摘 要: 介紹了網絡控制系統 (NCS )的信息安全" title="信息安全">信息安全和網絡安全,分析了NCS安全體系的設計目標、設計要求和設計原則,提出了設計具有自律可控性和自律可協調性NCS安全體系的新方法,并指出了NCS安全體系設計中需進一步研究的若干問題。
關鍵詞: 網絡控制系統 網絡安全理論? 網絡信息安全" title="網絡信息安全">網絡信息安全? 安全體系結構? 自律分散
?
網絡的閉環反饋控制系統稱為網絡控制系統NCS(Networked Control System)[1~2],其典型結構如圖1所示。
NCS提高了系統的可靠性,增強了系統的維護性和擴展性,降低了系統的遠程運行費用,實現了信息資源的共享[3~4]。NCS的信息安全涉及NCS的安全體系結構、通信協議的安全性設計、信息加密技術、安全域或安全子域等方面的內容。在當前NCS的網絡安全理論的研究大大落后于NCS的實際應用的情況下,對NCS安全體系設計的研究刻不容緩。
本文將分析NCS安全體系的設計目標、設計要求和設計原則等問題,并提出自律分散" title="自律分散">自律分散NCS安全體系的設計方法" title="設計方法">設計方法,同時指出NCS網絡信息安全體系設計中應進一步研究的問題。
1 NCS的信息安全
1.1 基本概念
NCS的信息安全包括信息系統的安全、信息數據的安全和信息內容的安全。其核心就是要保障NCS的所有信息免遭偶然的或者惡意的破壞、更改、泄露和刪除。NCS的信息安全涉及到信息在采集、傳遞、存儲和應用等過程中如何保證完整性、合法性、可靠性、可用性、保密性、真實性和可控性等的相關技術與理論。
1.2 體系結構
NCS的信息、信息載體和信息環境是NCS信息安全的三大類保護對象,由此構成了NCS信息安全體系結構。信息是指NCS各節點之間在網絡上傳輸的信息,置于信息安全體系結構的內層,既包含實時信息,又包含非實時信息,例如,事故報警信息、系統狀態信息、過程參數測量信息、網絡控制器控制信息、開關和閥門的位置信息、系統組態信息、系統診斷信息、系統維護信息、系統備份信息、網絡調度信息、管理決策信息等;信息載體指信息的承載體,處于信息安全體系結構的中間層,包括物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺,如通信協議、網絡協議、應用協議及其軟件等;信息環境指NCS的信息及信息載體所處的環境,處于信息安全體系結構的外層,包括硬環境和軟環境。NCS信息安全體系結構如圖2所示。
2 NCS的網絡安全
2.1 基本概念
NCS網絡安全的核心就是要保證信息在安全的網絡上傳輸與共享,保證網絡系統的安全運行。NCS中的“網絡”泛指廣義網絡,包括現場總線網絡、工業以太網和互聯網等。
2.2 體系結構
NCS的網絡安全體系結構包含三個層次:密碼安全層、網絡安全層和環境安全層。密碼安全處于內層,直接保護信息安全;網絡安全處于中間層,一方面它需要密碼安全層的支持,同時也為密碼安全層提供運行環境;環境安全處于外層,為網絡安全層、密碼安全層提供可靠的設施和管理等安全環境。NCS網絡安全體系結構如圖3所示。
3 NCS的安全體系設計
3.1 設計目標
NCS安全體系設計的目標是在一定約束下,盡可能滿足用戶的安全需求。這里需要解決如下三個基本問題:
(1)如何根據安全需求制定安全策略,即NCS的安全分析問題。
(2)如何將安全需求映射為安全體系,即NCS的安全設計問題。
(3)明確安全體系滿足安全需求的程度,即NCS的安全評價問題。
解決上述問題需要系統化和結構化的設計方法及其輔助工具的支持。
3.2 設計原則
NCS安全體系的設計需遵循如下一些設計原則:
(1) 木桶原則。木桶的容積取決于最短一塊木板,而NCS的安全性則取決于最薄弱的環節。
(2)整體性原則。對NCS不僅要提供安全防護和檢測機制,還應提供應急恢復機制等。
(3) 等級性原則。對NCS的網絡應進行分級,包括對信息保密程度分級、用戶操作權限分級、網絡安全程度分級、系統實現結構分級(如應用層、網絡層、鏈路層等)。
(4) 有效和實用原則。安全機制不應影響NCS正常運行,應有效、簡單和實用。
(5) 動態性原則。安全體系內應盡可能引入可變因素,使安全體系具備良好的動態性。
(6) 失效保護狀態原則。網絡安全防護系統失效模式應該是“失效-安全”型,即一旦防火墻屏蔽子網失效、重啟或崩潰,就要安全阻斷內部網絡與外界的連接。
(7) 缺省拒絕狀態原則。從安全角度講,缺省拒絕狀態是失效保護狀態。
(8) 設計為本原則。NCS的安全重在設計,安全性設計應與NCS的體系結構、通信協議、控制策略設計相結合,采用同步與并重的原則。
(9) 有的放矢和各取所需原則。根據不同的控制對象,其安全側重點各不相同,應綜合考慮解決方案,提高性能價格比。
3.3 設計要求
NCS安全體系的設計要求如下:
(1) 應綜合考慮NCS體系結構,確保NCS的網絡安全服務質量。
應全面考慮NCS拓撲結構、通信協議、控制策略和被控對象的動態特性,滿足NCS對網絡安全服務質量的各種需求,確保NCS安全服務技術的先進性、網絡安全服務質量的優良性、安全體系運行的可靠性、穩定性和可持續發展性。
(2) 應采用冗余和備份技術,提高系統的可用性與生存性。
網絡的拓撲結構設計應通過節點和鏈路的冗余與備份手段來提高NCS的可用性與生存性。關于冗余技術,可考慮采用網絡冗余,隔離故障,以避免全網失效;采用硬件冗余,使個別故障不能影響整個系統的正常運行;采用功能冗余,在某些部件(或節點)失效時,其余完好的部件(或節點)部分或全部地承擔起故障部件所喪失的控制作用,以維持控制系統的性能在允許的范圍內;采用時間冗余,檢出和糾正由于暫時故障引起的錯誤;采用信息冗余,對傳輸數據進行冗余校驗。此外,還可考慮采用軟件冗余等冗余技術。關于備份技術,可考慮采用網絡備份,用于網絡的防毀、抗災以及應急處理;采用信息備份,對NCS的狀態信息(如系統組態信息、關鍵參數信息等)進行備份,以便于分析與處理。
(3) 應確保NCS的可控性、可觀測性和穩定性不受影響。
(4) 信息加密/解密及傳輸過程必須滿足NCS的實時性要求。
(5) 不應降低NCS的網絡服務質量和控制性能質量。
(6) 應使用成熟可靠的安全技術和措施,減少NCS安全體系本身的安全漏洞。
(7) 根據被保護對象的重要性,應劃分不同的安全等級" title="安全等級">安全等級,提高安全體系設計的經濟性。
(8) 應減少不同安全等級間被保護對象的安全耦合,以提高NCS的整體安全性。
(9) 安全體系應具有可重構性。NCS的安全狀態可根據安全評估模型劃分等級,如正常、緊急、事故等狀態。當系統處于正常狀態時,安全策略傾向于易用性;當系統受到頻繁攻擊時,可通過安全重構加強系統的安全性,使安全策略更傾向于安全性;當系統處于事故狀態時,安全策略傾向于故障安全狀態,確保故障節點或子系統處于最低安全狀態,避免導致整個系統崩潰。可重構的NCS安全體系,可以有效地解決易用性與安全性之間的矛盾。
(10) 安全體系應具有局部可恢復性和生存性。
一旦NCS安全體系中某個節點或子系統的安全性被破壞,該節點或子系統應及時被隔離,或限制與其他節點或子系統的通信,直到該節點或子系統恢復安全性,才解除隔離或限制。這樣,即使NCS局部(或安全域[5])安全體系受到破壞,也不至于導致整個系統安全體系崩潰。
(11) 安全體系應具有開放性和動態擴展性。隨著網絡環境的變化以及新的漏洞和攻擊手段的出現,NCS安全體系必須根據環境的變化做出調整,并增強自身的擴展能力。
3.4 設計中應注意的幾個問題
NCS安全體系設計中有若干問題需要進一步研究。
(1) 信息系統的劃分
信息技術的基本原則是數據共享、網絡互連。因此,在信息技術應用的過程中應特別強調以數據庫為核心,以網絡為支撐。NCS的信息系統劃分至少應遵循以下原則:
①不同安全等級的應用最好劃分為不同的系統或子系統。系統的安全設計應根據應用的要求確定,既要避免安全性和可靠性方面的漏洞,也要避免不必要的開銷。
②處于不同安全等級網絡上的系統或子系統之間信息交換不宜過多。應盡可能采用從高到低的單向傳輸,必要時設置有效的隔離裝置。
③能在安全等級較低的網絡上實現的應用系統,不宜放到安全等級較高的網絡中實現。
(2) 信息系統的功能
當NCS中信息的產生和消費分屬于不同的系統或子系統時,應將功能放在信息消費多的那部分系統中。
(3) 信息的采集方式
實時信息大多來自NCS的控制節點,信息的采集應由NCS來完成,而管理的對象和內容則通過人機交互的方法獲得。從控制系統采集信息時,要嚴格限制為單向獲取數據,保證信息采集不會對NCS造成影響。
(4) 信息的傳遞方式
NCS信息的傳遞可大致分成三類:
①NCS內部各節點之間的信息傳遞,只存在可靠性及信息盜用的威脅。
②不同NCS之間的信息傳遞,除存在可靠性及信息盜用的威脅外,還存在系統之間互擾及錯誤信息流向等問題。
③廣義網絡信息資源與所有NCS之間的信息傳遞。
3.5 自律分散NCS安全體系的設計方法
NCS融合了控制、計算機和網絡通信技術,是一個典型的混雜動態控制系統(HDCS)。影響NCS信息安全和網絡安全的因素眾多而繁雜,因而需要有一套系統化和結構化的設計方法和相應的輔助工具,用以設計NCS的網絡安全體系。自律分散NCS安全體系的設計方法,實現了NCS安全體系結構的動態變化和在線功能。
3.5.1 自律分散NCS安全體系的基本概念
隨著NCS規模的擴大化,控制功能的分散化,節點分布的廣域化,攻擊手段的多樣化和網絡環境參數變化的復雜化,NCS將變得愈來愈難以控制。與此同時,隨著用戶需求和網絡資源的變化,NCS的體系結構(控制結構、拓撲結構和通信協議等)也處在不斷的變化與發展過程之中。NCS的組成部件(節點)的增加或減少,將導致NCS安全域的擴展或收縮。所有這些變化都要求NCS的安全機制能跟隨這些變化做出快速的響應,安全策略能跟隨這些變化進行動態的調整,以便全面地反映變化過程中系統的安全需求。同時,也要求NCS的安全體系能動態地適應網絡環境的變化。
自律分散NCS安全體系,將NCS安全體系劃分成許多自律安全體系單元。由于NCS安全體系變化的動態性,整個系統安全體系很難事先完全定義,只能定義若干自律安全體系單元,然后集成。自律分散NCS安全體系最為重要的特點,就是自律安全體系單元的自我控制和自我協調能力[6],即自律安全體系單元應具有以下兩個基本特性:
(1)自律可控性(autonomous controllability):系統中如果有任何自律安全體系單元出現故障、正在維護或剛剛加入,都不能影響其他自律安全體系單元的自我管理及功能的運行。
(2)自律可協調性(autonomous coordinability):系統中如果有任何自律安全體系單元出現故障、正在維護或剛剛加入,其他自律安全體系單元之間能夠協調各自的任務,并以協作方式運行以實現各自功能。
基于自律安全體系單元的自律可控性和自律可協調性設計的NCS安全體系,可確保安全體系的在線擴展(on-line expansion)、在線維護(on-line maintenance)和在線容錯(on-line fault tolerance)功能,這些特點與不斷發展和變化的NCS的安全需求非常吻合。
3.5.2 自律分散NCS安全體系的設計方法
自律分散NCS安全體系的設計方法,采用自底向上、由內向外,從自律安全體系單元逐步構成整個NCS安全體系的系統設計方法,突破了假定在設計階段安全體系的結構、規模和功能都是確定的自頂向下的系統設計方法。自律分散NCS安全體系支持NCS分階段建設和實施,使NCS安全體系具備在線擴展、在線維護和在線容錯等“動態”功能,適應了NCS安全體系結構的動態變化,實現了NCS安全體系設計方法的突破。
NCS的信息安全和網絡安全是整體的、動態的,不是單一的信息安全和網絡安全技術能夠實現的。在保證NCS信息傳輸的可靠性和實時性的前提下,綜合考慮NCS的信息安全和網絡安全,尋找確保網絡信息安全和網絡效率的平衡點,建立真正適合于NCS的網絡信息安全體系結構。對于NCS的安全體系設計,迫切需要開展以下研究工作:
(1)全面開展NCS網絡信息安全保障技術的規劃與設計研究。從硬件及軟件兩方面為NCS提供完整的安全系統平臺,建立NCS綜合安全評估模型。
(2)NCS的網絡信息安全,不僅關系到網絡安全問題,而且還涉及信息系統的劃分、功能定義、數據采集、數據庫結構設計等一系列問題。需要從整個NCS體系結構、通信協議、節點狀況、被控對象特性、網絡資源等方面綜合考慮,確保NCS安全運行。
(3)加強對NCS網絡信息安全設計相關理論的研究,以推動NCS的網絡安全理論向前發展。
參考文獻
[1] YANG T C. Networked control system: a brief survey[J]. IEEE Proc.Control Theory Appl.,2006, 153(4):403-412.
[2]?LOPEZ I, LEE D. Practical issues in networked control systems[C], Proceedings of the 2006 American Control Conference Minneapolis. Minnesota,USA:[s.n.],June14-16, ?2006:4201-4207.
[3]?盧昱,顧麗娜.網絡控制論系統的仿真分析.計算機應用研究,2005,(8):210-212.
[4]?WALSH G C, YE H. Scheduling of networked control systems[J]. IEEE Control Systems Magazine, 2001,21(1):57-65.
[5] ?劉全.網絡控制系統的安全域研究[J]. 微計算機信息, 2006,(7):45-47.
[6] ?MORI K. Autonomous decentralized systems: concept, data field architecture and future trends[C]//Proceedings of ISAD 93.Kawasaki,Japan:IEEE Computer Society,1993:28-34.