今日頭條
官方微信
官方抖音
資訊頻道
羅安
研究員級高級工程師,享受國家政府津貼專家
曾任北京和利時系統(tǒng)工程股份有限公司總工程師。長期從事自動化控制系統(tǒng)的研究開發(fā)、工程應用工作,七十年代開始研制實施用于生產(chǎn)過程的計算機控制系統(tǒng),建成了我國第一批掌握自主知識產(chǎn)權(quán)的實用化控制系統(tǒng)。多次出國考察學習,將國外大量的新技術(shù)應用于新系統(tǒng)開發(fā)。作為主要人員開發(fā)的大慶煉油廠油品貯運自動化系統(tǒng)、北京供電局電網(wǎng)調(diào)度自動化系統(tǒng)等曾獲國家科技進步二等獎、電子工業(yè)部科技進步一等獎。從“九五”期間開始,致力于國家重大技術(shù)裝備控制系統(tǒng)的國產(chǎn)化、自主化,先后主持研究西氣東輸站場自動化控制系統(tǒng)、核電站計算機監(jiān)測系統(tǒng)的開發(fā)與應用、三峽電站和梯級綜合自動化系統(tǒng)實施方案研究、新一代開放式數(shù)控系統(tǒng)開發(fā)、城市軌道交通綜合自動化等大型項目。擔任“九五”科技攻關(guān)秦山二期監(jiān)測系統(tǒng)開發(fā)的技術(shù)負責人,開發(fā)研究并形成了自主化的產(chǎn)品。該項目是國家“九五”期間優(yōu)秀科技攻關(guān)項目,于2004年獲電子信息產(chǎn)業(yè)科技進步一等獎,本人得到國家有關(guān)部委“九五”期間優(yōu)秀科技人員表彰。著有《分布式控制系統(tǒng)(DCS)設計與應用實例》(第二作者2004年電子工業(yè)出版社)及《化工過程控制系統(tǒng)》(第二作者 2006年化學工業(yè)出版社)。
在工業(yè)控制系統(tǒng)中,我們面臨兩類安全問題,一類是控制系統(tǒng)的功能安全,另一類則是控制系統(tǒng)的信息安全。
在控制系統(tǒng)發(fā)展的初期,人們比較關(guān)注系統(tǒng)功能的實現(xiàn)。隨著系統(tǒng)規(guī)模的擴大和功能復雜程度的增加,系統(tǒng)的可靠性和可用性顯得越來越重要,也越來越受到人們的關(guān)注。而到了現(xiàn)代,控制系統(tǒng)已不單純用于工業(yè)生產(chǎn)的控制,更是一個具有綜合控制、管理、信息化功能的完整復雜的大系統(tǒng)。因此,對現(xiàn)代控制系統(tǒng)來說,僅要求系統(tǒng)的功能性、可靠性和可用性是遠遠不夠的,還需要特別關(guān)注系統(tǒng)的安全性。
控制系統(tǒng)的可靠性、可用性與安全性有著密切的關(guān)系,但它們卻是完全不同的概念。可靠性和可用性要求系統(tǒng)能夠長時間、不間斷地運行,任何時間都不喪失系統(tǒng)的控制功能;而安全性則要求系統(tǒng)在出現(xiàn)異常情況(主要指系統(tǒng)運行環(huán)境或運行工況的異常,如生產(chǎn)設備出現(xiàn)故障或出現(xiàn)人為誤操作)時,系統(tǒng)能夠正確應對,確保不出現(xiàn)危險或事故。上面所講的系統(tǒng)安全性被稱為系統(tǒng)的功能安全(Safety或Functional Safety)。而對系統(tǒng)更進一步的安全要求則是要求系統(tǒng)在遭受惡意破壞時具有有效的防護能力。如防止通過信息手段入侵系統(tǒng),以造成系統(tǒng)無法正常運行或核心機密信息被竊取,進而造成嚴重事故的惡意行為。這類安全要求被稱為系統(tǒng)的信息安全(Security)。
很顯然,控制系統(tǒng)的可靠性和可用性注重于系統(tǒng)自身;而系統(tǒng)的功能安全則注重包括被控設備、系統(tǒng)運行環(huán)境及操作人員在內(nèi)的完整系統(tǒng)的完善性、有效性和健壯性;至于信息安全,則更注重防范來自外部的對于系統(tǒng)的安全威脅。
衡量控制系統(tǒng)可靠性和可用性的指標是MTBF、MTTF和MTTR,以及失效率λ和可用率A。
衡量控制系統(tǒng)功能安全的指標有兩個,一個用于低要求模式,其指標為:在需要時(即在出現(xiàn)異常需要系統(tǒng)正確應對時)的系統(tǒng)失效概率;另一個用于高要求模式,用系統(tǒng)失效的頻率表示,其單位是h -1,即每小時出現(xiàn)失效的次數(shù)。由于系統(tǒng)失效的頻率極低,通常在 10-4/h到10-9/h,因此人們也常常用平均多少小時出現(xiàn)一次失效來表示系統(tǒng)的失效頻率。在國際標準中用“安全完整性等級”(SIL-Safety Integration Level)來衡量系統(tǒng)的功能安全,SIL可分為四個級別,即SIL1到SIL4,其中SIL 1最低,SIL 4最高。
系統(tǒng)的信息安全是近年來才引起人們重視的新問題。在IT,即信息技術(shù)領(lǐng)域,信息安全是信息系統(tǒng)最重要的指標之一,因此也有很多成熟的技術(shù)及衡量標準,如防病毒、防攻擊、身份識別與認證、訪問權(quán)限控制等。而在工業(yè)控制領(lǐng)域,近年來隨著信息技術(shù)的廣泛應用和控制系統(tǒng)日益網(wǎng)絡化,信息安全的問題才日益凸顯。由于工業(yè)控制系統(tǒng)的系統(tǒng)目標、運行模式,特別是實時性要求與信息系統(tǒng)有很大區(qū)別,因此其解決方案和衡量指標也完全不同。針對工業(yè)控制系統(tǒng)的信息安全,國際上正在開展廣泛的研究,相應的標準也在逐步制定。總之,工業(yè)控制系統(tǒng)的信息安全問題是當前最活躍、發(fā)展最快的一個研究開發(fā)領(lǐng)域。
大多數(shù)控制系統(tǒng)的網(wǎng)絡協(xié)議是專用的,即他們大多是封閉系統(tǒng)。從信息安全的角度看,封閉系統(tǒng)具有天然的安全性,因為這類系統(tǒng)不能接受來自外部的、本系統(tǒng)無法識別的任何信息,這樣就大大降低了從外部對系統(tǒng)進行攻擊的危險性。近年來越來越多的控制系統(tǒng)為克服“信息孤島”的問題而在控制系統(tǒng)的開放性方面做了大量改進,如增加開放的網(wǎng)絡接口等,但對于系統(tǒng)內(nèi)部,基本上還是不開放的。雖然開放性加強了系統(tǒng)的功能,使控制系統(tǒng)能夠完成更多的工作并更加方便使用,但同時也帶來了日益嚴重的信息安全問題。
目前IT領(lǐng)域開放的基礎是IP網(wǎng)絡協(xié)議(Internet Protocol),IP實際上是介于網(wǎng)絡傳輸(包括物理介質(zhì))和互聯(lián)應用之間的一個通用協(xié)議,互聯(lián)應用依據(jù)IP將通信需求轉(zhuǎn)化為可以在物理介質(zhì)上傳輸?shù)臄?shù)據(jù)報文,而IP報文則可以通過多種不同物理介質(zhì)實現(xiàn)傳輸,這樣就實現(xiàn)了不同應用間的互聯(lián)互通。由于IP是得到廣泛認可的一個中間層協(xié)議,因此幾乎所有的高層協(xié)議和底層協(xié)議都支持IP,各種應用均可以通過IP互相連接并實現(xiàn)通信,而IP則可通過各種不同通信介質(zhì)實現(xiàn)信息的物理網(wǎng)絡傳輸。毫無疑問,基于IP所實現(xiàn)的開放性大大擴展了控制系統(tǒng)的功能和覆蓋范圍,但任何事物都具有兩面性,IP的開放性也為通過信息技術(shù)對控制系統(tǒng)進行攻擊提供了有利條件。現(xiàn)在的問題是,我們?nèi)绾螕P長避短,既能充分利用開放系統(tǒng)為我們帶來的好處,同時又能防范可能出現(xiàn)的外部攻擊和安全威脅,這就是信息安全要解決的問題。
由于控制系統(tǒng)內(nèi)部一般是一個封閉系統(tǒng),而只要我們能夠保證執(zhí)行控制功能的系統(tǒng)核心不受到侵犯,我們就可以保證控制系統(tǒng)的基本安全。為此我們需要清晰地在系統(tǒng)的關(guān)鍵核心控制功能部分與外部功能擴展部分之間劃出一道邊界(boundary或border),采取各種手段來保證邊界內(nèi)的系統(tǒng)不受攻擊,以此來保證控制系統(tǒng)的信息安全。很顯然,一個封閉的控制系統(tǒng)核心有著清晰的邊界,而采用了開放技術(shù)的控制系統(tǒng)核心則很難清晰地劃定邊界,并且采用的開放技術(shù)越多,邊界就越難以劃定。目前不少系統(tǒng)為實現(xiàn)復雜的協(xié)調(diào)控制和數(shù)據(jù)共享功能,普遍采用了諸如OPC(Object linking and embedding for Process Control)或DCOM(Distributed Component Object Model)這樣的技術(shù),這就為劃定控制系統(tǒng)核心的邊界造成了不小的麻煩。近年來發(fā)展迅速的現(xiàn)場總線技術(shù)也是一種開放技術(shù),特別是有些現(xiàn)場總線支持IP,這更增加了邊界劃分的難度。為了使控制系統(tǒng)核心具有清晰并防范嚴密的邊界,我們必須仔細地將系統(tǒng)核心的全部對外端口進行標識,包括各個通信端口、人機界面端口直至組態(tài)端口,并逐個確定每個端口的防范策略,必要時還要制定縱深防御策略,以確保能夠有效阻擋外部攻擊。
雖然一個封閉的控制系統(tǒng)核心比較容易劃定邊界,但這也并不表明這樣的系統(tǒng)是放在保險箱里的,因為有些端口容易被人忽略,成為系統(tǒng)防線的薄弱環(huán)節(jié)。例如組態(tài)端口,如果通過組態(tài)端口向系統(tǒng)下裝了含有惡意攻擊的組態(tài)數(shù)據(jù),就足以對控制系統(tǒng)造成嚴重危害。另外如人機界面終端,其移動存儲接口(如USB)就很容易成為引入攻擊的薄弱環(huán)節(jié)。有時外部攻擊并不表現(xiàn)為對系統(tǒng)數(shù)據(jù)的竊取或惡意篡改,而是簡單造成網(wǎng)絡風暴或廣播風暴,使系統(tǒng)網(wǎng)絡陷于癱瘓,也同樣會對系統(tǒng)造成嚴重危害。另外,在很多SCADA系統(tǒng)中,遠程的數(shù)據(jù)和控制命令是通過廣域網(wǎng)進行傳輸?shù)模行┥踔潦峭ㄟ^公共網(wǎng)絡進行傳輸,這也是容易遭受攻擊的薄弱環(huán)節(jié)。
與系統(tǒng)的功能安全不同,僅采用技術(shù)手段還不足以保證系統(tǒng)的信息安全,有時技術(shù)手段甚至不是保證信息安全的主要措施。對于一個重要、關(guān)鍵性、復雜、大型的控制系統(tǒng),必須要有一套嚴格有效的安全管理規(guī)范,并切實執(zhí)行。目前最基本的安全管理包括授權(quán)管理和身份認證,用于保證經(jīng)過授權(quán)的人員在其授權(quán)范圍內(nèi)對系統(tǒng)進行操作,而拒絕非授權(quán)人員的操作及授權(quán)范圍以外的操作。這一點雖然簡單,但嚴格執(zhí)行卻并不容易。例如經(jīng)過授權(quán)的操作人員通過Password登錄系統(tǒng)后,就可以進行系統(tǒng)操作,而這時如果其他人趁操作人員暫時離開操作終端的機會實施惡意的破壞性操作,就會造成對系統(tǒng)的破壞。對于諸如此類的管理性漏洞,必須要認真、仔細、周到地進行考慮并進行實際場景的模擬分析,以發(fā)現(xiàn)漏洞并制定應對措施。在系統(tǒng)的日常運行中,還需要定期檢查執(zhí)行情況,并對管理規(guī)程進行審核,以評估其有效性,發(fā)現(xiàn)問題及時修訂,保持管理規(guī)程的適用有效。
總之,控制系統(tǒng)的信息安全并不是一個單純針對確定性風險的問題,而是一個面向不確定風險的難題。正因為其面對風險的不確定性,因此我們無法制定一套固定的技術(shù)措施和管理規(guī)程,并宣稱其能夠保證何種程度的信息安全。對此,信息安全的解決方案必定是一個持續(xù)不斷的過程,對于不斷變化的風險,不斷完善和強化防范策略,這樣才能確保系統(tǒng)的信息安全。另外,控制系統(tǒng)的信息安全不存在百分之百保證安全的可能,我們只能將控制系統(tǒng)保持在一個可接受的安全水平上,這個安全水平要根據(jù)被控對象的性質(zhì)、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號