[发明专利]工业控制系统全局防危技术

说明书

技术领域

本发明涉及防危技术，特别是指针对工业控制系统的全局防危技术。

背景技术

工业控制系统是由各种自动化控制组件以及实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控的系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业，其中超过80％的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。与传统的信息系统安全需求不同，工业控制系统设计需要兼顾应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。

据权威工业安全事件信息库RISI(Repository of Security Incidents)统计，截止2011年10月，全球已发生200余起针对工业控制系统的攻击事件。2001年后，通用开发标准与互联网技术的广泛使用，使得针对工业控制系统的攻击行为出现大幅度增长，工业控制系统对于信息安全管理的需求变得更加迫切。工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，一旦遭到破坏，将对工业生产运行和国家经济安全造成重大损害。

目前的防危技术实现的主要手段有防危核技术和防危壳技术。防危核技术(Safety Kernel)的原理是根据一组预定的防危策略，验证所有对关键设备的操作请求，通过验证的操作请求可以到达硬件对其操作，而未通过验证的操作请求则拒绝执行。这样成功的隔离了应用请求与关键设备，避免由于用户误操作而引起的系统错误。防危壳(Safety Shell)的原理与防危核类似，是防危核技术的一种功能更为强大的扩展，更有针对性的进行了缺点的弥补。防危壳的原理是在用于提出操作请求的系统控制器和关键设备之间安插了一个隔离层，所有对设备提出的操作请求都必须经过防危壳的验证，验证成功后该请求才能到达设备进行操作。

目前，我国工业控制系统信息安全形势严峻，在工控系统的防危处理上，存在诸多问题，主要体现在(1)采用关键操作和关键设备的隔离技术，使得防危只能针对单点，没有系统整体防危的概念(2)不注重对系统风险的预测，过于依赖对关键操作的验证等，威胁着工业生产安全和社会正常运转。伴随着两化融合的大力推进，加强工业控制系统信息安全防控能力已成当务之急。

发明内容

有鉴于此，本发明的主要目的在于提供一种工业控制系统全局防危的方法，在保证系统单点防危的同时，充分考虑了工业控制系统中各设备之间的相互影响相互制约关系，从全局的角度对系统进行防危保护。本发明首先定义了工控防危系统的几种状态，并且给出了各种状态之间的转化关系(如图1所示)，全局防危的目标就是避免事故状态的出现。

为了达到上述目的，该方法的设计上，引入了以下机制：

利用网络进行系统的整体风险预测和评估。

较佳地，所述利用网络进行系统的整体风险预测和评估的具体方式为：

为实现工控系统的整体风险预测和防危，可以根据工控系统现场环境、历史数据和经验，建立起一个工控系统网络模型(如图2所示)，网络中的节点表示系统中的设备，边表示设备之间的关联关系或者风险传递的关系，边的权值表示设备的风险传递给相邻设备的程度。然后实现工控系统网络的风险传递算法，通过风险传递算法的运算，此网络可以很快收敛，达到稳定状态，以此就可以预测出某一个(或多个)设备出现风险后系统中所有相关设备受影响的情况。通过此网络模型可以做到对工控系统的整体风险预测和整体防危。

如图2所示，假设工控系统有五个节点(设备)，分别是C1、C2、C3、C4、C5。C1到C3的箭头表示C1的风险对C3造成的影响是70％。

用F(X)表示X的失效阀值。F(C1)＝10；F(C2)＝15；Pt(C3)＝5；F(C4)＝5；F(C5)＝5

用P(X)表示X的风险值。

假设在t时刻各节点的风险值为：

{Pt(C1)＝9；Pt(C2)＝0；Pt(C3)＝0；Pt(C4)＝0；Pt(C5)＝0；}

若不考虑系统中各节点之间的相互影响关系，则t时刻：