今日頭條
官方微信
官方抖音
資訊頻道摘要:目前工控安全形勢嚴峻,而傳統的信息安全以防御為主,沒有針對工業控制系統的獨特性進行量身打造,難以有效抵御各種安全事故的發生。工業控制系統的核心價值體現在最終的生產環節,一般要產生破壞效果,需要通過對生產系統造成影響,才能達到其目的。針對工業控制系統的安全需求,本文提出工控伴生安全新模式,通過建立一套與工業控制系統并行伴生的安全系統,對工業生產控制過程進行及時有效的監督診斷和干預恢復,實現工業生產過程的安全管控。
關鍵詞:工控安全;軟件定義;伴生;大安全
Abstract: Nowadays most Industrial Control Systems (ICS) are in great dangerous,and the traditional information security focuses on defense, which is not based on the characteristics of ICS, thus difficult to effectively avoid the occurrence of various accidents. The kernel value of ICS is embodied in the production phase, and to cause any accident, it is a must to influence the production system. According to the safety requirement of ICS, we propose a new framework, i.e., ICS Associated Safety. To do so, an Associated Safety system is built, in parallel with ICS, to monitor and intervention during production, thus to realize the safety control of industrial production process.
Key words: Industrial Control Systems; Software-defined; Associated; Macro-security
1 引言
工業控制系統(簡稱工控系統)指的是利用控制理論、儀器儀表、計算機和其他信息技術,對工業生產過程實現檢測、控制、優化、調度、管理和決策,使工廠的生產和制造過程更加自動化、效率化、精確化,并具有可控性及可視性,從而達到增加產量、提高質量、降低消耗等目標。
目前,工控系統普遍采用通用協議、硬軟件系統,并且與企業內網,甚至是與互聯網發生了應用對接。在“工業4.0”背景下,針對用戶的需求,提供精準的服務成為重要的發展趨勢,從而也需要工業生產
方式有所變革,逐漸轉化為“按需定制”。這種需求方式的變革對工業生態的要求越來越高,尤其是對于現有海量的存量市場,如何應對新的需求是一個亟待解決的難題。隨著工控系統的發展,尤其是互聯網接入,使得傳統信息安全威脅逐漸擴散至工控系統,新的安全問題層出不窮,工控系統安全面臨前所未有的嚴峻形勢。
2 工控安全
工控系統目前被廣泛地應用在支撐國家安全、國計民生、經濟發展等核心領域,工控系統安全事故對社會和經濟造成的危害也愈來愈嚴重。正是由于工控系統的重要性,其逐漸成為重點攻擊目標,工控系統安全問題受到越來越多的關注。
傳統工控系統以生產持續優先,最看重系統的可用性,多采用基于主從關系的非對等網絡,側重于安全防護能力的建設。在安全問題方面,工控系統更多地將其轉化為傳統信息系統的安全問題。但是,由于工控系統的獨特性,其核心價值體現在最終的生產環節,需要有一套量身打造的能夠落實在生產環節的安全產品,才能有效抵御各種安全事故的發生,為客戶帶來安全防護的真正價值。
傳統信息安全防護的目標是信息,以防御為主。因為一旦突破信息訪問的屏障,信息的安全性將蕩然無存。對于工控系統而言,工業信息的安全性固然重要,最核心的安全威脅是在突破安全防御后,對生產造成實質性的破壞,影響到生產,包括出現生產事故或者降低生產效率。一般工控安全事故要產生破壞效果,需要通過對生產系統造成影響,才能達到其目的。
目前的工控安全是把工控與安全割裂開,信息安全廠商和控制廠商從各自理解出發,過分強調各自部分的重要性,不能從工業生產的全局來考慮工控與安全的有機融合,導致現在的工控安全解決方案仍拘泥于“防護”,遵循傳統的信息安全分區隔離、邊界防護理念,未能深入工控系統的本質,從而難以避免到處補缺查漏,疲于奔命的困境。
3 工業控制系統的本質
工控系統的本質是生產控制。目前的工業生產系統或工控系統,主要聚焦在生產控制過程,但缺乏對生產過程的監督診斷和干預、自主診斷和恢復功能,使得系統容易受外界的操縱,從而引發安全生產事故。
工控系統由于其“兩個有限”(合法狀態有限、合法指令有限)的特性,在狀態可明確窮舉和每個狀態合法指令有限條件下,工控系統的執行裝置和控制設備的運行狀態、接收和下發的指令都是可監測和檢測的。無論是外部攻擊還是誤操作等任何原因造成的狀態異常以及非法指令,也都是可知,因此,在“兩個有限”原則下,實現對工控系統安全運行態勢的監測,是完全可行并且可信的。
為了確保工業生成過程的安全有序,工業控制系統應該包括工控系統和安全保障系統,即大安全的工控系統,如圖1所示。從本質而言,工控系統的設計目標在生命周期內的功能安全可達性,是以實現工業系統可用性為目標,綜合運用功能安全、信息安全等技術手段和防護措施,保障工業系統在生命周期內的安全穩定運行。
圖1 工業控制系統的大安全
在工控系統的核心工業流程基礎上,實現對工業流程的基本控制,通過對流程進行過程監控了解工控的運行狀態,并對各類操作的合法性進行管理;在此基礎上,實現對工業流程控制、過程和操作的安全監測,對非法的指令操作進行報警,并對指令執行的過程進行控制,確保對工控系統的防護;在對工業流程進行監控預警的基礎上,通過對工控全系統安全態勢感知,為系統、企業級的預警提供支持,同時為更大區域內的社會應急提供數據支撐。
4 工控伴生安全模式
針對目前工控系統重控制的實際情況,結合當下工控系統的現狀,存量與增量并存,本文提出工控系統伴生安全新模式。
工控系統伴生安全模式是指通過建立一套與工業控制系統并行伴生的安全系統,實現對工業生產控制過程的及時有效的監督診斷和干預恢復,以及對生產過程的安全管控,如圖2所示。
圖2 工控伴生安全模式
通過對工業控制系統運行狀態的監測,主要是對指令的合法性進行判斷,并進行安全態勢的分析預測,實現對控制過程安全性能的保障。在傳統的以防護為主的信息安全之外,加上對最終控制過程的監測,將安全與控制相伴而生。在發現工控安全隱患之后,利用先前設定的知識庫,向工控系統發出有效的安全控制指令,以期避免安全事故的發生。
工控伴生安全模式,通過將安全控制與工控系統鏡像運行,在不影響工控系統運行效率的前提下,實現對工控過程的安全監測、態勢預警和控制,實現了高靈活性的安全控制。由于伴生安全系統與工控系統并行獨立,在保證獨立性的前提下實現了良好的靈活性和可適配性,無論對于存量還是增量系統,都能通過伴生安全系統實現工控系統的大安全。
5 軟件定義的工控伴生安全
為了建立工控伴生安全模式,本文提出利用軟件定義的方式,通過設立兩級安全控制器,實現面向工控本質的安全控制系統。
軟件定義是指利用軟件實現系統的功能,用軟件給硬件賦能,實現系統運行效率和能量效率最大化。“軟件定義”的核心是硬件資源虛擬化和管理功能可編程。所謂硬件資源虛擬化,是將硬件資源抽象為虛擬資源,然后由系統軟件對虛擬資源進行管理和調度。管理功能可編程是指在硬件資源虛擬化的基礎上,用戶可編寫應用程序,通過系統調用接口,訪問資源所提供的服務,更重要的是能夠靈活管理和調度資源,以滿足應用對資源的多樣需求。從程序設計的角度,工控系統的行為可以通過軟件進行定義,成為所謂的“軟件定義的系統”。
通過軟件定義,可以建立工控系統的對外硬件接口,通過基礎軟件實現對工控硬件資源的統一管控,并通過標準化的編程接口對外提供訪問接口。安全系統在編程接口的基礎上,實現對工控運行狀態的監測,并利用內建的工控安全知識庫,建立基于人工智能的工控安全的態勢感知,并根據安全狀態發出控制指令,實現對系統的干預。
安全系統與工控系統并行運行,安全系統的運行獨立于工控系統,通過對工控運行中的狀態監測和干預實現安全防護。由于不參與工業控制系統的生產過程,而是通過伴生的方式進行安全防護,從而實現在一定靈活程度下的工控安全。
基于軟件定義的思路,根據工控系統的實際情況,將工控系統中具有獨立監控功能的模塊作為本體。每個本體包含輸入、輸出以及控制功能。本體可以通過嵌套形成從設備到現場,乃至最終形成一個完整的工控系統。
工業控制系統中,不同層級的控制要求是不同的。現場設備級的控制功能簡單,但對實時性要求很高,需要給出及時反饋。在此之上的控制管理,由于需要進行更大量的計算,需要能夠完成比較大的計算量。針對工業控制的這個特點,本文設定了輕載、重載二級的工控伴生安全系統結構,如圖3所示。
圖3 兩級的工控伴生安全體系
輕載控制器主要是部署在設備級,具體執行預設的工控安全管理,并且可以接收來自上層(重載控制器)的工控安全規則的更新,在完成對所控制設備的安全管理的同時,也將設備的安全狀況及時上傳到重載控制器中。重載控制器主要通過對下轄的輕載控制器的數據采集,完成對現場的態勢感知,同時根據各個設備的安全情況,對安全管理規則進行有針對性的更新,同時實現自學習和自組織等智能化安全管理。
(1)輕載控制器
融合某些儀表的功能,具備支撐不同級別控制器的基本硬件基礎資源,包括完成簡單監測控制功能,并適當冗余。實現設備級實時安全防危,實現對設備的安全監測和預警,利用內嵌的可重定義的安全規則,保障設備運行的安全。用于支持功能安全保障,以及信息安全功能實現。同時為實現全局的工控安全管理,提供通訊功能實現工控數據的上傳下達。
利用人工智能技術,實現對設備的安全預警,實現對監測設備的自診斷,并做到簡單自愈。利用智能芯片,建立針對工控安全的人工智能的訓練及應用模塊,實現對工控安全的自調節控制,自適應控制;建立基于防危的自診斷,并實現基于專家系統的簡單自愈(比如重啟)。在異常狀況下,可在不影響正常生產(或者對生產影響最小)的時段實現安全恢復。
(2)重載控制器
融合RTU、PLC等部分硬件功能,具備支撐不同級別控制器的硬件基礎資源,實現工控現場的安全監測以及態勢感知,對現場內的各種設備的綜合監控和協調,內置工控安全預測和態勢感知,實現現場級工控系統的操作和信息的安全監控。包括完成復雜工控安全處理功能的智能芯片,并適當冗余,用于支持信息安全功能實現。
利用歷史數據實現工控安全模型的自學習,利用軟件定義功能做到工控系統的自組織;建立工控系統的復雜自愈、自恢復(自清洗),并利用人工智能中的對抗網絡實現工控系統的安全自治、自管理和自主保障,實現自組織自學習等高級智能,具備自學習、自組織、復雜自愈和自恢復。
通過對現場內設備狀態的監測分析,實現對防危知識庫的優化配置,并通過下發對輕載控制器的安全防危進行優化定義。同時為實現云端的工控安全管理,需要在不同層級的控制器上實現通訊功能,實現工控數據的上傳下達。
利用人工智能技術,通過對各個現場重載控制器的數據融合,建立工控系統的安全態勢感知。通過對安全態勢的分析,實現安全控制策略的下發。建立工控安全知識庫,建立行業標準的知識庫,同時針對具體應用場景建立定制化的知識庫,提高工控安全系統的適配性。
利用工控伴生安全系統,可以實現對存量和增量系統的統一處置。針對存量系統,將現有的硬件功能模塊定義為硬件實現的本體。在此基礎上,通過本體間嵌套,加入軟件定義的新功能模塊,實現基于存量系統的安全工控系統,具備硬件和軟件定義交叉的特性。對于增量系統,利用虛擬化技術,在硬件平臺的基礎上,實現軟件定義的控制和安全模塊。
6 總結
目前工控安全形勢嚴峻,缺少針對性解決方案以及服務模式。歷年的工控安全事件表明僅依靠現有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、技術框架體系、產品譜系、咨詢測試測評評估系列服務、工控安全全面解決方案、工控安全工作長效協作機制等方面,還有很長的路要走。
針對工控系統中的功能信息操作等安全需求,結合人工智能技術,通過軟件定義,建立輕載和重載控制器相結合的工控系統伴生安全智能控制體系。從而實現輕載和重載的安全控制,做到靈活可配置,并能夠具有很高的行業適配性。
從工控本質出發,針對存量、增量、服務,探索工控系統運行安全的本質機理,本文提出工控伴生安全體系,研發安全的工控產品和防護產品,形成針對性解決方案,全面提高工控系統安全運行的綜合保障能力,是一個可行的行動路線。
作者簡介
王 彬(1975-),男,江蘇南京人,現任北京安控科技股份有限公司副總裁,北京安控工控安全研究院院長,主要從事自動化和工業控制系統及安全研究。
朱廷劭(1973-),男,中國科學院大學教授,研究工作涉及機器學習、漢語文語轉換以及網絡行為心理研究等多個領域。
徐新國(1966-),男,安徽合肥人,博士,教授級高級工程師,現任北京安控科技股份有限公司首席科學家,主要從事信息化和工業控制系統安全研究。
參考文獻:
[1] 王彬, 徐新國. 關于工業控制系統本體安全的思考[J]. 自動化博覽, 2018, ( S2 ): 54 - 56.
[2] 徐新國, 朱廷劭, 康衛 基于數據庫挖掘的工業控制系統防危機制研究[J]. 電子技術應用, 2012, 38 ( 5 ): 87 - 90 .
[3] KONSTANTINIM, 夏光. 切爾諾貝利事故:問題的實質[J]. 科學對社會的影響, 1992, ( 03 ): 168 - 172.
[4] 見宏偉, 雷航. 自適應防危策略的設計技術研究[J]. 微計算機信息, 2010, ( 09 ): 65 - 67.
[5] 張帥. 工業控制系統安全現狀與風險分析[J]. 計算機安全, 2012, ( 01 ): 15 - 19.
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號