一、前言

工业和控制网络是信息技术在工业环境中应用的一个必然形态，其是一种涉及到设备原理、控制论、计算机技术等相关领域综合技术，在工业生产环境中发挥着不容忽视的重要价值，对于提升工业生产过程安全性，优化整体工作效率等方面的作用显著。然而在无线工控网络通信体系之下，数据安全是一个重要问题，一方面数据本身的脆弱特征十分突出，另一个方面则是工业环境中都依赖于工控网络中的数据来展开工作，这就决定了这一类数据的价值，可以说被无限放大，一旦发生安全问题，所带来的危害甚至会关系到整个工业体系的安全，因此对于工控通信体系自身安全的关注，已经成为了信息产业，以及工业产业共同关注的重点。

二、无线工控通信网络结构与特征

关于无线工控通信网络中的协议，以及数据等方面特征，在本文中不再赘述，重点关注与工控网络安全有关的网络架构以及相关问题。从工控网络的构成角度看，从低层到高层，是一个从具体设备到抽象数据的过程，即最低层对应的各种物联网设备，最高层对应的则是海量数据，包括从低层逐层上升并且加以抽象的各种设备状态数据以及由控制指令而产生的控制数据[1]。通常来说，在整个工控网络体系之下，中低层是与安全密切相关的，高层诸如企业系统层以及操作管理层这样的层级，多强调系统的可用性与易用性，而处于较低位置的，包括现场设备层、现场控制层以及监督控制层，则主要用于实现对于现场设备状态数据的采集和传输，并且展开必要的自动控制动作，将一些自动控制数据以及源于上层的控制指令发送到设备最前端，因此也是在整个工控数据通信环境中安全系数最低的一个环节。对于较低的，关系到数据安全的三个层级进行分析。现场设备层基本对应着工业环境中的物联网基层，也就是“物联”环节，是从众多设备中将对应的状态数据进行提取的层级。向上，第二个层级即现场控制层，主要负责对基层数据进行初步的分析和处理，判断数据本身的有效性，一些告警等功能也存在于这个层级之中。而继续向上则是监督控制层，所执行的功能逻辑性更强，可以实现对工业生产过程更为全面的监督。数据的传输基本也都存在于这三个层级之间，因此对应的可能会带来数据机密性和完整性损害的因素，也都在这三个层级中出现。其中第三层，也就是监督控制层，大多内嵌于工业数据中心内部，不仅仅用于实现对于基础设备层工作过程的全程监督和实时控制，同样也作为上下层级之间的承启而存在[2-3]。

进一步从功能的角度进行考察，这三个分层可以划分为控制中心和控制回路两个部分。其中控制中心进一步包括三个方面的组件，即HMI（Human-Machine-Interface），工程师站以及数据库，这些组件通常通过以太网进行联络。其中数据库用以形成对于其他组件工作的支持工程师站则负责将现场设备提交的各种数据发送给HMI，以供工作人员进行查看和使用。对应的基于数据传输视角的网络结构参见图1[4]。在图1中，信息的流动用箭头表示，实线箭头表示有限网络，基本在工控体系中为以太网，而虚线的箭头则是表示无线网络，即存在安全隐患的环节。从图中可以看到，HMI、工程师站以及用于运算决策支持的数据库同处于一个以太网环境中，通信可以通过有线的方式予以落实，并且其日常运行并不需要与外网保持联通。单纯看工控网络中的这三个部分，只需要对内部数据展开学习，就可以实现其基于大数据的发展需要。因此从这个角度看，这三个组成部分所处的以太网环境可以实现完全的安全通信，包括其不同组件内部的通信也都可以实现封闭并且保持安全状态。而从网络环境的基层角度看，控制机构与工业设备基本处于一对一的情况中，但是在某些特殊情况下，同样也存在一个控制机构面对多个工业设备进行控制的情况，在图中并未进行标出。因为控制机构相对而言专注于被控制的专业设备，因此这二者在设置的时候大多也都安插在一起，甚至于从物理层面看，控制机构与工业设备本身就是一个不能分割的整体，即工业设备呈现出数字化的特征，能够主动反馈对应的数据，并且也能够接收对应的控制指令。因此将控制机构与工业设备之间的通信列入到有线传输范围。其他环节基本都是属于无线数据传输的领域。具体来说，工程师站作为整个工控体系高层的一个入口，其通过网关与其下的诸多控制柜相联系，这些控制柜通常都会以组织结构或者专业领域作为划分而进行安置。每一个控制柜之下，又会覆盖多个控制机构和工业设备，虽然控制机构与工业设备在物理层上看结合在一起，但是从逻辑的角度看仍然是两个角色，其中控制柜会通过无线网络连接的形态将控制指令发送给控制机构，而工业设备则将对应的过程和状态数据传输给控制柜，并且进一步朝向更高层级进行传输。除此以外，网关在整个体系中其实并不发挥作用，但是作为通信环境功能的实现而言，其又不可或缺。尤其是在大型的工业环境之中，不同部门之间都可能会在技术的采用上存在差异，这就更需要网关参与才能实现统一调和，将不同的分支机构纳入到一个集成的通信体系之内。

在这个过程之中，涉及到三种通信链路。首先，是控制中心的内部链路，即HMI与工程师站以及数据库之间的通信，三者基本上都会再用TCP/IP协议展开工作，因此在传输延迟等方面也都并不突出。这种链路以HMI作为核心而展开，其与其他两个部分之间的通信极为相似，大同小异。其次，则是控制中心与控制回路之间形成的通信链路，主要是指终端控制器和工程师站之间的通信链路。此种通信模式多以工程师站作为主战，来对终端控制器进行带动，前者发送操作信息，选择算法以及相关参数，并且负责对终端控制器进行身份标记。在这个过程中，呈现出星形的链路特征，即一个工程师站可以与多个终端控制器同时展开连接。在该领域之中，诸如WIA-PA，ISA100.11a 或者WirelessHART等协议相对比较常见。最后，则是处于控制回路内部的通信链路，在该领域之中，主要存在两种类型的通信，即传感器与终端控制器之间的通信，以及执行器与终端控制器之间的通信。本质上看这就是一个自动控制得以实现的过程，但同时也必须能够执行从系统上层传递过来的控制指令。

三、无线工控网络安全框架分析

在工控网络体系之下，数据来源的安全以及数据传输的安全是需要重点保证的的两个方面，虽然按照无线工控网络通信需求，相关部门给出了密码算法的建议，图1工控网络环境中数据传输特征框架示意图但是从根本上看，密码算法并没有对工控信息环境之下相关设备的运算能力等方面做出充分考虑，节约开销仍然是当前工控网络的突出需求。具体来说，工控环境中，特别需要加强的两类数据，主要是控制数据和现场数据，这两类数据关系到工控体系中对于工业设备工作状态的判断和决策控制的执行，关乎工业生产的安全有效展开。这两类数据，虽然并非只存在于控制回路之中，但是从网络安全的角度看，控制回路仍然是这两类数据遭受安全威胁的主要环境。尤其是控制回路中无线网络协议设计的固有缺陷，必然会导致控制指令以及过程数据都采用明文状态传输，直接为恶意攻击留出窗口。除此以外，对于数据完整性的校验同样缺失，都是安全隐患可能发生的重点所在。针对此种情况，可以考虑重点加强从控制层向下一直到最前端各个环节的安全部署[5]。具体而言，可以从两个方面展开安全工作：其一，从控制回路的角度加强安全建设。具体而言，其网络工作逻辑框架结构参见图2。在图2中，实线表示安全链路，虚线表示安全水平有所不足的链路。其中PD和CI分别代表过程数据和控制指令，而Kca和Ksc则用来标记共享密钥，其中前者是控制器与执行器之间的共享密钥，而后者则是无线传感器与控制器之间的密钥。以控制通道为例，对应的数据传输方案，需要从机密性和完整性两个方面进行理解。其中机密性保护的实现，是首先由控制器利用其和执行器之间的共享密钥来对指令加密和传输，而执行器在接收到信息之后，利用对应的密钥进行解密并且执行对应的指令。在数据完整性保护方面，控制器首先生成密文，并且在密文之后附加哈希值，才传给执行器。执行器接收到信息之后进行解密，并且展开对应的哈希运算，再与密文最后的内容进行对比，来确定出传输过程中是否存在信息的劫持和篡改问题。在上面的式（2）中，CI’表示执行设备，也就是工业环境中最低层级环境中的诸多操作设备，而接收到的密文[6]。其二，则是加强工程师站和控制回路之间的安全传输。如果用（V1，V2）标记工程师站所产生的秘密值，Ci表示控制链路，Hj代表工程师站，c为密钥，pk为公钥，sk为数据传输过程中所产生的会话密钥，主要用于进行认证，则该环节用于实现工程师站和控制链路双向认证的工作模式参见表1[7] 。

四、结语

从上述两个方面中可以看到，对于控制回路的安全传输控制，重点在于加强对于传输过程的控制，机密性和完整性是关注的重点。与之相对，后者，也就是工程师站与控制回路之间，更多关注的问题是身份的验证，确保彼此身份正常，不存在网络环境中中间存在第三者仿冒和伪造。两种情况之下对于安全关注的侧重有所不同，主要是因为对应的通信环节其职能有所不同。其中前者比较是负责从控制器到工业最前端设备之间的通信回路，这个环节的通信相对而言比较频繁，并且多样化，呈现出强实时性的特征，一旦发生异常，就可能会关系到工业体系的安全，因此一方面在安全网络框架规划的时候也必须考虑安全验证的快捷特征，另一个方面，这个环节的数据传输会呈现出一种零散的网状特征，即工业基层环境中的设备众多，对应的执行器也呈现出多样化的特征，这两个群体呈现出庞大的数量特征，因此控制器在具体工作中是需要与多个执行器和工业设备进行联系，获取其对应的状态数据并且发送对应的控制指令的。在这样的环境中，快速验证身份十分重要，甚至会在一定程度上在效率的考虑之下对身份验证进行简化。之所以可以这么做，主要是考虑到在这个环节之中，不同设备会产生具有对应特征的数据，因此加强对于获取到数据质量和特征的考察，同样可以保证通信的安全。尤其是在终端数量巨大的环境中，有效的身份验证就具有更低的可行性。而对于后者而言，工程师站与控制回路之间会形成相对而言比较稳定的通信，并且总体来说，无论是工程师站还是控制回路，其数量都比较有限，因此加强彼此身份的验证，从这个角度来保证数据传输的安全，必然能够具有更高的安全效率。上文中选择的验证方式，等于在工程师站与控制回路之间建立起了一个数据传输通道，数据通过该通道进行传输，就可以实现安全。但是一旦中断，重新建立连接的时候，就需要重新在展开对于彼此身份的验证。然而在日常工作中，因为通信双方的整体数量比较有限，因此这种方法反而能够获取较高的安全效率。

参考文献

[1]张宏斌,王晓磊,赵云龙.工控网络安全检测与防护体系研究[J].信息技术与网络安全,2019,38(06):1-51.

[2]高洋,彭勇,谢丰.美国工控安全保障管理的启示[J].中国信息安全,2012(03):44-47.

[3]孙易安,井柯,汪义舟.工业控制系统安全网络防护研究[J].信息安全研究,2017,3(02):171-176.

[4]李璇.工业控制系统主动入侵反应的若干关键技术研究[D].华中科技大学,2018.

作者:孙东旭 单位:中国石油数字和信息化管理部