网络控制系统的安全体系设计研究
2008-03-19
作者:彭 城1, 刘 全1
摘 要: 介绍了网络控制系统 (NCS )的信息安全" title="信息安全">信息安全和网络安全,分析了NCS安全体系的设计目标、设计要求和设计原则,提出了设计具有自律可控性和自律可协调性NCS安全体系的新方法,并指出了NCS安全体系设计中需进一步研究的若干问题。
关键词: 网络控制系统 网络安全理论 网络信息安全" title="网络信息安全">网络信息安全 安全体系结构 自律分散
网络的闭环反馈控制系统称为网络控制系统NCS(Networked Control System)[1~2],其典型结构如图1所示。
NCS提高了系统的可靠性,增强了系统的维护性和扩展性,降低了系统的远程运行费用,实现了信息资源的共享[3~4]。NCS的信息安全涉及NCS的安全体系结构、通信协议的安全性设计、信息加密技术、安全域或安全子域等方面的内容。在当前NCS的网络安全理论的研究大大落后于NCS的实际应用的情况下,对NCS安全体系设计的研究刻不容缓。
本文将分析NCS安全体系的设计目标、设计要求和设计原则等问题,并提出自律分散" title="自律分散">自律分散NCS安全体系的设计方法" title="设计方法">设计方法,同时指出NCS网络信息安全体系设计中应进一步研究的问题。
1 NCS的信息安全
1.1 基本概念
NCS的信息安全包括信息系统的安全、信息数据的安全和信息内容的安全。其核心就是要保障NCS的所有信息免遭偶然的或者恶意的破坏、更改、泄露和删除。NCS的信息安全涉及到信息在采集、传递、存储和应用等过程中如何保证完整性、合法性、可靠性、可用性、保密性、真实性和可控性等的相关技术与理论。
1.2 体系结构
NCS的信息、信息载体和信息环境是NCS信息安全的三大类保护对象,由此构成了NCS信息安全体系结构。信息是指NCS各节点之间在网络上传输的信息,置于信息安全体系结构的内层,既包含实时信息,又包含非实时信息,例如,事故报警信息、系统状态信息、过程参数测量信息、网络控制器控制信息、开关和阀门的位置信息、系统组态信息、系统诊断信息、系统维护信息、系统备份信息、网络调度信息、管理决策信息等;信息载体指信息的承载体,处于信息安全体系结构的中间层,包括物理平台、系统平台、通信平台、网络平台和应用平台,如通信协议、网络协议、应用协议及其软件等;信息环境指NCS的信息及信息载体所处的环境,处于信息安全体系结构的外层,包括硬环境和软环境。NCS信息安全体系结构如图2所示。
2 NCS的网络安全
2.1 基本概念
NCS网络安全的核心就是要保证信息在安全的网络上传输与共享,保证网络系统的安全运行。NCS中的“网络”泛指广义网络,包括现场总线网络、工业以太网和互联网等。
2.2 体系结构
NCS的网络安全体系结构包含三个层次:密码安全层、网络安全层和环境安全层。密码安全处于内层,直接保护信息安全;网络安全处于中间层,一方面它需要密码安全层的支持,同时也为密码安全层提供运行环境;环境安全处于外层,为网络安全层、密码安全层提供可靠的设施和管理等安全环境。NCS网络安全体系结构如图3所示。
3 NCS的安全体系设计
3.1 设计目标
NCS安全体系设计的目标是在一定约束下,尽可能满足用户的安全需求。这里需要解决如下三个基本问题:
(1)如何根据安全需求制定安全策略,即NCS的安全分析问题。
(2)如何将安全需求映射为安全体系,即NCS的安全设计问题。
(3)明确安全体系满足安全需求的程度,即NCS的安全评价问题。
解决上述问题需要系统化和结构化的设计方法及其辅助工具的支持。
3.2 设计原则
NCS安全体系的设计需遵循如下一些设计原则:
(1) 木桶原则。木桶的容积取决于最短一块木板,而NCS的安全性则取决于最薄弱的环节。
(2)整体性原则。对NCS不仅要提供安全防护和检测机制,还应提供应急恢复机制等。
(3) 等级性原则。对NCS的网络应进行分级,包括对信息保密程度分级、用户操作权限分级、网络安全程度分级、系统实现结构分级(如应用层、网络层、链路层等)。
(4) 有效和实用原则。安全机制不应影响NCS正常运行,应有效、简单和实用。
(5) 动态性原则。安全体系内应尽可能引入可变因素,使安全体系具备良好的动态性。
(6) 失效保护状态原则。网络安全防护系统失效模式应该是“失效-安全”型,即一旦防火墙屏蔽子网失效、重启或崩溃,就要安全阻断内部网络与外界的连接。
(7) 缺省拒绝状态原则。从安全角度讲,缺省拒绝状态是失效保护状态。
(8) 设计为本原则。NCS的安全重在设计,安全性设计应与NCS的体系结构、通信协议、控制策略设计相结合,采用同步与并重的原则。
(9) 有的放矢和各取所需原则。根据不同的控制对象,其安全侧重点各不相同,应综合考虑解决方案,提高性能价格比。
3.3 设计要求
NCS安全体系的设计要求如下:
(1) 应综合考虑NCS体系结构,确保NCS的网络安全服务质量。
应全面考虑NCS拓扑结构、通信协议、控制策略和被控对象的动态特性,满足NCS对网络安全服务质量的各种需求,确保NCS安全服务技术的先进性、网络安全服务质量的优良性、安全体系运行的可靠性、稳定性和可持续发展性。
(2) 应采用冗余和备份技术,提高系统的可用性与生存性。
网络的拓扑结构设计应通过节点和链路的冗余与备份手段来提高NCS的可用性与生存性。关于冗余技术,可考虑采用网络冗余,隔离故障,以避免全网失效;采用硬件冗余,使个别故障不能影响整个系统的正常运行;采用功能冗余,在某些部件(或节点)失效时,其余完好的部件(或节点)部分或全部地承担起故障部件所丧失的控制作用,以维持控制系统的性能在允许的范围内;采用时间冗余,检出和纠正由于暂时故障引起的错误;采用信息冗余,对传输数据进行冗余校验。此外,还可考虑采用软件冗余等冗余技术。关于备份技术,可考虑采用网络备份,用于网络的防毁、抗灾以及应急处理;采用信息备份,对NCS的状态信息(如系统组态信息、关键参数信息等)进行备份,以便于分析与处理。
(3) 应确保NCS的可控性、可观测性和稳定性不受影响。
(4) 信息加密/解密及传输过程必须满足NCS的实时性要求。
(5) 不应降低NCS的网络服务质量和控制性能质量。
(6) 应使用成熟可靠的安全技术和措施,减少NCS安全体系本身的安全漏洞。
(7) 根据被保护对象的重要性,应划分不同的安全等级" title="安全等级">安全等级,提高安全体系设计的经济性。
(8) 应减少不同安全等级间被保护对象的安全耦合,以提高NCS的整体安全性。
(9) 安全体系应具有可重构性。NCS的安全状态可根据安全评估模型划分等级,如正常、紧急、事故等状态。当系统处于正常状态时,安全策略倾向于易用性;当系统受到频繁攻击时,可通过安全重构加强系统的安全性,使安全策略更倾向于安全性;当系统处于事故状态时,安全策略倾向于故障安全状态,确保故障节点或子系统处于最低安全状态,避免导致整个系统崩溃。可重构的NCS安全体系,可以有效地解决易用性与安全性之间的矛盾。
(10) 安全体系应具有局部可恢复性和生存性。
一旦NCS安全体系中某个节点或子系统的安全性被破坏,该节点或子系统应及时被隔离,或限制与其他节点或子系统的通信,直到该节点或子系统恢复安全性,才解除隔离或限制。这样,即使NCS局部(或安全域[5])安全体系受到破坏,也不至于导致整个系统安全体系崩溃。
(11) 安全体系应具有开放性和动态扩展性。随着网络环境的变化以及新的漏洞和攻击手段的出现,NCS安全体系必须根据环境的变化做出调整,并增强自身的扩展能力。
3.4 设计中应注意的几个问题
NCS安全体系设计中有若干问题需要进一步研究。
(1) 信息系统的划分
信息技术的基本原则是数据共享、网络互连。因此,在信息技术应用的过程中应特别强调以数据库为核心,以网络为支撑。NCS的信息系统划分至少应遵循以下原则:
①不同安全等级的应用最好划分为不同的系统或子系统。系统的安全设计应根据应用的要求确定,既要避免安全性和可靠性方面的漏洞,也要避免不必要的开销。
②处于不同安全等级网络上的系统或子系统之间信息交换不宜过多。应尽可能采用从高到低的单向传输,必要时设置有效的隔离装置。
③能在安全等级较低的网络上实现的应用系统,不宜放到安全等级较高的网络中实现。
(2) 信息系统的功能
当NCS中信息的产生和消费分属于不同的系统或子系统时,应将功能放在信息消费多的那部分系统中。
(3) 信息的采集方式
实时信息大多来自NCS的控制节点,信息的采集应由NCS来完成,而管理的对象和内容则通过人机交互的方法获得。从控制系统采集信息时,要严格限制为单向获取数据,保证信息采集不会对NCS造成影响。
(4) 信息的传递方式
NCS信息的传递可大致分成三类:
①NCS内部各节点之间的信息传递,只存在可靠性及信息盗用的威胁。
②不同NCS之间的信息传递,除存在可靠性及信息盗用的威胁外,还存在系统之间互扰及错误信息流向等问题。
③广义网络信息资源与所有NCS之间的信息传递。
3.5 自律分散NCS安全体系的设计方法
NCS融合了控制、计算机和网络通信技术,是一个典型的混杂动态控制系统(HDCS)。影响NCS信息安全和网络安全的因素众多而繁杂,因而需要有一套系统化和结构化的设计方法和相应的辅助工具,用以设计NCS的网络安全体系。自律分散NCS安全体系的设计方法,实现了NCS安全体系结构的动态变化和在线功能。
3.5.1 自律分散NCS安全体系的基本概念
随着NCS规模的扩大化,控制功能的分散化,节点分布的广域化,攻击手段的多样化和网络环境参数变化的复杂化,NCS将变得愈来愈难以控制。与此同时,随着用户需求和网络资源的变化,NCS的体系结构(控制结构、拓扑结构和通信协议等)也处在不断的变化与发展过程之中。NCS的组成部件(节点)的增加或减少,将导致NCS安全域的扩展或收缩。所有这些变化都要求NCS的安全机制能跟随这些变化做出快速的响应,安全策略能跟随这些变化进行动态的调整,以便全面地反映变化过程中系统的安全需求。同时,也要求NCS的安全体系能动态地适应网络环境的变化。
自律分散NCS安全体系,将NCS安全体系划分成许多自律安全体系单元。由于NCS安全体系变化的动态性,整个系统安全体系很难事先完全定义,只能定义若干自律安全体系单元,然后集成。自律分散NCS安全体系最为重要的特点,就是自律安全体系单元的自我控制和自我协调能力[6],即自律安全体系单元应具有以下两个基本特性:
(1)自律可控性(autonomous controllability):系统中如果有任何自律安全体系单元出现故障、正在维护或刚刚加入,都不能影响其他自律安全体系单元的自我管理及功能的运行。
(2)自律可协调性(autonomous coordinability):系统中如果有任何自律安全体系单元出现故障、正在维护或刚刚加入,其他自律安全体系单元之间能够协调各自的任务,并以协作方式运行以实现各自功能。
基于自律安全体系单元的自律可控性和自律可协调性设计的NCS安全体系,可确保安全体系的在线扩展(on-line expansion)、在线维护(on-line maintenance)和在线容错(on-line fault tolerance)功能,这些特点与不断发展和变化的NCS的安全需求非常吻合。
3.5.2 自律分散NCS安全体系的设计方法
自律分散NCS安全体系的设计方法,采用自底向上、由内向外,从自律安全体系单元逐步构成整个NCS安全体系的系统设计方法,突破了假定在设计阶段安全体系的结构、规模和功能都是确定的自顶向下的系统设计方法。自律分散NCS安全体系支持NCS分阶段建设和实施,使NCS安全体系具备在线扩展、在线维护和在线容错等“动态”功能,适应了NCS安全体系结构的动态变化,实现了NCS安全体系设计方法的突破。
NCS的信息安全和网络安全是整体的、动态的,不是单一的信息安全和网络安全技术能够实现的。在保证NCS信息传输的可靠性和实时性的前提下,综合考虑NCS的信息安全和网络安全,寻找确保网络信息安全和网络效率的平衡点,建立真正适合于NCS的网络信息安全体系结构。对于NCS的安全体系设计,迫切需要开展以下研究工作:
(1)全面开展NCS网络信息安全保障技术的规划与设计研究。从硬件及软件两方面为NCS提供完整的安全系统平台,建立NCS综合安全评估模型。
(2)NCS的网络信息安全,不仅关系到网络安全问题,而且还涉及信息系统的划分、功能定义、数据采集、数据库结构设计等一系列问题。需要从整个NCS体系结构、通信协议、节点状况、被控对象特性、网络资源等方面综合考虑,确保NCS安全运行。
(3)加强对NCS网络信息安全设计相关理论的研究,以推动NCS的网络安全理论向前发展。
参考文献
[1] YANG T C. Networked control system: a brief survey[J]. IEEE Proc.Control Theory Appl.,2006, 153(4):403-412.
[2] LOPEZ I, LEE D. Practical issues in networked control systems[C], Proceedings of the 2006 American Control Conference Minneapolis. Minnesota,USA:[s.n.],June14-16, 2006:4201-4207.
[3] 卢昱,顾丽娜.网络控制论系统的仿真分析.计算机应用研究,2005,(8):210-212.
[4] WALSH G C, YE H. Scheduling of networked control systems[J]. IEEE Control Systems Magazine, 2001,21(1):57-65.
[5] 刘全.网络控制系统的安全域研究[J]. 微计算机信息, 2006,(7):45-47.
[6] MORI K. Autonomous decentralized systems: concept, data field architecture and future trends[C]//Proceedings of ISAD 93.Kawasaki,Japan:IEEE Computer Society,1993:28-34.