摘要：近年來(lái)，工業(yè)控制系統遭受惡意攻擊事件的頻繁報道，使得分布式網(wǎng)絡(luò )控制系統的安全問(wèn)題引起了極大的關(guān)注。本文通過(guò)分析傳統IT系統與分布式網(wǎng)絡(luò )控制系統的信息安全目標，揭示了分布式網(wǎng)絡(luò )控制系統的信息物理安全問(wèn)題的重要性、必要性和緊迫性。詳細介紹了分布式網(wǎng)絡(luò )控制系統的信息物理安全研究的當前最新進(jìn)展。最后，從系統理論的角度探討了分布式網(wǎng)絡(luò )控制系統的信息物理安全研究存在的問(wèn)題并提出了一些見(jiàn)解。

    關(guān)鍵詞：分布式網(wǎng)絡(luò )控制系統；IT系統信息安全；信息物理安全

    Abstract: With a growing number of reports about industry control systems attack, the security issue for distributed networked control systems (DNCSs) has been paid unparalleled attention. In this paper, the objective of information security is analyzed from aspect of both traditional IT systems and DNCSs, which recognizes the importance, necessity and urgency of cyber physical security study in DNCSs. Moreover, a literature review is given to show the latest progress in this area. Finally, several discussions are presented from the viewpoint of system theory to giving some suggestions in dealing with cyber physical security in DNCSs.

    Key words: Distributed networked control systems; Information security of IT systems; Cyber physical security 

    1　引言

    隨著(zhù)控制對象日益復雜、分布區域不斷擴大，傳統的點(diǎn)對點(diǎn)式的通訊方式已經(jīng)不能滿(mǎn)足工業(yè)控制某些新的需求。把網(wǎng)絡(luò )引入控制系統，采用分布式的控制方式克服了傳統控制方式的很多缺點(diǎn)，使得分布式網(wǎng)絡(luò )控制系統（Distributed Networked Control System, DNCS）在工業(yè)界得到越來(lái)越多的關(guān)注和應用[1]。然而，傳統控制系統的安全性主要依賴(lài)于其技術(shù)的隱秘性，幾乎未采取任何安全措施。隨著(zhù)企業(yè)管理層對生產(chǎn)過(guò)程數據的日益關(guān)注，工業(yè)控制系統越來(lái)越多地采用開(kāi)放Internet技術(shù)實(shí)現與企業(yè)網(wǎng)，甚至是物聯(lián)網(wǎng)的互連，使得一直以來(lái)被認為相對孤立和相對安全的工業(yè)控制系統在接入物聯(lián)網(wǎng)后成為黑客、不法分子，甚至網(wǎng)絡(luò )戰的攻擊目標。作為工業(yè)控制系統神經(jīng)中樞的SCADA（Supervisory Control And Data Acquisition)系統，即數據采集、監視與控制系統，是由計算機設備、工業(yè)過(guò)程控制組件和網(wǎng)絡(luò )組成的典型的分布式網(wǎng)絡(luò )控制系統，更是成為攻擊目標的中心[2-3]。一些專(zhuān)門(mén)針對分布式網(wǎng)絡(luò )控制系統的計算機病毒也逐漸出現并展示出巨大的破壞力。如2009年在拉斯維加斯召開(kāi)的被譽(yù)為學(xué)術(shù)派的“黑客大會(huì )”上美國網(wǎng)絡(luò )安全設計和部署咨詢(xún)公司(IOActive)發(fā)布了一種智能電表的蠕蟲(chóng)病毒，并現場(chǎng)模擬演示了一個(gè)“恐怖”的場(chǎng)景：一種智能電表的蠕蟲(chóng)病毒竟能讓1.5萬(wàn)戶(hù)家庭的電力供應在24小時(shí)內陷入癱瘓,震驚了美國安全部和能源部。2010年9月一個(gè)
名為“震網(wǎng)”（Stuxnet）的特種病毒席卷了全球工業(yè)界，感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò )，徹底將工業(yè)控制系統的安全問(wèn)題暴露出來(lái)，引起了世界各國的高度重視。據權威工業(yè)安全事件信息庫（Repository of IndustrialSecurity Incidents, RISI)統計，截至2011年10月，全球己發(fā)生200余起針對工業(yè)控制系統的攻擊事件，超過(guò)了過(guò)去10年安全事件的總和。其中，電力、石油、交通和污水處理等分布距離遠、生產(chǎn)單位分散的重要基礎行業(yè)，因其廣域分布的特性使得入侵者更容易通過(guò)網(wǎng)絡(luò )遠程操縱控制系統，給各國基礎行業(yè)帶來(lái)了巨大安全隱患。因此，分布式網(wǎng)絡(luò )控制系統的信息安全問(wèn)題引起了國內外諸多研究工作者的關(guān)注，成為國際自動(dòng)控制領(lǐng)域進(jìn)入21世紀以來(lái)的一個(gè)熱點(diǎn)研究課題[4-5]。本綜述將從控制和IT領(lǐng)域兩個(gè)方面介紹分布式網(wǎng)絡(luò )控制系統的信息安全研究現狀，基本方法及其存在的主要安全控制問(wèn)題。

    2　分布式網(wǎng)絡(luò )控制系統信息安全問(wèn)題

     分布式網(wǎng)絡(luò )控制系統是由通信網(wǎng)絡(luò )組成閉環(huán)回路的空間分布式控制系統，通常含有四個(gè)基本組成單元，即傳感器、控制器、執行器和通信網(wǎng)絡(luò )。其中，通信網(wǎng)絡(luò )是為了連接分布在不同空間位置上的組成單元,其基本結構如圖1所示。
 

    與傳統的點(diǎn)對點(diǎn)控制結構相比，DNCS具有資源共享、成本低、靈活性高、安裝維護簡(jiǎn)單等優(yōu)點(diǎn)，已經(jīng)成為學(xué)術(shù)界和工業(yè)界的研究熱點(diǎn)之一[6]。然而，隨著(zhù)計算機技術(shù)和網(wǎng)絡(luò )技術(shù)的飛速發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，最初依賴(lài)于專(zhuān)用協(xié)議和系統封閉性的安全保障逐漸被打破。在當前工業(yè)控制系統廣泛采用標準、通用協(xié)議、軟硬件系統以及與其它網(wǎng)絡(luò )互連的形勢下，系統越來(lái)越面臨著(zhù)病毒、木馬、黑客入侵、拒絕服務(wù)等來(lái)自于網(wǎng)絡(luò )的威脅，其安全問(wèn)題日益突出。

    2.1　分布式網(wǎng)絡(luò )控制系統信息安全現狀

    近年來(lái)，分布式網(wǎng)絡(luò )控制系統信息安全大事件報道不絕于耳，如：

    ·2007年，攻擊者入侵加拿大一個(gè)水利SCADA控制系統，破壞了取水調度的控制計算機；

    ·2008年，攻擊者入侵波蘭某城市地鐵系統，通過(guò)電視遙控器改變軌道扳道器，致四節車(chē)廂脫軌；

    ·2010年，西門(mén)子首次監測到專(zhuān)門(mén)攻擊該公司工業(yè)控制系統的Stuxnet病毒，也稱(chēng)為震網(wǎng)病毒；伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒，嚴重威脅核反應堆安全運營(yíng)；

    ·2011年，黑客入侵數據采集與監控系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞；·2011年，微軟警告稱(chēng)最新發(fā)現的“Duqu”病毒可從工業(yè)控制系統制造商收集情報數據；

    ·2012年，兩座美國電廠(chǎng)遭USB病毒攻擊，感染了每個(gè)工廠(chǎng)的工控系統，可被竊取數據；

    ·2012年，發(fā)現攻擊多個(gè)中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息。

    我國同樣遭受著(zhù)工業(yè)控制系統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠(chǎng)某裝置控制系統分別感染Conficker病毒，都造成控制系統服務(wù)器與控制器通訊不同程度地中斷。

    實(shí)際上，美國早在20年前就已經(jīng)在政策層面上關(guān)注工業(yè)控制系統信息安全問(wèn)題[7-10]。歷經(jīng)克林頓、布什及奧巴馬三屆政府，發(fā)布了一系列關(guān)于關(guān)鍵基礎設施保護和工業(yè)控制系統信息安全方面的國家法規戰略。如2002年美國國家研究理事會(huì )將“控制系統攻擊”作為需要“緊急關(guān)注”的事項[11]，2004年，美國政府問(wèn)責署發(fā)布《防護控制系統的挑戰和工作》報告[12]，2006年發(fā)布《能源行業(yè)防護控制系統路線(xiàn)圖》[13]，2009年出臺國家基礎設施保護計劃（NIPP）[14]和2011年發(fā)布《實(shí)現能源供應系統信息安全路線(xiàn)圖》[15]等。北美電力可靠性委員會(huì )（NERC）還專(zhuān)門(mén)制定了用于關(guān)鍵基礎設施信息安全防護的CIP系列標準，并由美國聯(lián)邦監管委員會(huì )（FERC）于2009年批準成為強制性標準。美國在國家層面上工業(yè)控制系統信息安全工作還包括2個(gè)國家級專(zhuān)項計劃[16]：美國能源部（DOE）的《國家SCADA測試床計劃（NSTB）》 [17-18]和美國國土安全部（DHS）的《控制系統安全計劃（CSSP）》 [19]。美國的工控系統已經(jīng)逐步形成完整的信息安全管理體制和技術(shù)體系。與美國相比，歐盟及歐洲各國的關(guān)鍵基礎設施保護和工業(yè)控制系統信息安全的工作起步較晚。但是針對關(guān)鍵基礎設施保護和工業(yè)控制系統信息安全，歐洲已經(jīng)開(kāi)展了一系列的大型專(zhuān)項計劃。例如2004年至2010年歐共體委員會(huì )發(fā)布一系列關(guān)于關(guān)鍵基礎設施保護的報告[20-21]；歐洲網(wǎng)絡(luò )和信息安全局（ENISA）在2011年12月發(fā)布《保護工業(yè)控制系統》系列報告，全面總結當前工業(yè)控制系統信息安全現狀[22]，充分反映出分布式網(wǎng)絡(luò )控制系統信息安全面臨著(zhù)嚴峻的考驗。工控系統安全性引起了我國政府的高度重視，國家發(fā)改委自2010年起開(kāi)始組織信息安全專(zhuān)項，將工業(yè)控制系統安全問(wèn)題作為獨立領(lǐng)域重點(diǎn)支持[23]。國家自然科學(xué)基金委也加大對工控系統安全性研究立項和資助，重點(diǎn)資助了湖南大學(xué)和浙江大學(xué)開(kāi)展智能電網(wǎng)和工控系統安全脆弱性評估與分析研究。

    2.2　分布式網(wǎng)絡(luò )控制系統與傳統IT系統的比較

    分布式網(wǎng)絡(luò )控制系統的信息物理安全問(wèn)題，面臨著(zhù)來(lái)自不同方面的威脅，如管理信息層面臨來(lái)自互聯(lián)網(wǎng)的攻擊，也有企業(yè)內部惡意的攻擊通過(guò)企業(yè)網(wǎng)進(jìn)入工控網(wǎng)，一直到現場(chǎng)網(wǎng)絡(luò )；在控制層有系統管理人員非法操作，最嚴重的要屬第三方運維人員對現場(chǎng)設備的操作；還有遠程撥號的攻擊，有現場(chǎng)及野外搭線(xiàn)的威脅等。當然不同行業(yè)面臨的威脅和風(fēng)險重點(diǎn)不同，比如軍工行業(yè)主要強調工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密；石化強調DCS系統生產(chǎn)的連續和非異常；電力強調SCADA調度系統的不中斷等。國際NIST SP800-82《工業(yè)控制系統安全指南》中已經(jīng)詳細描述了各種威脅來(lái)源，也從策略程序、平臺及網(wǎng)絡(luò )等方面講述了可能的風(fēng)險和脆弱性。這些都從不同角度說(shuō)明分布式網(wǎng)絡(luò )控制系統的信息安全既包括SCADA、DCS等信息物理融合系統自身的信息安全，又包括工控系統對相互依賴(lài)的關(guān)鍵基礎設施的影響。

    分布式網(wǎng)絡(luò )控制系統會(huì )遭遇到與傳統IT系統相同的安全問(wèn)題，且還會(huì )遭遇到很多不同于傳統IT技術(shù)的安全問(wèn)題，其根源在于各自的安全目標不同。在傳統的IT信息技術(shù)領(lǐng)域，通常將機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）稱(chēng)為安全的三種基本屬性，并通常認為機密性的優(yōu)先級最高，完整性次之，可用性最低。而分布式網(wǎng)絡(luò )控制系統的安全目標則正好相反，可用性的優(yōu)先級最高。

    其中可用性是保證所有資源及信息都處于可用狀態(tài)；完整性是保證所有信息均保持完整正確，沒(méi)有被篡改、刪除；機密性是保證正確的人可以訪(fǎng)問(wèn)正確的信息。與傳統的IT系統不同，分布式網(wǎng)絡(luò )控制系統將可用性放在第一位，因為工業(yè)數據都是原始格式，需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線(xiàn)停機或誤動(dòng)作都有可能導致巨大經(jīng)濟損失，甚至是人員生命危險和環(huán)境的破壞。當控制系統安全保護層被突破后仍必須保證生產(chǎn)過(guò)程的安全，盡量降低對人員、環(huán)境、資產(chǎn)的破壞。

     除此之外，工控系統的實(shí)時(shí)性指標也非常重要，且在進(jìn)行安全加固時(shí)各個(gè)系統的側重點(diǎn)也有所區別。表1[24]給出了分布式網(wǎng)絡(luò )控制系統與傳統IT系統在不同性能指標方面的區別。 

    3　分布式網(wǎng)絡(luò )控制系統的信息安全研究

    考慮網(wǎng)絡(luò )環(huán)境對控制系統性能和設計的影響是分布式網(wǎng)絡(luò )控制系統理論研究的一個(gè)重點(diǎn)。IEEE 會(huì )刊于2001 年[25]，2004 年[26]和2007 年[27,28]相繼出版了關(guān)于網(wǎng)絡(luò )化控制系統的專(zhuān)刊，對網(wǎng)絡(luò )誘導時(shí)延、網(wǎng)絡(luò )數據丟失、時(shí)序錯亂、調度優(yōu)化等多個(gè)方面進(jìn)行了論述[29]，給出了模糊控制、預測控制、自適應控制、魯棒控制、多數率采樣控制、時(shí)間/事件混合驅動(dòng)等多種先進(jìn)控制算法。但上述研究主要限于考慮通信網(wǎng)絡(luò )在未受到惡意攻擊情況下網(wǎng)絡(luò )自身因素對控制系統設計的外在影響。

    當系統受到惡意攻擊時(shí)，系統接收或傳遞的部分或全部信息可能受到惡意篡改，系統中某些設備、控制元器件更可能因接到錯誤命令遭到破壞或帶來(lái)不必要的事故。因此，如何讓系統在受到惡意攻擊后仍能保持一定性能，最大限度降低事故引發(fā)的破壞，是我們自動(dòng)化人致力研究的問(wèn)題。目前，針對系統受到信息物理惡意攻擊下的工業(yè)控制系統安全性問(wèn)題，可以按照攻擊的研究切入點(diǎn)不同主要分為兩類(lèi)：信息安全防護和基于系統理論的安全性能分析與安全控制。

    3.1　信息安全防護

     信息安全防護研究主要借鑒IT信息安全方法，通過(guò)脆弱性分析和風(fēng)險評估，分析系統潛在的系統漏洞和攻擊路徑，結合工業(yè)控制系統特點(diǎn)設計信息安全防護措施。文[30]給出了一種攻擊圖模型，這種模型搜集了所有可能的網(wǎng)絡(luò )入侵方案，同時(shí)使用多準則決策技術(shù)來(lái)評估電力控制系統通信網(wǎng)絡(luò )的脆弱性。Ten 等在文[31、32]中提出了一個(gè)基于Petri-nets和攻擊樹(shù)模型的脆弱性評估框架，這個(gè)框架從系統、方案以及通道點(diǎn)三個(gè)層面系統分析了變電站和控制中心的脆弱性，并以負載丟失的方式衡量了網(wǎng)絡(luò )攻擊可能帶來(lái)的損失。面對網(wǎng)絡(luò )層面存在的風(fēng)險，大量的研究工作聚焦于改進(jìn)舊有的協(xié)議，賦予其適應如今趨勢的安全特性。例如，文[33-35] 提出通過(guò)修改ICCP,DNP3和Modbus等傳統SCADA協(xié)議，在保持與現有系統兼容的前提下增強其安全性。此外，考慮到網(wǎng)絡(luò )控制系統對可用性的嚴格要求以及傳統加密方法的時(shí)延性，Tsang和Smith在文[36]中提出了一種BITW（網(wǎng)路嵌入式）加密方法。這種方法通過(guò)減少加密和認證過(guò)程中的信息滯留，明顯改善了其時(shí)延性。在認證方面，Khurana等在文[37]中定義了電網(wǎng)中認證協(xié)議的設計準則。此外，文[38]提出了更靈活的認證協(xié)議來(lái)保證認證的長(cháng)期有效性,并為應對密鑰妥協(xié)以及認證模塊的脆弱性設計了密鑰更新和重塑算法。文[39]針對智能電網(wǎng)不同的角色具有不同接入權限的特點(diǎn)提出基于角色的智能電網(wǎng)接入控制模型；文[40]針對信息物理系統實(shí)時(shí)性要求，設計了一種輕量級兩步共同認證協(xié)議；文[41]針對智能電網(wǎng)網(wǎng)絡(luò )攻擊，設計了一種分層入侵檢測方法。上述基于信息安全方法的研究針對工業(yè)控制系統角色權限、實(shí)時(shí)性要求、分層網(wǎng)絡(luò )架構等特點(diǎn)提出了安全防護措施。目前國內工業(yè)控制系統安全的研究重點(diǎn)在信息安全防護技術(shù)的研發(fā)。在工業(yè)控制系統安全脆弱性分析和攻擊建模方面，文[42]研究了基于攻擊圖的控制網(wǎng)絡(luò )脆弱性網(wǎng)絡(luò )攻擊建模；文[43]針對分布式網(wǎng)絡(luò )故障檢測檢測及恢復介紹了故障冗余及恢復技術(shù)；文[44、45]針對電力系統提出了系統脆弱性和安全分析方法；文[46]詳細分析了工業(yè)控制系統中的風(fēng)險要素及其相互關(guān)系；文[47]提出最優(yōu)子模式分配的敏感指標構建方法。在入侵檢測系統和安全防護設計方面，文[43]設計了一種深度防御自適應入侵檢測系統，文[48]提出基于案例同理的入侵檢測關(guān)聯(lián)分析模型；文[49]設計了一種安全交換機制，保證接入網(wǎng)絡(luò )的用戶(hù)的合法性；文[50]提出通過(guò)功能安全和信息安全結合建模抵御惡意攻擊。

    總體來(lái)說(shuō)，國際在工業(yè)控制系統的信息安全防護方面的研究較深入，提出了“縱深防御”的工業(yè)控制系統信息安全策略。但主要還是針對工業(yè)控制系統特點(diǎn)與限制，擴展IT信息安全方法，大多僅停留在信息層，很少與工業(yè)控制系統的物理動(dòng)態(tài)有機結合。國內在工業(yè)控制系統信息安全的研究還處于起步階段，相關(guān)研究主要集中在系統脆弱性評估和安全分析上，缺乏在控制系統理論框架下對工業(yè)控制系統安全性的研究。

    3.2　基于系統理論的安全性能分析與安全控制

     基于系統理論的安全性能分析與安全控制的研究，其安全性問(wèn)題主要從工業(yè)控制系統的物理防護機制和物理系統模型切入，研究可能繞過(guò)物理防護機制的壞數據注入攻擊方法，或者直接針對物理系統模型，研究破壞物理系統性能的攻擊策略，這部分研究可統稱(chēng)為基于系統理論的攻擊向量和建模的研究。另外，最近國際上部分學(xué)者提出要充分利用系統物理動(dòng)態(tài)特性設計入侵檢測和安全控制算法，即充分挖掘系統物理系統動(dòng)態(tài)所具備的安全性能。根據所研究系統物理模型的不同，基于系統理論的安全性能分析與安全控制的研究又可分為靜態(tài)系統和動(dòng)態(tài)系統研究。

    在靜態(tài)系統模型下信息物理系統的研究中，主要分為三類(lèi)：(a)攻擊向量研究；(b)針對攻擊向量設計安全防護；(c)針對攻擊向量，研究靜態(tài)系統極限性能，利用極限性能設計安全防護。在靜態(tài)系統模型下，攻擊向量研究注重在系統物理防護限制下的攻擊模型設計：如文[51]研究了具有壞數據檢測功能的狀態(tài)估計中測量器接入受限和資源受限情況下的攻擊向量；文[52]研究了具有壞數據檢測和系統拓撲限制的狀態(tài)估計中的拓撲攻擊。在攻擊向量研究的基礎上，一部分研究者開(kāi)始針對典型攻擊向量，利用PMU布置等關(guān)鍵節點(diǎn)防護或新的壞數據檢測方法設計安全防護：如文[53，54]針對攻擊特點(diǎn)設計最大化攻擊影響攻擊向量，提出基于GLRT廣義似然比測試的壞數據檢測方法，通過(guò)增強壞數據檢測功能，實(shí)現攻擊的檢測；文[55，56]研究了分布式狀態(tài)估計系統攻擊向量，并針對分布式狀態(tài)估計算法收斂性和系統拓撲特點(diǎn)，設計了攻擊檢測和攻擊定位方法；文[57]針對壞數據注入攻擊，提出最小攻擊數量?jì)?yōu)化問(wèn)題和最小化PMU布置的安全防護方法。針對以上研究缺乏理論指導，研究者基于物理系統特點(diǎn)，分析靜態(tài)系統的極限性能：如文[58]針對靜態(tài)系統狀態(tài)估計問(wèn)題，分析了攻擊可檢測性條件，即滿(mǎn)足測量矩陣列滿(mǎn)秩條件；文[59]研究了電力系統狀態(tài)估計中的拓撲攻擊，分析了攻擊可檢測的充分必要條件，并利用以上條件設計基于PMU布置等關(guān)鍵節點(diǎn)防護的安全防護措施。

    在靜態(tài)系統中研究工業(yè)控制系統安全性問(wèn)題為動(dòng)態(tài)系統的研究提供了思路，但基于靜態(tài)系統的研究沒(méi)有利用系統動(dòng)態(tài)性能；同時(shí)，在攻擊建模中沒(méi)有利用系統中已有的信息安全措施。

    動(dòng)態(tài)系統模型下的系統安全性能與控制研究與靜態(tài)系統模型類(lèi)似，主要分為三類(lèi)：攻擊向量研究；基于攻擊向量設計安全防護；在系統理論下分析系統極限性能，并利用極限性能分析設計安全防護。在攻擊向量研究中，文[60]研究了實(shí)時(shí)電力市場(chǎng)在壞數據檢測約束下的攻擊向量；文[61]研究了帶有卡爾曼濾波器和LQG控制器的線(xiàn)性時(shí)滯系統的攻擊向量。根據攻擊向量，相關(guān)學(xué)者提出利用動(dòng)態(tài)系統特點(diǎn)設計安全防護：文[62]通過(guò)在控制系統中加入獨立高斯噪聲，對重放攻擊加以防護；文[63]通過(guò)最優(yōu)化系統認證機制，實(shí)現對系統整體攻擊檢測的最大化。由于以上安全防護設計僅僅是針對具體攻擊特點(diǎn)和已有經(jīng)驗的防護設計，缺乏具體理論指導。最近有些學(xué)者提出研究物理動(dòng)態(tài)系統在受攻擊下的系統安全極限性能，并以此為指導，設計系統的安全防護：如文[64]在廣義系統框架下，將攻擊刻畫(huà)為獨立的任意無(wú)界干擾，分析攻擊的可檢測性和可辨識性，并以此指導設計入侵檢測算法；文[65]研究在獨立的任意無(wú)界干擾攻擊下系統狀態(tài)的可觀(guān)測性，基于壓縮感知理論給出系統可觀(guān)測極限性能條件，并以此為指導設計系統彈性控制算法。

    在動(dòng)態(tài)系統模型下對信息物理系統的安全性研究，更接近系統實(shí)際性能。但針對攻擊構建防護的方法，缺乏動(dòng)態(tài)系統框架下極限性能分析的指導。另一方面，在動(dòng)態(tài)系統框架下分析極限性能的研究把攻擊刻畫(huà)為獨立的任意無(wú)界干擾，沒(méi)有利用系統固有物理防護約束，以及系統信息安全約束，導致安全防護策略過(guò)于保守，實(shí)現成本高。

    表2對工業(yè)控制系統的安全防護與控制研究現狀進(jìn)行了總結，表明當前針對信息物理攻擊的工業(yè)控制系統安全方面的研究存在如下問(wèn)題：信息安全方法與基于系統理論的安全控制方法分離，即基于系統理論的安全控制研究中沒(méi)有考慮系統固有物理防護和信息安全機制帶來(lái)的攻擊約束，使得基于系統理論設計的安全檢測與彈性安全控制算法不能與信息安全機制有機融合，由此造成了基于系統理論的安全防護策略過(guò)于保守，降低了其在工程中的使用價(jià)值。另外，需要指出的是，上述研究大部分是針對單控制中心的工業(yè)控制系統安全防護與控制，國際上針對具多控制中心的分布式網(wǎng)絡(luò )控制系統的安全性能分析與安全控制方面的研究非常少。
 

  4　結語(yǔ)

    本文詳細介紹了分布式網(wǎng)絡(luò )控制系統的安全問(wèn)題與傳統IT信息安全問(wèn)題的區別，闡述了分布式網(wǎng)絡(luò )控制系統的信息物理安全問(wèn)題的研究現狀及存在的問(wèn)題，針對分布式網(wǎng)絡(luò )控制系統信息物理安全的一些重要問(wèn)題提出了見(jiàn)解。

    讀者可以從文中所提及的相應參考文獻中找到更深層次的討論。我們寄希望讀者能從中發(fā)現更多新的問(wèn)題，提供有效的解決方案，并在此領(lǐng)域繼續努力，為分布式控制系統的安全運行作出貢獻。

     基金項目： 國家自然科學(xué)基金（61104091 ，61172064，61233004，61473184）。

    參考資料：

    [1] A. Bemporad, M. Heemels, M. Johansson, Lecture Notes in Control and Information Sciences: Networked control systems[R]. Springer London Ltd, ISBN ISBN 978-0-85729-033-5, 2010.

    [2] h t t p : / / i n t l . c e . c n / s p e c i a l s / z x g j z h / 2 0 1 3 0 8 / 2 3 /t20130823_24687048.shtml

    [3] http://www.chinamission.be/chn////zogx/kjhz/t1089500.htm

    [4] S. C. Suh, U. J. Tanik, J. N. Carbone, A. Eroglu. Applied Cyber-Physical Systems[J]. Springer, New York, ISBN 978-1-4614-7335-0, 2014.

    [5] K. Kim, P. R. Kumar. Cyber-physical systems: a perspective at the centennial[J]. Proceeding of The IEEE, 2012,100: 1287-1308.

    [6] 游科友，謝立華. 網(wǎng)絡(luò )控制系統的最新研究綜述[N]，自動(dòng)化學(xué)報，2013,39(2)：101-118.

    [7] The President’s Commission on Critical Infrastructure P r o t e c t i o n . C r i t i c a l F o u n d a t i o n s : P r o t e c t i n g Ame r i c a’s Infrastructure[R]. The Report of President’s Commission on Critical Infrastructure Protection, Washington DC, USA, 1997.

    [8] United States Computer Emergency Readiness Team, USCERT. The National Strategy to Secure Cyberspace[M]. Washington DC, USA, 2003.

    [9] Department of Homeland Security (DHS). National Infrastructure Protection Plan[M]. Washington DC, USA, 2006.

    [10] Department of Homeland Security (DHS) National Cyber Security Division. Strategy for securing control systems: coordinating and guiding Federal, State, and Private Sector Initiatives[M]. Washington DC, USA, 2009.

    [11] The National Research Council, Making the Nation Safer: the Role of Science and Technology in Countering Terrorism[M]. Washington DC, USA, 2002.

    [12] United States General Accounting Office, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, GAO-04-354[M]. Washington DC, USA, 2004.

    [13] J. Eisenhauer, P. Donnelly, M. Ellis, et al. Roadmap to secure control systems in the energy sector[M]. Washington DC, USA, the US Department of Energy and the US Department of Homeland Security, 2006.

    [14] Department of Homeland Security, National Infrastructure Protection Plan[M]. Washington DC, USA, 2009.

    [15] Energy Sector Control Systems Working Group (ESCSWG), Roadmap to Achieve Energy Delivery Systems Cyber Security[M]. Washington DC, USA, Office of Electricity Delivery & Energy Reliability, 2011.

    [16] http://talontechsoales.cm/blog/?p=104.

    [17] http://energy.gov/oe/technology-development/energydelivery-systems-cybersecurity/national-scada-test-bed.

    [18] Office of Electricity Delivery and Energy Reliability, US Department of Energy. “NSTB fact sheet, national SCADA testbed, enhancing control systems security in the energy sector”, http://www.inl.gov/scada/factsheets/d/nstb.pdf .

    [19] US-CERT. ICS-CERT, http://www.us-cert.gov/control_system/.

    [20] Commission of the European Communities. Communication from the Commission – on a European Programme for Critical Infrastructure Protection[M]. COM(2006)786, Brussels, Belgium,2006.

    [21] Commission of the European Communities. The European Economic and Social Committee and the Committee of the Regions– on Critical Infrastructure Protection[M]. COM(2009)149, Brussels, Belgium, 2009.

    [22] The European Network and Information Security Agency, Protecting Industrial Control Systems, Recommendations for Europe and Member States[S]. Heraklion, Greece, 2011.

    [23] 國家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2010年信息安全專(zhuān)項有關(guān)事項的通知[S].發(fā)改辦高技[2010]549號.

    [24] 劉威，李冬，孫波. 工業(yè)控制系統安全分析[C]. 第27次全國計算機安全學(xué)術(shù)交流會(huì )論文集，2012,(8):41-43.

    [25] L.G. Bushnell. Special Section on Networks and Control[J]. IEEE Control Systems Magazine, 2001,21(1): 22-23.

    [26] P. Antsaklis, J. Baillieul. Guest editorial special issue on networked control systems[J]. IEEE Transactions on Automatic Control, 2004, 49(9): 1421-1423.

    [27] P. Antsaklis, J. Baillieul. Special issue on technology of networked control system[J]. Proceeding of the IEEE, 2007,95(1):5-8.

    [28] F.Y. Wang, et. al. Guest Editorial Networking, Sensing, and Control for Networked Control Systems: Architectures, Algorithms, and Applications[R]. IEEE Transactions on Systems, Man, and Cybernetics - Part C: Applications and Reviews, 2007,37(2): 157-159.

    [29] G. C. Walsh, H. Ye, and L. G. Bushnel. Stability analysis of networked control systems[J]. IEEE Transactions on Control Systems and Technology, 2002,10(3):438-446 .

    [30] N. Liu, J. Zhang, H. Zhang, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J], IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.

    [31] C. W. Ten, C. C. Liu, G. Manimaran. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008,23(4): 1836-1846.

    [32] C. W. Ten, G. Manimaran, C. C. Liu. Cybersecurity for critical infrastructures: attack and defense modeling[J]. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 2010,40(4): 853-865.

    [33] M. Majdalawieh, F. Parisi-Presicce, D. Wijesekera. DNPSec: Distributed network protocol version 3 (DNP3) security framework, Advances in Computer, Information, and Systems Sciences, and Engineering[M]. Springer Netherlands, 2006. 227-234.

    [34] I. N. Fovino, A. Carcano, M. Masera, et al. Design and implementation of a secure modbus protocol, Critical Infrastructure Protection III[M]. Springer Berlin Heidelberg, 2009. 83-96.

    [35] J. T. Michalski, A. Lanzone, J. Trent, et al. Secure ICCP Integration Considerations and Recommendations[R]. SANDIA report, 2007.

    [36] P. P. Tsang, S. W. Smith. YASIR: A low-latency, highintegrity security retrofit for legacy SCADA systems, Proceedings of The IFIP TC-11 23rd International Information Security Conference[M]. Springer US, 2008:445-459.

    [37] H. Khurana, R. Bobba, T. Yardley, et al. Design principles for power grid cyber-infrastructure authentication protocols[R]. the 43rd Hawaii International Conference on System Sciences (HICSS), 2010. 1-10.

    [38] R. Chakravarthy, C. Hauser, D. E. Bakken. Long-lived authentication protocols for process control systems[J]. International Journal of Critical Infrastructure Protection, 2010,3(3): 174-181.

    [39] H. Cheung, A. Hamlyn, and T. Mander, Role-based model security access control for smart power-grids computer networks[N], in Power and Energy Society General Meeting-Conversion and Delivery of Electrical Energy in the 21st Century, 2008,(7):1-7.

    [40] M. M. Fouda, Z. M. Fadlullah, and N. Kato, A lightweight message authentication scheme for smart grid communications[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):675-685.

    [41] Y. Zhang, L. Wang, and W. Sun, Distributed intrusion detection system in a multi-layer network architecture of smart grids[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):796-808.

    [42] 凌從禮. 工業(yè)控制系統脆弱性分析與建模研究[D].浙江大學(xué), 2013.

    [43] 王偉, 陳秀真, 管曉宏等. 深度防衛的自適應入侵檢測系統[N]. 西安交通大學(xué)學(xué)報, 2005,39(4): 339.

    [44] 陳杰, 高會(huì )生. 電力通信網(wǎng)運行方式建模[J]. 電力系統通信,10:45-49, 2011.

    [45] 高會(huì )生, 戴雪嬌, 劉柳. 變電站綜合自動(dòng)化系統通信安全性評估[J]. 電力系統通信, 2012,(2):1-4.

    [46] 陸赟. 基于威脅和脆弱性的ICS量化風(fēng)險評估方法[D].華東理工大學(xué),2013.

    [47] 夏秦, 王志文, 盧柯. 入侵檢測系統利用信息熵檢測網(wǎng)絡(luò )攻擊的方法[N]. 西安交通大學(xué)學(xué)報, 2013,02: 14-19.

    [48] 曾茹剛, 管曉宏, 昝鑫等. 基于案例推理的入侵檢測關(guān)聯(lián)分析研究[J]. 計算機工程與應用,2006, 42(4): 138-141 .

    [49] 亞楠. 用于工業(yè)控制系統的安全交換機設計[D]. 浙江大學(xué), 2013.

    [50] 宋巖, 王天然, 徐皚冬等. 控制系統Safe-Sec安全通信方法研究[J].自動(dòng)化儀表,2013,34(11):30-33, 38.

    [51] Y. Liu, P. Ning, and M. K. Reiter, False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC), 2011, 14(1): Article 13:1-33.

    [52] J. Kim and L. Tong, On topology attack of a smart grid[J]. in Innovative Smart Grid Technologies (ISGT), 2013,(2):1-6.

    [53] M. Ozay, I. Esnaola, and F. Vural, Distributed models for sparse attack construction and state vector estimation in the smart grid[J]. in IEEE Third International Conference on Smart Grid Communications (Smart Grid Comm), 2012, (11): 306-311 .

    [54] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on smart grid state estimation: attack strategies and countermeasures[J] in First IEEE International Conference on Smart Grid Communications (Smart Grid Comm),2010,(10): 220-225.

    [55] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on the smart grid[J]. IEEE Transactions on Smart Grid, 2011, 2(4): 645-658.

    [56] O. Vukovic and G. Dan. On the security of distributed power system state estimation under targeted attacks[J]. in Proceedings of the 28th Annual ACM Symposium on Applied Computing, 2013,(3):666-672.

    [57] O. Vukovic and G. Dan, Detection and localization of targeted attacks on fully distributed power system state estimation[J]. in IEEE International Conference on Smart Grid Communications (SmartGridComm), 2013, 10):390-395.

    [58] R. B. Bobba, K. M. Rogers, and Q. Wang, “Detecting false data injection attacks on dc state estimation,” in the First Workshop on Secure Control Systems, 2010.

    [59] J. Kim and L. Tong. On topology attack of a smart grid: undetectable attacks and countermeasures[J]. IEEE Journal on Selected Areas in Communications, 2013,31(7): 1294-1305.

    [60] L. Xie, Y. Mo, and B. Sinopol. Integrity data attacks in power market operations[J]. IEEE Transactions on Smart Grid, 2011,12,2(4): 659-666.

    [61] Y. Mo, E. Garone, and A. Casavola. False data injection attacks against state estimation in wireless sensor networks[J]. in 49th IEEE Conference on Decision and Control (CDC), 2010,(12) :5967-5972.

    [62] Y. Mo and B. Sinopoli. Secure control against replay attacks[R]. in 47th Annual Allerton Conference on Communication, Control, and Computing, Allerton, 2009: 911-918.

   [63] R. Chabukswar, Y. Mo, and B. Sinopoli. Detecting Integrity Attacks on SCADA Systems[R]. in Proceedings of the 18th IFAC World Congress, Milano, Italy, 2011,(3):11239-11244.

    [64] F. Pasqualetti, F. Dorfler, and F. Bullo. Attack detection and identification in cyber-physical systems[J] IEEE Transactions on Automatic Control, 2013,58(11): 2715-2729.

    [65] H. Fawzi, P. Tabuada, and S. Diggavi, Secure estimation and control for cyber-physical systems under adversarial attacks[J]. IEEE Transactions on Automatic Control, 2014,59(6): 1454-1467.


    作者簡(jiǎn)介

    鄔晶（1979-），女，2008年于加拿大阿爾伯塔大學(xué)獲博士學(xué)位，現為上海交通大學(xué)自動(dòng)化系副教授。主要研究方向為智能電網(wǎng)、網(wǎng)絡(luò )控制系統分析與綜合，系統安全等。

    龍承念，男，現為上海交通大學(xué)自動(dòng)化系教授，教育部新世紀優(yōu)秀人才，主要研究方向為無(wú)線(xiàn)網(wǎng)絡(luò )、認知無(wú)線(xiàn)電、協(xié)作通信等。

    李少遠，男，現為上海交通大學(xué)自動(dòng)化系教授，國家杰出青年基金獲得者，主要研究方向為自適應預測控制，網(wǎng)絡(luò )化分布式系統的優(yōu)化控制及數據驅動(dòng)系統控制器設計。