摘要：工業(yè)控制系統(tǒng)正面臨著新的非傳統(tǒng)安全問題即網(wǎng)絡安全的威脅。網(wǎng)絡攻擊這種由人類惡意智力帶來的不確定性、不可知性和多變性，恰恰是工廠企業(yè)目前最不能確保正確應對的安全挑戰(zhàn)。現(xiàn)在各種工業(yè)控制系統(tǒng)的網(wǎng)絡安全解決方案，雖然非常必要，但還不能徹底解決網(wǎng)絡安全難題。根據(jù)已有的虛擬控制系統(tǒng)技術基礎和最新的研發(fā)實驗，本文創(chuàng)新性地提出，在異構的FPGA平臺上實現(xiàn)的虛擬控制系統(tǒng)運行，并與基于供應商平臺的真實控制系統(tǒng)實時數(shù)據(jù)比對，在網(wǎng)絡遭受攻擊時能及時正確地切換到操縱員手動，達到工業(yè)控制系統(tǒng)的極限網(wǎng)絡安全，是可能的，也是可行的。

關鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡安全；虛擬控制系統(tǒng)

Abstract: The security of industrial control system is facing new, untraditional threats from the cyber networks. The network attacks from evil intelligence are uncertain, incomprehensible and variable, which seriously challenge the safe operation of plants and factories. Although all current cyber-network-security solutions are still necessary, they have not completely solved the problem. Based on our matured prior-arts of virtual control system and our most recent R&D experiences, we propose an innovative solution for the cyber-network-security of the industrial control system in plants and factories: real-time data alignment with virtual control system implemented on the heterogeneous FPGA platform. With such heterogeneous system in parallel, the main control system can be switched to operator-manual-mode correctly and instantaneously. Thus, ultimate cyber-security of industrial control system becomes possible and feasible.

Key words: Industrial control system; Cyber security; Virtual control system

1　引言

安全，是一切工業(yè)系統(tǒng)設計、建造、運行和維護的核心。自從數(shù)字計算機引入工廠企業(yè)以來，實施各種工業(yè)系統(tǒng)運行全程控制和全范圍安全保護，首先是交由工業(yè)控制系統(tǒng)自動完成。毫無疑問，工業(yè)控制系統(tǒng)自身的安全，對工廠企業(yè)安全、經(jīng)濟運行影響極大。一方面，控制系統(tǒng)的誤動信號會導致工廠的虛假保護動作，產(chǎn)生安全隱患。另一方面，控制系統(tǒng)的拒動信號會導致工廠在異常工況下不能正常啟動保護動作，這是一種危險性故障，嚴重影響系統(tǒng)或設備的安全性。為了保證對工業(yè)安全至關重要的控制系統(tǒng)的安全性，實施分散化，將控制組態(tài)下載到各分布式控制器中運行等。工業(yè)安全屬于高等級的經(jīng)濟安全、環(huán)境安全和社會安全，可以說工業(yè)控制系統(tǒng)是最重要的系統(tǒng)之一。但到目前為止，我們能應對的都是工業(yè)控制系統(tǒng)的傳統(tǒng)安全問題。如今，工業(yè)控制系統(tǒng)又面臨著一種新的安全問題，即網(wǎng)絡安全（CyberSecurity）。

2　網(wǎng)絡安全挑戰(zhàn)

目前工業(yè)控制系統(tǒng)越來越開放，網(wǎng)絡通信和軟件技術越來越先進，致使傳統(tǒng)網(wǎng)絡信息安全威脅逐漸向工控系統(tǒng)擴散，產(chǎn)生了新的非傳統(tǒng)安全問題。工業(yè)控制系統(tǒng)網(wǎng)絡面臨著安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等嚴峻挑戰(zhàn)。大型工廠企業(yè)歷來是安全的焦點。工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)的核心，在實現(xiàn)了的先進性可靠性控制的同時，卻可能日益成為黑客的網(wǎng)絡攻擊目標。要清醒地認識到，工業(yè)控制系統(tǒng)網(wǎng)絡安全受到威脅，不只是數(shù)據(jù)失密和隱私泄漏這么簡單，還可能引發(fā)一系列涉及安全的嚴重事故，導致人員生命、基礎設施和生態(tài)環(huán)境等不可挽回的損害。

工業(yè)控制系統(tǒng)， 包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、工業(yè)控制計算機（IPC）、遠程測控單元（RTU）等，原是各供應商按照完善工廠安全控制功能和提高運行控制效率來設計、研發(fā)和部署的，所應對的是確定的控制需求，要求達到實時響應，能消除隨機擾動和設備材料疲勞損壞等傳統(tǒng)問題。現(xiàn)在網(wǎng)絡安全問題，卻是來自網(wǎng)絡或針對網(wǎng)絡的不確定性攻擊。其實，在多種多樣工業(yè)和社會系統(tǒng)攻擊的事件背后，其攻擊發(fā)起者和攻擊目的是有所不同的。首先第一種攻擊會來自于黑客個體。早期針對工業(yè)和社會的攻擊者以黑客個體為主，其動因多是出于冒險、炫技、報復、泄憤、勒索、挑戰(zhàn)權威等。由于工廠的網(wǎng)絡一般與公眾互聯(lián)網(wǎng)隔離，因此能突破物理隔離的限制發(fā)起攻擊并得手的黑客會得到出奇的自我實現(xiàn)式的滿足。第二種攻擊會來自于大國暗戰(zhàn)。自從伊朗核設施“震網(wǎng)”事件后，大國推手作為始作俑者，由國家部隊發(fā)起對工廠企業(yè)基礎設施的破壞。近年來的攻擊事件，背后都閃動著國家黑客部隊的影子。第三種攻擊會來自于恐怖分子。由于大型工業(yè)企業(yè)和社會設施有一定的地標效應，近年來隨著恐怖主義的泛濫，也逐漸受到轉(zhuǎn)戰(zhàn)網(wǎng)絡的恐怖分子們的關注，其對工業(yè)系統(tǒng)的威脅也顯得日益嚴重。總之，當引入網(wǎng)絡安全威脅之后，工業(yè)控制系統(tǒng)就需要增加應對由個人、團隊和國家集中開發(fā)惡意智力帶來的不確定性、不可知性和多變性這些非傳統(tǒng)問題了，這恰恰是目前工業(yè)企業(yè)最不能夠確保正確應對的安全挑戰(zhàn)。

 3　網(wǎng)絡安全應對

鑒于近年全球工業(yè)控制網(wǎng)絡安全形勢日趨嚴峻，各發(fā)達國家政府機構、國際組織、國家實驗室和大型跨國技術公司罕見地多次召開專題會議進行公開的交流和研判。我國工業(yè)領域控制系統(tǒng)的現(xiàn)狀是：核心控制技術開放度極高，長期依賴進口，大量裝備國外系統(tǒng)，造成工控安全意識薄弱，安全責任旁落，安全防護缺失，工控信息安全產(chǎn)業(yè)才剛剛起步。在這一背景下，2016年，國務院發(fā)布的《國家十三五信息化規(guī)劃》，明確在十三五期間要加強網(wǎng)絡安全態(tài)勢感知、監(jiān)測預警和應急處置能力建設，加強金融、能源、電力、通信、交通等領域關鍵信息基礎設施核心技術裝備的威脅感知和持續(xù)防御能力建設，增強網(wǎng)絡安全防御能力和威懾能力。

我國網(wǎng)絡安全領域最高法律《中華人民共和國網(wǎng)絡安全法》自2017年6月1日起施行。法律定義網(wǎng)絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。網(wǎng)絡安全法進一步定義網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。網(wǎng)絡安全法專門列出了關鍵信息基礎設施的運行安全，明確國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護，鼓勵開發(fā)新技術實現(xiàn)網(wǎng)絡安全。顯然工業(yè)控制系統(tǒng)網(wǎng)絡安全屬于這一范疇。

2017年12月，我國工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》，首次確定了工業(yè)控制系統(tǒng)信息網(wǎng)絡安全的企業(yè)主體責任。行動計劃明確提出在3年期間基本建立工控安全管理工作體系，全社會工控安全意識明顯增強。要建成全國在線監(jiān)測網(wǎng)絡，應急資源庫，仿真測試、信息共享、信息通報平臺等，使態(tài)勢感知、安全防護、應急處置能力顯著提升。要培育一批影響力大、競爭力強的龍頭骨干企業(yè)，創(chuàng)建國家新型工業(yè)化工業(yè)信息安全產(chǎn)業(yè)示范基地，使產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。行動計劃的目的就是要充分動員我國科技界和工業(yè)界的力量，應對工控網(wǎng)絡安全的挑戰(zhàn)。

長期以來，工業(yè)控制系統(tǒng)在功能安全方面都已有完整的法規(guī)標準和成熟的技術，現(xiàn)在又提出如何在不降低功能安全的情況下考慮加強網(wǎng)絡安全。如此針對性的行動計劃和指導意見短期內(nèi)密集出臺，前所未有，確實是一個全新的課題。將工業(yè)控制系統(tǒng)作為特殊的一種工廠企業(yè)內(nèi)的信息網(wǎng)絡系統(tǒng)，從網(wǎng)絡拓撲出發(fā)進行多層防護，嚴格與互聯(lián)網(wǎng)物理隔離。現(xiàn)實情況是，工廠重點關注的是“人防”和“物防”，集中在對人員授權和對實物保護，但在網(wǎng)絡安全技術方面仍存在諸多不足。在實際運作過程中，伴隨著文件交互需要，系統(tǒng)升級、更新、運維需要和人為過失及來自內(nèi)部威脅等，工業(yè)控制系統(tǒng)網(wǎng)絡并非處于絕對的隔離狀態(tài)，因此隨時有被敵對或不法分子發(fā)起網(wǎng)絡攻擊的可能性。各種工廠企業(yè)尤其需要改變“物理隔離”等于“安全”的觀念，及時建立行之有效的立體防護，增加“技防”手段，開發(fā)創(chuàng)新的安全技術，把遭受網(wǎng)絡攻擊的可能性和破壞性降到最低限度。

4　極限網(wǎng)絡安全理念

到目前為止，所有工業(yè)控制系統(tǒng)網(wǎng)絡安全的方法和技術，無外乎是采取劃分邊界、系統(tǒng)隔離、認證授權、物理防護、配置管理等方案，安裝各種網(wǎng)關、網(wǎng)閘、工業(yè)防火墻、殺毒軟件等硬軟件設備。顯然這些方法和技術，只是當前有效和局部有效的，是以降低工業(yè)控制系統(tǒng)的功能性能為代價的，還需要不斷升級改版，人工因素影響較重。當前隨著新工業(yè)革命信息技術的發(fā)展，還有應用大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等解決網(wǎng)絡安全問題。如若采用各種新型人工智能手段，也是需要時間進行所謂深度學習的，不能發(fā)揮出實時效能，尚存在大量不確定性。因此所有這些技術和方法，雖然非常必要，但不能徹底解決網(wǎng)絡安全難題。有鑒于此，現(xiàn)在所有工業(yè)企業(yè)領域相關的人士，無論是政府領導層、企業(yè)管理層、還是基層技術人員，無論是出于常識理性還是責任擔當，大家都在思考和詢問：工業(yè)控制系統(tǒng)網(wǎng)絡能否實現(xiàn)某種意義上的絕對安全或稱極限安全（Ultimate CyberSecurity）？

一般的絕對安全或極限安全是不存在的。但如能用工程技術的方法，實時感知到由個人、團體或國家組織的人類惡意智力活動通過網(wǎng)絡帶給工業(yè)控制系統(tǒng)的不確定性、不可知性和多變性現(xiàn)象，能將工業(yè)系統(tǒng)最終導向安全運行，就是實現(xiàn)了工業(yè)控制系統(tǒng)網(wǎng)絡的極限安全。目前的工業(yè)控制系統(tǒng)，來自于各個供應商，區(qū)別于一般的計算機信息管理網(wǎng)絡系統(tǒng)，其對于工廠設備的控制動作都是根據(jù)控制組態(tài)發(fā)出的，控制組態(tài)又是經(jīng)逐項設計并通過調(diào)試驗證而完成的。如果控制系統(tǒng)網(wǎng)絡受到攻擊，最令人擔心的是操縱員當時并不知情，仍然絕對地依靠控制系統(tǒng)進行監(jiān)視和控制。如果能感知到工業(yè)控制系統(tǒng)沒有按照既定的控制功能設計組態(tài)運行，就有理由斷定系統(tǒng)網(wǎng)絡可能受到不明的網(wǎng)絡攻擊。在這時，工廠操縱員若能及時切換到手動操作，憑借其經(jīng)過嚴格訓練的專業(yè)能力，完全可以保證工廠系統(tǒng)達到最終的安全狀態(tài)。這就是所謂工業(yè)控制系統(tǒng)極限安全的理念。

顯然，研發(fā)一種與基于供應商平臺的真實工業(yè)控制系統(tǒng)并列運行的虛擬控制系統(tǒng)，從而有望實現(xiàn)控制系統(tǒng)網(wǎng)絡的極限安全，如圖1所示。要想獲得工業(yè)控制系統(tǒng)的所謂“極限”安全，根本觀念上就是要對基于供應商平臺的工業(yè)控制系統(tǒng)運行零信任。零信任是根植于“永不信任、始終驗證”的原則之上。由于虛擬控制系統(tǒng)與真實工業(yè)控制系統(tǒng)采用了相同的設計和組態(tài)，虛擬軟件甚至可以是控制組態(tài)的編譯轉(zhuǎn)換版本，故而能將虛擬控制系統(tǒng)作為始終驗證和實時判定的依據(jù)，兩路運行數(shù)據(jù)同時送入安全監(jiān)視模塊實時進行比較判斷。當工業(yè)控制系統(tǒng)網(wǎng)絡被攻擊、被誤導、被阻斷、被篡改，而工廠運行操縱員無法進行真?zhèn)闻袛鄷r，安全監(jiān)視模塊能給出正確的結(jié)論和報警，可以強制切換為手動，從而實現(xiàn)極限安全。

圖1 工業(yè)控制系統(tǒng)的極限安全解決方案

5 虛擬控制系統(tǒng)實現(xiàn)

研發(fā)虛擬控制系統(tǒng)實現(xiàn)網(wǎng)絡安全，是極其艱巨的一種軟硬件工程任務，需要各方面大力合作和行業(yè)創(chuàng)新。特別是需要采用比供應商平臺更加安全的計算技術平臺，要進行大量編程和調(diào)試工作，需全面借鑒已有的工業(yè)控制系統(tǒng)組態(tài)，同時要考慮相對獨立于供應商的工業(yè)控制系統(tǒng)系列產(chǎn)品。為了確保安全，就要基于異構計算平臺，實現(xiàn)虛擬控制系統(tǒng)的運行和安全監(jiān)控。目前，采用現(xiàn)場可編程門陣列（FPGA,FieldProgrammable GateArray）技術方案是最佳選擇。近年在美國和歐洲，F(xiàn)PGA技術已經(jīng)在工業(yè)控制系統(tǒng)上有了部分成功的設計和應用，但目前還沒有應用到解決工業(yè)控制系統(tǒng)網(wǎng)絡安全問題的先例。本文提出的方案是：開發(fā)由控制組態(tài)轉(zhuǎn)換到FPGA平臺的軟件工具，直接生成基于FPGA這種安全異構的虛擬控制系統(tǒng)，進行調(diào)試綜合后寫入門陣列芯片組，實現(xiàn)異構平臺上的虛擬控制系統(tǒng)運行。本文作者團隊在這方面已成功進行了研究開發(fā)實驗，針對核反應堆跳堆保護系列邏輯，在FPGA平臺上實現(xiàn)的虛擬控制系統(tǒng)邏輯電路設計部分結(jié)果，如圖2所示。

圖2 核反應堆跳堆保護邏輯組態(tài)及其 FPGA虛擬控制系統(tǒng)電路設計

6 結(jié)束語

為了應對當前工業(yè)控制系統(tǒng)網(wǎng)絡安全所面臨的嚴峻挑戰(zhàn)，根據(jù)已有的虛擬控制系統(tǒng)技術基礎和最新的研發(fā)實驗，在異構的FPGA平臺上實現(xiàn)工業(yè)控制系統(tǒng)的虛擬控制系統(tǒng)運行和實時數(shù)據(jù)比對，在網(wǎng)絡攻擊時能及時正確地切換到操縱員手動，達到工業(yè)控制系統(tǒng)的極限網(wǎng)絡安全，是可能的，也是可行的。

作者簡介

冷　杉（1958-），男，江蘇鎮(zhèn)江人，工學博士，教授，現(xiàn)就職于東南大學，研究方向主要為大型能源系統(tǒng)的建模、仿真、數(shù)據(jù)、控制和安全等方面技術研究及其相應的工業(yè)軟件開發(fā)。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》