今日頭條
官方微信
官方抖音
資訊頻道★機械工業儀器儀表綜合技術經濟研究所張亞彬,張鑫,郭苗,劉瑤,王麟琨,孫愛
★國家石油天然氣管網集團有限公司油氣調控中心孫鐵良,黃河
1 引言
數字化轉型顯著提升了工業生產系統的開放化和互聯化水平,信息空間與物理空間耦合程度越來越緊密。然而,IT與OT的深度融合也使得工業生產系統面臨前所未有的安全挑戰。傳統封閉的工業環境逐步開放,工業生產系統結構的復雜化、網絡邊界的模糊化以及外部威脅的多樣化,導致工業生產系統成為網絡攻擊的重要目標[1]。近年來,針對關鍵基礎設施的跨空間攻擊事件頻發,攻擊者通過信息空間的漏洞滲透至物理空間,引發生產偏離、設備損毀甚至安全事故,嚴重威脅工業生產安全。在此背景下,如何構建面向工業生產安全的網絡安全體系,成為工業領域亟需解決的核心問題。
當前,工業生產系統安全防護主要面臨三方面挑戰。其一,IT與OT的深度融合打破了傳統安全邊界,跨空間攻擊路徑的隱蔽性和破壞性顯著增強。攻擊者可通過篡改控制指令、干擾數據傳輸等手段直接引發物理空間的生產過程偏離,同時篡改或癱瘓安全聯鎖系統,導致生產過程偏離在物理空間引起設備損毀甚至生產事故[2]。其二,網絡安全與功能安全的協同機制尚未完善。例如,加密認證等安全措施可能增加系統延遲,影響功能安全對實時性的嚴苛要求,而功能安全設計的冗余性又可能引入新的網絡安全漏洞。其三,現有風險評估與防護體系多聚焦單一領域,缺乏覆蓋信息空間、物理空間及生產過程的多維協同框架,難以實現動態風險感知與綜合決策。工業過程要求知識的匯聚、關聯與利用。盡管已有研究提出信息物理生產系統的安全一體化技術,但仍需進一步解決跨域多維風險的攻擊建模、實時感知與動態響應等問題。
本文立足于工業生產安全的實際需求,以網絡安全與功能安全協同理論為基礎,提出面向工業生產安全的網絡安全體系框架。在理論層面,本文提出基于“生產過程偏離”的風險評估方法,以物理空間的生產參數異常為切入點,逆向追溯信息空間的威脅路徑,建立跨空間攻擊場景的量化模型,為風險縱深感知與協同防護提供理論支撐;在技術層面,本文圍繞五大關鍵技術構建體系框架:
(1)基于生產過程偏離的網絡安全風險評估,融合改進的HAZOP、FMEA等傳統工具,實現信息物理風險的動態分析;
(2)覆蓋工業生產過程的網絡安全感知,通過多維度數據采集與威脅檢測,提升對控制網絡和物理設備的實時監控能力;
(3)融合功能安全的網絡安全防護,遵循“安全功能獨立設計優先,不能解耦時以業務連續性優先”原則,設計兼容實時性與安全性的縱深防護策略;
(4)網絡安全動態綜合決策,基于風險量化模型與實時感知數據,實現跨空間攻擊的快速響應;
(5)融合網絡安全和功能安全的應急處置,整合網絡攻擊遏制、生產系統恢復與功能安全驗證,形成多專業協同的應急機制。
2 總體框架
工業生產系統網絡安全體系框架如圖1所示。該框架基于工業領域IT與OT融合發展的趨勢,以網絡安全、功能安全以及物理安全為基礎,解決了工業生產系統信息空間和物理空間的綜合風險管控問題。根據工業控制與生產安全強耦合特性,利用跨空間攻擊原理,建立基于生產過程偏離的網絡安全風險管控框架,以“生產過程偏離”為切入點,形成“過程偏離辨識→威脅/危險辨識→初始風險分析→殘余風險分析→風險管理”流程,是本體系框架的重要基礎(見3.1節),為風險縱深感知、協同防護、動態決策和應急處置提供了理論支撐。在感知層方面,覆蓋工業縱深的網絡安全感知技術將感知維度從傳統信息系統網絡拓撲延伸到了控制網絡,實現了全流量、多要素的威脅檢測(見3.2節);網絡安全動態綜合決策機制跨空間攻擊風險量化模型實現了動態風險計算,并依據規則做出決策(見3.3節);融合功能安全的網絡安全防護著重強調了網絡防護與功能安全之間的兼容性和協同性(見3.4節);必要時,動態觸發融合網絡安全、功能安全的應急響應機制(見3.5節)。
圖1工業生產系統網絡安全體系框架圖
3 關鍵技術
3.1 基于生產過程偏離的網絡安全風險評估
在IT和OT融合發展趨勢下,由信息空間滲透至物理空間的跨空間攻擊成為了破壞生產過程穩定性,甚至導致安全生產事故的一種潛在方式。此類攻擊一旦突破信息空間與物理空間的交互層,物理空間的生產過程所面臨的危險源不僅包括人員誤操作、硬件隨機故障,還包括“威脅”[3-4]。因此,從保障物理空間中生產過程安全的目標發出,一方面需要辨識高價值或關鍵的物理資產及其安全(Safety)屬性;另一方面,也需要梳理出來自信息空間的威脅通過交互層滲透至物理空間的路徑及其網絡安全屬性,從而建立一種基于生產過程偏離的風險評估框架,如圖2所示。該框架以物理空間的生產過程偏離為起點,挖掘跨空間的信息物理破防場景,評估風險并提出管控措施。生產過程偏離是指表征生產過程安全性、穩定性的參數高于或低于正常區間,能夠直接或間接引起生產破壞。以生產過程偏離為驅動點,依據信息空間與物理空間的資產拓撲圖和邏輯控制關系,采用自下而上的方式分析人員誤操作、硬件隨機故障以及威脅/漏洞等危險源,計算初始風險;同時,評估網絡安全措施、功能安全措施、物理安全措施的有效性,計算殘余風險。依據殘余風險的可接受程度,確定改進方向。在此框架下,可以通過改進HAZOP、FMEA、故障樹等傳統工具,實現生產過程偏離驅動的工業生產系統綜合風險評估。
圖2基于生產過程偏離的風險評估框架圖
3.2 覆蓋工業縱深的網絡安全感知
在3.1節,基于生產過程偏離的風險評估為確定需要重點感知的信息空間、物理空間的風險參數提供了依據。在工業生產系統設計階段,通過風險評估可以辨識出高風險的跨空間攻擊路徑,明確這些路徑上需要重點感知的危險源(含威脅、硬件故障等),進而設計網絡安全感知技術、功能安全感知技術和物理安全感知技術。在運行階段,通過3.1節風險評估,可以評估多種安全感知技術的充分必要性,為進一步提升多維安全感知能力提供建議。為了實現多維安全的全面感知,需要搭建覆蓋工業生產過程的多維安全協同感知技術體系,如圖3所示,實現信息空間與物理空間的綜合感知。
圖3覆蓋工業生產縱深的網絡安全感知
網絡拓撲構成主要包括現場儀器儀表、PLC、DCS、交換機、上位機等,如圖3所示。針對工業生產系統,部署系統網絡報文檢測設備和控制網絡報文檢測設備。系統網絡用于將操作員站、工程師站、系統服務器等操作層上位機設備和PLC/DCS主控制器連接起來。工控主機安全防護系統部署于上位機,流量異常識別與融合響應平臺通過接入交換機的鏡像數據進行工作,工業網絡綜合安全防護網關負責采集交換機與外界設備之間的報文數據,工控終端安全接入設備部署在交換機與PLC/DCS控制器之間。控制網絡報文檢測設備主要負責采集解析PLC/DCS控制器以下的報文。
3.3 網絡安全動態綜合決策
基于3.1節和3.2節的關鍵技術,設計動態風險綜合決策架構(見圖4)。其中,3.1節提出的風險評估框架用于建立風險評估模型;3.2節給出的安全縱深感知框架能夠實時感知生產過程偏離、深層次的人員誤操作或硬件隨機故障,檢測信息空間的威脅或漏洞,作為風險評估模型的輸入,實現對跨空間攻擊風險的動態計算,并根據風險計算結果,作出綜合決策。必要時,啟動預設的應急響應機制和處置方案(見3.5節)。
動態風險綜合決策的基本原則如下:
(1)僅感知到信息空間有異常時,優先觸發網絡安全防護措施;
(2)感知到信息空間的攻擊事件影響到物理空間生產過程安全時,同時觸發網絡安全防護措施和功能安全防護措施;
(3)僅感知到物理空間有生產安全事件時,優先觸發物理空間的功能安全措施。
圖4網絡安全動態綜合決策架構圖
3.4 融合功能安全的網絡安全防護
3.1節構建的風險評估框架為設計或優化網絡安全防護措施、功能安全措施和物理安全措施提供了方法。根據工業生產系統分層架構及跨空間攻擊路徑特點,本文提出了融合功能安全的縱深防護體系。通常,信息空間會獨立部署網絡安全措施,物理空間會獨立設置功能安全措施或物理安全措施。然而,此種獨立部署模式可能會引起網絡安全措施與功能安全措施的沖突[5-6]。如,加密和認證網絡安全措施可能增加工業生產系統延遲效應,影響生產過程的實時性,然而功能安全措施則要求系統快速響應,延遲可能導致安全生產事故。為了解決網絡安全與功能安全的沖突,應該遵守安全功能可用性優先原則,也就是以滿足安全功能執行的可用性為基準,當確認網絡安全防護可能妨礙安全功能執行時,應以滿足功能安全要求為優先。同時,滿足補償原則,若還存在未能降低的網絡安全風險,則在保證功能安全要求實現的前提下,應通過替代的其他風險降低措施進行補償,以將風險控制在可容忍范圍。
3.5 融合網絡安全和功能安全的應急處置
針對工業生產系統的跨空間攻擊風險,應將網絡安全應急處置相關考慮融入生產安全應急響應中來,形成基于工藝知識的融合網絡安全、功能安全與生產本體安全的綜合安全應急處置方案。這與傳統網絡安全應急處置有顯著區別,詳細區別如表1所示。
表1兩類安全事件的應急處置的不同之處
然而,需要注意的是,無論是否考慮功能安全,重大網絡安全事件的應急處置均需以風險分析為基礎,識別攻擊路徑的初始訪問點和潛在后果;均需協調多種救援專業組(如現場處置組、安全防護組、技術分析組、資源保障組)協同響應;均需依賴攻擊檢測與溯源能力,要求快速隔離遭受感染設備或網絡節點,抑制攻擊擴散;同時關注網絡攻擊的動態演化特性,尤其是對生產系統具有潛在影響的攻擊,通過應急預案的規劃和演練,提升應急響應的效率[7]。未來,建議涉及關鍵基礎設施運營的企業,宜盡快將網絡安全事件應急預案與生產安全事故應急預案實現融合和協同,以提高應對工業生產系統跨空間攻擊事件的應急響應能力。
4 結論
為了提升工業生產系統在面臨網絡安全威脅時的韌性,本文建立了面向工業生產安全的網絡安全體系框架,闡述了基于生產過程偏離的風險評估、覆蓋工業縱深的網絡安全感知、融合功能安全的網絡安全防護、網絡安全動態綜合決策、融合網絡安全和功能安全的應急處置五項關鍵技術的框架和關系,對工業網絡安全與功能安全的融合理論與技術發展具有指導意義。
★基金項目:國家重點研發計劃項目(2023YFB3107703)
作者簡介:
張亞彬(1986-),男,河北保定人,高級工程師,博士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為智能制造與工控安全共性關鍵技術及標準研制。
張 鑫(1990-),男,山東聊城人,高級工程師,博士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為風險評估等共性關鍵技術研究及標準研制。
郭 苗(1985-),女,山西運城人,正高級工程師,碩士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為工控安全關鍵技術相關課題研究、標準研制及工程化應用。
劉 瑤(1987-),女,江蘇泰州人,正高級工程師,學士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為功能安全、工控信息安全及安全一體化。
王麟琨(1974-),男,黑龍江人,教授級高工,博士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為現場總線、機電控制。
孫 愛(2002-),女,北京密云人,學士,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向為過程工業安全關鍵技術及標準研制。
孫鐵良(1967-),男,山東德州人,高級工程師,學士,現就職于國家石油天然氣管網集團有限公司油氣調控中心,主要研究方向為自動化控制、通信和工控系統網絡安全等。
黃 河(1984-),男,重慶永川人,高級工程師,碩士,現就職于國家石油天然氣管網集團有限公司油氣調控中心,主要研究方向為自動化控制和工控系統網絡安全等。
參考文獻:
[1] Grubbs R, Stoddard J, Freeman S, et al. Evolution and trends of industrial control system cyber incidents since 2017[J]. 2021.
[2] Friedberg I, McLaughlin K, Smith P, et al. STPA-SafeSec: Safety and security analysis for cyber-physical systems[J]. Journal of information security and applications, 2017, 34 : 183 - 196.
[3] 劉瑤, 張鑫, 王麟琨. 信息物理生產系統(CPPS)面臨的安全挑戰與解決思路[J]. 中國儀器儀表, 2024, (2) : 78 - 83.
[4] 張鑫, 李天佑, 劉瑤, 等. 信息物理生產系統(CPPS)的安全一體化技術要點分析[J]. 中國儀器儀表, 2024, (3) : 76 - 80.
[5] 熊文澤, 王麟琨, 劉瑤. 信息物理生產系統(CPPS)安全一體化設計與工程[J]. 中國儀器儀表, 2024, (4) : 74 - 79.
[6] 張亞彬, 張鑫, 王麟琨, 等. 油氣管網場站工控系統融合安全防護策略[J]. 自動化博覽, 2025, 42 (1) : 20 - 23.
[7] 梅恪, 張亞彬, 尚羽佳, 等. 5G網絡制造系統縱深防護理論與技術[M]. 北京: 機械工業出版社.
摘自《自動化博覽》2025年6月刊
北京市公安局海淀分局備案號:11010802023656號