今日頭條
官方微信
官方抖音
資訊頻道
羅安
研究員級(jí)高級(jí)工程師,享受國(guó)家政府津貼專家
曾任北京和利時(shí)系統(tǒng)工程股份有限公司總工程師。長(zhǎng)期從事自動(dòng)化控制系統(tǒng)的研究開(kāi)發(fā)、工程應(yīng)用工作,七十年代開(kāi)始研制實(shí)施用于生產(chǎn)過(guò)程的計(jì)算機(jī)控制系統(tǒng),建成了我國(guó)第一批掌握自主知識(shí)產(chǎn)權(quán)的實(shí)用化控制系統(tǒng)。多次出國(guó)考察學(xué)習(xí),將國(guó)外大量的新技術(shù)應(yīng)用于新系統(tǒng)開(kāi)發(fā)。作為主要人員開(kāi)發(fā)的大慶煉油廠油品貯運(yùn)自動(dòng)化系統(tǒng)、北京供電局電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)等曾獲國(guó)家科技進(jìn)步二等獎(jiǎng)、電子工業(yè)部科技進(jìn)步一等獎(jiǎng)。從“九五”期間開(kāi)始,致力于國(guó)家重大技術(shù)裝備控制系統(tǒng)的國(guó)產(chǎn)化、自主化,先后主持研究西氣東輸站場(chǎng)自動(dòng)化控制系統(tǒng)、核電站計(jì)算機(jī)監(jiān)測(cè)系統(tǒng)的開(kāi)發(fā)與應(yīng)用、三峽電站和梯級(jí)綜合自動(dòng)化系統(tǒng)實(shí)施方案研究、新一代開(kāi)放式數(shù)控系統(tǒng)開(kāi)發(fā)、城市軌道交通綜合自動(dòng)化等大型項(xiàng)目。擔(dān)任“九五”科技攻關(guān)秦山二期監(jiān)測(cè)系統(tǒng)開(kāi)發(fā)的技術(shù)負(fù)責(zé)人,開(kāi)發(fā)研究并形成了自主化的產(chǎn)品。該項(xiàng)目是國(guó)家“九五”期間優(yōu)秀科技攻關(guān)項(xiàng)目,于2004年獲電子信息產(chǎn)業(yè)科技進(jìn)步一等獎(jiǎng),本人得到國(guó)家有關(guān)部委“九五”期間優(yōu)秀科技人員表彰。著有《分布式控制系統(tǒng)(DCS)設(shè)計(jì)與應(yīng)用實(shí)例》(第二作者2004年電子工業(yè)出版社)及《化工過(guò)程控制系統(tǒng)》(第二作者 2006年化學(xué)工業(yè)出版社)。
在工業(yè)控制系統(tǒng)中,我們面臨兩類安全問(wèn)題,一類是控制系統(tǒng)的功能安全,另一類則是控制系統(tǒng)的信息安全。
在控制系統(tǒng)發(fā)展的初期,人們比較關(guān)注系統(tǒng)功能的實(shí)現(xiàn)。隨著系統(tǒng)規(guī)模的擴(kuò)大和功能復(fù)雜程度的增加,系統(tǒng)的可靠性和可用性顯得越來(lái)越重要,也越來(lái)越受到人們的關(guān)注。而到了現(xiàn)代,控制系統(tǒng)已不單純用于工業(yè)生產(chǎn)的控制,更是一個(gè)具有綜合控制、管理、信息化功能的完整復(fù)雜的大系統(tǒng)。因此,對(duì)現(xiàn)代控制系統(tǒng)來(lái)說(shuō),僅要求系統(tǒng)的功能性、可靠性和可用性是遠(yuǎn)遠(yuǎn)不夠的,還需要特別關(guān)注系統(tǒng)的安全性。
控制系統(tǒng)的可靠性、可用性與安全性有著密切的關(guān)系,但它們卻是完全不同的概念。可靠性和可用性要求系統(tǒng)能夠長(zhǎng)時(shí)間、不間斷地運(yùn)行,任何時(shí)間都不喪失系統(tǒng)的控制功能;而安全性則要求系統(tǒng)在出現(xiàn)異常情況(主要指系統(tǒng)運(yùn)行環(huán)境或運(yùn)行工況的異常,如生產(chǎn)設(shè)備出現(xiàn)故障或出現(xiàn)人為誤操作)時(shí),系統(tǒng)能夠正確應(yīng)對(duì),確保不出現(xiàn)危險(xiǎn)或事故。上面所講的系統(tǒng)安全性被稱為系統(tǒng)的功能安全(Safety或Functional Safety)。而對(duì)系統(tǒng)更進(jìn)一步的安全要求則是要求系統(tǒng)在遭受惡意破壞時(shí)具有有效的防護(hù)能力。如防止通過(guò)信息手段入侵系統(tǒng),以造成系統(tǒng)無(wú)法正常運(yùn)行或核心機(jī)密信息被竊取,進(jìn)而造成嚴(yán)重事故的惡意行為。這類安全要求被稱為系統(tǒng)的信息安全(Security)。
很顯然,控制系統(tǒng)的可靠性和可用性注重于系統(tǒng)自身;而系統(tǒng)的功能安全則注重包括被控設(shè)備、系統(tǒng)運(yùn)行環(huán)境及操作人員在內(nèi)的完整系統(tǒng)的完善性、有效性和健壯性;至于信息安全,則更注重防范來(lái)自外部的對(duì)于系統(tǒng)的安全威脅。
衡量控制系統(tǒng)可靠性和可用性的指標(biāo)是MTBF、MTTF和MTTR,以及失效率λ和可用率A。
衡量控制系統(tǒng)功能安全的指標(biāo)有兩個(gè),一個(gè)用于低要求模式,其指標(biāo)為:在需要時(shí)(即在出現(xiàn)異常需要系統(tǒng)正確應(yīng)對(duì)時(shí))的系統(tǒng)失效概率;另一個(gè)用于高要求模式,用系統(tǒng)失效的頻率表示,其單位是h -1,即每小時(shí)出現(xiàn)失效的次數(shù)。由于系統(tǒng)失效的頻率極低,通常在 10-4/h到10-9/h,因此人們也常常用平均多少小時(shí)出現(xiàn)一次失效來(lái)表示系統(tǒng)的失效頻率。在國(guó)際標(biāo)準(zhǔn)中用“安全完整性等級(jí)”(SIL-Safety Integration Level)來(lái)衡量系統(tǒng)的功能安全,SIL可分為四個(gè)級(jí)別,即SIL1到SIL4,其中SIL 1最低,SIL 4最高。
系統(tǒng)的信息安全是近年來(lái)才引起人們重視的新問(wèn)題。在IT,即信息技術(shù)領(lǐng)域,信息安全是信息系統(tǒng)最重要的指標(biāo)之一,因此也有很多成熟的技術(shù)及衡量標(biāo)準(zhǔn),如防病毒、防攻擊、身份識(shí)別與認(rèn)證、訪問(wèn)權(quán)限控制等。而在工業(yè)控制領(lǐng)域,近年來(lái)隨著信息技術(shù)的廣泛應(yīng)用和控制系統(tǒng)日益網(wǎng)絡(luò)化,信息安全的問(wèn)題才日益凸顯。由于工業(yè)控制系統(tǒng)的系統(tǒng)目標(biāo)、運(yùn)行模式,特別是實(shí)時(shí)性要求與信息系統(tǒng)有很大區(qū)別,因此其解決方案和衡量指標(biāo)也完全不同。針對(duì)工業(yè)控制系統(tǒng)的信息安全,國(guó)際上正在開(kāi)展廣泛的研究,相應(yīng)的標(biāo)準(zhǔn)也在逐步制定。總之,工業(yè)控制系統(tǒng)的信息安全問(wèn)題是當(dāng)前最活躍、發(fā)展最快的一個(gè)研究開(kāi)發(fā)領(lǐng)域。
大多數(shù)控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議是專用的,即他們大多是封閉系統(tǒng)。從信息安全的角度看,封閉系統(tǒng)具有天然的安全性,因?yàn)檫@類系統(tǒng)不能接受來(lái)自外部的、本系統(tǒng)無(wú)法識(shí)別的任何信息,這樣就大大降低了從外部對(duì)系統(tǒng)進(jìn)行攻擊的危險(xiǎn)性。近年來(lái)越來(lái)越多的控制系統(tǒng)為克服“信息孤島”的問(wèn)題而在控制系統(tǒng)的開(kāi)放性方面做了大量改進(jìn),如增加開(kāi)放的網(wǎng)絡(luò)接口等,但對(duì)于系統(tǒng)內(nèi)部,基本上還是不開(kāi)放的。雖然開(kāi)放性加強(qiáng)了系統(tǒng)的功能,使控制系統(tǒng)能夠完成更多的工作并更加方便使用,但同時(shí)也帶來(lái)了日益嚴(yán)重的信息安全問(wèn)題。
目前IT領(lǐng)域開(kāi)放的基礎(chǔ)是IP網(wǎng)絡(luò)協(xié)議(Internet Protocol),IP實(shí)際上是介于網(wǎng)絡(luò)傳輸(包括物理介質(zhì))和互聯(lián)應(yīng)用之間的一個(gè)通用協(xié)議,互聯(lián)應(yīng)用依據(jù)IP將通信需求轉(zhuǎn)化為可以在物理介質(zhì)上傳輸?shù)臄?shù)據(jù)報(bào)文,而IP報(bào)文則可以通過(guò)多種不同物理介質(zhì)實(shí)現(xiàn)傳輸,這樣就實(shí)現(xiàn)了不同應(yīng)用間的互聯(lián)互通。由于IP是得到廣泛認(rèn)可的一個(gè)中間層協(xié)議,因此幾乎所有的高層協(xié)議和底層協(xié)議都支持IP,各種應(yīng)用均可以通過(guò)IP互相連接并實(shí)現(xiàn)通信,而IP則可通過(guò)各種不同通信介質(zhì)實(shí)現(xiàn)信息的物理網(wǎng)絡(luò)傳輸。毫無(wú)疑問(wèn),基于IP所實(shí)現(xiàn)的開(kāi)放性大大擴(kuò)展了控制系統(tǒng)的功能和覆蓋范圍,但任何事物都具有兩面性,IP的開(kāi)放性也為通過(guò)信息技術(shù)對(duì)控制系統(tǒng)進(jìn)行攻擊提供了有利條件。現(xiàn)在的問(wèn)題是,我們?nèi)绾螕P(yáng)長(zhǎng)避短,既能充分利用開(kāi)放系統(tǒng)為我們帶來(lái)的好處,同時(shí)又能防范可能出現(xiàn)的外部攻擊和安全威脅,這就是信息安全要解決的問(wèn)題。
由于控制系統(tǒng)內(nèi)部一般是一個(gè)封閉系統(tǒng),而只要我們能夠保證執(zhí)行控制功能的系統(tǒng)核心不受到侵犯,我們就可以保證控制系統(tǒng)的基本安全。為此我們需要清晰地在系統(tǒng)的關(guān)鍵核心控制功能部分與外部功能擴(kuò)展部分之間劃出一道邊界(boundary或border),采取各種手段來(lái)保證邊界內(nèi)的系統(tǒng)不受攻擊,以此來(lái)保證控制系統(tǒng)的信息安全。很顯然,一個(gè)封閉的控制系統(tǒng)核心有著清晰的邊界,而采用了開(kāi)放技術(shù)的控制系統(tǒng)核心則很難清晰地劃定邊界,并且采用的開(kāi)放技術(shù)越多,邊界就越難以劃定。目前不少系統(tǒng)為實(shí)現(xiàn)復(fù)雜的協(xié)調(diào)控制和數(shù)據(jù)共享功能,普遍采用了諸如OPC(Object linking and embedding for Process Control)或DCOM(Distributed Component Object Model)這樣的技術(shù),這就為劃定控制系統(tǒng)核心的邊界造成了不小的麻煩。近年來(lái)發(fā)展迅速的現(xiàn)場(chǎng)總線技術(shù)也是一種開(kāi)放技術(shù),特別是有些現(xiàn)場(chǎng)總線支持IP,這更增加了邊界劃分的難度。為了使控制系統(tǒng)核心具有清晰并防范嚴(yán)密的邊界,我們必須仔細(xì)地將系統(tǒng)核心的全部對(duì)外端口進(jìn)行標(biāo)識(shí),包括各個(gè)通信端口、人機(jī)界面端口直至組態(tài)端口,并逐個(gè)確定每個(gè)端口的防范策略,必要時(shí)還要制定縱深防御策略,以確保能夠有效阻擋外部攻擊。
雖然一個(gè)封閉的控制系統(tǒng)核心比較容易劃定邊界,但這也并不表明這樣的系統(tǒng)是放在保險(xiǎn)箱里的,因?yàn)橛行┒丝谌菀妆蝗撕雎裕蔀橄到y(tǒng)防線的薄弱環(huán)節(jié)。例如組態(tài)端口,如果通過(guò)組態(tài)端口向系統(tǒng)下裝了含有惡意攻擊的組態(tài)數(shù)據(jù),就足以對(duì)控制系統(tǒng)造成嚴(yán)重危害。另外如人機(jī)界面終端,其移動(dòng)存儲(chǔ)接口(如USB)就很容易成為引入攻擊的薄弱環(huán)節(jié)。有時(shí)外部攻擊并不表現(xiàn)為對(duì)系統(tǒng)數(shù)據(jù)的竊取或惡意篡改,而是簡(jiǎn)單造成網(wǎng)絡(luò)風(fēng)暴或廣播風(fēng)暴,使系統(tǒng)網(wǎng)絡(luò)陷于癱瘓,也同樣會(huì)對(duì)系統(tǒng)造成嚴(yán)重危害。另外,在很多SCADA系統(tǒng)中,遠(yuǎn)程的數(shù)據(jù)和控制命令是通過(guò)廣域網(wǎng)進(jìn)行傳輸?shù)模行┥踔潦峭ㄟ^(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸,這也是容易遭受攻擊的薄弱環(huán)節(jié)。
與系統(tǒng)的功能安全不同,僅采用技術(shù)手段還不足以保證系統(tǒng)的信息安全,有時(shí)技術(shù)手段甚至不是保證信息安全的主要措施。對(duì)于一個(gè)重要、關(guān)鍵性、復(fù)雜、大型的控制系統(tǒng),必須要有一套嚴(yán)格有效的安全管理規(guī)范,并切實(shí)執(zhí)行。目前最基本的安全管理包括授權(quán)管理和身份認(rèn)證,用于保證經(jīng)過(guò)授權(quán)的人員在其授權(quán)范圍內(nèi)對(duì)系統(tǒng)進(jìn)行操作,而拒絕非授權(quán)人員的操作及授權(quán)范圍以外的操作。這一點(diǎn)雖然簡(jiǎn)單,但嚴(yán)格執(zhí)行卻并不容易。例如經(jīng)過(guò)授權(quán)的操作人員通過(guò)Password登錄系統(tǒng)后,就可以進(jìn)行系統(tǒng)操作,而這時(shí)如果其他人趁操作人員暫時(shí)離開(kāi)操作終端的機(jī)會(huì)實(shí)施惡意的破壞性操作,就會(huì)造成對(duì)系統(tǒng)的破壞。對(duì)于諸如此類的管理性漏洞,必須要認(rèn)真、仔細(xì)、周到地進(jìn)行考慮并進(jìn)行實(shí)際場(chǎng)景的模擬分析,以發(fā)現(xiàn)漏洞并制定應(yīng)對(duì)措施。在系統(tǒng)的日常運(yùn)行中,還需要定期檢查執(zhí)行情況,并對(duì)管理規(guī)程進(jìn)行審核,以評(píng)估其有效性,發(fā)現(xiàn)問(wèn)題及時(shí)修訂,保持管理規(guī)程的適用有效。
總之,控制系統(tǒng)的信息安全并不是一個(gè)單純針對(duì)確定性風(fēng)險(xiǎn)的問(wèn)題,而是一個(gè)面向不確定風(fēng)險(xiǎn)的難題。正因?yàn)槠涿鎸?duì)風(fēng)險(xiǎn)的不確定性,因此我們無(wú)法制定一套固定的技術(shù)措施和管理規(guī)程,并宣稱其能夠保證何種程度的信息安全。對(duì)此,信息安全的解決方案必定是一個(gè)持續(xù)不斷的過(guò)程,對(duì)于不斷變化的風(fēng)險(xiǎn),不斷完善和強(qiáng)化防范策略,這樣才能確保系統(tǒng)的信息安全。另外,控制系統(tǒng)的信息安全不存在百分之百保證安全的可能,我們只能將控制系統(tǒng)保持在一個(gè)可接受的安全水平上,這個(gè)安全水平要根據(jù)被控對(duì)象的性質(zhì)、重要程度、對(duì)危害的承受能力以及對(duì)信息安全措施的合理投入而定。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)