1　简要的历史回顾

    自动化是与工业化伴生而且是并行发展的一门新兴的科学技术，在以机器大生产为标志的工业化开始的同时，以机器控制为主要功能的自动化设备就同时产生了。早期的自动化设备是依附于生产机器的，并没有形成独立的技术体系及独立的产业。在相当长的一段工业化发展历史中，各个工业领域的自动化都是作为附属于该领域主生产设备与技术的辅助性设备和技术发展的，这就造成了自动化体系的多样性，如石油、化工、电力、机械制造、交通运输、食品药品等不同行业，都具有各自不同特点的自动化设备及系统。

    自动化技术包含了两个方面的内容，一个方面是控制原理或方法，如在加热炉中我们可以通过控制燃料流量的方法来控制温度，为保持温度的平稳，可以采取反馈控制的算法。另一方面是实现控制方法的具体设备，如控制仪表、DCS、PLC等，这些设备从现场采集实时数据，通过计算得到控制量，并输出到执行机构实现对目标生产设备的控制。在工业界，人们在讨论自动化系统、工业控制系统等问题时，一般都是指实现控制方法的设备及系统。随着对控制理论的深入研究以及控制系统的不断发展进步，自动化行业也逐步形成了自己相对独立的学科和技术体系。各个工业领域在控制方面的共性问题逐步被归纳在一起，在控制原理和方法以及实现控制方法的设备和系统方面，都形成了一些工业生产行业特征不十分明显的，具有一定通用性的理论和系统。这种趋势在近年来工控系统逐步走向数字化和信息化以后就更加明显了。

    与传统工业控制系统相比，现代的工控系统全面采用了数字技术，其最基本的特征是，所有被控设备的设备参数、运行参数、实时状态以及控制指令都是以便于计算机处理的二进制数码的形态进行处理及传输的。数字技术在工控系统中的广泛采用，使其产生了革命性的变化。表1是对传统工控系统与现代工控系统主要特点的比较。

   从表1可以看出，基于数字技术的现代工控系统与传统技术的系统相比，具有极大的优越性。由于控制功能的实现是基于软件的，因此具有精确性、稳定性、灵活性，能够实现复杂的算法，包括更多的智能处理。另外，由于数字信号可以通过网络进行传输和共享，因此消除了控制孤岛，实现了多个控制点的协调控制，更为生产管理和企业经营实现信息化提供了坚实的基础。可以说，软件和网络这两大信息技术完全改变了工业控制系统，使其功能更加强大，更加通用和开放，更加灵活和智能化。

    2　新技术带来的风险

    但是，事物都有两面性，软件技术和网络技术给工控系统带来巨大进步的同时，也产生了巨大的风险，这个风险集中表现在功能安全和信息安全两个方面。在表1中我们可以看出，传统工控系统的控制模式是并行的，其优越性不止表现在快速性方面，在系统的功能安全方面也具有先天的优越性。在整个控制系统中，任何局部故障或失效基本上只影响局部，我们很容易将其快速隔离并处理。而在数字化的工控系统中，由于功能通过软件实现，其操作模式是串行的，除了控制的快速性不好以外，系统中任何局部的故障或失效都有可能影响后续功能的实现，也就是说，在一个串行执行的系统中，各个环节的关联度相当高，局部的问题也更容易扩散。另外，由于网络技术消除了控制孤岛，各类信息能够更加方便地传输和共享，这样也带来了信息安全的隐患。可以说，功能安全方面的负面影响更多的是来自软件技术，即来自越来越多的功能依靠软件实现的现实情况；而信息安全方面的负面影响则更多地来自网络技术。

    既然新技术的发展势在必行，那么对于安全性的保证就必须在新技术日益广泛应用的现实基础上予以考虑。也就是说，我们要关注工业控制系统的信息安全问题，就必须从软件技术和网络技术出发进行考虑，因为我们不可能回到模拟技术时代，尽管模拟技术在信息安全方面具有先天优势。首先看网络技术。目前我们依靠各个层级的网络，在工业控制系统中基本消除了控制孤岛和信息孤岛，这对于系统的功能提升无疑是革命性的进步，但同时这也给恶意入侵控制系统提供了途径。随着系统越来越开放、规模越来越大、功能越来越复杂，这种对系统的入侵也变得越来越容易、越来越隐蔽、越来越难于发现和防范。应该说，系统中网络的开放性和复杂性是防范恶意入侵的最大障碍。因为在开放的网络环境中，各种病毒、木马，可以被黑客利用的资源十分丰富，入侵手段也五花八门，防不胜防。

    其次，由于所有运算与控制功能均由软件实现，虽然这可以实现复杂的功能，系统可以灵活配置（通过组态工具），还可以实现高度的智能处理，但这也给恶意的攻击提供了可能性。黑客可以通过组态数据的导入或直接注入可执行代码，即可实现改变控制行为的目的，给正常安全生产造成了极大的威胁。

    随着工控系统分散程度的不断提高，系统对网络的需求会越来越大，特别是方便灵活的无线网络。近年来，现场总线技术发展迅速，其最主要目标是用数字传输技术彻底取代模拟信号传输技术。应该说，从传感器到控制处理单元，或从控制处理单元到现场执行器之间的信号传输是整个工控系统中未实现数字化的最后一个部分。如果这一部分实现了数字化，将使系统从现场得到更加丰富的信息，系统控制的精细化程度、广泛性、深入程度等也都将得到极大的提升。更重要的是，随着数字化技术延伸到现场端，工控系统的形态也将发生巨大的变化。可以想象，将来的工业控制系统将成为一个建立在有着巨大数量的嵌入式智能现场设备（智能检测设备和智能控制器）基础上的庞大的网络系统。从表面看，系统又回到了传统仪表控制系统的完全分散和与被控生产装置紧密结合的多岛形态，所不同的是，各个测量控制点都具备很强的网络通信能力，都是控制系统整体网络上的一个个智能节点，它们既可以实现局部控制，也可以实现整体的协调动作，使整个系统形成一个有机的整体。

    这样的系统会在很大程度上依赖网络，因此系统在安全性、可靠性、实时性等关键性能上将完全取决于网络。特别是将来系统所采用的网络产品及网络协议基本上走开放路线，公共网络也不可避免地会被引入到系统之中，那么，针对网络的攻击或网络上存在的微小缺陷或漏洞都将是对系统最大的威胁，而开放网络乃至公共网络都是很容易遭受攻击的。

    在这里，我们必须着重强调的是，信息安全问题可能会比功能安全的问题更难于解决，因为功能安全所面对的是机器和设备，其存在的问题和失效风险基本上是确定的，只要我们采取了有效的技术手段，就可以有效降低安全风险。而信息安全所要面对的主要是人为因素，是与怀有恶意的攻击者所进行的博弈或攻防。这正如一场战争，敌我双方都在不断地改变着战术和策略，因此我们所面对的完全是一种不确定的风险。我们需要随时检视系统存在的风险和漏洞，并采取相应措施改进并完善防护策略，方能抵御攻击风险。

    3　对策分析

    可以让人稍感庆幸的是，大多数控制系统的网络协议是专用的，即他们大多是封闭系统。从信息安全的角度看，封闭系统具有天然的安全性，因为这类系统不能接受来自外部的、本系统无法识别的任何信息，这样就大大降低了从外部对系统进行攻击的危险性。近年来，越来越多的控制系统为克服“信息孤岛”的问题而在控制系统的开放性方面做了大量的改进，如增加开放的网络接口等，但对于系统内部，基本上还是不开放的。虽然开放性加强了系统的功能，使控制系统能够完成更多的工作并更加方便使用，但同时也带来了日益严重的信息安全问题。

    目前IT领域开放的基础是IP网络协议（Internet Protocol），IP实际上是介于网络传输（包括物理介质）和互联应用之间的一个通用协议，互联应用依据IP将通信需求转化为可以在物理介质上传输的数据报文，而IP报文则可以通过多种不同物理介质实现传输，这样就实现了不同应用间的互联互通。由于IP是得到广泛认可的一个中间层协议，因此几乎所有的高层协议和底层协议都支持IP，各种应用均可以通过IP互相连接并实现通信，而IP则可通过各种不同通信介质实现信息的物理网络传输。毫无疑问，基于IP所实现的开放性大大扩展了控制系统的功能和覆盖范围，但任何事物都具有两面性，IP的开放性也为通过信息技术对控制系统进行攻击提供了有利条件。现在的问题是，我们如何扬长避短，既能充分利用开放系统为我们带来的好处，同时又能防范可能出现的外部攻击和安全威胁，这就是工业控制系统信息安全要解决的问题。

    由于控制系统内部一般是一个封闭系统，而只要我们能够保证执行控制功能的系统核心不受到侵犯，就可以保证控制系统的基本安全。为此我们需要清晰地在系统的关键核心，控制功能部分与外部功能扩展部分之间划出一道边界（boundary或border），采取各种手段来保证边界内的系统不受攻击，以此来保证控制系统的信息安全。很显然，一个封闭的控制系统核心有着清晰的边界，而采用了开放技术的控制系统核心则很难清晰地划定边界，并且采用的开放技术越多，边界就越难以划定。目前不少系统为实现复杂的协调控制和数据共享功能，普遍采用了诸如OPC（Object linking and embedding for Process Control）或DCOM（Distributed omponent Object Model）这样的技术，这就为划定控制系统核心的边界造成了不小的麻烦。近年来发展迅速的现场总线技术也是一种开放技术，特别是有些现场总线支持IP，这更增加了边界划分的难度。为了使控制系统核心具有清晰并防范严密的边界，我们必须仔细地将系统核心的全部对外端口进行标识，包括各个通信端口、人机界面端口直至组态端口，并逐个确定每个端口的防范策略，必要时还要制定纵深防御策略，以确保能够有效阻挡外部攻击。

    虽然一个封闭的控制系统核心比较容易划定边界，但这也并不表明这样的系统是放在保险箱里的，因为有些端口容易被人忽略，成为系统防线的薄弱环节。例如组态端口，如果通过组态端口向系统下装了含有恶意攻击的组态数据，就足以对控制系统造成严重危害。另外，如人机界面终端，其移动存储接口（如USB）就很容易成为引入攻击的薄弱环节。有时外部攻击并不表现为对系统数据的窃取或恶意篡改，而是简单造成网络风暴或广播风暴，使系统网络陷于瘫痪，也同样会对系统造成严重危害。另外，在很多SCADA系统中，远程的数据和控制命令是通过广域网进行传输的，有些甚至通过公共网络进行传输，这都是容易遭受攻击的薄弱环节。

    对此，我们不能认为工控系统不应该走开放路线，而是应该考虑如何避免开放所带来的负面影响。我们现在还无法预见在工控系统走向更加网络化的进程中会遇到什么问题，但可以肯定的一点是，我们不应该过分强调开放性，而要有分析地考虑在系统的哪些地方采用哪种程度的开放技术。在控制系统中，网络必须分层次，靠近现场控制的底层网络必须具有最高的安全性、可靠性和实时性。由于底层网络的功能相对简单，因此对底层网络的要求不是更多更复杂的功能，对于其开放性的考虑也不应该把重点放在功能性、便利性和广泛的互联性方面。对于控制系统的底层网络，我们最为关注的是现场实时数据和重要的资产管理数据的快速、及时、准确的传递，现场网络的通信协议和通信机制应该尽量简单、明确、易于检查诊断，出现异常时能够及时发现并快速处理，以最短的时间恢复正常。显然，目前市场上有一些现场网络产品并不符合上述原则，由于其过于庞大，技术实现过于复杂，对于保障控制系统最基础的底层功能能够安全可靠运行就不太有利。目前的当务之急并不是对现场层的网络作加法，不断让其承担更多的功能，而是要作减法，保留必要的功能并予以强化，使控制系统的最底层成为一个少而精、运行高效、可靠、坚固的核心，这样才能够在此基础上建立一个功能强大的、完善的、规模庞大的完整系统。对此，一个很能说明问题的实例是，在有关功能安全的国际标准中，对于执行关键安全功能的控制器中甚至不主张使用操作系统，其考虑问题的出发点就在于此。

    对于底层控制器的组态功能，应予以限制，除执行控制功能的必要参数外，尽量减少可组态部分。这样比较便于进行检查，以发现因不当组态所造成的威胁。对于可执行代码，应该严格禁止对底层控制器实施下装，这类操作是对系统安全的最大威胁。

    另外，与系统的功能安全不同的是，仅采用技术手段还不足以保证系统的信息安全，有时技术手段甚至不是保证信息安全的主要措施。对于一个重要的、关键性的、复杂而大型的控制系统，必须要有一套严格有效的安全管理规范，并切实执行。目前最基本的安全管理包括授权管理和身份认证，用于保证经过授权的人员在其授权范围内对系统进行操作，而拒绝非授权人员的操作及授权范围以外的操作。这一点虽然简单，但严格执行却并不容易。例如经过授权的操作人员通过Password登录系统后，就可以进行系统操作，而这时如果其他人趁操作人员暂时离开操作终端的机会实施恶意的破坏性操作，就会造成对系统的破坏。对于诸如此类的管理性漏洞，必须要认真、仔细、周到地进行考虑并进行实际场景的模拟分析，以发现漏洞并制定应对措施。在系统的日常运行中，还需要定期检查执行情况，并对管理规程进行审核，以评估其有效性，发现问题及时修订，保持管理规程的适用有效。

    4　结语

    第一，要明确划分工业控制系统的层次及各个层次的边界，对于系统底层，重点考虑其稳定性、实时性、可诊断性和对各类异常情况的抵御能力。更多功能性、易用性、扩展性等方面的考虑应该放到系统的高层去实现，而且系统的底层和高层之间应该具有有效的隔离措施。

    第二，控制系统的信息安全并不是一个单纯针对确定性风险的问题，而是一个面向不确定风险的难题。正因为其面对风险的不确定性，因此我们无法制定一套固定的技术措施和管理规程，并宣称其能够保证何种程度的信息安全。对此，工业控制系统信息安全的解决方案必定是一个持续不断的过程，对于不断变化的风险，不断完善和强化防范策略，这样才能确保系统的信息安全。另外，控制系统的信息安全不存在百分之百保证安全的可能，我们只能将控制系统保持在一个可接受的安全水平上，这个安全水平要根据被控对象的性质、重要程度、对危害的承受能力以及对信息安全措施的合理投入而定。

    作者简介

    罗安（1946-），研究员级高级工程师、中国自动化学会专家咨询工作委员会副主任委员、享受国家政府津贴专家。河北邢台人。曾任北京和利时系统工程有限公司总工程师。长期从事自动化控制系统的研究开发和工程应用，上世纪七十年代起参与或主持建成了我国第一批自主的实用化控制系统。多次出国考察学习，将国外大量的新技术应用于自主研发。作为主要人员开发的大庆炼油厂油品贮运自动化系统、北京供电局电网调度自动化系统等曾获国家科技进步二等奖、电子工业部科技进步一等奖。从“九五”期间开始，致力于国家重大技术装备控制系统的国产化、自主化，在核电、城市轨道交通、能源、先进制造等领域的自动化控制方面取得多项成果，秦山核电项目于2004年获电子信息产业科技进步一等奖，本人得到国家有关部委“九五”期间优秀科技人员表彰。著有《分布式控制系统（DCS）设计与应用实例》（第二作者 2004年电子工业出版社）及《化工过程控制系统》（第二作者 2006年化学工业出版社）等专著。