今日頭條
官方微信
官方抖音
資訊頻道★張亞彬,張鑫,王麟琨,劉瑤機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所
★孫鐵良,黃河,呂峰國家石油天然氣管網(wǎng)集團有限公司油氣調(diào)控中心
1 引言
油氣管網(wǎng)場站工控系統(tǒng)是一個典型的信息物理系統(tǒng)(Cyber Physical System,CPS)應(yīng)用,它將物理過程的控制與網(wǎng)絡(luò)技術(shù)緊密結(jié)合,實現(xiàn)了對油氣傳輸、處理和儲存等過程的監(jiān)測與控制。油氣管網(wǎng)場站涉及到大量的物理設(shè)備(如輸油泵、壓縮機組)和復(fù)雜的工藝流程(如過濾、分離),任何功能上的故障或異常都可能導(dǎo)致嚴(yán)重的安全問題,如設(shè)備損毀、油氣泄漏甚至爆炸。因此,將安全功能內(nèi)嵌到油氣管網(wǎng)場站工控系統(tǒng)中,可實時監(jiān)測和預(yù)測潛在的功能故障,以便及時采取措施防止事故的發(fā)生,保障了物理設(shè)備和生產(chǎn)過程的安全。油氣場站的工控系統(tǒng)通過網(wǎng)絡(luò)連接大量傳感器、控制器和執(zhí)行器,其面臨的信息安全威脅日益增多。傳統(tǒng)的網(wǎng)絡(luò)安全措施如防火墻、入侵檢測系統(tǒng)等,雖然能提供一定的防護(hù),但在面對復(fù)雜的新型攻擊時仍顯不足。因此,有必要通過多層次的安全機制,增強網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力,減少因網(wǎng)絡(luò)攻擊導(dǎo)致的系統(tǒng)故障和生產(chǎn)中斷。此外,CPS的特性使得功能安全和信息安全緊密相關(guān),傳統(tǒng)的信息安全與功能安全分治方法難以有效應(yīng)對復(fù)雜的綜合安全威脅。因此,有必要將功能安全和信息安全融合,實現(xiàn)安全機制的協(xié)同防御,提高系統(tǒng)的整體安全水平。
為了提升工控系統(tǒng)防御安全的自主性和自適應(yīng)性,本文提出了融合功能安全與信息安全的場站工控系統(tǒng)融合安全策略,即將功能安全機制與信息安全協(xié)同機制融入進(jìn)場站工控系統(tǒng)中,使其具備自主感知、自主分析和自主響應(yīng)的能力,對于保障油氣管網(wǎng)場站的物理過程安全和網(wǎng)絡(luò)系統(tǒng)安全、實現(xiàn)協(xié)同防御、提升自主性和自適應(yīng)能力、保障生產(chǎn)過程的連續(xù)性和可靠性等具有重要意義。
2 融合安全防護(hù)策略的理念
融合安全防護(hù)策略是工業(yè)控制系統(tǒng)與物理生產(chǎn)系統(tǒng)不斷融合環(huán)境下衍生出的安全防護(hù)需求,是面向網(wǎng)絡(luò)化數(shù)字化業(yè)務(wù),將信息安全與功能安全內(nèi)置到CPS系統(tǒng)的全生命周期內(nèi),從體系化、全局化視角構(gòu)建的動態(tài)的CPS整體安全防御體系,保障了工業(yè)控制系統(tǒng)與物理生產(chǎn)系統(tǒng)的整體運行安全。該策略要求在信息物理系統(tǒng)內(nèi)部建設(shè)功能安全能力、信息安全能力、功能安全與信息安全協(xié)同能力,使得CPS系統(tǒng)具備自身免疫能力。融合安全防護(hù)策略的特點概況如下:
(1)整體安全。整體安全是指安全系統(tǒng)具備層層設(shè)防、協(xié)同防御的能力。融合安全防護(hù)策略對信息安全事件具有自我感知、自我響應(yīng)能力;對于信息物理跨域攻擊事件,具有信息安全能力與功能安全能力聯(lián)動效應(yīng),實現(xiàn)跨域攻擊鏈的全域感知、跨域評估、協(xié)同響應(yīng),保證物理生產(chǎn)系統(tǒng)連續(xù)安全運行。
(2)沖突消解。沖突消解本質(zhì)上是解決了功能安全與信息安全沖突問題,確保了信息安全技術(shù)的架構(gòu)、配置和功能等對功能安全的影響處于可接受水平。針對優(yōu)化后的功能安全技術(shù)和信息安全技術(shù),分析信息安全技術(shù)的架構(gòu)、配置和功能對功能安全的增強、沖突和協(xié)同作用;當(dāng)兩者存在沖突時開展沖突風(fēng)險評估,依據(jù)風(fēng)險可接受標(biāo)準(zhǔn)優(yōu)化信息安全技術(shù)。此時,信息安全技術(shù)防護(hù)的能力等級仍將符合系統(tǒng)風(fēng)險評估的等級要求。
(3)“三同步”原則。“三同步”是指CPS系統(tǒng)建設(shè)與融合安全防護(hù)能力建設(shè)需要同步規(guī)劃、同步建設(shè)和同步運行,實現(xiàn)對融合安全防護(hù)的全生命周期管控,做好建設(shè)與運行的相結(jié)合、安全感知與安全響應(yīng)的相結(jié)合。同步規(guī)劃是融合安全防護(hù)的起點和關(guān)鍵,強調(diào)關(guān)口前移,實現(xiàn)融合安全防護(hù)與CPS的深度結(jié)合和全面覆蓋。同步建設(shè)是融合安全防護(hù)策略的落地和保障,強調(diào)CPS建設(shè)時引入信息安全能力、功能安全能力、信息安全與功能安全協(xié)同能力。同步運行是指融合安全防護(hù)的生命,通過規(guī)劃、建設(shè)形成的安全能力需要具備運營、技術(shù)、人員和管理規(guī)范,形成一個完整的體系,輸出安全能力,提升完全防御整體水平。
3 融合安全防護(hù)策略的技術(shù)框架
融合安全策略是結(jié)合油氣管網(wǎng)場站工控網(wǎng)絡(luò)基礎(chǔ)架構(gòu),基于風(fēng)險驅(qū)動設(shè)計和能力導(dǎo)向設(shè)計的總體思想,通過全域態(tài)勢動態(tài)感知、信息安全與功能安全協(xié)同、風(fēng)險決策動態(tài)適配等關(guān)鍵技術(shù),構(gòu)建多層次、協(xié)同聯(lián)動的CPS系統(tǒng)縱深防御體系,其主要框架如圖1所示。
圖1 場站融合安全策略的技術(shù)框架
針對由硬件故障、人員誤操作等帶來的異常狀態(tài),通過功能安全監(jiān)測模塊進(jìn)行實時的動態(tài)監(jiān)測,并將異常狀態(tài)參數(shù)傳送給系統(tǒng)。系統(tǒng)判斷當(dāng)前的工藝異常是否大于可接受閾值,如果工藝異常小于可接受閾值,則繼續(xù)進(jìn)行監(jiān)測,如果工藝異常大于可接受閾值,根據(jù)需要啟動功能安全的各級保護(hù)層。針對場站工業(yè)控制系統(tǒng)可能面臨的信息安全攻擊,通過信息安全監(jiān)測模塊進(jìn)行實時的動態(tài)監(jiān)測,如果沒有發(fā)現(xiàn)異常,則繼續(xù)進(jìn)行監(jiān)測。如果信息安全監(jiān)測模塊發(fā)現(xiàn)了異常,則啟動信息安全預(yù)警聯(lián)動機制。在這個過程中,利用多域指令級對比措施分析當(dāng)前的信息安全攻擊是否已經(jīng)影響現(xiàn)場工藝參數(shù)/儀器儀表狀態(tài),如果已經(jīng)影響到現(xiàn)場工藝參數(shù)/儀器儀表狀態(tài),則需要綜合考慮功能安全與信息安全帶來的影響。針對后果等級較高的場景,建議安全儀表系統(tǒng)與基本過程控制系統(tǒng)(Basic Process Control System,BPCS)實行物理隔離,在其他一般的場景下可實施邏輯隔離。
3.1 場站全時全域動態(tài)感知
場站全時全域動態(tài)感知是指全面、快速、準(zhǔn)確地獲得場站工業(yè)控制系統(tǒng)和物理生產(chǎn)系統(tǒng)的安全運行狀態(tài),是保障站場安全運行的重要基礎(chǔ)。從場站物理設(shè)備設(shè)施危險事件或事故成因來看,信息安全事件、設(shè)備物理故障、人為誤操作、自然環(huán)境因素等是引起傳輸數(shù)據(jù)異常、業(yè)務(wù)邏輯異常、工藝參數(shù)異常的原因。基于此,全域態(tài)勢動態(tài)感知要素的監(jiān)測是指對導(dǎo)致場站生產(chǎn)系統(tǒng)運行態(tài)勢發(fā)生改變的各種不確定要素和過程變量進(jìn)行動態(tài)測量。感知維度涉及網(wǎng)絡(luò)安全感知、設(shè)備安全感知、業(yè)務(wù)邏輯感知、工藝參數(shù)感知、用戶行為分析等。
(1)網(wǎng)絡(luò)安全感知:鑒于油氣管網(wǎng)場站網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序的規(guī)模化和復(fù)雜化特點,靈活采用網(wǎng)絡(luò)入侵檢測技術(shù)和主機入侵檢測技術(shù)相結(jié)合的方式。網(wǎng)絡(luò)入侵檢測技術(shù)監(jiān)控整個場站的網(wǎng)絡(luò)流量,識別可疑活動和已知攻擊模式,適合對外部攻擊和網(wǎng)絡(luò)流量進(jìn)行中央管理。主機入侵檢測系統(tǒng)技術(shù)面向特定的主機,監(jiān)控系統(tǒng)文件和日志,檢測異常行為。
(2)設(shè)備安全感知:主要包括終端設(shè)備狀態(tài)監(jiān)測和固件/軟件的完整性檢查。終端設(shè)備狀態(tài)監(jiān)測是指監(jiān)測所有連接設(shè)備的健康狀態(tài),包括傳感器、控制器、執(zhí)行器等,確保它們正常運行且未被篡改。設(shè)備安全狀態(tài)監(jiān)測內(nèi)容主要包括通信狀態(tài)(即監(jiān)測設(shè)備與控制系統(tǒng)的連接狀態(tài),確保數(shù)據(jù)傳輸及時且可靠)、性能指標(biāo)(如處理速度、響應(yīng)時間、功耗等,以確保其在合理范圍內(nèi)運行)、故障檢測(諸如傳感器失效、控制器錯誤配置等)、所處環(huán)境監(jiān)控等。固件完整性檢測主要是定期檢查設(shè)備固件是否與廠商提供的最新版本一致,防止被破壞而長時間未發(fā)現(xiàn)產(chǎn)生的安全漏洞。
(3)業(yè)務(wù)邏輯感知:主要包括場站操作過程監(jiān)控和控制網(wǎng)絡(luò)危險報文檢測。場站操作過程監(jiān)控側(cè)重于監(jiān)測生產(chǎn)過程中的關(guān)鍵行為指標(biāo),按照可接受的閾值設(shè)置預(yù)警機制,一旦監(jiān)測到異常情況(如設(shè)備啟停過程不符合規(guī)范),便自動發(fā)出警報,從而確保生產(chǎn)流程按照預(yù)定的操作規(guī)范和標(biāo)準(zhǔn)執(zhí)行。網(wǎng)絡(luò)危險報文檢測是指建立模型對發(fā)送和接收的組態(tài)報文進(jìn)行完整性驗證,以檢測與歷史(或上文)數(shù)據(jù)不符的通信行為,及時發(fā)現(xiàn)偽裝或篡改的報文。
(4)工藝參數(shù)感知:通過多種類型的傳感器,實時監(jiān)測和采集關(guān)鍵的工藝參數(shù)以確保生產(chǎn)運行的安全性、可靠性和高效性。所有這些數(shù)據(jù)通過通信協(xié)議實時傳送到控制中樞,控制中樞通過對歷史數(shù)據(jù)和實時數(shù)據(jù)進(jìn)行比對,識別操作過程中的異常模式,并提供預(yù)警。
(5)用戶行為分析:用戶行為分析是保護(hù)場站工業(yè)控制系統(tǒng)和數(shù)據(jù)的關(guān)鍵措施。它主要是通過建立用戶正常行為的基線模型,發(fā)現(xiàn)異常登錄行為、權(quán)限提升行為和不尋常的訪問模式等。
3.2 信息安全與功能安全協(xié)同
在油氣管網(wǎng)場站工控系統(tǒng)中,信息安全保護(hù)層與功能安全保護(hù)層的有效協(xié)同是確保系統(tǒng)持久安全可靠的重要基礎(chǔ)。兩安保護(hù)層協(xié)同是建立在安全一體化風(fēng)險評估基礎(chǔ)上的,而一體化風(fēng)險評估重點關(guān)注信息安全事件可能對功能安全的影響,如黑客攻擊破壞安全儀表系統(tǒng)的控制邏輯。將信息安全防護(hù)作為外部屏障抵御病毒和惡意攻擊,功能安全措施作為工業(yè)控制系統(tǒng)的免疫系統(tǒng)開展主動防御和響應(yīng),當(dāng)信息安全防護(hù)失效,病毒或攻擊侵入時,功能安全措施應(yīng)能及時發(fā)現(xiàn)異常/偏差并觸發(fā)保護(hù)(如導(dǎo)入安全狀態(tài));與此同時應(yīng)在工控系統(tǒng)部署信息安全探測措施(如探針)實時監(jiān)測運行異常,通過系統(tǒng)異常行為分析(如工藝參數(shù)偏離、異常報文等)判斷并發(fā)出異常事件報警。同時,通過定期的檢驗測試來評估工業(yè)控制系統(tǒng)健康狀態(tài)和功能安全與信息安全一體化防護(hù)系統(tǒng)狀態(tài)。功能安全系統(tǒng)在信息安全防護(hù)下運行,信息安全防護(hù)對功能安全的負(fù)面影響應(yīng)控制在可接受范圍,確保工業(yè)控制系統(tǒng)在信息安全防護(hù)失效后可通過功能安全實現(xiàn)風(fēng)險可控。
3.3 風(fēng)險決策動態(tài)適配
風(fēng)險決策動態(tài)適配是充分考慮場站工業(yè)控制系統(tǒng)狀態(tài)的動態(tài)性,依據(jù)風(fēng)險評估結(jié)果實時調(diào)整風(fēng)險管理的決略。風(fēng)險決策動態(tài)適配本質(zhì)上是在線的風(fēng)險評估與決策邏輯,并且綜合考慮信息安全風(fēng)險和功能安全風(fēng)險。獨立的功能安全評估可參考標(biāo)準(zhǔn)IEC61508,單獨的信息安全評估可參考標(biāo)準(zhǔn)IEC62443,一體化風(fēng)險評估宜從CPS視角開展網(wǎng)絡(luò)物理攻擊風(fēng)險評估,建立一系列的網(wǎng)絡(luò)物理攻擊風(fēng)險評估模型,如:攻擊者通過入侵網(wǎng)絡(luò),篡改傳遞到物理生產(chǎn)系統(tǒng)的控制指令和傳感器的數(shù)據(jù);通過DDoS等手段,攻擊者可以使控制系統(tǒng)無法正常工作;又如:通過控制指令改變物理設(shè)備的工作狀態(tài),導(dǎo)致設(shè)備損壞或故障。
基于3.1節(jié)場站全時全域動態(tài)感知獲取的數(shù)據(jù),實時識別異常行為,并作為3.3節(jié)的風(fēng)險決策與應(yīng)急聯(lián)動的輸入,基于不同的風(fēng)險評估結(jié)果,從成本、效益和安全性等多個目標(biāo)進(jìn)行平衡,適配最優(yōu)的決策方案。基于風(fēng)險評估結(jié)果和環(huán)境變化,根據(jù)3.3節(jié)動態(tài)適配風(fēng)險控制策略,實施相應(yīng)的功能安全措施和信息安全措施。
4 結(jié)論
針對油氣管網(wǎng)場站的傳統(tǒng)信息安全與功能安全分治方式難以有效應(yīng)對復(fù)雜的綜合安全威脅的問題,本文提出了油氣管網(wǎng)場站工控系統(tǒng)融合安全防護(hù)策略,通過全域態(tài)勢動態(tài)感知、信息安全與功能安全協(xié)同、風(fēng)險決策動態(tài)適配等關(guān)鍵技術(shù),保障了油氣管網(wǎng)場站的整體安全,實現(xiàn)了功能安全與信息安全的協(xié)同防御能力。
★基金項目:國家重點研發(fā)計劃項目(2023YFB3107703)
作者簡介
張亞彬(1986-),男,河北保定人,高級工程師,博士,現(xiàn)就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所,主要研究方向為智能制造與工控安全共性關(guān)鍵技術(shù)及標(biāo)準(zhǔn)研制。
張 鑫(1990-),男,山東聊城人,高級工程師,博士,現(xiàn)就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所,主要研究方向為風(fēng)險評估等共性關(guān)鍵技術(shù)研究及標(biāo)準(zhǔn)研制。
王麟琨(1974-),男,黑龍江佳木斯人,教授級高工,博士,現(xiàn)就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所,主要研究方向為現(xiàn)場總線、機電控制。
劉 瑤(1987-),女,江蘇泰州人,高級工程師,學(xué)士,現(xiàn)就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所,主要研究方向為功能安全、工控信息安全及安全一體化。
孫鐵良(1967-),男,山東德州人,高級工程師,學(xué)士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司油氣調(diào)控中心,主要研究方向為自動化控制、通信和工控系統(tǒng)網(wǎng)絡(luò)安全等。
黃 河(1984-),男,重慶永川人,高級工程師,碩士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司油氣調(diào)控中心,主要研究方向為自動化控制和工控系統(tǒng)網(wǎng)絡(luò)安全等。
呂 峰(1969-),男,山東威海人,正高級工程師,學(xué)士,現(xiàn)就職于國家石油天然氣管網(wǎng)集團有限公司油氣調(diào)控中心,主要研究方向為自動化控制和工控系統(tǒng)網(wǎng)絡(luò)安全等。
參考文獻(xiàn):
[1] 張小虎, 蔣麗瓊. 長輸天然氣管道站控系統(tǒng)工控安全方案設(shè)計與研究[J]. 信息安全研究, 2019, 5 (8) : 740.
[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報: 自然科學(xué)版, 2012, 52 (10) 1396 - 1408.
[3] 丁曉倩, 向勇, 李喜旺, 等. 工業(yè)控制系統(tǒng)信息安全研究新動態(tài)[J]. 計算機系統(tǒng)應(yīng)用, 2021, 30 (2) : 12 - 19.
[4] 吳超, 華佳敏. 功能安全研發(fā)的方法論研究[J]. 中國安全生產(chǎn)科學(xué)技術(shù), 2018, 14 (8) : 23 - 28.
[5] 楊婷, 張嘉元, 黃在起, 等. 工業(yè)控制系統(tǒng)安全綜述[J]. 計算機研究與發(fā)展, 2022, 59 (5) : 1035 - 1053.
[6] 靳江紅, 莫昌瑜, 李剛. 工業(yè)控制系統(tǒng)功能安全與信息安全一體化防護(hù)措施研究[J]. 工業(yè)安全與環(huán)保, 2020, 46 (1) : 53 - 60.
[7] 付曉曉. 基于功能安全與信息安全的SIS系統(tǒng)風(fēng)險評估方法研究[D]. 北京: 中國石油大學(xué), 2022.
[8] 胡博文, 周純杰, 劉璐. 基于模糊多目標(biāo)決策的智能儀表功能安全與信息安全融合方法[J]. 信息網(wǎng)絡(luò)安全, 2021, 21(7) : 10 - 16.
[9] 趙越. 面向控制過程的工業(yè)控制系統(tǒng)信息安全防護(hù)彈性控制技術(shù)研究[D]. 武漢: 華中科技大學(xué), 2022.
[10] 羅躍斌. 網(wǎng)絡(luò)主動防御關(guān)鍵技術(shù)研究[D]. 長沙: 國防科學(xué)技術(shù)大學(xué), 2017.
[11] 王瀚洲, 劉建偉. 網(wǎng)絡(luò)內(nèi)生安全研究現(xiàn)狀與關(guān)鍵技術(shù)[J]. 中興通訊技術(shù), 2022, 28 (6) : 2 - 11.
[12] 石永杰, 于慧超, 呂峰, 等. 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主動防御技術(shù)研究與實踐[J]. 信息技術(shù)與網(wǎng)絡(luò)安全, 2020, 39 (4) : 13 - 18.
[13] 余飛. 工業(yè)網(wǎng)絡(luò)邊界擬態(tài)防護(hù)關(guān)鍵技術(shù)研究及其實現(xiàn)[D]. 鄭州: 戰(zhàn)略支援部隊信息工程大學(xué), 2021.
[14] 胡寧. 面向內(nèi)生安全的網(wǎng)絡(luò)異常檢測關(guān)鍵技術(shù)研究[D]. 南京: 東南大學(xué), 2021.
[15] Wu J. Cyberspace endogenous safety and security[J]. Engineering, 2022, 15 : 179 - 185.
[16] 彭瑜. 過程工業(yè)控制系統(tǒng)及其軟件的功能安全[J]. 自動化博覽, 2010, 27 (12) : 40 - 46 + 50.
[17] 周浩, 黃雙, 黃雄峰, 等. 嵌入式PLC的信息安全策略設(shè)計與實現(xiàn)[J]. 計算機科學(xué), 2013, 40 (9) : 125 - 129.
[18] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4) : 1-10.
[19] 石永杰. 工業(yè)互聯(lián)網(wǎng)環(huán)境下IT/OT融合的安全防御技術(shù)研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全, 2019, 38 (7) : 1-5+18.
[20] 賴英旭, 劉靜, 劉增輝, 等. 工業(yè)控制系統(tǒng)脆弱性分析及漏洞挖掘技術(shù)研究綜述[J]. 北京工業(yè)大學(xué)學(xué)報, 2020, 46 (6) : 571 - 582.
[21] 李治霖. 工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢感知的研究[D].長春: 長春工業(yè)大學(xué), 2020.
[22] 耿進(jìn)步, 賀磊, 牛玉坤. 數(shù)字化轉(zhuǎn)型背景下制造側(cè)網(wǎng)絡(luò)安全發(fā)展情況與建議[J]. 信息通信技術(shù)與政策, 2024, 50 (8) : 9 - 16.
[23] 高金吉. 人工自愈與機器自愈調(diào)控系統(tǒng)[J]. 機械工程學(xué)報, 2018, 54 (8) : 83 - 94.
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號