控制系統已不單純用于工業(yè)生產(chǎn)的控制，更是一個(gè)具有綜合控制、管理、信息化功能的完整復雜的大系統。
 

羅安 研究員級高級工程師，享受?chē)艺蛸N專(zhuān)家

    曾任北京和利時(shí)系統工程股份有限公司總工程師。長(cháng)期從事自動(dòng)化控制系統的研究開(kāi)發(fā)、工程應用工作，七十年代開(kāi)始研制實(shí)施用于生產(chǎn)過(guò)程的計算機控制系統，建成了我國第一批掌握自主知識產(chǎn)權的實(shí)用化控制系統。多次出國考察學(xué)習，將國外大量的新技術(shù)應用于新系統開(kāi)發(fā)。作為主人員開(kāi)發(fā)的大慶煉油廠(chǎng)油品貯運自動(dòng)化系統、北京供電局電網(wǎng)調度自動(dòng)化系統等曾獲國家科技進(jìn)步二等獎、電子工業(yè)部科進(jìn)步一等獎。從“九五”期間開(kāi)始，致力于國家重大技術(shù)裝備控制系統的國產(chǎn)化、自主化，先后主持研究西氣東輸站場(chǎng)自動(dòng)化控制系統、核電站計算機監測系統的開(kāi)發(fā)與應用、三峽電站和梯級綜合自動(dòng)化系統實(shí)施方案研究、新一代開(kāi)放式數控系統開(kāi)發(fā)、城市軌道交通綜合自動(dòng)化等大型項目。擔任“九五”科技攻關(guān)秦山二期監測系統開(kāi)發(fā)的技術(shù)負責人，開(kāi)發(fā)研究并形成了自主化的產(chǎn)品。該項目是國家“九五”期間優(yōu)秀科技攻關(guān)項目，于2004年獲電子信息產(chǎn)業(yè)科技進(jìn)步一等獎，本人得到國家有關(guān)部委“九五”期間優(yōu)秀科技人員表彰。著(zhù)有《分布式控制系統（DCS）設計與應用實(shí)例》（第二作者2004年電子工業(yè)出版社）及《化工過(guò)程控制系統》（第二作者 2006年化學(xué)工業(yè)出版社）。

    在工業(yè)控制系統中，我們面臨兩類(lèi)安全問(wèn)題，一類(lèi)是控制系統的功能安全，另一類(lèi)則是控制系統的信息安全。

    在控制系統發(fā)展的初期，人們比較關(guān)注系統功能的實(shí)現。隨著(zhù)系統規模的擴大和功能復雜程度的增加，系統的可靠性和可用性顯得越來(lái)越重要，也越來(lái)越受到人們的關(guān)注。而到了現代，控制系統已不單純用于工業(yè)生產(chǎn)的控制，更是一個(gè)具有綜合控制、管理、信息化功能的完整復雜的大系統。因此，對現代控制系統來(lái)說(shuō)，僅要求系統的功能性、可靠性和可用性是遠遠不夠的，還需要特別關(guān)注系統的安全性。

    控制系統的可靠性、可用性與安全性有著(zhù)密切的關(guān)系，但它們卻是完全不同的概念?？煽啃院涂捎眯砸笙到y能夠長(cháng)時(shí)間、不間斷地運行，任何時(shí)間都不喪失系統的控制功能；而安全性則要求系統在出現異常情況（主要指系統運行環(huán)境或運行工況的異常，如生產(chǎn)設備出現故障或出現人為誤操作）時(shí)，系統能夠正確應對，確保不出現危險或事故。上面所講的系統安全性被稱(chēng)為系統的功能安全（Safety或FunctionalSafety）。而對系統更進(jìn)一步的安全要求則是要求系統在遭受惡意破壞時(shí)具有有效的防護能力。如防止通過(guò)信息手段入侵系統，以造成系統無(wú)法正常運行或核心機密信息被竊取，進(jìn)而造成嚴重事故的惡意行為。這類(lèi)安全要求被稱(chēng)為系統的信息安全（Security）。

    很顯然，控制系統的可靠性和可用性注重于系統自身；而系統的功能安全則注重包括被控設備、系統運行環(huán)境及操作人員在內的完整系統的完善性、有效性和健壯性；至于信息安全，則更注重防范來(lái)自外部的對于系統的安全威脅。

    衡量控制系統可靠性和可用性的指標是MTBF、MTTF和MTTR，以及失效率λ和可用率A。

    衡量控制系統功能安全的指標有兩個(gè)，一個(gè)用于低要求模式，其指標為：在需要時(shí)（即在出現異常需要系統正確應對時(shí)）的系統失效概率；另一個(gè)用于高要求模式，用系統失效的頻率表示，其單位是h-1，即每小時(shí)出現失效的次數。由于系統失效的頻率極低，通常在10-4/h到10-9/h，因此人們也常常用平均多少小時(shí)出現一次失效來(lái)表示系統的失效頻率。在國際標準中用“安全完整性等級”（SIL-Safety Integration Level）來(lái)衡量系統的功能安全，SIL可分為四個(gè)級別，即SIL1到SIL4，其中SIL 1最低，SIL 4最高。

    系統的信息安全是近年來(lái)才引起人們重視的新問(wèn)題。在IT，即信息技術(shù)領(lǐng)域，信息安全是信息系統最重要的指標之一，因此也有很多成熟的技術(shù)及衡量標準，如防病毒、防攻擊、身份識別與認證、訪(fǎng)問(wèn)權限控制等。而在工業(yè)控制領(lǐng)域，近年來(lái)隨著(zhù)信息技術(shù)的廣泛應用和控制系統日益網(wǎng)絡(luò )化，信息安全的問(wèn)題才日益凸顯。由于工業(yè)控制系統的系統目標、運行模式，特別是實(shí)時(shí)性要求與信息系統有很大區別，因此其解決方案和衡量指標也完全不同。針對工業(yè)控制系統的信息安全，國際上正在開(kāi)展廣泛的研究，相應的標準也在逐步制定?？傊?，工業(yè)控制系統的信息安全問(wèn)題是當前最活躍、發(fā)展最快的一個(gè)研究開(kāi)發(fā)領(lǐng)域。

    大多數控制系統的網(wǎng)絡(luò )協(xié)議是專(zhuān)用的，即他們大多是封閉系統。從信息安全的角度看，封閉系統具有天然的安全性，因為這類(lèi)系統不能接受來(lái)自外部的、本系統無(wú)法識別的任何信息，這樣就大大降低了從外部對系統進(jìn)行攻擊的危險性。近年來(lái)越來(lái)越多的控制系統為克服“信息孤島”的問(wèn)題而在控制系統的開(kāi)放性方面做了大量改進(jìn)，如增加開(kāi)放的網(wǎng)絡(luò )接口等，但對于系統內部，基本上還是不開(kāi)放的。雖然開(kāi)放性加強了系統的功能，使控制系統能夠完成更多的工作并更加方便使用，但同時(shí)也帶來(lái)了日益嚴重的信息安全問(wèn)題。

    目前IT領(lǐng)域開(kāi)放的基礎是IP網(wǎng)絡(luò )協(xié)議（InternetProtocol），IP實(shí)際上是介于網(wǎng)絡(luò )傳輸（包括物理介質(zhì)）和互聯(lián)應用之間的一個(gè)通用協(xié)議，互聯(lián)應用依據IP將通信需求轉化為可以在物理介質(zhì)上傳輸的數據報文，而IP報文則可以通過(guò)多種不同物理介質(zhì)實(shí)現傳輸，這樣就實(shí)現了不同應用間的互聯(lián)互通。由于IP是得到廣泛認可的一個(gè)中間層協(xié)議，因此幾乎所有的高層協(xié)議和底層協(xié)議都支持IP，各種應用均可以通過(guò)IP互相連接并實(shí)現通信，而IP則可通過(guò)各種不同通信介質(zhì)實(shí)現信息的物理網(wǎng)絡(luò )傳輸。毫無(wú)疑問(wèn)，基于IP所實(shí)現的開(kāi)放性大大擴展了控制系統的功能和覆蓋范圍，但任何事物都具有兩面性，IP的開(kāi)放性也為通過(guò)信息技術(shù)對控制系統進(jìn)行攻擊提供了有利條件?，F在的問(wèn)題是，我們如何揚長(cháng)避短，既能充分利用開(kāi)放系統為我們帶來(lái)的好處，同時(shí)又能防范可能出現的外部攻擊和安全威脅，這就是信息安全要解決的問(wèn)題。

    由于控制系統內部一般是一個(gè)封閉系統，而只要我們能夠保證執行控制功能的系統核心不受到侵犯，我們就可以保證控制系統的基本安全。為此我們需要清晰地在系統的關(guān)鍵核心控制功能部分與外部功能擴展部分之間劃出一道邊界（boundary或border），采取各種手段來(lái)保證邊界內的系統不受攻擊，以此來(lái)保證控制系統的信息安全。很顯然，一個(gè)封閉的控制系統核心有著(zhù)清晰的邊界，而采用了開(kāi)放技術(shù)的控制系統核心則很難清晰地劃定邊界，并且采用的開(kāi)放技術(shù)越多，邊界就越難以劃定。目前不少系統為實(shí)現復雜的協(xié)調控制和數據共享功能，普遍采用了諸如OPC（Object linkingand embedding for Process Control）或DCOM（Distributed Component Object Model）這樣的技術(shù)，這就為劃定控制系統核心的邊界造成了不小的麻煩。近年來(lái)發(fā)展迅速的現場(chǎng)總線(xiàn)技術(shù)也是一種開(kāi)放技術(shù)，特別是有些現場(chǎng)總線(xiàn)支持IP，這更增加了邊界劃分的難度。為了使控制系統核心具有清晰并防范嚴密的邊界，我們必須仔細地將系統核心的全部對外端口進(jìn)行標識，包括各個(gè)通信端口、人機界面端口直至組態(tài)端口，并逐個(gè)確定每個(gè)端口的防范策略，必要時(shí)還要制定縱深防御策略，以確保能夠有效阻擋外部攻擊。

    雖然一個(gè)封閉的控制系統核心比較容易劃定邊界，但這也并不表明這樣的系統是放在保險箱里的，因為有些端口容易被人忽略，成為系統防線(xiàn)的薄弱環(huán)節。例如組態(tài)端口，如果通過(guò)組態(tài)端口向系統下裝了含有惡意攻擊的組態(tài)數據，就足以對控制系統造成嚴重危害。另外如人機界面終端，其移動(dòng)存儲接口（如USB）就很容易成為引入攻擊的薄弱環(huán)節。有時(shí)外部攻擊并不表現為對系統數據的竊取或惡意篡改，而是簡(jiǎn)單造成網(wǎng)絡(luò )風(fēng)暴或廣播風(fēng)暴，使系統網(wǎng)絡(luò )陷于癱瘓，也同樣會(huì )對系統造成嚴重危害。另外，在很多SCADA系統中，遠程的數據和控制命令是通過(guò)廣域網(wǎng)進(jìn)行傳輸的，有些甚至是通過(guò)公共網(wǎng)絡(luò )進(jìn)行傳輸，這也是容易遭受攻擊的薄弱環(huán)節。

    與系統的功能安全不同，僅采用技術(shù)手段還不足以保證系統的信息安全，有時(shí)技術(shù)手段甚至不是保證信息安全的主要措施。對于一個(gè)重要、關(guān)鍵性、復雜、大型的控制系統，必須要有一套嚴格有效的安全管理規范，并切實(shí)執行。目前最基本的安全管理包括授權管理和身份認證，用于保證經(jīng)過(guò)授權的人員在其授權范圍內對系統進(jìn)行操作，而拒絕非授權人員的操作及授權范圍以外的操作。這一點(diǎn)雖然簡(jiǎn)單，但嚴格執行卻并不容易。例如經(jīng)過(guò)授權的操作人員通過(guò)Password登錄系統后，就可以進(jìn)行系統操作，而這時(shí)如果其他人趁操作人員暫時(shí)離開(kāi)操作終端的機會(huì )實(shí)施惡意的破壞性操作，就會(huì )造成對系統的破壞。對于諸如此類(lèi)的管理性漏洞，必須要認真、仔細、周到地進(jìn)行考慮并進(jìn)行實(shí)際場(chǎng)景的模擬分析，以發(fā)現漏洞并制定應對措施。在系統的日常運行中，還需要定期檢查執行情況，并對管理規程進(jìn)行審核，以評估其有效性，發(fā)現問(wèn)題及時(shí)修訂，保持管理規程的適用有效。

    總之，控制系統的信息安全并不是一個(gè)單純針對確定性風(fēng)險的問(wèn)題，而是一個(gè)面向不確定風(fēng)險的難題。正因為其面對風(fēng)險的不確定性，因此我們無(wú)法制定一套固定的技術(shù)措施和管理規程，并宣稱(chēng)其能夠保證何種程度的信息安全。對此，信息安全的解決方案必定是一個(gè)持續不斷的過(guò)程，對于不斷變化的風(fēng)險，不斷完善和強化防范策略，這樣才能確保系統的信息安全。

    另外，控制系統的信息安全不存在百分之百保證安全的可能，我們只能將控制系統保持在一個(gè)可接受的安全水平上，這個(gè)安全水平要根據被控對象的性質(zhì)、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊