隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展����,新的工業(yè)生產(chǎn)模式和新的產(chǎn)品形態(tài)下,需要對(duì)工業(yè)控制系統(tǒng)安全的內(nèi)涵和外延進(jìn)行重新審視和定義�����。本文在總結(jié)分析工控系統(tǒng)安全現(xiàn)狀和問(wèn)題基礎(chǔ)上���,提出基于本體安全的工業(yè)控制系統(tǒng)安全思想方法和形式描述。
1工控系統(tǒng)安全現(xiàn)狀及問(wèn)題分析
針對(duì)工控系統(tǒng)的安全防護(hù)�����,近年來(lái)出現(xiàn)很多產(chǎn)品和解決方案��,在信息安全方面起到了一些作用�����,綜合而言,仍存在較大的問(wèn)題���,具體表現(xiàn)在以下方面:
(1)工控安全解決方案基本集中在防護(hù)����,而且是傳統(tǒng)信息安全技術(shù)的裁剪��,并非量身定做���;作用的對(duì)象主要是網(wǎng)絡(luò)和主機(jī)����,所謂的異常審計(jì)依據(jù)不完整數(shù)據(jù)集和流量�����,而非基于行業(yè)生產(chǎn)規(guī)則的行為分析��。
(2)少數(shù)基于工控裝置的功能加強(qiáng)���,也是從可用性增強(qiáng)�����,以達(dá)到高可靠性目的���,采用的手段是冗余�、容錯(cuò)和表決機(jī)制���,成本翻番���,對(duì)價(jià)格敏感的工業(yè)化生產(chǎn)顯然不適用。
(3)所謂縱深防御深度融合體系���,貌似將信息安全防護(hù)措施集大成�,問(wèn)題一是犧牲“實(shí)時(shí)性”�����,以時(shí)間換取空間��;二是成本過(guò)高����;三是防護(hù)過(guò)重過(guò)度。
(4)缺少針對(duì)業(yè)務(wù)應(yīng)用場(chǎng)景的安全測(cè)試�、檢測(cè)、測(cè)評(píng)�����、評(píng)估標(biāo)準(zhǔn)體系����,且企業(yè)專業(yè)知識(shí)、業(yè)務(wù)能力��、技術(shù)水平有限�,造成防護(hù)措施的行業(yè)適配性差,難以開(kāi)展針對(duì)工業(yè)生產(chǎn)全景的安全態(tài)勢(shì)感知����、分析、預(yù)警服務(wù)���。
究其原因����,目前的工控安全是把工控系統(tǒng)割裂開(kāi),而工控系統(tǒng)實(shí)際上是一個(gè)內(nèi)部強(qiáng)耦合�����、關(guān)聯(lián)作用緊密的整體�����。信息安全廠商和控制廠商從各自的技術(shù)和理解出發(fā)��,過(guò)分強(qiáng)調(diào)某個(gè)方面的安全���,未能將功能安全�����、信息安全�����、過(guò)程安全���,以及運(yùn)行管控安全等有機(jī)融合,造成現(xiàn)在的工控安全解決方案仍拘泥于“防護(hù)”���,遵循傳統(tǒng)的信息安全分區(qū)隔離����、邊界防護(hù)理念����,未深入探究工控系統(tǒng)安全內(nèi)在的本質(zhì)的成因以及相互作用關(guān)系。
工控安全與傳統(tǒng)信息安全最大的不同是其基于業(yè)務(wù)和工藝���,針對(duì)應(yīng)用場(chǎng)景����,必須結(jié)合工藝業(yè)務(wù)要求進(jìn)行安全保障���,簡(jiǎn)單以“零和思維”��、“木桶理論”思 路或試圖用一個(gè)統(tǒng)一的技術(shù)思路來(lái)解決工控安全問(wèn)題都有失偏頗�。
2回歸工控系統(tǒng)安全本質(zhì)
工業(yè)控制系統(tǒng)是由計(jì)算機(jī)設(shè)備與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統(tǒng)����,包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)�����、可編程邏輯控制器(PLC)、遠(yuǎn)程測(cè)控單元(RTU)���、傳感/監(jiān)視/ 控制/診斷系統(tǒng)等����,以及制造執(zhí)行系統(tǒng)(MES)����、歷史數(shù)據(jù)庫(kù)、圖形化界面�����、企業(yè)資源管理系統(tǒng)(ERP)等相關(guān)信息系統(tǒng)���。工控系統(tǒng)安全涉及設(shè)備安全�、功能安全��、信息安全���,覆蓋控制層�、網(wǎng)絡(luò)層、系統(tǒng)層和管理層��,貫穿設(shè)計(jì)��、研發(fā)�、實(shí)施�����、運(yùn)維全生命周期�����。
從功能上可以分成生產(chǎn)功能和安全功能�,生產(chǎn)功能包括生產(chǎn)運(yùn)行控制系統(tǒng),包括基本過(guò)程控制系統(tǒng)�、過(guò)程控制系統(tǒng)、生產(chǎn)運(yùn)行控制系統(tǒng)等���;安全功能包括安全儀表系統(tǒng)��、安全控制系統(tǒng)�、安全保護(hù)控制系統(tǒng)�����、安全監(jiān)測(cè)與控制系統(tǒng)等。
安全的工業(yè)控制系統(tǒng)由工控系統(tǒng)和安全保障系統(tǒng)組成�。所謂工業(yè)控制系統(tǒng)安全(大安全)就是工控系統(tǒng)的設(shè)計(jì)目標(biāo)在生命周期內(nèi)的功能安全可達(dá)性。從本質(zhì)而言����,就是以實(shí)現(xiàn)工業(yè)系統(tǒng)可用性為目標(biāo),綜合運(yùn)用功能安全����、信息安全等技術(shù)手段和防護(hù)措施,保障工業(yè)系統(tǒng)在生命周期內(nèi)的安全穩(wěn)定運(yùn)行���。傳統(tǒng)的工業(yè)安全理論和單一的技術(shù)手段已經(jīng)不能保證工業(yè)的安全穩(wěn)定運(yùn)行��,只有建立基于行業(yè)業(yè)務(wù)規(guī)則的新的理論和技術(shù)創(chuàng)新�,才有可能解決工控系統(tǒng)的本質(zhì)安全�。工控系統(tǒng)安全本質(zhì)圖如圖1所示。
3本體安全創(chuàng)新理論
鑒于工控裝置的“兩個(gè)有限”(合法狀態(tài)有限�����、合法指令有限)原則���,在狀態(tài)可明確窮舉和每個(gè)狀態(tài)下合法指令有限條件下��,執(zhí)行裝置和控制設(shè)備的運(yùn)行狀態(tài)�����、接收和下發(fā)的指令都是可監(jiān)測(cè)和檢測(cè)的����。無(wú)論是外部攻擊還是誤操作等任何原因造成的狀態(tài)異常以及非法指令��、防危和態(tài)勢(shì)感知系統(tǒng)都可知����,可針對(duì)性采取告警、拒絕執(zhí)行(授權(quán)后)等措施���,避免故障發(fā)生���。
工控本體安全是面向工控安全的方法論,是一個(gè)方法的集合�,也是技術(shù)的集合。充分利用工控大數(shù)據(jù)及人工智能技術(shù)�����,通過(guò)構(gòu)建多級(jí)防危模型,實(shí)現(xiàn)不同層級(jí)本體的安全����, 依托三級(jí)本體實(shí)現(xiàn)工控系統(tǒng)整體的主動(dòng)縱深防御:
· 設(shè)備作為個(gè)體,結(jié)合防危形成設(shè)備本體�。防危模塊對(duì)設(shè)備進(jìn)行防危處理,同時(shí)將監(jiān)測(cè)得到的數(shù)據(jù)上傳至其所屬的現(xiàn)場(chǎng)級(jí)本體系統(tǒng)���,并根據(jù)規(guī)則在檢測(cè)到異常操作時(shí)����,向用戶提供建議(存量)或者觸發(fā)設(shè)備自帶的安全處置功能(增量)�����;
· 設(shè)備本體結(jié)合關(guān)聯(lián)模式及信息安全模塊形成現(xiàn)場(chǎng)本體?����,F(xiàn)場(chǎng)本體發(fā)揮承上啟下的作用�,一方面接收來(lái)自設(shè)備本體的安全監(jiān)測(cè)數(shù)據(jù),主動(dòng)檢測(cè)下一級(jí)本體的運(yùn)行狀態(tài)進(jìn)行預(yù)警分析,另一方面����,將現(xiàn)場(chǎng)級(jí)數(shù)據(jù)上傳至系統(tǒng),并接收來(lái)自系統(tǒng)動(dòng)態(tài)感知數(shù)據(jù)對(duì)專家知識(shí)庫(kù)和規(guī)則庫(kù)進(jìn)行調(diào)整����;
· 現(xiàn)場(chǎng)本體結(jié)合系統(tǒng)態(tài)勢(shì)感知以及信息安全形成系統(tǒng)本體。系統(tǒng)本體接收來(lái)自現(xiàn)場(chǎng)級(jí)本體的數(shù)據(jù)�,進(jìn)行總體態(tài)勢(shì)感知,并將系統(tǒng)態(tài)勢(shì)下發(fā)到各個(gè)現(xiàn)場(chǎng)本體���。
工控本體安全示意圖如圖2所示��。
依據(jù)工程控制論思想,設(shè)立設(shè)備�、現(xiàn)場(chǎng)以及系統(tǒng)等三個(gè)層級(jí)的工控本體,利用信息安全��、人工智能等技術(shù)����,建立各級(jí)本體中工控個(gè)體的防危機(jī)制實(shí)現(xiàn)主動(dòng)防御;通過(guò)分析工控組成個(gè)體的屬性及其關(guān)系����,建立用于協(xié)同防御的關(guān)聯(lián)模式��;通過(guò)對(duì)事件的態(tài)勢(shì)分析�,實(shí)現(xiàn)全生命周期的安全防護(hù)�����。
4基于行業(yè)應(yīng)用場(chǎng)景的工控系統(tǒng)安全是未來(lái)發(fā)展方向
隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展��,物聯(lián)網(wǎng)�、邊緣計(jì)算、云計(jì)算�、大數(shù)據(jù)、5G�、人工智能等技術(shù)對(duì)工業(yè)生產(chǎn)活動(dòng)的影響日益加深,自動(dòng)化和信息化的深度融合加快�����,將會(huì)對(duì)工業(yè)生產(chǎn)方式帶來(lái)深刻變革�����,催生新的工控產(chǎn)品形態(tài)���,需要對(duì)工控安全的內(nèi)涵和外延重新審視和定義�。
基于前述背景,工控系統(tǒng)安全是保障工業(yè)業(yè)務(wù)穩(wěn)定開(kāi)展的基石�,但日益增長(zhǎng)的功能要求和技術(shù)全面融合,帶來(lái)的安全隱患也愈發(fā)凸顯和難以簡(jiǎn)單防護(hù)�����,傳統(tǒng)的信息安全和功能安全思路�、技術(shù)和措施也愈發(fā)不適應(yīng),不能滿足業(yè)務(wù)發(fā)展要求����。
行業(yè)工藝不同造成設(shè)備間的差異,以及生產(chǎn)數(shù)據(jù)的保密需求�����,都是工控安全要面對(duì)的障礙���。其中蘊(yùn)含的知識(shí)是企業(yè)的核心競(jìng)爭(zhēng)力所在。每個(gè)行業(yè)對(duì)現(xiàn)場(chǎng)控制裝置�、控制系統(tǒng)的要求都不一樣,這是由于工藝生產(chǎn)的不同要求造成的設(shè)備差異���?���;跇I(yè)務(wù)應(yīng)用場(chǎng)景的專用設(shè)備,要完成的功能也不相同�����。據(jù)此�,對(duì)安全的要求也千差萬(wàn)別,極具“個(gè)性”��。所以說(shuō)�����,工控安全就必須依據(jù)工藝業(yè)務(wù)特點(diǎn)進(jìn)行防護(hù)��,不存在通用的 “靈丹妙藥”����。
5結(jié)論
總的來(lái)說(shuō),工控安全形勢(shì)嚴(yán)峻���,缺少成熟的理論����、核心技術(shù)體系和針對(duì)性解決方案、服務(wù)模式��。歷年的工控安全事件說(shuō)明僅依靠現(xiàn)有的信息安全���、功能安全防護(hù)措施是遠(yuǎn)遠(yuǎn)不夠的��。在工控安全理論體系��、 技術(shù)框架體系�、產(chǎn)品譜系�、咨詢測(cè)試測(cè)評(píng)評(píng)估系列服務(wù)、工控安全全面解決方案�����、工控安全工作長(zhǎng)效協(xié)作機(jī)制等方面�����,還有很長(zhǎng)的路要走��。
從工控安全本質(zhì)出發(fā)��,從業(yè)務(wù)特點(diǎn)出發(fā)��,立足行業(yè)�����,融合自動(dòng)化�、信息、安全等技術(shù)�����,針對(duì)存量�����、增量����、服務(wù),探索工控系統(tǒng)運(yùn)行安全的本質(zhì)機(jī)理���,提出適用理論�,研發(fā)安全的工控產(chǎn)品和防護(hù)產(chǎn)品�����,形成針對(duì)性解決方案,全面提高工控系統(tǒng)安全運(yùn)行的綜合保障能力�����,是一個(gè)可行的行動(dòng)路線�。
