★李小川，蘇云濤北京圣博潤高新技術(shù)股份有限公司

關(guān)鍵詞：工業(yè)安全；數字孿生；PLC仿真；工業(yè)安全

1　項目概況

1.1　項目背景

港口碼頭作為經(jīng)濟的晴雨表，不僅是現代經(jīng)濟的血液，還是促進(jìn)貿易和地區發(fā)展的重要基礎設施。近年來(lái)，港口裝卸作業(yè)自動(dòng)化程度逐漸提高，視頻監控、分布式工業(yè)控制系統得到了廣泛應用，為港口的安全穩定運行提供了重要保障。但不足之處也很明顯，港口生產(chǎn)運營(yíng)中的視頻監控、PLC系統、工控監控系統網(wǎng)絡(luò )安全防護較為薄弱，病毒、軟件濫用、網(wǎng)絡(luò )架構、U盤(pán)濫用等問(wèn)題日益凸顯。

我國港口碼頭工業(yè)控制系統屬于關(guān)鍵信息基礎設施，安全可靠性問(wèn)題突出，受到系統結構復雜、核心技術(shù)限制、缺乏安全與管理標準等諸多因素影響，運行在工業(yè)控制系統中的數據及操作指令隨時(shí)可能遭受來(lái)自敵對勢力、商業(yè)間諜、網(wǎng)絡(luò )犯罪團伙的破壞。而且IT通用化加劇了系統的安全隱患，IT技術(shù)將傳統安全的困擾引入到工業(yè)控制系統中，危及了控制系統的安全。通過(guò)分析發(fā)現，港口碼頭行業(yè)工業(yè)控制系統常見(jiàn)的安全威脅主要來(lái)自以下幾個(gè)方面：邊界隔離措施缺失、工控協(xié)議安全缺陷、高級持續威脅難以發(fā)現、操作系統安全漏洞、工業(yè)系統設備漏洞、組態(tài)軟件升級困難、病毒控制手段缺乏、移動(dòng)存儲介質(zhì)濫用、特權濫用數據泄露、人員管理安全威脅、非法接入風(fēng)險、明文數據傳輸風(fēng)險和無(wú)線(xiàn)通信鏈路風(fēng)險。

1.2　項目簡(jiǎn)介

本項目針對符合港口工控網(wǎng)絡(luò )特點(diǎn)的仿真驗證環(huán)境不足，難以滿(mǎn)足行業(yè)所需的分析、測試、驗證等工作，提出了“港口工控安全仿真驗證平臺”。本項目從兩個(gè)方向展開(kāi)研究：港口工控系統仿真環(huán)境虛擬化和工控仿真環(huán)境安全驗證。首先，基于固件提取技術(shù)、分析技術(shù)及虛擬化技術(shù)等實(shí)現設備控制系統（ECS）虛擬化，解決實(shí)體設備虛擬化問(wèn)題。然后，基于部分實(shí)體設備和虛擬化設備通過(guò)多維度審計溯源技術(shù)進(jìn)行安全驗證，解決仿真環(huán)境如何有效使用問(wèn)題。

1.3　項目目標

（1）滿(mǎn)足港口碼頭單位安全防護產(chǎn)品的總體論證和規劃能力需求；

（2）增強港口碼頭單位工控系統信息安全保障能力；

（3）滿(mǎn)足港口碼頭單位安全訓練和攻防演習需求。

2　項目實(shí)施

港口工控安全仿真驗證平臺的總體構架如圖1所示。

圖1 港口工控安全仿真驗證平臺的總體架構

圖1中虛線(xiàn)部分是本項目的重點(diǎn)研究?jì)热?，主要涵蓋翻車(chē)機、推料機、取料機、裝船機系統場(chǎng)景，首先通過(guò)官方獲取、硬件提取等方式對PLC、RTU、智能儀表的固件進(jìn)行提取、分析，然后借助容器或者虛擬機實(shí)現PLC、RTU、智能儀表仿真，再通過(guò)上位機組態(tài)虛擬機、計算資源池、網(wǎng)絡(luò )資源池、存儲資源池和網(wǎng)絡(luò )控制器虛擬等完成控制設備數字孿生，最后基于搭建的港口工控安全仿真場(chǎng)景完成統計可視化、攻擊溯源、流量分析和仿真驗證等功能。整體以云計算超融合平臺為支撐，具有靈活動(dòng)態(tài)分配資源、統一管理、維護成本低、高性?xún)r(jià)比和便于管理維護的優(yōu)點(diǎn)。其采用B/S架構設計，通過(guò)網(wǎng)絡(luò )將超大規模的計算與存儲資源整合起來(lái)，并將計算任務(wù)分布在這些資源池上，再根據自己的需要獲得計算、存儲和網(wǎng)絡(luò )等信息服務(wù)。同時(shí)，通過(guò)業(yè)界主流的信息系統、工控系統（PLC、組態(tài)軟件、網(wǎng)絡(luò )交換機、主機系統等）的虛擬化很好地解決了仿真過(guò)程過(guò)度依賴(lài)實(shí)物硬件的不便利，同時(shí)也能迅速地通過(guò)虛擬機拓撲的改變在短時(shí)間內組建成新的業(yè)務(wù)系統。

本項目安全仿真驗證環(huán)境的總體設計方案以傳統信息安全和業(yè)務(wù)安全為背景，綜合權衡信息安全的機密性與業(yè)務(wù)安全的可用性，并從平臺底層架構的完整性、實(shí)時(shí)性考慮，借助虛擬化技術(shù)增強系統的穩定性、可靠性以及安全性，保證上層真實(shí)仿真系統的可用性。本方案主要分為四個(gè)部分：基礎層設備虛擬化建設、虛擬網(wǎng)絡(luò )SDN的映射應用、上位機控制系統及工藝流程虛擬化建設、平臺仿真資源庫的建設應用。

2.1　基礎層設備虛擬化建設

本項目自下而上開(kāi)展基礎層設備虛擬化，主要包括：

（1）傳感器數據仿真建設

仿真環(huán)境支持對角度、振幅、高度等碼頭主流傳感器的虛擬化，如圖2所示，通過(guò)對傳感器的虛擬化，保證控制器系統通過(guò)虛擬的接口與傳感器進(jìn)行通訊，利用軟件技術(shù)對開(kāi)關(guān)量傳感器的數據仿真，為基礎層設備的虛擬化提供技術(shù)保障。

圖2 傳感器虛擬化

建立傳感器的模型，在其原理分析、結構設計、樣機研制中起著(zhù)重要的作用。一個(gè)符合傳感器實(shí)際情況的模型，既能充分、準確地揭示出傳感器的工作機理，又能有效地指導傳感器實(shí)際的優(yōu)化設計、減小盲目性、縮短樣機研制過(guò)程和處理不同物理量之間的耦合等。

（2）控制器仿真建設

仿真環(huán)境支持對西門(mén)子、羅克韋爾自動(dòng)化、施耐德、三菱電機等控制設備（PLC/RTU）的模擬，每種控制器支持兩種以上的主流系列仿真。它具有實(shí)物控制器在功能、可靠性、速度、故障查找等方面的特點(diǎn)。利用軟件技術(shù)可以將標準的工業(yè)PC機系統轉換成全功能的過(guò)程控制器，通過(guò)一個(gè)多任務(wù)控制內核，提供強大的指令集快速而準確的掃播周期、可靠的操作和可連接各種I/O系統及網(wǎng)絡(luò )的開(kāi)放式結構。

2.2　虛擬網(wǎng)絡(luò )的建立應用

該平臺可以提供高逼真的工控仿真環(huán)境，能夠通過(guò)網(wǎng)絡(luò )將超大規模的計算與存儲資源整合起來(lái)，并將計算任務(wù)分布在這些資源池上，再根據自己的需要獲得計算、存儲和網(wǎng)絡(luò )等資源，最終實(shí)現高逼真的工控仿真環(huán)境，從網(wǎng)絡(luò )層聯(lián)通控制器、安全防護設備、上位機監控系統及其他高層業(yè)務(wù)系統，為虛擬平臺直接互聯(lián)互通打好了通信的基礎工作。

2.3　上位機系統仿真

作為設備的直接監控層，仿真環(huán)境支持對多種國內外上位機系統的模擬，如Wincc、IFix、Intouch，杰控、力控、組態(tài)王等。

在港口碼頭生產(chǎn)工控系統的典型場(chǎng)景中，需要具備上位機與控制器設備間的數據交互能力，控制層設備通過(guò)對現場(chǎng)傳感器或虛擬傳感器的數據采集，實(shí)時(shí)與上位機系統進(jìn)行數據交互，達到工控設備及系統高逼真還原。同時(shí)作為工業(yè)仿真的核心要素，仿真系統可支持對OPC、EIP、Modbus、S7、S7CommPlus等協(xié)議的模擬。工業(yè)通信協(xié)議可承擔設備數據交互、指令執行、程序互傳等功能的橋梁作用，協(xié)議仿真在各類(lèi)型典型流程工業(yè)場(chǎng)景中起到重要支撐。

2.4　基于機器學(xué)習的控制器行為監控及溯源技術(shù)

本項目基于人工智能的控制器行為識別技術(shù)，通過(guò)研究主體控制器對客體設備的行為，以及多主體控制器行為之間的相互關(guān)系，得到控制器網(wǎng)絡(luò )行為的模式、特性狀態(tài)和結構抽象。通過(guò)對行為觀(guān)測所得到的行為樣本與行為庫進(jìn)行匹配，預測行為變化的趨勢，從而揭示控制器正常運行的規律?？刂破餍袨榉治鏊菰吹膶?shí)現技術(shù)路徑如圖3所示。

圖3 虛實(shí)結合的分析溯源示意圖

3　案例亮點(diǎn)及創(chuàng )新性

（1）工控設備數字孿生技術(shù)

本項目基于多維度虛實(shí)映射的港口工控設備數字孿生構建方法，在OpenStack基礎平臺上融合KVM和LXC兩種虛擬化技術(shù)，從實(shí)物設備、虛擬化技術(shù)、軟件模擬方法等多個(gè)維度設計港口碼頭生產(chǎn)工控設備及網(wǎng)絡(luò )的構建機制，滿(mǎn)足真實(shí)性、高效性和大規模需求。

（2）虛實(shí)結合的安全驗證技術(shù)

本項目虛實(shí)結合的實(shí)體設備、軟件、應用和數據服務(wù)等將在仿真環(huán)境中被抽象為邏輯表示的基礎資源標識。仿真環(huán)境的資源模塊管理一切平臺環(huán)境及任務(wù)需要的模塊，時(shí)序一致性則具體依靠OpenStack中的Gnocchi模塊實(shí)現，主要原理為把各個(gè)計量指標Metric的計量數據measurement直接寫(xiě)入后端存儲中，并在measurement寫(xiě)入之前根據預先設定的歸檔策略進(jìn)行聚合操作，查詢(xún)時(shí)直接讀取對應的文件即可獲得聚合后的監控信息點(diǎn)，顯然時(shí)間復雜度變?yōu)镺(1)，并且提供資源索引，可以更快地找到每個(gè)資源的基礎信息metadata和其相關(guān)的metrics信息。

作者簡(jiǎn)介

李小川（1980-），男，遼寧沈陽(yáng)人，碩士，現就職于北京圣博潤高新技術(shù)股份有限公司，主要從事工控網(wǎng)絡(luò )安全方面的研究。

蘇云濤（1991-），男，河北石家莊人，工程師，學(xué)士，現就職于北京圣博潤高新技術(shù)股份有限公司，主要從事工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊