徐新国¹ 朱廷劭² 康卫¹ 孙保辉¹ 房志奇¹ 王焱¹
(1. 中国电子信息产业集团有限公司第六研究所，北京 100083；2. 中国科学院研究生院 信息科学与工程学院，北京 100190)

 

1.引言
    工业控制系统包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)等，以及确保各组件通信的接口技术^[1]。目前广泛应用于电力、水利、污水处理、石油化工、交通运输、制药以及大型制造行业，是国民经济的重要组成部分。

    据权威工业安全事件信息库RISI(Repository of Security Incidents)统计^[2]，截止2011年10月，全球已发生200余起工业控制系统的严重安全事件。工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，一旦出现工业事故，将对正常生产运行和国家经济安全造成重大损害。

    1984年12月3日凌晨，在印度的Bhopal，45吨甲烷异氰酸脂重毒气从联合炭化虫剂制造厂泄漏并扩散到附近居民区，造成至少2500人死亡，25万人的健康受到影响。1986年4月，前苏联切尔诺贝利核电发生爆炸，导致世界上最严重的核事故。

    分析以上事故原因，都涉及到控制系统的防危问题。印度毒气泄露事件调查报告显示^[3]，610号储槽的压力在15分钟内由2psig上升到10 psig，由于换班原因，新操作员并未察觉到压力突变异常，正常压力大约在2~25 psig之间，由于压力突升而未察觉，导致毒气泄漏。1986年切尔诺贝利核电站爆炸事故调查报告显示^[4]，由于核电站人员多次违规操作，导致反应堆能量增加，发生爆炸。

    随着高新技术的广泛应用，工业控制系统越来越复杂，错误越难检测和避免，由此带来的安全隐患也越多，对系统的防危要求越来越迫切。工控系统对防危性的要求包含以下几个方面^[5]：
 

整体性：工控系统中对关键设备的不同操作之间存在相互依赖关系，要将其视为一个整体考虑。
通用性：为达到资源共享以及实现不同工控系统间的移植，需把系统功能实现与防危机制分离开，提高防危机制的通用性。
自适应性：系统内部环境发生改变时，应采用某种自适应手段，适应新的环境来满足用户的需求。
隔离性：监控对关键设备的操作，拒绝可能导致重大人身和财产损失的操作命令，实现应用软件与系统设备的隔离，保证工控系统的防危性。
 

    面对越来越复杂的工控系统和愈来愈重要的防危性要求，开展针对现有工控系统的防危机制研究具有巨大的科学意义和应用价值。

2.相关工作介绍

    近年来很多重大事故的发生都可以归结为工控系统在防危性方面的疏忽或缺失，事故主要来源于系统的设计缺陷及操作人员的误操作，也使工控系统失去了可信性。
1985年，Laprie提出了dependability（为与可靠性reliability相区别，译为可信性）概念，用它来度量计算机系统的服务质量^[6]。如图1所示可信性是一个复杂的综合性概念，具有丰富的内涵，它所包含的特征有：可用性(availability)、可靠性(reliability)、防危性(safety)、安全性(security)和可维护性(maintainability)五个特征量。1995年Laprie把security分解为confidentiality和integrity^[7]。
 

图1 可信性的特征
 

    防危性与可用性、可靠性、可维护性、安全性的区别^[8]如表1所示。防危强调的是防止危险发生，即防止系统给生命财产及生态环境造成灾难性破坏。防危技术主要是对系统内部错误的侦测、异常处理以及误操作的避免，不同于可信性的其它特性。

    目前实现防危的主要技术手段有防危核与防危壳两种。

    防危核(Safety Kernel)最早由安全学家 Leveson[9]提出，其原理是根据实际系统的工作特点定制的一套防危策略，验证所有对关键设备的操作请求，只有通过验证的操作请求才可到达硬件进行操作，拒绝所有未经过验证的操作。防危核成功隔离了应用请求与关键设备，避免用户误操作引起的系统错误，达到对系统的防危保护。

    防危壳(Safety Shell)是由Katwijk 和 Zalewski[10]提出的防危技术，其技术原理与防危核类似，是防危核技术的一种功能更为强大的扩展。防危壳的防危原理是在系统控制器与关键设备之间安插一个隔离层，所有操作请求都必须经过防危壳的验证。防危壳主要由状态监视器、时间监视器、异常处理子模块组成。状态监视器是保证系统防危性最重要的关键子模块，其作用是负责和底层I/O接口交互，验证所有操作请求，并负责实时监测设备的工作状态，一旦发现异常，则发送相应的操作命令来调整系统状态，同时报告错误。时间监视器用于检验设备命令是否在规定的时间内完成，保证了设备操作的实时性。异常处理器监视对设备的操作命令，拒绝错误的操作命令，并调用相应的错误处理程序。

     防危核和防危壳是防危系统里最常用的两种技术手段，将防危核与防危壳技术进行比较，可以发现两种方式的基本原理都是相同的，即提供了设备操作与关键设备的隔离。不同点在于，防危核只提出了操作验证的基本功能，而防危壳将防危策略细分为三个子模块，子模块拥有了单独检查设备状态和保证命令时间限制等功能，降低了验证整个防危策略的开销。某种程度上，防危壳可以看作是防危核技术的一种扩展变型和另一种实现方式。
   

表1 可信特征的区别