今日頭條
官方微信
官方抖音
資訊頻道摘要:工業(yè)控制系統(tǒng)正面臨著新的非傳統(tǒng)安全問(wèn)題即網(wǎng)絡(luò)安全的威脅。網(wǎng)絡(luò)攻擊這種由人類(lèi)惡意智力帶來(lái)的不確定性、不可知性和多變性,恰恰是工廠企業(yè)目前最不能確保正確應(yīng)對(duì)的安全挑戰(zhàn)。現(xiàn)在各種工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全解決方案,雖然非常必要,但還不能徹底解決網(wǎng)絡(luò)安全難題。根據(jù)已有的虛擬控制系統(tǒng)技術(shù)基礎(chǔ)和最新的研發(fā)實(shí)驗(yàn),本文創(chuàng)新性地提出,在異構(gòu)的FPGA平臺(tái)上實(shí)現(xiàn)的虛擬控制系統(tǒng)運(yùn)行,并與基于供應(yīng)商平臺(tái)的真實(shí)控制系統(tǒng)實(shí)時(shí)數(shù)據(jù)比對(duì),在網(wǎng)絡(luò)遭受攻擊時(shí)能及時(shí)正確地切換到操縱員手動(dòng),達(dá)到工業(yè)控制系統(tǒng)的極限網(wǎng)絡(luò)安全,是可能的,也是可行的。
關(guān)鍵詞:工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;虛擬控制系統(tǒng)
Abstract: The security of industrial control system is facing new, untraditional threats from the cyber networks. The network attacks from evil intelligence are uncertain, incomprehensible and variable, which seriously challenge the safe operation of plants and factories. Although all current cyber-network-security solutions are still necessary, they have not completely solved the problem. Based on our matured prior-arts of virtual control system and our most recent R&D experiences, we propose an innovative solution for the cyber-network-security of the industrial control system in plants and factories: real-time data alignment with virtual control system implemented on the heterogeneous FPGA platform. With such heterogeneous system in parallel, the main control system can be switched to operator-manual-mode correctly and instantaneously. Thus, ultimate cyber-security of industrial control system becomes possible and feasible.
Key words: Industrial control system; Cyber security; Virtual control system
1 引言
安全,是一切工業(yè)系統(tǒng)設(shè)計(jì)、建造、運(yùn)行和維護(hù)的核心。自從數(shù)字計(jì)算機(jī)引入工廠企業(yè)以來(lái),實(shí)施各種工業(yè)系統(tǒng)運(yùn)行全程控制和全范圍安全保護(hù),首先是交由工業(yè)控制系統(tǒng)自動(dòng)完成。毫無(wú)疑問(wèn),工業(yè)控制系統(tǒng)自身的安全,對(duì)工廠企業(yè)安全、經(jīng)濟(jì)運(yùn)行影響極大。一方面,控制系統(tǒng)的誤動(dòng)信號(hào)會(huì)導(dǎo)致工廠的虛假保護(hù)動(dòng)作,產(chǎn)生安全隱患。另一方面,控制系統(tǒng)的拒動(dòng)信號(hào)會(huì)導(dǎo)致工廠在異常工況下不能正常啟動(dòng)保護(hù)動(dòng)作,這是一種危險(xiǎn)性故障,嚴(yán)重影響系統(tǒng)或設(shè)備的安全性。為了保證對(duì)工業(yè)安全至關(guān)重要的控制系統(tǒng)的安全性,實(shí)施分散化,將控制組態(tài)下載到各分布式控制器中運(yùn)行等。工業(yè)安全屬于高等級(jí)的經(jīng)濟(jì)安全、環(huán)境安全和社會(huì)安全,可以說(shuō)工業(yè)控制系統(tǒng)是最重要的系統(tǒng)之一。但到目前為止,我們能應(yīng)對(duì)的都是工業(yè)控制系統(tǒng)的傳統(tǒng)安全問(wèn)題。如今,工業(yè)控制系統(tǒng)又面臨著一種新的安全問(wèn)題,即網(wǎng)絡(luò)安全(CyberSecurity)。
2 網(wǎng)絡(luò)安全挑戰(zhàn)
目前工業(yè)控制系統(tǒng)越來(lái)越開(kāi)放,網(wǎng)絡(luò)通信和軟件技術(shù)越來(lái)越先進(jìn),致使傳統(tǒng)網(wǎng)絡(luò)信息安全威脅逐漸向工控系統(tǒng)擴(kuò)散,產(chǎn)生了新的非傳統(tǒng)安全問(wèn)題。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)面臨著安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等嚴(yán)峻挑戰(zhàn)。大型工廠企業(yè)歷來(lái)是安全的焦點(diǎn)。工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)的核心,在實(shí)現(xiàn)了的先進(jìn)性可靠性控制的同時(shí),卻可能日益成為黑客的網(wǎng)絡(luò)攻擊目標(biāo)。要清醒地認(rèn)識(shí)到,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全受到威脅,不只是數(shù)據(jù)失密和隱私泄漏這么簡(jiǎn)單,還可能引發(fā)一系列涉及安全的嚴(yán)重事故,導(dǎo)致人員生命、基礎(chǔ)設(shè)施和生態(tài)環(huán)境等不可挽回的損害。
工業(yè)控制系統(tǒng), 包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、工業(yè)控制計(jì)算機(jī)(IPC)、遠(yuǎn)程測(cè)控單元(RTU)等,原是各供應(yīng)商按照完善工廠安全控制功能和提高運(yùn)行控制效率來(lái)設(shè)計(jì)、研發(fā)和部署的,所應(yīng)對(duì)的是確定的控制需求,要求達(dá)到實(shí)時(shí)響應(yīng),能消除隨機(jī)擾動(dòng)和設(shè)備材料疲勞損壞等傳統(tǒng)問(wèn)題。現(xiàn)在網(wǎng)絡(luò)安全問(wèn)題,卻是來(lái)自網(wǎng)絡(luò)或針對(duì)網(wǎng)絡(luò)的不確定性攻擊。其實(shí),在多種多樣工業(yè)和社會(huì)系統(tǒng)攻擊的事件背后,其攻擊發(fā)起者和攻擊目的是有所不同的。首先第一種攻擊會(huì)來(lái)自于黑客個(gè)體。早期針對(duì)工業(yè)和社會(huì)的攻擊者以黑客個(gè)體為主,其動(dòng)因多是出于冒險(xiǎn)、炫技、報(bào)復(fù)、泄憤、勒索、挑戰(zhàn)權(quán)威等。由于工廠的網(wǎng)絡(luò)一般與公眾互聯(lián)網(wǎng)隔離,因此能突破物理隔離的限制發(fā)起攻擊并得手的黑客會(huì)得到出奇的自我實(shí)現(xiàn)式的滿(mǎn)足。第二種攻擊會(huì)來(lái)自于大國(guó)暗戰(zhàn)。自從伊朗核設(shè)施“震網(wǎng)”事件后,大國(guó)推手作為始作俑者,由國(guó)家部隊(duì)發(fā)起對(duì)工廠企業(yè)基礎(chǔ)設(shè)施的破壞。近年來(lái)的攻擊事件,背后都閃動(dòng)著國(guó)家黑客部隊(duì)的影子。第三種攻擊會(huì)來(lái)自于恐怖分子。由于大型工業(yè)企業(yè)和社會(huì)設(shè)施有一定的地標(biāo)效應(yīng),近年來(lái)隨著恐怖主義的泛濫,也逐漸受到轉(zhuǎn)戰(zhàn)網(wǎng)絡(luò)的恐怖分子們的關(guān)注,其對(duì)工業(yè)系統(tǒng)的威脅也顯得日益嚴(yán)重。總之,當(dāng)引入網(wǎng)絡(luò)安全威脅之后,工業(yè)控制系統(tǒng)就需要增加應(yīng)對(duì)由個(gè)人、團(tuán)隊(duì)和國(guó)家集中開(kāi)發(fā)惡意智力帶來(lái)的不確定性、不可知性和多變性這些非傳統(tǒng)問(wèn)題了,這恰恰是目前工業(yè)企業(yè)最不能夠確保正確應(yīng)對(duì)的安全挑戰(zhàn)。
3 網(wǎng)絡(luò)安全應(yīng)對(duì)
鑒于近年全球工業(yè)控制網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻,各發(fā)達(dá)國(guó)家政府機(jī)構(gòu)、國(guó)際組織、國(guó)家實(shí)驗(yàn)室和大型跨國(guó)技術(shù)公司罕見(jiàn)地多次召開(kāi)專(zhuān)題會(huì)議進(jìn)行公開(kāi)的交流和研判。我國(guó)工業(yè)領(lǐng)域控制系統(tǒng)的現(xiàn)狀是:核心控制技術(shù)開(kāi)放度極高,長(zhǎng)期依賴(lài)進(jìn)口,大量裝備國(guó)外系統(tǒng),造成工控安全意識(shí)薄弱,安全責(zé)任旁落,安全防護(hù)缺失,工控信息安全產(chǎn)業(yè)才剛剛起步。在這一背景下,2016年,國(guó)務(wù)院發(fā)布的《國(guó)家十三五信息化規(guī)劃》,明確在十三五期間要加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警和應(yīng)急處置能力建設(shè),加強(qiáng)金融、能源、電力、通信、交通等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施核心技術(shù)裝備的威脅感知和持續(xù)防御能力建設(shè),增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。
我國(guó)網(wǎng)絡(luò)安全領(lǐng)域最高法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自2017年6月1日起施行。法律定義網(wǎng)絡(luò),是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。網(wǎng)絡(luò)安全法進(jìn)一步定義網(wǎng)絡(luò)安全,是指通過(guò)采取必要措施,防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡(luò)安全法專(zhuān)門(mén)列出了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全,明確國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),鼓勵(lì)開(kāi)發(fā)新技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全。顯然工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全屬于這一范疇。
2017年12月,我國(guó)工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020)》,首次確定了工業(yè)控制系統(tǒng)信息網(wǎng)絡(luò)安全的企業(yè)主體責(zé)任。行動(dòng)計(jì)劃明確提出在3年期間基本建立工控安全管理工作體系,全社會(huì)工控安全意識(shí)明顯增強(qiáng)。要建成全國(guó)在線監(jiān)測(cè)網(wǎng)絡(luò),應(yīng)急資源庫(kù),仿真測(cè)試、信息共享、信息通報(bào)平臺(tái)等,使態(tài)勢(shì)感知、安全防護(hù)、應(yīng)急處置能力顯著提升。要培育一批影響力大、競(jìng)爭(zhēng)力強(qiáng)的龍頭骨干企業(yè),創(chuàng)建國(guó)家新型工業(yè)化工業(yè)信息安全產(chǎn)業(yè)示范基地,使產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。行動(dòng)計(jì)劃的目的就是要充分動(dòng)員我國(guó)科技界和工業(yè)界的力量,應(yīng)對(duì)工控網(wǎng)絡(luò)安全的挑戰(zhàn)。
長(zhǎng)期以來(lái),工業(yè)控制系統(tǒng)在功能安全方面都已有完整的法規(guī)標(biāo)準(zhǔn)和成熟的技術(shù),現(xiàn)在又提出如何在不降低功能安全的情況下考慮加強(qiáng)網(wǎng)絡(luò)安全。如此針對(duì)性的行動(dòng)計(jì)劃和指導(dǎo)意見(jiàn)短期內(nèi)密集出臺(tái),前所未有,確實(shí)是一個(gè)全新的課題。將工業(yè)控制系統(tǒng)作為特殊的一種工廠企業(yè)內(nèi)的信息網(wǎng)絡(luò)系統(tǒng),從網(wǎng)絡(luò)拓?fù)涑霭l(fā)進(jìn)行多層防護(hù),嚴(yán)格與互聯(lián)網(wǎng)物理隔離。現(xiàn)實(shí)情況是,工廠重點(diǎn)關(guān)注的是“人防”和“物防”,集中在對(duì)人員授權(quán)和對(duì)實(shí)物保護(hù),但在網(wǎng)絡(luò)安全技術(shù)方面仍存在諸多不足。在實(shí)際運(yùn)作過(guò)程中,伴隨著文件交互需要,系統(tǒng)升級(jí)、更新、運(yùn)維需要和人為過(guò)失及來(lái)自?xún)?nèi)部威脅等,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)并非處于絕對(duì)的隔離狀態(tài),因此隨時(shí)有被敵對(duì)或不法分子發(fā)起網(wǎng)絡(luò)攻擊的可能性。各種工廠企業(yè)尤其需要改變“物理隔離”等于“安全”的觀念,及時(shí)建立行之有效的立體防護(hù),增加“技防”手段,開(kāi)發(fā)創(chuàng)新的安全技術(shù),把遭受網(wǎng)絡(luò)攻擊的可能性和破壞性降到最低限度。
4 極限網(wǎng)絡(luò)安全理念
到目前為止,所有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的方法和技術(shù),無(wú)外乎是采取劃分邊界、系統(tǒng)隔離、認(rèn)證授權(quán)、物理防護(hù)、配置管理等方案,安裝各種網(wǎng)關(guān)、網(wǎng)閘、工業(yè)防火墻、殺毒軟件等硬軟件設(shè)備。顯然這些方法和技術(shù),只是當(dāng)前有效和局部有效的,是以降低工業(yè)控制系統(tǒng)的功能性能為代價(jià)的,還需要不斷升級(jí)改版,人工因素影響較重。當(dāng)前隨著新工業(yè)革命信息技術(shù)的發(fā)展,還有應(yīng)用大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈、人工智能等解決網(wǎng)絡(luò)安全問(wèn)題。如若采用各種新型人工智能手段,也是需要時(shí)間進(jìn)行所謂深度學(xué)習(xí)的,不能發(fā)揮出實(shí)時(shí)效能,尚存在大量不確定性。因此所有這些技術(shù)和方法,雖然非常必要,但不能徹底解決網(wǎng)絡(luò)安全難題。有鑒于此,現(xiàn)在所有工業(yè)企業(yè)領(lǐng)域相關(guān)的人士,無(wú)論是政府領(lǐng)導(dǎo)層、企業(yè)管理層、還是基層技術(shù)人員,無(wú)論是出于常識(shí)理性還是責(zé)任擔(dān)當(dāng),大家都在思考和詢(xún)問(wèn):工業(yè)控制系統(tǒng)網(wǎng)絡(luò)能否實(shí)現(xiàn)某種意義上的絕對(duì)安全或稱(chēng)極限安全(Ultimate CyberSecurity)?
一般的絕對(duì)安全或極限安全是不存在的。但如能用工程技術(shù)的方法,實(shí)時(shí)感知到由個(gè)人、團(tuán)體或國(guó)家組織的人類(lèi)惡意智力活動(dòng)通過(guò)網(wǎng)絡(luò)帶給工業(yè)控制系統(tǒng)的不確定性、不可知性和多變性現(xiàn)象,能將工業(yè)系統(tǒng)最終導(dǎo)向安全運(yùn)行,就是實(shí)現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的極限安全。目前的工業(yè)控制系統(tǒng),來(lái)自于各個(gè)供應(yīng)商,區(qū)別于一般的計(jì)算機(jī)信息管理網(wǎng)絡(luò)系統(tǒng),其對(duì)于工廠設(shè)備的控制動(dòng)作都是根據(jù)控制組態(tài)發(fā)出的,控制組態(tài)又是經(jīng)逐項(xiàng)設(shè)計(jì)并通過(guò)調(diào)試驗(yàn)證而完成的。如果控制系統(tǒng)網(wǎng)絡(luò)受到攻擊,最令人擔(dān)心的是操縱員當(dāng)時(shí)并不知情,仍然絕對(duì)地依靠控制系統(tǒng)進(jìn)行監(jiān)視和控制。如果能感知到工業(yè)控制系統(tǒng)沒(méi)有按照既定的控制功能設(shè)計(jì)組態(tài)運(yùn)行,就有理由斷定系統(tǒng)網(wǎng)絡(luò)可能受到不明的網(wǎng)絡(luò)攻擊。在這時(shí),工廠操縱員若能及時(shí)切換到手動(dòng)操作,憑借其經(jīng)過(guò)嚴(yán)格訓(xùn)練的專(zhuān)業(yè)能力,完全可以保證工廠系統(tǒng)達(dá)到最終的安全狀態(tài)。這就是所謂工業(yè)控制系統(tǒng)極限安全的理念。
顯然,研發(fā)一種與基于供應(yīng)商平臺(tái)的真實(shí)工業(yè)控制系統(tǒng)并列運(yùn)行的虛擬控制系統(tǒng),從而有望實(shí)現(xiàn)控制系統(tǒng)網(wǎng)絡(luò)的極限安全,如圖1所示。要想獲得工業(yè)控制系統(tǒng)的所謂“極限”安全,根本觀念上就是要對(duì)基于供應(yīng)商平臺(tái)的工業(yè)控制系統(tǒng)運(yùn)行零信任。零信任是根植于“永不信任、始終驗(yàn)證”的原則之上。由于虛擬控制系統(tǒng)與真實(shí)工業(yè)控制系統(tǒng)采用了相同的設(shè)計(jì)和組態(tài),虛擬軟件甚至可以是控制組態(tài)的編譯轉(zhuǎn)換版本,故而能將虛擬控制系統(tǒng)作為始終驗(yàn)證和實(shí)時(shí)判定的依據(jù),兩路運(yùn)行數(shù)據(jù)同時(shí)送入安全監(jiān)視模塊實(shí)時(shí)進(jìn)行比較判斷。當(dāng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)被攻擊、被誤導(dǎo)、被阻斷、被篡改,而工廠運(yùn)行操縱員無(wú)法進(jìn)行真?zhèn)闻袛鄷r(shí),安全監(jiān)視模塊能給出正確的結(jié)論和報(bào)警,可以強(qiáng)制切換為手動(dòng),從而實(shí)現(xiàn)極限安全。
圖1 工業(yè)控制系統(tǒng)的極限安全解決方案
5 虛擬控制系統(tǒng)實(shí)現(xiàn)
研發(fā)虛擬控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全,是極其艱巨的一種軟硬件工程任務(wù),需要各方面大力合作和行業(yè)創(chuàng)新。特別是需要采用比供應(yīng)商平臺(tái)更加安全的計(jì)算技術(shù)平臺(tái),要進(jìn)行大量編程和調(diào)試工作,需全面借鑒已有的工業(yè)控制系統(tǒng)組態(tài),同時(shí)要考慮相對(duì)獨(dú)立于供應(yīng)商的工業(yè)控制系統(tǒng)系列產(chǎn)品。為了確保安全,就要基于異構(gòu)計(jì)算平臺(tái),實(shí)現(xiàn)虛擬控制系統(tǒng)的運(yùn)行和安全監(jiān)控。目前,采用現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA,FieldProgrammable GateArray)技術(shù)方案是最佳選擇。近年在美國(guó)和歐洲,F(xiàn)PGA技術(shù)已經(jīng)在工業(yè)控制系統(tǒng)上有了部分成功的設(shè)計(jì)和應(yīng)用,但目前還沒(méi)有應(yīng)用到解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的先例。本文提出的方案是:開(kāi)發(fā)由控制組態(tài)轉(zhuǎn)換到FPGA平臺(tái)的軟件工具,直接生成基于FPGA這種安全異構(gòu)的虛擬控制系統(tǒng),進(jìn)行調(diào)試綜合后寫(xiě)入門(mén)陣列芯片組,實(shí)現(xiàn)異構(gòu)平臺(tái)上的虛擬控制系統(tǒng)運(yùn)行。本文作者團(tuán)隊(duì)在這方面已成功進(jìn)行了研究開(kāi)發(fā)實(shí)驗(yàn),針對(duì)核反應(yīng)堆跳堆保護(hù)系列邏輯,在FPGA平臺(tái)上實(shí)現(xiàn)的虛擬控制系統(tǒng)邏輯電路設(shè)計(jì)部分結(jié)果,如圖2所示。
圖2 核反應(yīng)堆跳堆保護(hù)邏輯組態(tài)及其 FPGA虛擬控制系統(tǒng)電路設(shè)計(jì)
6 結(jié)束語(yǔ)
為了應(yīng)對(duì)當(dāng)前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全所面臨的嚴(yán)峻挑戰(zhàn),根據(jù)已有的虛擬控制系統(tǒng)技術(shù)基礎(chǔ)和最新的研發(fā)實(shí)驗(yàn),在異構(gòu)的FPGA平臺(tái)上實(shí)現(xiàn)工業(yè)控制系統(tǒng)的虛擬控制系統(tǒng)運(yùn)行和實(shí)時(shí)數(shù)據(jù)比對(duì),在網(wǎng)絡(luò)攻擊時(shí)能及時(shí)正確地切換到操縱員手動(dòng),達(dá)到工業(yè)控制系統(tǒng)的極限網(wǎng)絡(luò)安全,是可能的,也是可行的。
作者簡(jiǎn)介
冷 杉(1958-),男,江蘇鎮(zhèn)江人,工學(xué)博士,教授,現(xiàn)就職于東南大學(xué),研究方向主要為大型能源系統(tǒng)的建模、仿真、數(shù)據(jù)、控制和安全等方面技術(shù)研究及其相應(yīng)的工業(yè)軟件開(kāi)發(fā)。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)