1　引言

    随着控制对象日益复杂、分布区域不断扩大，传统的点对点式的通讯方式已经不能满足工业控制某些新的需求。把网络引入控制系统，采用分布式的控制方式克服了传统控制方式的很多缺点，使得分布式网络控制系统（Distributed Networked Control System,DNCS）在工业界得到越来越多的关注和应用[1]。然而，传统控制系统的安全性主要依赖于其技术的隐秘性，几乎未采取任何安全措施。随着企业管理层对生产过程数据的日益关注，工业控制系统越来越多地采用开放Internet技术实现与企业网，甚至是物联网的互连，使得一直以来被认为相对孤立和相对安全的工业控制系统在接入物联网后成为黑客、不法分子，甚至网络战的攻击目标。作为工业控制系统神经中枢的SCADA(Supervisory Control And Data Acquisition)系统，即数据采集、监视与控制系统，是由计算机设备、工业过程控制组件和网络组成的典型的分布式网络控制系统，更是成为攻击目标的中心[2-3]。一些专门针对分布式网络控制系统的计算机病毒也逐渐出现并展示出巨大的破坏力。如2009年在拉斯维加斯召开的被誉为学术派的“黑客大会”上美国网络安全设计和部署咨询公司(IOActive)发布了一种智能电表的蠕虫病毒，并现场模拟演示了一个“恐怖”的场景：一种智能电表的蠕虫病毒竟能让1.5万户家庭的电力供应在24小时内陷入瘫痪,震惊了美国安全部和能源部。2010年9月一个名为“震网”（Stuxnet）的特种病毒席卷了全球工业界，感染了全球超过45000个网络，彻底将工业控制系统的安全问题暴露出来，引起了世界各国的高度重视。

    据权威工业安全事件信息库（Repository of Industrial Security Incidents, RISI)统计，截至2011年10月，全球己发生200余起针对工业控制系统的攻击事件，超过了过去10年安全事件的总和。其中，电力、石油、交通和污水处理等分布距离远、生产单位分散的重要基础行业，因其广域分布的特性使得入侵者更容易通过网络远程操纵控制系统，给各国基础行业带来了巨大安全隐患。因此，分布式网络控制系统的信息安全问题引起了国内外诸多研究工作者的关注，成为国际自动控制领域进入21世纪以来的一个热点研究课题[4-5]。本综述将从控制和IT领域两个方面介绍分布式网络控制系统的信息安全研究现状，基本方法及其存在的主要安全控制问题。

    2　分布式网络控制系统信息安全问题

分布式网络控制系统是由通信网络组成闭环回路的空间分布式控制系统，通常含有四个基本组成单元，即传感器、控制器、执行器和通信网络。其中，通信网络是为了连接分布在不同空间位置上的组成单元,其基本结构如图1 所示。
 

    图1　分布式网络化控制系统结构图

    与传统的点对点控制结构相比，DNCS具有资源共享、成本低、灵活性高、安装维护简单等优点，已经成为学术界和工业界的研究热点之一[6]。然而，随着计算机技术和网络技术的飞速发展，特别是信息化与工业化深度融合以及物联网的快速发展，最初依赖于专用协议和系统封闭性的安全保障逐渐被打破。在当前工业控制系统广泛采用标准、通用协议、软硬件系统以及与其它网络互连的形势下，系统越来越面临着病毒、木马、黑客入侵、拒绝服务等来自于网络的威胁，其安全问题日益突出。

    2.1　分布式网络控制系统信息安全现状近年来，分布式网络控制系统信息安全大事件报道不绝于耳，如：

    ·2007年，攻击者入侵加拿大一个水利SCADA控制系统，破坏了取水调度的控制计算机；

    ·2008年，攻击者入侵波兰某城市地铁系统，通过电视遥控器改变轨道扳道器，致四节车厢脱轨；

    ·2010年，西门子首次监测到专门攻击该公司工业控制系统的Stuxnet病毒，也称为震网病毒；伊朗政府宣布布什尔核电站员工电脑感染Stuxnet病毒，严重威胁核反应堆安全运营；

    ·2011年，黑客入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏；

    ·2011年，微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据；

    ·2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据；

    ·2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息。

    我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度地中断。

    实际上，美国早在20年前就已经在政策层面上关注工业控制系统信息安全问题[7-10]。历经克林顿、布什及奥巴马三届政府，发布了一系列关于关键基础设施保护和工业控制系统信息安全方面的国家法规战略。如2002年美国国家研究理事会将“控制系统攻击”作为需要“紧急关注”的事项[11]，2004年，美国政府问责署发布《防护控制系统的挑战和工作》报告[12]，2006年发布《能源行业防护控制系统路线图》[13]，2009年出台国家基础设施保护计划（NIPP）[14]和2011年发布《实现能源供应系统信息安全路线图》[15]等。北美电力可靠性委员会（NERC）还专门制定了用于关键基础设施信息安全防护的CIP系列标准，并由美国联邦监管委员会（FERC）于2009年批准成为强制性标准。美国在国家层面上工业控制系统信息安全工作还包括2个国家级专项计划[16]：美国能源部（DOE）的《国家SCADA测试床计划（NSTB）》 [17-18]和美国国土安全部（DHS）的《控制系统安全计划（CSSP）》 [19]。美国的工控系统已经逐步形成完整的信息安全管理体制和技术体系。

    与美国相比，欧盟及欧洲各国的关键基础设施保护和工业控制系统信息安全的工作起步较晚。但是针对关键基础设施保护和工业控制系统信息安全，欧洲已经开展了一系列的大型专项计划。例如2004年至2010年欧共体委员会发布一系列关于关键基础设施保护的报告[20-21]；欧洲网络和信息安全局（ENISA）在2011年12月发布《保护工业控制系统》系列报告，全面总结当前工业控制系统信息安全现状[22]，充分反映出分布式网络控制系统信息安全面临着严峻的考验。工控系统安全性引起了我国政府的高度重视，国家发改委自2010年起开始组织信息安全专项，将工业控制系统安全问题作为独立领域重点支持[23]。国家自然科学基金委也加大对工控系统安全性研究立项和资助，重点资助了湖南大学和浙江大学开展智能电网和工控系统安全脆弱性评估与分析研究。

    2.2　分布式网络控制系统与传统IT系统的比较分布式网络控制系统的信息物理安全问题，面临着来自不同方面的威胁，如管理信息层面临来自互联网的攻击，也有企业内部恶意的攻击通过企业网进入工控网，一直到现场网络；在控制层有系统管理人员非法操作，最严重的要属第三方运维人员对现场设备的操作；还有远程拨号的攻击，有现场及野外搭线的威胁等。当然不同行业面临的威胁和风险重点不同，比如军工行业主要强调工控网和涉密网连接时的信息保密；石化强调DCS系统生产的连续和非异常；电力强调SCADA调度系统的不中断等。国际NIST SP800-82《工业控制系统安全指南》中已经详细描述了各种威胁来源，也从策略程序、平台及网络等方面讲述了可能的风险和脆弱性。这些都从不同角度说明分布式网络控制系统的信息安全既包括SCADA、DCS等信息物理融合系统自身的信息安全，又包括工控系统对相互依赖的关键基础设施的影响。

    分布式网络控制系统会遭遇到与传统IT系统相同的安全问题，且还会遭遇到很多不同于传统IT技术的安全问题，其根源在于各自的安全目标不同。在传统的IT信息技术领域，通常将机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）称为安全的三种基本属性，并通常认为机密性的优先级最高，完整性次之，可用性最低。而分布式网络控制系统的安全目标则正好相反，可用性的优先级最高。

    其中可用性是保证所有资源及信息都处于可用状态；完整性是保证所有信息均保持完整正确，没有被篡改、删除；机密性是保证正确的人可以访问正确的信息。与传统的IT系统不同，分布式网络控制系统将可用性放在第一位，因为工业数据都是原始格式，需要配合有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产，生产线停机或误动作都有可能导致巨大经济损失，甚至是人员生命危险和环境的破坏。当控制系统安全保护层被突破后仍必须保证生产过程的安全，尽量降低对人员、环境、资产的破坏。

    除此之外，工控系统的实时性指标也非常重要，且在进行安全加固时各个系统的侧重点也有所区别。表1[24]给出了分布式网络控制系统与传统IT系统在不同性能指标方面的区别。

    3　分布式网络控制系统的信息安全研究

    考虑网络环境对控制系统性能和设计的影响是分布式网络控制系统理论研究的一个重点。IEEE 会刊于2001 年[25]，2004 年[26]和2007 年[27,28]相继出版了关于网络化控制系统的专刊，对网络诱导时延、网络数据丢失、时序错乱、调度优化等多个方面进行了论述[29]，给出了模糊控制、预测控制、自适应控制、鲁棒控制、多数率采样控制、时间/事件混合驱动等多种先进控制算法。但上述研究主要限于考虑通信网络在未受到恶意攻击情况下网络自身因素对控制系统设计的外在影响。

    当系统受到恶意攻击时，系统接收或传递的部分或全部信息可能受到恶意篡改，系统中某些设备、控制元器件更可能因接到错误命令遭到破坏或带来不必要的事故。因此，如何让系统在受到恶意攻击后仍能保持一定性能，最大限度降低事故引发的破坏，是我们自动化人致力研究的问题。目前，针对系统受到信息物理恶意攻击下的工业控制系统安全性问题，可以按照攻击的研究切入点不同主要分为两类：信息安全防护和基于系统理论的安全性能分析与安全控制。

    3.1　信息安全防护

    信息安全防护研究主要借鉴IT信息安全方法，通过脆弱性分析和风险评估，分析系统潜在的系统漏洞和攻击路径，结合工业控制系统特点设计信息安全防护措施。文[30]给出了一种攻击图模型，这种模型搜集了所有可能的网络入侵方案，同时使用多准则决策技术来评估电力控制系统通信网络的脆弱性。Ten 等在文[31、32]中提出了一个基于Petri-nets和攻击树模型的脆弱性评估框架，这个框架从系统、方案以及通道点三个层面系统分析了变电站和控制中心的脆弱性，并以负载丢失的方式衡量了网络攻击可能带来的损失。面对网络层面存在的风险，大量的研究工作聚焦于改进旧有的协议，赋予其适应如今趋势的安全特性。例如，文[33-35] 提出通过修改ICCP,DNP3和Modbus等传统SCADA协议，在保持与现有系统兼容的前提下增强其安全性。此外，考虑到网络控制系统对可用性的严格要求以及传统加密方法的时延性，Tsang和Smith在文[36]中提出了一种BITW（网路嵌入式）加密方法。这种方法通过减少加密和认证过程中的信息滞留，明显改善了其时延性。在认证方面，Khurana等在文[37]中定义了电网中认证协议的设计准则。此外，文[38]提出了更灵活的认证协议来保证认证的长期有效性,并为应对密钥妥协以及认证模块的脆弱性设计了密钥更新和重塑算法。

    文[39]针对智能电网不同的角色具有不同接入权限的特点提出基于角色的智能电网接入控制模型；文[40]针对信息物理系统实时性要求，设计了一种轻量级两步共同认证协议；文[41]针对智能电网网络攻击，设计了一种分层入侵检测方法。上述基于信息安全方法的研究针对工业控制系统角色权限、实时性要求、分层网络架构等特点提出了安全防护措施。目前国内工业控制系统安全的研究重点在信息安全防护技术的研发。在工业控制系统安全脆弱性分析和攻击建模方面，文[42]研究了基于攻击图的控制网络脆弱性网络攻击建模；文[43]针对分布式网络故障检测检测及恢复介绍了故障冗余及恢复技术；文[44、45]针对电力系统提出了系统脆弱性和安全分析方法；文[46]详细分析了工业控制系统中的风险要素及其相互关系；文[47]提出最优子模式分配的敏感指标构建方法。在入侵检测系统和安全防护设计方面，文[43]设计了一种深度防御自适应入侵检测系统，文[48]提出基于案例同理的入侵检测关联分析模型；文[49]设计了一种安全交换机制，保证接入网络的用户的合法性；文[50]提出通过功能安全和信息安全结合建模抵御恶意攻击。

    总体来说，国际在工业控制系统的信息安全防护方面的研究较深入，提出了“纵深防御”的工业控制系统信息安全策略。但主要还是针对工业控制系统特点与限制，扩展IT信息安全方法，大多仅停留在信息层，很少与工业控制系统的物理动态有机结合。国内在工业控制系统信息安全的研究还处于起步阶段，相关研究主要集中在系统脆弱性评估和安全分析上，缺乏在控制系统理论框架下对工业控制系统安全性的研究。

    3.2　基于系统理论的安全性能分析与安全控制基于系统系统理论的安全性能分析与安全控制的研究，其安全性问题主要从工业控制系统的物理防护机制和物理系统模型切入，研究可能绕过物理防护机制的坏数据注入攻击方法，或者直接针对物理系统模型，研究破坏物理系统性能的攻击策略，这部分研究可统称为基于系统理论的攻击向量和建模的研究。另外，最近国际上部分学者提出要充分利用系统物理动态特性设计入侵检测和安全控制算法，即充分挖掘系统物理系统动态所具备的安全性能。根据所研究系统物理模型的不同，基于系统理论的安全性能分析与安全控制的研究又可分为静态系统和动态系统研究。

    在静态系统模型下信息物理系统的研究中，主要分为三类：(a)攻击向量研究；(b)针对攻击向量设计安全防护；(c)针对攻击向量，研究静态系统极限性能，利用极限性能设计安全防护。在静态系统模型下，攻击向量研究注重在系统物理防护限制下的攻击模型设计：如文[51]研究了具有坏数据检测功能的状态估计中测量器接入受限和资源受限情况下的攻击向量；文[52]研究了具有坏数据检测和系统拓扑限制的状态估计中的拓扑攻击。在攻击向量研究的基础上，一部分研究者开始针对典型攻击向量，利用PMU布置等关键节点防护或新的坏数据检测方法设计安全防护：如文[53，54]针对攻击特点设计最大化攻击影响攻击向量，提出基于GLRT广义似然比测试的坏数据检测方法，通过增强坏数据检测功能，实现攻击的检测；文[55，56]研究了分布式状态估计系统攻击向量，并针对分布式状态估计算法收敛性和系统拓扑特点，设计了攻击检测和攻击定位方法；文[57]针对坏数据注入攻击，提出最小攻击数量优化问题和最小化PMU布置的安全防护方法。针对以上研究缺乏理论指导，研究者基于物理系统特点，分析静态系统的极限性能：如文[58]针对静态系统状态估计问题，分析了攻击可检测性条件，即满足测量矩阵列满秩条件；文[59]研究了电力系统状态估计中的拓扑攻击，分析了攻击可检测的充分必要条件，并利用以上条件设计基于PMU布置等关键节点防护的安全防护措施。

    在静态系统中研究工业控制系统安全性问题为动态系统的研究提供了思路，但基于静态系统的研究没有利用系统动态性能；同时，在攻击建模中没有利用系统中已有的信息安全措施。

    动态系统模型下的系统安全性能与控制研究与静态系统模型类似，主要分为三类：攻击向量研究；基于攻击向量设计安全防护；在系统理论下分析系统极限性能，并利用极限性能分析设计安全防护。在攻击向量研究中，文[60]研究了实时电力市场在坏数据检测约束下的攻击向量；文[61]研究了带有卡尔曼滤波器和LQG控制器的线性时滞系统的攻击向量。根据攻击向量，相关学者提出利用动态系统特点设计安全防护：文[62]通过在控制系统中加入独立高斯噪声，对重放攻击加以防护；文[63]通过最优化系统认证机制，实现对系统整体攻击检测的最大化。由于以上安全防护设计仅仅是针对具体攻击特点和已有经验的防护设计，缺乏具体理论指导。最近有些学者提出研究物理动态系统在受攻击下的系统安全极限性能，并以此为指导，设计系统的安全防护：如文[64]在广义系统框架下，将攻击刻画为独立的任意无界干扰，分析攻击的可检测性和可辨识性，并以此指导设计入侵检测算法；文[65]研究在独立的任意无界干扰攻击下系统状态的可观测性，基于压缩感知理论给出系统可观测极限性能条件，并以此为指导设计系统弹性控制算法。

    在动态系统模型下对信息物理系统的安全性研究，更接近系统实际性能。但针对攻击构建防护的方法，缺乏动态系统框架下极限性能分析的指导。另一方面，在动态系统框架下分析极限性能的研究把攻击刻画为独立的任意无界干扰，没有利用系统固有物理防护约束，以及系统信息安全约束，导致安全防护策略过于保守，实现成本高。
 

    表2对工业控制系统的安全防护与控制研究现状进行了总结，表明当前针对信息物理攻击的工业控制系统安全方面的研究存在如下问题：信息安全方法与基于系统理论的安全控制方法分离，即基于系统理论的安全控制研究中没有考虑系统固有物理防护和信息安全机制带来的攻击约束，使得基于系统理论设计的安全检测与弹性安全控制算法不能与信息安全机制有机融合，由此造成了基于系统理论的安全防护策略过于保守，降低了其在工程中的使用价值。另外，需要指出的是，上述研究大部分是针对单控制中心的工业控制系统安全防护与控制，国际上针对具多控制中心的分布式网络控制系统的安全性能分析与安全控制方面的研究非常少。

    4　结语

    本文详细介绍了分布式网络控制系统的安全问题与传统IT信息安全问题的区别，阐述了分布式网络控制系统的信息物理安全问题的研究现状及存在的问题，针对分布式网络控制系统信息物理安全的一些重要问题提出了见解。

    读者可以从文中所提及的相应参考文献中找到更深层次的讨论。我们寄希望读者能从中发现更多新的问题，提供有效的解决方案，并在此领域继续努力，为分布式控制系统的安全运行作出贡献。

    摘自 工业控制系统信息安全专刊