摘 要: 介紹了網(wǎng)絡控制系統(tǒng) (NCS )的信息安全" title="信息安全">信息安全和網(wǎng)絡安全,,分析了NCS安全體系的設計目標,、設計要求和設計原則,提出了設計具有自律可控性和自律可協(xié)調(diào)性NCS安全體系的新方法,,并指出了NCS安全體系設計中需進一步研究的若干問題,。
關鍵詞: 網(wǎng)絡控制系統(tǒng) 網(wǎng)絡安全理論? 網(wǎng)絡信息安全" title="網(wǎng)絡信息安全">網(wǎng)絡信息安全? 安全體系結構? 自律分散
?
網(wǎng)絡的閉環(huán)反饋控制系統(tǒng)稱為網(wǎng)絡控制系統(tǒng)NCS(Networked Control System)[1~2],其典型結構如圖1所示,。
NCS提高了系統(tǒng)的可靠性,增強了系統(tǒng)的維護性和擴展性,降低了系統(tǒng)的遠程運行費用,實現(xiàn)了信息資源的共享[3~4]。NCS的信息安全涉及NCS的安全體系結構,、通信協(xié)議的安全性設計,、信息加密技術、安全域或安全子域等方面的內(nèi)容,。在當前NCS的網(wǎng)絡安全理論的研究大大落后于NCS的實際應用的情況下,對NCS安全體系設計的研究刻不容緩,。
本文將分析NCS安全體系的設計目標、設計要求和設計原則等問題,并提出自律分散" title="自律分散">自律分散NCS安全體系的設計方法" title="設計方法">設計方法,同時指出NCS網(wǎng)絡信息安全體系設計中應進一步研究的問題,。
1 NCS的信息安全
1.1 基本概念
NCS的信息安全包括信息系統(tǒng)的安全,、信息數(shù)據(jù)的安全和信息內(nèi)容的安全。其核心就是要保障NCS的所有信息免遭偶然的或者惡意的破壞,、更改,、泄露和刪除。NCS的信息安全涉及到信息在采集,、傳遞,、存儲和應用等過程中如何保證完整性、合法性,、可靠性,、可用性、保密性,、真實性和可控性等的相關技術與理論,。
1.2 體系結構
NCS的信息、信息載體和信息環(huán)境是NCS信息安全的三大類保護對象,由此構成了NCS信息安全體系結構,。信息是指NCS各節(jié)點之間在網(wǎng)絡上傳輸?shù)男畔?置于信息安全體系結構的內(nèi)層,既包含實時信息,又包含非實時信息,例如,事故報警信息,、系統(tǒng)狀態(tài)信息、過程參數(shù)測量信息,、網(wǎng)絡控制器控制信息,、開關和閥門的位置信息、系統(tǒng)組態(tài)信息,、系統(tǒng)診斷信息,、系統(tǒng)維護信息、系統(tǒng)備份信息,、網(wǎng)絡調(diào)度信息,、管理決策信息等;信息載體指信息的承載體,處于信息安全體系結構的中間層,包括物理平臺、系統(tǒng)平臺,、通信平臺,、網(wǎng)絡平臺和應用平臺,如通信協(xié)議、網(wǎng)絡協(xié)議、應用協(xié)議及其軟件等;信息環(huán)境指NCS的信息及信息載體所處的環(huán)境,處于信息安全體系結構的外層,包括硬環(huán)境和軟環(huán)境,。NCS信息安全體系結構如圖2所示,。
2 NCS的網(wǎng)絡安全
2.1 基本概念
NCS網(wǎng)絡安全的核心就是要保證信息在安全的網(wǎng)絡上傳輸與共享,保證網(wǎng)絡系統(tǒng)的安全運行。NCS中的“網(wǎng)絡”泛指廣義網(wǎng)絡,包括現(xiàn)場總線網(wǎng)絡,、工業(yè)以太網(wǎng)和互聯(lián)網(wǎng)等,。
2.2 體系結構
NCS的網(wǎng)絡安全體系結構包含三個層次:密碼安全層、網(wǎng)絡安全層和環(huán)境安全層,。密碼安全處于內(nèi)層,直接保護信息安全;網(wǎng)絡安全處于中間層,一方面它需要密碼安全層的支持,同時也為密碼安全層提供運行環(huán)境;環(huán)境安全處于外層,為網(wǎng)絡安全層,、密碼安全層提供可靠的設施和管理等安全環(huán)境。NCS網(wǎng)絡安全體系結構如圖3所示,。
3 NCS的安全體系設計
3.1 設計目標
NCS安全體系設計的目標是在一定約束下,盡可能滿足用戶的安全需求,。這里需要解決如下三個基本問題:
(1)如何根據(jù)安全需求制定安全策略,即NCS的安全分析問題。
(2)如何將安全需求映射為安全體系,即NCS的安全設計問題,。
(3)明確安全體系滿足安全需求的程度,即NCS的安全評價問題,。
解決上述問題需要系統(tǒng)化和結構化的設計方法及其輔助工具的支持。
3.2 設計原則
NCS安全體系的設計需遵循如下一些設計原則:
(1) 木桶原則,。木桶的容積取決于最短一塊木板,而NCS的安全性則取決于最薄弱的環(huán)節(jié),。
(2)整體性原則。對NCS不僅要提供安全防護和檢測機制,還應提供應急恢復機制等,。
(3) 等級性原則,。對NCS的網(wǎng)絡應進行分級,包括對信息保密程度分級、用戶操作權限分級,、網(wǎng)絡安全程度分級,、系統(tǒng)實現(xiàn)結構分級(如應用層、網(wǎng)絡層,、鏈路層等),。
(4) 有效和實用原則。安全機制不應影響NCS正常運行,應有效,、簡單和實用,。
(5) 動態(tài)性原則。安全體系內(nèi)應盡可能引入可變因素,使安全體系具備良好的動態(tài)性,。
(6) 失效保護狀態(tài)原則,。網(wǎng)絡安全防護系統(tǒng)失效模式應該是“失效-安全”型,即一旦防火墻屏蔽子網(wǎng)失效,、重啟或崩潰,就要安全阻斷內(nèi)部網(wǎng)絡與外界的連接,。
(7) 缺省拒絕狀態(tài)原則。從安全角度講,缺省拒絕狀態(tài)是失效保護狀態(tài),。
(8) 設計為本原則,。NCS的安全重在設計,安全性設計應與NCS的體系結構、通信協(xié)議、控制策略設計相結合,采用同步與并重的原則,。
(9) 有的放矢和各取所需原則,。根據(jù)不同的控制對象,其安全側重點各不相同,應綜合考慮解決方案,提高性能價格比。
3.3 設計要求
NCS安全體系的設計要求如下:
(1) 應綜合考慮NCS體系結構,確保NCS的網(wǎng)絡安全服務質(zhì)量,。
應全面考慮NCS拓撲結構,、通信協(xié)議、控制策略和被控對象的動態(tài)特性,滿足NCS對網(wǎng)絡安全服務質(zhì)量的各種需求,確保NCS安全服務技術的先進性,、網(wǎng)絡安全服務質(zhì)量的優(yōu)良性,、安全體系運行的可靠性、穩(wěn)定性和可持續(xù)發(fā)展性,。
(2) 應采用冗余和備份技術,提高系統(tǒng)的可用性與生存性,。
網(wǎng)絡的拓撲結構設計應通過節(jié)點和鏈路的冗余與備份手段來提高NCS的可用性與生存性。關于冗余技術,可考慮采用網(wǎng)絡冗余,隔離故障,以避免全網(wǎng)失效;采用硬件冗余,使個別故障不能影響整個系統(tǒng)的正常運行;采用功能冗余,在某些部件(或節(jié)點)失效時,其余完好的部件(或節(jié)點)部分或全部地承擔起故障部件所喪失的控制作用,以維持控制系統(tǒng)的性能在允許的范圍內(nèi);采用時間冗余,檢出和糾正由于暫時故障引起的錯誤;采用信息冗余,對傳輸數(shù)據(jù)進行冗余校驗,。此外,還可考慮采用軟件冗余等冗余技術,。關于備份技術,可考慮采用網(wǎng)絡備份,用于網(wǎng)絡的防毀、抗災以及應急處理;采用信息備份,對NCS的狀態(tài)信息(如系統(tǒng)組態(tài)信息,、關鍵參數(shù)信息等)進行備份,以便于分析與處理,。
(3) 應確保NCS的可控性、可觀測性和穩(wěn)定性不受影響,。
(4) 信息加密/解密及傳輸過程必須滿足NCS的實時性要求,。
(5) 不應降低NCS的網(wǎng)絡服務質(zhì)量和控制性能質(zhì)量。
(6) 應使用成熟可靠的安全技術和措施,減少NCS安全體系本身的安全漏洞,。
(7) 根據(jù)被保護對象的重要性,應劃分不同的安全等級" title="安全等級">安全等級,提高安全體系設計的經(jīng)濟性,。
(8) 應減少不同安全等級間被保護對象的安全耦合,以提高NCS的整體安全性。
(9) 安全體系應具有可重構性,。NCS的安全狀態(tài)可根據(jù)安全評估模型劃分等級,如正常,、緊急、事故等狀態(tài),。當系統(tǒng)處于正常狀態(tài)時,安全策略傾向于易用性;當系統(tǒng)受到頻繁攻擊時,可通過安全重構加強系統(tǒng)的安全性,使安全策略更傾向于安全性;當系統(tǒng)處于事故狀態(tài)時,安全策略傾向于故障安全狀態(tài),確保故障節(jié)點或子系統(tǒng)處于最低安全狀態(tài),避免導致整個系統(tǒng)崩潰,。可重構的NCS安全體系,可以有效地解決易用性與安全性之間的矛盾,。
(10) 安全體系應具有局部可恢復性和生存性,。
一旦NCS安全體系中某個節(jié)點或子系統(tǒng)的安全性被破壞,該節(jié)點或子系統(tǒng)應及時被隔離,或限制與其他節(jié)點或子系統(tǒng)的通信,直到該節(jié)點或子系統(tǒng)恢復安全性,才解除隔離或限制。這樣,即使NCS局部(或安全域[5])安全體系受到破壞,也不至于導致整個系統(tǒng)安全體系崩潰,。
(11) 安全體系應具有開放性和動態(tài)擴展性,。隨著網(wǎng)絡環(huán)境的變化以及新的漏洞和攻擊手段的出現(xiàn),NCS安全體系必須根據(jù)環(huán)境的變化做出調(diào)整,并增強自身的擴展能力。
3.4 設計中應注意的幾個問題
NCS安全體系設計中有若干問題需要進一步研究,。
(1) 信息系統(tǒng)的劃分
信息技術的基本原則是數(shù)據(jù)共享,、網(wǎng)絡互連,。因此,在信息技術應用的過程中應特別強調(diào)以數(shù)據(jù)庫為核心,以網(wǎng)絡為支撐。NCS的信息系統(tǒng)劃分至少應遵循以下原則:
?、俨煌踩燃壍膽米詈脛澐譃椴煌南到y(tǒng)或子系統(tǒng),。系統(tǒng)的安全設計應根據(jù)應用的要求確定,既要避免安全性和可靠性方面的漏洞,也要避免不必要的開銷。
?、谔幱诓煌踩燃壘W(wǎng)絡上的系統(tǒng)或子系統(tǒng)之間信息交換不宜過多,。應盡可能采用從高到低的單向傳輸,必要時設置有效的隔離裝置。
?、勰茉诎踩燃壿^低的網(wǎng)絡上實現(xiàn)的應用系統(tǒng),不宜放到安全等級較高的網(wǎng)絡中實現(xiàn),。
(2) 信息系統(tǒng)的功能
當NCS中信息的產(chǎn)生和消費分屬于不同的系統(tǒng)或子系統(tǒng)時,應將功能放在信息消費多的那部分系統(tǒng)中。
(3) 信息的采集方式
實時信息大多來自NCS的控制節(jié)點,信息的采集應由NCS來完成,而管理的對象和內(nèi)容則通過人機交互的方法獲得,。從控制系統(tǒng)采集信息時,要嚴格限制為單向獲取數(shù)據(jù),保證信息采集不會對NCS造成影響,。
(4) 信息的傳遞方式
NCS信息的傳遞可大致分成三類:
①NCS內(nèi)部各節(jié)點之間的信息傳遞,只存在可靠性及信息盜用的威脅,。
?、诓煌琋CS之間的信息傳遞,除存在可靠性及信息盜用的威脅外,還存在系統(tǒng)之間互擾及錯誤信息流向等問題。
?、蹚V義網(wǎng)絡信息資源與所有NCS之間的信息傳遞,。
3.5 自律分散NCS安全體系的設計方法
NCS融合了控制、計算機和網(wǎng)絡通信技術,是一個典型的混雜動態(tài)控制系統(tǒng)(HDCS),。影響NCS信息安全和網(wǎng)絡安全的因素眾多而繁雜,因而需要有一套系統(tǒng)化和結構化的設計方法和相應的輔助工具,用以設計NCS的網(wǎng)絡安全體系,。自律分散NCS安全體系的設計方法,實現(xiàn)了NCS安全體系結構的動態(tài)變化和在線功能。
3.5.1 自律分散NCS安全體系的基本概念
隨著NCS規(guī)模的擴大化,控制功能的分散化,節(jié)點分布的廣域化,攻擊手段的多樣化和網(wǎng)絡環(huán)境參數(shù)變化的復雜化,NCS將變得愈來愈難以控制,。與此同時,隨著用戶需求和網(wǎng)絡資源的變化,NCS的體系結構(控制結構,、拓撲結構和通信協(xié)議等)也處在不斷的變化與發(fā)展過程之中。NCS的組成部件(節(jié)點)的增加或減少,將導致NCS安全域的擴展或收縮,。所有這些變化都要求NCS的安全機制能跟隨這些變化做出快速的響應,安全策略能跟隨這些變化進行動態(tài)的調(diào)整,以便全面地反映變化過程中系統(tǒng)的安全需求,。同時,也要求NCS的安全體系能動態(tài)地適應網(wǎng)絡環(huán)境的變化。
自律分散NCS安全體系,將NCS安全體系劃分成許多自律安全體系單元,。由于NCS安全體系變化的動態(tài)性,整個系統(tǒng)安全體系很難事先完全定義,只能定義若干自律安全體系單元,然后集成,。自律分散NCS安全體系最為重要的特點,就是自律安全體系單元的自我控制和自我協(xié)調(diào)能力[6],即自律安全體系單元應具有以下兩個基本特性:
(1)自律可控性(autonomous controllability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障、正在維護或剛剛加入,都不能影響其他自律安全體系單元的自我管理及功能的運行,。
(2)自律可協(xié)調(diào)性(autonomous coordinability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障,、正在維護或剛剛加入,其他自律安全體系單元之間能夠協(xié)調(diào)各自的任務,并以協(xié)作方式運行以實現(xiàn)各自功能。
基于自律安全體系單元的自律可控性和自律可協(xié)調(diào)性設計的NCS安全體系,可確保安全體系的在線擴展(on-line expansion),、在線維護(on-line maintenance)和在線容錯(on-line fault tolerance)功能,這些特點與不斷發(fā)展和變化的NCS的安全需求非常吻合,。
3.5.2 自律分散NCS安全體系的設計方法
自律分散NCS安全體系的設計方法,采用自底向上、由內(nèi)向外,從自律安全體系單元逐步構成整個NCS安全體系的系統(tǒng)設計方法,突破了假定在設計階段安全體系的結構,、規(guī)模和功能都是確定的自頂向下的系統(tǒng)設計方法,。自律分散NCS安全體系支持NCS分階段建設和實施,使NCS安全體系具備在線擴展、在線維護和在線容錯等“動態(tài)”功能,適應了NCS安全體系結構的動態(tài)變化,實現(xiàn)了NCS安全體系設計方法的突破,。
NCS的信息安全和網(wǎng)絡安全是整體的,、動態(tài)的,不是單一的信息安全和網(wǎng)絡安全技術能夠實現(xiàn)的。在保證NCS信息傳輸?shù)目煽啃院蛯崟r性的前提下,綜合考慮NCS的信息安全和網(wǎng)絡安全,尋找確保網(wǎng)絡信息安全和網(wǎng)絡效率的平衡點,建立真正適合于NCS的網(wǎng)絡信息安全體系結構,。對于NCS的安全體系設計,迫切需要開展以下研究工作:
(1)全面開展NCS網(wǎng)絡信息安全保障技術的規(guī)劃與設計研究,。從硬件及軟件兩方面為NCS提供完整的安全系統(tǒng)平臺,建立NCS綜合安全評估模型。
(2)NCS的網(wǎng)絡信息安全,不僅關系到網(wǎng)絡安全問題,而且還涉及信息系統(tǒng)的劃分,、功能定義,、數(shù)據(jù)采集、數(shù)據(jù)庫結構設計等一系列問題,。需要從整個NCS體系結構,、通信協(xié)議、節(jié)點狀況,、被控對象特性,、網(wǎng)絡資源等方面綜合考慮,確保NCS安全運行。
(3)加強對NCS網(wǎng)絡信息安全設計相關理論的研究,以推動NCS的網(wǎng)絡安全理論向前發(fā)展,。
參考文獻
[1] YANG T C. Networked control system: a brief survey[J]. IEEE Proc.Control Theory Appl.,2006, 153(4):403-412.
[2]?LOPEZ I, LEE D. Practical issues in networked control systems[C], Proceedings of the 2006 American Control Conference Minneapolis. Minnesota,USA:[s.n.],June14-16, ?2006:4201-4207.
[3]?盧昱,,顧麗娜.網(wǎng)絡控制論系統(tǒng)的仿真分析.計算機應用研究,2005,(8):210-212.
[4]?WALSH G C, YE H. Scheduling of networked control systems[J]. IEEE Control Systems Magazine, 2001,21(1):57-65.
[5] ?劉全.網(wǎng)絡控制系統(tǒng)的安全域研究[J]. 微計算機信息, 2006,(7):45-47.
[6] ?MORI K. Autonomous decentralized systems: concept, data field architecture and future trends[C]//Proceedings of ISAD 93.Kawasaki,Japan:IEEE Computer Society,1993:28-34.