摘要:工業控制系統正面臨著新的非傳統安全問題即網絡安全的威脅。網絡攻擊這種由人類惡意智力帶來的不確定性、不可知性和多變性,恰恰是工廠企業目前最不能確保正確應對的安全挑戰。現在各種工業控制系統的網絡安全解決方案,雖然非常必要,但還不能徹底解決網絡安全難題。根據已有的虛擬控制系統技術基礎和最新的研發實驗,本文創新性地提出,在異構的FPGA平臺上實現的虛擬控制系統運行,並與基於供應商平臺的真實控制系統實時數據比對,在網絡遭受攻擊時能及時正確地切換到操縱員手動,達到工業控制系統的極限網絡安全,是可能的,也是可行的。
關鍵詞:工業控制系統;網絡安全;虛擬控制系統
1 引言
安全,是一切工業系統設計、建造、運行和維護的核心。自從數字計算機引入工廠企業以來,實施各種工業系統運行全程控制和全範圍安全保護,首先是交由工業控制系統自動完成。毫無疑問,工業控制系統自身的安全,對工廠企業安全、經濟運行影響極大。一方面,控制系統的誤動信號會導致工廠的虛假保護動作,產生安全隱患。另一方面,控制系統的拒動信號會導致工廠在異常工況下不能正常啟動保護動作,這是一種危險性故障,嚴重影響系統或設備的安全性。為了保證對工業安全至關重要的控制系統的安全性,實施分散化,將控制組態下載到各分佈式控制器中運行等。工業安全屬於高等級的經濟安全、環境安全和社會安全,可以說工業控制系統是最重要的系統之一。但到目前為止,我們能應對的都是工業控制系統的傳統安全問題。如今,工業控制系統又面臨著一種新的安全問題,即網絡安全(Cyber Security)。
2 網絡安全挑戰
目前工業控制系統越來越開放,網絡通信和軟件技術越來越先進,致使傳統網絡信息安全威脅逐漸向工控系統擴散,產生了新的非傳統安全問題。工業控制系統網絡面臨著安全漏洞不斷增多、安全威脅加速滲透、攻擊手段複雜多樣等嚴峻挑戰。大型工廠企業歷來是安全的焦點。工業控制系統是工業生產的核心,在實現了的先進性可靠性控制的同時,卻可能日益成為黑客的網絡攻擊目標。要清醒地認識到,工業控制系統網絡安全受到威脅,不只是數據失密和隱私洩漏這麼簡單,還可能引發一系列涉及安全的嚴重事故,導致人員生命、基礎設施和生態環境等不可挽回的損害。
工業控制系統, 包括數據採集與監控系統(SCADA)、分佈式控制系統(DCS)、可編程邏輯控制器(PLC)、工業控制計算機(IPC)、遠程測控單元(RTU)等,原是各供應商按照完善工廠安全控制功能和提高運行控制效率來設計、研發和部署的,所應對的是確定的控制需求,要求達到實時響應,能消除隨機擾動和設備材料疲勞損壞等傳統問題。現在網絡安全問題,卻是來自網絡或針對網絡的不確定性攻擊。其實,在多種多樣工業和社會系統攻擊的事件背後,其攻擊發起者和攻擊目的是有所不同的。首先第一種攻擊會來自於黑客個體。早期針對工業和社會的攻擊者以黑客個體為主,其動因多是出於冒險、炫技、報復、洩憤、勒索、挑戰權威等。由於工廠的網絡一般與公眾互聯網隔離,因此能突破物理隔離的限制發起攻擊並得手的黑客會得到出奇的自我實現式的滿足。第二種攻擊會來自於大國暗戰。自從伊朗核設施“震網”事件後,大國推手作為始作俑者,由國家部隊發起對工廠企業基礎設施的破壞。近年來的攻擊事件,背後都閃動著國家黑客部隊的影子。第三種攻擊會來自於恐怖分子。由於大型工業企業和社會設施有一定的地標效應,近年來隨著恐怖主義的泛濫,也逐漸受到轉戰網絡的恐怖分子們的關注,其對工業系統的威脅也顯得日益嚴重。總之,當引入網絡安全威脅之後,工業控制系統就需要增加應對由個人、團隊和國家集中開發惡意智力帶來的不確定性、不可知性和多變性這些非傳統問題了,這恰恰是目前工業企業最不能夠確保正確應對的安全挑戰。
3 網絡安全應對
鑑於近年全球工業控制網絡安全形勢日趨嚴峻,各發達國家政府機構、國際組織、國家實驗室和大型跨國技術公司罕見地多次召開專題會議進行公開的交流和研判。我國工業領域控制系統的現狀是:核心控制技術開放度極高,長期依賴進口,大量裝備國外系統,造成工控安全意識薄弱,安全責任旁落,安全防護缺失,工控信息安全產業才剛剛起步。在這一背景下,2016年,國務院發佈的《國家十三五信息化規劃》,明確在十三五期間要加強網絡安全態勢感知、監測預警和應急處置能力建設,加強金融、能源、電力、通信、交通等領域關鍵信息基礎設施核心技術裝備的威脅感知和持續防禦能力建設,增強網絡安全防禦能力和威懾能力。
我國網絡安全領域最高法律《中華人民共和國網絡安全法》自2017年6月1日起施行。法律定義網絡,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。網絡安全法進一步定義網絡安全,是指通過採取必要措施,防範對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處於穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。網絡安全法專門列出了關鍵信息基礎設施的運行安全,明確國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護,鼓勵開發新技術實現網絡安全。顯然工業控制系統網絡安全屬於這一範疇。
2017年12月,我國工業和信息化部發布了《工業控制系統信息安全行動計劃(2018-2020)》,首次確定了工業控制系統信息網絡安全的企業主體責任。行動計劃明確提出在3年期間基本建立工控安全管理工作體系,全社會工控安全意識明顯增強。要建成全國在線監測網絡,應急資源庫,仿真測試、信息共享、信息通報平臺等,使態勢感知、安全防護、應急處置能力顯著提升。要培育一批影響力大、競爭力強的龍頭骨幹企業,創建國家新型工業化工業信息安全產業示範基地,使產業創新發展能力大幅提高。行動計劃的目的就是要充分動員我國科技界和工業界的力量,應對工控網絡安全的挑戰。
長期以來,工業控制系統在功能安全方面都已有完整的法規標準和成熟的技術,現在又提出如何在不降低功能安全的情況下考慮加強網絡安全。如此針對性的行動計劃和指導意見短期內密集出臺,前所未有,確實是一個全新的課題。將工業控制系統作為特殊的一種工廠企業內的信息網絡系統,從網絡拓撲出發進行多層防護,嚴格與互聯網物理隔離。現實情況是,工廠重點關注的是“人防”和“物防”,集中在對人員授權和對實物保護,但在網絡安全技術方面仍存在諸多不足。在實際運作過程中,伴隨著文件交互需要,系統升級、更新、運維需要和人為過失及來自內部威脅等,工業控制系統網絡並非處於絕對的隔離狀態,因此隨時有被敵對或不法分子發起網絡攻擊的可能性。各種工廠企業尤其需要改變“物理隔離”等於“安全”的觀念,及時建立行之有效的立體防護,增加“技防”手段,開發創新的安全技術,把遭受網絡攻擊的可能性和破壞性降到最低限度。
4 極限網絡安全理念
到目前為止,所有工業控制系統網絡安全的方法和技術,無外乎是採取劃分邊界、系統隔離、認證授權、物理防護、配置管理等方案,安裝各種網關、網閘、工業防火牆、殺毒軟件等硬軟件設備。顯然這些方法和技術,只是當前有效和局部有效的,是以降低工業控制系統的功能性能為代價的,還需要不斷升級改版,人工因素影響較重。當前隨著新工業革命信息技術的發展,還有應用大數據、雲計算、區塊鏈、人工智能等解決網絡安全問題。如若採用各種新型人工智能手段,也是需要時間進行所謂深度學習的,不能發揮出實時效能,尚存在大量不確定性。因此所有這些技術和方法,雖然非常必要,但不能徹底解決網絡安全難題。有鑑於此,現在所有工業企業領域相關的人士,無論是政府領導層、企業管理層、還是基層技術人員,無論是出於常識理性還是責任擔當,大家都在思考和詢問:工業控制系統網絡能否實現某種意義上的絕對安全或稱極限安全(Ultimate Cyber Security)?
一般的絕對安全或極限安全是不存在的。但如能用工程技術的方法,實時感知到由個人、團體或國家組織的人類惡意智力活動通過網絡帶給工業控制系統的不確定性、不可知性和多變性現象,能將工業系統最終導向安全運行,就是實現了工業控制系統網絡的極限安全。目前的工業控制系統,來自於各個供應商,區別於一般的計算機信息管理網絡系統,其對於工廠設備的控制動作都是根據控制組態發出的,控制組態又是經逐項設計並通過調試驗證而完成的。如果控制系統網絡受到攻擊,最令人擔心的是操縱員當時並不知情,仍然絕對地依靠控制系統進行監視和控制。如果能感知到工業控制系統沒有按照既定的控制功能設計組態運行,就有理由斷定系統網絡可能受到不明的網絡攻擊。在這時,工廠操縱員若能及時切換到手動操作,憑藉其經過嚴格訓練的專業能力,完全可以保證工廠系統達到最終的安全狀態。這就是所謂工業控制系統極限安全的理念。
顯然,研發一種與基於供應商平臺的真實工業控制系統並列運行的虛擬控制系統,從而有望實現控制系統網絡的極限安全,如圖1所示。要想獲得工業控制系統的所謂“極限”安全,根本觀念上就是要對基於供應商平臺的工業控制系統運行零信任。零信任是根植於“永不信任、始終驗證”的原則之上。由於虛擬控制系統與真實工業控制系統採用了相同的設計和組態,虛擬軟件甚至可以是控制組態的編譯轉換版本,故而能將虛擬控制系統作為始終驗證和實時判定的依據,兩路運行數據同時送入安全監視模塊實時進行比較判斷。當工業控制系統網絡被攻擊、被誤導、被阻斷、被篡改,而工廠運行操縱員無法進行真偽判斷時,安全監視模塊能給出正確的結論和報警,可以強制切換為手動,從而實現極限安全。
圖1 工業控制系統的極限安全解決方案
5 虛擬控制系統實現
研發虛擬控制系統實現網絡安全,是極其艱鉅的一種軟硬件工程任務,需要各方面大力合作和行業創新。特別是需要採用比供應商平臺更加安全的計算技術平臺,要進行大量編程和調試工作,需全面借鑑已有的工業控制系統組態,同時要考慮相對獨立於供應商的工業控制系統系列產品。為了確保安全,就要基於異構計算平臺,實現虛擬控制系統的運行和安全監控。目前,採用現場可編程門陣列(FPGA,Field Programmable Gate Array)技術方案是最佳選擇。近年在美國和歐洲,FPGA技術已經在工業控制系統上有了部分成功的設計和應用,但目前還沒有應用到解決工業控制系統網絡安全問題的先例。本文提出的方案是:開發由控制組態轉換到FPGA平臺的軟件工具,直接生成基於FPGA這種安全異構的虛擬控制系統,進行調試綜合後寫入門陣列芯片組,實現異構平臺上的虛擬控制系統運行。本文作者團隊在這方面已成功進行了研究開發實驗,針對核反應堆跳堆保護系列邏輯,在FPGA平臺上實現的虛擬控制系統邏輯電路設計部分結果,如圖2所示。
圖2 核反應堆跳堆保護邏輯組態及其FPGA虛擬控制系統電路設計
6 結束語
為了應對當前工業控制系統網絡安全所面臨的嚴峻挑戰,根據已有的虛擬控制系統技術基礎和最新的研發實驗,在異構的FPGA平臺上實現工業控制系統的虛擬控制系統運行和實時數據比對,在網絡攻擊時能及時正確地切換到操縱員手動,達到工業控制系統的極限網絡安全,是可能的,也是可行的。
作者簡介
冷 杉(1958-),男,江蘇鎮江人,工學博士,教授,現就職於東南大學,研究方向主要為大型能源系統的建模、仿真、數據、控制和安全等方面技術研究及其相應的工業軟件開發。
摘自《工業控制系統信息安全專刊(第六輯)》
