控制系统已不单纯用于工业生产的控制，更是一个具有综合控制、管理、信息化功能的完整复杂的大系统。
 

罗安 研究员级高级工程师，享受国家政府津贴专家

    曾任北京和利时系统工程股份有限公司总工程师。长期从事自动化控制系统的研究开发、工程应用工作，七十年代开始研制实施用于生产过程的计算机控制系统，建成了我国第一批掌握自主知识产权的实用化控制系统。多次出国考察学习，将国外大量的新技术应用于新系统开发。作为主人员开发的大庆炼油厂油品贮运自动化系统、北京供电局电网调度自动化系统等曾获国家科技进步二等奖、电子工业部科进步一等奖。从“九五”期间开始，致力于国家重大技术装备控制系统的国产化、自主化，先后主持研究西气东输站场自动化控制系统、核电站计算机监测系统的开发与应用、三峡电站和梯级综合自动化系统实施方案研究、新一代开放式数控系统开发、城市轨道交通综合自动化等大型项目。担任“九五”科技攻关秦山二期监测系统开发的技术负责人，开发研究并形成了自主化的产品。该项目是国家“九五”期间优秀科技攻关项目，于2004年获电子信息产业科技进步一等奖，本人得到国家有关部委“九五”期间优秀科技人员表彰。著有《分布式控制系统（DCS）设计与应用实例》（第二作者2004年电子工业出版社）及《化工过程控制系统》（第二作者 2006年化学工业出版社）。

    在工业控制系统中，我们面临两类安全问题，一类是控制系统的功能安全，另一类则是控制系统的信息安全。

    在控制系统发展的初期，人们比较关注系统功能的实现。随着系统规模的扩大和功能复杂程度的增加，系统的可靠性和可用性显得越来越重要，也越来越受到人们的关注。而到了现代，控制系统已不单纯用于工业生产的控制，更是一个具有综合控制、管理、信息化功能的完整复杂的大系统。因此，对现代控制系统来说，仅要求系统的功能性、可靠性和可用性是远远不够的，还需要特别关注系统的安全性。

    控制系统的可靠性、可用性与安全性有着密切的关系，但它们却是完全不同的概念。可靠性和可用性要求系统能够长时间、不间断地运行，任何时间都不丧失系统的控制功能；而安全性则要求系统在出现异常情况（主要指系统运行环境或运行工况的异常，如生产设备出现故障或出现人为误操作）时，系统能够正确应对，确保不出现危险或事故。上面所讲的系统安全性被称为系统的功能安全（Safety或FunctionalSafety）。而对系统更进一步的安全要求则是要求系统在遭受恶意破坏时具有有效的防护能力。如防止通过信息手段入侵系统，以造成系统无法正常运行或核心机密信息被窃取，进而造成严重事故的恶意行为。这类安全要求被称为系统的信息安全（Security）。

    很显然，控制系统的可靠性和可用性注重于系统自身；而系统的功能安全则注重包括被控设备、系统运行环境及操作人员在内的完整系统的完善性、有效性和健壮性；至于信息安全，则更注重防范来自外部的对于系统的安全威胁。

    衡量控制系统可靠性和可用性的指标是MTBF、MTTF和MTTR，以及失效率λ和可用率A。

    衡量控制系统功能安全的指标有两个，一个用于低要求模式，其指标为：在需要时（即在出现异常需要系统正确应对时）的系统失效概率；另一个用于高要求模式，用系统失效的频率表示，其单位是h-1，即每小时出现失效的次数。由于系统失效的频率极低，通常在10-4/h到10-9/h，因此人们也常常用平均多少小时出现一次失效来表示系统的失效频率。在国际标准中用“安全完整性等级”（SIL-Safety Integration Level）来衡量系统的功能安全，SIL可分为四个级别，即SIL1到SIL4，其中SIL 1最低，SIL 4最高。

    系统的信息安全是近年来才引起人们重视的新问题。在IT，即信息技术领域，信息安全是信息系统最重要的指标之一，因此也有很多成熟的技术及衡量标准，如防病毒、防攻击、身份识别与认证、访问权限控制等。而在工业控制领域，近年来随着信息技术的广泛应用和控制系统日益网络化，信息安全的问题才日益凸显。由于工业控制系统的系统目标、运行模式，特别是实时性要求与信息系统有很大区别，因此其解决方案和衡量指标也完全不同。针对工业控制系统的信息安全，国际上正在开展广泛的研究，相应的标准也在逐步制定。总之，工业控制系统的信息安全问题是当前最活跃、发展最快的一个研究开发领域。

    大多数控制系统的网络协议是专用的，即他们大多是封闭系统。从信息安全的角度看，封闭系统具有天然的安全性，因为这类系统不能接受来自外部的、本系统无法识别的任何信息，这样就大大降低了从外部对系统进行攻击的危险性。近年来越来越多的控制系统为克服“信息孤岛”的问题而在控制系统的开放性方面做了大量改进，如增加开放的网络接口等，但对于系统内部，基本上还是不开放的。虽然开放性加强了系统的功能，使控制系统能够完成更多的工作并更加方便使用，但同时也带来了日益严重的信息安全问题。

    目前IT领域开放的基础是IP网络协议（InternetProtocol），IP实际上是介于网络传输（包括物理介质）和互联应用之间的一个通用协议，互联应用依据IP将通信需求转化为可以在物理介质上传输的数据报文，而IP报文则可以通过多种不同物理介质实现传输，这样就实现了不同应用间的互联互通。由于IP是得到广泛认可的一个中间层协议，因此几乎所有的高层协议和底层协议都支持IP，各种应用均可以通过IP互相连接并实现通信，而IP则可通过各种不同通信介质实现信息的物理网络传输。毫无疑问，基于IP所实现的开放性大大扩展了控制系统的功能和覆盖范围，但任何事物都具有两面性，IP的开放性也为通过信息技术对控制系统进行攻击提供了有利条件。现在的问题是，我们如何扬长避短，既能充分利用开放系统为我们带来的好处，同时又能防范可能出现的外部攻击和安全威胁，这就是信息安全要解决的问题。

    由于控制系统内部一般是一个封闭系统，而只要我们能够保证执行控制功能的系统核心不受到侵犯，我们就可以保证控制系统的基本安全。为此我们需要清晰地在系统的关键核心控制功能部分与外部功能扩展部分之间划出一道边界（boundary或border），采取各种手段来保证边界内的系统不受攻击，以此来保证控制系统的信息安全。很显然，一个封闭的控制系统核心有着清晰的边界，而采用了开放技术的控制系统核心则很难清晰地划定边界，并且采用的开放技术越多，边界就越难以划定。目前不少系统为实现复杂的协调控制和数据共享功能，普遍采用了诸如OPC（Object linkingand embedding for Process Control）或DCOM（Distributed Component Object Model）这样的技术，这就为划定控制系统核心的边界造成了不小的麻烦。近年来发展迅速的现场总线技术也是一种开放技术，特别是有些现场总线支持IP，这更增加了边界划分的难度。为了使控制系统核心具有清晰并防范严密的边界，我们必须仔细地将系统核心的全部对外端口进行标识，包括各个通信端口、人机界面端口直至组态端口，并逐个确定每个端口的防范策略，必要时还要制定纵深防御策略，以确保能够有效阻挡外部攻击。

    虽然一个封闭的控制系统核心比较容易划定边界，但这也并不表明这样的系统是放在保险箱里的，因为有些端口容易被人忽略，成为系统防线的薄弱环节。例如组态端口，如果通过组态端口向系统下装了含有恶意攻击的组态数据，就足以对控制系统造成严重危害。另外如人机界面终端，其移动存储接口（如USB）就很容易成为引入攻击的薄弱环节。有时外部攻击并不表现为对系统数据的窃取或恶意篡改，而是简单造成网络风暴或广播风暴，使系统网络陷于瘫痪，也同样会对系统造成严重危害。另外，在很多SCADA系统中，远程的数据和控制命令是通过广域网进行传输的，有些甚至是通过公共网络进行传输，这也是容易遭受攻击的薄弱环节。

    与系统的功能安全不同，仅采用技术手段还不足以保证系统的信息安全，有时技术手段甚至不是保证信息安全的主要措施。对于一个重要、关键性、复杂、大型的控制系统，必须要有一套严格有效的安全管理规范，并切实执行。目前最基本的安全管理包括授权管理和身份认证，用于保证经过授权的人员在其授权范围内对系统进行操作，而拒绝非授权人员的操作及授权范围以外的操作。这一点虽然简单，但严格执行却并不容易。例如经过授权的操作人员通过Password登录系统后，就可以进行系统操作，而这时如果其他人趁操作人员暂时离开操作终端的机会实施恶意的破坏性操作，就会造成对系统的破坏。对于诸如此类的管理性漏洞，必须要认真、仔细、周到地进行考虑并进行实际场景的模拟分析，以发现漏洞并制定应对措施。在系统的日常运行中，还需要定期检查执行情况，并对管理规程进行审核，以评估其有效性，发现问题及时修订，保持管理规程的适用有效。

    总之，控制系统的信息安全并不是一个单纯针对确定性风险的问题，而是一个面向不确定风险的难题。正因为其面对风险的不确定性，因此我们无法制定一套固定的技术措施和管理规程，并宣称其能够保证何种程度的信息安全。对此，信息安全的解决方案必定是一个持续不断的过程，对于不断变化的风险，不断完善和强化防范策略，这样才能确保系统的信息安全。

    另外，控制系统的信息安全不存在百分之百保证安全的可能，我们只能将控制系统保持在一个可接受的安全水平上，这个安全水平要根据被控对象的性质、重要程度、对危害的承受能力以及对信息安全措施的合理投入而定。

    摘自 工业控制系统信息安全专刊