今日頭條
官方微信
官方抖音
資訊頻道 1 引言
隨著控制對象日益復(fù)雜、分布區(qū)域不斷擴大,傳統(tǒng)的點對點式的通訊方式已經(jīng)不能滿足工業(yè)控制某些新的需求。把網(wǎng)絡(luò)引入控制系統(tǒng),采用分布式的控制方式克服了傳統(tǒng)控制方式的很多缺點,使得分布式網(wǎng)絡(luò)控制系統(tǒng)(Distributed Networked Control System,DNCS)在工業(yè)界得到越來越多的關(guān)注和應(yīng)用[1]。然而,傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性,幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注,工業(yè)控制系統(tǒng)越來越多地采用開放Internet技術(shù)實現(xiàn)與企業(yè)網(wǎng),甚至是物聯(lián)網(wǎng)的互連,使得一直以來被認(rèn)為相對孤立和相對安全的工業(yè)控制系統(tǒng)在接入物聯(lián)網(wǎng)后成為黑客、不法分子,甚至網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)。作為工業(yè)控制系統(tǒng)神經(jīng)中樞的SCADA(Supervisory Control And Data Acquisition)系統(tǒng),即數(shù)據(jù)采集、監(jiān)視與控制系統(tǒng),是由計算機設(shè)備、工業(yè)過程控制組件和網(wǎng)絡(luò)組成的典型的分布式網(wǎng)絡(luò)控制系統(tǒng),更是成為攻擊目標(biāo)的中心[2-3]。一些專門針對分布式網(wǎng)絡(luò)控制系統(tǒng)的計算機病毒也逐漸出現(xiàn)并展示出巨大的破壞力。如2009年在拉斯維加斯召開的被譽為學(xué)術(shù)派的“黑客大會”上美國網(wǎng)絡(luò)安全設(shè)計和部署咨詢公司(IOActive)發(fā)布了一種智能電表的蠕蟲病毒,并現(xiàn)場模擬演示了一個“恐怖”的場景:一種智能電表的蠕蟲病毒竟能讓1.5萬戶家庭的電力供應(yīng)在24小時內(nèi)陷入癱瘓,震驚了美國安全部和能源部。2010年9月一個名為“震網(wǎng)”(Stuxnet)的特種病毒席卷了全球工業(yè)界,感染了全球超過45000個網(wǎng)絡(luò),徹底將工業(yè)控制系統(tǒng)的安全問題暴露出來,引起了世界各國的高度重視。
據(jù)權(quán)威工業(yè)安全事件信息庫(Repository of Industrial Security Incidents, RISI)統(tǒng)計,截至2011年10月,全球己發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件,超過了過去10年安全事件的總和。其中,電力、石油、交通和污水處理等分布距離遠(yuǎn)、生產(chǎn)單位分散的重要基礎(chǔ)行業(yè),因其廣域分布的特性使得入侵者更容易通過網(wǎng)絡(luò)遠(yuǎn)程操縱控制系統(tǒng),給各國基礎(chǔ)行業(yè)帶來了巨大安全隱患。因此,分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全問題引起了國內(nèi)外諸多研究工作者的關(guān)注,成為國際自動控制領(lǐng)域進(jìn)入21世紀(jì)以來的一個熱點研究課題[4-5]。本綜述將從控制和IT領(lǐng)域兩個方面介紹分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究現(xiàn)狀,基本方法及其存在的主要安全控制問題。
2 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全問題
分布式網(wǎng)絡(luò)控制系統(tǒng)是由通信網(wǎng)絡(luò)組成閉環(huán)回路的空間分布式控制系統(tǒng),通常含有四個基本組成單元,即傳感器、控制器、執(zhí)行器和通信網(wǎng)絡(luò)。其中,通信網(wǎng)絡(luò)是為了連接分布在不同空間位置上的組成單元,其基本結(jié)構(gòu)如圖1 所示。
圖1 分布式網(wǎng)絡(luò)化控制系統(tǒng)結(jié)構(gòu)圖
與傳統(tǒng)的點對點控制結(jié)構(gòu)相比,DNCS具有資源共享、成本低、靈活性高、安裝維護簡單等優(yōu)點,已經(jīng)成為學(xué)術(shù)界和工業(yè)界的研究熱點之一[6]。然而,隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,最初依賴于專用協(xié)議和系統(tǒng)封閉性的安全保障逐漸被打破。在當(dāng)前工業(yè)控制系統(tǒng)廣泛采用標(biāo)準(zhǔn)、通用協(xié)議、軟硬件系統(tǒng)以及與其它網(wǎng)絡(luò)互連的形勢下,系統(tǒng)越來越面臨著病毒、木馬、黑客入侵、拒絕服務(wù)等來自于網(wǎng)絡(luò)的威脅,其安全問題日益突出。
2.1 分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全現(xiàn)狀近年來,分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全大事件報道不絕于耳,如:
·2007年,攻擊者入侵加拿大一個水利SCADA控制系統(tǒng),破壞了取水調(diào)度的控制計算機;
·2008年,攻擊者入侵波蘭某城市地鐵系統(tǒng),通過電視遙控器改變軌道扳道器,致四節(jié)車廂脫軌;
·2010年,西門子首次監(jiān)測到專門攻擊該公司工業(yè)控制系統(tǒng)的Stuxnet病毒,也稱為震網(wǎng)病毒;伊朗政府宣布布什爾核電站員工電腦感染Stuxnet病毒,嚴(yán)重威脅核反應(yīng)堆安全運營;
·2011年,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;
·2011年,微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報數(shù)據(jù);
·2012年,兩座美國電廠遭USB病毒攻擊,感染了每個工廠的工控系統(tǒng),可被竊取數(shù)據(jù);
·2012年,發(fā)現(xiàn)攻擊多個中東國家的惡意程序Flame火焰病毒,它能收集各行業(yè)的敏感信息。
我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
實際上,美國早在20年前就已經(jīng)在政策層面上關(guān)注工業(yè)控制系統(tǒng)信息安全問題[7-10]。歷經(jīng)克林頓、布什及奧巴馬三屆政府,發(fā)布了一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全方面的國家法規(guī)戰(zhàn)略。如2002年美國國家研究理事會將“控制系統(tǒng)攻擊”作為需要“緊急關(guān)注”的事項[11],2004年,美國政府問責(zé)署發(fā)布《防護控制系統(tǒng)的挑戰(zhàn)和工作》報告[12],2006年發(fā)布《能源行業(yè)防護控制系統(tǒng)路線圖》[13],2009年出臺國家基礎(chǔ)設(shè)施保護計劃(NIPP)[14]和2011年發(fā)布《實現(xiàn)能源供應(yīng)系統(tǒng)信息安全路線圖》[15]等。北美電力可靠性委員會(NERC)還專門制定了用于關(guān)鍵基礎(chǔ)設(shè)施信息安全防護的CIP系列標(biāo)準(zhǔn),并由美國聯(lián)邦監(jiān)管委員會(FERC)于2009年批準(zhǔn)成為強制性標(biāo)準(zhǔn)。美國在國家層面上工業(yè)控制系統(tǒng)信息安全工作還包括2個國家級專項計劃[16]:美國能源部(DOE)的《國家SCADA測試床計劃(NSTB)》 [17-18]和美國國土安全部(DHS)的《控制系統(tǒng)安全計劃(CSSP)》 [19]。美國的工控系統(tǒng)已經(jīng)逐步形成完整的信息安全管理體制和技術(shù)體系。
與美國相比,歐盟及歐洲各國的關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全的工作起步較晚。但是針對關(guān)鍵基礎(chǔ)設(shè)施保護和工業(yè)控制系統(tǒng)信息安全,歐洲已經(jīng)開展了一系列的大型專項計劃。例如2004年至2010年歐共體委員會發(fā)布一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護的報告[20-21];歐洲網(wǎng)絡(luò)和信息安全局(ENISA)在2011年12月發(fā)布《保護工業(yè)控制系統(tǒng)》系列報告,全面總結(jié)當(dāng)前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀[22],充分反映出分布式網(wǎng)絡(luò)控制系統(tǒng)信息安全面臨著嚴(yán)峻的考驗。工控系統(tǒng)安全性引起了我國政府的高度重視,國家發(fā)改委自2010年起開始組織信息安全專項,將工業(yè)控制系統(tǒng)安全問題作為獨立領(lǐng)域重點支持[23]。國家自然科學(xué)基金委也加大對工控系統(tǒng)安全性研究立項和資助,重點資助了湖南大學(xué)和浙江大學(xué)開展智能電網(wǎng)和工控系統(tǒng)安全脆弱性評估與分析研究。
2.2 分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的比較分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題,面臨著來自不同方面的威脅,如管理信息層面臨來自互聯(lián)網(wǎng)的攻擊,也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進(jìn)入工控網(wǎng),一直到現(xiàn)場網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作,最嚴(yán)重的要屬第三方運維人員對現(xiàn)場設(shè)備的操作;還有遠(yuǎn)程撥號的攻擊,有現(xiàn)場及野外搭線的威脅等。當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險重點不同,比如軍工行業(yè)主要強調(diào)工控網(wǎng)和涉密網(wǎng)連接時的信息保密;石化強調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。國際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來源,也從策略程序、平臺及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險和脆弱性。這些都從不同角度說明分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全既包括SCADA、DCS等信息物理融合系統(tǒng)自身的信息安全,又包括工控系統(tǒng)對相互依賴的關(guān)鍵基礎(chǔ)設(shè)施的影響。
分布式網(wǎng)絡(luò)控制系統(tǒng)會遭遇到與傳統(tǒng)IT系統(tǒng)相同的安全問題,且還會遭遇到很多不同于傳統(tǒng)IT技術(shù)的安全問題,其根源在于各自的安全目標(biāo)不同。在傳統(tǒng)的IT信息技術(shù)領(lǐng)域,通常將機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)稱為安全的三種基本屬性,并通常認(rèn)為機密性的優(yōu)先級最高,完整性次之,可用性最低。而分布式網(wǎng)絡(luò)控制系統(tǒng)的安全目標(biāo)則正好相反,可用性的優(yōu)先級最高。
其中可用性是保證所有資源及信息都處于可用狀態(tài);完整性是保證所有信息均保持完整正確,沒有被篡改、刪除;機密性是保證正確的人可以訪問正確的信息。與傳統(tǒng)的IT系統(tǒng)不同,分布式網(wǎng)絡(luò)控制系統(tǒng)將可用性放在第一位,因為工業(yè)數(shù)據(jù)都是原始格式,需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線停機或誤動作都有可能導(dǎo)致巨大經(jīng)濟損失,甚至是人員生命危險和環(huán)境的破壞。當(dāng)控制系統(tǒng)安全保護層被突破后仍必須保證生產(chǎn)過程的安全,盡量降低對人員、環(huán)境、資產(chǎn)的破壞。
除此之外,工控系統(tǒng)的實時性指標(biāo)也非常重要,且在進(jìn)行安全加固時各個系統(tǒng)的側(cè)重點也有所區(qū)別。表1[24]給出了分布式網(wǎng)絡(luò)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)在不同性能指標(biāo)方面的區(qū)別。
3 分布式網(wǎng)絡(luò)控制系統(tǒng)的信息安全研究
考慮網(wǎng)絡(luò)環(huán)境對控制系統(tǒng)性能和設(shè)計的影響是分布式網(wǎng)絡(luò)控制系統(tǒng)理論研究的一個重點。IEEE 會刊于2001 年[25],2004 年[26]和2007 年[27,28]相繼出版了關(guān)于網(wǎng)絡(luò)化控制系統(tǒng)的專刊,對網(wǎng)絡(luò)誘導(dǎo)時延、網(wǎng)絡(luò)數(shù)據(jù)丟失、時序錯亂、調(diào)度優(yōu)化等多個方面進(jìn)行了論述[29],給出了模糊控制、預(yù)測控制、自適應(yīng)控制、魯棒控制、多數(shù)率采樣控制、時間/事件混合驅(qū)動等多種先進(jìn)控制算法。但上述研究主要限于考慮通信網(wǎng)絡(luò)在未受到惡意攻擊情況下網(wǎng)絡(luò)自身因素對控制系統(tǒng)設(shè)計的外在影響。
當(dāng)系統(tǒng)受到惡意攻擊時,系統(tǒng)接收或傳遞的部分或全部信息可能受到惡意篡改,系統(tǒng)中某些設(shè)備、控制元器件更可能因接到錯誤命令遭到破壞或帶來不必要的事故。因此,如何讓系統(tǒng)在受到惡意攻擊后仍能保持一定性能,最大限度降低事故引發(fā)的破壞,是我們自動化人致力研究的問題。目前,針對系統(tǒng)受到信息物理惡意攻擊下的工業(yè)控制系統(tǒng)安全性問題,可以按照攻擊的研究切入點不同主要分為兩類:信息安全防護和基于系統(tǒng)理論的安全性能分析與安全控制。
3.1 信息安全防護
信息安全防護研究主要借鑒IT信息安全方法,通過脆弱性分析和風(fēng)險評估,分析系統(tǒng)潛在的系統(tǒng)漏洞和攻擊路徑,結(jié)合工業(yè)控制系統(tǒng)特點設(shè)計信息安全防護措施。文[30]給出了一種攻擊圖模型,這種模型搜集了所有可能的網(wǎng)絡(luò)入侵方案,同時使用多準(zhǔn)則決策技術(shù)來評估電力控制系統(tǒng)通信網(wǎng)絡(luò)的脆弱性。Ten 等在文[31、32]中提出了一個基于Petri-nets和攻擊樹模型的脆弱性評估框架,這個框架從系統(tǒng)、方案以及通道點三個層面系統(tǒng)分析了變電站和控制中心的脆弱性,并以負(fù)載丟失的方式衡量了網(wǎng)絡(luò)攻擊可能帶來的損失。面對網(wǎng)絡(luò)層面存在的風(fēng)險,大量的研究工作聚焦于改進(jìn)舊有的協(xié)議,賦予其適應(yīng)如今趨勢的安全特性。例如,文[33-35] 提出通過修改ICCP,DNP3和Modbus等傳統(tǒng)SCADA協(xié)議,在保持與現(xiàn)有系統(tǒng)兼容的前提下增強其安全性。此外,考慮到網(wǎng)絡(luò)控制系統(tǒng)對可用性的嚴(yán)格要求以及傳統(tǒng)加密方法的時延性,Tsang和Smith在文[36]中提出了一種BITW(網(wǎng)路嵌入式)加密方法。這種方法通過減少加密和認(rèn)證過程中的信息滯留,明顯改善了其時延性。在認(rèn)證方面,Khurana等在文[37]中定義了電網(wǎng)中認(rèn)證協(xié)議的設(shè)計準(zhǔn)則。此外,文[38]提出了更靈活的認(rèn)證協(xié)議來保證認(rèn)證的長期有效性,并為應(yīng)對密鑰妥協(xié)以及認(rèn)證模塊的脆弱性設(shè)計了密鑰更新和重塑算法。
文[39]針對智能電網(wǎng)不同的角色具有不同接入權(quán)限的特點提出基于角色的智能電網(wǎng)接入控制模型;文[40]針對信息物理系統(tǒng)實時性要求,設(shè)計了一種輕量級兩步共同認(rèn)證協(xié)議;文[41]針對智能電網(wǎng)網(wǎng)絡(luò)攻擊,設(shè)計了一種分層入侵檢測方法。上述基于信息安全方法的研究針對工業(yè)控制系統(tǒng)角色權(quán)限、實時性要求、分層網(wǎng)絡(luò)架構(gòu)等特點提出了安全防護措施。目前國內(nèi)工業(yè)控制系統(tǒng)安全的研究重點在信息安全防護技術(shù)的研發(fā)。在工業(yè)控制系統(tǒng)安全脆弱性分析和攻擊建模方面,文[42]研究了基于攻擊圖的控制網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)攻擊建模;文[43]針對分布式網(wǎng)絡(luò)故障檢測檢測及恢復(fù)介紹了故障冗余及恢復(fù)技術(shù);文[44、45]針對電力系統(tǒng)提出了系統(tǒng)脆弱性和安全分析方法;文[46]詳細(xì)分析了工業(yè)控制系統(tǒng)中的風(fēng)險要素及其相互關(guān)系;文[47]提出最優(yōu)子模式分配的敏感指標(biāo)構(gòu)建方法。在入侵檢測系統(tǒng)和安全防護設(shè)計方面,文[43]設(shè)計了一種深度防御自適應(yīng)入侵檢測系統(tǒng),文[48]提出基于案例同理的入侵檢測關(guān)聯(lián)分析模型;文[49]設(shè)計了一種安全交換機制,保證接入網(wǎng)絡(luò)的用戶的合法性;文[50]提出通過功能安全和信息安全結(jié)合建模抵御惡意攻擊。
總體來說,國際在工業(yè)控制系統(tǒng)的信息安全防護方面的研究較深入,提出了“縱深防御”的工業(yè)控制系統(tǒng)信息安全策略。但主要還是針對工業(yè)控制系統(tǒng)特點與限制,擴展IT信息安全方法,大多僅停留在信息層,很少與工業(yè)控制系統(tǒng)的物理動態(tài)有機結(jié)合。國內(nèi)在工業(yè)控制系統(tǒng)信息安全的研究還處于起步階段,相關(guān)研究主要集中在系統(tǒng)脆弱性評估和安全分析上,缺乏在控制系統(tǒng)理論框架下對工業(yè)控制系統(tǒng)安全性的研究。
3.2 基于系統(tǒng)理論的安全性能分析與安全控制基于系統(tǒng)系統(tǒng)理論的安全性能分析與安全控制的研究,其安全性問題主要從工業(yè)控制系統(tǒng)的物理防護機制和物理系統(tǒng)模型切入,研究可能繞過物理防護機制的壞數(shù)據(jù)注入攻擊方法,或者直接針對物理系統(tǒng)模型,研究破壞物理系統(tǒng)性能的攻擊策略,這部分研究可統(tǒng)稱為基于系統(tǒng)理論的攻擊向量和建模的研究。另外,最近國際上部分學(xué)者提出要充分利用系統(tǒng)物理動態(tài)特性設(shè)計入侵檢測和安全控制算法,即充分挖掘系統(tǒng)物理系統(tǒng)動態(tài)所具備的安全性能。根據(jù)所研究系統(tǒng)物理模型的不同,基于系統(tǒng)理論的安全性能分析與安全控制的研究又可分為靜態(tài)系統(tǒng)和動態(tài)系統(tǒng)研究。
在靜態(tài)系統(tǒng)模型下信息物理系統(tǒng)的研究中,主要分為三類:(a)攻擊向量研究;(b)針對攻擊向量設(shè)計安全防護;(c)針對攻擊向量,研究靜態(tài)系統(tǒng)極限性能,利用極限性能設(shè)計安全防護。在靜態(tài)系統(tǒng)模型下,攻擊向量研究注重在系統(tǒng)物理防護限制下的攻擊模型設(shè)計:如文[51]研究了具有壞數(shù)據(jù)檢測功能的狀態(tài)估計中測量器接入受限和資源受限情況下的攻擊向量;文[52]研究了具有壞數(shù)據(jù)檢測和系統(tǒng)拓?fù)湎拗频臓顟B(tài)估計中的拓?fù)涔簟T诠粝蛄垦芯康幕A(chǔ)上,一部分研究者開始針對典型攻擊向量,利用PMU布置等關(guān)鍵節(jié)點防護或新的壞數(shù)據(jù)檢測方法設(shè)計安全防護:如文[53,54]針對攻擊特點設(shè)計最大化攻擊影響攻擊向量,提出基于GLRT廣義似然比測試的壞數(shù)據(jù)檢測方法,通過增強壞數(shù)據(jù)檢測功能,實現(xiàn)攻擊的檢測;文[55,56]研究了分布式狀態(tài)估計系統(tǒng)攻擊向量,并針對分布式狀態(tài)估計算法收斂性和系統(tǒng)拓?fù)涮攸c,設(shè)計了攻擊檢測和攻擊定位方法;文[57]針對壞數(shù)據(jù)注入攻擊,提出最小攻擊數(shù)量優(yōu)化問題和最小化PMU布置的安全防護方法。針對以上研究缺乏理論指導(dǎo),研究者基于物理系統(tǒng)特點,分析靜態(tài)系統(tǒng)的極限性能:如文[58]針對靜態(tài)系統(tǒng)狀態(tài)估計問題,分析了攻擊可檢測性條件,即滿足測量矩陣列滿秩條件;文[59]研究了電力系統(tǒng)狀態(tài)估計中的拓?fù)涔簦治隽斯艨蓹z測的充分必要條件,并利用以上條件設(shè)計基于PMU布置等關(guān)鍵節(jié)點防護的安全防護措施。
在靜態(tài)系統(tǒng)中研究工業(yè)控制系統(tǒng)安全性問題為動態(tài)系統(tǒng)的研究提供了思路,但基于靜態(tài)系統(tǒng)的研究沒有利用系統(tǒng)動態(tài)性能;同時,在攻擊建模中沒有利用系統(tǒng)中已有的信息安全措施。
動態(tài)系統(tǒng)模型下的系統(tǒng)安全性能與控制研究與靜態(tài)系統(tǒng)模型類似,主要分為三類:攻擊向量研究;基于攻擊向量設(shè)計安全防護;在系統(tǒng)理論下分析系統(tǒng)極限性能,并利用極限性能分析設(shè)計安全防護。在攻擊向量研究中,文[60]研究了實時電力市場在壞數(shù)據(jù)檢測約束下的攻擊向量;文[61]研究了帶有卡爾曼濾波器和LQG控制器的線性時滯系統(tǒng)的攻擊向量。根據(jù)攻擊向量,相關(guān)學(xué)者提出利用動態(tài)系統(tǒng)特點設(shè)計安全防護:文[62]通過在控制系統(tǒng)中加入獨立高斯噪聲,對重放攻擊加以防護;文[63]通過最優(yōu)化系統(tǒng)認(rèn)證機制,實現(xiàn)對系統(tǒng)整體攻擊檢測的最大化。由于以上安全防護設(shè)計僅僅是針對具體攻擊特點和已有經(jīng)驗的防護設(shè)計,缺乏具體理論指導(dǎo)。最近有些學(xué)者提出研究物理動態(tài)系統(tǒng)在受攻擊下的系統(tǒng)安全極限性能,并以此為指導(dǎo),設(shè)計系統(tǒng)的安全防護:如文[64]在廣義系統(tǒng)框架下,將攻擊刻畫為獨立的任意無界干擾,分析攻擊的可檢測性和可辨識性,并以此指導(dǎo)設(shè)計入侵檢測算法;文[65]研究在獨立的任意無界干擾攻擊下系統(tǒng)狀態(tài)的可觀測性,基于壓縮感知理論給出系統(tǒng)可觀測極限性能條件,并以此為指導(dǎo)設(shè)計系統(tǒng)彈性控制算法。
在動態(tài)系統(tǒng)模型下對信息物理系統(tǒng)的安全性研究,更接近系統(tǒng)實際性能。但針對攻擊構(gòu)建防護的方法,缺乏動態(tài)系統(tǒng)框架下極限性能分析的指導(dǎo)。另一方面,在動態(tài)系統(tǒng)框架下分析極限性能的研究把攻擊刻畫為獨立的任意無界干擾,沒有利用系統(tǒng)固有物理防護約束,以及系統(tǒng)信息安全約束,導(dǎo)致安全防護策略過于保守,實現(xiàn)成本高。
表2對工業(yè)控制系統(tǒng)的安全防護與控制研究現(xiàn)狀進(jìn)行了總結(jié),表明當(dāng)前針對信息物理攻擊的工業(yè)控制系統(tǒng)安全方面的研究存在如下問題:信息安全方法與基于系統(tǒng)理論的安全控制方法分離,即基于系統(tǒng)理論的安全控制研究中沒有考慮系統(tǒng)固有物理防護和信息安全機制帶來的攻擊約束,使得基于系統(tǒng)理論設(shè)計的安全檢測與彈性安全控制算法不能與信息安全機制有機融合,由此造成了基于系統(tǒng)理論的安全防護策略過于保守,降低了其在工程中的使用價值。另外,需要指出的是,上述研究大部分是針對單控制中心的工業(yè)控制系統(tǒng)安全防護與控制,國際上針對具多控制中心的分布式網(wǎng)絡(luò)控制系統(tǒng)的安全性能分析與安全控制方面的研究非常少。
4 結(jié)語
本文詳細(xì)介紹了分布式網(wǎng)絡(luò)控制系統(tǒng)的安全問題與傳統(tǒng)IT信息安全問題的區(qū)別,闡述了分布式網(wǎng)絡(luò)控制系統(tǒng)的信息物理安全問題的研究現(xiàn)狀及存在的問題,針對分布式網(wǎng)絡(luò)控制系統(tǒng)信息物理安全的一些重要問題提出了見解。
讀者可以從文中所提及的相應(yīng)參考文獻(xiàn)中找到更深層次的討論。我們寄希望讀者能從中發(fā)現(xiàn)更多新的問題,提供有效的解決方案,并在此領(lǐng)域繼續(xù)努力,為分布式控制系統(tǒng)的安全運行作出貢獻(xiàn)。
摘自 工業(yè)控制系統(tǒng)信息安全專刊
北京市公安局海淀分局備案號:11010802023656號