摘要：工業(yè)控制系統正面臨著(zhù)新的非傳統安全問(wèn)題即網(wǎng)絡(luò )安全的威脅。網(wǎng)絡(luò )攻擊這種由人類(lèi)惡意智力帶來(lái)的不確定性、不可知性和多變性，恰恰是工廠(chǎng)企業(yè)目前最不能確保正確應對的安全挑戰?，F在各種工業(yè)控制系統的網(wǎng)絡(luò )安全解決方案，雖然非常必要，但還不能徹底解決網(wǎng)絡(luò )安全難題。根據已有的虛擬控制系統技術(shù)基礎和最新的研發(fā)實(shí)驗，本文創(chuàng )新性地提出，在異構的FPGA平臺上實(shí)現的虛擬控制系統運行，并與基于供應商平臺的真實(shí)控制系統實(shí)時(shí)數據比對，在網(wǎng)絡(luò )遭受攻擊時(shí)能及時(shí)正確地切換到操縱員手動(dòng)，達到工業(yè)控制系統的極限網(wǎng)絡(luò )安全，是可能的，也是可行的。

關(guān)鍵詞：工業(yè)控制系統；網(wǎng)絡(luò )安全；虛擬控制系統

Abstract: The security of industrial control system is facing new, untraditional threats from the cyber networks. The network attacks from evil intelligence are uncertain, incomprehensible and variable, which seriously challenge the safe operation of plants and factories. Although all current cyber-network-security solutions are still necessary, they have not completely solved the problem. Based on our matured prior-arts of virtual control system and our most recent R&D experiences, we propose an innovative solution for the cyber-network-security of the industrial control system in plants and factories: real-time data alignment with virtual control system implemented on the heterogeneous FPGA platform. With such heterogeneous system in parallel, the main control system can be switched to operator-manual-mode correctly and instantaneously. Thus, ultimate cyber-security of industrial control system becomes possible and feasible.

Key words: Industrial control system; Cyber security; Virtual control system

1　引言

安全，是一切工業(yè)系統設計、建造、運行和維護的核心。自從數字計算機引入工廠(chǎng)企業(yè)以來(lái)，實(shí)施各種工業(yè)系統運行全程控制和全范圍安全保護，首先是交由工業(yè)控制系統自動(dòng)完成。毫無(wú)疑問(wèn)，工業(yè)控制系統自身的安全，對工廠(chǎng)企業(yè)安全、經(jīng)濟運行影響極大。一方面，控制系統的誤動(dòng)信號會(huì )導致工廠(chǎng)的虛假保護動(dòng)作，產(chǎn)生安全隱患。另一方面，控制系統的拒動(dòng)信號會(huì )導致工廠(chǎng)在異常工況下不能正常啟動(dòng)保護動(dòng)作，這是一種危險性故障，嚴重影響系統或設備的安全性。為了保證對工業(yè)安全至關(guān)重要的控制系統的安全性，實(shí)施分散化，將控制組態(tài)下載到各分布式控制器中運行等。工業(yè)安全屬于高等級的經(jīng)濟安全、環(huán)境安全和社會(huì )安全，可以說(shuō)工業(yè)控制系統是最重要的系統之一。但到目前為止，我們能應對的都是工業(yè)控制系統的傳統安全問(wèn)題。如今，工業(yè)控制系統又面臨著(zhù)一種新的安全問(wèn)題，即網(wǎng)絡(luò )安全（CyberSecurity）。

2　網(wǎng)絡(luò )安全挑戰

目前工業(yè)控制系統越來(lái)越開(kāi)放，網(wǎng)絡(luò )通信和軟件技術(shù)越來(lái)越先進(jìn)，致使傳統網(wǎng)絡(luò )信息安全威脅逐漸向工控系統擴散，產(chǎn)生了新的非傳統安全問(wèn)題。工業(yè)控制系統網(wǎng)絡(luò )面臨著(zhù)安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等嚴峻挑戰。大型工廠(chǎng)企業(yè)歷來(lái)是安全的焦點(diǎn)。工業(yè)控制系統是工業(yè)生產(chǎn)的核心，在實(shí)現了的先進(jìn)性可靠性控制的同時(shí)，卻可能日益成為黑客的網(wǎng)絡(luò )攻擊目標。要清醒地認識到，工業(yè)控制系統網(wǎng)絡(luò )安全受到威脅，不只是數據失密和隱私泄漏這么簡(jiǎn)單，還可能引發(fā)一系列涉及安全的嚴重事故，導致人員生命、基礎設施和生態(tài)環(huán)境等不可挽回的損害。

工業(yè)控制系統， 包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、工業(yè)控制計算機（IPC）、遠程測控單元（RTU）等，原是各供應商按照完善工廠(chǎng)安全控制功能和提高運行控制效率來(lái)設計、研發(fā)和部署的，所應對的是確定的控制需求，要求達到實(shí)時(shí)響應，能消除隨機擾動(dòng)和設備材料疲勞損壞等傳統問(wèn)題?，F在網(wǎng)絡(luò )安全問(wèn)題，卻是來(lái)自網(wǎng)絡(luò )或針對網(wǎng)絡(luò )的不確定性攻擊。其實(shí)，在多種多樣工業(yè)和社會(huì )系統攻擊的事件背后，其攻擊發(fā)起者和攻擊目的是有所不同的。首先第一種攻擊會(huì )來(lái)自于黑客個(gè)體。早期針對工業(yè)和社會(huì )的攻擊者以黑客個(gè)體為主，其動(dòng)因多是出于冒險、炫技、報復、泄憤、勒索、挑戰權威等。由于工廠(chǎng)的網(wǎng)絡(luò )一般與公眾互聯(lián)網(wǎng)隔離，因此能突破物理隔離的限制發(fā)起攻擊并得手的黑客會(huì )得到出奇的自我實(shí)現式的滿(mǎn)足。第二種攻擊會(huì )來(lái)自于大國暗戰。自從伊朗核設施“震網(wǎng)”事件后，大國推手作為始作俑者，由國家部隊發(fā)起對工廠(chǎng)企業(yè)基礎設施的破壞。近年來(lái)的攻擊事件，背后都閃動(dòng)著(zhù)國家黑客部隊的影子。第三種攻擊會(huì )來(lái)自于恐怖分子。由于大型工業(yè)企業(yè)和社會(huì )設施有一定的地標效應，近年來(lái)隨著(zhù)恐怖主義的泛濫，也逐漸受到轉戰網(wǎng)絡(luò )的恐怖分子們的關(guān)注，其對工業(yè)系統的威脅也顯得日益嚴重?？傊?，當引入網(wǎng)絡(luò )安全威脅之后，工業(yè)控制系統就需要增加應對由個(gè)人、團隊和國家集中開(kāi)發(fā)惡意智力帶來(lái)的不確定性、不可知性和多變性這些非傳統問(wèn)題了，這恰恰是目前工業(yè)企業(yè)最不能夠確保正確應對的安全挑戰。

 3　網(wǎng)絡(luò )安全應對

鑒于近年全球工業(yè)控制網(wǎng)絡(luò )安全形勢日趨嚴峻，各發(fā)達國家政府機構、國際組織、國家實(shí)驗室和大型跨國技術(shù)公司罕見(jiàn)地多次召開(kāi)專(zhuān)題會(huì )議進(jìn)行公開(kāi)的交流和研判。我國工業(yè)領(lǐng)域控制系統的現狀是：核心控制技術(shù)開(kāi)放度極高，長(cháng)期依賴(lài)進(jìn)口，大量裝備國外系統，造成工控安全意識薄弱，安全責任旁落，安全防護缺失，工控信息安全產(chǎn)業(yè)才剛剛起步。在這一背景下，2016年，國務(wù)院發(fā)布的《國家十三五信息化規劃》，明確在十三五期間要加強網(wǎng)絡(luò )安全態(tài)勢感知、監測預警和應急處置能力建設，加強金融、能源、電力、通信、交通等領(lǐng)域關(guān)鍵信息基礎設施核心技術(shù)裝備的威脅感知和持續防御能力建設，增強網(wǎng)絡(luò )安全防御能力和威懾能力。

我國網(wǎng)絡(luò )安全領(lǐng)域最高法律《中華人民共和國網(wǎng)絡(luò )安全法》自2017年6月1日起施行。法律定義網(wǎng)絡(luò )，是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。網(wǎng)絡(luò )安全法進(jìn)一步定義網(wǎng)絡(luò )安全，是指通過(guò)采取必要措施，防范對網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò )處于穩定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò )數據的完整性、保密性、可用性的能力。網(wǎng)絡(luò )安全法專(zhuān)門(mén)列出了關(guān)鍵信息基礎設施的運行安全，明確國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護，鼓勵開(kāi)發(fā)新技術(shù)實(shí)現網(wǎng)絡(luò )安全。顯然工業(yè)控制系統網(wǎng)絡(luò )安全屬于這一范疇。

2017年12月，我國工業(yè)和信息化部發(fā)布了《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020）》，首次確定了工業(yè)控制系統信息網(wǎng)絡(luò )安全的企業(yè)主體責任。行動(dòng)計劃明確提出在3年期間基本建立工控安全管理工作體系，全社會(huì )工控安全意識明顯增強。要建成全國在線(xiàn)監測網(wǎng)絡(luò )，應急資源庫，仿真測試、信息共享、信息通報平臺等，使態(tài)勢感知、安全防護、應急處置能力顯著(zhù)提升。要培育一批影響力大、競爭力強的龍頭骨干企業(yè)，創(chuàng )建國家新型工業(yè)化工業(yè)信息安全產(chǎn)業(yè)示范基地，使產(chǎn)業(yè)創(chuàng )新發(fā)展能力大幅提高。行動(dòng)計劃的目的就是要充分動(dòng)員我國科技界和工業(yè)界的力量，應對工控網(wǎng)絡(luò )安全的挑戰。

長(cháng)期以來(lái)，工業(yè)控制系統在功能安全方面都已有完整的法規標準和成熟的技術(shù)，現在又提出如何在不降低功能安全的情況下考慮加強網(wǎng)絡(luò )安全。如此針對性的行動(dòng)計劃和指導意見(jiàn)短期內密集出臺，前所未有，確實(shí)是一個(gè)全新的課題。將工業(yè)控制系統作為特殊的一種工廠(chǎng)企業(yè)內的信息網(wǎng)絡(luò )系統，從網(wǎng)絡(luò )拓撲出發(fā)進(jìn)行多層防護，嚴格與互聯(lián)網(wǎng)物理隔離?，F實(shí)情況是，工廠(chǎng)重點(diǎn)關(guān)注的是“人防”和“物防”，集中在對人員授權和對實(shí)物保護，但在網(wǎng)絡(luò )安全技術(shù)方面仍存在諸多不足。在實(shí)際運作過(guò)程中，伴隨著(zhù)文件交互需要，系統升級、更新、運維需要和人為過(guò)失及來(lái)自?xún)炔客{等，工業(yè)控制系統網(wǎng)絡(luò )并非處于絕對的隔離狀態(tài)，因此隨時(shí)有被敵對或不法分子發(fā)起網(wǎng)絡(luò )攻擊的可能性。各種工廠(chǎng)企業(yè)尤其需要改變“物理隔離”等于“安全”的觀(guān)念，及時(shí)建立行之有效的立體防護，增加“技防”手段，開(kāi)發(fā)創(chuàng )新的安全技術(shù)，把遭受網(wǎng)絡(luò )攻擊的可能性和破壞性降到最低限度。

4　極限網(wǎng)絡(luò )安全理念

到目前為止，所有工業(yè)控制系統網(wǎng)絡(luò )安全的方法和技術(shù)，無(wú)外乎是采取劃分邊界、系統隔離、認證授權、物理防護、配置管理等方案，安裝各種網(wǎng)關(guān)、網(wǎng)閘、工業(yè)防火墻、殺毒軟件等硬軟件設備。顯然這些方法和技術(shù)，只是當前有效和局部有效的，是以降低工業(yè)控制系統的功能性能為代價(jià)的，還需要不斷升級改版，人工因素影響較重。當前隨著(zhù)新工業(yè)革命信息技術(shù)的發(fā)展，還有應用大數據、云計算、區塊鏈、人工智能等解決網(wǎng)絡(luò )安全問(wèn)題。如若采用各種新型人工智能手段，也是需要時(shí)間進(jìn)行所謂深度學(xué)習的，不能發(fā)揮出實(shí)時(shí)效能，尚存在大量不確定性。因此所有這些技術(shù)和方法，雖然非常必要，但不能徹底解決網(wǎng)絡(luò )安全難題。有鑒于此，現在所有工業(yè)企業(yè)領(lǐng)域相關(guān)的人士，無(wú)論是政府領(lǐng)導層、企業(yè)管理層、還是基層技術(shù)人員，無(wú)論是出于常識理性還是責任擔當，大家都在思考和詢(xún)問(wèn)：工業(yè)控制系統網(wǎng)絡(luò )能否實(shí)現某種意義上的絕對安全或稱(chēng)極限安全（Ultimate CyberSecurity）？

一般的絕對安全或極限安全是不存在的。但如能用工程技術(shù)的方法，實(shí)時(shí)感知到由個(gè)人、團體或國家組織的人類(lèi)惡意智力活動(dòng)通過(guò)網(wǎng)絡(luò )帶給工業(yè)控制系統的不確定性、不可知性和多變性現象，能將工業(yè)系統最終導向安全運行，就是實(shí)現了工業(yè)控制系統網(wǎng)絡(luò )的極限安全。目前的工業(yè)控制系統，來(lái)自于各個(gè)供應商，區別于一般的計算機信息管理網(wǎng)絡(luò )系統，其對于工廠(chǎng)設備的控制動(dòng)作都是根據控制組態(tài)發(fā)出的，控制組態(tài)又是經(jīng)逐項設計并通過(guò)調試驗證而完成的。如果控制系統網(wǎng)絡(luò )受到攻擊，最令人擔心的是操縱員當時(shí)并不知情，仍然絕對地依靠控制系統進(jìn)行監視和控制。如果能感知到工業(yè)控制系統沒(méi)有按照既定的控制功能設計組態(tài)運行，就有理由斷定系統網(wǎng)絡(luò )可能受到不明的網(wǎng)絡(luò )攻擊。在這時(shí)，工廠(chǎng)操縱員若能及時(shí)切換到手動(dòng)操作，憑借其經(jīng)過(guò)嚴格訓練的專(zhuān)業(yè)能力，完全可以保證工廠(chǎng)系統達到最終的安全狀態(tài)。這就是所謂工業(yè)控制系統極限安全的理念。

顯然，研發(fā)一種與基于供應商平臺的真實(shí)工業(yè)控制系統并列運行的虛擬控制系統，從而有望實(shí)現控制系統網(wǎng)絡(luò )的極限安全，如圖1所示。要想獲得工業(yè)控制系統的所謂“極限”安全，根本觀(guān)念上就是要對基于供應商平臺的工業(yè)控制系統運行零信任。零信任是根植于“永不信任、始終驗證”的原則之上。由于虛擬控制系統與真實(shí)工業(yè)控制系統采用了相同的設計和組態(tài)，虛擬軟件甚至可以是控制組態(tài)的編譯轉換版本，故而能將虛擬控制系統作為始終驗證和實(shí)時(shí)判定的依據，兩路運行數據同時(shí)送入安全監視模塊實(shí)時(shí)進(jìn)行比較判斷。當工業(yè)控制系統網(wǎng)絡(luò )被攻擊、被誤導、被阻斷、被篡改，而工廠(chǎng)運行操縱員無(wú)法進(jìn)行真偽判斷時(shí)，安全監視模塊能給出正確的結論和報警，可以強制切換為手動(dòng)，從而實(shí)現極限安全。

圖1 工業(yè)控制系統的極限安全解決方案

5 虛擬控制系統實(shí)現

研發(fā)虛擬控制系統實(shí)現網(wǎng)絡(luò )安全，是極其艱巨的一種軟硬件工程任務(wù)，需要各方面大力合作和行業(yè)創(chuàng )新。特別是需要采用比供應商平臺更加安全的計算技術(shù)平臺，要進(jìn)行大量編程和調試工作，需全面借鑒已有的工業(yè)控制系統組態(tài)，同時(shí)要考慮相對獨立于供應商的工業(yè)控制系統系列產(chǎn)品。為了確保安全，就要基于異構計算平臺，實(shí)現虛擬控制系統的運行和安全監控。目前，采用現場(chǎng)可編程門(mén)陣列（FPGA,FieldProgrammable GateArray）技術(shù)方案是最佳選擇。近年在美國和歐洲，FPGA技術(shù)已經(jīng)在工業(yè)控制系統上有了部分成功的設計和應用，但目前還沒(méi)有應用到解決工業(yè)控制系統網(wǎng)絡(luò )安全問(wèn)題的先例。本文提出的方案是：開(kāi)發(fā)由控制組態(tài)轉換到FPGA平臺的軟件工具，直接生成基于FPGA這種安全異構的虛擬控制系統，進(jìn)行調試綜合后寫(xiě)入門(mén)陣列芯片組，實(shí)現異構平臺上的虛擬控制系統運行。本文作者團隊在這方面已成功進(jìn)行了研究開(kāi)發(fā)實(shí)驗，針對核反應堆跳堆保護系列邏輯，在FPGA平臺上實(shí)現的虛擬控制系統邏輯電路設計部分結果，如圖2所示。

圖2 核反應堆跳堆保護邏輯組態(tài)及其 FPGA虛擬控制系統電路設計

6 結束語(yǔ)

為了應對當前工業(yè)控制系統網(wǎng)絡(luò )安全所面臨的嚴峻挑戰，根據已有的虛擬控制系統技術(shù)基礎和最新的研發(fā)實(shí)驗，在異構的FPGA平臺上實(shí)現工業(yè)控制系統的虛擬控制系統運行和實(shí)時(shí)數據比對，在網(wǎng)絡(luò )攻擊時(shí)能及時(shí)正確地切換到操縱員手動(dòng)，達到工業(yè)控制系統的極限網(wǎng)絡(luò )安全，是可能的，也是可行的。

作者簡(jiǎn)介

冷　杉（1958-），男，江蘇鎮江人，工學(xué)博士，教授，現就職于東南大學(xué)，研究方向主要為大型能源系統的建模、仿真、數據、控制和安全等方面技術(shù)研究及其相應的工業(yè)軟件開(kāi)發(fā)。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》