摘　要： 介紹了網(wǎng)絡(luò)控制系統(tǒng) (NCS )的信息安全" title="信息安全">信息安全和網(wǎng)絡(luò)安全，分析了NCS安全體系的設(shè)計(jì)目標(biāo)、設(shè)計(jì)要求和設(shè)計(jì)原則，提出了設(shè)計(jì)具有自律可控性和自律可協(xié)調(diào)性NCS安全體系的新方法，并指出了NCS安全體系設(shè)計(jì)中需進(jìn)一步研究的若干問題。
　　關(guān)鍵詞： 網(wǎng)絡(luò)控制系統(tǒng) 網(wǎng)絡(luò)安全理論? 網(wǎng)絡(luò)信息安全" title="網(wǎng)絡(luò)信息安全">網(wǎng)絡(luò)信息安全? 安全體系結(jié)構(gòu)? 自律分散

?

　　網(wǎng)絡(luò)的閉環(huán)反饋控制系統(tǒng)稱為網(wǎng)絡(luò)控制系統(tǒng)NCS(Networked Control System)^[1～2],其典型結(jié)構(gòu)如圖1所示。

3 NCS的安全體系設(shè)計(jì)
3.1 設(shè)計(jì)目標(biāo)
　　NCS安全體系設(shè)計(jì)的目標(biāo)是在一定約束下,盡可能滿足用戶的安全需求。這里需要解決如下三個(gè)基本問題:
　　(1)如何根據(jù)安全需求制定安全策略,即NCS的安全分析問題。
　　(2)如何將安全需求映射為安全體系,即NCS的安全設(shè)計(jì)問題。
　　(3)明確安全體系滿足安全需求的程度,即NCS的安全評價(jià)問題。
　　解決上述問題需要系統(tǒng)化和結(jié)構(gòu)化的設(shè)計(jì)方法及其輔助工具的支持。
3.2 設(shè)計(jì)原則
　　NCS安全體系的設(shè)計(jì)需遵循如下一些設(shè)計(jì)原則:
　　(1) 木桶原則。木桶的容積取決于最短一塊木板,而NCS的安全性則取決于最薄弱的環(huán)節(jié)。
　　(2)整體性原則。對NCS不僅要提供安全防護(hù)和檢測機(jī)制,還應(yīng)提供應(yīng)急恢復(fù)機(jī)制等。
　　(3) 等級(jí)性原則。對NCS的網(wǎng)絡(luò)應(yīng)進(jìn)行分級(jí),包括對信息保密程度分級(jí)、用戶操作權(quán)限分級(jí)、網(wǎng)絡(luò)安全程度分級(jí)、系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)分級(jí)(如應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)。
　　(4) 有效和實(shí)用原則。安全機(jī)制不應(yīng)影響NCS正常運(yùn)行,應(yīng)有效、簡單和實(shí)用。
　　(5) 動(dòng)態(tài)性原則。安全體系內(nèi)應(yīng)盡可能引入可變因素,使安全體系具備良好的動(dòng)態(tài)性。
　　(6) 失效保護(hù)狀態(tài)原則。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)失效模式應(yīng)該是“失效-安全”型,即一旦防火墻屏蔽子網(wǎng)失效、重啟或崩潰,就要安全阻斷內(nèi)部網(wǎng)絡(luò)與外界的連接。
　　(7) 缺省拒絕狀態(tài)原則。從安全角度講,缺省拒絕狀態(tài)是失效保護(hù)狀態(tài)。
　　(8) 設(shè)計(jì)為本原則。NCS的安全重在設(shè)計(jì),安全性設(shè)計(jì)應(yīng)與NCS的體系結(jié)構(gòu)、通信協(xié)議、控制策略設(shè)計(jì)相結(jié)合,采用同步與并重的原則。
　　(9) 有的放矢和各取所需原則。根據(jù)不同的控制對象,其安全側(cè)重點(diǎn)各不相同,應(yīng)綜合考慮解決方案,提高性能價(jià)格比。
3.3 設(shè)計(jì)要求
　　NCS安全體系的設(shè)計(jì)要求如下:
　　(1) 應(yīng)綜合考慮NCS體系結(jié)構(gòu),確保NCS的網(wǎng)絡(luò)安全服務(wù)質(zhì)量。
　　應(yīng)全面考慮NCS拓?fù)浣Y(jié)構(gòu)、通信協(xié)議、控制策略和被控對象的動(dòng)態(tài)特性,滿足NCS對網(wǎng)絡(luò)安全服務(wù)質(zhì)量的各種需求,確保NCS安全服務(wù)技術(shù)的先進(jìn)性、網(wǎng)絡(luò)安全服務(wù)質(zhì)量的優(yōu)良性、安全體系運(yùn)行的可靠性、穩(wěn)定性和可持續(xù)發(fā)展性。
　　(2) 應(yīng)采用冗余和備份技術(shù),提高系統(tǒng)的可用性與生存性。
　　網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)應(yīng)通過節(jié)點(diǎn)和鏈路的冗余與備份手段來提高NCS的可用性與生存性。關(guān)于冗余技術(shù),可考慮采用網(wǎng)絡(luò)冗余,隔離故障,以避免全網(wǎng)失效;采用硬件冗余,使個(gè)別故障不能影響整個(gè)系統(tǒng)的正常運(yùn)行;采用功能冗余,在某些部件(或節(jié)點(diǎn))失效時(shí),其余完好的部件(或節(jié)點(diǎn))部分或全部地承擔(dān)起故障部件所喪失的控制作用,以維持控制系統(tǒng)的性能在允許的范圍內(nèi);采用時(shí)間冗余,檢出和糾正由于暫時(shí)故障引起的錯(cuò)誤;采用信息冗余,對傳輸數(shù)據(jù)進(jìn)行冗余校驗(yàn)。此外,還可考慮采用軟件冗余等冗余技術(shù)。關(guān)于備份技術(shù),可考慮采用網(wǎng)絡(luò)備份,用于網(wǎng)絡(luò)的防毀、抗災(zāi)以及應(yīng)急處理;采用信息備份,對NCS的狀態(tài)信息(如系統(tǒng)組態(tài)信息、關(guān)鍵參數(shù)信息等)進(jìn)行備份,以便于分析與處理。
　　(3) 應(yīng)確保NCS的可控性、可觀測性和穩(wěn)定性不受影響。
　　(4) 信息加密/解密及傳輸過程必須滿足NCS的實(shí)時(shí)性要求。
　　(5) 不應(yīng)降低NCS的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制性能質(zhì)量。
　　(6) 應(yīng)使用成熟可靠的安全技術(shù)和措施,減少NCS安全體系本身的安全漏洞。
　　(7) 根據(jù)被保護(hù)對象的重要性,應(yīng)劃分不同的安全等級(jí)" title="安全等級(jí)">安全等級(jí),提高安全體系設(shè)計(jì)的經(jīng)濟(jì)性。
　　(8) 應(yīng)減少不同安全等級(jí)間被保護(hù)對象的安全耦合,以提高NCS的整體安全性。
　　(9) 安全體系應(yīng)具有可重構(gòu)性。NCS的安全狀態(tài)可根據(jù)安全評估模型劃分等級(jí),如正常、緊急、事故等狀態(tài)。當(dāng)系統(tǒng)處于正常狀態(tài)時(shí),安全策略傾向于易用性;當(dāng)系統(tǒng)受到頻繁攻擊時(shí),可通過安全重構(gòu)加強(qiáng)系統(tǒng)的安全性,使安全策略更傾向于安全性;當(dāng)系統(tǒng)處于事故狀態(tài)時(shí),安全策略傾向于故障安全狀態(tài),確保故障節(jié)點(diǎn)或子系統(tǒng)處于最低安全狀態(tài),避免導(dǎo)致整個(gè)系統(tǒng)崩潰?？芍貥?gòu)的NCS安全體系,可以有效地解決易用性與安全性之間的矛盾。
　　(10) 安全體系應(yīng)具有局部可恢復(fù)性和生存性。
　　一旦NCS安全體系中某個(gè)節(jié)點(diǎn)或子系統(tǒng)的安全性被破壞,該節(jié)點(diǎn)或子系統(tǒng)應(yīng)及時(shí)被隔離,或限制與其他節(jié)點(diǎn)或子系統(tǒng)的通信,直到該節(jié)點(diǎn)或子系統(tǒng)恢復(fù)安全性,才解除隔離或限制。這樣,即使NCS局部(或安全域^[5])安全體系受到破壞,也不至于導(dǎo)致整個(gè)系統(tǒng)安全體系崩潰。
　　(11) 安全體系應(yīng)具有開放性和動(dòng)態(tài)擴(kuò)展性。隨著網(wǎng)絡(luò)環(huán)境的變化以及新的漏洞和攻擊手段的出現(xiàn),NCS安全體系必須根據(jù)環(huán)境的變化做出調(diào)整,并增強(qiáng)自身的擴(kuò)展能力。
3.4 設(shè)計(jì)中應(yīng)注意的幾個(gè)問題
　　NCS安全體系設(shè)計(jì)中有若干問題需要進(jìn)一步研究。
　　(1) 信息系統(tǒng)的劃分
　　信息技術(shù)的基本原則是數(shù)據(jù)共享、網(wǎng)絡(luò)互連。因此,在信息技術(shù)應(yīng)用的過程中應(yīng)特別強(qiáng)調(diào)以數(shù)據(jù)庫為核心,以網(wǎng)絡(luò)為支撐。NCS的信息系統(tǒng)劃分至少應(yīng)遵循以下原則:
　?、俨煌踩燃?jí)的應(yīng)用最好劃分為不同的系統(tǒng)或子系統(tǒng)。系統(tǒng)的安全設(shè)計(jì)應(yīng)根據(jù)應(yīng)用的要求確定,既要避免安全性和可靠性方面的漏洞,也要避免不必要的開銷。
　?、谔幱诓煌踩燃?jí)網(wǎng)絡(luò)上的系統(tǒng)或子系統(tǒng)之間信息交換不宜過多。應(yīng)盡可能采用從高到低的單向傳輸,必要時(shí)設(shè)置有效的隔離裝置。
　?、勰茉诎踩燃?jí)較低的網(wǎng)絡(luò)上實(shí)現(xiàn)的應(yīng)用系統(tǒng),不宜放到安全等級(jí)較高的網(wǎng)絡(luò)中實(shí)現(xiàn)。
　　(2) 信息系統(tǒng)的功能
　　當(dāng)NCS中信息的產(chǎn)生和消費(fèi)分屬于不同的系統(tǒng)或子系統(tǒng)時(shí),應(yīng)將功能放在信息消費(fèi)多的那部分系統(tǒng)中。
　　(3) 信息的采集方式
　　實(shí)時(shí)信息大多來自NCS的控制節(jié)點(diǎn),信息的采集應(yīng)由NCS來完成,而管理的對象和內(nèi)容則通過人機(jī)交互的方法獲得。從控制系統(tǒng)采集信息時(shí),要嚴(yán)格限制為單向獲取數(shù)據(jù),保證信息采集不會(huì)對NCS造成影響。
　　(4) 信息的傳遞方式
　　NCS信息的傳遞可大致分成三類:
　?、貼CS內(nèi)部各節(jié)點(diǎn)之間的信息傳遞,只存在可靠性及信息盜用的威脅。
　?、诓煌琋CS之間的信息傳遞,除存在可靠性及信息盜用的威脅外,還存在系統(tǒng)之間互擾及錯(cuò)誤信息流向等問題。
　?、蹚V義網(wǎng)絡(luò)信息資源與所有NCS之間的信息傳遞。
3.5 自律分散NCS安全體系的設(shè)計(jì)方法
　　NCS融合了控制、計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù),是一個(gè)典型的混雜動(dòng)態(tài)控制系統(tǒng)(HDCS)。影響NCS信息安全和網(wǎng)絡(luò)安全的因素眾多而繁雜,因而需要有一套系統(tǒng)化和結(jié)構(gòu)化的設(shè)計(jì)方法和相應(yīng)的輔助工具,用以設(shè)計(jì)NCS的網(wǎng)絡(luò)安全體系。自律分散NCS安全體系的設(shè)計(jì)方法,實(shí)現(xiàn)了NCS安全體系結(jié)構(gòu)的動(dòng)態(tài)變化和在線功能。
3.5.1 自律分散NCS安全體系的基本概念
　　隨著NCS規(guī)模的擴(kuò)大化,控制功能的分散化,節(jié)點(diǎn)分布的廣域化,攻擊手段的多樣化和網(wǎng)絡(luò)環(huán)境參數(shù)變化的復(fù)雜化,NCS將變得愈來愈難以控制。與此同時(shí),隨著用戶需求和網(wǎng)絡(luò)資源的變化,NCS的體系結(jié)構(gòu)(控制結(jié)構(gòu)、拓?fù)浣Y(jié)構(gòu)和通信協(xié)議等)也處在不斷的變化與發(fā)展過程之中。NCS的組成部件(節(jié)點(diǎn))的增加或減少,將導(dǎo)致NCS安全域的擴(kuò)展或收縮。所有這些變化都要求NCS的安全機(jī)制能跟隨這些變化做出快速的響應(yīng),安全策略能跟隨這些變化進(jìn)行動(dòng)態(tài)的調(diào)整,以便全面地反映變化過程中系統(tǒng)的安全需求。同時(shí),也要求NCS的安全體系能動(dòng)態(tài)地適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。
　　自律分散NCS安全體系,將NCS安全體系劃分成許多自律安全體系單元。由于NCS安全體系變化的動(dòng)態(tài)性,整個(gè)系統(tǒng)安全體系很難事先完全定義,只能定義若干自律安全體系單元,然后集成。自律分散NCS安全體系最為重要的特點(diǎn),就是自律安全體系單元的自我控制和自我協(xié)調(diào)能力^[6],即自律安全體系單元應(yīng)具有以下兩個(gè)基本特性:
　　(1)自律可控性(autonomous controllability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入,都不能影響其他自律安全體系單元的自我管理及功能的運(yùn)行。
　　(2)自律可協(xié)調(diào)性(autonomous coordinability):系統(tǒng)中如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入,其他自律安全體系單元之間能夠協(xié)調(diào)各自的任務(wù),并以協(xié)作方式運(yùn)行以實(shí)現(xiàn)各自功能。
　　基于自律安全體系單元的自律可控性和自律可協(xié)調(diào)性設(shè)計(jì)的NCS安全體系,可確保安全體系的在線擴(kuò)展(on-line expansion)、在線維護(hù)(on-line maintenance)和在線容錯(cuò)(on-line fault tolerance)功能,這些特點(diǎn)與不斷發(fā)展和變化的NCS的安全需求非常吻合。
3.5.2 自律分散NCS安全體系的設(shè)計(jì)方法
　　自律分散NCS安全體系的設(shè)計(jì)方法,采用自底向上、由內(nèi)向外,從自律安全體系單元逐步構(gòu)成整個(gè)NCS安全體系的系統(tǒng)設(shè)計(jì)方法,突破了假定在設(shè)計(jì)階段安全體系的結(jié)構(gòu)、規(guī)模和功能都是確定的自頂向下的系統(tǒng)設(shè)計(jì)方法。自律分散NCS安全體系支持NCS分階段建設(shè)和實(shí)施,使NCS安全體系具備在線擴(kuò)展、在線維護(hù)和在線容錯(cuò)等“動(dòng)態(tài)”功能,適應(yīng)了NCS安全體系結(jié)構(gòu)的動(dòng)態(tài)變化,實(shí)現(xiàn)了NCS安全體系設(shè)計(jì)方法的突破。
　　NCS的信息安全和網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的,不是單一的信息安全和網(wǎng)絡(luò)安全技術(shù)能夠?qū)崿F(xiàn)的。在保證NCS信息傳輸?shù)目煽啃院蛯?shí)時(shí)性的前提下,綜合考慮NCS的信息安全和網(wǎng)絡(luò)安全,尋找確保網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)效率的平衡點(diǎn),建立真正適合于NCS的網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)。對于NCS的安全體系設(shè)計(jì),迫切需要開展以下研究工作:
　　(1)全面開展NCS網(wǎng)絡(luò)信息安全保障技術(shù)的規(guī)劃與設(shè)計(jì)研究。從硬件及軟件兩方面為NCS提供完整的安全系統(tǒng)平臺(tái),建立NCS綜合安全評估模型。
　　(2)NCS的網(wǎng)絡(luò)信息安全,不僅關(guān)系到網(wǎng)絡(luò)安全問題,而且還涉及信息系統(tǒng)的劃分、功能定義、數(shù)據(jù)采集、數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)等一系列問題。需要從整個(gè)NCS體系結(jié)構(gòu)、通信協(xié)議、節(jié)點(diǎn)狀況、被控對象特性、網(wǎng)絡(luò)資源等方面綜合考慮,確保NCS安全運(yùn)行。
(3)加強(qiáng)對NCS網(wǎng)絡(luò)信息安全設(shè)計(jì)相關(guān)理論的研究,以推動(dòng)NCS的網(wǎng)絡(luò)安全理論向前發(fā)展。
參考文獻(xiàn)

[1] YANG T C. Networked control system: a brief survey[J]. IEEE Proc.Control Theory Appl.,2006, 153(4):403-412.
[2]?LOPEZ I, LEE D. Practical issues in networked control　systems[C], Proceedings of the 2006 American Control Conference Minneapolis. Minnesota,USA:[s.n.],June14-16, ?2006:4201-4207.
[3]?盧昱，顧麗娜.網(wǎng)絡(luò)控制論系統(tǒng)的仿真分析.計(jì)算機(jī)應(yīng)用研究,2005,（8）:210-212.
[4]?WALSH G C, YE H. Scheduling of networked control systems[J]. IEEE Control Systems Magazine, 2001,21(1):57-65.
[5] ?劉全.網(wǎng)絡(luò)控制系統(tǒng)的安全域研究[J]. 微計(jì)算機(jī)信息, 2006,(7):45-47.
[6] ?MORI K. Autonomous decentralized systems: concept, data field architecture and future trends[C]//Proceedings　of ISAD 93.Kawasaki,Japan:IEEE Computer Society,1993:28-34.