1　引言

    随着2010年伊朗布什尔核电站遭到Stuxnet（“震网”病毒）攻击，工业控制系统（ICS）网络安全问题受到了广泛关注^[1]。作为一个新兴的研究领域，为了清晰地理解ICS信息安全研究的对象、理论与方法，需要从其内涵和外延两个方面进行分析和研究^[2,3]。ICS信息安全外延是从宏观上研究ICS的行业类和子行业，重点研究相互依赖性、级联故障等整体性、结构性的信息安全问题；而ICS信息安全内涵是从微观上研究ICS本身及其组件，重点研究系统、设备、协议的漏洞以及黑客攻击方法、防护技术等具体的信息安全问题。针对这两个方面，无论是从研究的对象、还是研究的内容和方法角度切入，都有大量问题需要解决。

    与IT系统不同，工业控制系统的本质是信息物理融合系统（CPS，Cyber-physical system），多维异构的计算单元和物理对象在网络环境中高度集成与交互，构成了一类新型的智能复杂系统，其中最具代表性的就是网络控制系统（NCS，Network Control System）。网络控制系统分布、柔性、自治的特点给物理安全（Safety）带来了风险分散、标准化、易扩展与易维护等好处，与此同时，高度网络化又使其在信息安全（Security）方面面临前所未有的挑战。网络控制系统所有要素完全依赖网络连接在一起，其信息安全问题极具代表性。

    如何从工业控制系统信息物理融合这一本质特点出发，深度融合计算、通信和控制领域的研究成果，构建一个可控、可信、可扩展并且安全高效的工业控制网络安全技术体系，是工业控制系统信息安全亟待研究的方向。

    2　工业控制系统安全的本质是信息物理融合

    ICS系统和IT系统的区别总结如表1所示^[4]。ICS系统与IT系统最核心的区别在于：工业控制系统与生产过程的各物理要素有着紧密的联系，对工业控制系统的恶意攻击，其目的除了获取生产工艺参数之类的核心商业机密外，主要还反映在对物理系统的破坏上。

    一个典型的工业控制系统按ANSI/ISA-99标准可以分为五个层次：企业系统层、运行管理层、监测控制层、基本控制层和过程层。从是否与现实的物理系统直接联系的角度分析，上述的层次结构可以分成物理空间、信息空间，如图1所示。图中可以清楚地看出信息物理系统连接的边界。

   表1 ICS系统与IT系统的区别
 

    从图1可以看出，信息、物理的最直接的界面在第0、1层之间。网络控制系统的各要素（信道、设备、系统）均处在第0、1层之间。

图1 信息物理融合的工业控制系统

    3　网络控制系统（NCS）安全研究的对象及面临的挑战

    一个典型的NCS的组成可以用图2（a）来表示，其中S表示传感器（Sensor），A表示执行器（Actuator），C表示控制器（Controller）。图中的箭头表示信息流而非网络拓扑关系。可以看出传感器、执行器的信息流是单向的，控制器的信息流是双向的，这是NCS系统的一个特点。

图2 信息物理融合的NCS结构

    图2（b）是NCS的抽象模型。为了理解方便，把传感器、执行器的网络能力抽象为与控制器的参数传递关系，分别是控制信号u（从控制器到执行器）和传感信号y（从传感器到控制器）。

    从控制系统的视角，图2（b）的NCS模型是一个单信息流方向的图。容易混淆的一个问题是，真实的网络控制系统中，网络化的执行器与控制器之间有双向的信息流，既有控制器命令（由控制器到执行器的信息），也有执行器执行控制器命令效果的反馈，如阀门的开度（由执行器到控制器的信息）。在图2（b）中执行器到控制器的数据传递被归集到了传感信号y中。

    基于NCS的信息物理抽象模型，就可以把黑客对NCS的攻击模型用图3来表示。图中清楚地表现了黑客可能发动攻击的位置（物理对象）和攻击的目标（信息对象）。

图3 NCS的攻击模型

    A1：对传感器攻击，导致传感器传输错误的结果；

    A2、A4：对网络攻击，使通信不正常；

    A3：对控制器攻击，输出错误命令；

    A5：对生产过程攻击（不通过网络攻击），导致生产目标偏离。

    黑客对网络控制系统的攻击可以分为三个层次：

    （1）信道层攻击：接入物理通信信道，对通信报文发动攻击；

    （2）设备层攻击：侵入设备（传感器、执行器、控制器节点），对过程参数、控制命令、执行器动作进行干扰；

    （3）系统层攻击：潜伏在系统中，伺机获得某种控制任务的执行权，运行恶意程序发动攻击。

    上述三个层次的攻击，从时间轴上可以分为两个阶段，其分水岭是网络访问权的获得。黑客获得网络控制权之前的攻击对象是网络的协议报文。获得网络控制权之后，黑客的攻击目标是控制设备的参数与程序。从安全防御的角度看，前一阶段的防御是主动防御，目的是隔离攻击者与被攻击目标，后一阶段是被动防御，目的是对攻击行为预警与干预。

    4　信道层安全问题

    目前广泛使用的NCS控制网络是现场总线技术。传统上把现场总线看作是与外界物理隔离的通信系统，重视物理安全而忽视信息安全，因此其协议设计的重心在保证通信的可靠性、带宽利用率和实时性，对信息安全（Cyber Security）的考虑较少。黑客对现场总线的攻击场景是：攻击者已经突破控制系统的边界防御（如工业防火墙），可以接触到现场总线的通信介质和通信报文；攻击者可以通过对报文的侦听、分析，可以实施窃听（Eavesdrop）、封锁（Drop）、延时（Delay）、篡改（Modification）、注入（Injection）、反演（Replay）等攻击手段。

    在IEC61158国际标准中定义的现场总线是18种现场总线协议的集合，各种现场总线之间存在很大的差异。从安全（Security）的角度，这些现场总线大致可以分为两类：以ControlNet、P-Net和SwiftNet为代表的现场总线基本上就没有任何安全措施；基金会现场总线（FF）、Profibus、WorldFIP和Interbus等则有着非常简单的安全措施。不同现场总线的安全机制^[5]可以用表2来简单说明。

表2 不同现场总线的安全机制

    总结起来，现场总线的面临安全隐患主要体现在以下几个方面：

    （1）报文以明文的方式传输，或者只是采取了简单的加密，这些加密措施往往容易受到攻击。典型的例子是Modbus、Profibus-DP，而这类现场总线系统应用面极为广泛。

    （2）没有校验码，或者校验码主要为了应对物理层的信号扰动，没有针对恶意网络攻击的设计。如Modbus采用的CRC校验码，其算法简单而且公开，攻击者很容易修改报文的内容，也很容易修改校验码，使被篡改的报文看起来“合法”。

    （3）相比于IT通信系统，现场总线上的通信具有报文短小、模式基本固定、高频度重复等特点，这给“黑客”猜测报文的模板、报文的周期规律提供了便利。

    （4）没有会话过程的时序管理，缺乏安全会话的同步机制。这也是与IT网络的最大差别之一。在IT网络中
报文的分拆、重构、分组交换是常用的技术，根本就没有同步的要求。但是，基于状态空间的线性控制系统，无论是传感器信号，还是控制信号是有严格时序要求的，内容合法的报文在不正确的时间或者以不正确的次序发送，都会破坏NCS的控制算法的正确性。黑客可以利用这一弱点，采用“重播”、“延时”的攻击手段来攻击NCS算法。

    （5）现场总线节点上CPU计算能力有限。如有些Modbus/Profibus-DP从站设备甚至会采用8位的51系列单片机，功能性、实时性和安全性在有限的计算资源下如何达到平衡，是设计和实施现场总线安全协议的难点。

    如何设计一种安全的协议架构，在保证现场总线的可用性、实时性的基础上，最大限度地保障信道的通信安全，是目前学术界面临的一个很大的挑战。目前学术界已经取得了一系列成果，比较有代表性的研究成果有三种：①适当改变总线的固有通信模式，通过增加安全会话来实现主动防御。具有代表性的最新成果是基于已知安全传感器量测（Know Secure Sensor Measurement，简称KSSM）。②引入加密和访问控制技术甄别通信异常，这是一种被动防御方法，也是目前为数不多的现场总线安全机制中最常用的一种。③基于安全状态同步的安全加密认证机制，核心是用对称流密码技术产生安全、动态、随机的Hash码流，通过合理地切分码流，对现场总线报文实现加密、同步和MAC认证，比较有代表性的有S3M安全协议架构。

    5　设备层安全问题

    网络控制系统的设备层由传感器、执行器与控制器组成。黑客通过攻击传感器信号及控制信号，可以发动欺骗攻击（修改传感器测量值或者控制命令参数）、DoS攻击（屏蔽传感器测量值或控制命令参数）。“Stuxnet”一类的病毒更是直接嵌入到PLC等控制器中，在一定的触发条件下执行恶意程序。网络控制系统中，黑客对传感器、执行器、控制器发动的高级攻击，表现出以下特点：

    （1）黑客攻克了通信信道的所有防御技术（加密、认证、安全状态管理等），可以通过修改报文来修改传感器测量值或者控制命令参数；

    （2）或者黑客成功地将恶意程序植入传感器、执行器、控制器节点，并实现成功的潜伏，当某种触发条件成立时，执行恶意程序，修改传感器测量值或者控制命令参数；

    （3）黑客了解NCS的控制算法，可以采用适当的攻击路线，使得NCS在最终崩溃前，状态处于安全状态集，从而避开NCS的一般性安全检测（如液位超限报警等）。

    设备层的安全防御有两种途径：基于可信计算的主动防御，以及基于入侵检测的被动防御。

    IT网络安全领域的入侵检测系统（IDS，Intrusion Detection System）的研究已经取得了大量的成果，其共同特点是将网络本身作为研究对象，研究的是攻防双方在网络上的博弈策略和对网络特性的影响。

    对于具备上述攻击特征的黑客攻击行为，单纯地研究网络特征的变化已经无能为力。这是因为当“Stuxnet”一类的高级攻击代码已经植入PLC之后，其发动攻击时不会在网络传输上表现出任何异常。在这种场景下，即使物理信道的通信一切正常，NCS的控制也不会正常。如何开发针对这类恶意节点的入侵检测技术，是NCS被动防御的关键问题，也是学术界的核心问题之一。

    设备层入侵检测的难点在于，到目前为止，对于一个黑客在获得智能设备的控制权后会采用何种攻击策略缺乏系统的研究，更没有对这些攻击策略的数学描述。博弈论在研究IT网络的理性攻击者方面取得了一些成果，但是关于如何建立黑客入侵信息物理融合的控制系统的行为模型，从而为NCS的IDS（入侵检测系统）、IPS（入侵防御系统）提供理论基础，目前为止还没有见到。

    恶意节点入侵检测的另一个难点是，即使可以预计黑客的可能攻击策略，也无法获得黑客采用这些策略的概率、发起攻击的强度等关键参数。这就需要所设计的IDS算法可以对连续检测的结果进行自修正，从而提高检出结果的可信度。

    考虑到网络控制系统对黑客攻击的检测的在线和实时性要求，此类攻击检测可以抽象为“基于变化检测的最优停止问题”。基于系统异常的入侵检测技术遇到的一个挑战是检测结果只具有统计意义上的参考价值，并非绝对判断，存在错判漏判的可能。如何降低误报、漏报率是算法有效的关键。

    6　系统层安全问题

    在一个NCS系统中，可能存在已经被植入恶意代码的传感器、执行器以及控制器，到底哪一个是可信的，这就涉及到信任管理的问题。在黑客成功入侵NCS后，需要有一种办法判断NCS每个成员的可信赖度。在有容错能力的NCS中，在检测到系统异常后，需要选择可信赖的资源进行替换。基于这些原因，需要建立一套理论体系和方法，实现对NCS成员的可信任度进行评估和管理，当系统中的某项资源的可信任度偏离严重时，可以隔离或限制该资源在NCS里的作用。

    目前为止，还没有关于NCS系统信任管理方面的研究成果。主要原因是现有的PLC、SCADA等过程控制系统中，有一个基本假设：控制系统的所有单元都是可信的，只要不出现功能故障，系统就会按照既定的程序运行。控制系统安全的概念还限于功能安全，作为备份的冗余资源，不管是I/O部件、电源部件、CPU部件，在“主”部件出现故障时，都会无条件地进行替换。衡量这类系统的安全性的指标是在线热切换的速度。

    在物联网环境下，上述的假设越来越不成立，尤其是在德国工业4.0提出的应用场景下，M2M（机器对机器）是未来制造的一种常见模式。一个工厂中，能完成某项任务的智能体（Agent）不止一个，选择哪一个，为什么选择，就成为了一个很急迫的问题。

    可以借用人类社会活动中的信誉概念，通过信誉度来评判NCS中各单元的安全（Security）程度，并以此为基础来决定任务分配策略，是一种可行的思路。就像社会系统中，通过一个人的消费记录、犯罪记录、信用记录等来评判他的信誉度，并以此为依据来决定保险、贷款、是否聘用等。这里的关键是，需要找到一种方法，对NCS进行“拟人”化描述，即建立NCS的一种数学模型，这个模型下，可以准确地描述NCS各“成员”的行为，并把这种行为的历史数据转化为信誉值。

    NCS的安全信任管理是一项全新的研究，需要应用到诸多跨学科的知识。目前学术界已经开始有人尝试用多Agent技术来对NCS建模，以此为基础建立了初步的NCS信誉度量机制^[6]。

    7　NCS安全的研究目标

    信息系统安全三原则（CIA）和自动化系统的安全（如鲁棒性、自适应等）概念都不能很好地概括信息物理融合的NCS系统的安全目标（Security Goal），因此学术界把弹性概念引入到控制系统，提出了弹性控制系统^[7]。

    弹性控制系统的概念涉及大尺度、复杂系统的物理安全、网络安全、生产过程效率和稳定性问题。在面对不可预期的或者恶意的扰动时，如果一个控制系统是具有安全弹性的，它必须能够清楚地意识到系统的安全状态，而且能保持一定程度的正常运行。

    从设计和运行方式角度来审视，弹性控制系统应满足以下条件^[8]：

    （1）可以将异常事件数量最小化；

    （2）大多数的异常事件可以消除；

    （3）如果异常事件不能消除，这种异常事件的负面影响可以最小化；

    （4）可以在比较短的时间内恢复正常。

     弹性控制系统的安全目标恰好涵盖了功能安全、信息安全，同时充分考虑了控制系统的服役对象的特点。如何构建弹性的网络控制系统，并对控制系统的安全弹性给予量化评估，是这一领域可以深入研究的课题。

    8　结语

    网络控制系统（NCS）的传感器、执行器和控制器之间通过通信网络进行实时的信息交互来实现闭环控制，在所有类型的控制系统中，其安全问题是最具代表性的。如何从信息物理融合的角度来理解NCS的安全问题，并找到相应的解决办法，学术界相关的研究成果很少。建立了一个基于信息物理融合概念的控制系统安全技术体系，可以为进一步的工业控制系统信息安全技术的深入研究和产品研发提供一定的基础。

    依托混合流程工业自动化控制系统与装备国家重点实验室，利用其网络攻防对抗实验平台，冶金自动化研究设计院针对NCS的黑客攻击模型、信道安全机制、入侵检测技术与系统信任管理几个方面展开了研究，在NCS的信息安全问题的数学描述、现场总线安全协议架构、信息物理融合的入侵检测技术，以及基于簇信誉的信任管理方面取得了一系列成果，这些成果可以为同行在这一方向的深入研究提供一定的借鉴。 

   
参考文献:

[1] Falliere N, Murchu L O, Chien E W . Stuxnet Dossier[R] . Version 1. 3. Symantec Security Response, 2010.

[2] 彭勇, 江常青 , 谢丰等. 工业控制系统信息安全研究进展[J]. 清华大学学报(自然科学版), 2012, 52 (10) .

[3] Xiaofei Zhang, Luolin Zheng, Ruying Zhao. Discussion on Information Security of Industrial Control System[A]. Asia - Pacific Computational Intelligence and Information Technology Conference, 2013 : 1 - 6.

[4] US - CERT. The National Strategy to Secure Cyberspace[R]. Ishington DC, USA: United States Computer Emergency Readiness Team , 2003 .

[5] Treytl A, Sauter T, Schwaiger C. Security Measures in Automation Systems - A Practice - Oriented Approach. 10th IEEE Conf. Emerging Technologiesand Factory Automation ETFA, 2005: 847 - 855.

[6] 张云贵, 佟为明, 蒋玖川, 刘文印. 基于多Agent的恶意环境下控制系统任务分配方法[J] . 计算机集成制造系统, 2013,19 (8): 2050 - 2057 .

[7] Rieger C G, Gertman D I, McQueen M A. Resilient Control Systems: Next Generation Design Research[C]. I: Proceedings of 2nd Conference on Human System Interactions, 2009: 632 - 636.

[8] Nathanael D, Marmaras N. Work Practices and Prescription: A Key Issue for Organizational Resilience[J]. Ashgate Publishing, 2008, 01 (9): 101 - 118.


    作者简介

    张云贵（1966-），男，湖南汉寿人，博士，教授级高工，现就职于冶金自动化研究设计院混合流程工业自动化系统与装备技术国家重点实验室，研究领域涉及工业物联网技术、工业控制系统安全、现场总线技术应用、嵌入式智能控制系统等方面。

    付修章（1990-），男，河南商丘人，研究生在读，主要研究方向为控制理论与控制工程。

    孙希艳（1987-），女，山东潍坊人，硕士，研发工程师，初级高工，主要研究方向为工业物联网。