摘 要: 介紹了網(wǎng)絡(luò)控制系統(tǒng) (NCS )的信息安全" title="信息安全">信息安全和網(wǎng)絡(luò)安全,分析了NCS安全體系的設(shè)計目標(biāo)、設(shè)計要求和設(shè)計原則,提出了設(shè)計具有自律可控性和自律可協(xié)調(diào)性NCS安全體系的新方法,并指出了NCS安全體系設(shè)計中需進(jìn)一步研究的若干問題。
關(guān)鍵詞: 網(wǎng)絡(luò)控制系統(tǒng) 網(wǎng)絡(luò)安全理論? 網(wǎng)絡(luò)信息安全" title="網(wǎng)絡(luò)信息安全">網(wǎng)絡(luò)信息安全? 安全體系結(jié)構(gòu)? 自律分散
?
網(wǎng)絡(luò)的閉環(huán)反饋控制系統(tǒng)稱為網(wǎng)絡(luò)控制系統(tǒng)NCS(Networked Control System)[1~2],其典型結(jié)構(gòu)如圖1所示。
NCS提高了系統(tǒng)的可靠性,增強(qiáng)了系統(tǒng)的維護(hù)性和擴(kuò)展性,降低了系統(tǒng)的遠(yuǎn)程運行費用,實現(xiàn)了信息資源的共享[3~4]。NCS的信息安全涉及NCS的安全體系結(jié)構(gòu)、通信協(xié)議的安全性設(shè)計、信息加密技術(shù)、安全域或安全子域等方面的內(nèi)容。在當(dāng)前NCS的網(wǎng)絡(luò)安全理論的研究大大落后于NCS的實際應(yīng)用的情況下,對NCS安全體系設(shè)計的研究刻不容緩。
本文將分析NCS安全體系的設(shè)計目標(biāo)、設(shè)計要求和設(shè)計原則等問題,并提出自律分散" title="自律分散">自律分散NCS安全體系的設(shè)計方法" title="設(shè)計方法">設(shè)計方法,同時指出NCS網(wǎng)絡(luò)信息安全體系設(shè)計中應(yīng)進(jìn)一步研究的問題。
1 NCS的信息安全
1.1 基本概念
NCS的信息安全包括信息系統(tǒng)的安全、信息數(shù)據(jù)的安全和信息內(nèi)容的安全。其核心就是要保障NCS的所有信息免遭偶然的或者惡意的破壞、更改、泄露和刪除。NCS的信息安全涉及到信息在采集、傳遞、存儲和應(yīng)用等過程中如何保證完整性、合法性、可靠性、可用性、保密性、真實性和可控性等的相關(guān)技術(shù)與理論。
1.2 體系結(jié)構(gòu)
NCS的信息、信息載體和信息環(huán)境是NCS信息安全的三大類保護(hù)對象,由此構(gòu)成了NCS信息安全體系結(jié)構(gòu)。信息是指NCS各節(jié)點之間在網(wǎng)絡(luò)上傳輸?shù)男畔?置于信息安全體系結(jié)構(gòu)的內(nèi)層,既包含實時信息,又包含非實時信息,例如,事故報警信息、系統(tǒng)狀態(tài)信息、過程參數(shù)測量信息、網(wǎng)絡(luò)控制器控制信息、開關(guān)和閥門的位置信息、系統(tǒng)組態(tài)信息、系統(tǒng)診斷信息、系統(tǒng)維護(hù)信息、系統(tǒng)備份信息、網(wǎng)絡(luò)調(diào)度信息、管理決策信息等;信息載體指信息的承載體,處于信息安全體系結(jié)構(gòu)的中間層,包括物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺,如通信協(xié)議、網(wǎng)絡(luò)協(xié)議、應(yīng)用協(xié)議及其軟件等;信息環(huán)境指NCS的信息及信息載體所處的環(huán)境,處于信息安全體系結(jié)構(gòu)的外層,包括硬環(huán)境和軟環(huán)境。NCS信息安全體系結(jié)構(gòu)如圖2所示。
2 NCS的網(wǎng)絡(luò)安全
2.1 基本概念
NCS網(wǎng)絡(luò)安全的核心就是要保證信息在安全的網(wǎng)絡(luò)上傳輸與共享,保證網(wǎng)絡(luò)系統(tǒng)的安全運行。NCS中的“網(wǎng)絡(luò)”泛指廣義網(wǎng)絡(luò),包括現(xiàn)場總線網(wǎng)絡(luò)、工業(yè)以太網(wǎng)和互聯(lián)網(wǎng)等。
2.2 體系結(jié)構(gòu)
NCS的網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含三個層次:密碼安全層、網(wǎng)絡(luò)安全層和環(huán)境安全層。密碼安全處于內(nèi)層,直接保護(hù)信息安全;網(wǎng)絡(luò)安全處于中間層,一方面它需要密碼安全層的支持,同時也為密碼安全層提供運行環(huán)境;環(huán)境安全處于外層,為網(wǎng)絡(luò)安全層、密碼安全層提供可靠的設(shè)施和管理等安全環(huán)境。NCS網(wǎng)絡(luò)安全體系結(jié)構(gòu)如圖3所示。
3 NCS的安全體系設(shè)計
3.1 設(shè)計目標(biāo)
NCS安全體系設(shè)計的目標(biāo)是在一定約束下,盡可能滿足用戶的安全需求。這里需要解決如下三個基本問題:
(1)如何根據(jù)安全需求制定安全策略,即NCS的安全分析問題。
(2)如何將安全需求映射為安全體系,即NCS的安全設(shè)計問題。
(3)明確安全體系滿足安全需求的程度,即NCS的安全評價問題。
解決上述問題需要系統(tǒng)化和結(jié)構(gòu)化的設(shè)計方法及其輔助工具的支持。
3.2 設(shè)計原則
NCS安全體系的設(shè)計需遵循如下一些設(shè)計原則:
(1) 木桶原則。木桶的容積取決于最短一塊木板,而NCS的安全性則取決于最薄弱的環(huán)節(jié)。
(2)整體性原則。對NCS不僅要提供安全防護(hù)和檢測機(jī)制,還應(yīng)提供應(yīng)急恢復(fù)機(jī)制等。
(3) 等級性原則。對NCS的網(wǎng)絡(luò)應(yīng)進(jìn)行分級,包括對信息保密程度分級、用戶操作權(quán)限分級、網(wǎng)絡(luò)安全程度分級、系統(tǒng)實現(xiàn)結(jié)構(gòu)分級(如應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)。
(4) 有效和實用原則。安全機(jī)制不應(yīng)影響NCS正常運行,應(yīng)有效、簡單和實用。
(5) 動態(tài)性原則。安全體系內(nèi)應(yīng)盡可能引入可變因素,使安全體系具備良好的動態(tài)性。
(6) 失效保護(hù)狀態(tài)原則。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)失效模式應(yīng)該是“失效-安全”型,即一旦防火墻屏蔽子網(wǎng)失效、重啟或崩潰,就要安全阻斷內(nèi)部網(wǎng)絡(luò)與外界的連接。
(7) 缺省拒絕狀態(tài)原則。從安全角度講,缺省拒絕狀態(tài)是失效保護(hù)狀態(tài)。
(8) 設(shè)計為本原則。NCS的安全重在設(shè)計,安全性設(shè)計應(yīng)與NCS的體系結(jié)構(gòu)、通信協(xié)議、控制策略設(shè)計相結(jié)合,采用同步與并重的原則。
(9) 有的放矢和各取所需原則。根據(jù)不同的控制對象,其安全側(cè)重點各不相同,應(yīng)綜合考慮解決方案,提高性能價格比。
3.3 設(shè)計要求
NCS安全體系的設(shè)計要求如下:
(1) 應(yīng)綜合考慮NCS體系結(jié)構(gòu),確保NCS的網(wǎng)絡(luò)安全服務(wù)質(zhì)量。
應(yīng)全面考慮NCS拓?fù)浣Y(jié)構(gòu)、通信協(xié)議、控制策略和被控對象的動態(tài)特性,滿足NCS對網(wǎng)絡(luò)安全服務(wù)質(zhì)量的各種需求,確保NCS安全服務(wù)技術(shù)的先進(jìn)性、網(wǎng)絡(luò)安全服務(wù)質(zhì)量的優(yōu)良性、安全體系運行的可靠性、穩(wěn)定性和可持續(xù)發(fā)展性。
(2) 應(yīng)采用冗余和備份技術(shù),提高系統(tǒng)的可用性與生存性。
網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)設(shè)計應(yīng)通過節(jié)點和鏈路的冗余與備份手段來提高NCS的可用性與生存性。關(guān)于冗余技術(shù),可考慮采用網(wǎng)絡(luò)冗余,隔離故障,以避免全網(wǎng)失效;采用硬件冗余,使個別故障不能影響整個系統(tǒng)的正常運行;采用功能冗余,在某些部件(或節(jié)點)失效時,其余完好的部件(或節(jié)點)部分或全部地承擔(dān)起故障部件所喪失的控制作用,以維持控制系統(tǒng)的性能在允許的范圍內(nèi);采用時間冗余,檢出和糾正由于暫時故障引起的錯誤;采用信息冗余,對傳輸數(shù)據(jù)進(jìn)行冗余校驗。此外,還可考慮采用軟件冗余等冗余技術(shù)。關(guān)于備份技術(shù),可考慮采用網(wǎng)絡(luò)備份,用于網(wǎng)絡(luò)的防毀、抗災(zāi)以及應(yīng)急處理;采用信息備份,對NCS的狀態(tài)信息(如系統(tǒng)組態(tài)信息、關(guān)鍵參數(shù)信息等)進(jìn)行備份,以便于分析與處理。
(3) 應(yīng)確保NCS的可控性、可觀測性和穩(wěn)定性不受影響。
(4) 信息加密/解密及傳輸過程必須滿足NCS的實時性要求。
(5) 不應(yīng)降低NCS的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制性能質(zhì)量。
(6) 應(yīng)使用成熟可靠的安全技術(shù)和措施,減少NCS安全體系本身的安全漏洞。
(7) 根據(jù)被保護(hù)對象的重要性,應(yīng)劃分不同的安全等級" title="安全等級">安全等級,提高安全體系設(shè)計的經(jīng)濟(jì)性。
(8) 應(yīng)減少不同安全等級間被保護(hù)對象的安全耦合,以提高NCS的整體安全性。
(9) 安全體系應(yīng)具有可重構(gòu)性。NCS的安全狀態(tài)可根據(jù)安全評估模型劃分等級,如正常、緊急、事故等狀態(tài)。當(dāng)系統(tǒng)處于正常狀態(tài)時,安全策略傾向于易用性;當(dāng)系統(tǒng)受到頻繁攻擊時,可通過安全重構(gòu)加強(qiáng)系統(tǒng)的安全性,使安全策略更傾向于安全性;當(dāng)系統(tǒng)處于事故狀態(tài)時,安全策略傾向于故障安全狀態(tài),確保故障節(jié)點或子系統(tǒng)處于最低安全狀態(tài),避免導(dǎo)致整個系統(tǒng)崩潰??芍貥?gòu)的NCS安全體系,可以有效地解決易用性與安全性之間的矛盾。
(10) 安全體系應(yīng)具有局部可恢復(fù)性和生存性。
一旦NCS安全體系中某個節(jié)點或子系統(tǒng)的安全性被破壞,該節(jié)點或子系統(tǒng)應(yīng)及時被隔離,或限制與其他節(jié)點或子系統(tǒng)的通信,直到該節(jié)點或子系統(tǒng)恢復(fù)安全性,才解除隔離或限制。這樣,即使NCS局部(或安全域[5])安全體系受到破壞,也不至于導(dǎo)致整個系統(tǒng)安全體系崩潰。
(11) 安全體系應(yīng)具有開放性和動態(tài)擴(kuò)展性。隨著網(wǎng)絡(luò)環(huán)境的變化以及新的漏洞和攻擊手段的出現(xiàn),NCS安全體系必須根據(jù)環(huán)境的變化做出調(diào)整,并增強(qiáng)自身的擴(kuò)展能力。
3.4 設(shè)計中應(yīng)注意的幾個問題
NCS安全體系設(shè)計中有若干問題需要進(jìn)一步研究。
(1) 信息系統(tǒng)的劃分
信息技術(shù)的基本原則是數(shù)據(jù)共享、網(wǎng)絡(luò)互連。因此,在信息技術(shù)應(yīng)用的過程中應(yīng)特別強(qiáng)調(diào)以數(shù)據(jù)庫為核心,以網(wǎng)絡(luò)為支撐。NCS的信息系統(tǒng)劃分至少應(yīng)遵循以下原則:
?、俨煌踩燃壍膽?yīng)用最好劃分為不同的系統(tǒng)或子系統(tǒng)。系統(tǒng)的安全設(shè)計應(yīng)根據(jù)應(yīng)用的要求確定,既要避免安全性和可靠性方面的漏洞,也要避免不必要的開銷。
②處于不同安全等級網(wǎng)絡(luò)上的系統(tǒng)或子系統(tǒng)之間信息交換不宜過多。應(yīng)盡可能采用從高到低的單向傳輸,必要時設(shè)置有效的隔離裝置。
③能在安全等級較低的網(wǎng)絡(luò)上實現(xiàn)的應(yīng)用系統(tǒng),不宜放到安全等級較高的網(wǎng)絡(luò)中實現(xiàn)。
(2) 信息系統(tǒng)的功能
當(dāng)NCS中信息的產(chǎn)生和消費分屬于不同的系統(tǒng)或子系統(tǒng)時,應(yīng)將功能放在信息消費多的那部分系統(tǒng)中。
(3) 信息的采集方式
實時信息大多來自NCS的控制節(jié)點,信息的采集應(yīng)由NCS來完成,而管理的對象和內(nèi)容則通過人機(jī)交互的方法獲得。從控制系統(tǒng)采集信息時,要嚴(yán)格限制為單向獲取數(shù)據(jù),保證信息采集不會對NCS造成影響。
(4) 信息的傳遞方式
NCS信息的傳遞可大致分成三類:
?、貼CS內(nèi)部各節(jié)點之間的信息傳遞,只存在可靠性及信息盜用的威脅。
?、诓煌琋CS之間的信息傳遞,除存在可靠性及信息盜用的威脅外,還存在系統(tǒng)之間互擾及錯誤信息流向等問題。
?、蹚V義網(wǎng)絡(luò)信息資源與所有NCS之間的信息傳遞。
3.5 自律分散NCS安全體系的設(shè)計方法
NCS融合了控制、計算機(jī)和網(wǎng)絡(luò)通信技術(shù),是一個典型的混雜動態(tài)控制系統(tǒng)(HDCS)。影響NCS信息安全和網(wǎng)絡(luò)安全的因素眾多而繁雜,因而需要有一套系統(tǒng)化和結(jié)構(gòu)化的設(shè)計方法和相應(yīng)的輔助工具,用以設(shè)計NCS的網(wǎng)絡(luò)安全體系。自律分散NCS安全體系的設(shè)計方法,實現(xiàn)了NCS安全體系結(jié)構(gòu)的動態(tài)變化和在線功能。
3.5.1 自律分散NCS安全體系的基本概念
隨著NCS規(guī)模的擴(kuò)大化,控制功能的分散化,節(jié)點分布的廣域化,攻擊手段的多樣化和網(wǎng)絡(luò)環(huán)境參數(shù)變化的復(fù)雜化,NCS將變得愈來愈難以控制。與此同時,隨著用戶需求和網(wǎng)絡(luò)資源的變化,NCS的體系結(jié)構(gòu)(控制結(jié)構(gòu)、拓?fù)浣Y(jié)構(gòu)和通信協(xié)議等)也處在不斷的變化與發(fā)展過程之中。NCS的組成部件(節(jié)點)的增加或減少,將導(dǎo)致NCS安全域的擴(kuò)展或收縮。所有這些變化都要求NCS的安全機(jī)制能跟隨這些變化做出快速的響應(yīng),安全策略能跟隨這些變化進(jìn)行動態(tài)的調(diào)整,以便全面地反映變化過程中系統(tǒng)的安全需求。同時,也要求NCS的安全體系能動態(tài)地適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。
自律分散NCS安全體系,將NCS安全體系劃分成許多自律安全體系單元。由于NCS安全體系變化的動態(tài)性,整個系統(tǒng)安全體系很難事先完全定義,只能定義若干自律安全體系單元,然后集成。自律分散NCS安全體系最為重要的特點,就是自律安全體系單元的自我控制和自我協(xié)調(diào)能力[6],即自律安全體系單元應(yīng)具有以下兩個基本特性:
(1)自律可控性(autonomous controllability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入,都不能影響其他自律安全體系單元的自我管理及功能的運行。
(2)自律可協(xié)調(diào)性(autonomous coordinability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入,其他自律安全體系單元之間能夠協(xié)調(diào)各自的任務(wù),并以協(xié)作方式運行以實現(xiàn)各自功能。
基于自律安全體系單元的自律可控性和自律可協(xié)調(diào)性設(shè)計的NCS安全體系,可確保安全體系的在線擴(kuò)展(on-line expansion)、在線維護(hù)(on-line maintenance)和在線容錯(on-line fault tolerance)功能,這些特點與不斷發(fā)展和變化的NCS的安全需求非常吻合。
3.5.2 自律分散NCS安全體系的設(shè)計方法
自律分散NCS安全體系的設(shè)計方法,采用自底向上、由內(nèi)向外,從自律安全體系單元逐步構(gòu)成整個NCS安全體系的系統(tǒng)設(shè)計方法,突破了假定在設(shè)計階段安全體系的結(jié)構(gòu)、規(guī)模和功能都是確定的自頂向下的系統(tǒng)設(shè)計方法。自律分散NCS安全體系支持NCS分階段建設(shè)和實施,使NCS安全體系具備在線擴(kuò)展、在線維護(hù)和在線容錯等“動態(tài)”功能,適應(yīng)了NCS安全體系結(jié)構(gòu)的動態(tài)變化,實現(xiàn)了NCS安全體系設(shè)計方法的突破。
NCS的信息安全和網(wǎng)絡(luò)安全是整體的、動態(tài)的,不是單一的信息安全和網(wǎng)絡(luò)安全技術(shù)能夠?qū)崿F(xiàn)的。在保證NCS信息傳輸?shù)目煽啃院蛯崟r性的前提下,綜合考慮NCS的信息安全和網(wǎng)絡(luò)安全,尋找確保網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)效率的平衡點,建立真正適合于NCS的網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)。對于NCS的安全體系設(shè)計,迫切需要開展以下研究工作:
(1)全面開展NCS網(wǎng)絡(luò)信息安全保障技術(shù)的規(guī)劃與設(shè)計研究。從硬件及軟件兩方面為NCS提供完整的安全系統(tǒng)平臺,建立NCS綜合安全評估模型。
(2)NCS的網(wǎng)絡(luò)信息安全,不僅關(guān)系到網(wǎng)絡(luò)安全問題,而且還涉及信息系統(tǒng)的劃分、功能定義、數(shù)據(jù)采集、數(shù)據(jù)庫結(jié)構(gòu)設(shè)計等一系列問題。需要從整個NCS體系結(jié)構(gòu)、通信協(xié)議、節(jié)點狀況、被控對象特性、網(wǎng)絡(luò)資源等方面綜合考慮,確保NCS安全運行。
(3)加強(qiáng)對NCS網(wǎng)絡(luò)信息安全設(shè)計相關(guān)理論的研究,以推動NCS的網(wǎng)絡(luò)安全理論向前發(fā)展。
參考文獻(xiàn)
[1] YANG T C. Networked control system: a brief survey[J]. IEEE Proc.Control Theory Appl.,2006, 153(4):403-412.
[2]?LOPEZ I, LEE D. Practical issues in networked control systems[C], Proceedings of the 2006 American Control Conference Minneapolis. Minnesota,USA:[s.n.],June14-16, ?2006:4201-4207.
[3]?盧昱,顧麗娜.網(wǎng)絡(luò)控制論系統(tǒng)的仿真分析.計算機(jī)應(yīng)用研究,2005,(8):210-212.
[4]?WALSH G C, YE H. Scheduling of networked control systems[J]. IEEE Control Systems Magazine, 2001,21(1):57-65.
[5] ?劉全.網(wǎng)絡(luò)控制系統(tǒng)的安全域研究[J]. 微計算機(jī)信息, 2006,(7):45-47.
[6] ?MORI K. Autonomous decentralized systems: concept, data field architecture and future trends[C]//Proceedings of ISAD 93.Kawasaki,Japan:IEEE Computer Society,1993:28-34.