1　引言

在《中國制造2025》、“工業(yè)4.0”背景下，面向用戶(hù)需求的服務(wù)模式創(chuàng )新對生產(chǎn)方式的變革要求，“按需定制”對產(chǎn)業(yè)鏈、供應鏈乃至行業(yè)生態(tài)的要求越來(lái)越高，各類(lèi)工業(yè)系統融合（互聯(lián)網(wǎng)化）趨勢愈加明確，打造跨行業(yè)跨區域的全產(chǎn)業(yè)生態(tài)形成共識，工業(yè)互聯(lián)網(wǎng)內涵和外延逐步完善。相對封閉的工業(yè)控制系統已經(jīng)普遍采用通用協(xié)議、硬軟件系統，并且與企業(yè)內網(wǎng)，甚至是與互聯(lián)網(wǎng)發(fā)生了應用對接。工業(yè)控制系統越來(lái)越開(kāi)放，使傳統信息安全威脅逐漸向工控系統擴散，同時(shí)，工業(yè)互聯(lián)網(wǎng)對自動(dòng)化和信息化的發(fā)展和融合提出更高、更新的要求，也產(chǎn)生了新的非傳統信息安全問(wèn)題，工控系統安全面臨前所未有的嚴峻形勢。

2　工控系統安全現狀及問(wèn)題分析

針對工控系統的安全防護，近年來(lái)出現很多產(chǎn)品和解決方案，在信息安全方面起到了一些作用，綜合而言，仍存在較大的問(wèn)題，具體表現在以下方面：

（1）工控安全解決方案基本集中在防護，而且是傳統信息安全技術(shù)的裁剪，并非量身定做；作用的對象主要是網(wǎng)絡(luò )和主機，所謂的異常審計依據不完整數據集和流量，而非基于行業(yè)生產(chǎn)規則的行為分析。

（2）少數基于工控裝置的功能加強，也是從可用性增強，以達到高可靠性目的，采用的手段是冗余、容錯和表決機制，成本翻番，對價(jià)格敏感的工業(yè)化生產(chǎn)顯然不適用。

（3）所謂縱深防御深度融合體系，貌似將信息安全防護措施集大成，問(wèn)題一是犧牲“實(shí)時(shí)性”，以時(shí)間換取空間；二是成本過(guò)高；三是防護過(guò)重過(guò)度。

（4）缺少針對業(yè)務(wù)應用場(chǎng)景的安全測試、檢測、測評、評估標準體系，且企業(yè)專(zhuān)業(yè)知識、業(yè)務(wù)能力、技術(shù)水平有限，造成防護措施的行業(yè)適配性差，難以開(kāi)展針對工業(yè)生產(chǎn)全景的安全態(tài)勢感知、分析、預警服務(wù)。究其原因，目前的工控安全是把工控系統割裂開(kāi)，而工控系統實(shí)際上是一個(gè)內部強耦合、關(guān)聯(lián)作用緊密的整體。信息安全廠(chǎng)商和控制廠(chǎng)商從各自的技術(shù)和理解出發(fā)，過(guò)分強調某個(gè)方面的安全，未能將功能安全、信息安全、過(guò)程安全，以及運行管控安全等有機融合，造成現在的工控安全解決方案仍拘泥于“防護”，遵循傳統的信息安全分區隔離、邊界防護理念，未深入探究工控系統安全內在的本質(zhì)的成因以及相互作用關(guān)系。

工控安全與傳統信息安全最大的不同是其基于業(yè)務(wù)和工藝，針對應用場(chǎng)景，必須結合工藝業(yè)務(wù)要求進(jìn)行安全保障，簡(jiǎn)單以“零和思維”、“木桶理論”思路或試圖用一個(gè)統一的技術(shù)思路來(lái)解決工控安全問(wèn)題都有失偏頗。

3 回歸工控系統安全本質(zhì)

工業(yè)控制系統是由計算機設備與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統，包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程測控單元（RTU）、傳感/監視/控制/診斷系統等，以及制造執行系統（MES）、歷史數據庫、圖形化界面、企業(yè)資源管理系統（ERP）等相關(guān)信息系統。工控系統安全涉及設備安全、功能安全、信息安全，覆蓋控制層、網(wǎng)絡(luò )層、系統層和管理層，貫穿設計、研發(fā)、實(shí)施、運維全生命周期。

從功能上可以分成生產(chǎn)功能和安全功能，生產(chǎn)功能包括生產(chǎn)運行控制系統，包括基本過(guò)程控制系統、過(guò)程控制系統、生產(chǎn)運行控制系統等；安全功能包括安全儀表系統、安全控制系統、安全保護控制系統、安全監測與控制系統等。

安全的工業(yè)控制系統由工控系統和安全保障系統組成。所謂工業(yè)控制系統安全（大安全）就是工控系統的設計目標在生命周期內的功能安全可達性。從本質(zhì)而言，就是以實(shí)現工業(yè)系統可用性為目標，綜合運用功能安全、信息安全等技術(shù)手段和防護措施，保障工業(yè)系統在生命周期內的安全穩定運行。傳統的工業(yè)安全理論和單一的技術(shù)手段已經(jīng)不能保證工業(yè)的安全穩定運行，只有建立基于行業(yè)業(yè)務(wù)規則的新的理論和技術(shù)創(chuàng )新，才有可能解決工控系統的本質(zhì)安全。工控系統安全本質(zhì)圖如圖1所示。

圖1 工控系統安全本質(zhì)圖

4　本體安全創(chuàng )新理論

鑒于工控裝置的“兩個(gè)有限”（合法狀態(tài)有限、合法指令有限）原則，在狀態(tài)可明確窮舉和每個(gè)狀態(tài)下合法指令有限條件下，執行裝置和控制設備的運行狀態(tài)、接收和下發(fā)的指令都是可監測和檢測的。無(wú)論是外部攻擊還是誤操作等任何原因造成的狀態(tài)異常以及非法指令、防危和態(tài)勢感知系統都可知，可針對性采取告警、拒絕執行（授權后）等措施，避免故障發(fā)生。

工控本體安全是面向工控安全的方法論，是一個(gè)方法的集合，也是技術(shù)的集合。充分利用工控大數據及人工智能技術(shù)，通過(guò)構建多級防危模型，實(shí)現不同層級本體的安全,依托三級本體實(shí)現工控系統整體的主動(dòng)縱深防御：

·設備作為個(gè)體，結合防危形成設備本體。防危模塊對設備進(jìn)行防危處理，同時(shí)將監測得到的數據上傳至其所屬的現場(chǎng)級本體系統，并根據規則在檢測到異常操作時(shí)，向用戶(hù)提供建議（存量）或者觸發(fā)設備自帶的安全處置功能（增量）；

·設備本體結合關(guān)聯(lián)模式及信息安全模塊形成現場(chǎng)本體?，F場(chǎng)本體發(fā)揮承上啟下的作用，一方面接收來(lái)自設備本體的安全監測數據，主動(dòng)檢測下一級本體的運行狀態(tài)進(jìn)行預警分析，另一方面，將現場(chǎng)級數據上傳至系統，并接收來(lái)自系統動(dòng)態(tài)感知數據對專(zhuān)家知識庫和規則庫進(jìn)行調整；

·現場(chǎng)本體結合系統態(tài)勢感知以及信息安全形成系統本體。系統本體接收來(lái)自現場(chǎng)級本體的數據，進(jìn)行總體態(tài)勢感知，并將系統態(tài)勢下發(fā)到各個(gè)現場(chǎng)本體。

工控本體安全示意圖如圖2所示。

圖2 工控本體安全示意圖

依據工程控制論思想，設立設備、現場(chǎng)以及系統等三個(gè)層級的工控本體，利用信息安全、人工智能等技術(shù)，建立各級本體中工控個(gè)體的防危機制實(shí)現主動(dòng)防御；通過(guò)分析工控組成個(gè)體的屬性及其關(guān)系，建立用于協(xié)同防御的關(guān)聯(lián)模式；通過(guò)對事件的態(tài)勢分析，實(shí)現全生命周期的安全防護。工業(yè)控制系統本體形式化定義如下:

工控系統G =（N,∑, P, S）

其中N={﹤系統本體﹥，﹤附現場(chǎng)本體集﹥，﹤現場(chǎng)本體﹥，﹤附設備本體集﹥，﹤設備本體﹥}

∑={﹤設備﹥，﹤防危﹥, ﹤關(guān)聯(lián)模式﹥，﹤防危專(zhuān)家知識庫﹥，﹤信息安全﹥, ﹤態(tài)勢感知﹥，﹤空﹥}

S={﹤系統本體﹥}

規則集P：

﹤系統本體﹥→﹤附現場(chǎng)本體集﹥﹤現場(chǎng)本體﹥ ﹤態(tài)勢感知﹥﹤信息安全﹥

﹤附現場(chǎng)本體集﹥→﹤附現場(chǎng)本體集﹥﹤現場(chǎng)本體﹥|﹤空﹥

﹤現場(chǎng)本體﹥→﹤附現場(chǎng)本體集﹥﹤附設備本體集﹥﹤設備本體﹥﹤關(guān)聯(lián)模式﹥﹤防危專(zhuān)家知識庫﹥﹤信息安全﹥

﹤附設備本體集﹥→﹤附設備本體集﹥﹤設備本體﹥|﹤空﹥

﹤設備本體﹥→﹤設備﹥ ﹤防危﹥

5　基于行業(yè)應用場(chǎng)景的工控系統安全是未來(lái)發(fā)展方向

隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展，物聯(lián)網(wǎng)、邊緣計算、云計算、大數據、5G、人工智能等技術(shù)對工業(yè)生產(chǎn)活動(dòng)的影響日益加深，自動(dòng)化和信息化的深度融合加快，將會(huì )對工業(yè)生產(chǎn)方式帶來(lái)深刻變革，催生新的工控產(chǎn)品形態(tài)，需要對工控安全的內涵和外延重新審視和定義。
基于前述背景，工控系統安全是保障工業(yè)業(yè)務(wù)穩定開(kāi)展的基石，但日益增長(cháng)的功能要求和技術(shù)全面融合，帶來(lái)的安全隱患也愈發(fā)凸顯和難以簡(jiǎn)單防護，傳統的信息安全和功能安全思路、技術(shù)和措施也愈發(fā)不適應，不能滿(mǎn)足業(yè)務(wù)發(fā)展要求。
行業(yè)工藝不同造成設備間的差異，以及生產(chǎn)數據的保密需求，都是工控安全要面對的障礙。其中蘊含的知識是企業(yè)的核心競爭力所在。每個(gè)行業(yè)對現場(chǎng)控制裝置、控制系統的要求都不一樣，這是由于工藝生產(chǎn)的不同要求造成的設備差異?；跇I(yè)務(wù)應用場(chǎng)景的專(zhuān)用設備，要完成的功能也不相同。據此，對安全的要求也千差萬(wàn)別，極具“個(gè)性”。所以說(shuō)，工控安全就必須依據工藝業(yè)務(wù)特點(diǎn)進(jìn)行防護，不存在通用的“靈丹妙藥”。

6　結論

總的來(lái)說(shuō)，工控安全形勢嚴峻，缺少成熟的理論、核心技術(shù)體系和針對性解決方案、服務(wù)模式。歷年的工控安全事件說(shuō)明僅依靠現有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、技術(shù)框架體系、產(chǎn)品譜系、咨詢(xún)測試測評評估系列服務(wù)、工控安全全面解決方案、工控安全工作長(cháng)效協(xié)作機制等方面，還有很長(cháng)的路要走。
從工控安全本質(zhì)出發(fā)，從業(yè)務(wù)特點(diǎn)出發(fā)，立足行業(yè)，融合自動(dòng)化、信息、安全等技術(shù)，針對存量、增量、服務(wù)，探索工控系統運行安全的本質(zhì)機理，提出適用理論，研發(fā)安全的工控產(chǎn)品和防護產(chǎn)品，形成針對性解決方案，全面提高工控系統安全運行的綜合保障能力，是一個(gè)可行的行動(dòng)路線(xiàn)。

作者簡(jiǎn)介

王　彬（1975-），男，江蘇南京人，現任北京安控科技股份有限公司副總裁，北京安控工控安全研究院院長(cháng)，主要從事自動(dòng)化和工業(yè)控制系統安全研究。

徐新國（1966-），男，安徽合肥人，博士，教授級高工，現任北京安控科技股份有限公司首席科學(xué)家，主要從事信息化和工業(yè)控制系統安全研究。

參考文獻：

[1] 徐新國, 朱廷劭, 康衛. 基于數據庫挖掘的工業(yè)控制系統防危機制研究[J]. 電子技術(shù)應用, 2012, 38 ( 5 ).

[2] Horng Jaojia, Lin Yishu, Shu Chimin. Using consequence analysis on some chlorine operation hazards and their possible effects on neighborhoods in central taiwan [C]. International Conference on the 20th Anniversary of Bhopal GasTragedy, The Indian Institute of Technology, 2004 : 3 - 12.

[3] KONSTANTINIM, 夏光. 切爾諾貝利事故: 問(wèn)題的實(shí)質(zhì)[J]. 科學(xué)對社會(huì )的影響, 1992 ( 3 ) : 2 - 6.

[4] 見(jiàn)宏偉, 雷航. 自適應防危策略的設計技術(shù)研究[J]. 信息安全, 2010 ( 3 ).

[5] 張帥. 工業(yè)控制系統安全現狀與風(fēng)險分析[J]. 計算機安全, 2012 ( 1 ).

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》