今日頭條
官方微信
官方抖音
資訊頻道★張亞彬,張鑫,王麟琨,劉瑤機械工業(yè)儀器儀表綜合技術經濟研究所
★孫鐵良,黃河,呂峰國家石油天然氣管網集團有限公司油氣調控中心
1 引言
油氣管網場站工控系統(tǒng)是一個典型的信息物理系統(tǒng)(Cyber Physical System,CPS)應用,它將物理過程的控制與網絡技術緊密結合,實現了對油氣傳輸、處理和儲存等過程的監(jiān)測與控制。油氣管網場站涉及到大量的物理設備(如輸油泵、壓縮機組)和復雜的工藝流程(如過濾、分離),任何功能上的故障或異常都可能導致嚴重的安全問題,如設備損毀、油氣泄漏甚至爆炸。因此,將安全功能內嵌到油氣管網場站工控系統(tǒng)中,可實時監(jiān)測和預測潛在的功能故障,以便及時采取措施防止事故的發(fā)生,保障了物理設備和生產過程的安全。油氣場站的工控系統(tǒng)通過網絡連接大量傳感器、控制器和執(zhí)行器,其面臨的信息安全威脅日益增多。傳統(tǒng)的網絡安全措施如防火墻、入侵檢測系統(tǒng)等,雖然能提供一定的防護,但在面對復雜的新型攻擊時仍顯不足。因此,有必要通過多層次的安全機制,增強網絡系統(tǒng)的抗攻擊能力,減少因網絡攻擊導致的系統(tǒng)故障和生產中斷。此外,CPS的特性使得功能安全和信息安全緊密相關,傳統(tǒng)的信息安全與功能安全分治方法難以有效應對復雜的綜合安全威脅。因此,有必要將功能安全和信息安全融合,實現安全機制的協同防御,提高系統(tǒng)的整體安全水平。
為了提升工控系統(tǒng)防御安全的自主性和自適應性,本文提出了融合功能安全與信息安全的場站工控系統(tǒng)融合安全策略,即將功能安全機制與信息安全協同機制融入進場站工控系統(tǒng)中,使其具備自主感知、自主分析和自主響應的能力,對于保障油氣管網場站的物理過程安全和網絡系統(tǒng)安全、實現協同防御、提升自主性和自適應能力、保障生產過程的連續(xù)性和可靠性等具有重要意義。
2 融合安全防護策略的理念
融合安全防護策略是工業(yè)控制系統(tǒng)與物理生產系統(tǒng)不斷融合環(huán)境下衍生出的安全防護需求,是面向網絡化數字化業(yè)務,將信息安全與功能安全內置到CPS系統(tǒng)的全生命周期內,從體系化、全局化視角構建的動態(tài)的CPS整體安全防御體系,保障了工業(yè)控制系統(tǒng)與物理生產系統(tǒng)的整體運行安全。該策略要求在信息物理系統(tǒng)內部建設功能安全能力、信息安全能力、功能安全與信息安全協同能力,使得CPS系統(tǒng)具備自身免疫能力。融合安全防護策略的特點概況如下:
(1)整體安全。整體安全是指安全系統(tǒng)具備層層設防、協同防御的能力。融合安全防護策略對信息安全事件具有自我感知、自我響應能力;對于信息物理跨域攻擊事件,具有信息安全能力與功能安全能力聯動效應,實現跨域攻擊鏈的全域感知、跨域評估、協同響應,保證物理生產系統(tǒng)連續(xù)安全運行。
(2)沖突消解。沖突消解本質上是解決了功能安全與信息安全沖突問題,確保了信息安全技術的架構、配置和功能等對功能安全的影響處于可接受水平。針對優(yōu)化后的功能安全技術和信息安全技術,分析信息安全技術的架構、配置和功能對功能安全的增強、沖突和協同作用;當兩者存在沖突時開展沖突風險評估,依據風險可接受標準優(yōu)化信息安全技術。此時,信息安全技術防護的能力等級仍將符合系統(tǒng)風險評估的等級要求。
(3)“三同步”原則。“三同步”是指CPS系統(tǒng)建設與融合安全防護能力建設需要同步規(guī)劃、同步建設和同步運行,實現對融合安全防護的全生命周期管控,做好建設與運行的相結合、安全感知與安全響應的相結合。同步規(guī)劃是融合安全防護的起點和關鍵,強調關口前移,實現融合安全防護與CPS的深度結合和全面覆蓋。同步建設是融合安全防護策略的落地和保障,強調CPS建設時引入信息安全能力、功能安全能力、信息安全與功能安全協同能力。同步運行是指融合安全防護的生命,通過規(guī)劃、建設形成的安全能力需要具備運營、技術、人員和管理規(guī)范,形成一個完整的體系,輸出安全能力,提升完全防御整體水平。
3 融合安全防護策略的技術框架
融合安全策略是結合油氣管網場站工控網絡基礎架構,基于風險驅動設計和能力導向設計的總體思想,通過全域態(tài)勢動態(tài)感知、信息安全與功能安全協同、風險決策動態(tài)適配等關鍵技術,構建多層次、協同聯動的CPS系統(tǒng)縱深防御體系,其主要框架如圖1所示。
圖1 場站融合安全策略的技術框架
針對由硬件故障、人員誤操作等帶來的異常狀態(tài),通過功能安全監(jiān)測模塊進行實時的動態(tài)監(jiān)測,并將異常狀態(tài)參數傳送給系統(tǒng)。系統(tǒng)判斷當前的工藝異常是否大于可接受閾值,如果工藝異常小于可接受閾值,則繼續(xù)進行監(jiān)測,如果工藝異常大于可接受閾值,根據需要啟動功能安全的各級保護層。針對場站工業(yè)控制系統(tǒng)可能面臨的信息安全攻擊,通過信息安全監(jiān)測模塊進行實時的動態(tài)監(jiān)測,如果沒有發(fā)現異常,則繼續(xù)進行監(jiān)測。如果信息安全監(jiān)測模塊發(fā)現了異常,則啟動信息安全預警聯動機制。在這個過程中,利用多域指令級對比措施分析當前的信息安全攻擊是否已經影響現場工藝參數/儀器儀表狀態(tài),如果已經影響到現場工藝參數/儀器儀表狀態(tài),則需要綜合考慮功能安全與信息安全帶來的影響。針對后果等級較高的場景,建議安全儀表系統(tǒng)與基本過程控制系統(tǒng)(Basic Process Control System,BPCS)實行物理隔離,在其他一般的場景下可實施邏輯隔離。
3.1 場站全時全域動態(tài)感知
場站全時全域動態(tài)感知是指全面、快速、準確地獲得場站工業(yè)控制系統(tǒng)和物理生產系統(tǒng)的安全運行狀態(tài),是保障站場安全運行的重要基礎。從場站物理設備設施危險事件或事故成因來看,信息安全事件、設備物理故障、人為誤操作、自然環(huán)境因素等是引起傳輸數據異常、業(yè)務邏輯異常、工藝參數異常的原因。基于此,全域態(tài)勢動態(tài)感知要素的監(jiān)測是指對導致場站生產系統(tǒng)運行態(tài)勢發(fā)生改變的各種不確定要素和過程變量進行動態(tài)測量。感知維度涉及網絡安全感知、設備安全感知、業(yè)務邏輯感知、工藝參數感知、用戶行為分析等。
(1)網絡安全感知:鑒于油氣管網場站網絡設備、服務器、應用程序的規(guī)模化和復雜化特點,靈活采用網絡入侵檢測技術和主機入侵檢測技術相結合的方式。網絡入侵檢測技術監(jiān)控整個場站的網絡流量,識別可疑活動和已知攻擊模式,適合對外部攻擊和網絡流量進行中央管理。主機入侵檢測系統(tǒng)技術面向特定的主機,監(jiān)控系統(tǒng)文件和日志,檢測異常行為。
(2)設備安全感知:主要包括終端設備狀態(tài)監(jiān)測和固件/軟件的完整性檢查。終端設備狀態(tài)監(jiān)測是指監(jiān)測所有連接設備的健康狀態(tài),包括傳感器、控制器、執(zhí)行器等,確保它們正常運行且未被篡改。設備安全狀態(tài)監(jiān)測內容主要包括通信狀態(tài)(即監(jiān)測設備與控制系統(tǒng)的連接狀態(tài),確保數據傳輸及時且可靠)、性能指標(如處理速度、響應時間、功耗等,以確保其在合理范圍內運行)、故障檢測(諸如傳感器失效、控制器錯誤配置等)、所處環(huán)境監(jiān)控等。固件完整性檢測主要是定期檢查設備固件是否與廠商提供的最新版本一致,防止被破壞而長時間未發(fā)現產生的安全漏洞。
(3)業(yè)務邏輯感知:主要包括場站操作過程監(jiān)控和控制網絡危險報文檢測。場站操作過程監(jiān)控側重于監(jiān)測生產過程中的關鍵行為指標,按照可接受的閾值設置預警機制,一旦監(jiān)測到異常情況(如設備啟停過程不符合規(guī)范),便自動發(fā)出警報,從而確保生產流程按照預定的操作規(guī)范和標準執(zhí)行。網絡危險報文檢測是指建立模型對發(fā)送和接收的組態(tài)報文進行完整性驗證,以檢測與歷史(或上文)數據不符的通信行為,及時發(fā)現偽裝或篡改的報文。
(4)工藝參數感知:通過多種類型的傳感器,實時監(jiān)測和采集關鍵的工藝參數以確保生產運行的安全性、可靠性和高效性。所有這些數據通過通信協議實時傳送到控制中樞,控制中樞通過對歷史數據和實時數據進行比對,識別操作過程中的異常模式,并提供預警。
(5)用戶行為分析:用戶行為分析是保護場站工業(yè)控制系統(tǒng)和數據的關鍵措施。它主要是通過建立用戶正常行為的基線模型,發(fā)現異常登錄行為、權限提升行為和不尋常的訪問模式等。
3.2 信息安全與功能安全協同
在油氣管網場站工控系統(tǒng)中,信息安全保護層與功能安全保護層的有效協同是確保系統(tǒng)持久安全可靠的重要基礎。兩安保護層協同是建立在安全一體化風險評估基礎上的,而一體化風險評估重點關注信息安全事件可能對功能安全的影響,如黑客攻擊破壞安全儀表系統(tǒng)的控制邏輯。將信息安全防護作為外部屏障抵御病毒和惡意攻擊,功能安全措施作為工業(yè)控制系統(tǒng)的免疫系統(tǒng)開展主動防御和響應,當信息安全防護失效,病毒或攻擊侵入時,功能安全措施應能及時發(fā)現異常/偏差并觸發(fā)保護(如導入安全狀態(tài));與此同時應在工控系統(tǒng)部署信息安全探測措施(如探針)實時監(jiān)測運行異常,通過系統(tǒng)異常行為分析(如工藝參數偏離、異常報文等)判斷并發(fā)出異常事件報警。同時,通過定期的檢驗測試來評估工業(yè)控制系統(tǒng)健康狀態(tài)和功能安全與信息安全一體化防護系統(tǒng)狀態(tài)。功能安全系統(tǒng)在信息安全防護下運行,信息安全防護對功能安全的負面影響應控制在可接受范圍,確保工業(yè)控制系統(tǒng)在信息安全防護失效后可通過功能安全實現風險可控。
3.3 風險決策動態(tài)適配
風險決策動態(tài)適配是充分考慮場站工業(yè)控制系統(tǒng)狀態(tài)的動態(tài)性,依據風險評估結果實時調整風險管理的決略。風險決策動態(tài)適配本質上是在線的風險評估與決策邏輯,并且綜合考慮信息安全風險和功能安全風險。獨立的功能安全評估可參考標準IEC61508,單獨的信息安全評估可參考標準IEC62443,一體化風險評估宜從CPS視角開展網絡物理攻擊風險評估,建立一系列的網絡物理攻擊風險評估模型,如:攻擊者通過入侵網絡,篡改傳遞到物理生產系統(tǒng)的控制指令和傳感器的數據;通過DDoS等手段,攻擊者可以使控制系統(tǒng)無法正常工作;又如:通過控制指令改變物理設備的工作狀態(tài),導致設備損壞或故障。
基于3.1節(jié)場站全時全域動態(tài)感知獲取的數據,實時識別異常行為,并作為3.3節(jié)的風險決策與應急聯動的輸入,基于不同的風險評估結果,從成本、效益和安全性等多個目標進行平衡,適配最優(yōu)的決策方案。基于風險評估結果和環(huán)境變化,根據3.3節(jié)動態(tài)適配風險控制策略,實施相應的功能安全措施和信息安全措施。
4 結論
針對油氣管網場站的傳統(tǒng)信息安全與功能安全分治方式難以有效應對復雜的綜合安全威脅的問題,本文提出了油氣管網場站工控系統(tǒng)融合安全防護策略,通過全域態(tài)勢動態(tài)感知、信息安全與功能安全協同、風險決策動態(tài)適配等關鍵技術,保障了油氣管網場站的整體安全,實現了功能安全與信息安全的協同防御能力。
★基金項目:國家重點研發(fā)計劃項目(2023YFB3107703)
作者簡介
張亞彬(1986-),男,河北保定人,高級工程師,博士,現就職于機械工業(yè)儀器儀表綜合技術經濟研究所,主要研究方向為智能制造與工控安全共性關鍵技術及標準研制。
張 鑫(1990-),男,山東聊城人,高級工程師,博士,現就職于機械工業(yè)儀器儀表綜合技術經濟研究所,主要研究方向為風險評估等共性關鍵技術研究及標準研制。
王麟琨(1974-),男,黑龍江佳木斯人,教授級高工,博士,現就職于機械工業(yè)儀器儀表綜合技術經濟研究所,主要研究方向為現場總線、機電控制。
劉 瑤(1987-),女,江蘇泰州人,高級工程師,學士,現就職于機械工業(yè)儀器儀表綜合技術經濟研究所,主要研究方向為功能安全、工控信息安全及安全一體化。
孫鐵良(1967-),男,山東德州人,高級工程師,學士,現就職于國家石油天然氣管網集團有限公司油氣調控中心,主要研究方向為自動化控制、通信和工控系統(tǒng)網絡安全等。
黃 河(1984-),男,重慶永川人,高級工程師,碩士,現就職于國家石油天然氣管網集團有限公司油氣調控中心,主要研究方向為自動化控制和工控系統(tǒng)網絡安全等。
呂 峰(1969-),男,山東威海人,正高級工程師,學士,現就職于國家石油天然氣管網集團有限公司油氣調控中心,主要研究方向為自動化控制和工控系統(tǒng)網絡安全等。
參考文獻:
[1] 張小虎, 蔣麗瓊. 長輸天然氣管道站控系統(tǒng)工控安全方案設計與研究[J]. 信息安全研究, 2019, 5 (8) : 740.
[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進展[J]. 清華大學學報: 自然科學版, 2012, 52 (10) 1396 - 1408.
[3] 丁曉倩, 向勇, 李喜旺, 等. 工業(yè)控制系統(tǒng)信息安全研究新動態(tài)[J]. 計算機系統(tǒng)應用, 2021, 30 (2) : 12 - 19.
[4] 吳超, 華佳敏. 功能安全研發(fā)的方法論研究[J]. 中國安全生產科學技術, 2018, 14 (8) : 23 - 28.
[5] 楊婷, 張嘉元, 黃在起, 等. 工業(yè)控制系統(tǒng)安全綜述[J]. 計算機研究與發(fā)展, 2022, 59 (5) : 1035 - 1053.
[6] 靳江紅, 莫昌瑜, 李剛. 工業(yè)控制系統(tǒng)功能安全與信息安全一體化防護措施研究[J]. 工業(yè)安全與環(huán)保, 2020, 46 (1) : 53 - 60.
[7] 付曉曉. 基于功能安全與信息安全的SIS系統(tǒng)風險評估方法研究[D]. 北京: 中國石油大學, 2022.
[8] 胡博文, 周純杰, 劉璐. 基于模糊多目標決策的智能儀表功能安全與信息安全融合方法[J]. 信息網絡安全, 2021, 21(7) : 10 - 16.
[9] 趙越. 面向控制過程的工業(yè)控制系統(tǒng)信息安全防護彈性控制技術研究[D]. 武漢: 華中科技大學, 2022.
[10] 羅躍斌. 網絡主動防御關鍵技術研究[D]. 長沙: 國防科學技術大學, 2017.
[11] 王瀚洲, 劉建偉. 網絡內生安全研究現狀與關鍵技術[J]. 中興通訊技術, 2022, 28 (6) : 2 - 11.
[12] 石永杰, 于慧超, 呂峰, 等. 工業(yè)控制系統(tǒng)網絡安全的主動防御技術研究與實踐[J]. 信息技術與網絡安全, 2020, 39 (4) : 13 - 18.
[13] 余飛. 工業(yè)網絡邊界擬態(tài)防護關鍵技術研究及其實現[D]. 鄭州: 戰(zhàn)略支援部隊信息工程大學, 2021.
[14] 胡寧. 面向內生安全的網絡異常檢測關鍵技術研究[D]. 南京: 東南大學, 2021.
[15] Wu J. Cyberspace endogenous safety and security[J]. Engineering, 2022, 15 : 179 - 185.
[16] 彭瑜. 過程工業(yè)控制系統(tǒng)及其軟件的功能安全[J]. 自動化博覽, 2010, 27 (12) : 40 - 46 + 50.
[17] 周浩, 黃雙, 黃雄峰, 等. 嵌入式PLC的信息安全策略設計與實現[J]. 計算機科學, 2013, 40 (9) : 125 - 129.
[18] 鄔江興. 網絡空間擬態(tài)防御研究[J]. 信息安全學報, 2016, 1(4) : 1-10.
[19] 石永杰. 工業(yè)互聯網環(huán)境下IT/OT融合的安全防御技術研究[J]. 信息技術與網絡安全, 2019, 38 (7) : 1-5+18.
[20] 賴英旭, 劉靜, 劉增輝, 等. 工業(yè)控制系統(tǒng)脆弱性分析及漏洞挖掘技術研究綜述[J]. 北京工業(yè)大學學報, 2020, 46 (6) : 571 - 582.
[21] 李治霖. 工業(yè)控制網絡安全態(tài)勢感知的研究[D].長春: 長春工業(yè)大學, 2020.
[22] 耿進步, 賀磊, 牛玉坤. 數字化轉型背景下制造側網絡安全發(fā)展情況與建議[J]. 信息通信技術與政策, 2024, 50 (8) : 9 - 16.
[23] 高金吉. 人工自愈與機器自愈調控系統(tǒng)[J]. 機械工程學報, 2018, 54 (8) : 83 - 94.
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號