今日頭條
官方微信
官方抖音
資訊頻道
1 簡要的歷史回顧
自動化是與工業(yè)化伴生而且是并行發(fā)展的一門新興的科學技術,在以機器大生產(chǎn)為標志的工業(yè)化開始的同時,以機器控制為主要功能的自動化設備就同時產(chǎn)生了。早期的自動化設備是依附于生產(chǎn)機器的,并沒有形成獨立的技術體系及獨立的產(chǎn)業(yè)。在相當長的一段工業(yè)化發(fā)展歷史中,各個工業(yè)領域的自動化都是作為附屬于該領域主生產(chǎn)設備與技術的輔助性設備和技術發(fā)展的,這就造成了自動化體系的多樣性,如石油、化工、電力、機械制造、交通運輸、食品藥品等不同行業(yè),都具有各自不同特點的自動化設備及系統(tǒng)。
自動化技術包含了兩個方面的內容,一個方面是控制原理或方法,如在加熱爐中我們可以通過控制燃料流量的方法來控制溫度,為保持溫度的平穩(wěn),可以采取反饋控制的算法。另一方面是實現(xiàn)控制方法的具體設備,如控制儀表、DCS、PLC等,這些設備從現(xiàn)場采集實時數(shù)據(jù),通過計算得到控制量,并輸出到執(zhí)行機構實現(xiàn)對目標生產(chǎn)設備的控制。在工業(yè)界,人們在討論自動化系統(tǒng)、工業(yè)控制系統(tǒng)等問題時,一般都是指實現(xiàn)控制方法的設備及系統(tǒng)。隨著對控制理論的深入研究以及控制系統(tǒng)的不斷發(fā)展進步,自動化行業(yè)也逐步形成了自己相對獨立的學科和技術體系。各個工業(yè)領域在控制方面的共性問題逐步被歸納在一起,在控制原理和方法以及實現(xiàn)控制方法的設備和系統(tǒng)方面,都形成了一些工業(yè)生產(chǎn)行業(yè)特征不十分明顯的,具有一定通用性的理論和系統(tǒng)。這種趨勢在近年來工控系統(tǒng)逐步走向數(shù)字化和信息化以后就更加明顯了。
與傳統(tǒng)工業(yè)控制系統(tǒng)相比,現(xiàn)代的工控系統(tǒng)全面采用了數(shù)字技術,其最基本的特征是,所有被控設備的設備參數(shù)、運行參數(shù)、實時狀態(tài)以及控制指令都是以便于計算機處理的二進制數(shù)碼的形態(tài)進行處理及傳輸?shù)摹?shù)字技術在工控系統(tǒng)中的廣泛采用,使其產(chǎn)生了革命性的變化。表1是對傳統(tǒng)工控系統(tǒng)與現(xiàn)代工控系統(tǒng)主要特點的比較。
從表1可以看出,基于數(shù)字技術的現(xiàn)代工控系統(tǒng)與傳統(tǒng)技術的系統(tǒng)相比,具有極大的優(yōu)越性。由于控制功能的實現(xiàn)是基于軟件的,因此具有精確性、穩(wěn)定性、靈活性,能夠實現(xiàn)復雜的算法,包括更多的智能處理。另外,由于數(shù)字信號可以通過網(wǎng)絡進行傳輸和共享,因此消除了控制孤島,實現(xiàn)了多個控制點的協(xié)調控制,更為生產(chǎn)管理和企業(yè)經(jīng)營實現(xiàn)信息化提供了堅實的基礎。可以說,軟件和網(wǎng)絡這兩大信息技術完全改變了工業(yè)控制系統(tǒng),使其功能更加強大,更加通用和開放,更加靈活和智能化。
2 新技術帶來的風險
但是,事物都有兩面性,軟件技術和網(wǎng)絡技術給工控系統(tǒng)帶來巨大進步的同時,也產(chǎn)生了巨大的風險,這個風險集中表現(xiàn)在功能安全和信息安全兩個方面。在表1中我們可以看出,傳統(tǒng)工控系統(tǒng)的控制模式是并行的,其優(yōu)越性不止表現(xiàn)在快速性方面,在系統(tǒng)的功能安全方面也具有先天的優(yōu)越性。在整個控制系統(tǒng)中,任何局部故障或失效基本上只影響局部,我們很容易將其快速隔離并處理。而在數(shù)字化的工控系統(tǒng)中,由于功能通過軟件實現(xiàn),其操作模式是串行的,除了控制的快速性不好以外,系統(tǒng)中任何局部的故障或失效都有可能影響后續(xù)功能的實現(xiàn),也就是說,在一個串行執(zhí)行的系統(tǒng)中,各個環(huán)節(jié)的關聯(lián)度相當高,局部的問題也更容易擴散。另外,由于網(wǎng)絡技術消除了控制孤島,各類信息能夠更加方便地傳輸和共享,這樣也帶來了信息安全的隱患。可以說,功能安全方面的負面影響更多的是來自軟件技術,即來自越來越多的功能依靠軟件實現(xiàn)的現(xiàn)實情況;而信息安全方面的負面影響則更多地來自網(wǎng)絡技術。
既然新技術的發(fā)展勢在必行,那么對于安全性的保證就必須在新技術日益廣泛應用的現(xiàn)實基礎上予以考慮。也就是說,我們要關注工業(yè)控制系統(tǒng)的信息安全問題,就必須從軟件技術和網(wǎng)絡技術出發(fā)進行考慮,因為我們不可能回到模擬技術時代,盡管模擬技術在信息安全方面具有先天優(yōu)勢。首先看網(wǎng)絡技術。目前我們依靠各個層級的網(wǎng)絡,在工業(yè)控制系統(tǒng)中基本消除了控制孤島和信息孤島,這對于系統(tǒng)的功能提升無疑是革命性的進步,但同時這也給惡意入侵控制系統(tǒng)提供了途徑。隨著系統(tǒng)越來越開放、規(guī)模越來越大、功能越來越復雜,這種對系統(tǒng)的入侵也變得越來越容易、越來越隱蔽、越來越難于發(fā)現(xiàn)和防范。應該說,系統(tǒng)中網(wǎng)絡的開放性和復雜性是防范惡意入侵的最大障礙。因為在開放的網(wǎng)絡環(huán)境中,各種病毒、木馬,可以被黑客利用的資源十分豐富,入侵手段也五花八門,防不勝防。
其次,由于所有運算與控制功能均由軟件實現(xiàn),雖然這可以實現(xiàn)復雜的功能,系統(tǒng)可以靈活配置(通過組態(tài)工具),還可以實現(xiàn)高度的智能處理,但這也給惡意的攻擊提供了可能性。黑客可以通過組態(tài)數(shù)據(jù)的導入或直接注入可執(zhí)行代碼,即可實現(xiàn)改變控制行為的目的,給正常安全生產(chǎn)造成了極大的威脅。
隨著工控系統(tǒng)分散程度的不斷提高,系統(tǒng)對網(wǎng)絡的需求會越來越大,特別是方便靈活的無線網(wǎng)絡。近年來,現(xiàn)場總線技術發(fā)展迅速,其最主要目標是用數(shù)字傳輸技術徹底取代模擬信號傳輸技術。應該說,從傳感器到控制處理單元,或從控制處理單元到現(xiàn)場執(zhí)行器之間的信號傳輸是整個工控系統(tǒng)中未實現(xiàn)數(shù)字化的最后一個部分。如果這一部分實現(xiàn)了數(shù)字化,將使系統(tǒng)從現(xiàn)場得到更加豐富的信息,系統(tǒng)控制的精細化程度、廣泛性、深入程度等也都將得到極大的提升。更重要的是,隨著數(shù)字化技術延伸到現(xiàn)場端,工控系統(tǒng)的形態(tài)也將發(fā)生巨大的變化。可以想象,將來的工業(yè)控制系統(tǒng)將成為一個建立在有著巨大數(shù)量的嵌入式智能現(xiàn)場設備(智能檢測設備和智能控制器)基礎上的龐大的網(wǎng)絡系統(tǒng)。從表面看,系統(tǒng)又回到了傳統(tǒng)儀表控制系統(tǒng)的完全分散和與被控生產(chǎn)裝置緊密結合的多島形態(tài),所不同的是,各個測量控制點都具備很強的網(wǎng)絡通信能力,都是控制系統(tǒng)整體網(wǎng)絡上的一個個智能節(jié)點,它們既可以實現(xiàn)局部控制,也可以實現(xiàn)整體的協(xié)調動作,使整個系統(tǒng)形成一個有機的整體。
這樣的系統(tǒng)會在很大程度上依賴網(wǎng)絡,因此系統(tǒng)在安全性、可靠性、實時性等關鍵性能上將完全取決于網(wǎng)絡。特別是將來系統(tǒng)所采用的網(wǎng)絡產(chǎn)品及網(wǎng)絡協(xié)議基本上走開放路線,公共網(wǎng)絡也不可避免地會被引入到系統(tǒng)之中,那么,針對網(wǎng)絡的攻擊或網(wǎng)絡上存在的微小缺陷或漏洞都將是對系統(tǒng)最大的威脅,而開放網(wǎng)絡乃至公共網(wǎng)絡都是很容易遭受攻擊的。
在這里,我們必須著重強調的是,信息安全問題可能會比功能安全的問題更難于解決,因為功能安全所面對的是機器和設備,其存在的問題和失效風險基本上是確定的,只要我們采取了有效的技術手段,就可以有效降低安全風險。而信息安全所要面對的主要是人為因素,是與懷有惡意的攻擊者所進行的博弈或攻防。這正如一場戰(zhàn)爭,敵我雙方都在不斷地改變著戰(zhàn)術和策略,因此我們所面對的完全是一種不確定的風險。我們需要隨時檢視系統(tǒng)存在的風險和漏洞,并采取相應措施改進并完善防護策略,方能抵御攻擊風險。
3 對策分析
可以讓人稍感慶幸的是,大多數(shù)控制系統(tǒng)的網(wǎng)絡協(xié)議是專用的,即他們大多是封閉系統(tǒng)。從信息安全的角度看,封閉系統(tǒng)具有天然的安全性,因為這類系統(tǒng)不能接受來自外部的、本系統(tǒng)無法識別的任何信息,這樣就大大降低了從外部對系統(tǒng)進行攻擊的危險性。近年來,越來越多的控制系統(tǒng)為克服“信息孤島”的問題而在控制系統(tǒng)的開放性方面做了大量的改進,如增加開放的網(wǎng)絡接口等,但對于系統(tǒng)內部,基本上還是不開放的。雖然開放性加強了系統(tǒng)的功能,使控制系統(tǒng)能夠完成更多的工作并更加方便使用,但同時也帶來了日益嚴重的信息安全問題。
目前IT領域開放的基礎是IP網(wǎng)絡協(xié)議(Internet Protocol),IP實際上是介于網(wǎng)絡傳輸(包括物理介質)和互聯(lián)應用之間的一個通用協(xié)議,互聯(lián)應用依據(jù)IP將通信需求轉化為可以在物理介質上傳輸?shù)臄?shù)據(jù)報文,而IP報文則可以通過多種不同物理介質實現(xiàn)傳輸,這樣就實現(xiàn)了不同應用間的互聯(lián)互通。由于IP是得到廣泛認可的一個中間層協(xié)議,因此幾乎所有的高層協(xié)議和底層協(xié)議都支持IP,各種應用均可以通過IP互相連接并實現(xiàn)通信,而IP則可通過各種不同通信介質實現(xiàn)信息的物理網(wǎng)絡傳輸。毫無疑問,基于IP所實現(xiàn)的開放性大大擴展了控制系統(tǒng)的功能和覆蓋范圍,但任何事物都具有兩面性,IP的開放性也為通過信息技術對控制系統(tǒng)進行攻擊提供了有利條件。現(xiàn)在的問題是,我們如何揚長避短,既能充分利用開放系統(tǒng)為我們帶來的好處,同時又能防范可能出現(xiàn)的外部攻擊和安全威脅,這就是工業(yè)控制系統(tǒng)信息安全要解決的問題。
由于控制系統(tǒng)內部一般是一個封閉系統(tǒng),而只要我們能夠保證執(zhí)行控制功能的系統(tǒng)核心不受到侵犯,就可以保證控制系統(tǒng)的基本安全。為此我們需要清晰地在系統(tǒng)的關鍵核心,控制功能部分與外部功能擴展部分之間劃出一道邊界(boundary或border),采取各種手段來保證邊界內的系統(tǒng)不受攻擊,以此來保證控制系統(tǒng)的信息安全。很顯然,一個封閉的控制系統(tǒng)核心有著清晰的邊界,而采用了開放技術的控制系統(tǒng)核心則很難清晰地劃定邊界,并且采用的開放技術越多,邊界就越難以劃定。目前不少系統(tǒng)為實現(xiàn)復雜的協(xié)調控制和數(shù)據(jù)共享功能,普遍采用了諸如OPC(Object linking and embedding for Process Control)或DCOM(Distributed omponent Object Model)這樣的技術,這就為劃定控制系統(tǒng)核心的邊界造成了不小的麻煩。近年來發(fā)展迅速的現(xiàn)場總線技術也是一種開放技術,特別是有些現(xiàn)場總線支持IP,這更增加了邊界劃分的難度。為了使控制系統(tǒng)核心具有清晰并防范嚴密的邊界,我們必須仔細地將系統(tǒng)核心的全部對外端口進行標識,包括各個通信端口、人機界面端口直至組態(tài)端口,并逐個確定每個端口的防范策略,必要時還要制定縱深防御策略,以確保能夠有效阻擋外部攻擊。
雖然一個封閉的控制系統(tǒng)核心比較容易劃定邊界,但這也并不表明這樣的系統(tǒng)是放在保險箱里的,因為有些端口容易被人忽略,成為系統(tǒng)防線的薄弱環(huán)節(jié)。例如組態(tài)端口,如果通過組態(tài)端口向系統(tǒng)下裝了含有惡意攻擊的組態(tài)數(shù)據(jù),就足以對控制系統(tǒng)造成嚴重危害。另外,如人機界面終端,其移動存儲接口(如USB)就很容易成為引入攻擊的薄弱環(huán)節(jié)。有時外部攻擊并不表現(xiàn)為對系統(tǒng)數(shù)據(jù)的竊取或惡意篡改,而是簡單造成網(wǎng)絡風暴或廣播風暴,使系統(tǒng)網(wǎng)絡陷于癱瘓,也同樣會對系統(tǒng)造成嚴重危害。另外,在很多SCADA系統(tǒng)中,遠程的數(shù)據(jù)和控制命令是通過廣域網(wǎng)進行傳輸?shù)模行┥踔镣ㄟ^公共網(wǎng)絡進行傳輸,這都是容易遭受攻擊的薄弱環(huán)節(jié)。
對此,我們不能認為工控系統(tǒng)不應該走開放路線,而是應該考慮如何避免開放所帶來的負面影響。我們現(xiàn)在還無法預見在工控系統(tǒng)走向更加網(wǎng)絡化的進程中會遇到什么問題,但可以肯定的一點是,我們不應該過分強調開放性,而要有分析地考慮在系統(tǒng)的哪些地方采用哪種程度的開放技術。在控制系統(tǒng)中,網(wǎng)絡必須分層次,靠近現(xiàn)場控制的底層網(wǎng)絡必須具有最高的安全性、可靠性和實時性。由于底層網(wǎng)絡的功能相對簡單,因此對底層網(wǎng)絡的要求不是更多更復雜的功能,對于其開放性的考慮也不應該把重點放在功能性、便利性和廣泛的互聯(lián)性方面。對于控制系統(tǒng)的底層網(wǎng)絡,我們最為關注的是現(xiàn)場實時數(shù)據(jù)和重要的資產(chǎn)管理數(shù)據(jù)的快速、及時、準確的傳遞,現(xiàn)場網(wǎng)絡的通信協(xié)議和通信機制應該盡量簡單、明確、易于檢查診斷,出現(xiàn)異常時能夠及時發(fā)現(xiàn)并快速處理,以最短的時間恢復正常。顯然,目前市場上有一些現(xiàn)場網(wǎng)絡產(chǎn)品并不符合上述原則,由于其過于龐大,技術實現(xiàn)過于復雜,對于保障控制系統(tǒng)最基礎的底層功能能夠安全可靠運行就不太有利。目前的當務之急并不是對現(xiàn)場層的網(wǎng)絡作加法,不斷讓其承擔更多的功能,而是要作減法,保留必要的功能并予以強化,使控制系統(tǒng)的最底層成為一個少而精、運行高效、可靠、堅固的核心,這樣才能夠在此基礎上建立一個功能強大的、完善的、規(guī)模龐大的完整系統(tǒng)。對此,一個很能說明問題的實例是,在有關功能安全的國際標準中,對于執(zhí)行關鍵安全功能的控制器中甚至不主張使用操作系統(tǒng),其考慮問題的出發(fā)點就在于此。
對于底層控制器的組態(tài)功能,應予以限制,除執(zhí)行控制功能的必要參數(shù)外,盡量減少可組態(tài)部分。這樣比較便于進行檢查,以發(fā)現(xiàn)因不當組態(tài)所造成的威脅。對于可執(zhí)行代碼,應該嚴格禁止對底層控制器實施下裝,這類操作是對系統(tǒng)安全的最大威脅。
另外,與系統(tǒng)的功能安全不同的是,僅采用技術手段還不足以保證系統(tǒng)的信息安全,有時技術手段甚至不是保證信息安全的主要措施。對于一個重要的、關鍵性的、復雜而大型的控制系統(tǒng),必須要有一套嚴格有效的安全管理規(guī)范,并切實執(zhí)行。目前最基本的安全管理包括授權管理和身份認證,用于保證經(jīng)過授權的人員在其授權范圍內對系統(tǒng)進行操作,而拒絕非授權人員的操作及授權范圍以外的操作。這一點雖然簡單,但嚴格執(zhí)行卻并不容易。例如經(jīng)過授權的操作人員通過Password登錄系統(tǒng)后,就可以進行系統(tǒng)操作,而這時如果其他人趁操作人員暫時離開操作終端的機會實施惡意的破壞性操作,就會造成對系統(tǒng)的破壞。對于諸如此類的管理性漏洞,必須要認真、仔細、周到地進行考慮并進行實際場景的模擬分析,以發(fā)現(xiàn)漏洞并制定應對措施。在系統(tǒng)的日常運行中,還需要定期檢查執(zhí)行情況,并對管理規(guī)程進行審核,以評估其有效性,發(fā)現(xiàn)問題及時修訂,保持管理規(guī)程的適用有效。
4 結語
第一,要明確劃分工業(yè)控制系統(tǒng)的層次及各個層次的邊界,對于系統(tǒng)底層,重點考慮其穩(wěn)定性、實時性、可診斷性和對各類異常情況的抵御能力。更多功能性、易用性、擴展性等方面的考慮應該放到系統(tǒng)的高層去實現(xiàn),而且系統(tǒng)的底層和高層之間應該具有有效的隔離措施。
第二,控制系統(tǒng)的信息安全并不是一個單純針對確定性風險的問題,而是一個面向不確定風險的難題。正因為其面對風險的不確定性,因此我們無法制定一套固定的技術措施和管理規(guī)程,并宣稱其能夠保證何種程度的信息安全。對此,工業(yè)控制系統(tǒng)信息安全的解決方案必定是一個持續(xù)不斷的過程,對于不斷變化的風險,不斷完善和強化防范策略,這樣才能確保系統(tǒng)的信息安全。另外,控制系統(tǒng)的信息安全不存在百分之百保證安全的可能,我們只能將控制系統(tǒng)保持在一個可接受的安全水平上,這個安全水平要根據(jù)被控對象的性質、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。
作者簡介
羅安(1946-),研究員級高級工程師、中國自動化學會專家咨詢工作委員會副主任委員、享受國家政府津貼專家。河北邢臺人。曾任北京和利時系統(tǒng)工程有限公司總工程師。長期從事自動化控制系統(tǒng)的研究開發(fā)和工程應用,上世紀七十年代起參與或主持建成了我國第一批自主的實用化控制系統(tǒng)。多次出國考察學習,將國外大量的新技術應用于自主研發(fā)。作為主要人員開發(fā)的大慶煉油廠油品貯運自動化系統(tǒng)、北京供電局電網(wǎng)調度自動化系統(tǒng)等曾獲國家科技進步二等獎、電子工業(yè)部科技進步一等獎。從“九五”期間開始,致力于國家重大技術裝備控制系統(tǒng)的國產(chǎn)化、自主化,在核電、城市軌道交通、能源、先進制造等領域的自動化控制方面取得多項成果,秦山核電項目于2004年獲電子信息產(chǎn)業(yè)科技進步一等獎,本人得到國家有關部委“九五”期間優(yōu)秀科技人員表彰。著有《分布式控制系統(tǒng)(DCS)設計與應用實例》(第二作者 2004年電子工業(yè)出版社)及《化工過程控制系統(tǒng)》(第二作者 2006年化學工業(yè)出版社)等專著。
北京市公安局海淀分局備案號:11010802023656號