软件定义的工控伴生安全模式之探索

厂商:北京安控科技股份有限公司
作者:王彬,朱廷劭,徐新国
  点击数:170  发布时间:2019-11-14 13:02
目前工控安全形势严峻,而传统的信息安全以防御为主,没有针对工业控制系统的独特性进行量身打造,难以有效抵御各种安全事故的发生。工业控制系统的核心价值体现在最终的生产环节,一般要产生破坏效果,需要通过对生产系统造成影响,才能达到其目的。针对工业控制系统的安全需求,本文提出工控伴生安全新模式,通过建立一套与工业控制系统并行伴生的安全系统,对工业生产控制过程进行及时有效的监督诊断和干预恢复,实现工业生产过程的安全管控。
关键词:伴生 ,软件定义 ,工控安全

摘要:目前工控安全形势严峻,而传统的信息安全以防御为主,没有针对工业控制系统的独特性进行量身打造,难以有效抵御各种安全事故的发生。工业控制系统的核心价值体现在最终的生产环节,一般要产生破坏效果,需要通过对生产系统造成影响,才能达到其目的。针对工业控制系统的安全需求,本文提出工控伴生安全新模式,通过建立一套与工业控制系统并行伴生的安全系统,对工业生产控制过程进行及时有效的监督诊断和干预恢复,实现工业生产过程的安全管控。

关键词:工控安全;软件定义;伴生;大安全

Abstract: Nowadays most Industrial Control Systems (ICS) are in great dangerous,and the traditional information security focuses on defense, which is not based on the characteristics of ICS, thus difficult to effectively avoid the occurrence of various accidents. The kernel value of ICS is embodied in the production phase, and to cause any accident, it is a must to influence the production system. According to the safety requirement of ICS, we propose a new framework, i.e., ICS Associated Safety. To do so, an Associated Safety system is built, in parallel with ICS, to monitor and intervention during production, thus to realize the safety control of industrial production process.

Key words: Industrial Control Systems; Software-defined; Associated; Macro-security

1 引言

工业控制系统(简称工控系统)指的是利用控制理论、仪器仪表、计算机和其他信息技术,对工业生产过程实现检测、控制、优化、调度、管理和决策,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性,从而达到增加产量、提高质量、降低消耗等目标。

目前,工控系统普遍采用通用协议、硬软件系统,并且与企业内网,甚至是与互联网发生了应用对接。在“工业4.0”背景下,针对用户的需求,提供精准的服务成为重要的发展趋势,从而也需要工业生产

方式有所变革,逐渐转化为“按需定制”。这种需求方式的变革对工业生态的要求越来越高,尤其是对于现有海量的存量市场,如何应对新的需求是一个亟待解决的难题。随着工控系统的发展,尤其是互联网接入,使得传统信息安全威胁逐渐扩散至工控系统,新的安全问题层出不穷,工控系统安全面临前所未有的严峻形势。

2 工控安全

工控系统目前被广泛地应用在支撑国家安全、国计民生、经济发展等核心领域,工控系统安全事故对社会和经济造成的危害也愈来愈严重。正是由于工控系统的重要性,其逐渐成为重点攻击目标,工控系统安全问题受到越来越多的关注。

传统工控系统以生产持续优先,最看重系统的可用性,多采用基于主从关系的非对等网络,侧重于安全防护能力的建设。在安全问题方面,工控系统更多地将其转化为传统信息系统的安全问题。但是,由于工控系统的独特性,其核心价值体现在最终的生产环节,需要有一套量身打造的能够落实在生产环节的安全产品,才能有效抵御各种安全事故的发生,为客户带来安全防护的真正价值。

传统信息安全防护的目标是信息,以防御为主。因为一旦突破信息访问的屏障,信息的安全性将荡然无存。对于工控系统而言,工业信息的安全性固然重要,最核心的安全威胁是在突破安全防御后,对生产造成实质性的破坏,影响到生产,包括出现生产事故或者降低生产效率。一般工控安全事故要产生破坏效果,需要通过对生产系统造成影响,才能达到其目的。

目前的工控安全是把工控与安全割裂开,信息安全厂商和控制厂商从各自理解出发,过分强调各自部分的重要性,不能从工业生产的全局来考虑工控与安全的有机融合,导致现在的工控安全解决方案仍拘泥于“防护”,遵循传统的信息安全分区隔离、边界防护理念,未能深入工控系统的本质,从而难以避免到处补缺查漏,疲于奔命的困境。

3 工业控制系统的本质

工控系统的本质是生产控制。目前的工业生产系统或工控系统,主要聚焦在生产控制过程,但缺乏对生产过程的监督诊断和干预、自主诊断和恢复功能,使得系统容易受外界的操纵,从而引发安全生产事故。

工控系统由于其“两个有限”(合法状态有限、合法指令有限)的特性,在状态可明确穷举和每个状态合法指令有限条件下,工控系统的执行装置和控制设备的运行状态、接收和下发的指令都是可监测和检测的。无论是外部攻击还是误操作等任何原因造成的状态异常以及非法指令,也都是可知,因此,在“两个有限”原则下,实现对工控系统安全运行态势的监测,是完全可行并且可信的。

为了确保工业生成过程的安全有序,工业控制系统应该包括工控系统和安全保障系统,即大安全的工控系统,如图1所示。从本质而言,工控系统的设计目标在生命周期内的功能安全可达性,是以实现工业系统可用性为目标,综合运用功能安全、信息安全等技术手段和防护措施,保障工业系统在生命周期内的安全稳定运行。

32.jpg

图1 工业控制系统的大安全

在工控系统的核心工业流程基础上,实现对工业流程的基本控制,通过对流程进行过程监控了解工控的运行状态,并对各类操作的合法性进行管理;在此基础上,实现对工业流程控制、过程和操作的安全监测,对非法的指令操作进行报警,并对指令执行的过程进行控制,确保对工控系统的防护;在对工业流程进行监控预警的基础上,通过对工控全系统安全态势感知,为系统、企业级的预警提供支持,同时为更大区域内的社会应急提供数据支撑。

4 工控伴生安全模式

针对目前工控系统重控制的实际情况,结合当下工控系统的现状,存量与增量并存,本文提出工控系统伴生安全新模式。

工控系统伴生安全模式是指通过建立一套与工业控制系统并行伴生的安全系统,实现对工业生产控制过程的及时有效的监督诊断和干预恢复,以及对生产过程的安全管控,如图2所示。

33.jpg

图2 工控伴生安全模式

通过对工业控制系统运行状态的监测,主要是对指令的合法性进行判断,并进行安全态势的分析预测,实现对控制过程安全性能的保障。在传统的以防护为主的信息安全之外,加上对最终控制过程的监测,将安全与控制相伴而生。在发现工控安全隐患之后,利用先前设定的知识库,向工控系统发出有效的安全控制指令,以期避免安全事故的发生。

工控伴生安全模式,通过将安全控制与工控系统镜像运行,在不影响工控系统运行效率的前提下,实现对工控过程的安全监测、态势预警和控制,实现了高灵活性的安全控制。由于伴生安全系统与工控系统并行独立,在保证独立性的前提下实现了良好的灵活性和可适配性,无论对于存量还是增量系统,都能通过伴生安全系统实现工控系统的大安全。

5 软件定义的工控伴生安全

为了建立工控伴生安全模式,本文提出利用软件定义的方式,通过设立两级安全控制器,实现面向工控本质的安全控制系统。

软件定义是指利用软件实现系统的功能,用软件给硬件赋能,实现系统运行效率和能量效率最大化。“软件定义”的核心是硬件资源虚拟化和管理功能可编程。所谓硬件资源虚拟化,是将硬件资源抽象为虚拟资源,然后由系统软件对虚拟资源进行管理和调度。管理功能可编程是指在硬件资源虚拟化的基础上,用户可编写应用程序,通过系统调用接口,访问资源所提供的服务,更重要的是能够灵活管理和调度资源,以满足应用对资源的多样需求。从程序设计的角度,工控系统的行为可以通过软件进行定义,成为所谓的“软件定义的系统”。

通过软件定义,可以建立工控系统的对外硬件接口,通过基础软件实现对工控硬件资源的统一管控,并通过标准化的编程接口对外提供访问接口。安全系统在编程接口的基础上,实现对工控运行状态的监测,并利用内建的工控安全知识库,建立基于人工智能的工控安全的态势感知,并根据安全状态发出控制指令,实现对系统的干预。

安全系统与工控系统并行运行,安全系统的运行独立于工控系统,通过对工控运行中的状态监测和干预实现安全防护。由于不参与工业控制系统的生产过程,而是通过伴生的方式进行安全防护,从而实现在一定灵活程度下的工控安全。

基于软件定义的思路,根据工控系统的实际情况,将工控系统中具有独立监控功能的模块作为本体。每个本体包含输入、输出以及控制功能。本体可以通过嵌套形成从设备到现场,乃至最终形成一个完整的工控系统。

工业控制系统中,不同层级的控制要求是不同的。现场设备级的控制功能简单,但对实时性要求很高,需要给出及时反馈。在此之上的控制管理,由于需要进行更大量的计算,需要能够完成比较大的计算量。针对工业控制的这个特点,本文设定了轻载、重载二级的工控伴生安全系统结构,如图3所示。

34.jpg

图3 两级的工控伴生安全体系

轻载控制器主要是部署在设备级,具体执行预设的工控安全管理,并且可以接收来自上层(重载控制器)的工控安全规则的更新,在完成对所控制设备的安全管理的同时,也将设备的安全状况及时上传到重载控制器中。重载控制器主要通过对下辖的轻载控制器的数据采集,完成对现场的态势感知,同时根据各个设备的安全情况,对安全管理规则进行有针对性的更新,同时实现自学习和自组织等智能化安全管理。

(1)轻载控制器

融合某些仪表的功能,具备支撑不同级别控制器的基本硬件基础资源,包括完成简单监测控制功能,并适当冗余。实现设备级实时安全防危,实现对设备的安全监测和预警,利用内嵌的可重定义的安全规则,保障设备运行的安全。用于支持功能安全保障,以及信息安全功能实现。同时为实现全局的工控安全管理,提供通讯功能实现工控数据的上传下达。

利用人工智能技术,实现对设备的安全预警,实现对监测设备的自诊断,并做到简单自愈。利用智能芯片,建立针对工控安全的人工智能的训练及应用模块,实现对工控安全的自调节控制,自适应控制;建立基于防危的自诊断,并实现基于专家系统的简单自愈(比如重启)。在异常状况下,可在不影响正常生产(或者对生产影响最小)的时段实现安全恢复。

(2)重载控制器

融合RTU、PLC等部分硬件功能,具备支撑不同级别控制器的硬件基础资源,实现工控现场的安全监测以及态势感知,对现场内的各种设备的综合监控和协调,内置工控安全预测和态势感知,实现现场级工控系统的操作和信息的安全监控。包括完成复杂工控安全处理功能的智能芯片,并适当冗余,用于支持信息安全功能实现。

利用历史数据实现工控安全模型的自学习,利用软件定义功能做到工控系统的自组织;建立工控系统的复杂自愈、自恢复(自清洗),并利用人工智能中的对抗网络实现工控系统的安全自治、自管理和自主保障,实现自组织自学习等高级智能,具备自学习、自组织、复杂自愈和自恢复。

通过对现场内设备状态的监测分析,实现对防危知识库的优化配置,并通过下发对轻载控制器的安全防危进行优化定义。同时为实现云端的工控安全管理,需要在不同层级的控制器上实现通讯功能,实现工控数据的上传下达。

利用人工智能技术,通过对各个现场重载控制器的数据融合,建立工控系统的安全态势感知。通过对安全态势的分析,实现安全控制策略的下发。建立工控安全知识库,建立行业标准的知识库,同时针对具体应用场景建立定制化的知识库,提高工控安全系统的适配性。

利用工控伴生安全系统,可以实现对存量和增量系统的统一处置。针对存量系统,将现有的硬件功能模块定义为硬件实现的本体。在此基础上,通过本体间嵌套,加入软件定义的新功能模块,实现基于存量系统的安全工控系统,具备硬件和软件定义交叉的特性。对于增量系统,利用虚拟化技术,在硬件平台的基础上,实现软件定义的控制和安全模块。

6 总结

目前工控安全形势严峻,缺少针对性解决方案以及服务模式。历年的工控安全事件表明仅依靠现有的信息安全、功能安全防护措施是远远不够的。在工控安全理论体系、技术框架体系、产品谱系、咨询测试测评评估系列服务、工控安全全面解决方案、工控安全工作长效协作机制等方面,还有很长的路要走。

针对工控系统中的功能信息操作等安全需求,结合人工智能技术,通过软件定义,建立轻载和重载控制器相结合的工控系统伴生安全智能控制体系。从而实现轻载和重载的安全控制,做到灵活可配置,并能够具有很高的行业适配性。

从工控本质出发,针对存量、增量、服务,探索工控系统运行安全的本质机理,本文提出工控伴生安全体系,研发安全的工控产品和防护产品,形成针对性解决方案,全面提高工控系统安全运行的综合保障能力,是一个可行的行动路线。

作者简介

王 彬(1975-),男,江苏南京人,现任北京安控科技股份有限公司副总裁,北京安控工控安全研究院院长,主要从事自动化和工业控制系统及安全研究。

朱廷劭(1973-),男,中国科学院大学教授,研究工作涉及机器学习、汉语文语转换以及网络行为心理研究等多个领域。

徐新国(1966-),男,安徽合肥人,博士,教授级高级工程师,现任北京安控科技股份有限公司首席科学家,主要从事信息化和工业控制系统安全研究。

参考文献:

[1] 王彬, 徐新国. 关于工业控制系统本体安全的思考[J]. 自动化博览, 2018, ( S2 ): 54 - 56.

[2] 徐新国, 朱廷劭, 康卫 基于数据库挖掘的工业控制系统防危机制研究[J]. 电子技术应用, 2012, 38 ( 5 ): 87 - 90 .

[3] KONSTANTINIM, 夏光. 切尔诺贝利事故:问题的实质[J]. 科学对社会的影响, 1992, ( 03 ): 168 - 172.

[4] 见宏伟, 雷航. 自适应防危策略的设计技术研究[J]. 微计算机信息, 2010, ( 09 ): 65 - 67.

[5] 张帅. 工业控制系统安全现状与风险分析[J]. 计算机安全, 2012, ( 01 ): 15 - 19.

摘自《工业控制系统信息安全专刊(第六辑)》

相关文章


热点新闻
推荐产品
 
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: