今日頭條
官方微信
官方抖音
資訊頻道
摘要:近年來,工業(yè)控制系統(tǒng)遭受惡意攻擊事件的頻繁報(bào)道,使得分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問題引起了極大的關(guān)注。本文通過分析傳統(tǒng)IT系統(tǒng)與分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全目標(biāo),揭示了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題的重要性、必要性和緊迫性。詳細(xì)介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全研究的當(dāng)前最新進(jìn)展。最后,從系統(tǒng)理論的角度探討了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全研究存在的問題并提出了一些見解。
關(guān)鍵詞:分布式網(wǎng)絡(luò)控制系統(tǒng);IT系統(tǒng)信息安全;信息物理安全
Abstract: With a growing number of reports about industry control systems attack, the security issue for distributed networked control systems (DNCSs) has been paid unparalleled attention. In this paper, the objective of information security is analyzed from aspect of both traditional IT systems and DNCSs, which recognizes the importance, necessity and urgency of cyber physical security study in DNCSs. Moreover, a literature review is given to show the latest progress in this area. Finally, several discussions are presented from the viewpoint of system theory to giving some suggestions in dealing with cyber physical security in DNCSs.
Key words: Distributed networked control systems; Information security of IT systems; Cyber physical security
1 引言
隨著控制對(duì)象日益復(fù)雜、分布區(qū)域不斷擴(kuò)大,傳統(tǒng)的點(diǎn)對(duì)點(diǎn)式的通訊方式已經(jīng)不能滿足工業(yè)控制某些新的需求。把網(wǎng)絡(luò)引入控制系統(tǒng),采用分布式的控制方式克服了傳統(tǒng)控制方式的很多缺點(diǎn),使得分布式網(wǎng)絡(luò)控制系統(tǒng)(Distributed Networked Control System, DNCS)在工業(yè)界得到越來越多的關(guān)注和應(yīng)用[1]。然而,傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對(duì)生產(chǎn)過程數(shù)據(jù)的日益關(guān)注,工業(yè)控制系統(tǒng)越來越多地采用開放Internet技術(shù)實(shí)現(xiàn)與企業(yè)網(wǎng),甚至是物聯(lián)網(wǎng)的互連,使得一直以來被認(rèn)為相對(duì)孤立和相對(duì)安全的工業(yè)控制系統(tǒng)在接入物聯(lián)網(wǎng)后成為黑客、不法分子,甚至網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)。作為工業(yè)控制系統(tǒng)神經(jīng)中樞的SCADA(Supervisory Control And Data Acquisition)系統(tǒng),即數(shù)據(jù)采集、監(jiān)視與控制系統(tǒng),是由計(jì)算機(jī)設(shè)備、工業(yè)過程控制組件和網(wǎng)絡(luò)組成的典型的分布式網(wǎng)絡(luò)控制系統(tǒng),更是成為攻擊目標(biāo)的中心[2-3]。一些專門針對(duì)分布式網(wǎng)絡(luò)控制系統(tǒng)的計(jì)算機(jī)病毒也逐漸出現(xiàn)并展示出巨大的破壞力。如2009年在拉斯維加斯召開的被譽(yù)為學(xué)術(shù)派的“黑客大會(huì)”上美國(guó)網(wǎng)絡(luò)安全設(shè)計(jì)和部署咨詢公司(IOActive)發(fā)布了一種智能電表的蠕蟲病毒,并現(xiàn)場(chǎng)模擬演示了一個(gè)“恐怖”的場(chǎng)景:一種智能電表的蠕蟲病毒竟能讓1.5萬戶家庭的電力供應(yīng)在24小時(shí)內(nèi)陷入癱瘓,震驚了美國(guó)安全部和能源部。2010年9月一個(gè)
名為“震網(wǎng)”(Stuxnet)的特種病毒席卷了全球工業(yè)界,感染了全球超過45000個(gè)網(wǎng)絡(luò),徹底將工業(yè)控制系統(tǒng)的安全問題暴露出來,引起了世界各國(guó)的高度重視。據(jù)權(quán)威工業(yè)安全事件信息庫(kù)(Repository of IndustrialSecurity Incidents, RISI)統(tǒng)計(jì),截至2011年10月,全球己發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件,超過了過去10年安全事件的總和。其中,電力、石油、交通和污水處理等分布距離遠(yuǎn)、生產(chǎn)單位分散的重要基礎(chǔ)行業(yè),因其廣域分布的特性使得入侵者更容易通過網(wǎng)絡(luò)遠(yuǎn)程操縱控制系統(tǒng),給各國(guó)基礎(chǔ)行業(yè)帶來了巨大安全隱患。因此,分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全問題引起了國(guó)內(nèi)外諸多研究工作者的關(guān)注,成為國(guó)際自動(dòng)控制領(lǐng)域進(jìn)入21世紀(jì)以來的一個(gè)熱點(diǎn)研究課題[4-5]。本綜述將從控制和IT領(lǐng)域兩個(gè)方面介紹分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究現(xiàn)狀,基本方法及其存在的主要安全控制問題。
2 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全問題
分布式網(wǎng)絡(luò)控制系統(tǒng)是由通信網(wǎng)絡(luò)組成閉環(huán)回路的空間分布式控制系統(tǒng),通常含有四個(gè)基本組成單元,即傳感器、控制器、執(zhí)行器和通信網(wǎng)絡(luò)。其中,通信網(wǎng)絡(luò)是為了連接分布在不同空間位置上的組成單元,其基本結(jié)構(gòu)如圖1所示。
與傳統(tǒng)的點(diǎn)對(duì)點(diǎn)控制結(jié)構(gòu)相比,DNCS具有資源共享、成本低、靈活性高、安裝維護(hù)簡(jiǎn)單等優(yōu)點(diǎn),已經(jīng)成為學(xué)術(shù)界和工業(yè)界的研究熱點(diǎn)之一[6]。然而,隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,最初依賴于專用協(xié)議和系統(tǒng)封閉性的安全保障逐漸被打破。在當(dāng)前工業(yè)控制系統(tǒng)廣泛采用標(biāo)準(zhǔn)、通用協(xié)議、軟硬件系統(tǒng)以及與其它網(wǎng)絡(luò)互連的形勢(shì)下,系統(tǒng)越來越面臨著病毒、木馬、黑客入侵、拒絕服務(wù)等來自于網(wǎng)絡(luò)的威脅,其安全問題日益突出。
2.1 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全現(xiàn)狀
近年來,分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全大事件報(bào)道不絕于耳,如:
·2007年,攻擊者入侵加拿大一個(gè)水利SCADA控制系統(tǒng),破壞了取水調(diào)度的控制計(jì)算機(jī);
·2008年,攻擊者入侵波蘭某城市地鐵系統(tǒng),通過電視遙控器改變軌道扳道器,致四節(jié)車廂脫軌;
·2010年,西門子首次監(jiān)測(cè)到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒,也稱為震網(wǎng)病毒;伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng);
·2011年,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;·2011年,微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報(bào)數(shù)據(jù);
·2012年,兩座美國(guó)電廠遭USB病毒攻擊,感染了每個(gè)工廠的工控系統(tǒng),可被竊取數(shù)據(jù);
·2012年,發(fā)現(xiàn)攻擊多個(gè)中東國(guó)家的惡意程序Flame火焰病毒,它能收集各行業(yè)的敏感信息。
我國(guó)同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
實(shí)際上,美國(guó)早在20年前就已經(jīng)在政策層面上關(guān)注工業(yè)控制系統(tǒng)信息安全問題[7-10]。歷經(jīng)克林頓、布什及奧巴馬三屆政府,發(fā)布了一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全方面的國(guó)家法規(guī)戰(zhàn)略。如2002年美國(guó)國(guó)家研究理事會(huì)將“控制系統(tǒng)攻擊”作為需要“緊急關(guān)注”的事項(xiàng)[11],2004年,美國(guó)政府問責(zé)署發(fā)布《防護(hù)控制系統(tǒng)的挑戰(zhàn)和工作》報(bào)告[12],2006年發(fā)布《能源行業(yè)防護(hù)控制系統(tǒng)路線圖》[13],2009年出臺(tái)國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃(NIPP)[14]和2011年發(fā)布《實(shí)現(xiàn)能源供應(yīng)系統(tǒng)信息安全路線圖》[15]等。北美電力可靠性委員會(huì)(NERC)還專門制定了用于關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)的CIP系列標(biāo)準(zhǔn),并由美國(guó)聯(lián)邦監(jiān)管委員會(huì)(FERC)于2009年批準(zhǔn)成為強(qiáng)制性標(biāo)準(zhǔn)。美國(guó)在國(guó)家層面上工業(yè)控制系統(tǒng)信息安全工作還包括2個(gè)國(guó)家級(jí)專項(xiàng)計(jì)劃[16]:美國(guó)能源部(DOE)的《國(guó)家SCADA測(cè)試床計(jì)劃(NSTB)》 [17-18]和美國(guó)國(guó)土安全部(DHS)的《控制系統(tǒng)安全計(jì)劃(CSSP)》 [19]。美國(guó)的工控系統(tǒng)已經(jīng)逐步形成完整的信息安全管理體制和技術(shù)體系。與美國(guó)相比,歐盟及歐洲各國(guó)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全的工作起步較晚。但是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和工業(yè)控制系統(tǒng)信息安全,歐洲已經(jīng)開展了一系列的大型專項(xiàng)計(jì)劃。例如2004年至2010年歐共體委員會(huì)發(fā)布一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的報(bào)告[20-21];歐洲網(wǎng)絡(luò)和信息安全局(ENISA)在2011年12月發(fā)布《保護(hù)工業(yè)控制系統(tǒng)》系列報(bào)告,全面總結(jié)當(dāng)前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀[22],充分反映出分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全面臨著嚴(yán)峻的考驗(yàn)。工控系統(tǒng)安全性引起了我國(guó)政府的高度重視,國(guó)家發(fā)改委自2010年起開始組織信息安全專項(xiàng),將工業(yè)控制系統(tǒng)安全問題作為獨(dú)立領(lǐng)域重點(diǎn)支持[23]。國(guó)家自然科學(xué)基金委也加大對(duì)工控系統(tǒng)安全性研究立項(xiàng)和資助,重點(diǎn)資助了湖南大學(xué)和浙江大學(xué)開展智能電網(wǎng)和工控系統(tǒng)安全脆弱性評(píng)估與分析研究。
2.2 分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的比較
分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題,面臨著來自不同方面的威脅,如管理信息層面臨來自互聯(lián)網(wǎng)的攻擊,也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進(jìn)入工控網(wǎng),一直到現(xiàn)場(chǎng)網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作,最嚴(yán)重的要屬第三方運(yùn)維人員對(duì)現(xiàn)場(chǎng)設(shè)備的操作;還有遠(yuǎn)程撥號(hào)的攻擊,有現(xiàn)場(chǎng)及野外搭線的威脅等。當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險(xiǎn)重點(diǎn)不同,比如軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密;石化強(qiáng)調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。國(guó)際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來源,也從策略程序、平臺(tái)及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險(xiǎn)和脆弱性。這些都從不同角度說明分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全既包括SCADA、DCS等信息物理融合系統(tǒng)自身的信息安全,又包括工控系統(tǒng)對(duì)相互依賴的關(guān)鍵基礎(chǔ)設(shè)施的影響。
分布式網(wǎng)絡(luò)控制系統(tǒng)會(huì)遭遇到與傳統(tǒng)IT系統(tǒng)相同的安全問題,且還會(huì)遭遇到很多不同于傳統(tǒng)IT技術(shù)的安全問題,其根源在于各自的安全目標(biāo)不同。在傳統(tǒng)的IT信息技術(shù)領(lǐng)域,通常將機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱為安全的三種基本屬性,并通常認(rèn)為機(jī)密性的優(yōu)先級(jí)最高,完整性次之,可用性最低。而分布式網(wǎng)絡(luò)控制系統(tǒng)的安全目標(biāo)則正好相反,可用性的優(yōu)先級(jí)最高。
其中可用性是保證所有資源及信息都處于可用狀態(tài);完整性是保證所有信息均保持完整正確,沒有被篡改、刪除;機(jī)密性是保證正確的人可以訪問正確的信息。與傳統(tǒng)的IT系統(tǒng)不同,分布式網(wǎng)絡(luò)控制系統(tǒng)將可用性放在第一位,因?yàn)楣I(yè)數(shù)據(jù)都是原始格式,需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線停機(jī)或誤動(dòng)作都有可能導(dǎo)致巨大經(jīng)濟(jì)損失,甚至是人員生命危險(xiǎn)和環(huán)境的破壞。當(dāng)控制系統(tǒng)安全保護(hù)層被突破后仍必須保證生產(chǎn)過程的安全,盡量降低對(duì)人員、環(huán)境、資產(chǎn)的破壞。
除此之外,工控系統(tǒng)的實(shí)時(shí)性指標(biāo)也非常重要,且在進(jìn)行安全加固時(shí)各個(gè)系統(tǒng)的側(cè)重點(diǎn)也有所區(qū)別。表1[24]給出了分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)在不同性能指標(biāo)方面的區(qū)別。
3 分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究
考慮網(wǎng)絡(luò)環(huán)境對(duì)控制系統(tǒng)性能和設(shè)計(jì)的影響是分布式網(wǎng)絡(luò)控制系統(tǒng)理論研究的一個(gè)重點(diǎn)。IEEE 會(huì)刊于2001 年[25],2004 年[26]和2007 年[27,28]相繼出版了關(guān)于網(wǎng)絡(luò)化控制系統(tǒng)的專刊,對(duì)網(wǎng)絡(luò)誘導(dǎo)時(shí)延、網(wǎng)絡(luò)數(shù)據(jù)丟失、時(shí)序錯(cuò)亂、調(diào)度優(yōu)化等多個(gè)方面進(jìn)行了論述[29],給出了模糊控制、預(yù)測(cè)控制、自適應(yīng)控制、魯棒控制、多數(shù)率采樣控制、時(shí)間/事件混合驅(qū)動(dòng)等多種先進(jìn)控制算法。但上述研究主要限于考慮通信網(wǎng)絡(luò)在未受到惡意攻擊情況下網(wǎng)絡(luò)自身因素對(duì)控制系統(tǒng)設(shè)計(jì)的外在影響。
當(dāng)系統(tǒng)受到惡意攻擊時(shí),系統(tǒng)接收或傳遞的部分或全部信息可能受到惡意篡改,系統(tǒng)中某些設(shè)備、控制元器件更可能因接到錯(cuò)誤命令遭到破壞或帶來不必要的事故。因此,如何讓系統(tǒng)在受到惡意攻擊后仍能保持一定性能,最大限度降低事故引發(fā)的破壞,是我們自動(dòng)化人致力研究的問題。目前,針對(duì)系統(tǒng)受到信息物理惡意攻擊下的工業(yè)控制系統(tǒng)安全性問題,可以按照攻擊的研究切入點(diǎn)不同主要分為兩類:信息安全防護(hù)和基于系統(tǒng)理論的安全性能分析與安全控制。
3.1 信息安全防護(hù)
信息安全防護(hù)研究主要借鑒IT信息安全方法,通過脆弱性分析和風(fēng)險(xiǎn)評(píng)估,分析系統(tǒng)潛在的系統(tǒng)漏洞和攻擊路徑,結(jié)合工業(yè)控制系統(tǒng)特點(diǎn)設(shè)計(jì)信息安全防護(hù)措施。文[30]給出了一種攻擊圖模型,這種模型搜集了所有可能的網(wǎng)絡(luò)入侵方案,同時(shí)使用多準(zhǔn)則決策技術(shù)來評(píng)估電力控制系統(tǒng)通信網(wǎng)絡(luò)的脆弱性。Ten 等在文[31、32]中提出了一個(gè)基于Petri-nets和攻擊樹模型的脆弱性評(píng)估框架,這個(gè)框架從系統(tǒng)、方案以及通道點(diǎn)三個(gè)層面系統(tǒng)分析了變電站和控制中心的脆弱性,并以負(fù)載丟失的方式衡量了網(wǎng)絡(luò)攻擊可能帶來的損失。面對(duì)網(wǎng)絡(luò)層面存在的風(fēng)險(xiǎn),大量的研究工作聚焦于改進(jìn)舊有的協(xié)議,賦予其適應(yīng)如今趨勢(shì)的安全特性。例如,文[33-35] 提出通過修改ICCP,DNP3和Modbus等傳統(tǒng)SCADA協(xié)議,在保持與現(xiàn)有系統(tǒng)兼容的前提下增強(qiáng)其安全性。此外,考慮到網(wǎng)絡(luò)控制系統(tǒng)對(duì)可用性的嚴(yán)格要求以及傳統(tǒng)加密方法的時(shí)延性,Tsang和Smith在文[36]中提出了一種BITW(網(wǎng)路嵌入式)加密方法。這種方法通過減少加密和認(rèn)證過程中的信息滯留,明顯改善了其時(shí)延性。在認(rèn)證方面,Khurana等在文[37]中定義了電網(wǎng)中認(rèn)證協(xié)議的設(shè)計(jì)準(zhǔn)則。此外,文[38]提出了更靈活的認(rèn)證協(xié)議來保證認(rèn)證的長(zhǎng)期有效性,并為應(yīng)對(duì)密鑰妥協(xié)以及認(rèn)證模塊的脆弱性設(shè)計(jì)了密鑰更新和重塑算法。文[39]針對(duì)智能電網(wǎng)不同的角色具有不同接入權(quán)限的特點(diǎn)提出基于角色的智能電網(wǎng)接入控制模型;文[40]針對(duì)信息物理系統(tǒng)實(shí)時(shí)性要求,設(shè)計(jì)了一種輕量級(jí)兩步共同認(rèn)證協(xié)議;文[41]針對(duì)智能電網(wǎng)網(wǎng)絡(luò)攻擊,設(shè)計(jì)了一種分層入侵檢測(cè)方法。上述基于信息安全方法的研究針對(duì)工業(yè)控制系統(tǒng)角色權(quán)限、實(shí)時(shí)性要求、分層網(wǎng)絡(luò)架構(gòu)等特點(diǎn)提出了安全防護(hù)措施。目前國(guó)內(nèi)工業(yè)控制系統(tǒng)安全的研究重點(diǎn)在信息安全防護(hù)技術(shù)的研發(fā)。在工業(yè)控制系統(tǒng)安全脆弱性分析和攻擊建模方面,文[42]研究了基于攻擊圖的控制網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)攻擊建模;文[43]針對(duì)分布式網(wǎng)絡(luò)故障檢測(cè)檢測(cè)及恢復(fù)介紹了故障冗余及恢復(fù)技術(shù);文[44、45]針對(duì)電力系統(tǒng)提出了系統(tǒng)脆弱性和安全分析方法;文[46]詳細(xì)分析了工業(yè)控制系統(tǒng)中的風(fēng)險(xiǎn)要素及其相互關(guān)系;文[47]提出最優(yōu)子模式分配的敏感指標(biāo)構(gòu)建方法。在入侵檢測(cè)系統(tǒng)和安全防護(hù)設(shè)計(jì)方面,文[43]設(shè)計(jì)了一種深度防御自適應(yīng)入侵檢測(cè)系統(tǒng),文[48]提出基于案例同理的入侵檢測(cè)關(guān)聯(lián)分析模型;文[49]設(shè)計(jì)了一種安全交換機(jī)制,保證接入網(wǎng)絡(luò)的用戶的合法性;文[50]提出通過功能安全和信息安全結(jié)合建模抵御惡意攻擊。
總體來說,國(guó)際在工業(yè)控制系統(tǒng)的信息安全防護(hù)方面的研究較深入,提出了“縱深防御”的工業(yè)控制系統(tǒng)信息安全策略。但主要還是針對(duì)工業(yè)控制系統(tǒng)特點(diǎn)與限制,擴(kuò)展IT信息安全方法,大多僅停留在信息層,很少與工業(yè)控制系統(tǒng)的物理動(dòng)態(tài)有機(jī)結(jié)合。國(guó)內(nèi)在工業(yè)控制系統(tǒng)信息安全的研究還處于起步階段,相關(guān)研究主要集中在系統(tǒng)脆弱性評(píng)估和安全分析上,缺乏在控制系統(tǒng)理論框架下對(duì)工業(yè)控制系統(tǒng)安全性的研究。
3.2 基于系統(tǒng)理論的安全性能分析與安全控制
基于系統(tǒng)理論的安全性能分析與安全控制的研究,其安全性問題主要從工業(yè)控制系統(tǒng)的物理防護(hù)機(jī)制和物理系統(tǒng)模型切入,研究可能繞過物理防護(hù)機(jī)制的壞數(shù)據(jù)注入攻擊方法,或者直接針對(duì)物理系統(tǒng)模型,研究破壞物理系統(tǒng)性能的攻擊策略,這部分研究可統(tǒng)稱為基于系統(tǒng)理論的攻擊向量和建模的研究。另外,最近國(guó)際上部分學(xué)者提出要充分利用系統(tǒng)物理動(dòng)態(tài)特性設(shè)計(jì)入侵檢測(cè)和安全控制算法,即充分挖掘系統(tǒng)物理系統(tǒng)動(dòng)態(tài)所具備的安全性能。根據(jù)所研究系統(tǒng)物理模型的不同,基于系統(tǒng)理論的安全性能分析與安全控制的研究又可分為靜態(tài)系統(tǒng)和動(dòng)態(tài)系統(tǒng)研究。
在靜態(tài)系統(tǒng)模型下信息物理系統(tǒng)的研究中,主要分為三類:(a)攻擊向量研究;(b)針對(duì)攻擊向量設(shè)計(jì)安全防護(hù);(c)針對(duì)攻擊向量,研究靜態(tài)系統(tǒng)極限性能,利用極限性能設(shè)計(jì)安全防護(hù)。在靜態(tài)系統(tǒng)模型下,攻擊向量研究注重在系統(tǒng)物理防護(hù)限制下的攻擊模型設(shè)計(jì):如文[51]研究了具有壞數(shù)據(jù)檢測(cè)功能的狀態(tài)估計(jì)中測(cè)量器接入受限和資源受限情況下的攻擊向量;文[52]研究了具有壞數(shù)據(jù)檢測(cè)和系統(tǒng)拓?fù)湎拗频臓顟B(tài)估計(jì)中的拓?fù)涔簟T诠粝蛄垦芯康幕A(chǔ)上,一部分研究者開始針對(duì)典型攻擊向量,利用PMU布置等關(guān)鍵節(jié)點(diǎn)防護(hù)或新的壞數(shù)據(jù)檢測(cè)方法設(shè)計(jì)安全防護(hù):如文[53,54]針對(duì)攻擊特點(diǎn)設(shè)計(jì)最大化攻擊影響攻擊向量,提出基于GLRT廣義似然比測(cè)試的壞數(shù)據(jù)檢測(cè)方法,通過增強(qiáng)壞數(shù)據(jù)檢測(cè)功能,實(shí)現(xiàn)攻擊的檢測(cè);文[55,56]研究了分布式狀態(tài)估計(jì)系統(tǒng)攻擊向量,并針對(duì)分布式狀態(tài)估計(jì)算法收斂性和系統(tǒng)拓?fù)涮攸c(diǎn),設(shè)計(jì)了攻擊檢測(cè)和攻擊定位方法;文[57]針對(duì)壞數(shù)據(jù)注入攻擊,提出最小攻擊數(shù)量?jī)?yōu)化問題和最小化PMU布置的安全防護(hù)方法。針對(duì)以上研究缺乏理論指導(dǎo),研究者基于物理系統(tǒng)特點(diǎn),分析靜態(tài)系統(tǒng)的極限性能:如文[58]針對(duì)靜態(tài)系統(tǒng)狀態(tài)估計(jì)問題,分析了攻擊可檢測(cè)性條件,即滿足測(cè)量矩陣列滿秩條件;文[59]研究了電力系統(tǒng)狀態(tài)估計(jì)中的拓?fù)涔簦治隽斯艨蓹z測(cè)的充分必要條件,并利用以上條件設(shè)計(jì)基于PMU布置等關(guān)鍵節(jié)點(diǎn)防護(hù)的安全防護(hù)措施。
在靜態(tài)系統(tǒng)中研究工業(yè)控制系統(tǒng)安全性問題為動(dòng)態(tài)系統(tǒng)的研究提供了思路,但基于靜態(tài)系統(tǒng)的研究沒有利用系統(tǒng)動(dòng)態(tài)性能;同時(shí),在攻擊建模中沒有利用系統(tǒng)中已有的信息安全措施。
動(dòng)態(tài)系統(tǒng)模型下的系統(tǒng)安全性能與控制研究與靜態(tài)系統(tǒng)模型類似,主要分為三類:攻擊向量研究;基于攻擊向量設(shè)計(jì)安全防護(hù);在系統(tǒng)理論下分析系統(tǒng)極限性能,并利用極限性能分析設(shè)計(jì)安全防護(hù)。在攻擊向量研究中,文[60]研究了實(shí)時(shí)電力市場(chǎng)在壞數(shù)據(jù)檢測(cè)約束下的攻擊向量;文[61]研究了帶有卡爾曼濾波器和LQG控制器的線性時(shí)滯系統(tǒng)的攻擊向量。根據(jù)攻擊向量,相關(guān)學(xué)者提出利用動(dòng)態(tài)系統(tǒng)特點(diǎn)設(shè)計(jì)安全防護(hù):文[62]通過在控制系統(tǒng)中加入獨(dú)立高斯噪聲,對(duì)重放攻擊加以防護(hù);文[63]通過最優(yōu)化系統(tǒng)認(rèn)證機(jī)制,實(shí)現(xiàn)對(duì)系統(tǒng)整體攻擊檢測(cè)的最大化。由于以上安全防護(hù)設(shè)計(jì)僅僅是針對(duì)具體攻擊特點(diǎn)和已有經(jīng)驗(yàn)的防護(hù)設(shè)計(jì),缺乏具體理論指導(dǎo)。最近有些學(xué)者提出研究物理動(dòng)態(tài)系統(tǒng)在受攻擊下的系統(tǒng)安全極限性能,并以此為指導(dǎo),設(shè)計(jì)系統(tǒng)的安全防護(hù):如文[64]在廣義系統(tǒng)框架下,將攻擊刻畫為獨(dú)立的任意無界干擾,分析攻擊的可檢測(cè)性和可辨識(shí)性,并以此指導(dǎo)設(shè)計(jì)入侵檢測(cè)算法;文[65]研究在獨(dú)立的任意無界干擾攻擊下系統(tǒng)狀態(tài)的可觀測(cè)性,基于壓縮感知理論給出系統(tǒng)可觀測(cè)極限性能條件,并以此為指導(dǎo)設(shè)計(jì)系統(tǒng)彈性控制算法。
在動(dòng)態(tài)系統(tǒng)模型下對(duì)信息物理系統(tǒng)的安全性研究,更接近系統(tǒng)實(shí)際性能。但針對(duì)攻擊構(gòu)建防護(hù)的方法,缺乏動(dòng)態(tài)系統(tǒng)框架下極限性能分析的指導(dǎo)。另一方面,在動(dòng)態(tài)系統(tǒng)框架下分析極限性能的研究把攻擊刻畫為獨(dú)立的任意無界干擾,沒有利用系統(tǒng)固有物理防護(hù)約束,以及系統(tǒng)信息安全約束,導(dǎo)致安全防護(hù)策略過于保守,實(shí)現(xiàn)成本高。
表2對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)與控制研究現(xiàn)狀進(jìn)行了總結(jié),表明當(dāng)前針對(duì)信息物理攻擊的工業(yè)控制系統(tǒng)安全方面的研究存在如下問題:信息安全方法與基于系統(tǒng)理論的安全控制方法分離,即基于系統(tǒng)理論的安全控制研究中沒有考慮系統(tǒng)固有物理防護(hù)和信息安全機(jī)制帶來的攻擊約束,使得基于系統(tǒng)理論設(shè)計(jì)的安全檢測(cè)與彈性安全控制算法不能與信息安全機(jī)制有機(jī)融合,由此造成了基于系統(tǒng)理論的安全防護(hù)策略過于保守,降低了其在工程中的使用價(jià)值。另外,需要指出的是,上述研究大部分是針對(duì)單控制中心的工業(yè)控制系統(tǒng)安全防護(hù)與控制,國(guó)際上針對(duì)具多控制中心的分布式網(wǎng)絡(luò)控制系統(tǒng)的安全性能分析與安全控制方面的研究非常少。
4 結(jié)語
本文詳細(xì)介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問題與傳統(tǒng)IT信息安全問題的區(qū)別,闡述了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題的研究現(xiàn)狀及存在的問題,針對(duì)分布式網(wǎng)絡(luò)控制系統(tǒng)信息物理安全的一些重要問題提出了見解。
讀者可以從文中所提及的相應(yīng)參考文獻(xiàn)中找到更深層次的討論。我們寄希望讀者能從中發(fā)現(xiàn)更多新的問題,提供有效的解決方案,并在此領(lǐng)域繼續(xù)努力,為分布式控制系統(tǒng)的安全運(yùn)行作出貢獻(xiàn)。
基金項(xiàng)目: 國(guó)家自然科學(xué)基金(61104091 ,61172064,61233004,61473184)。
參考資料:
[1] A. Bemporad, M. Heemels, M. Johansson, Lecture Notes in Control and Information Sciences: Networked control systems[R]. Springer London Ltd, ISBN ISBN 978-0-85729-033-5, 2010.
[2] h t t p : / / i n t l . c e . c n / s p e c i a l s / z x g j z h / 2 0 1 3 0 8 / 2 3 /t20130823_24687048.shtml
[3] http://www.chinamission.be/chn////zogx/kjhz/t1089500.htm
[4] S. C. Suh, U. J. Tanik, J. N. Carbone, A. Eroglu. Applied Cyber-Physical Systems[J]. Springer, New York, ISBN 978-1-4614-7335-0, 2014.
[5] K. Kim, P. R. Kumar. Cyber-physical systems: a perspective at the centennial[J]. Proceeding of The IEEE, 2012,100: 1287-1308.
[6] 游科友,謝立華. 網(wǎng)絡(luò)控制系統(tǒng)的最新研究綜述[N],自動(dòng)化學(xué)報(bào),2013,39(2):101-118.
[7] The President’s Commission on Critical Infrastructure P r o t e c t i o n . C r i t i c a l F o u n d a t i o n s : P r o t e c t i n g Ame r i c a’s Infrastructure[R]. The Report of President’s Commission on Critical Infrastructure Protection, Washington DC, USA, 1997.
[8] United States Computer Emergency Readiness Team, USCERT. The National Strategy to Secure Cyberspace[M]. Washington DC, USA, 2003.
[9] Department of Homeland Security (DHS). National Infrastructure Protection Plan[M]. Washington DC, USA, 2006.
[10] Department of Homeland Security (DHS) National Cyber Security Division. Strategy for securing control systems: coordinating and guiding Federal, State, and Private Sector Initiatives[M]. Washington DC, USA, 2009.
[11] The National Research Council, Making the Nation Safer: the Role of Science and Technology in Countering Terrorism[M]. Washington DC, USA, 2002.
[12] United States General Accounting Office, Critical Infrastructure Protection: Challenges and Efforts to Secure Control Systems, GAO-04-354[M]. Washington DC, USA, 2004.
[13] J. Eisenhauer, P. Donnelly, M. Ellis, et al. Roadmap to secure control systems in the energy sector[M]. Washington DC, USA, the US Department of Energy and the US Department of Homeland Security, 2006.
[14] Department of Homeland Security, National Infrastructure Protection Plan[M]. Washington DC, USA, 2009.
[15] Energy Sector Control Systems Working Group (ESCSWG), Roadmap to Achieve Energy Delivery Systems Cyber Security[M]. Washington DC, USA, Office of Electricity Delivery & Energy Reliability, 2011.
[16] http://talontechsoales.cm/blog/?p=104.
[17] http://energy.gov/oe/technology-development/energydelivery-systems-cybersecurity/national-scada-test-bed.
[18] Office of Electricity Delivery and Energy Reliability, US Department of Energy. “NSTB fact sheet, national SCADA testbed, enhancing control systems security in the energy sector”, http://www.inl.gov/scada/factsheets/d/nstb.pdf .
[19] US-CERT. ICS-CERT, http://www.us-cert.gov/control_system/.
[20] Commission of the European Communities. Communication from the Commission – on a European Programme for Critical Infrastructure Protection[M]. COM(2006)786, Brussels, Belgium,2006.
[21] Commission of the European Communities. The European Economic and Social Committee and the Committee of the Regions– on Critical Infrastructure Protection[M]. COM(2009)149, Brussels, Belgium, 2009.
[22] The European Network and Information Security Agency, Protecting Industrial Control Systems, Recommendations for Europe and Member States[S]. Heraklion, Greece, 2011.
[23] 國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2010年信息安全專項(xiàng)有關(guān)事項(xiàng)的通知[S].發(fā)改辦高技[2010]549號(hào).
[24] 劉威,李冬,孫波. 工業(yè)控制系統(tǒng)安全分析[C]. 第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2012,(8):41-43.
[25] L.G. Bushnell. Special Section on Networks and Control[J]. IEEE Control Systems Magazine, 2001,21(1): 22-23.
[26] P. Antsaklis, J. Baillieul. Guest editorial special issue on networked control systems[J]. IEEE Transactions on Automatic Control, 2004, 49(9): 1421-1423.
[27] P. Antsaklis, J. Baillieul. Special issue on technology of networked control system[J]. Proceeding of the IEEE, 2007,95(1):5-8.
[28] F.Y. Wang, et. al. Guest Editorial Networking, Sensing, and Control for Networked Control Systems: Architectures, Algorithms, and Applications[R]. IEEE Transactions on Systems, Man, and Cybernetics - Part C: Applications and Reviews, 2007,37(2): 157-159.
[29] G. C. Walsh, H. Ye, and L. G. Bushnel. Stability analysis of networked control systems[J]. IEEE Transactions on Control Systems and Technology, 2002,10(3):438-446 .
[30] N. Liu, J. Zhang, H. Zhang, et al. Security assessment for communication networks of power control systems using attack graph and MCDM[J], IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.
[31] C. W. Ten, C. C. Liu, G. Manimaran. Vulnerability assessment of cybersecurity for SCADA systems[J]. IEEE Transactions on Power Systems, 2008,23(4): 1836-1846.
[32] C. W. Ten, G. Manimaran, C. C. Liu. Cybersecurity for critical infrastructures: attack and defense modeling[J]. IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Humans, 2010,40(4): 853-865.
[33] M. Majdalawieh, F. Parisi-Presicce, D. Wijesekera. DNPSec: Distributed network protocol version 3 (DNP3) security framework, Advances in Computer, Information, and Systems Sciences, and Engineering[M]. Springer Netherlands, 2006. 227-234.
[34] I. N. Fovino, A. Carcano, M. Masera, et al. Design and implementation of a secure modbus protocol, Critical Infrastructure Protection III[M]. Springer Berlin Heidelberg, 2009. 83-96.
[35] J. T. Michalski, A. Lanzone, J. Trent, et al. Secure ICCP Integration Considerations and Recommendations[R]. SANDIA report, 2007.
[36] P. P. Tsang, S. W. Smith. YASIR: A low-latency, highintegrity security retrofit for legacy SCADA systems, Proceedings of The IFIP TC-11 23rd International Information Security Conference[M]. Springer US, 2008:445-459.
[37] H. Khurana, R. Bobba, T. Yardley, et al. Design principles for power grid cyber-infrastructure authentication protocols[R]. the 43rd Hawaii International Conference on System Sciences (HICSS), 2010. 1-10.
[38] R. Chakravarthy, C. Hauser, D. E. Bakken. Long-lived authentication protocols for process control systems[J]. International Journal of Critical Infrastructure Protection, 2010,3(3): 174-181.
[39] H. Cheung, A. Hamlyn, and T. Mander, Role-based model security access control for smart power-grids computer networks[N], in Power and Energy Society General Meeting-Conversion and Delivery of Electrical Energy in the 21st Century, 2008,(7):1-7.
[40] M. M. Fouda, Z. M. Fadlullah, and N. Kato, A lightweight message authentication scheme for smart grid communications[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):675-685.
[41] Y. Zhang, L. Wang, and W. Sun, Distributed intrusion detection system in a multi-layer network architecture of smart grids[J]. IEEE Transactions on Smart Grid, vol. 2, no. 4, 2011,(12):796-808.
[42] 凌從禮. 工業(yè)控制系統(tǒng)脆弱性分析與建模研究[D].浙江大學(xué), 2013.
[43] 王偉, 陳秀真, 管曉宏等. 深度防衛(wèi)的自適應(yīng)入侵檢測(cè)系統(tǒng)[N]. 西安交通大學(xué)學(xué)報(bào), 2005,39(4): 339.
[44] 陳杰, 高會(huì)生. 電力通信網(wǎng)運(yùn)行方式建模[J]. 電力系統(tǒng)通信,10:45-49, 2011.
[45] 高會(huì)生, 戴雪嬌, 劉柳. 變電站綜合自動(dòng)化系統(tǒng)通信安全性評(píng)估[J]. 電力系統(tǒng)通信, 2012,(2):1-4.
[46] 陸赟. 基于威脅和脆弱性的ICS量化風(fēng)險(xiǎn)評(píng)估方法[D].華東理工大學(xué),2013.
[47] 夏秦, 王志文, 盧柯. 入侵檢測(cè)系統(tǒng)利用信息熵檢測(cè)網(wǎng)絡(luò)攻擊的方法[N]. 西安交通大學(xué)學(xué)報(bào), 2013,02: 14-19.
[48] 曾茹剛, 管曉宏, 昝鑫等. 基于案例推理的入侵檢測(cè)關(guān)聯(lián)分析研究[J]. 計(jì)算機(jī)工程與應(yīng)用,2006, 42(4): 138-141 .
[49] 亞楠. 用于工業(yè)控制系統(tǒng)的安全交換機(jī)設(shè)計(jì)[D]. 浙江大學(xué), 2013.
[50] 宋巖, 王天然, 徐皚冬等. 控制系統(tǒng)Safe-Sec安全通信方法研究[J].自動(dòng)化儀表,2013,34(11):30-33, 38.
[51] Y. Liu, P. Ning, and M. K. Reiter, False data injection attacks against state estimation in electric power grids[J]. ACM Transactions on Information and System Security (TISSEC), 2011, 14(1): Article 13:1-33.
[52] J. Kim and L. Tong, On topology attack of a smart grid[J]. in Innovative Smart Grid Technologies (ISGT), 2013,(2):1-6.
[53] M. Ozay, I. Esnaola, and F. Vural, Distributed models for sparse attack construction and state vector estimation in the smart grid[J]. in IEEE Third International Conference on Smart Grid Communications (Smart Grid Comm), 2012, (11): 306-311 .
[54] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on smart grid state estimation: attack strategies and countermeasures[J] in First IEEE International Conference on Smart Grid Communications (Smart Grid Comm),2010,(10): 220-225.
[55] O. Kosut, L. Jia, and R. Thomas, Malicious data attacks on the smart grid[J]. IEEE Transactions on Smart Grid, 2011, 2(4): 645-658.
[56] O. Vukovic and G. Dan. On the security of distributed power system state estimation under targeted attacks[J]. in Proceedings of the 28th Annual ACM Symposium on Applied Computing, 2013,(3):666-672.
[57] O. Vukovic and G. Dan, Detection and localization of targeted attacks on fully distributed power system state estimation[J]. in IEEE International Conference on Smart Grid Communications (SmartGridComm), 2013, 10):390-395.
[58] R. B. Bobba, K. M. Rogers, and Q. Wang, “Detecting false data injection attacks on dc state estimation,” in the First Workshop on Secure Control Systems, 2010.
[59] J. Kim and L. Tong. On topology attack of a smart grid: undetectable attacks and countermeasures[J]. IEEE Journal on Selected Areas in Communications, 2013,31(7): 1294-1305.
[60] L. Xie, Y. Mo, and B. Sinopol. Integrity data attacks in power market operations[J]. IEEE Transactions on Smart Grid, 2011,12,2(4): 659-666.
[61] Y. Mo, E. Garone, and A. Casavola. False data injection attacks against state estimation in wireless sensor networks[J]. in 49th IEEE Conference on Decision and Control (CDC), 2010,(12) :5967-5972.
[62] Y. Mo and B. Sinopoli. Secure control against replay attacks[R]. in 47th Annual Allerton Conference on Communication, Control, and Computing, Allerton, 2009: 911-918.
[63] R. Chabukswar, Y. Mo, and B. Sinopoli. Detecting Integrity Attacks on SCADA Systems[R]. in Proceedings of the 18th IFAC World Congress, Milano, Italy, 2011,(3):11239-11244.
[64] F. Pasqualetti, F. Dorfler, and F. Bullo. Attack detection and identification in cyber-physical systems[J] IEEE Transactions on Automatic Control, 2013,58(11): 2715-2729.
[65] H. Fawzi, P. Tabuada, and S. Diggavi, Secure estimation and control for cyber-physical systems under adversarial attacks[J]. IEEE Transactions on Automatic Control, 2014,59(6): 1454-1467.
作者簡(jiǎn)介
鄔晶(1979-),女,2008年于加拿大阿爾伯塔大學(xué)獲博士學(xué)位,現(xiàn)為上海交通大學(xué)自動(dòng)化系副教授。主要研究方向?yàn)橹悄茈娋W(wǎng)、網(wǎng)絡(luò)控制系統(tǒng)分析與綜合,系統(tǒng)安全等。
龍承念,男,現(xiàn)為上海交通大學(xué)自動(dòng)化系教授,教育部新世紀(jì)優(yōu)秀人才,主要研究方向?yàn)闊o線網(wǎng)絡(luò)、認(rèn)知無線電、協(xié)作通信等。
李少遠(yuǎn),男,現(xiàn)為上海交通大學(xué)自動(dòng)化系教授,國(guó)家杰出青年基金獲得者,主要研究方向?yàn)樽赃m應(yīng)預(yù)測(cè)控制,網(wǎng)絡(luò)化分布式系統(tǒng)的優(yōu)化控制及數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)控制器設(shè)計(jì)。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)