摘要：工业控制系统正面临着新的非传统安全问题即网络安全的威胁。网络攻击这种由人类恶意智力带来的不确定性、不可知性和多变性，恰恰是工厂企业目前最不能确保正确应对的安全挑战。现在各种工业控制系统的网络安全解决方案，虽然非常必要，但还不能彻底解决网络安全难题。根据已有的虚拟控制系统技术基础和最新的研发实验，本文创新性地提出，在异构的FPGA平台上实现的虚拟控制系统运行，并与基于供应商平台的真实控制系统实时数据比对，在网络遭受攻击时能及时正确地切换到操纵员手动，达到工业控制系统的极限网络安全，是可能的，也是可行的。

关键词：工业控制系统；网络安全；虚拟控制系统

Abstract: The security of industrial control system is facing new, untraditional threats from the cyber networks. The network attacks from evil intelligence are uncertain, incomprehensible and variable, which seriously challenge the safe operation of plants and factories. Although all current cyber-network-security solutions are still necessary, they have not completely solved the problem. Based on our matured prior-arts of virtual control system and our most recent R&D experiences, we propose an innovative solution for the cyber-network-security of the industrial control system in plants and factories: real-time data alignment with virtual control system implemented on the heterogeneous FPGA platform. With such heterogeneous system in parallel, the main control system can be switched to operator-manual-mode correctly and instantaneously. Thus, ultimate cyber-security of industrial control system becomes possible and feasible.

Key words: Industrial control system; Cyber security; Virtual control system

1　引言

安全，是一切工业系统设计、建造、运行和维护的核心。自从数字计算机引入工厂企业以来，实施各种工业系统运行全程控制和全范围安全保护，首先是交由工业控制系统自动完成。毫无疑问，工业控制系统自身的安全，对工厂企业安全、经济运行影响极大。一方面，控制系统的误动信号会导致工厂的虚假保护动作，产生安全隐患。另一方面，控制系统的拒动信号会导致工厂在异常工况下不能正常启动保护动作，这是一种危险性故障，严重影响系统或设备的安全性。为了保证对工业安全至关重要的控制系统的安全性，实施分散化，将控制组态下载到各分布式控制器中运行等。工业安全属于高等级的经济安全、环境安全和社会安全，可以说工业控制系统是最重要的系统之一。但到目前为止，我们能应对的都是工业控制系统的传统安全问题。如今，工业控制系统又面临着一种新的安全问题，即网络安全（CyberSecurity）。

2　网络安全挑战

目前工业控制系统越来越开放，网络通信和软件技术越来越先进，致使传统网络信息安全威胁逐渐向工控系统扩散，产生了新的非传统安全问题。工业控制系统网络面临着安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等严峻挑战。大型工厂企业历来是安全的焦点。工业控制系统是工业生产的核心，在实现了的先进性可靠性控制的同时，却可能日益成为黑客的网络攻击目标。要清醒地认识到，工业控制系统网络安全受到威胁，不只是数据失密和隐私泄漏这么简单，还可能引发一系列涉及安全的严重事故，导致人员生命、基础设施和生态环境等不可挽回的损害。

工业控制系统， 包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、工业控制计算机（IPC）、远程测控单元（RTU）等，原是各供应商按照完善工厂安全控制功能和提高运行控制效率来设计、研发和部署的，所应对的是确定的控制需求，要求达到实时响应，能消除随机扰动和设备材料疲劳损坏等传统问题。现在网络安全问题，却是来自网络或针对网络的不确定性攻击。其实，在多种多样工业和社会系统攻击的事件背后，其攻击发起者和攻击目的是有所不同的。首先第一种攻击会来自于黑客个体。早期针对工业和社会的攻击者以黑客个体为主，其动因多是出于冒险、炫技、报复、泄愤、勒索、挑战权威等。由于工厂的网络一般与公众互联网隔离，因此能突破物理隔离的限制发起攻击并得手的黑客会得到出奇的自我实现式的满足。第二种攻击会来自于大国暗战。自从伊朗核设施“震网”事件后，大国推手作为始作俑者，由国家部队发起对工厂企业基础设施的破坏。近年来的攻击事件，背后都闪动着国家黑客部队的影子。第三种攻击会来自于恐怖分子。由于大型工业企业和社会设施有一定的地标效应，近年来随着恐怖主义的泛滥，也逐渐受到转战网络的恐怖分子们的关注，其对工业系统的威胁也显得日益严重。总之，当引入网络安全威胁之后，工业控制系统就需要增加应对由个人、团队和国家集中开发恶意智力带来的不确定性、不可知性和多变性这些非传统问题了，这恰恰是目前工业企业最不能够确保正确应对的安全挑战。

 3　网络安全应对

鉴于近年全球工业控制网络安全形势日趋严峻，各发达国家政府机构、国际组织、国家实验室和大型跨国技术公司罕见地多次召开专题会议进行公开的交流和研判。我国工业领域控制系统的现状是：核心控制技术开放度极高，长期依赖进口，大量装备国外系统，造成工控安全意识薄弱，安全责任旁落，安全防护缺失，工控信息安全产业才刚刚起步。在这一背景下，2016年，国务院发布的《国家十三五信息化规划》，明确在十三五期间要加强网络安全态势感知、监测预警和应急处置能力建设，加强金融、能源、电力、通信、交通等领域关键信息基础设施核心技术装备的威胁感知和持续防御能力建设，增强网络安全防御能力和威慑能力。

我国网络安全领域最高法律《中华人民共和国网络安全法》自2017年6月1日起施行。法律定义网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全法进一步定义网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。网络安全法专门列出了关键信息基础设施的运行安全，明确国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护，鼓励开发新技术实现网络安全。显然工业控制系统网络安全属于这一范畴。

2017年12月，我国工业和信息化部发布了《工业控制系统信息安全行动计划（2018-2020）》，首次确定了工业控制系统信息网络安全的企业主体责任。行动计划明确提出在3年期间基本建立工控安全管理工作体系，全社会工控安全意识明显增强。要建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台等，使态势感知、安全防护、应急处置能力显著提升。要培育一批影响力大、竞争力强的龙头骨干企业，创建国家新型工业化工业信息安全产业示范基地，使产业创新发展能力大幅提高。行动计划的目的就是要充分动员我国科技界和工业界的力量，应对工控网络安全的挑战。

长期以来，工业控制系统在功能安全方面都已有完整的法规标准和成熟的技术，现在又提出如何在不降低功能安全的情况下考虑加强网络安全。如此针对性的行动计划和指导意见短期内密集出台，前所未有，确实是一个全新的课题。将工业控制系统作为特殊的一种工厂企业内的信息网络系统，从网络拓扑出发进行多层防护，严格与互联网物理隔离。现实情况是，工厂重点关注的是“人防”和“物防”，集中在对人员授权和对实物保护，但在网络安全技术方面仍存在诸多不足。在实际运作过程中，伴随着文件交互需要，系统升级、更新、运维需要和人为过失及来自内部威胁等，工业控制系统网络并非处于绝对的隔离状态，因此随时有被敌对或不法分子发起网络攻击的可能性。各种工厂企业尤其需要改变“物理隔离”等于“安全”的观念，及时建立行之有效的立体防护，增加“技防”手段，开发创新的安全技术，把遭受网络攻击的可能性和破坏性降到最低限度。

4　极限网络安全理念

到目前为止，所有工业控制系统网络安全的方法和技术，无外乎是采取划分边界、系统隔离、认证授权、物理防护、配置管理等方案，安装各种网关、网闸、工业防火墙、杀毒软件等硬软件设备。显然这些方法和技术，只是当前有效和局部有效的，是以降低工业控制系统的功能性能为代价的，还需要不断升级改版，人工因素影响较重。当前随着新工业革命信息技术的发展，还有应用大数据、云计算、区块链、人工智能等解决网络安全问题。如若采用各种新型人工智能手段，也是需要时间进行所谓深度学习的，不能发挥出实时效能，尚存在大量不确定性。因此所有这些技术和方法，虽然非常必要，但不能彻底解决网络安全难题。有鉴于此，现在所有工业企业领域相关的人士，无论是政府领导层、企业管理层、还是基层技术人员，无论是出于常识理性还是责任担当，大家都在思考和询问：工业控制系统网络能否实现某种意义上的绝对安全或称极限安全（Ultimate CyberSecurity）？

一般的绝对安全或极限安全是不存在的。但如能用工程技术的方法，实时感知到由个人、团体或国家组织的人类恶意智力活动通过网络带给工业控制系统的不确定性、不可知性和多变性现象，能将工业系统最终导向安全运行，就是实现了工业控制系统网络的极限安全。目前的工业控制系统，来自于各个供应商，区别于一般的计算机信息管理网络系统，其对于工厂设备的控制动作都是根据控制组态发出的，控制组态又是经逐项设计并通过调试验证而完成的。如果控制系统网络受到攻击，最令人担心的是操纵员当时并不知情，仍然绝对地依靠控制系统进行监视和控制。如果能感知到工业控制系统没有按照既定的控制功能设计组态运行，就有理由断定系统网络可能受到不明的网络攻击。在这时，工厂操纵员若能及时切换到手动操作，凭借其经过严格训练的专业能力，完全可以保证工厂系统达到最终的安全状态。这就是所谓工业控制系统极限安全的理念。

显然，研发一种与基于供应商平台的真实工业控制系统并列运行的虚拟控制系统，从而有望实现控制系统网络的极限安全，如图1所示。要想获得工业控制系统的所谓“极限”安全，根本观念上就是要对基于供应商平台的工业控制系统运行零信任。零信任是根植于“永不信任、始终验证”的原则之上。由于虚拟控制系统与真实工业控制系统采用了相同的设计和组态，虚拟软件甚至可以是控制组态的编译转换版本，故而能将虚拟控制系统作为始终验证和实时判定的依据，两路运行数据同时送入安全监视模块实时进行比较判断。当工业控制系统网络被攻击、被误导、被阻断、被篡改，而工厂运行操纵员无法进行真伪判断时，安全监视模块能给出正确的结论和报警，可以强制切换为手动，从而实现极限安全。

图1 工业控制系统的极限安全解决方案

5 虚拟控制系统实现

研发虚拟控制系统实现网络安全，是极其艰巨的一种软硬件工程任务，需要各方面大力合作和行业创新。特别是需要采用比供应商平台更加安全的计算技术平台，要进行大量编程和调试工作，需全面借鉴已有的工业控制系统组态，同时要考虑相对独立于供应商的工业控制系统系列产品。为了确保安全，就要基于异构计算平台，实现虚拟控制系统的运行和安全监控。目前，采用现场可编程门阵列（FPGA,FieldProgrammable GateArray）技术方案是最佳选择。近年在美国和欧洲，FPGA技术已经在工业控制系统上有了部分成功的设计和应用，但目前还没有应用到解决工业控制系统网络安全问题的先例。本文提出的方案是：开发由控制组态转换到FPGA平台的软件工具，直接生成基于FPGA这种安全异构的虚拟控制系统，进行调试综合后写入门阵列芯片组，实现异构平台上的虚拟控制系统运行。本文作者团队在这方面已成功进行了研究开发实验，针对核反应堆跳堆保护系列逻辑，在FPGA平台上实现的虚拟控制系统逻辑电路设计部分结果，如图2所示。

图2 核反应堆跳堆保护逻辑组态及其 FPGA虚拟控制系统电路设计

6 结束语

为了应对当前工业控制系统网络安全所面临的严峻挑战，根据已有的虚拟控制系统技术基础和最新的研发实验，在异构的FPGA平台上实现工业控制系统的虚拟控制系统运行和实时数据比对，在网络攻击时能及时正确地切换到操纵员手动，达到工业控制系统的极限网络安全，是可能的，也是可行的。

作者简介

冷　杉（1958-），男，江苏镇江人，工学博士，教授，现就职于东南大学，研究方向主要为大型能源系统的建模、仿真、数据、控制和安全等方面技术研究及其相应的工业软件开发。

摘自《工业控制系统信息安全专刊（第六辑）》