今日頭條
官方微信
官方抖音
資訊頻道
1 引言
隨著2010年伊朗布什爾核電站遭到Stuxnet(“震網”病毒)攻擊,工業控制系統(ICS)網絡安全問題受到了廣泛關注[1]。作為一個新興的研究領域,為了清晰地理解ICS信息安全研究的對象、理論與方法,需要從其內涵和外延兩個方面進行分析和研究[2,3]。ICS信息安全外延是從宏觀上研究ICS的行業類和子行業,重點研究相互依賴性、級聯故障等整體性、結構性的信息安全問題;而ICS信息安全內涵是從微觀上研究ICS本身及其組件,重點研究系統、設備、協議的漏洞以及黑客攻擊方法、防護技術等具體的信息安全問題。針對這兩個方面,無論是從研究的對象、還是研究的內容和方法角度切入,都有大量問題需要解決。
與IT系統不同,工業控制系統的本質是信息物理融合系統(CPS,Cyber-physical system),多維異構的計算單元和物理對象在網絡環境中高度集成與交互,構成了一類新型的智能復雜系統,其中最具代表性的就是網絡控制系統(NCS,Network Control System)。網絡控制系統分布、柔性、自治的特點給物理安全(Safety)帶來了風險分散、標準化、易擴展與易維護等好處,與此同時,高度網絡化又使其在信息安全(Security)方面面臨前所未有的挑戰。網絡控制系統所有要素完全依賴網絡連接在一起,其信息安全問題極具代表性。
如何從工業控制系統信息物理融合這一本質特點出發,深度融合計算、通信和控制領域的研究成果,構建一個可控、可信、可擴展并且安全高效的工業控制網絡安全技術體系,是工業控制系統信息安全亟待研究的方向。
2 工業控制系統安全的本質是信息物理融合
ICS系統和IT系統的區別總結如表1所示[4]。ICS系統與IT系統最核心的區別在于:工業控制系統與生產過程的各物理要素有著緊密的聯系,對工業控制系統的惡意攻擊,其目的除了獲取生產工藝參數之類的核心商業機密外,主要還反映在對物理系統的破壞上。
一個典型的工業控制系統按ANSI/ISA-99標準可以分為五個層次:企業系統層、運行管理層、監測控制層、基本控制層和過程層。從是否與現實的物理系統直接聯系的角度分析,上述的層次結構可以分成物理空間、信息空間,如圖1所示。圖中可以清楚地看出信息物理系統連接的邊界。
表1 ICS系統與IT系統的區別
從圖1可以看出,信息、物理的最直接的界面在第0、1層之間。網絡控制系統的各要素(信道、設備、系統)均處在第0、1層之間。
圖1 信息物理融合的工業控制系統
3 網絡控制系統(NCS)安全研究的對象及面臨的挑戰
一個典型的NCS的組成可以用圖2(a)來表示,其中S表示傳感器(Sensor),A表示執行器(Actuator),C表示控制器(Controller)。圖中的箭頭表示信息流而非網絡拓撲關系。可以看出傳感器、執行器的信息流是單向的,控制器的信息流是雙向的,這是NCS系統的一個特點。
圖2 信息物理融合的NCS結構
圖2(b)是NCS的抽象模型。為了理解方便,把傳感器、執行器的網絡能力抽象為與控制器的參數傳遞關系,分別是控制信號u(從控制器到執行器)和傳感信號y(從傳感器到控制器)。
從控制系統的視角,圖2(b)的NCS模型是一個單信息流方向的圖。容易混淆的一個問題是,真實的網絡控制系統中,網絡化的執行器與控制器之間有雙向的信息流,既有控制器命令(由控制器到執行器的信息),也有執行器執行控制器命令效果的反饋,如閥門的開度(由執行器到控制器的信息)。在圖2(b)中執行器到控制器的數據傳遞被歸集到了傳感信號y中。
基于NCS的信息物理抽象模型,就可以把黑客對NCS的攻擊模型用圖3來表示。圖中清楚地表現了黑客可能發動攻擊的位置(物理對象)和攻擊的目標(信息對象)。
圖3 NCS的攻擊模型
A1:對傳感器攻擊,導致傳感器傳輸錯誤的結果;
A2、A4:對網絡攻擊,使通信不正常;
A3:對控制器攻擊,輸出錯誤命令;
A5:對生產過程攻擊(不通過網絡攻擊),導致生產目標偏離。
黑客對網絡控制系統的攻擊可以分為三個層次:
(1)信道層攻擊:接入物理通信信道,對通信報文發動攻擊;
(2)設備層攻擊:侵入設備(傳感器、執行器、控制器節點),對過程參數、控制命令、執行器動作進行干擾;
(3)系統層攻擊:潛伏在系統中,伺機獲得某種控制任務的執行權,運行惡意程序發動攻擊。
上述三個層次的攻擊,從時間軸上可以分為兩個階段,其分水嶺是網絡訪問權的獲得。黑客獲得網絡控制權之前的攻擊對象是網絡的協議報文。獲得網絡控制權之后,黑客的攻擊目標是控制設備的參數與程序。從安全防御的角度看,前一階段的防御是主動防御,目的是隔離攻擊者與被攻擊目標,后一階段是被動防御,目的是對攻擊行為預警與干預。
4 信道層安全問題
目前廣泛使用的NCS控制網絡是現場總線技術。傳統上把現場總線看作是與外界物理隔離的通信系統,重視物理安全而忽視信息安全,因此其協議設計的重心在保證通信的可靠性、帶寬利用率和實時性,對信息安全(Cyber Security)的考慮較少。黑客對現場總線的攻擊場景是:攻擊者已經突破控制系統的邊界防御(如工業防火墻),可以接觸到現場總線的通信介質和通信報文;攻擊者可以通過對報文的偵聽、分析,可以實施竊聽(Eavesdrop)、封鎖(Drop)、延時(Delay)、篡改(Modification)、注入(Injection)、反演(Replay)等攻擊手段。
在IEC61158國際標準中定義的現場總線是18種現場總線協議的集合,各種現場總線之間存在很大的差異。從安全(Security)的角度,這些現場總線大致可以分為兩類:以ControlNet、P-Net和SwiftNet為代表的現場總線基本上就沒有任何安全措施;基金會現場總線(FF)、Profibus、WorldFIP和Interbus等則有著非常簡單的安全措施。不同現場總線的安全機制[5]可以用表2來簡單說明。
表2 不同現場總線的安全機制
總結起來,現場總線的面臨安全隱患主要體現在以下幾個方面:
(1)報文以明文的方式傳輸,或者只是采取了簡單的加密,這些加密措施往往容易受到攻擊。典型的例子是Modbus、Profibus-DP,而這類現場總線系統應用面極為廣泛。
(2)沒有校驗碼,或者校驗碼主要為了應對物理層的信號擾動,沒有針對惡意網絡攻擊的設計。如Modbus采用的CRC校驗碼,其算法簡單而且公開,攻擊者很容易修改報文的內容,也很容易修改校驗碼,使被篡改的報文看起來“合法”。
(3)相比于IT通信系統,現場總線上的通信具有報文短小、模式基本固定、高頻度重復等特點,這給“黑客”猜測報文的模板、報文的周期規律提供了便利。
(4)沒有會話過程的時序管理,缺乏安全會話的同步機制。這也是與IT網絡的最大差別之一。在IT網絡中
報文的分拆、重構、分組交換是常用的技術,根本就沒有同步的要求。但是,基于狀態空間的線性控制系統,無論是傳感器信號,還是控制信號是有嚴格時序要求的,內容合法的報文在不正確的時間或者以不正確的次序發送,都會破壞NCS的控制算法的正確性。黑客可以利用這一弱點,采用“重播”、“延時”的攻擊手段來攻擊NCS算法。
(5)現場總線節點上CPU計算能力有限。如有些Modbus/Profibus-DP從站設備甚至會采用8位的51系列單片機,功能性、實時性和安全性在有限的計算資源下如何達到平衡,是設計和實施現場總線安全協議的難點。
如何設計一種安全的協議架構,在保證現場總線的可用性、實時性的基礎上,最大限度地保障信道的通信安全,是目前學術界面臨的一個很大的挑戰。目前學術界已經取得了一系列成果,比較有代表性的研究成果有三種:①適當改變總線的固有通信模式,通過增加安全會話來實現主動防御。具有代表性的最新成果是基于已知安全傳感器量測(Know Secure Sensor Measurement,簡稱KSSM)。②引入加密和訪問控制技術甄別通信異常,這是一種被動防御方法,也是目前為數不多的現場總線安全機制中最常用的一種。③基于安全狀態同步的安全加密認證機制,核心是用對稱流密碼技術產生安全、動態、隨機的Hash碼流,通過合理地切分碼流,對現場總線報文實現加密、同步和MAC認證,比較有代表性的有S3M安全協議架構。
5 設備層安全問題
網絡控制系統的設備層由傳感器、執行器與控制器組成。黑客通過攻擊傳感器信號及控制信號,可以發動欺騙攻擊(修改傳感器測量值或者控制命令參數)、DoS攻擊(屏蔽傳感器測量值或控制命令參數)。“Stuxnet”一類的病毒更是直接嵌入到PLC等控制器中,在一定的觸發條件下執行惡意程序。網絡控制系統中,黑客對傳感器、執行器、控制器發動的高級攻擊,表現出以下特點:
(1)黑客攻克了通信信道的所有防御技術(加密、認證、安全狀態管理等),可以通過修改報文來修改傳感器測量值或者控制命令參數;
(2)或者黑客成功地將惡意程序植入傳感器、執行器、控制器節點,并實現成功的潛伏,當某種觸發條件成立時,執行惡意程序,修改傳感器測量值或者控制命令參數;
(3)黑客了解NCS的控制算法,可以采用適當的攻擊路線,使得NCS在最終崩潰前,狀態處于安全狀態集,從而避開NCS的一般性安全檢測(如液位超限報警等)。
設備層的安全防御有兩種途徑:基于可信計算的主動防御,以及基于入侵檢測的被動防御。
IT網絡安全領域的入侵檢測系統(IDS,Intrusion Detection System)的研究已經取得了大量的成果,其共同特點是將網絡本身作為研究對象,研究的是攻防雙方在網絡上的博弈策略和對網絡特性的影響。
對于具備上述攻擊特征的黑客攻擊行為,單純地研究網絡特征的變化已經無能為力。這是因為當“Stuxnet”一類的高級攻擊代碼已經植入PLC之后,其發動攻擊時不會在網絡傳輸上表現出任何異常。在這種場景下,即使物理信道的通信一切正常,NCS的控制也不會正常。如何開發針對這類惡意節點的入侵檢測技術,是NCS被動防御的關鍵問題,也是學術界的核心問題之一。
設備層入侵檢測的難點在于,到目前為止,對于一個黑客在獲得智能設備的控制權后會采用何種攻擊策略缺乏系統的研究,更沒有對這些攻擊策略的數學描述。博弈論在研究IT網絡的理性攻擊者方面取得了一些成果,但是關于如何建立黑客入侵信息物理融合的控制系統的行為模型,從而為NCS的IDS(入侵檢測系統)、IPS(入侵防御系統)提供理論基礎,目前為止還沒有見到。
惡意節點入侵檢測的另一個難點是,即使可以預計黑客的可能攻擊策略,也無法獲得黑客采用這些策略的概率、發起攻擊的強度等關鍵參數。這就需要所設計的IDS算法可以對連續檢測的結果進行自修正,從而提高檢出結果的可信度。
考慮到網絡控制系統對黑客攻擊的檢測的在線和實時性要求,此類攻擊檢測可以抽象為“基于變化檢測的最優停止問題”。基于系統異常的入侵檢測技術遇到的一個挑戰是檢測結果只具有統計意義上的參考價值,并非絕對判斷,存在錯判漏判的可能。如何降低誤報、漏報率是算法有效的關鍵。
6 系統層安全問題
在一個NCS系統中,可能存在已經被植入惡意代碼的傳感器、執行器以及控制器,到底哪一個是可信的,這就涉及到信任管理的問題。在黑客成功入侵NCS后,需要有一種辦法判斷NCS每個成員的可信賴度。在有容錯能力的NCS中,在檢測到系統異常后,需要選擇可信賴的資源進行替換。基于這些原因,需要建立一套理論體系和方法,實現對NCS成員的可信任度進行評估和管理,當系統中的某項資源的可信任度偏離嚴重時,可以隔離或限制該資源在NCS里的作用。
目前為止,還沒有關于NCS系統信任管理方面的研究成果。主要原因是現有的PLC、SCADA等過程控制系統中,有一個基本假設:控制系統的所有單元都是可信的,只要不出現功能故障,系統就會按照既定的程序運行。控制系統安全的概念還限于功能安全,作為備份的冗余資源,不管是I/O部件、電源部件、CPU部件,在“主”部件出現故障時,都會無條件地進行替換。衡量這類系統的安全性的指標是在線熱切換的速度。
在物聯網環境下,上述的假設越來越不成立,尤其是在德國工業4.0提出的應用場景下,M2M(機器對機器)是未來制造的一種常見模式。一個工廠中,能完成某項任務的智能體(Agent)不止一個,選擇哪一個,為什么選擇,就成為了一個很急迫的問題。
可以借用人類社會活動中的信譽概念,通過信譽度來評判NCS中各單元的安全(Security)程度,并以此為基礎來決定任務分配策略,是一種可行的思路。就像社會系統中,通過一個人的消費記錄、犯罪記錄、信用記錄等來評判他的信譽度,并以此為依據來決定保險、貸款、是否聘用等。這里的關鍵是,需要找到一種方法,對NCS進行“擬人”化描述,即建立NCS的一種數學模型,這個模型下,可以準確地描述NCS各“成員”的行為,并把這種行為的歷史數據轉化為信譽值。
NCS的安全信任管理是一項全新的研究,需要應用到諸多跨學科的知識。目前學術界已經開始有人嘗試用多Agent技術來對NCS建模,以此為基礎建立了初步的NCS信譽度量機制[6]。
7 NCS安全的研究目標
信息系統安全三原則(CIA)和自動化系統的安全(如魯棒性、自適應等)概念都不能很好地概括信息物理融合的NCS系統的安全目標(Security Goal),因此學術界把彈性概念引入到控制系統,提出了彈性控制系統[7]。
彈性控制系統的概念涉及大尺度、復雜系統的物理安全、網絡安全、生產過程效率和穩定性問題。在面對不可預期的或者惡意的擾動時,如果一個控制系統是具有安全彈性的,它必須能夠清楚地意識到系統的安全狀態,而且能保持一定程度的正常運行。
從設計和運行方式角度來審視,彈性控制系統應滿足以下條件[8]:
(1)可以將異常事件數量最小化;
(2)大多數的異常事件可以消除;
(3)如果異常事件不能消除,這種異常事件的負面影響可以最小化;
(4)可以在比較短的時間內恢復正常。
彈性控制系統的安全目標恰好涵蓋了功能安全、信息安全,同時充分考慮了控制系統的服役對象的特點。如何構建彈性的網絡控制系統,并對控制系統的安全彈性給予量化評估,是這一領域可以深入研究的課題。
8 結語
網絡控制系統(NCS)的傳感器、執行器和控制器之間通過通信網絡進行實時的信息交互來實現閉環控制,在所有類型的控制系統中,其安全問題是最具代表性的。如何從信息物理融合的角度來理解NCS的安全問題,并找到相應的解決辦法,學術界相關的研究成果很少。建立了一個基于信息物理融合概念的控制系統安全技術體系,可以為進一步的工業控制系統信息安全技術的深入研究和產品研發提供一定的基礎。
依托混合流程工業自動化控制系統與裝備國家重點實驗室,利用其網絡攻防對抗實驗平臺,冶金自動化研究設計院針對NCS的黑客攻擊模型、信道安全機制、入侵檢測技術與系統信任管理幾個方面展開了研究,在NCS的信息安全問題的數學描述、現場總線安全協議架構、信息物理融合的入侵檢測技術,以及基于簇信譽的信任管理方面取得了一系列成果,這些成果可以為同行在這一方向的深入研究提供一定的借鑒。
參考文獻:
[1] Falliere N, Murchu L O, Chien E W . Stuxnet Dossier[R] . Version 1. 3. Symantec Security Response, 2010.
[2] 彭勇, 江常青 , 謝豐等. 工業控制系統信息安全研究進展[J]. 清華大學學報(自然科學版), 2012, 52 (10) .
[3] Xiaofei Zhang, Luolin Zheng, Ruying Zhao. Discussion on Information Security of Industrial Control System[A]. Asia - Pacific Computational Intelligence and Information Technology Conference, 2013 : 1 - 6.
[4] US - CERT. The National Strategy to Secure Cyberspace[R]. Ishington DC, USA: United States Computer Emergency Readiness Team , 2003 .
[5] Treytl A, Sauter T, Schwaiger C. Security Measures in Automation Systems - A Practice - Oriented Approach. 10th IEEE Conf. Emerging Technologiesand Factory Automation ETFA, 2005: 847 - 855.
[6] 張云貴, 佟為明, 蔣玖川, 劉文印. 基于多Agent的惡意環境下控制系統任務分配方法[J] . 計算機集成制造系統, 2013,19 (8): 2050 - 2057 .
[7] Rieger C G, Gertman D I, McQueen M A. Resilient Control Systems: Next Generation Design Research[C]. I: Proceedings of 2nd Conference on Human System Interactions, 2009: 632 - 636.
[8] Nathanael D, Marmaras N. Work Practices and Prescription: A Key Issue for Organizational Resilience[J]. Ashgate Publishing, 2008, 01 (9): 101 - 118.
作者簡介
張云貴(1966-),男,湖南漢壽人,博士,教授級高工,現就職于冶金自動化研究設計院混合流程工業自動化系統與裝備技術國家重點實驗室,研究領域涉及工業物聯網技術、工業控制系統安全、現場總線技術應用、嵌入式智能控制系統等方面。
付修章(1990-),男,河南商丘人,研究生在讀,主要研究方向為控制理論與控制工程。
孫希艷(1987-),女,山東濰坊人,碩士,研發工程師,初級高工,主要研究方向為工業物聯網。
北京市公安局海淀分局備案號:11010802023656號