今日頭條
官方微信
官方抖音
資訊頻道
羅安
研究員級高級工程師,享受國家政府津貼專家
曾任北京和利時系統工程股份有限公司總工程師。長期從事自動化控制系統的研究開發、工程應用工作,七十年代開始研制實施用于生產過程的計算機控制系統,建成了我國第一批掌握自主知識產權的實用化控制系統。多次出國考察學習,將國外大量的新技術應用于新系統開發。作為主要人員開發的大慶煉油廠油品貯運自動化系統、北京供電局電網調度自動化系統等曾獲國家科技進步二等獎、電子工業部科技進步一等獎。從“九五”期間開始,致力于國家重大技術裝備控制系統的國產化、自主化,先后主持研究西氣東輸站場自動化控制系統、核電站計算機監測系統的開發與應用、三峽電站和梯級綜合自動化系統實施方案研究、新一代開放式數控系統開發、城市軌道交通綜合自動化等大型項目。擔任“九五”科技攻關秦山二期監測系統開發的技術負責人,開發研究并形成了自主化的產品。該項目是國家“九五”期間優秀科技攻關項目,于2004年獲電子信息產業科技進步一等獎,本人得到國家有關部委“九五”期間優秀科技人員表彰。著有《分布式控制系統(DCS)設計與應用實例》(第二作者2004年電子工業出版社)及《化工過程控制系統》(第二作者 2006年化學工業出版社)。
在工業控制系統中,我們面臨兩類安全問題,一類是控制系統的功能安全,另一類則是控制系統的信息安全。
在控制系統發展的初期,人們比較關注系統功能的實現。隨著系統規模的擴大和功能復雜程度的增加,系統的可靠性和可用性顯得越來越重要,也越來越受到人們的關注。而到了現代,控制系統已不單純用于工業生產的控制,更是一個具有綜合控制、管理、信息化功能的完整復雜的大系統。因此,對現代控制系統來說,僅要求系統的功能性、可靠性和可用性是遠遠不夠的,還需要特別關注系統的安全性。
控制系統的可靠性、可用性與安全性有著密切的關系,但它們卻是完全不同的概念。可靠性和可用性要求系統能夠長時間、不間斷地運行,任何時間都不喪失系統的控制功能;而安全性則要求系統在出現異常情況(主要指系統運行環境或運行工況的異常,如生產設備出現故障或出現人為誤操作)時,系統能夠正確應對,確保不出現危險或事故。上面所講的系統安全性被稱為系統的功能安全(Safety或Functional Safety)。而對系統更進一步的安全要求則是要求系統在遭受惡意破壞時具有有效的防護能力。如防止通過信息手段入侵系統,以造成系統無法正常運行或核心機密信息被竊取,進而造成嚴重事故的惡意行為。這類安全要求被稱為系統的信息安全(Security)。
很顯然,控制系統的可靠性和可用性注重于系統自身;而系統的功能安全則注重包括被控設備、系統運行環境及操作人員在內的完整系統的完善性、有效性和健壯性;至于信息安全,則更注重防范來自外部的對于系統的安全威脅。
衡量控制系統可靠性和可用性的指標是MTBF、MTTF和MTTR,以及失效率λ和可用率A。
衡量控制系統功能安全的指標有兩個,一個用于低要求模式,其指標為:在需要時(即在出現異常需要系統正確應對時)的系統失效概率;另一個用于高要求模式,用系統失效的頻率表示,其單位是h -1,即每小時出現失效的次數。由于系統失效的頻率極低,通常在 10-4/h到10-9/h,因此人們也常常用平均多少小時出現一次失效來表示系統的失效頻率。在國際標準中用“安全完整性等級”(SIL-Safety Integration Level)來衡量系統的功能安全,SIL可分為四個級別,即SIL1到SIL4,其中SIL 1最低,SIL 4最高。
系統的信息安全是近年來才引起人們重視的新問題。在IT,即信息技術領域,信息安全是信息系統最重要的指標之一,因此也有很多成熟的技術及衡量標準,如防病毒、防攻擊、身份識別與認證、訪問權限控制等。而在工業控制領域,近年來隨著信息技術的廣泛應用和控制系統日益網絡化,信息安全的問題才日益凸顯。由于工業控制系統的系統目標、運行模式,特別是實時性要求與信息系統有很大區別,因此其解決方案和衡量指標也完全不同。針對工業控制系統的信息安全,國際上正在開展廣泛的研究,相應的標準也在逐步制定。總之,工業控制系統的信息安全問題是當前最活躍、發展最快的一個研究開發領域。
大多數控制系統的網絡協議是專用的,即他們大多是封閉系統。從信息安全的角度看,封閉系統具有天然的安全性,因為這類系統不能接受來自外部的、本系統無法識別的任何信息,這樣就大大降低了從外部對系統進行攻擊的危險性。近年來越來越多的控制系統為克服“信息孤島”的問題而在控制系統的開放性方面做了大量改進,如增加開放的網絡接口等,但對于系統內部,基本上還是不開放的。雖然開放性加強了系統的功能,使控制系統能夠完成更多的工作并更加方便使用,但同時也帶來了日益嚴重的信息安全問題。
目前IT領域開放的基礎是IP網絡協議(Internet Protocol),IP實際上是介于網絡傳輸(包括物理介質)和互聯應用之間的一個通用協議,互聯應用依據IP將通信需求轉化為可以在物理介質上傳輸的數據報文,而IP報文則可以通過多種不同物理介質實現傳輸,這樣就實現了不同應用間的互聯互通。由于IP是得到廣泛認可的一個中間層協議,因此幾乎所有的高層協議和底層協議都支持IP,各種應用均可以通過IP互相連接并實現通信,而IP則可通過各種不同通信介質實現信息的物理網絡傳輸。毫無疑問,基于IP所實現的開放性大大擴展了控制系統的功能和覆蓋范圍,但任何事物都具有兩面性,IP的開放性也為通過信息技術對控制系統進行攻擊提供了有利條件。現在的問題是,我們如何揚長避短,既能充分利用開放系統為我們帶來的好處,同時又能防范可能出現的外部攻擊和安全威脅,這就是信息安全要解決的問題。
由于控制系統內部一般是一個封閉系統,而只要我們能夠保證執行控制功能的系統核心不受到侵犯,我們就可以保證控制系統的基本安全。為此我們需要清晰地在系統的關鍵核心控制功能部分與外部功能擴展部分之間劃出一道邊界(boundary或border),采取各種手段來保證邊界內的系統不受攻擊,以此來保證控制系統的信息安全。很顯然,一個封閉的控制系統核心有著清晰的邊界,而采用了開放技術的控制系統核心則很難清晰地劃定邊界,并且采用的開放技術越多,邊界就越難以劃定。目前不少系統為實現復雜的協調控制和數據共享功能,普遍采用了諸如OPC(Object linking and embedding for Process Control)或DCOM(Distributed Component Object Model)這樣的技術,這就為劃定控制系統核心的邊界造成了不小的麻煩。近年來發展迅速的現場總線技術也是一種開放技術,特別是有些現場總線支持IP,這更增加了邊界劃分的難度。為了使控制系統核心具有清晰并防范嚴密的邊界,我們必須仔細地將系統核心的全部對外端口進行標識,包括各個通信端口、人機界面端口直至組態端口,并逐個確定每個端口的防范策略,必要時還要制定縱深防御策略,以確保能夠有效阻擋外部攻擊。
雖然一個封閉的控制系統核心比較容易劃定邊界,但這也并不表明這樣的系統是放在保險箱里的,因為有些端口容易被人忽略,成為系統防線的薄弱環節。例如組態端口,如果通過組態端口向系統下裝了含有惡意攻擊的組態數據,就足以對控制系統造成嚴重危害。另外如人機界面終端,其移動存儲接口(如USB)就很容易成為引入攻擊的薄弱環節。有時外部攻擊并不表現為對系統數據的竊取或惡意篡改,而是簡單造成網絡風暴或廣播風暴,使系統網絡陷于癱瘓,也同樣會對系統造成嚴重危害。另外,在很多SCADA系統中,遠程的數據和控制命令是通過廣域網進行傳輸的,有些甚至是通過公共網絡進行傳輸,這也是容易遭受攻擊的薄弱環節。
與系統的功能安全不同,僅采用技術手段還不足以保證系統的信息安全,有時技術手段甚至不是保證信息安全的主要措施。對于一個重要、關鍵性、復雜、大型的控制系統,必須要有一套嚴格有效的安全管理規范,并切實執行。目前最基本的安全管理包括授權管理和身份認證,用于保證經過授權的人員在其授權范圍內對系統進行操作,而拒絕非授權人員的操作及授權范圍以外的操作。這一點雖然簡單,但嚴格執行卻并不容易。例如經過授權的操作人員通過Password登錄系統后,就可以進行系統操作,而這時如果其他人趁操作人員暫時離開操作終端的機會實施惡意的破壞性操作,就會造成對系統的破壞。對于諸如此類的管理性漏洞,必須要認真、仔細、周到地進行考慮并進行實際場景的模擬分析,以發現漏洞并制定應對措施。在系統的日常運行中,還需要定期檢查執行情況,并對管理規程進行審核,以評估其有效性,發現問題及時修訂,保持管理規程的適用有效。
總之,控制系統的信息安全并不是一個單純針對確定性風險的問題,而是一個面向不確定風險的難題。正因為其面對風險的不確定性,因此我們無法制定一套固定的技術措施和管理規程,并宣稱其能夠保證何種程度的信息安全。對此,信息安全的解決方案必定是一個持續不斷的過程,對于不斷變化的風險,不斷完善和強化防范策略,這樣才能確保系統的信息安全。另外,控制系統的信息安全不存在百分之百保證安全的可能,我們只能將控制系統保持在一個可接受的安全水平上,這個安全水平要根據被控對象的性質、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號