工业控制系统安全脆弱性分析与建模的理论与应用研究

Stuxnet which occurred in 2010 succeeded in destroying Iran's nuclear facilities. It marked the control systems of physical strategic infrastructure face a real security threat.Unlike traditional IT systems, industrial control systems is necessary to control devices such as power plants, oil refineries produced according to process requirements, but also to control the production device stable, safe and reliable operation.The project will imitate the ways of the Internet information security, according to the functional modules, feedback methods, control flow and intrinsic characteristics combined with the production process of the control system, from the SCADA software, embedded control software and fieldbus to research the generating mechanism of vulnerabilities of the control system, then build the model of the vulnerability; combining the object crafts ,dangerous trend, as well as the damage for assets and social because of vulnerability exploited, establish an theoretical evaluation system of the vulnerability of the control system, providing basic theory and technical guidance for researching defense policy strategies.

2010年发生的“震网（Stuxnet）“成功摧毁伊朗核设施，标志着物理世界的战略基础设施控制系统面临现实的安全威胁。与传统IT系统不同，工业控制系统既要控制电厂、炼油等装置按工艺要求进行生产，更要控制生产装置的稳定、安全、可靠运行。本项目将借鉴互联网信息安全的研究成果，从控制系统的功能模块、反馈控制、控制流程以及与生产工艺相结合的内在特征，从SCADA软件、嵌入式控制软件、现场总线三方面，对控制系统的脆弱性产生的机理进行分析，建立脆弱性模型；结合控制对象工艺、危险态势以及脆弱性被利用带来的资产与社会危害，建立控制系统脆弱性的度量评价理论体系，为工业控制系统的安全防御策略研究提供基础理论和技术指导。

针对工业控制系统网络化所带来的网络攻击及安全威胁等问题，从系统脆弱性以及协议脆弱性的角度深入开展研究与分析，并针对多种攻击的研究，提出了工控网络安全的度量评价理论体系，实现了各项预期目标，取得了显著的经济效益和社会效益。.主要研究成果包括：1)对工业控制系统的脆弱性进行建模与分析，提出了基于攻击图的工业控制系统脆弱性分析方法、以及基于广义收益的信息物理系统脆弱性评估方法等，形成的集散控制系统（DCS）安全类国家标准系列达到国际领先水平；2）针对工业控制系统遭受网络攻击的安全状况，危险态势以及脆弱性被利用带来的资产与社会危害进行研究，提出了基于博弈论的时钟同步延迟攻击分析方法、工业控制网络安全态势感知算法等；3）针对信息完整性、可用性、保密性，提出了数据传输及认证方法，主要包括可靠性文件传输策略的设计与实现、身份认证方法及系统等；4）建立了工业控制网络安全度量评价理论体系，提出了基于多目标决策的工控系统设备安全评估方法研究，基于攻击增益的工业控制系统物理层安全风险评估，为工业控制系统的安全防御策略研究提供基础理论和技术指导。.以本项目形成的成果为基础，承担了总装863课题4项，2015年原总装重大预研1项，原总参重大研制项目1项，原二炮预研项目3项，2015年公安部某重大工程网络验收任务1项；十三五战略支援部队重大预研项目4项、重大研制项目3项已获批准。项目组团队已成为我国网络空间工控系统安全、国防建设不可替代的力量。.同时在项目成果的基础上于2013年承担建设了工业控制系统安全技术国家工程实验室，网控空间信息安全教育部重点实验室；起草标准6项，其中集散控制系统（DCS）安全类国家标准系列（共4项）于2016年10月13日发布，《信息安全技术 网络安全等级保护 第5部分： 工业控制系统安全扩展要求》公安部公共安全行业标准于2017年1发布，并获国标立项（GB/T 22239.5-XXXX）；共形成高水平论文（SCI/EI）19篇，发明专利 11项，学术专著1本，总体超出项目要求。