今日頭條
官方微信
官方抖音
案例頻道★李小川,蘇云濤北京圣博潤(rùn)高新技術(shù)股份有限公司
關(guān)鍵詞:工業(yè)安全;數(shù)字孿生;PLC仿真;工業(yè)安全
1 項(xiàng)目概況
1.1 項(xiàng)目背景
港口碼頭作為經(jīng)濟(jì)的晴雨表,不僅是現(xiàn)代經(jīng)濟(jì)的血液,還是促進(jìn)貿(mào)易和地區(qū)發(fā)展的重要基礎(chǔ)設(shè)施。近年來,港口裝卸作業(yè)自動(dòng)化程度逐漸提高,視頻監(jiān)控、分布式工業(yè)控制系統(tǒng)得到了廣泛應(yīng)用,為港口的安全穩(wěn)定運(yùn)行提供了重要保障。但不足之處也很明顯,港口生產(chǎn)運(yùn)營中的視頻監(jiān)控、PLC系統(tǒng)、工控監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)較為薄弱,病毒、軟件濫用、網(wǎng)絡(luò)架構(gòu)、U盤濫用等問題日益凸顯。
我國港口碼頭工業(yè)控制系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施,安全可靠性問題突出,受到系統(tǒng)結(jié)構(gòu)復(fù)雜、核心技術(shù)限制、缺乏安全與管理標(biāo)準(zhǔn)等諸多因素影響,運(yùn)行在工業(yè)控制系統(tǒng)中的數(shù)據(jù)及操作指令隨時(shí)可能遭受來自敵對(duì)勢(shì)力、商業(yè)間諜、網(wǎng)絡(luò)犯罪團(tuán)伙的破壞。而且IT通用化加劇了系統(tǒng)的安全隱患,IT技術(shù)將傳統(tǒng)安全的困擾引入到工業(yè)控制系統(tǒng)中,危及了控制系統(tǒng)的安全。通過分析發(fā)現(xiàn),港口碼頭行業(yè)工業(yè)控制系統(tǒng)常見的安全威脅主要來自以下幾個(gè)方面:邊界隔離措施缺失、工控協(xié)議安全缺陷、高級(jí)持續(xù)威脅難以發(fā)現(xiàn)、操作系統(tǒng)安全漏洞、工業(yè)系統(tǒng)設(shè)備漏洞、組態(tài)軟件升級(jí)困難、病毒控制手段缺乏、移動(dòng)存儲(chǔ)介質(zhì)濫用、特權(quán)濫用數(shù)據(jù)泄露、人員管理安全威脅、非法接入風(fēng)險(xiǎn)、明文數(shù)據(jù)傳輸風(fēng)險(xiǎn)和無線通信鏈路風(fēng)險(xiǎn)。
1.2 項(xiàng)目簡(jiǎn)介
本項(xiàng)目針對(duì)符合港口工控網(wǎng)絡(luò)特點(diǎn)的仿真驗(yàn)證環(huán)境不足,難以滿足行業(yè)所需的分析、測(cè)試、驗(yàn)證等工作,提出了“港口工控安全仿真驗(yàn)證平臺(tái)”。本項(xiàng)目從兩個(gè)方向展開研究:港口工控系統(tǒng)仿真環(huán)境虛擬化和工控仿真環(huán)境安全驗(yàn)證。首先,基于固件提取技術(shù)、分析技術(shù)及虛擬化技術(shù)等實(shí)現(xiàn)設(shè)備控制系統(tǒng)(ECS)虛擬化,解決實(shí)體設(shè)備虛擬化問題。然后,基于部分實(shí)體設(shè)備和虛擬化設(shè)備通過多維度審計(jì)溯源技術(shù)進(jìn)行安全驗(yàn)證,解決仿真環(huán)境如何有效使用問題。
1.3 項(xiàng)目目標(biāo)
(1)滿足港口碼頭單位安全防護(hù)產(chǎn)品的總體論證和規(guī)劃能力需求;
(2)增強(qiáng)港口碼頭單位工控系統(tǒng)信息安全保障能力;
(3)滿足港口碼頭單位安全訓(xùn)練和攻防演習(xí)需求。
2 項(xiàng)目實(shí)施
港口工控安全仿真驗(yàn)證平臺(tái)的總體構(gòu)架如圖1所示。
圖1 港口工控安全仿真驗(yàn)證平臺(tái)的總體架構(gòu)
圖1中虛線部分是本項(xiàng)目的重點(diǎn)研究?jī)?nèi)容,主要涵蓋翻車機(jī)、推料機(jī)、取料機(jī)、裝船機(jī)系統(tǒng)場(chǎng)景,首先通過官方獲取、硬件提取等方式對(duì)PLC、RTU、智能儀表的固件進(jìn)行提取、分析,然后借助容器或者虛擬機(jī)實(shí)現(xiàn)PLC、RTU、智能儀表仿真,再通過上位機(jī)組態(tài)虛擬機(jī)、計(jì)算資源池、網(wǎng)絡(luò)資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)控制器虛擬等完成控制設(shè)備數(shù)字孿生,最后基于搭建的港口工控安全仿真場(chǎng)景完成統(tǒng)計(jì)可視化、攻擊溯源、流量分析和仿真驗(yàn)證等功能。整體以云計(jì)算超融合平臺(tái)為支撐,具有靈活動(dòng)態(tài)分配資源、統(tǒng)一管理、維護(hù)成本低、高性價(jià)比和便于管理維護(hù)的優(yōu)點(diǎn)。其采用B/S架構(gòu)設(shè)計(jì),通過網(wǎng)絡(luò)將超大規(guī)模的計(jì)算與存儲(chǔ)資源整合起來,并將計(jì)算任務(wù)分布在這些資源池上,再根據(jù)自己的需要獲得計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等信息服務(wù)。同時(shí),通過業(yè)界主流的信息系統(tǒng)、工控系統(tǒng)(PLC、組態(tài)軟件、網(wǎng)絡(luò)交換機(jī)、主機(jī)系統(tǒng)等)的虛擬化很好地解決了仿真過程過度依賴實(shí)物硬件的不便利,同時(shí)也能迅速地通過虛擬機(jī)拓?fù)涞母淖冊(cè)诙虝r(shí)間內(nèi)組建成新的業(yè)務(wù)系統(tǒng)。
本項(xiàng)目安全仿真驗(yàn)證環(huán)境的總體設(shè)計(jì)方案以傳統(tǒng)信息安全和業(yè)務(wù)安全為背景,綜合權(quán)衡信息安全的機(jī)密性與業(yè)務(wù)安全的可用性,并從平臺(tái)底層架構(gòu)的完整性、實(shí)時(shí)性考慮,借助虛擬化技術(shù)增強(qiáng)系統(tǒng)的穩(wěn)定性、可靠性以及安全性,保證上層真實(shí)仿真系統(tǒng)的可用性。本方案主要分為四個(gè)部分:基礎(chǔ)層設(shè)備虛擬化建設(shè)、虛擬網(wǎng)絡(luò)SDN的映射應(yīng)用、上位機(jī)控制系統(tǒng)及工藝流程虛擬化建設(shè)、平臺(tái)仿真資源庫的建設(shè)應(yīng)用。
2.1 基礎(chǔ)層設(shè)備虛擬化建設(shè)
本項(xiàng)目自下而上開展基礎(chǔ)層設(shè)備虛擬化,主要包括:
(1)傳感器數(shù)據(jù)仿真建設(shè)
仿真環(huán)境支持對(duì)角度、振幅、高度等碼頭主流傳感器的虛擬化,如圖2所示,通過對(duì)傳感器的虛擬化,保證控制器系統(tǒng)通過虛擬的接口與傳感器進(jìn)行通訊,利用軟件技術(shù)對(duì)開關(guān)量傳感器的數(shù)據(jù)仿真,為基礎(chǔ)層設(shè)備的虛擬化提供技術(shù)保障。
圖2 傳感器虛擬化
建立傳感器的模型,在其原理分析、結(jié)構(gòu)設(shè)計(jì)、樣機(jī)研制中起著重要的作用。一個(gè)符合傳感器實(shí)際情況的模型,既能充分、準(zhǔn)確地揭示出傳感器的工作機(jī)理,又能有效地指導(dǎo)傳感器實(shí)際的優(yōu)化設(shè)計(jì)、減小盲目性、縮短樣機(jī)研制過程和處理不同物理量之間的耦合等。
(2)控制器仿真建設(shè)
仿真環(huán)境支持對(duì)西門子、羅克韋爾自動(dòng)化、施耐德、三菱電機(jī)等控制設(shè)備(PLC/RTU)的模擬,每種控制器支持兩種以上的主流系列仿真。它具有實(shí)物控制器在功能、可靠性、速度、故障查找等方面的特點(diǎn)。利用軟件技術(shù)可以將標(biāo)準(zhǔn)的工業(yè)PC機(jī)系統(tǒng)轉(zhuǎn)換成全功能的過程控制器,通過一個(gè)多任務(wù)控制內(nèi)核,提供強(qiáng)大的指令集快速而準(zhǔn)確的掃播周期、可靠的操作和可連接各種I/O系統(tǒng)及網(wǎng)絡(luò)的開放式結(jié)構(gòu)。
2.2 虛擬網(wǎng)絡(luò)的建立應(yīng)用
該平臺(tái)可以提供高逼真的工控仿真環(huán)境,能夠通過網(wǎng)絡(luò)將超大規(guī)模的計(jì)算與存儲(chǔ)資源整合起來,并將計(jì)算任務(wù)分布在這些資源池上,再根據(jù)自己的需要獲得計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等資源,最終實(shí)現(xiàn)高逼真的工控仿真環(huán)境,從網(wǎng)絡(luò)層聯(lián)通控制器、安全防護(hù)設(shè)備、上位機(jī)監(jiān)控系統(tǒng)及其他高層業(yè)務(wù)系統(tǒng),為虛擬平臺(tái)直接互聯(lián)互通打好了通信的基礎(chǔ)工作。
2.3 上位機(jī)系統(tǒng)仿真
作為設(shè)備的直接監(jiān)控層,仿真環(huán)境支持對(duì)多種國內(nèi)外上位機(jī)系統(tǒng)的模擬,如Wincc、IFix、Intouch,杰控、力控、組態(tài)王等。
在港口碼頭生產(chǎn)工控系統(tǒng)的典型場(chǎng)景中,需要具備上位機(jī)與控制器設(shè)備間的數(shù)據(jù)交互能力,控制層設(shè)備通過對(duì)現(xiàn)場(chǎng)傳感器或虛擬傳感器的數(shù)據(jù)采集,實(shí)時(shí)與上位機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)交互,達(dá)到工控設(shè)備及系統(tǒng)高逼真還原。同時(shí)作為工業(yè)仿真的核心要素,仿真系統(tǒng)可支持對(duì)OPC、EIP、Modbus、S7、S7CommPlus等協(xié)議的模擬。工業(yè)通信協(xié)議可承擔(dān)設(shè)備數(shù)據(jù)交互、指令執(zhí)行、程序互傳等功能的橋梁作用,協(xié)議仿真在各類型典型流程工業(yè)場(chǎng)景中起到重要支撐。
2.4 基于機(jī)器學(xué)習(xí)的控制器行為監(jiān)控及溯源技術(shù)
本項(xiàng)目基于人工智能的控制器行為識(shí)別技術(shù),通過研究主體控制器對(duì)客體設(shè)備的行為,以及多主體控制器行為之間的相互關(guān)系,得到控制器網(wǎng)絡(luò)行為的模式、特性狀態(tài)和結(jié)構(gòu)抽象。通過對(duì)行為觀測(cè)所得到的行為樣本與行為庫進(jìn)行匹配,預(yù)測(cè)行為變化的趨勢(shì),從而揭示控制器正常運(yùn)行的規(guī)律。控制器行為分析溯源的實(shí)現(xiàn)技術(shù)路徑如圖3所示。
圖3 虛實(shí)結(jié)合的分析溯源示意圖
3 案例亮點(diǎn)及創(chuàng)新性
(1)工控設(shè)備數(shù)字孿生技術(shù)
本項(xiàng)目基于多維度虛實(shí)映射的港口工控設(shè)備數(shù)字孿生構(gòu)建方法,在OpenStack基礎(chǔ)平臺(tái)上融合KVM和LXC兩種虛擬化技術(shù),從實(shí)物設(shè)備、虛擬化技術(shù)、軟件模擬方法等多個(gè)維度設(shè)計(jì)港口碼頭生產(chǎn)工控設(shè)備及網(wǎng)絡(luò)的構(gòu)建機(jī)制,滿足真實(shí)性、高效性和大規(guī)模需求。
(2)虛實(shí)結(jié)合的安全驗(yàn)證技術(shù)
本項(xiàng)目虛實(shí)結(jié)合的實(shí)體設(shè)備、軟件、應(yīng)用和數(shù)據(jù)服務(wù)等將在仿真環(huán)境中被抽象為邏輯表示的基礎(chǔ)資源標(biāo)識(shí)。仿真環(huán)境的資源模塊管理一切平臺(tái)環(huán)境及任務(wù)需要的模塊,時(shí)序一致性則具體依靠OpenStack中的Gnocchi模塊實(shí)現(xiàn),主要原理為把各個(gè)計(jì)量指標(biāo)Metric的計(jì)量數(shù)據(jù)measurement直接寫入后端存儲(chǔ)中,并在measurement寫入之前根據(jù)預(yù)先設(shè)定的歸檔策略進(jìn)行聚合操作,查詢時(shí)直接讀取對(duì)應(yīng)的文件即可獲得聚合后的監(jiān)控信息點(diǎn),顯然時(shí)間復(fù)雜度變?yōu)镺(1),并且提供資源索引,可以更快地找到每個(gè)資源的基礎(chǔ)信息metadata和其相關(guān)的metrics信息。
作者簡(jiǎn)介
李小川(1980-),男,遼寧沈陽人,碩士,現(xiàn)就職于北京圣博潤(rùn)高新技術(shù)股份有限公司,主要從事工控網(wǎng)絡(luò)安全方面的研究。
蘇云濤(1991-),男,河北石家莊人,工程師,學(xué)士,現(xiàn)就職于北京圣博潤(rùn)高新技術(shù)股份有限公司,主要從事工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全方面的研究。
摘自《自動(dòng)化博覽》2024年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)