羅安

研究員級高級工程師中國自動(dòng)化學(xué)會(huì )專(zhuān)家咨詢(xún)工作委員會(huì )副主任委員享受?chē)艺蛸N專(zhuān)家

（1946-），河北邢臺人。曾任北京和利時(shí)系統工程有限公司總工程師。長(cháng)期從事自動(dòng)化控制系統的研究開(kāi)發(fā)和工程應用，上世紀七十年代起參與或主持建成了我國第一批自主的實(shí)用化控制系統。多次出國考察學(xué)習，將國外大量的新技術(shù)應用于自主研發(fā)。作為主要人員開(kāi)發(fā)的大慶煉油廠(chǎng)油品貯運自動(dòng)化系統、北京供電局電網(wǎng)調度自動(dòng)化系統等曾獲國家科技進(jìn)步二等獎、電子工業(yè)部科技進(jìn)步一等獎。從“九五”期間開(kāi)始，致力于國家重大技術(shù)裝備控制系統的國產(chǎn)化、自主化，在核電、城市軌道交通、能源、先進(jìn)制造等領(lǐng)域的自動(dòng)化控制方面取得多項成果，秦山核電項目于2004年獲電子信息產(chǎn)業(yè)科技進(jìn)步一等獎，本人得到國家有關(guān)部委“九五”期間優(yōu)秀科技人員表彰。著(zhù)有《分布式控制系統（DCS）設計與應用實(shí)例》（第二作者 2004年電子工業(yè)出版社）及《化工過(guò)程控制系統》（第二作者 2006年化學(xué)工業(yè)出版社）等專(zhuān)著(zhù)。

1　簡(jiǎn)要的歷史回顧

自動(dòng)化是與工業(yè)化伴生而且是并行發(fā)展的一門(mén)新興的科學(xué)技術(shù)，在以機器大生產(chǎn)為標志的工業(yè)化開(kāi)始的同時(shí)，以機器控制為主要功能的自動(dòng)化設備就同時(shí)產(chǎn)生了。早期的自動(dòng)化設備是依附于生產(chǎn)機器的，并沒(méi)有形成獨立的技術(shù)體系及獨立的產(chǎn)業(yè)。在相當長(cháng)的一段工業(yè)化發(fā)展歷史中，各個(gè)工業(yè)領(lǐng)域的自動(dòng)化都是作為附屬于該領(lǐng)域主生產(chǎn)設備與技術(shù)的輔助性設備和技術(shù)發(fā)展的，這就造成了自動(dòng)化體系的多樣性，如石油、化工、電力、機械制造、交通運輸、食品藥品等不同行業(yè)，都具有各自不同特點(diǎn)的自動(dòng)化設備及系統。

自動(dòng)化技術(shù)包含了兩個(gè)方面的內容，一個(gè)方面是控制原理或方法，如在加熱爐中我們可以通過(guò)控制燃料流量的方法來(lái)控制溫度，為保持溫度的平穩，可以采取反饋控制的算法。另一方面是實(shí)現控制方法的具體設備，如控制儀表、DCS、PLC等，這些設備從現場(chǎng)采集實(shí)時(shí)數據，通過(guò)計算得到控制量，并輸出到執行機構實(shí)現對目標生產(chǎn)設備的控制。在工業(yè)界，人們在討論自動(dòng)化系統、工業(yè)控制系統等問(wèn)題時(shí)，一般都是指實(shí)現控制方法的設備及系統。隨著(zhù)對控制理論的深入研究以及控制系統的不斷發(fā)展進(jìn)步，自動(dòng)化行業(yè)也逐步形成了自己相對獨立的學(xué)科和技術(shù)體系。各個(gè)工業(yè)領(lǐng)域在控制方面的共性問(wèn)題逐步被歸納在一起，在控制原理和方法以及實(shí)現控制方法的設備和系統方面，都形成了一些工業(yè)生產(chǎn)行業(yè)特征不十分明顯的，具有一定通用性的理論和系統。這種趨勢在近年來(lái)工控系統逐步走向數字化和信息化以后就更加明顯了。

表1 傳統工控系統與現代工控系統的主要特點(diǎn)對比

與傳統工業(yè)控制系統相比，現代的工控系統全面采用了數字技術(shù)，其最基本的特征是，所有被控設備的設備參數、運行參數、實(shí)時(shí)狀態(tài)以及控制指令都是以便于計算機處理的二進(jìn)制數碼的形態(tài)進(jìn)行處理及傳輸的。數字技術(shù)在工控系統中的廣泛采用，使其產(chǎn)生了革命性的變化。表1是對傳統工控系統與現代工控系統主要特點(diǎn)的比較。

從表1可以看出，基于數字技術(shù)的現代工控系統與傳統技術(shù)的系統相比，具有極大的優(yōu)越性。由于控制功能的實(shí)現是基于軟件的，因此具有精確性、穩定性、靈活性，能夠實(shí)現復雜的算法，包括更多的智能處理。另外，由于數字信號可以通過(guò)網(wǎng)絡(luò )進(jìn)行傳輸和共享，因此消除了控制孤島，實(shí)現了多個(gè)控制點(diǎn)的協(xié)調控制，更為生產(chǎn)管理和企業(yè)經(jīng)營(yíng)實(shí)現信息化提供了堅實(shí)的基礎?？梢哉f(shuō)，軟件和網(wǎng)絡(luò )這兩大信息技術(shù)完全改變了工業(yè)控制系統，使其功能更加強大，更加通用和開(kāi)放，更加靈活和智能化。

2　新技術(shù)帶來(lái)的風(fēng)險

但是，事物都有兩面性，軟件技術(shù)和網(wǎng)絡(luò )技術(shù)給工控系統帶來(lái)巨大進(jìn)步的同時(shí)，也產(chǎn)生了巨大的風(fēng)險，這個(gè)風(fēng)險集中表現在功能安全和信息安全兩個(gè)方面。在表1中我們可以看出，傳統工控系統的控制模式是并行的，其優(yōu)越性不止表現在快速性方面，在系統的功能安全方面也具有先天的優(yōu)越性。在整個(gè)控制系統中，任何局部故障或失效基本上只影響局部，我們很容易將其快速隔離并處理。而在數字化的工控系統中，由于功能通過(guò)軟件實(shí)現，其操作模式是串行的，除了控制的快速性不好以外，系統中任何局部的故障或失效都有可能影響后續功能的實(shí)現，也就是說(shuō)，在一個(gè)串行執行的系統中，各個(gè)環(huán)節的關(guān)聯(lián)度相當高，局部的問(wèn)題也更容易擴散。另外，由于網(wǎng)絡(luò )技術(shù)消除了控制孤島，各類(lèi)信息能夠更加方便地傳輸和共享，這樣也帶來(lái)了信息安全的隱患?？梢哉f(shuō)，功能安全方面的負面影響更多的是來(lái)自軟件技術(shù)，即來(lái)自越來(lái)越多的功能依靠軟件實(shí)現的現實(shí)情況；而信息安全方面的負面影響則更多地來(lái)自網(wǎng)絡(luò )技術(shù)。

既然新技術(shù)的發(fā)展勢在必行，那么對于安全性的保證就必須在新技術(shù)日益廣泛應用的現實(shí)基礎上予以考慮。也就是說(shuō)，我們要關(guān)注工業(yè)控制系統的信息安全問(wèn)題，就必須從軟件技術(shù)和網(wǎng)絡(luò )技術(shù)出發(fā)進(jìn)行考慮，因為我們不可能回到模擬技術(shù)時(shí)代，盡管模擬技術(shù)在信息安全方面具有先天優(yōu)勢。

首先看網(wǎng)絡(luò )技術(shù)。目前我們依靠各個(gè)層級的網(wǎng)絡(luò )，在工業(yè)控制系統中基本消除了控制孤島和信息孤島，這對于系統的功能提升無(wú)疑是革命性的進(jìn)步，但同時(shí)這也給惡意入侵控制系統提供了途徑。隨著(zhù)系統越來(lái)越開(kāi)放、規模越來(lái)越大、功能越來(lái)越復雜，這種對系統的入侵也變得越來(lái)越容易、越來(lái)越隱蔽、越來(lái)越難于發(fā)現和防范。應該說(shuō)，系統中網(wǎng)絡(luò )的開(kāi)放性和復雜性是防范惡意入侵的最大障礙。因為在開(kāi)放的網(wǎng)絡(luò )環(huán)境中，各種病毒、木馬，可以被黑客利用的資源十分豐富，入侵手段也五花八門(mén)，防不勝防。

其次，由于所有運算與控制功能均由軟件實(shí)現，雖然這可以實(shí)現復雜的功能，系統可以靈活配置（通過(guò)組態(tài)工具），還可以實(shí)現高度的智能處理，但這也給惡意的攻擊提供了可能性。黑客可以通過(guò)組態(tài)數據的導入或直接注入可執行代碼，即可實(shí)現改變控制行為的目的，給正常安全生產(chǎn)造成了極大的威脅。

隨著(zhù)工控系統分散程度的不斷提高，系統對網(wǎng)絡(luò )的需求會(huì )越來(lái)越大，特別是方便靈活的無(wú)線(xiàn)網(wǎng)絡(luò )。近年來(lái)，現場(chǎng)總線(xiàn)技術(shù)發(fā)展迅速，其最主要目標是用數字傳輸技術(shù)徹底取代模擬信號傳輸技術(shù)。應該說(shuō)，從傳感器到控制處理單元，或從控制處理單元到現場(chǎng)執行器之間的信號傳輸是整個(gè)工控系統中未實(shí)現數字化的最后一個(gè)部分。如果這一部分實(shí)現了數字化，將使系統從現場(chǎng)得到更加豐富的信息，系統控制的精細化程度、廣泛性、深入程度等也都將得到極大的提升。更重要的是，隨著(zhù)數字化技術(shù)延伸到現場(chǎng)端，工控系統的形態(tài)也將發(fā)生巨大的變化?？梢韵胂?，將來(lái)的工業(yè)控制系統將成為一個(gè)建立在有著(zhù)巨大數量的嵌入式智能現場(chǎng)設備（智能檢測設備和智能控制器）基礎上的龐大的網(wǎng)絡(luò )系統。從表面看，系統又回到了傳統儀表控制系統的完全分散和與被控生產(chǎn)裝置緊密結合的多島形態(tài)，所不同的是，各個(gè)測量控制點(diǎn)都具備很強的網(wǎng)絡(luò )通信能力，都是控制系統整體網(wǎng)絡(luò )上的一個(gè)個(gè)智能節點(diǎn)，它們既可以實(shí)現局部控制，也可以實(shí)現整體的協(xié)調動(dòng)作，使整個(gè)系統形成一個(gè)有機的整體。

這樣的系統會(huì )在很大程度上依賴(lài)網(wǎng)絡(luò )，因此系統在安全性、可靠性、實(shí)時(shí)性等關(guān)鍵性能上將完全取決于網(wǎng)絡(luò )。特別是將來(lái)系統所采用的網(wǎng)絡(luò )產(chǎn)品及網(wǎng)絡(luò )協(xié)議基本上走開(kāi)放路線(xiàn)，公共網(wǎng)絡(luò )也不可避免地會(huì )被引入到系統之中，那么，針對網(wǎng)絡(luò )的攻擊或網(wǎng)絡(luò )上存在的微小缺陷或漏洞都將是對系統最大的威脅，而開(kāi)放網(wǎng)絡(luò )乃至公共網(wǎng)絡(luò )都是很容易遭受攻擊的。

在這里，我們必須著(zhù)重強調的是，信息安全問(wèn)題可能會(huì )比功能安全的問(wèn)題更難于解決，因為功能安全所面對的是機器和設備，其存在的問(wèn)題和失效風(fēng)險基本上是確定的，只要我們采取了有效的技術(shù)手段，就可以有效降低安全風(fēng)險。而信息安全所要面對的主要是人為因素，是與懷有惡意的攻擊者所進(jìn)行的博弈或攻防。這正如一場(chǎng)戰爭，敵我雙方都在不斷地改變著(zhù)戰術(shù)和策略，因此我們所面對的完全是一種不確定的風(fēng)險。我們需要隨時(shí)檢視系統存在的風(fēng)險和漏洞，并采取相應措施改進(jìn)并完善防護策略，方能抵御攻擊風(fēng)險。

3　對策分析

可以讓人稍感慶幸的是，大多數控制系統的網(wǎng)絡(luò )協(xié)議是專(zhuān)用的，即他們大多是封閉系統。從信息安全的角度看，封閉系統具有天然的安全性，因為這類(lèi)系統不能接受來(lái)自外部的、本系統無(wú)法識別的任何信息，這樣就大大降低了從外部對系統進(jìn)行攻擊的危險性。近年來(lái)，越來(lái)越多的控制系統為克服“信息孤島”的問(wèn)題而在控制系統的開(kāi)放性方面做了大量的改進(jìn)，如增加開(kāi)放的網(wǎng)絡(luò )接口等，但對于系統內部，基本上還是不開(kāi)放的。雖然開(kāi)放性加強了系統的功能，使控制系統能夠完成更多的工作并更加方便使用，但同時(shí)也帶來(lái)了日益嚴重的信息安全問(wèn)題。

目前IT領(lǐng)域開(kāi)放的基礎是IP網(wǎng)絡(luò )協(xié)議（Internet Protocol），IP實(shí)際上是介于網(wǎng)絡(luò )傳輸（包括物理介質(zhì)）和互聯(lián)應用之間的一個(gè)通用協(xié)議，互聯(lián)應用依據IP將通信需求轉化為可以在物理介質(zhì)上傳輸的數據報文，而IP報文則可以通過(guò)多種不同物理介質(zhì)實(shí)現傳輸，這樣就實(shí)現了不同應用間的互聯(lián)互通。由于IP是得到廣泛認可的一個(gè)中間層協(xié)議，因此幾乎所有的高層協(xié)議和底層協(xié)議都支持IP，各種應用均可以通過(guò)IP互相連接并實(shí)現通信，而IP則可通過(guò)各種不同通信介質(zhì)實(shí)現信息的物理網(wǎng)絡(luò )傳輸。毫無(wú)疑問(wèn)，基于IP所實(shí)現的開(kāi)放性大大擴展了控制系統的功能和覆蓋范圍，但任何事物都具有兩面性，IP的開(kāi)放性也為通過(guò)信息技術(shù)對控制系統進(jìn)行攻擊提供了有利條件?，F在的問(wèn)題是，我們如何揚長(cháng)避短，既能充分利用開(kāi)放系統為我們帶來(lái)的好處，同時(shí)又能防范可能出現的外部攻擊和安全威脅，這就是工業(yè)控制系統信息安全要解決的問(wèn)題。

由于控制系統內部一般是一個(gè)封閉系統，而只要我們能夠保證執行控制功能的系統核心不受到侵犯，就可以保證控制系統的基本安全。為此我們需要清晰地在系統的關(guān)鍵核心，控制功能部分與外部功能擴展部分之間劃出一道邊界（boundary或border），采取各種手段來(lái)保證邊界內的系統不受攻擊，以此來(lái)保證控制系統的信息安全。很顯然，一個(gè)封閉的控制系統核心有著(zhù)清晰的邊界，而采用了開(kāi)放技術(shù)的控制系統核心則很難清晰地劃定邊界，并且采用的開(kāi)放技術(shù)越多，邊界就越難以劃定。目前不少系統為實(shí)現復雜的協(xié)調控制和數據共享功能，普遍采用了諸如OPC（Object linking and embedding for Process Control）或DCOM（Distributed Component ObjectModel）這樣的技術(shù)，這就為劃定控制系統核心的邊界造成了不小的麻煩。近年來(lái)發(fā)展迅速的現場(chǎng)總線(xiàn)技術(shù)也是一種開(kāi)放技術(shù)，特別是有些現場(chǎng)總線(xiàn)支持IP，這更增加了邊界劃分的難度。為了使控制系統核心具有清晰并防范嚴密的邊界，我們必須仔細地將系統核心的全部對外端口進(jìn)行標識，包括各個(gè)通信端口、人機界面端口直至組態(tài)端口，并逐個(gè)確定每個(gè)端口的防范策略，必要時(shí)還要制定縱深防御策略，以確保能夠有效阻擋外部攻擊。

雖然一個(gè)封閉的控制系統核心比較容易劃定邊界，但這也并不表明這樣的系統是放在保險箱里的，因為有些端口容易被人忽略，成為系統防線(xiàn)的薄弱環(huán)節。例如組態(tài)端口，如果通過(guò)組態(tài)端口向系統下裝了含有惡意攻擊的組態(tài)數據，就足以對控制系統造成嚴重危害。另外，如人機界面終端，其移動(dòng)存儲接口（如USB）就很容易成為引入攻擊的薄弱環(huán)節。有時(shí)外部攻擊并不表現為對系統數據的竊取或惡意篡改，而是簡(jiǎn)單造成網(wǎng)絡(luò )風(fēng)暴或廣播風(fēng)暴，使系統網(wǎng)絡(luò )陷于癱瘓，也同樣會(huì )對系統造成嚴重危害。另外，在很多SCADA系統中，遠程的數據和控制命令是通過(guò)廣域網(wǎng)進(jìn)行傳輸的，有些甚至通過(guò)公共網(wǎng)絡(luò )進(jìn)行傳輸，這都是容易遭受攻擊的薄弱環(huán)節。

對此，我們不能認為工控系統不應該走開(kāi)放路線(xiàn)，而是應該考慮如何避免開(kāi)放所帶來(lái)的負面影響。我們現在還無(wú)法預見(jiàn)在工控系統走向更加網(wǎng)絡(luò )化的進(jìn)程中會(huì )遇到什么問(wèn)題，但可以肯定的一點(diǎn)是，我們不應該過(guò)分強調開(kāi)放性，而要有分析地考慮在系統的哪些地方采用哪種程度的開(kāi)放技術(shù)。在控制系統中，網(wǎng)絡(luò )必須分層次，靠近現場(chǎng)控制的底層網(wǎng)絡(luò )必須具有最高的安全性、可靠性和實(shí)時(shí)性。由于底層網(wǎng)絡(luò )的功能相對簡(jiǎn)單，因此對底層網(wǎng)絡(luò )的要求不是更多更復雜的功能，對于其開(kāi)放性的考慮也不應該把重點(diǎn)放在功能性、便利性和廣泛的互聯(lián)性方面。對于控制系統的底層網(wǎng)絡(luò )，我們最為關(guān)注的是現場(chǎng)實(shí)時(shí)數據和重要的資產(chǎn)管理數據的快速、及時(shí)、準確的傳遞，現場(chǎng)網(wǎng)絡(luò )的通信協(xié)議和通信機制應該盡量簡(jiǎn)單、明確、易于檢查診斷，出現異常時(shí)能夠及時(shí)發(fā)現并快速處理，以最短的時(shí)間恢復正常。顯然，目前市場(chǎng)上有一些現場(chǎng)網(wǎng)絡(luò )產(chǎn)品并不符合上述原則，由于其過(guò)于龐大，技術(shù)實(shí)現過(guò)于復雜，對于保障控制系統最基礎的底層功能能夠安全可靠運行就不太有利。目前的當務(wù)之急并不是對現場(chǎng)層的網(wǎng)絡(luò )作加法，不斷讓其承擔更多的功能，而是要作減法，保留必要的功能并予以強化，使控制系統的最底層成為一個(gè)少而精、運行高效、可靠、堅固的核心，這樣才能夠在此基礎上建立一個(gè)功能強大的、完善的、規模龐大的完整系統。對此，一個(gè)很能說(shuō)明問(wèn)題的實(shí)例是，在有關(guān)功能安全的國際標準中，對于執行關(guān)鍵安全功能的控制器中甚至不主張使用操作系統，其考慮問(wèn)題的出發(fā)點(diǎn)就在于此。

對于底層控制器的組態(tài)功能，應予以限制，除執行控制功能的必要參數外，盡量減少可組態(tài)部分。這樣比較便于進(jìn)行檢查，以發(fā)現因不當組態(tài)所造成的威脅。對于可執行代碼，應該嚴格禁止對底層控制器實(shí)施下裝，這類(lèi)操作是對系統安全的最大威脅。

另外，與系統的功能安全不同的是，僅采用技術(shù)手段還不足以保證系統的信息安全，有時(shí)技術(shù)手段甚至不是保證信息安全的主要措施。對于一個(gè)重要的、關(guān)鍵性的、復雜而大型的控制系統，必須要有一套嚴格有效的安全管理規范，并切實(shí)執行。目前最基本的安全管理包括授權管理和身份認證，用于保證經(jīng)過(guò)授權的人員在其授權范圍內對系統進(jìn)行操作，而拒絕非授權人員的操作及授權范圍以外的操作。這一點(diǎn)雖然簡(jiǎn)單，但嚴格執行卻并不容易。例如經(jīng)過(guò)授權的操作人員通過(guò)Password登錄系統后，就可以進(jìn)行系統操作，而這時(shí)如果其他人趁操作人員暫時(shí)離開(kāi)操作終端的機會(huì )實(shí)施惡意的破壞性操作，就會(huì )造成對系統的破壞。對于諸如此類(lèi)的管理性漏洞，必須要認真、仔細、周到地進(jìn)行考慮并進(jìn)行實(shí)際場(chǎng)景的模擬分析，以發(fā)現漏洞并制定應對措施。在系統的日常運行中，還需要定期檢查執行情況，并對管理規程進(jìn)行審核，以評估其有效性，發(fā)現問(wèn)題及時(shí)修訂，保持管理規程的適用有效。

4　結語(yǔ)

第一，要明確劃分工業(yè)控制系統的層次及各個(gè)層次的邊界，對于系統底層，重點(diǎn)考慮其穩定性、實(shí)時(shí)性、可診斷性和對各類(lèi)異常情況的抵御能力。更多功能性、易用性、擴展性等方面的考慮應該放到系統的高層去實(shí)現，而且系統的底層和高層之間應該具有有效的隔離措施。

第二，控制系統的信息安全并不是一個(gè)單純針對確定性風(fēng)險的問(wèn)題，而是一個(gè)面向不確定風(fēng)險的難題。正因為其面對風(fēng)險的不確定性，因此我們無(wú)法制定一套固定的技術(shù)措施和管理規程，并宣稱(chēng)其能夠保證何種程度的信息安全。對此，工業(yè)控制系統信息安全的解決方案必定是一個(gè)持續不斷的過(guò)程，對于不斷變化的風(fēng)險，不斷完善和強化防范策略，這樣才能確保系統的信息安全。另外，控制系統的信息安全不存在百分之百保證安全的可能，我們只能將控制系統保持在一個(gè)可接受的安全水平上，這個(gè)安全水平要根據被控對象的性質(zhì)、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》