今日頭條
官方微信
官方抖音
案例頻道★李小川,蘇云濤北京圣博潤高新技術股份有限公司
關鍵詞:工業(yè)安全;數(shù)字孿生;PLC仿真;工業(yè)安全
1 項目概況
1.1 項目背景
港口碼頭作為經(jīng)濟的晴雨表,不僅是現(xiàn)代經(jīng)濟的血液,還是促進貿(mào)易和地區(qū)發(fā)展的重要基礎設施。近年來,港口裝卸作業(yè)自動化程度逐漸提高,視頻監(jiān)控、分布式工業(yè)控制系統(tǒng)得到了廣泛應用,為港口的安全穩(wěn)定運行提供了重要保障。但不足之處也很明顯,港口生產(chǎn)運營中的視頻監(jiān)控、PLC系統(tǒng)、工控監(jiān)控系統(tǒng)網(wǎng)絡安全防護較為薄弱,病毒、軟件濫用、網(wǎng)絡架構、U盤濫用等問題日益凸顯。
我國港口碼頭工業(yè)控制系統(tǒng)屬于關鍵信息基礎設施,安全可靠性問題突出,受到系統(tǒng)結構復雜、核心技術限制、缺乏安全與管理標準等諸多因素影響,運行在工業(yè)控制系統(tǒng)中的數(shù)據(jù)及操作指令隨時可能遭受來自敵對勢力、商業(yè)間諜、網(wǎng)絡犯罪團伙的破壞。而且IT通用化加劇了系統(tǒng)的安全隱患,IT技術將傳統(tǒng)安全的困擾引入到工業(yè)控制系統(tǒng)中,危及了控制系統(tǒng)的安全。通過分析發(fā)現(xiàn),港口碼頭行業(yè)工業(yè)控制系統(tǒng)常見的安全威脅主要來自以下幾個方面:邊界隔離措施缺失、工控協(xié)議安全缺陷、高級持續(xù)威脅難以發(fā)現(xiàn)、操作系統(tǒng)安全漏洞、工業(yè)系統(tǒng)設備漏洞、組態(tài)軟件升級困難、病毒控制手段缺乏、移動存儲介質(zhì)濫用、特權濫用數(shù)據(jù)泄露、人員管理安全威脅、非法接入風險、明文數(shù)據(jù)傳輸風險和無線通信鏈路風險。
1.2 項目簡介
本項目針對符合港口工控網(wǎng)絡特點的仿真驗證環(huán)境不足,難以滿足行業(yè)所需的分析、測試、驗證等工作,提出了“港口工控安全仿真驗證平臺”。本項目從兩個方向展開研究:港口工控系統(tǒng)仿真環(huán)境虛擬化和工控仿真環(huán)境安全驗證。首先,基于固件提取技術、分析技術及虛擬化技術等實現(xiàn)設備控制系統(tǒng)(ECS)虛擬化,解決實體設備虛擬化問題。然后,基于部分實體設備和虛擬化設備通過多維度審計溯源技術進行安全驗證,解決仿真環(huán)境如何有效使用問題。
1.3 項目目標
(1)滿足港口碼頭單位安全防護產(chǎn)品的總體論證和規(guī)劃能力需求;
(2)增強港口碼頭單位工控系統(tǒng)信息安全保障能力;
(3)滿足港口碼頭單位安全訓練和攻防演習需求。
2 項目實施
港口工控安全仿真驗證平臺的總體構架如圖1所示。
圖1 港口工控安全仿真驗證平臺的總體架構
圖1中虛線部分是本項目的重點研究內(nèi)容,主要涵蓋翻車機、推料機、取料機、裝船機系統(tǒng)場景,首先通過官方獲取、硬件提取等方式對PLC、RTU、智能儀表的固件進行提取、分析,然后借助容器或者虛擬機實現(xiàn)PLC、RTU、智能儀表仿真,再通過上位機組態(tài)虛擬機、計算資源池、網(wǎng)絡資源池、存儲資源池和網(wǎng)絡控制器虛擬等完成控制設備數(shù)字孿生,最后基于搭建的港口工控安全仿真場景完成統(tǒng)計可視化、攻擊溯源、流量分析和仿真驗證等功能。整體以云計算超融合平臺為支撐,具有靈活動態(tài)分配資源、統(tǒng)一管理、維護成本低、高性價比和便于管理維護的優(yōu)點。其采用B/S架構設計,通過網(wǎng)絡將超大規(guī)模的計算與存儲資源整合起來,并將計算任務分布在這些資源池上,再根據(jù)自己的需要獲得計算、存儲和網(wǎng)絡等信息服務。同時,通過業(yè)界主流的信息系統(tǒng)、工控系統(tǒng)(PLC、組態(tài)軟件、網(wǎng)絡交換機、主機系統(tǒng)等)的虛擬化很好地解決了仿真過程過度依賴實物硬件的不便利,同時也能迅速地通過虛擬機拓撲的改變在短時間內(nèi)組建成新的業(yè)務系統(tǒng)。
本項目安全仿真驗證環(huán)境的總體設計方案以傳統(tǒng)信息安全和業(yè)務安全為背景,綜合權衡信息安全的機密性與業(yè)務安全的可用性,并從平臺底層架構的完整性、實時性考慮,借助虛擬化技術增強系統(tǒng)的穩(wěn)定性、可靠性以及安全性,保證上層真實仿真系統(tǒng)的可用性。本方案主要分為四個部分:基礎層設備虛擬化建設、虛擬網(wǎng)絡SDN的映射應用、上位機控制系統(tǒng)及工藝流程虛擬化建設、平臺仿真資源庫的建設應用。
2.1 基礎層設備虛擬化建設
本項目自下而上開展基礎層設備虛擬化,主要包括:
(1)傳感器數(shù)據(jù)仿真建設
仿真環(huán)境支持對角度、振幅、高度等碼頭主流傳感器的虛擬化,如圖2所示,通過對傳感器的虛擬化,保證控制器系統(tǒng)通過虛擬的接口與傳感器進行通訊,利用軟件技術對開關量傳感器的數(shù)據(jù)仿真,為基礎層設備的虛擬化提供技術保障。
圖2 傳感器虛擬化
建立傳感器的模型,在其原理分析、結構設計、樣機研制中起著重要的作用。一個符合傳感器實際情況的模型,既能充分、準確地揭示出傳感器的工作機理,又能有效地指導傳感器實際的優(yōu)化設計、減小盲目性、縮短樣機研制過程和處理不同物理量之間的耦合等。
(2)控制器仿真建設
仿真環(huán)境支持對西門子、羅克韋爾自動化、施耐德、三菱電機等控制設備(PLC/RTU)的模擬,每種控制器支持兩種以上的主流系列仿真。它具有實物控制器在功能、可靠性、速度、故障查找等方面的特點。利用軟件技術可以將標準的工業(yè)PC機系統(tǒng)轉(zhuǎn)換成全功能的過程控制器,通過一個多任務控制內(nèi)核,提供強大的指令集快速而準確的掃播周期、可靠的操作和可連接各種I/O系統(tǒng)及網(wǎng)絡的開放式結構。
2.2 虛擬網(wǎng)絡的建立應用
該平臺可以提供高逼真的工控仿真環(huán)境,能夠通過網(wǎng)絡將超大規(guī)模的計算與存儲資源整合起來,并將計算任務分布在這些資源池上,再根據(jù)自己的需要獲得計算、存儲和網(wǎng)絡等資源,最終實現(xiàn)高逼真的工控仿真環(huán)境,從網(wǎng)絡層聯(lián)通控制器、安全防護設備、上位機監(jiān)控系統(tǒng)及其他高層業(yè)務系統(tǒng),為虛擬平臺直接互聯(lián)互通打好了通信的基礎工作。
2.3 上位機系統(tǒng)仿真
作為設備的直接監(jiān)控層,仿真環(huán)境支持對多種國內(nèi)外上位機系統(tǒng)的模擬,如Wincc、IFix、Intouch,杰控、力控、組態(tài)王等。
在港口碼頭生產(chǎn)工控系統(tǒng)的典型場景中,需要具備上位機與控制器設備間的數(shù)據(jù)交互能力,控制層設備通過對現(xiàn)場傳感器或虛擬傳感器的數(shù)據(jù)采集,實時與上位機系統(tǒng)進行數(shù)據(jù)交互,達到工控設備及系統(tǒng)高逼真還原。同時作為工業(yè)仿真的核心要素,仿真系統(tǒng)可支持對OPC、EIP、Modbus、S7、S7CommPlus等協(xié)議的模擬。工業(yè)通信協(xié)議可承擔設備數(shù)據(jù)交互、指令執(zhí)行、程序互傳等功能的橋梁作用,協(xié)議仿真在各類型典型流程工業(yè)場景中起到重要支撐。
2.4 基于機器學習的控制器行為監(jiān)控及溯源技術
本項目基于人工智能的控制器行為識別技術,通過研究主體控制器對客體設備的行為,以及多主體控制器行為之間的相互關系,得到控制器網(wǎng)絡行為的模式、特性狀態(tài)和結構抽象。通過對行為觀測所得到的行為樣本與行為庫進行匹配,預測行為變化的趨勢,從而揭示控制器正常運行的規(guī)律。控制器行為分析溯源的實現(xiàn)技術路徑如圖3所示。
圖3 虛實結合的分析溯源示意圖
3 案例亮點及創(chuàng)新性
(1)工控設備數(shù)字孿生技術
本項目基于多維度虛實映射的港口工控設備數(shù)字孿生構建方法,在OpenStack基礎平臺上融合KVM和LXC兩種虛擬化技術,從實物設備、虛擬化技術、軟件模擬方法等多個維度設計港口碼頭生產(chǎn)工控設備及網(wǎng)絡的構建機制,滿足真實性、高效性和大規(guī)模需求。
(2)虛實結合的安全驗證技術
本項目虛實結合的實體設備、軟件、應用和數(shù)據(jù)服務等將在仿真環(huán)境中被抽象為邏輯表示的基礎資源標識。仿真環(huán)境的資源模塊管理一切平臺環(huán)境及任務需要的模塊,時序一致性則具體依靠OpenStack中的Gnocchi模塊實現(xiàn),主要原理為把各個計量指標Metric的計量數(shù)據(jù)measurement直接寫入后端存儲中,并在measurement寫入之前根據(jù)預先設定的歸檔策略進行聚合操作,查詢時直接讀取對應的文件即可獲得聚合后的監(jiān)控信息點,顯然時間復雜度變?yōu)镺(1),并且提供資源索引,可以更快地找到每個資源的基礎信息metadata和其相關的metrics信息。
作者簡介
李小川(1980-),男,遼寧沈陽人,碩士,現(xiàn)就職于北京圣博潤高新技術股份有限公司,主要從事工控網(wǎng)絡安全方面的研究。
蘇云濤(1991-),男,河北石家莊人,工程師,學士,現(xiàn)就職于北京圣博潤高新技術股份有限公司,主要從事工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號