摘要：工業(yè)控制系統(tǒng)正面臨著新的非傳統(tǒng)安全問題即網(wǎng)絡(luò)安全的威脅。網(wǎng)絡(luò)攻擊這種由人類惡意智力帶來的不確定性、不可知性和多變性，恰恰是工廠企業(yè)目前最不能確保正確應(yīng)對的安全挑戰(zhàn)。現(xiàn)在各種工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全解決方案，雖然非常必要，但還不能徹底解決網(wǎng)絡(luò)安全難題。根據(jù)已有的虛擬控制系統(tǒng)技術(shù)基礎(chǔ)和最新的研發(fā)實驗，本文創(chuàng)新性地提出，在異構(gòu)的FPGA平臺上實現(xiàn)的虛擬控制系統(tǒng)運(yùn)行，并與基于供應(yīng)商平臺的真實控制系統(tǒng)實時數(shù)據(jù)比對，在網(wǎng)絡(luò)遭受攻擊時能及時正確地切換到操縱員手動，達(dá)到工業(yè)控制系統(tǒng)的極限網(wǎng)絡(luò)安全，是可能的，也是可行的。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；虛擬控制系統(tǒng)

Abstract: The security of industrial control system is facing new, untraditional threats from the cyber networks. The network attacks from evil intelligence are uncertain, incomprehensible and variable, which seriously challenge the safe operation of plants and factories. Although all current cyber-network-security solutions are still necessary, they have not completely solved the problem. Based on our matured prior-arts of virtual control system and our most recent R&D experiences, we propose an innovative solution for the cyber-network-security of the industrial control system in plants and factories: real-time data alignment with virtual control system implemented on the heterogeneous FPGA platform. With such heterogeneous system in parallel, the main control system can be switched to operator-manual-mode correctly and instantaneously. Thus, ultimate cyber-security of industrial control system becomes possible and feasible.

Key words: Industrial control system; Cyber security; Virtual control system

1　引言

安全，是一切工業(yè)系統(tǒng)設(shè)計、建造、運(yùn)行和維護(hù)的核心。自從數(shù)字計算機(jī)引入工廠企業(yè)以來，實施各種工業(yè)系統(tǒng)運(yùn)行全程控制和全范圍安全保護(hù)，首先是交由工業(yè)控制系統(tǒng)自動完成。毫無疑問，工業(yè)控制系統(tǒng)自身的安全，對工廠企業(yè)安全、經(jīng)濟(jì)運(yùn)行影響極大。一方面，控制系統(tǒng)的誤動信號會導(dǎo)致工廠的虛假保護(hù)動作，產(chǎn)生安全隱患。另一方面，控制系統(tǒng)的拒動信號會導(dǎo)致工廠在異常工況下不能正常啟動保護(hù)動作，這是一種危險性故障，嚴(yán)重影響系統(tǒng)或設(shè)備的安全性。為了保證對工業(yè)安全至關(guān)重要的控制系統(tǒng)的安全性，實施分散化，將控制組態(tài)下載到各分布式控制器中運(yùn)行等。工業(yè)安全屬于高等級的經(jīng)濟(jì)安全、環(huán)境安全和社會安全，可以說工業(yè)控制系統(tǒng)是最重要的系統(tǒng)之一。但到目前為止，我們能應(yīng)對的都是工業(yè)控制系統(tǒng)的傳統(tǒng)安全問題。如今，工業(yè)控制系統(tǒng)又面臨著一種新的安全問題，即網(wǎng)絡(luò)安全（CyberSecurity）。

2　網(wǎng)絡(luò)安全挑戰(zhàn)

目前工業(yè)控制系統(tǒng)越來越開放，網(wǎng)絡(luò)通信和軟件技術(shù)越來越先進(jìn)，致使傳統(tǒng)網(wǎng)絡(luò)信息安全威脅逐漸向工控系統(tǒng)擴(kuò)散，產(chǎn)生了新的非傳統(tǒng)安全問題。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)面臨著安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等嚴(yán)峻挑戰(zhàn)。大型工廠企業(yè)歷來是安全的焦點。工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)的核心，在實現(xiàn)了的先進(jìn)性可靠性控制的同時，卻可能日益成為黑客的網(wǎng)絡(luò)攻擊目標(biāo)。要清醒地認(rèn)識到，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全受到威脅，不只是數(shù)據(jù)失密和隱私泄漏這么簡單，還可能引發(fā)一系列涉及安全的嚴(yán)重事故，導(dǎo)致人員生命、基礎(chǔ)設(shè)施和生態(tài)環(huán)境等不可挽回的損害。

工業(yè)控制系統(tǒng)， 包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、工業(yè)控制計算機(jī)（IPC）、遠(yuǎn)程測控單元（RTU）等，原是各供應(yīng)商按照完善工廠安全控制功能和提高運(yùn)行控制效率來設(shè)計、研發(fā)和部署的，所應(yīng)對的是確定的控制需求，要求達(dá)到實時響應(yīng)，能消除隨機(jī)擾動和設(shè)備材料疲勞損壞等傳統(tǒng)問題。現(xiàn)在網(wǎng)絡(luò)安全問題，卻是來自網(wǎng)絡(luò)或針對網(wǎng)絡(luò)的不確定性攻擊。其實，在多種多樣工業(yè)和社會系統(tǒng)攻擊的事件背后，其攻擊發(fā)起者和攻擊目的是有所不同的。首先第一種攻擊會來自于黑客個體。早期針對工業(yè)和社會的攻擊者以黑客個體為主，其動因多是出于冒險、炫技、報復(fù)、泄憤、勒索、挑戰(zhàn)權(quán)威等。由于工廠的網(wǎng)絡(luò)一般與公眾互聯(lián)網(wǎng)隔離，因此能突破物理隔離的限制發(fā)起攻擊并得手的黑客會得到出奇的自我實現(xiàn)式的滿足。第二種攻擊會來自于大國暗戰(zhàn)。自從伊朗核設(shè)施“震網(wǎng)”事件后，大國推手作為始作俑者，由國家部隊發(fā)起對工廠企業(yè)基礎(chǔ)設(shè)施的破壞。近年來的攻擊事件，背后都閃動著國家黑客部隊的影子。第三種攻擊會來自于恐怖分子。由于大型工業(yè)企業(yè)和社會設(shè)施有一定的地標(biāo)效應(yīng)，近年來隨著恐怖主義的泛濫，也逐漸受到轉(zhuǎn)戰(zhàn)網(wǎng)絡(luò)的恐怖分子們的關(guān)注，其對工業(yè)系統(tǒng)的威脅也顯得日益嚴(yán)重。總之，當(dāng)引入網(wǎng)絡(luò)安全威脅之后，工業(yè)控制系統(tǒng)就需要增加應(yīng)對由個人、團(tuán)隊和國家集中開發(fā)惡意智力帶來的不確定性、不可知性和多變性這些非傳統(tǒng)問題了，這恰恰是目前工業(yè)企業(yè)最不能夠確保正確應(yīng)對的安全挑戰(zhàn)。

 3　網(wǎng)絡(luò)安全應(yīng)對

鑒于近年全球工業(yè)控制網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，各發(fā)達(dá)國家政府機(jī)構(gòu)、國際組織、國家實驗室和大型跨國技術(shù)公司罕見地多次召開專題會議進(jìn)行公開的交流和研判。我國工業(yè)領(lǐng)域控制系統(tǒng)的現(xiàn)狀是：核心控制技術(shù)開放度極高，長期依賴進(jìn)口，大量裝備國外系統(tǒng)，造成工控安全意識薄弱，安全責(zé)任旁落，安全防護(hù)缺失，工控信息安全產(chǎn)業(yè)才剛剛起步。在這一背景下，2016年，國務(wù)院發(fā)布的《國家十三五信息化規(guī)劃》，明確在十三五期間要加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知、監(jiān)測預(yù)警和應(yīng)急處置能力建設(shè)，加強(qiáng)金融、能源、電力、通信、交通等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施核心技術(shù)裝備的威脅感知和持續(xù)防御能力建設(shè)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。

我國網(wǎng)絡(luò)安全領(lǐng)域最高法律《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起施行。法律定義網(wǎng)絡(luò)，是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng)。網(wǎng)絡(luò)安全法進(jìn)一步定義網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡(luò)安全法專門列出了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全，明確國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)，鼓勵開發(fā)新技術(shù)實現(xiàn)網(wǎng)絡(luò)安全。顯然工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全屬于這一范疇。

2017年12月，我國工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》，首次確定了工業(yè)控制系統(tǒng)信息網(wǎng)絡(luò)安全的企業(yè)主體責(zé)任。行動計劃明確提出在3年期間基本建立工控安全管理工作體系，全社會工控安全意識明顯增強(qiáng)。要建成全國在線監(jiān)測網(wǎng)絡(luò)，應(yīng)急資源庫，仿真測試、信息共享、信息通報平臺等，使態(tài)勢感知、安全防護(hù)、應(yīng)急處置能力顯著提升。要培育一批影響力大、競爭力強(qiáng)的龍頭骨干企業(yè)，創(chuàng)建國家新型工業(yè)化工業(yè)信息安全產(chǎn)業(yè)示范基地，使產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。行動計劃的目的就是要充分動員我國科技界和工業(yè)界的力量，應(yīng)對工控網(wǎng)絡(luò)安全的挑戰(zhàn)。

長期以來，工業(yè)控制系統(tǒng)在功能安全方面都已有完整的法規(guī)標(biāo)準(zhǔn)和成熟的技術(shù)，現(xiàn)在又提出如何在不降低功能安全的情況下考慮加強(qiáng)網(wǎng)絡(luò)安全。如此針對性的行動計劃和指導(dǎo)意見短期內(nèi)密集出臺，前所未有，確實是一個全新的課題。將工業(yè)控制系統(tǒng)作為特殊的一種工廠企業(yè)內(nèi)的信息網(wǎng)絡(luò)系統(tǒng)，從網(wǎng)絡(luò)拓?fù)涑霭l(fā)進(jìn)行多層防護(hù)，嚴(yán)格與互聯(lián)網(wǎng)物理隔離。現(xiàn)實情況是，工廠重點關(guān)注的是“人防”和“物防”，集中在對人員授權(quán)和對實物保護(hù)，但在網(wǎng)絡(luò)安全技術(shù)方面仍存在諸多不足。在實際運(yùn)作過程中，伴隨著文件交互需要，系統(tǒng)升級、更新、運(yùn)維需要和人為過失及來自內(nèi)部威脅等，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)并非處于絕對的隔離狀態(tài)，因此隨時有被敵對或不法分子發(fā)起網(wǎng)絡(luò)攻擊的可能性。各種工廠企業(yè)尤其需要改變“物理隔離”等于“安全”的觀念，及時建立行之有效的立體防護(hù)，增加“技防”手段，開發(fā)創(chuàng)新的安全技術(shù)，把遭受網(wǎng)絡(luò)攻擊的可能性和破壞性降到最低限度。

4　極限網(wǎng)絡(luò)安全理念

到目前為止，所有工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的方法和技術(shù)，無外乎是采取劃分邊界、系統(tǒng)隔離、認(rèn)證授權(quán)、物理防護(hù)、配置管理等方案，安裝各種網(wǎng)關(guān)、網(wǎng)閘、工業(yè)防火墻、殺毒軟件等硬軟件設(shè)備。顯然這些方法和技術(shù)，只是當(dāng)前有效和局部有效的，是以降低工業(yè)控制系統(tǒng)的功能性能為代價的，還需要不斷升級改版，人工因素影響較重。當(dāng)前隨著新工業(yè)革命信息技術(shù)的發(fā)展，還有應(yīng)用大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等解決網(wǎng)絡(luò)安全問題。如若采用各種新型人工智能手段，也是需要時間進(jìn)行所謂深度學(xué)習(xí)的，不能發(fā)揮出實時效能，尚存在大量不確定性。因此所有這些技術(shù)和方法，雖然非常必要，但不能徹底解決網(wǎng)絡(luò)安全難題。有鑒于此，現(xiàn)在所有工業(yè)企業(yè)領(lǐng)域相關(guān)的人士，無論是政府領(lǐng)導(dǎo)層、企業(yè)管理層、還是基層技術(shù)人員，無論是出于常識理性還是責(zé)任擔(dān)當(dāng)，大家都在思考和詢問：工業(yè)控制系統(tǒng)網(wǎng)絡(luò)能否實現(xiàn)某種意義上的絕對安全或稱極限安全（Ultimate CyberSecurity）？

一般的絕對安全或極限安全是不存在的。但如能用工程技術(shù)的方法，實時感知到由個人、團(tuán)體或國家組織的人類惡意智力活動通過網(wǎng)絡(luò)帶給工業(yè)控制系統(tǒng)的不確定性、不可知性和多變性現(xiàn)象，能將工業(yè)系統(tǒng)最終導(dǎo)向安全運(yùn)行，就是實現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的極限安全。目前的工業(yè)控制系統(tǒng)，來自于各個供應(yīng)商，區(qū)別于一般的計算機(jī)信息管理網(wǎng)絡(luò)系統(tǒng)，其對于工廠設(shè)備的控制動作都是根據(jù)控制組態(tài)發(fā)出的，控制組態(tài)又是經(jīng)逐項設(shè)計并通過調(diào)試驗證而完成的。如果控制系統(tǒng)網(wǎng)絡(luò)受到攻擊，最令人擔(dān)心的是操縱員當(dāng)時并不知情，仍然絕對地依靠控制系統(tǒng)進(jìn)行監(jiān)視和控制。如果能感知到工業(yè)控制系統(tǒng)沒有按照既定的控制功能設(shè)計組態(tài)運(yùn)行，就有理由斷定系統(tǒng)網(wǎng)絡(luò)可能受到不明的網(wǎng)絡(luò)攻擊。在這時，工廠操縱員若能及時切換到手動操作，憑借其經(jīng)過嚴(yán)格訓(xùn)練的專業(yè)能力，完全可以保證工廠系統(tǒng)達(dá)到最終的安全狀態(tài)。這就是所謂工業(yè)控制系統(tǒng)極限安全的理念。

顯然，研發(fā)一種與基于供應(yīng)商平臺的真實工業(yè)控制系統(tǒng)并列運(yùn)行的虛擬控制系統(tǒng)，從而有望實現(xiàn)控制系統(tǒng)網(wǎng)絡(luò)的極限安全，如圖1所示。要想獲得工業(yè)控制系統(tǒng)的所謂“極限”安全，根本觀念上就是要對基于供應(yīng)商平臺的工業(yè)控制系統(tǒng)運(yùn)行零信任。零信任是根植于“永不信任、始終驗證”的原則之上。由于虛擬控制系統(tǒng)與真實工業(yè)控制系統(tǒng)采用了相同的設(shè)計和組態(tài)，虛擬軟件甚至可以是控制組態(tài)的編譯轉(zhuǎn)換版本，故而能將虛擬控制系統(tǒng)作為始終驗證和實時判定的依據(jù)，兩路運(yùn)行數(shù)據(jù)同時送入安全監(jiān)視模塊實時進(jìn)行比較判斷。當(dāng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)被攻擊、被誤導(dǎo)、被阻斷、被篡改，而工廠運(yùn)行操縱員無法進(jìn)行真?zhèn)闻袛鄷r，安全監(jiān)視模塊能給出正確的結(jié)論和報警，可以強(qiáng)制切換為手動，從而實現(xiàn)極限安全。

圖1 工業(yè)控制系統(tǒng)的極限安全解決方案

5 虛擬控制系統(tǒng)實現(xiàn)

研發(fā)虛擬控制系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全，是極其艱巨的一種軟硬件工程任務(wù)，需要各方面大力合作和行業(yè)創(chuàng)新。特別是需要采用比供應(yīng)商平臺更加安全的計算技術(shù)平臺，要進(jìn)行大量編程和調(diào)試工作，需全面借鑒已有的工業(yè)控制系統(tǒng)組態(tài)，同時要考慮相對獨(dú)立于供應(yīng)商的工業(yè)控制系統(tǒng)系列產(chǎn)品。為了確保安全，就要基于異構(gòu)計算平臺，實現(xiàn)虛擬控制系統(tǒng)的運(yùn)行和安全監(jiān)控。目前，采用現(xiàn)場可編程門陣列（FPGA,FieldProgrammable GateArray）技術(shù)方案是最佳選擇。近年在美國和歐洲，F(xiàn)PGA技術(shù)已經(jīng)在工業(yè)控制系統(tǒng)上有了部分成功的設(shè)計和應(yīng)用，但目前還沒有應(yīng)用到解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題的先例。本文提出的方案是：開發(fā)由控制組態(tài)轉(zhuǎn)換到FPGA平臺的軟件工具，直接生成基于FPGA這種安全異構(gòu)的虛擬控制系統(tǒng)，進(jìn)行調(diào)試綜合后寫入門陣列芯片組，實現(xiàn)異構(gòu)平臺上的虛擬控制系統(tǒng)運(yùn)行。本文作者團(tuán)隊在這方面已成功進(jìn)行了研究開發(fā)實驗，針對核反應(yīng)堆跳堆保護(hù)系列邏輯，在FPGA平臺上實現(xiàn)的虛擬控制系統(tǒng)邏輯電路設(shè)計部分結(jié)果，如圖2所示。

圖2 核反應(yīng)堆跳堆保護(hù)邏輯組態(tài)及其 FPGA虛擬控制系統(tǒng)電路設(shè)計

6 結(jié)束語

為了應(yīng)對當(dāng)前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全所面臨的嚴(yán)峻挑戰(zhàn)，根據(jù)已有的虛擬控制系統(tǒng)技術(shù)基礎(chǔ)和最新的研發(fā)實驗，在異構(gòu)的FPGA平臺上實現(xiàn)工業(yè)控制系統(tǒng)的虛擬控制系統(tǒng)運(yùn)行和實時數(shù)據(jù)比對，在網(wǎng)絡(luò)攻擊時能及時正確地切換到操縱員手動，達(dá)到工業(yè)控制系統(tǒng)的極限網(wǎng)絡(luò)安全，是可能的，也是可行的。

作者簡介

冷　杉（1958-），男，江蘇鎮(zhèn)江人，工學(xué)博士，教授，現(xiàn)就職于東南大學(xué)，研究方向主要為大型能源系統(tǒng)的建模、仿真、數(shù)據(jù)、控制和安全等方面技術(shù)研究及其相應(yīng)的工業(yè)軟件開發(fā)。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》