基礎(chǔ)上,實現(xiàn)對工業(yè)流程控制、過程和操作的安全監(jiān)測,對非法的指令操作進行報警,并對指令執(zhí)行的過程進行控制,確保對工控系統(tǒng)的防護;在對工業(yè)流程進行監(jiān)控預(yù)警的基礎(chǔ)上,通過對工控全系統(tǒng)安全態(tài)勢感知,為系統(tǒng)、企業(yè)級的預(yù)警提供支持,同時為更大區(qū)域內(nèi)的社會應(yīng)急提供數(shù)據(jù)支撐。
4 工控伴生安全模式
針對目前工控系統(tǒng)重控制的實際情況,結(jié)合當(dāng)下工控系統(tǒng)的現(xiàn)狀,存量與增量并存,本文提出工控系統(tǒng)伴生安全新模式。
工控系統(tǒng)伴生安全模式是指通過建立一套與工業(yè)控制系統(tǒng)并行伴生的安全系統(tǒng),實現(xiàn)對工業(yè)生產(chǎn)控制過程的及時有效的監(jiān)督診斷和干預(yù)恢復(fù),以及對生產(chǎn)過程的安全管控,如圖2所示。
圖2 工控伴生安全模式
通過對工業(yè)控制系統(tǒng)運行狀態(tài)的監(jiān)測,主要是對指令的合法性進行判斷,并進行安全態(tài)勢的分析預(yù)測,實現(xiàn)對控制過程安全性能的保障。在傳統(tǒng)的以防護為主的信息安全之外,加上對最終控制過程的監(jiān)測,將安全與控制相伴而生。在發(fā)現(xiàn)工控安全隱患之后,利用先前設(shè)定的知識庫,向工控系統(tǒng)發(fā)出有效的安全控制指令,以期避免安全事故的發(fā)生。
工控伴生安全模式,通過將安全控制與工控系統(tǒng)鏡像運行,在不影響工控系統(tǒng)運行效率的前提下,實現(xiàn)對工控過程的安全監(jiān)測、態(tài)勢預(yù)警和控制,實現(xiàn)了高靈活性的安全控制。由于伴生安全系統(tǒng)與工控系統(tǒng)并行獨立,在保證獨立性的前提下實現(xiàn)了良好的靈活性和可適配性,無論對于存量還是增量系統(tǒng),都能通過伴生安全系統(tǒng)實現(xiàn)工控系統(tǒng)的大安全。
5 軟件定義的工控伴生安全
為了建立工控伴生安全模式,本文提出利用軟件定義的方式,通過設(shè)立兩級安全控制器,實現(xiàn)面向工控本質(zhì)的安全控制系統(tǒng)。
軟件定義是指利用軟件實現(xiàn)系統(tǒng)的功能,用軟件給硬件賦能,實現(xiàn)系統(tǒng)運行效率和能量效率最大化。“軟件定義”的核心是硬件資源虛擬化和管理功能可編程。所謂硬件資源虛擬化,是將硬件資源抽象為虛擬資源,然后由系統(tǒng)軟件對虛擬資源進行管理和調(diào)度。管理功能可編程是指在硬件資源虛擬化的基礎(chǔ)上,用戶可編寫應(yīng)用程序,通過系統(tǒng)調(diào)用接口,訪問資源所提供的服務(wù),更重要的是能夠靈活管理和調(diào)度資源,以滿足應(yīng)用對資源的多樣需求。從程序設(shè)計的角度,工控系統(tǒng)的行為可以通過軟件進行定義,成為所謂的“軟件定義的系統(tǒng)”。
通過軟件定義,可以建立工控系統(tǒng)的對外硬件接口,通過基礎(chǔ)軟件實現(xiàn)對工控硬件資源的統(tǒng)一管控,并通過標(biāo)準(zhǔn)化的編程接口對外提供訪問接口。安全系統(tǒng)在編程接口的基礎(chǔ)上,實現(xiàn)對工控運行狀態(tài)的監(jiān)測,并利用內(nèi)建的工控安全知識庫,建立基于人工智能的工控安全的態(tài)勢感知,并根據(jù)安全狀態(tài)發(fā)出控制指令,實現(xiàn)對系統(tǒng)的干預(yù)。
安全系統(tǒng)與工控系統(tǒng)并行運行,安全系統(tǒng)的運行獨立于工控系統(tǒng),通過對工控運行中的狀態(tài)監(jiān)測和干預(yù)實現(xiàn)安全防護。由于不參與工業(yè)控制系統(tǒng)的生產(chǎn)過程,而是通過伴生的方式進行安全防護,從而實現(xiàn)在一定靈活程度下的工控安全。
基于軟件定義的思路,根據(jù)工控系統(tǒng)的實際情況,將工控系統(tǒng)中具有獨立監(jiān)控功能的模塊作為本體。每個本體包含輸入、輸出以及控制功能。本體可以通過嵌套形成從設(shè)備到現(xiàn)場,乃至最終形成一個完整的工控系統(tǒng)。
工業(yè)控制系統(tǒng)中,不同層級的控制要求是不同的。現(xiàn)場設(shè)備級的控制功能簡單,但對實時性要求很高,需要給出及時反饋。在此之上的控制管理,由于需要進行更大量的計算,需要能夠完成比較大的計算量。針對工業(yè)控制的這個特點,本文設(shè)定了輕載、重載二級的工控伴生安全系統(tǒng)結(jié)構(gòu),如圖3所示。
圖3 兩級的工控伴生安全體系
輕載控制器主要是部署在設(shè)備級,具體執(zhí)行預(yù)設(shè)的工控安全管理,并且可以接收來自上層(重載控制器)的工控安全規(guī)則的更新,在完成對所控制設(shè)備的安全管理的同時,也將設(shè)備的安全狀況及時上傳到重載控制器中。重載控制器主要通過對下轄的輕載控制器的數(shù)據(jù)采集,完成對現(xiàn)場的態(tài)勢感知,同時根據(jù)各個設(shè)備的安全情況,對安全管理規(guī)則進行有針對性的更新,同時實現(xiàn)自學(xué)習(xí)和自組織等智能化安全管理。
(1)輕載控制器
融合某些儀表的功能,具備支撐不同級別控制器的基本硬件基礎(chǔ)資源,包括完成簡單監(jiān)測控制功能,并適當(dāng)冗余。實現(xiàn)設(shè)備級實時安全防危,實現(xiàn)對設(shè)備的安全監(jiān)測和預(yù)警,利用內(nèi)嵌的可重定義的安全規(guī)則,保障設(shè)備運行的安全。用于支持功能安全保障,以及信息安全功能實現(xiàn)。同時為實現(xiàn)全局的工控安全管理,提供通訊功能實現(xiàn)工控數(shù)據(jù)的上傳下達。
利用人工智能技術(shù),實現(xiàn)對設(shè)備的安全預(yù)警,實現(xiàn)對監(jiān)測設(shè)備的自診斷,并做到簡單自愈。利用智能芯片,建立針對工控安全的人工智能的訓(xùn)練及應(yīng)用模塊,實現(xiàn)對工控安全的自調(diào)節(jié)控制,自適應(yīng)控制;建立基于防危的自診斷,并實現(xiàn)基于專家系統(tǒng)的簡單自愈(比如重啟)。在異常狀況下,可在不影響正常生產(chǎn)(或者對生產(chǎn)影響最小)的時段實現(xiàn)安全恢復(fù)。
(2)重載控制器
融合RTU、PLC等部分硬件功能,具備支撐不同級別控制器的硬件基礎(chǔ)資源,實現(xiàn)工控現(xiàn)場的安全監(jiān)測以及態(tài)勢感知,對現(xiàn)場內(nèi)的各種設(shè)備的綜合監(jiān)控和協(xié)調(diào),內(nèi)置工控安全預(yù)測和態(tài)勢感知,實現(xiàn)現(xiàn)場級工控系統(tǒng)的操作和信息的安全監(jiān)控。包括完成復(fù)雜工控安全處理功能的智能芯片,并適當(dāng)冗余,用于支持信息安全功能實現(xiàn)。
利用歷史數(shù)據(jù)實現(xiàn)工控安全模型的自學(xué)習(xí),利用軟件定義功能做到工控系統(tǒng)的自組織;建立工控系統(tǒng)的復(fù)雜自愈、自恢復(fù)(自清洗),并利用人工智能中的對抗網(wǎng)絡(luò)實現(xiàn)工控系統(tǒng)的安全自治、自管理和自主保障,實現(xiàn)自組織自學(xué)習(xí)等高級智能,具備自學(xué)習(xí)、自組織、復(fù)雜自愈和自恢復(fù)。
通過對現(xiàn)場內(nèi)設(shè)備狀態(tài)的監(jiān)測分析,實現(xiàn)對防危知識庫的優(yōu)化配置,并通過下發(fā)對輕載控制器的安全防危進行優(yōu)化定義。同時為實現(xiàn)云端的工控安全管理,需要在不同層級的控制器上實現(xiàn)通訊功能,實現(xiàn)工控數(shù)據(jù)的上傳下達。
利用人工智能技術(shù),通過對各個現(xiàn)場重載控制器的數(shù)據(jù)融合,建立工控系統(tǒng)的安全態(tài)勢感知。通過對安全態(tài)勢的分析,實現(xiàn)安全控制策略的下發(fā)。建立工控安全知識庫,建立行業(yè)標(biāo)準(zhǔn)的知識庫,同時針對具體應(yīng)用場景建立定制化的知識庫,提高工控安全系統(tǒng)的適配性。
利用工控伴生安全系統(tǒng),可以實現(xiàn)對存量和增量系統(tǒng)的統(tǒng)一處置。針對存量系統(tǒng),將現(xiàn)有的硬件功能模塊定義為硬件實現(xiàn)的本體。在此基礎(chǔ)上,通過本體間嵌套,加入軟件定義的新功能模塊,實現(xiàn)基于存量系統(tǒng)的安全工控系統(tǒng),具備硬件和軟件定義交叉的特性。對于增量系統(tǒng),利用虛擬化技術(shù),在硬件平臺的基礎(chǔ)上,實現(xiàn)軟件定義的控制和安全模塊。
6 總結(jié)
目前工控安全形勢嚴峻,缺少針對性解決方案以及服務(wù)模式。歷年的工控安全事件表明僅依靠現(xiàn)有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、技術(shù)框架體系、產(chǎn)品譜系、咨詢測試測評評估系列服務(wù)、工控安全全面解決方案、工控安全工作長效協(xié)作機制等方面,還有很長的路要走。
針對工控系統(tǒng)中的功能信息操作等安全需求,結(jié)合人工智能技術(shù),通過軟件定義,建立輕載和重載控制器相結(jié)合的工控系統(tǒng)伴生安全智能控制體系。從而實現(xiàn)輕載和重載的安全控制,做到靈活可配置,并能夠具有很高的行業(yè)適配性。
從工控本質(zhì)出發(fā),針對存量、增量、服務(wù),探索工控系統(tǒng)運行安全的本質(zhì)機理,本文提出工控伴生安全體系,研發(fā)安全的工控產(chǎn)品和防護產(chǎn)品,形成針對性解決方案,全面提高工控系統(tǒng)安全運行的綜合保障能力,是一個可行的行動路線。
作者簡介
王 彬(1975-),男,江蘇南京人,現(xiàn)任北京安控科技股份有限公司副總裁,北京安控工控安全研究院院長,主要從事自動化和工業(yè)控制系統(tǒng)及安全研究。
朱廷劭(1973-),男,中國科學(xué)院大學(xué)教授,研究工作涉及機器學(xué)習(xí)、漢語文語轉(zhuǎn)換以及網(wǎng)絡(luò)行為心理研究等多個領(lǐng)域。
徐新國(1966-),男,安徽合肥人,博士,教授級高級工程師,現(xiàn)任北京安控科技股份有限公司首席科學(xué)家,主要從事信息化和工業(yè)控制系統(tǒng)安全研究。
參考文獻:
[1] 王彬, 徐新國. 關(guān)于工業(yè)控制系統(tǒng)本體安全的思考[J]. 自動化博覽, 2018, ( S2 ): 54 - 56.
[2] 徐新國, 朱廷劭, 康衛(wèi) 基于數(shù)據(jù)庫挖掘的工業(yè)控制系統(tǒng)防危機制研究[J]. 電子技術(shù)應(yīng)用, 2012, 38 ( 5 ): 87 - 90 .
[3] KONSTANTINIM, 夏光. 切爾諾貝利事故:問題的實質(zhì)[J]. 科學(xué)對社會的影響, 1992, ( 03 ): 168 - 172.
[4] 見宏偉, 雷航. 自適應(yīng)防危策略的設(shè)計技術(shù)研究[J]. 微計算機信息, 2010, ( 09 ): 65 - 67.
[5] 張帥. 工業(yè)控制系統(tǒng)安全現(xiàn)狀與風(fēng)險分析[J]. 計算機安全, 2012, ( 01 ): 15 - 19.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號