面向工控系统信息安全防护的半实物演示验证平台及方法与流程

本发明涉及工业控制系统信息安全防御技术领域，更具体地，涉及一种面向工控系统信息安全防护的半实物演示验证平台及方法。

背景技术：

近年来，随着信息通信技术的迅速发展，现代工控系统已成为深度融合计算进程、通信网络与物理设备的信息化系统；工控系统的安全问题日益凸显。

工业控制系统的层次结构包括企业层、监控层、控制层与物理层。由于各层的分工不同；各层面临的信息安全威胁也有所差异，单一的防护技术难以有效应对信息安全威胁；另一方面，工业控制系统是持续运行的生产系统，运行过程中不允许中断；一旦工业控制系统出现问题，将导致严重的事故，轻则造成经济财产损失，重则危及人身安全或造成大范围的环境破坏；因此，针对工业控制系统的信息安全的防护研究无法在实际的系统中开展。融合工业控制系统结构和功能的特点，搭建用于工业控制系统信息安全智能防护的演示验证平台就显得至关重要。

现有的半实物演示验证平台，使用的仿真物理过程对象、网络协议多是单一固化的，可扩展性不强；攻击造成的系统损失与防护作用的效果仅通过量化的数值显示在屏幕上，演示效果不够立体直观；仿真平台得到的结果需要依靠专家进行分析，自动化、智能化的程度不高，不能方便直观地显示防护策略作用的效果。

技术实现要素：

针对现有技术的以上缺陷或改进需求，本发明提供了一种面向工控系统信息安全防护的半实物演示验证平台及方法，其目的在于解决现有半实物演示验证平台不可重构、不可扩展地问题。

为实现上述目的，按照本发明的一个方面，提供了一种面向工控系统信息安全防护的半实物演示验证平台，包括依次相连的物理层、控制层和监控层；

其中，物理层用于构造并显示虚拟的物理对象模型，并在控制层的控制指令的控制下模拟运行物理对象模型，生成实时现场数据；通过工业现场总线与控制层进行数据交互；

控制层用于根据物理层上传的生产实时数据与监控层下发的统一调度指令，根据内嵌的信息安全防护算法生成控制指令；

监控层用于根据控制层上传的系统实时运行数据和控制指令生成统一调度指令，实现对实际生产过程进行实时的监测与控制。

优选的，上述面向工控系统信息安全防护的半实物演示验证平台，其物理层包括仿真主机、模型演示装置；仿真主机通过串口与模型演示装置进行数据交互，通过工业现场总线与控制层进行数据交互；

其中，仿真主机用于构造虚拟的物理对象模型并根据控制指令模拟运行，生成实时现场数据；模型演示装置用于动态显示物理对象模型的状态；

通过将软件模块设计成函数形式封装在函数库中或将软件模块编译成目标文件，在仿真主机中形成固定的函数调用；通过选择函数来改变或扩展系统功能，实现物理对象的可重构性；由此实现通过物理层任意重构配置各种工控场景。

优选的，上述面向工控系统信息安全防护的半实物演示验证平台，其控制层包括控制节点、代理节点和网关节点；

控制节点用于控制物理对象模型；代理节点用于实现仿真主机与控制层控制节点间的数据交互；仿真主机通过以太网与代理节点连接；代理节点通过工业控制总线与控制节点连接；

网关节点用于实现控制节点与监控层之间数据交互；控制节点通过工业控制总线与网关节点连接；网关节点通过工业以太网与监控层连接；

控制节点包括可重构配置的嵌入式控制器；使用时，根据待测试的工控系统为嵌入式控制器配置驱动程序。

优选的，上述面向工控系统信息安全防护的半实物演示验证平台，其监控层包括HMI(Human Machine Interface，人机交互界面)监控系统、数据服务器、网络数据分析站；

其中，HMI监控系统用于监控实时生产过程；数据服务器用于数据的归档记录；网络数据分析站用于对数据库中的历史数据进行分析处理。

为实现本发明目的，按照本发明的另一个方面，基于上述面向工控系统信息安全防护的半实物演示验证平台，提供了一种面向工控系统信息安全防护的半实物演示验证方法，包括如下步骤：

(1)根据待测试的工控系统的物理对象模型、控制设备与网络协议栈，在物理层配置工控系统参数，包括系统运行时间、稳定状态值；

(2)根据拟验证的安全防护方案，在控制层配置攻击手段、攻击强度、攻击目标、攻击路线；

(3)获取系统的运行状态信息，将系统的运行状态信息与已建立的系统网络模型、节点模型、应用模型进行比较得出系统的异常状态，通过异常状态的因果关系算法分析得出攻击传播的路径，生成拓扑图；

并根据待验证工控系统的资产模型计算获取系统的风险值；并根据生产数据与风险值构建实时图以显示攻击对工控系统的影响与系统风险值的变化；

(4)根据拟验证的安全防护方案开启防护策略；通过系统风险值的变化评估出系统所能恢复到的最优状态；根据该最优状态控制待测试的工控系统降级运行，并生成安全响应任务集，生成任务调度表；

(5)在物理层根据任务调度表调控工控系统的运行状态，以减少系统的损失值。

优选地，上述面向工控系统信息安全防护的半实物演示验证方法，其步骤(5)之后，还包括如下步骤：通过监控层的网络数据分析站对异常数据与开启防御后的数据变化进行分析，生成工控系统防御效果报告；并通过监控层的人机交互监控系统显示工控系统当前执行的防护方案、任务调度表以及系统风险值动态的变化。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)本发明提供的半实物演示验证平台，涉及工业控制系统的监控层、控制层和物理层，各层次之间连接与信息交互符合现行的网络化控制系统的通用需求，为工业控制系统信息安全的纵深防御架构的研究提供了可靠的、符合实际的研究环境；基于本平台可研究不同层次结构的防护策略及方法，以及同一防护目标的不同的实现方法；

(2)本发明提供的半实物演示验证平台，具有多重可重构特性，提供了标准的硬件、软件、网络协议接口，实现了物理对象可重构、控制设备及工业通信协议可重构、信息安全防护结构及方法动态可重构，为实现研究与验证不同工业控制领域的信息安全防护理论提供了应用场景，有助于解决传统实验中存在的硬件设备投入资金较高、灵活性较差、可扩展性不高的现实问题，缩短了平台的开发周期；

(3)本发明提供的半实物演示验证平台，可以使工业控制系统信息安全研究者从安全防护的视角对工业控制系统信息安全防护理论及方法进行验证；通过模拟演示装备、系统拓扑图与生产数据实时图等方法显示出攻击的传播路径、攻击对系统造成的危害、防护策略的选择实施、安全任务的调度执行以及系统风险值动态变化等过程，具有攻击传播透明化和防护智能化、可视化的特点。

附图说明

图1是实施例提供的半实物演示验证平台的结构示意图；

图2是实施例提供的半实物演示验证平台的功能结构示意图；

图3是实施例提供的半实物演示验证平台具体实现的数据流图；

图4是基于实施例提供半实物演示验证平台的攻防演练实现方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例提供的面向工控系统的半实物演示验证平台，其系统结构如图1所示，包括依次相连的物理层、控制层和监控层；物理层的用于实现实际的生产过程：田纳西-伊斯曼化工反应过程，并将生产实时数据上传至控制层；控制层用于接收物理层上传的生产实时数据与监控层下发的统一调度指令并进行分析处理，生成控制量作用于物理层的执行器之上；监控层用于接收控制层上传的系统实时运行数据和控制量，下发统一调度指令，实现对具体的物理生产过程进行实时的监测与控制，保障系统的安全正常运行。

本实施例中，物理层包括仿真主机和模型演示设备；仿真主机通过Matlab运行程序模拟典型的田纳西-伊斯曼化工反应过程，构造出虚拟的物理对象模型，模拟与生产过程直接相关的物理生产设备，譬如传感器、驱动器、执行器；通过传感器获取生产过程的数据，包括反应釜压强、液位、产物流量等；执行器(阀门)执行控制器下发的控制命令。

本实施例中，模型演示装置通过STM32的单片机开发板控制流水灯速率来表示实际生产过程中各管道流量的大小，通过数码管来显示生产运行时的相关过程数据；仿真主机使用但不限于CAN总线与控制层中的控制器进行数据交互，通过串口与STM32单片机进行数据交互。

物理层可通过仿真主机重构出各种工控领域的场景，为研究者提供多种工控领域的信息安全防护实验场景；由于物理对象模型是由仿真主机模拟运行的，可以将不同的物理对象模拟运行软件模块设计成函数形式封装在lib函数库中或将其编译成obj目标文件，在仿真主机中设置固定的函数调用，通过选择或改变不同函数的功能来改变或扩展系统的软件功能，从而实现物理对象的可重构性。在系统运行前将仿真主机中的lib函数库或obj目标文件与系统平台一起编译、连接生成可执行文件。

本实施例中各层所包括的信息安全防护如图2所示；其中，物理层可模拟故障报警、应急处理、功能安全、安全仪表系统；

故障报警是指田纳西模型数据出现异常时，如压强超过阈值，产物流量低于阈值范围，阀门控制失效时，进行故障报警，方便操作员或工程师诊断和维护；应急处理是指当系统状态出现重大异常时，自动将将正常运行模式转换到安全运行模式或停机模式下，保护实际生产设备；功能安全是为了防止随机故障、系统故障或共因失效导致安全系统的故障，从而引起人员的伤害或死亡、环境的破坏、设备财产的损失，是实际生产过程中有效的保护措施。

本实施例中，控制层包括有资源受限的嵌入式设备部署的控制节点、代理节点和网关节点。

在图3所示的数据流图中，控制节点1、控制节点2、控制节点3分别用于控制实际田纳西化工反应过程中三个闭环回路的可控阀门，从CAN总线中读取TN的检测数据和HMI的控制数据，获取阀门CN控制数据。代理节点(PN)用于物理层仿真主机与控制层控制器之间的数据交互，将得到的HMI控制数据和CN控制数据传给仿真主机，并将仿真主机中采集的TN检测数据传到CAN总线上；

网关节点(GN)用于控制层控制器与监控层监控设备之间的数据交互，将HMI控制数据传到控制层CAN总线上，将CN控制数据和TN检测数据上传至监控层中；各嵌入式设备均带有显示屏，用于显示系统运行时的数据。控制节点显示各控制阀门开度历史曲线图，代理节点和网关节点以动态滚动的形式显示收发数据；

本实施例中，仿真主机使用但不限于以太网(TCP/IP)连接代理节点，代理节点通过CAN总线连接控制节点；控制节点通过CAN总线连接网关节点，网关节点通过工业以太网(Modbus TCP/IP)连接HMI监控设备。控制层作为一个独立的模块，可任意重构配置不同的嵌入式控制器、PLC控制器、RTU、EDU设备，用于研究不同控制器所对应的信息安全防护问题。

为实现控制设备的可重构，在各层之间采用标准的硬件接口与数据交互方式；对具体的控制设备采用对应的模块化驱动程序；使用时系统自动检测到该控制设备的类型并为其配置驱动程序。

可在控制层实现基于入侵容忍思想的闭环控制防护，包括：入侵检测、风险评估、策略决策、实时控制；

入侵检测作为闭环控制的感知环节，包括异常检测与攻击辨识两部分；通过探针系统取应用数据(TN检测数据、HMI控制数据、CN控制数据)、节点数据(任务活动数据、节点资源数据)和网络数据(网络性能数据、网络报文数据)的信息，进行系统数据的异常检测，并进行攻击辨识，对系统故障与入侵攻击进行区分；

风险评估则是建立工控系统的攻击、功能失效、事故发生和系统损失的模型，通过入侵检测系统得到的攻击证据和系统异常证据，进行风险值的推演与预测，得出系统存在的风险值；

策略决策是目的是通过分析系统存在的风险值，生成最优的防护策略；实时控制是将策略决策生成的防护策略在控制器上具体实施的过程，包括生成任务集和任务的统一调度；通过所模拟的对象算法获取信息安全任务集，并和功能安全任务集进行协调，加入系统本身的任务集进行统一的任务调度。

由于物理对象可重构的特性，对于不同的工业控制领域，为保障工控系统的实时性与可用性，所采取的信息安全防护结构和防护方法也不同，具有动态可重构的特性；闭环控制防护方法中的每个环节都是独立的模块，对于同一防护目标也有着不同的实现方法，具有可重构的特性；因此，本实施例提供的这种平台中；可用于对各种防御方法的可行性与有效性进行评估测试和实验验证，也可用于对不同的防御方法进行性能上的比较分析。

监控层用于对具体的物理生产过程进行实时的监测与控制，保障其安全正常运行；实施例提供的验证平台，监控层包括HMI监控系统、数据服务器、网络数据分析站。

其中，HMI监控系统用于实时生产过程的监测与控制指令的下发，包括：系统的启停控制；系统稳态设定值的修改；阀门开度的手动控制；扰动值的监测，系统运行参数及数据的监测。

数据服务器用于数据的记录与归档；网络数据分析站用于对数据库中的归档数据进行分析处理，获取评估结果和结论报告；实施例中，针对工业控制系统的特点，该层采用的通信协议是实时性较强的Modbus TCP/IP工业以太网通信协议。各层所采用的网络协议都是独立的模块，可任意重构配置获得不同的网络通讯协议，以验证各类网络通讯协议所对应的信息安全防护问题。

具体的，通过将单一的网络协议分割成多个独立的构件，每一个构件都可以被新的构件更新、替换，从而形成一组新的相关构件来提供特定的服务，通过选择相应的网络协议构件进行组装来得到整个通信系统。

监控层用于结合访问控制和入侵防护构建主动信息安全防线，即设置用户的权限及程序允许运行的条件；具体包括：认证控制、功能块操作控制、安全审计、漏洞分析、状态分析和入侵防护。

认证控制用于用户及设备的身份认证，阻止未经授权的用户或设备进行访问操作；功能块操作控制用于应用层的访问控制，对合法用户和设备的行为进行鉴别，使得授权的用户和设备只能够对相应的功能块进行合法的操作；漏洞分析是系统静态的信息安全防护策略，在系统运行之前，对系统进行漏洞扫描，并对发现的漏洞进行安全加固。外网可以通过以太网接入到监控层。

实施例提供的上述半实物与验证平台，由于所采用的设备具有可控性、操作透明性的特点；工业控制系统信息安全研究者通过该平台能够从安全防护的视角对工业控制系统信息安全防护理论及方法进行验证。

通过攻防演练直观了解在不同的工控领域下所采用攻击的攻击原理，深入分析攻击传播的过程与攻击路径，显示其对于不同工控领域下造成的危害效果和采用防御手段后防护策略的选择实施、安全任务的调度执行以及系统风险值动态变化的过程；其实现方法的流程如图4所示，具体步骤如下：

S1参数配置：选择拟仿真的物理对象模型、控制设备与网络协议栈，配置系统运行时间、稳定状态值等系统参数；在半实物演示验证平台正常工作情况下将系统正常运行数据记录在数据服务器中，包括田纳西模型应用数据(TN检测数据、HMI控制数据、CN控制数据)、各节点数据(任务活动数据、节点资源数据)以及网络数据(网络性能数据、网络报文数据)；

S2攻击选择：根据拟研究的安全防护方案选择攻击手段，并设置攻击强度；模拟MITM和U盘攻击时对系统稳态运行的设定值进行不同程度的篡改，CAN总线攻击时修改不同的传感器采集数据，DOS攻击时修改攻击强度，在确定攻击对象和攻击路线后进行攻击注入；

S3观察系统异常并进行数据记录：通过探针系统获取系统的运行状态信息，包括田纳西模型应用数据、各节点数据以及网络数据；将系统的运行状态信息与已建立的系统网络模型、节点模型、应用模型进行比较得出系统的异常状态；通过异常状态的因果关系算法分析得出攻击传播的路径，通过演示界面中攻击在系统拓扑图中逐渐扩散的过程和田纳西物理仿真数据的变化直观的了解攻击传播的过程及路径以及攻击对各设备造成的影响，评估出系统整体的损失，并将系统遭受攻击后的异常数据记录在数据服务器中；

S4选择防护方法：启动拟验证的防护策略和防护方法，可以选择各层次的防御策略是否开启，各环节的防护方法具体实现方式；

S5观察系统防御效果并进行数据记录：通过分析系统的风险值，评估出系统所能恢复到的最优状态，针对工控系统的特点做出降级运行处理，相应的做出安全策略与安全响应任务集的动态选择，在不影响原有系统任务正常运行的情况下，进行统一调度，得到控制器的任务调度表，从而对控制器进行控制，调控系统的运行状态，减少系统的损失值。

监控层中的网络数据分析站可以对系统异常数据和防御后的数据变化进行分析，确定系统防御作用的时间和对田纳西生产过程具体的防护效果，可以对所验证的安全技术的可行性与有效性进行评估；也可对各类安全技术进行横向的比较；用户可通过人机交互界面观察并记录系统当前执行的防护措施、安全任务的调度执行以及系统风险值动态变化过程；

S6判断是否需要更换其他的防护方法进行入侵防护，若是，则进入步骤S4；若否，则进入步骤S7；

S7判断是否需要选择不同攻击种类或攻击强度进行攻击注入，若是，则进入步骤S2；若否，则结束。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。