1　引言

    隨著(zhù)2010年伊朗布什爾核電站遭到Stuxnet（“震網(wǎng)”病毒）攻擊，工業(yè)控制系統（ICS）網(wǎng)絡(luò )安全問(wèn)題受到了廣泛關(guān)注^[1]。作為一個(gè)新興的研究領(lǐng)域，為了清晰地理解ICS信息安全研究的對象、理論與方法，需要從其內涵和外延兩個(gè)方面進(jìn)行分析和研究^[2,3]。ICS信息安全外延是從宏觀(guān)上研究ICS的行業(yè)類(lèi)和子行業(yè)，重點(diǎn)研究相互依賴(lài)性、級聯(lián)故障等整體性、結構性的信息安全問(wèn)題；而ICS信息安全內涵是從微觀(guān)上研究ICS本身及其組件，重點(diǎn)研究系統、設備、協(xié)議的漏洞以及黑客攻擊方法、防護技術(shù)等具體的信息安全問(wèn)題。針對這兩個(gè)方面，無(wú)論是從研究的對象、還是研究的內容和方法角度切入，都有大量問(wèn)題需要解決。

    與IT系統不同，工業(yè)控制系統的本質(zhì)是信息物理融合系統（CPS，Cyber-physical system），多維異構的計算單元和物理對象在網(wǎng)絡(luò )環(huán)境中高度集成與交互，構成了一類(lèi)新型的智能復雜系統，其中最具代表性的就是網(wǎng)絡(luò )控制系統（NCS，Network Control System）。網(wǎng)絡(luò )控制系統分布、柔性、自治的特點(diǎn)給物理安全（Safety）帶來(lái)了風(fēng)險分散、標準化、易擴展與易維護等好處，與此同時(shí)，高度網(wǎng)絡(luò )化又使其在信息安全（Security）方面面臨前所未有的挑戰。網(wǎng)絡(luò )控制系統所有要素完全依賴(lài)網(wǎng)絡(luò )連接在一起，其信息安全問(wèn)題極具代表性。

    如何從工業(yè)控制系統信息物理融合這一本質(zhì)特點(diǎn)出發(fā)，深度融合計算、通信和控制領(lǐng)域的研究成果，構建一個(gè)可控、可信、可擴展并且安全高效的工業(yè)控制網(wǎng)絡(luò )安全技術(shù)體系，是工業(yè)控制系統信息安全亟待研究的方向。

    2　工業(yè)控制系統安全的本質(zhì)是信息物理融合

    ICS系統和IT系統的區別總結如表1所示^[4]。ICS系統與IT系統最核心的區別在于：工業(yè)控制系統與生產(chǎn)過(guò)程的各物理要素有著(zhù)緊密的聯(lián)系，對工業(yè)控制系統的惡意攻擊，其目的除了獲取生產(chǎn)工藝參數之類(lèi)的核心商業(yè)機密外，主要還反映在對物理系統的破壞上。

    一個(gè)典型的工業(yè)控制系統按ANSI/ISA-99標準可以分為五個(gè)層次：企業(yè)系統層、運行管理層、監測控制層、基本控制層和過(guò)程層。從是否與現實(shí)的物理系統直接聯(lián)系的角度分析，上述的層次結構可以分成物理空間、信息空間，如圖1所示。圖中可以清楚地看出信息物理系統連接的邊界。

   表1 ICS系統與IT系統的區別
 

    從圖1可以看出，信息、物理的最直接的界面在第0、1層之間。網(wǎng)絡(luò )控制系統的各要素（信道、設備、系統）均處在第0、1層之間。

圖1 信息物理融合的工業(yè)控制系統

    3　網(wǎng)絡(luò )控制系統（NCS）安全研究的對象及面臨的挑戰

    一個(gè)典型的NCS的組成可以用圖2（a）來(lái)表示，其中S表示傳感器（Sensor），A表示執行器（Actuator），C表示控制器（Controller）。圖中的箭頭表示信息流而非網(wǎng)絡(luò )拓撲關(guān)系?？梢钥闯鰝鞲衅?、執行器的信息流是單向的，控制器的信息流是雙向的，這是NCS系統的一個(gè)特點(diǎn)。

圖2 信息物理融合的NCS結構

    圖2（b）是NCS的抽象模型。為了理解方便，把傳感器、執行器的網(wǎng)絡(luò )能力抽象為與控制器的參數傳遞關(guān)系，分別是控制信號u（從控制器到執行器）和傳感信號y（從傳感器到控制器）。

    從控制系統的視角，圖2（b）的NCS模型是一個(gè)單信息流方向的圖。容易混淆的一個(gè)問(wèn)題是，真實(shí)的網(wǎng)絡(luò )控制系統中，網(wǎng)絡(luò )化的執行器與控制器之間有雙向的信息流，既有控制器命令（由控制器到執行器的信息），也有執行器執行控制器命令效果的反饋，如閥門(mén)的開(kāi)度（由執行器到控制器的信息）。在圖2（b）中執行器到控制器的數據傳遞被歸集到了傳感信號y中。

    基于NCS的信息物理抽象模型，就可以把黑客對NCS的攻擊模型用圖3來(lái)表示。圖中清楚地表現了黑客可能發(fā)動(dòng)攻擊的位置（物理對象）和攻擊的目標（信息對象）。

圖3 NCS的攻擊模型

    A1：對傳感器攻擊，導致傳感器傳輸錯誤的結果；

    A2、A4：對網(wǎng)絡(luò )攻擊，使通信不正常；

    A3：對控制器攻擊，輸出錯誤命令；

    A5：對生產(chǎn)過(guò)程攻擊（不通過(guò)網(wǎng)絡(luò )攻擊），導致生產(chǎn)目標偏離。

    黑客對網(wǎng)絡(luò )控制系統的攻擊可以分為三個(gè)層次：

    （1）信道層攻擊：接入物理通信信道，對通信報文發(fā)動(dòng)攻擊；

    （2）設備層攻擊：侵入設備（傳感器、執行器、控制器節點(diǎn)），對過(guò)程參數、控制命令、執行器動(dòng)作進(jìn)行干擾；

    （3）系統層攻擊：潛伏在系統中，伺機獲得某種控制任務(wù)的執行權，運行惡意程序發(fā)動(dòng)攻擊。

    上述三個(gè)層次的攻擊，從時(shí)間軸上可以分為兩個(gè)階段，其分水嶺是網(wǎng)絡(luò )訪(fǎng)問(wèn)權的獲得。黑客獲得網(wǎng)絡(luò )控制權之前的攻擊對象是網(wǎng)絡(luò )的協(xié)議報文。獲得網(wǎng)絡(luò )控制權之后，黑客的攻擊目標是控制設備的參數與程序。從安全防御的角度看，前一階段的防御是主動(dòng)防御，目的是隔離攻擊者與被攻擊目標，后一階段是被動(dòng)防御，目的是對攻擊行為預警與干預。

    4　信道層安全問(wèn)題

    目前廣泛使用的NCS控制網(wǎng)絡(luò )是現場(chǎng)總線(xiàn)技術(shù)。傳統上把現場(chǎng)總線(xiàn)看作是與外界物理隔離的通信系統，重視物理安全而忽視信息安全，因此其協(xié)議設計的重心在保證通信的可靠性、帶寬利用率和實(shí)時(shí)性，對信息安全（Cyber Security）的考慮較少。黑客對現場(chǎng)總線(xiàn)的攻擊場(chǎng)景是：攻擊者已經(jīng)突破控制系統的邊界防御（如工業(yè)防火墻），可以接觸到現場(chǎng)總線(xiàn)的通信介質(zhì)和通信報文；攻擊者可以通過(guò)對報文的偵聽(tīng)、分析，可以實(shí)施竊聽(tīng)（Eavesdrop）、封鎖（Drop）、延時(shí)（Delay）、篡改（Modification）、注入（Injection）、反演（Replay）等攻擊手段。

    在IEC61158國際標準中定義的現場(chǎng)總線(xiàn)是18種現場(chǎng)總線(xiàn)協(xié)議的集合，各種現場(chǎng)總線(xiàn)之間存在很大的差異。從安全（Security）的角度，這些現場(chǎng)總線(xiàn)大致可以分為兩類(lèi)：以ControlNet、P-Net和SwiftNet為代表的現場(chǎng)總線(xiàn)基本上就沒(méi)有任何安全措施；基金會(huì )現場(chǎng)總線(xiàn)（FF）、Profibus、WorldFIP和Interbus等則有著(zhù)非常簡(jiǎn)單的安全措施。不同現場(chǎng)總線(xiàn)的安全機制^[5]可以用表2來(lái)簡(jiǎn)單說(shuō)明。

表2 不同現場(chǎng)總線(xiàn)的安全機制

    總結起來(lái)，現場(chǎng)總線(xiàn)的面臨安全隱患主要體現在以下幾個(gè)方面：

    （1）報文以明文的方式傳輸，或者只是采取了簡(jiǎn)單的加密，這些加密措施往往容易受到攻擊。典型的例子是Modbus、Profibus-DP，而這類(lèi)現場(chǎng)總線(xiàn)系統應用面極為廣泛。

    （2）沒(méi)有校驗碼，或者校驗碼主要為了應對物理層的信號擾動(dòng)，沒(méi)有針對惡意網(wǎng)絡(luò )攻擊的設計。如Modbus采用的CRC校驗碼，其算法簡(jiǎn)單而且公開(kāi)，攻擊者很容易修改報文的內容，也很容易修改校驗碼，使被篡改的報文看起來(lái)“合法”。

    （3）相比于IT通信系統，現場(chǎng)總線(xiàn)上的通信具有報文短小、模式基本固定、高頻度重復等特點(diǎn)，這給“黑客”猜測報文的模板、報文的周期規律提供了便利。

    （4）沒(méi)有會(huì )話(huà)過(guò)程的時(shí)序管理，缺乏安全會(huì )話(huà)的同步機制。這也是與IT網(wǎng)絡(luò )的最大差別之一。在IT網(wǎng)絡(luò )中
報文的分拆、重構、分組交換是常用的技術(shù)，根本就沒(méi)有同步的要求。但是，基于狀態(tài)空間的線(xiàn)性控制系統，無(wú)論是傳感器信號，還是控制信號是有嚴格時(shí)序要求的，內容合法的報文在不正確的時(shí)間或者以不正確的次序發(fā)送，都會(huì )破壞NCS的控制算法的正確性。黑客可以利用這一弱點(diǎn)，采用“重播”、“延時(shí)”的攻擊手段來(lái)攻擊NCS算法。

    （5）現場(chǎng)總線(xiàn)節點(diǎn)上CPU計算能力有限。如有些Modbus/Profibus-DP從站設備甚至會(huì )采用8位的51系列單片機，功能性、實(shí)時(shí)性和安全性在有限的計算資源下如何達到平衡，是設計和實(shí)施現場(chǎng)總線(xiàn)安全協(xié)議的難點(diǎn)。

    如何設計一種安全的協(xié)議架構，在保證現場(chǎng)總線(xiàn)的可用性、實(shí)時(shí)性的基礎上，最大限度地保障信道的通信安全，是目前學(xué)術(shù)界面臨的一個(gè)很大的挑戰。目前學(xué)術(shù)界已經(jīng)取得了一系列成果，比較有代表性的研究成果有三種：①適當改變總線(xiàn)的固有通信模式，通過(guò)增加安全會(huì )話(huà)來(lái)實(shí)現主動(dòng)防御。具有代表性的最新成果是基于已知安全傳感器量測（Know Secure Sensor Measurement，簡(jiǎn)稱(chēng)KSSM）。②引入加密和訪(fǎng)問(wèn)控制技術(shù)甄別通信異常，這是一種被動(dòng)防御方法，也是目前為數不多的現場(chǎng)總線(xiàn)安全機制中最常用的一種。③基于安全狀態(tài)同步的安全加密認證機制，核心是用對稱(chēng)流密碼技術(shù)產(chǎn)生安全、動(dòng)態(tài)、隨機的Hash碼流，通過(guò)合理地切分碼流，對現場(chǎng)總線(xiàn)報文實(shí)現加密、同步和MAC認證，比較有代表性的有S3M安全協(xié)議架構。

    5　設備層安全問(wèn)題

    網(wǎng)絡(luò )控制系統的設備層由傳感器、執行器與控制器組成。黑客通過(guò)攻擊傳感器信號及控制信號，可以發(fā)動(dòng)欺騙攻擊（修改傳感器測量值或者控制命令參數）、DoS攻擊（屏蔽傳感器測量值或控制命令參數）?！癝tuxnet”一類(lèi)的病毒更是直接嵌入到PLC等控制器中，在一定的觸發(fā)條件下執行惡意程序。網(wǎng)絡(luò )控制系統中，黑客對傳感器、執行器、控制器發(fā)動(dòng)的高級攻擊，表現出以下特點(diǎn)：

    （1）黑客攻克了通信信道的所有防御技術(shù)（加密、認證、安全狀態(tài)管理等），可以通過(guò)修改報文來(lái)修改傳感器測量值或者控制命令參數；

    （2）或者黑客成功地將惡意程序植入傳感器、執行器、控制器節點(diǎn)，并實(shí)現成功的潛伏，當某種觸發(fā)條件成立時(shí)，執行惡意程序，修改傳感器測量值或者控制命令參數；

    （3）黑客了解NCS的控制算法，可以采用適當的攻擊路線(xiàn)，使得NCS在最終崩潰前，狀態(tài)處于安全狀態(tài)集，從而避開(kāi)NCS的一般性安全檢測（如液位超限報警等）。

    設備層的安全防御有兩種途徑：基于可信計算的主動(dòng)防御，以及基于入侵檢測的被動(dòng)防御。

    IT網(wǎng)絡(luò )安全領(lǐng)域的入侵檢測系統（IDS，Intrusion Detection System）的研究已經(jīng)取得了大量的成果，其共同特點(diǎn)是將網(wǎng)絡(luò )本身作為研究對象，研究的是攻防雙方在網(wǎng)絡(luò )上的博弈策略和對網(wǎng)絡(luò )特性的影響。

    對于具備上述攻擊特征的黑客攻擊行為，單純地研究網(wǎng)絡(luò )特征的變化已經(jīng)無(wú)能為力。這是因為當“Stuxnet”一類(lèi)的高級攻擊代碼已經(jīng)植入PLC之后，其發(fā)動(dòng)攻擊時(shí)不會(huì )在網(wǎng)絡(luò )傳輸上表現出任何異常。在這種場(chǎng)景下，即使物理信道的通信一切正常，NCS的控制也不會(huì )正常。如何開(kāi)發(fā)針對這類(lèi)惡意節點(diǎn)的入侵檢測技術(shù)，是NCS被動(dòng)防御的關(guān)鍵問(wèn)題，也是學(xué)術(shù)界的核心問(wèn)題之一。

    設備層入侵檢測的難點(diǎn)在于，到目前為止，對于一個(gè)黑客在獲得智能設備的控制權后會(huì )采用何種攻擊策略缺乏系統的研究，更沒(méi)有對這些攻擊策略的數學(xué)描述。博弈論在研究IT網(wǎng)絡(luò )的理性攻擊者方面取得了一些成果，但是關(guān)于如何建立黑客入侵信息物理融合的控制系統的行為模型，從而為NCS的IDS（入侵檢測系統）、IPS（入侵防御系統）提供理論基礎，目前為止還沒(méi)有見(jiàn)到。

    惡意節點(diǎn)入侵檢測的另一個(gè)難點(diǎn)是，即使可以預計黑客的可能攻擊策略，也無(wú)法獲得黑客采用這些策略的概率、發(fā)起攻擊的強度等關(guān)鍵參數。這就需要所設計的IDS算法可以對連續檢測的結果進(jìn)行自修正，從而提高檢出結果的可信度。

    考慮到網(wǎng)絡(luò )控制系統對黑客攻擊的檢測的在線(xiàn)和實(shí)時(shí)性要求，此類(lèi)攻擊檢測可以抽象為“基于變化檢測的最優(yōu)停止問(wèn)題”?；谙到y異常的入侵檢測技術(shù)遇到的一個(gè)挑戰是檢測結果只具有統計意義上的參考價(jià)值，并非絕對判斷，存在錯判漏判的可能。如何降低誤報、漏報率是算法有效的關(guān)鍵。

    6　系統層安全問(wèn)題

    在一個(gè)NCS系統中，可能存在已經(jīng)被植入惡意代碼的傳感器、執行器以及控制器，到底哪一個(gè)是可信的，這就涉及到信任管理的問(wèn)題。在黑客成功入侵NCS后，需要有一種辦法判斷NCS每個(gè)成員的可信賴(lài)度。在有容錯能力的NCS中，在檢測到系統異常后，需要選擇可信賴(lài)的資源進(jìn)行替換?；谶@些原因，需要建立一套理論體系和方法，實(shí)現對NCS成員的可信任度進(jìn)行評估和管理，當系統中的某項資源的可信任度偏離嚴重時(shí)，可以隔離或限制該資源在NCS里的作用。

    目前為止，還沒(méi)有關(guān)于NCS系統信任管理方面的研究成果。主要原因是現有的PLC、SCADA等過(guò)程控制系統中，有一個(gè)基本假設：控制系統的所有單元都是可信的，只要不出現功能故障，系統就會(huì )按照既定的程序運行?？刂葡到y安全的概念還限于功能安全，作為備份的冗余資源，不管是I/O部件、電源部件、CPU部件，在“主”部件出現故障時(shí)，都會(huì )無(wú)條件地進(jìn)行替換。衡量這類(lèi)系統的安全性的指標是在線(xiàn)熱切換的速度。

    在物聯(lián)網(wǎng)環(huán)境下，上述的假設越來(lái)越不成立，尤其是在德國工業(yè)4.0提出的應用場(chǎng)景下，M2M（機器對機器）是未來(lái)制造的一種常見(jiàn)模式。一個(gè)工廠(chǎng)中，能完成某項任務(wù)的智能體（Agent）不止一個(gè)，選擇哪一個(gè)，為什么選擇，就成為了一個(gè)很急迫的問(wèn)題。

    可以借用人類(lèi)社會(huì )活動(dòng)中的信譽(yù)概念，通過(guò)信譽(yù)度來(lái)評判NCS中各單元的安全（Security）程度，并以此為基礎來(lái)決定任務(wù)分配策略，是一種可行的思路。就像社會(huì )系統中，通過(guò)一個(gè)人的消費記錄、犯罪記錄、信用記錄等來(lái)評判他的信譽(yù)度，并以此為依據來(lái)決定保險、貸款、是否聘用等。這里的關(guān)鍵是，需要找到一種方法，對NCS進(jìn)行“擬人”化描述，即建立NCS的一種數學(xué)模型，這個(gè)模型下，可以準確地描述NCS各“成員”的行為，并把這種行為的歷史數據轉化為信譽(yù)值。

    NCS的安全信任管理是一項全新的研究，需要應用到諸多跨學(xué)科的知識。目前學(xué)術(shù)界已經(jīng)開(kāi)始有人嘗試用多Agent技術(shù)來(lái)對NCS建模，以此為基礎建立了初步的NCS信譽(yù)度量機制^[6]。

    7　NCS安全的研究目標

    信息系統安全三原則（CIA）和自動(dòng)化系統的安全（如魯棒性、自適應等）概念都不能很好地概括信息物理融合的NCS系統的安全目標（Security Goal），因此學(xué)術(shù)界把彈性概念引入到控制系統，提出了彈性控制系統^[7]。

    彈性控制系統的概念涉及大尺度、復雜系統的物理安全、網(wǎng)絡(luò )安全、生產(chǎn)過(guò)程效率和穩定性問(wèn)題。在面對不可預期的或者惡意的擾動(dòng)時(shí)，如果一個(gè)控制系統是具有安全彈性的，它必須能夠清楚地意識到系統的安全狀態(tài)，而且能保持一定程度的正常運行。

    從設計和運行方式角度來(lái)審視，彈性控制系統應滿(mǎn)足以下條件^[8]：

    （1）可以將異常事件數量最小化；

    （2）大多數的異常事件可以消除；

    （3）如果異常事件不能消除，這種異常事件的負面影響可以最小化；

    （4）可以在比較短的時(shí)間內恢復正常。

     彈性控制系統的安全目標恰好涵蓋了功能安全、信息安全，同時(shí)充分考慮了控制系統的服役對象的特點(diǎn)。如何構建彈性的網(wǎng)絡(luò )控制系統，并對控制系統的安全彈性給予量化評估，是這一領(lǐng)域可以深入研究的課題。

    8　結語(yǔ)

    網(wǎng)絡(luò )控制系統（NCS）的傳感器、執行器和控制器之間通過(guò)通信網(wǎng)絡(luò )進(jìn)行實(shí)時(shí)的信息交互來(lái)實(shí)現閉環(huán)控制，在所有類(lèi)型的控制系統中，其安全問(wèn)題是最具代表性的。如何從信息物理融合的角度來(lái)理解NCS的安全問(wèn)題，并找到相應的解決辦法，學(xué)術(shù)界相關(guān)的研究成果很少。建立了一個(gè)基于信息物理融合概念的控制系統安全技術(shù)體系，可以為進(jìn)一步的工業(yè)控制系統信息安全技術(shù)的深入研究和產(chǎn)品研發(fā)提供一定的基礎。

    依托混合流程工業(yè)自動(dòng)化控制系統與裝備國家重點(diǎn)實(shí)驗室，利用其網(wǎng)絡(luò )攻防對抗實(shí)驗平臺，冶金自動(dòng)化研究設計院針對NCS的黑客攻擊模型、信道安全機制、入侵檢測技術(shù)與系統信任管理幾個(gè)方面展開(kāi)了研究，在NCS的信息安全問(wèn)題的數學(xué)描述、現場(chǎng)總線(xiàn)安全協(xié)議架構、信息物理融合的入侵檢測技術(shù)，以及基于簇信譽(yù)的信任管理方面取得了一系列成果，這些成果可以為同行在這一方向的深入研究提供一定的借鑒。 

   
參考文獻:

[1] Falliere N, Murchu L O, Chien E W . Stuxnet Dossier[R] . Version 1. 3. Symantec Security Response, 2010.

[2] 彭勇, 江常青 , 謝豐等. 工業(yè)控制系統信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報(自然科學(xué)版), 2012, 52 (10) .

[3] Xiaofei Zhang, Luolin Zheng, Ruying Zhao. Discussion on Information Security of Industrial Control System[A]. Asia - Pacific Computational Intelligence and Information Technology Conference, 2013 : 1 - 6.

[4] US - CERT. The National Strategy to Secure Cyberspace[R]. Ishington DC, USA: United States Computer Emergency Readiness Team , 2003 .

[5] Treytl A, Sauter T, Schwaiger C. Security Measures in Automation Systems - A Practice - Oriented Approach. 10th IEEE Conf. Emerging Technologiesand Factory Automation ETFA, 2005: 847 - 855.

[6] 張云貴, 佟為明, 蔣玖川, 劉文印. 基于多Agent的惡意環(huán)境下控制系統任務(wù)分配方法[J] . 計算機集成制造系統, 2013,19 (8): 2050 - 2057 .

[7] Rieger C G, Gertman D I, McQueen M A. Resilient Control Systems: Next Generation Design Research[C]. I: Proceedings of 2nd Conference on Human System Interactions, 2009: 632 - 636.

[8] Nathanael D, Marmaras N. Work Practices and Prescription: A Key Issue for Organizational Resilience[J]. Ashgate Publishing, 2008, 01 (9): 101 - 118.


    作者簡(jiǎn)介

    張云貴（1966-），男，湖南漢壽人，博士，教授級高工，現就職于冶金自動(dòng)化研究設計院混合流程工業(yè)自動(dòng)化系統與裝備技術(shù)國家重點(diǎn)實(shí)驗室，研究領(lǐng)域涉及工業(yè)物聯(lián)網(wǎng)技術(shù)、工業(yè)控制系統安全、現場(chǎng)總線(xiàn)技術(shù)應用、嵌入式智能控制系統等方面。

    付修章（1990-），男，河南商丘人，研究生在讀，主要研究方向為控制理論與控制工程。

    孫希艷（1987-），女，山東濰坊人，碩士，研發(fā)工程師，初級高工，主要研究方向為工業(yè)物聯(lián)網(wǎng)。