工控系统信息安全测试床开发探索

目前，我国工业控制系统信息安全面临着严峻的形势，原因在于产品国产化低，存在不可预期的风险；产品过分强调效率，必要的安全保障机制不足；目前还没有一套完整的针对工业控制系统信息安全的评测方法和体系。另外，工业控制系统一般为生产运行系统，直接对系统进行风险评估和安全扫描，不仅效率低、成本高，还会影响生产甚至造成事故。本文提出一种工业控制系统信息安全测试床开发的技术方案。该测试床方案还原了工业控制系统的数据采集与监测过程以及控制过程，可以实现对工业控制系统的信息安全评估，以及安全防护体系的开发和实践。

1工控系统信息安全测试床开发

1．1工控系统信息安全测试床总体方案

根据ANSI／ISA－99等标准［3］，可将工业控制系统分为0～3共4层，如图1所示，第0层为工艺过程，包括不同类型的生产设备、传感器等，该层为工业控制系统的物理过程；第1层为本地或基本控制，包括工控系统中的典型设备可编程逻辑控制器PLC、集散控制系统DCS等；第2层站点监测，包括人机操作接口、监测和控制功能等；第3层为运行或系统管理层。第1层到第3层为工业控制系统的信息交换过程，为信息物理融合空间中的信息空间。本研究中在工业控制信息物理融合系统的信息空间（第1～3层）使用真实的被普遍应用的设备，采用复制的方式还原对应工业过程，物理空间（第0层）采用软件仿真的方式实现，构造工业控制系统测试床。该测试床方案为首次将半实物仿真（Hardware－in－the－loop）系统应用于工业信息安全评价领域，避免了完全复制现实中的工控系统的高成本，同时实现了控制组件的实际交互，可同时应用于科学研究和实践当中。

1．2工控系统信息安全测试床实现方法

根据上一节提出的测试床方案，本研究给出了其具体实现方法，如图2所示。该测试床由工艺仿真系统、数据采集系统、PLC／DCS控制系统以及SCADA服务站／工程师站共4个部分组成。（1）工艺仿真系统该部分为被控物理对象的仿真；利用工控机或计算机作为仿真工作站，应用Matlab／Simulink、LabVIEW或其他仿真软件在该工作站中构建工艺系统模型。考虑到Simulink强大的建模和仿真功能，本研究在测试床实现过程中采用Simulink对现场工艺模型进行仿真，并通过RTW（RealTimeWindowsTar-get）工具箱或S－function的方式［4］实现对数据采集系统的读、写功能。RTW是基于Matlab／Simulink的代码生成环境，可以直接将Simulink仿真模型生成可移植代码，并根据目标系统配置自动生成可执行程序。因此，RTW作为Matlab提供的用PC机进行原型实物仿真与测试实时系统的一种方案，可以将Simulink描述的仿真模型直接通过数据采集卡（包括卡上的A／D和D／A转换器）对硬件系统进行实时控制。如果选用的数据采集卡型号包含于RTW工具箱中，仿真中可直接应用RTW工具箱实现对数据采集卡的实时数据传输。如果选用的数据采集卡不包含于RTW工具箱中，可通过S－function的方式编写板卡驱动实现数据读写。（2）PLC／DCS控制系统该部分为基本控制部分；实时获取工艺系统的动态和状态数据，并根据控制要求对系统状态参数或系统组件参数进行调整。（3）SCADA服务站／工程师站该部分为监测控制部分；主要实现上传、下载、修改控制器的配置，利用程序和画面组态实现对整个系统的监测和控制，通过通用的标准协议实现与控制系统的实时通讯，如Modbus／TCP、OPC服务器等。（4）数据采集系统数据采集装置与工艺仿真系统相连，负责实现仿真系统与控制器的数据交换。本测试床系统中仿真系统和工程师站应用一台计算机，采用不同的IP地址实现。应用本测试床方案可以实现对多种产品及其通讯方法的测试分析：①PLC，主要产品品牌有西门子、三菱、AB、RockWell、欧姆龙、施耐德等；②DCS，主要品牌有HoneyWell、浙大中控、日本横河、和利时、ABB等；③组态软件，主要有WinCC、In-Touch、iFIX、RSlogix5000、组态王、MCGS等。另外，还有数据采集系统和交换机等设备。

2测试床开发方案实现———水箱液位控制系统信息安全测试床

2．1水箱液位控制系统设计

液位是过程控制系统中的常见参数，具有容易直接观察、易于测量和过程时间常数比较小的特点，因此，以液位为过程控制参数构成水箱实验装置，可灵活地进行过程组态和实施多种不同的控制方案。水箱液位控制系统可以模拟工业生产过程，可对液位、流量等参数进行测量、控制、观察它们的变化特性、研究过程控制规律，具有过程控制的一般特点。水箱液位控制工业模型采用被广泛应用于过程控制系统仿真的单容水箱系统，如图3所示。系统的控制目标为：根据水箱的液位低于某阀值开始驱动水泵，打开进水阀向水箱供水，管压表作为功能安全系统或紧急停车系统，当管压达到某阀值时，停止水泵工作，流量和液位形成正常工艺数学模型，保证水泵供水与流量和液位形成有效的对应函数关系。水箱液位控制系统工艺流程（P＆ID图）如图4所示。被控对象的其输入输出点表如表1所示。

2．2物理工艺的建模与仿真

本文参照已有文献对典型的单容水箱系统进行数学建模。入口调节阀门采用比例流量阀，其流量特性为：水箱液位由入水调节阀和出水调节阀直接控制。其中，A为水箱的截面积，取值为5026．55mm2。根据单容水箱工艺的数学模型在Simulink中搭建仿真模型。因为本测试床中选用的数据采集卡研华PCI－1710U包含于RTW工具箱中，因此在仿真中直接应用RTW工具箱实现对数据采集卡的实时数据传输。根据被控对象的输入输出点表，应用RTW工具箱中提供的Analoginput、AnalogOutput、Digitalinput三个模块实现实时数据交换，在模块配置中，需对板卡型号、输入输出通道、输出方式及范围进行配置，此为RTW自动编译代码所用的初始化信息。

2．3监测和控制系统

测试床中监测与控制系统是利用真实的商用设备组件完全复制对应的工业过程实现的。水箱液位控制信息安全测试床中数据采集系统采用研华的数据采集卡，型号为PCI－1710U，控制器采用西门子S7－300系列可编程控制器及通讯组件，上位机中的采用SIMATICWinCC组态软件。其中，PCI－1710U属于PCI总线多功能数据采集卡，具有16个模拟量输入，2个模拟量输出，16个数字量输入，16个数字量输出，因为被控对象具有3个模拟量输出点，因此需要2套PCI－1710U。控制器的I／O点在表2中列出。图5为控制器的硬件组态。

2．4水箱液位控制系统的信息安全测试

水箱液位控制系统信息安全测试床完全复现了现实生产应用中的控制系统的信息交换过程，即信息物理融合空间中的信息空间，因此它可以实现对水箱液位控制系统的信息安全评测和安全理论的实践。本测试床的信息安全测试中，病毒以工程师站为攻击接口，伪造控制信号，驱动泵机和阀工作，同时阻塞仪表信号，使得工程师站无法读取仪表信号，最终的攻击效果为现场水箱水满溢出，发出危险报警，但是工程师站的监测画面依然显示系统正常运行。最后，在水箱液位控制系统信息安全测试床中应用了主流工控产品，通过对其通讯协议的分析和工控产品级漏洞挖掘工作，以及工控系统级漏洞挖掘工作，实践了工业控制防火墙技术，成功阻止了病毒对系统的攻击。

3结束语

本文根据ANSI／ISA－99等标准，提出了一种工业控制系统模拟测试床开发的方法，该方法首次将半实物仿真系统与工业控制信息安全相结合，使用真实的被普遍应用的设备，采用完全复制的方式还原工业控制对应的工业过程，即信息物理融合系统的信息空间（第1～3层）对应的工业过程，采用软件仿真的方式实现工业系统的物理工艺过程，即物理空间（第0层）对应的工艺过程，构造工业控制系统测试床。另外本文给出了成功搭建的测试床，即过程控制领域的水箱液位控制系统信息安全测试床，利用该测试床，实现了对所用协议的安全性分析和漏洞检测，并成功实践了工业控制防火墙技术，拦截了病毒攻击。通过该测试床开发方案开发的测试床，可以实现对工控系统的信息安全评估，达到对现实中控制系统评估的效果且不影响系统运行，不会造成经济损失；测试床中应用主流工控产品，可完成协议分析和工控产品级漏洞挖掘工作；采用典型工艺建设方法，可完成工控系统级漏洞挖掘工作；在测试床上实践安全理论体系，可以在很大程度上推进工业信息安全的发展。该方案避免了完全复制现实中的工控系统的高成本，同时实现了控制组件的实际交互，可应用于科学研究和实践当中。

作者：周静 瞿婷婷 卫佳骏 吴清 谢新勤 曹波 夏春明 单位：华东理工大学机械与动力工程学院 三零卫士信息安全有限公司