今日頭條
官方微信
官方抖音
資訊頻道
羅安
研究員級高級工程師中國自動化學會專家咨詢工作委員會副主任委員享受國家政府津貼專家
(1946-),河北邢臺人。曾任北京和利時系統工程有限公司總工程師。長期從事自動化控制系統的研究開發和工程應用,上世紀七十年代起參與或主持建成了我國第一批自主的實用化控制系統。多次出國考察學習,將國外大量的新技術應用于自主研發。作為主要人員開發的大慶煉油廠油品貯運自動化系統、北京供電局電網調度自動化系統等曾獲國家科技進步二等獎、電子工業部科技進步一等獎。從“九五”期間開始,致力于國家重大技術裝備控制系統的國產化、自主化,在核電、城市軌道交通、能源、先進制造等領域的自動化控制方面取得多項成果,秦山核電項目于2004年獲電子信息產業科技進步一等獎,本人得到國家有關部委“九五”期間優秀科技人員表彰。著有《分布式控制系統(DCS)設計與應用實例》(第二作者 2004年電子工業出版社)及《化工過程控制系統》(第二作者 2006年化學工業出版社)等專著。
1 簡要的歷史回顧
自動化是與工業化伴生而且是并行發展的一門新興的科學技術,在以機器大生產為標志的工業化開始的同時,以機器控制為主要功能的自動化設備就同時產生了。早期的自動化設備是依附于生產機器的,并沒有形成獨立的技術體系及獨立的產業。在相當長的一段工業化發展歷史中,各個工業領域的自動化都是作為附屬于該領域主生產設備與技術的輔助性設備和技術發展的,這就造成了自動化體系的多樣性,如石油、化工、電力、機械制造、交通運輸、食品藥品等不同行業,都具有各自不同特點的自動化設備及系統。
自動化技術包含了兩個方面的內容,一個方面是控制原理或方法,如在加熱爐中我們可以通過控制燃料流量的方法來控制溫度,為保持溫度的平穩,可以采取反饋控制的算法。另一方面是實現控制方法的具體設備,如控制儀表、DCS、PLC等,這些設備從現場采集實時數據,通過計算得到控制量,并輸出到執行機構實現對目標生產設備的控制。在工業界,人們在討論自動化系統、工業控制系統等問題時,一般都是指實現控制方法的設備及系統。隨著對控制理論的深入研究以及控制系統的不斷發展進步,自動化行業也逐步形成了自己相對獨立的學科和技術體系。各個工業領域在控制方面的共性問題逐步被歸納在一起,在控制原理和方法以及實現控制方法的設備和系統方面,都形成了一些工業生產行業特征不十分明顯的,具有一定通用性的理論和系統。這種趨勢在近年來工控系統逐步走向數字化和信息化以后就更加明顯了。
表1 傳統工控系統與現代工控系統的主要特點對比
與傳統工業控制系統相比,現代的工控系統全面采用了數字技術,其最基本的特征是,所有被控設備的設備參數、運行參數、實時狀態以及控制指令都是以便于計算機處理的二進制數碼的形態進行處理及傳輸的。數字技術在工控系統中的廣泛采用,使其產生了革命性的變化。表1是對傳統工控系統與現代工控系統主要特點的比較。
從表1可以看出,基于數字技術的現代工控系統與傳統技術的系統相比,具有極大的優越性。由于控制功能的實現是基于軟件的,因此具有精確性、穩定性、靈活性,能夠實現復雜的算法,包括更多的智能處理。另外,由于數字信號可以通過網絡進行傳輸和共享,因此消除了控制孤島,實現了多個控制點的協調控制,更為生產管理和企業經營實現信息化提供了堅實的基礎。可以說,軟件和網絡這兩大信息技術完全改變了工業控制系統,使其功能更加強大,更加通用和開放,更加靈活和智能化。
2 新技術帶來的風險
但是,事物都有兩面性,軟件技術和網絡技術給工控系統帶來巨大進步的同時,也產生了巨大的風險,這個風險集中表現在功能安全和信息安全兩個方面。在表1中我們可以看出,傳統工控系統的控制模式是并行的,其優越性不止表現在快速性方面,在系統的功能安全方面也具有先天的優越性。在整個控制系統中,任何局部故障或失效基本上只影響局部,我們很容易將其快速隔離并處理。而在數字化的工控系統中,由于功能通過軟件實現,其操作模式是串行的,除了控制的快速性不好以外,系統中任何局部的故障或失效都有可能影響后續功能的實現,也就是說,在一個串行執行的系統中,各個環節的關聯度相當高,局部的問題也更容易擴散。另外,由于網絡技術消除了控制孤島,各類信息能夠更加方便地傳輸和共享,這樣也帶來了信息安全的隱患。可以說,功能安全方面的負面影響更多的是來自軟件技術,即來自越來越多的功能依靠軟件實現的現實情況;而信息安全方面的負面影響則更多地來自網絡技術。
既然新技術的發展勢在必行,那么對于安全性的保證就必須在新技術日益廣泛應用的現實基礎上予以考慮。也就是說,我們要關注工業控制系統的信息安全問題,就必須從軟件技術和網絡技術出發進行考慮,因為我們不可能回到模擬技術時代,盡管模擬技術在信息安全方面具有先天優勢。
首先看網絡技術。目前我們依靠各個層級的網絡,在工業控制系統中基本消除了控制孤島和信息孤島,這對于系統的功能提升無疑是革命性的進步,但同時這也給惡意入侵控制系統提供了途徑。隨著系統越來越開放、規模越來越大、功能越來越復雜,這種對系統的入侵也變得越來越容易、越來越隱蔽、越來越難于發現和防范。應該說,系統中網絡的開放性和復雜性是防范惡意入侵的最大障礙。因為在開放的網絡環境中,各種病毒、木馬,可以被黑客利用的資源十分豐富,入侵手段也五花八門,防不勝防。
其次,由于所有運算與控制功能均由軟件實現,雖然這可以實現復雜的功能,系統可以靈活配置(通過組態工具),還可以實現高度的智能處理,但這也給惡意的攻擊提供了可能性。黑客可以通過組態數據的導入或直接注入可執行代碼,即可實現改變控制行為的目的,給正常安全生產造成了極大的威脅。
隨著工控系統分散程度的不斷提高,系統對網絡的需求會越來越大,特別是方便靈活的無線網絡。近年來,現場總線技術發展迅速,其最主要目標是用數字傳輸技術徹底取代模擬信號傳輸技術。應該說,從傳感器到控制處理單元,或從控制處理單元到現場執行器之間的信號傳輸是整個工控系統中未實現數字化的最后一個部分。如果這一部分實現了數字化,將使系統從現場得到更加豐富的信息,系統控制的精細化程度、廣泛性、深入程度等也都將得到極大的提升。更重要的是,隨著數字化技術延伸到現場端,工控系統的形態也將發生巨大的變化。可以想象,將來的工業控制系統將成為一個建立在有著巨大數量的嵌入式智能現場設備(智能檢測設備和智能控制器)基礎上的龐大的網絡系統。從表面看,系統又回到了傳統儀表控制系統的完全分散和與被控生產裝置緊密結合的多島形態,所不同的是,各個測量控制點都具備很強的網絡通信能力,都是控制系統整體網絡上的一個個智能節點,它們既可以實現局部控制,也可以實現整體的協調動作,使整個系統形成一個有機的整體。
這樣的系統會在很大程度上依賴網絡,因此系統在安全性、可靠性、實時性等關鍵性能上將完全取決于網絡。特別是將來系統所采用的網絡產品及網絡協議基本上走開放路線,公共網絡也不可避免地會被引入到系統之中,那么,針對網絡的攻擊或網絡上存在的微小缺陷或漏洞都將是對系統最大的威脅,而開放網絡乃至公共網絡都是很容易遭受攻擊的。
在這里,我們必須著重強調的是,信息安全問題可能會比功能安全的問題更難于解決,因為功能安全所面對的是機器和設備,其存在的問題和失效風險基本上是確定的,只要我們采取了有效的技術手段,就可以有效降低安全風險。而信息安全所要面對的主要是人為因素,是與懷有惡意的攻擊者所進行的博弈或攻防。這正如一場戰爭,敵我雙方都在不斷地改變著戰術和策略,因此我們所面對的完全是一種不確定的風險。我們需要隨時檢視系統存在的風險和漏洞,并采取相應措施改進并完善防護策略,方能抵御攻擊風險。
3 對策分析
可以讓人稍感慶幸的是,大多數控制系統的網絡協議是專用的,即他們大多是封閉系統。從信息安全的角度看,封閉系統具有天然的安全性,因為這類系統不能接受來自外部的、本系統無法識別的任何信息,這樣就大大降低了從外部對系統進行攻擊的危險性。近年來,越來越多的控制系統為克服“信息孤島”的問題而在控制系統的開放性方面做了大量的改進,如增加開放的網絡接口等,但對于系統內部,基本上還是不開放的。雖然開放性加強了系統的功能,使控制系統能夠完成更多的工作并更加方便使用,但同時也帶來了日益嚴重的信息安全問題。
目前IT領域開放的基礎是IP網絡協議(Internet Protocol),IP實際上是介于網絡傳輸(包括物理介質)和互聯應用之間的一個通用協議,互聯應用依據IP將通信需求轉化為可以在物理介質上傳輸的數據報文,而IP報文則可以通過多種不同物理介質實現傳輸,這樣就實現了不同應用間的互聯互通。由于IP是得到廣泛認可的一個中間層協議,因此幾乎所有的高層協議和底層協議都支持IP,各種應用均可以通過IP互相連接并實現通信,而IP則可通過各種不同通信介質實現信息的物理網絡傳輸。毫無疑問,基于IP所實現的開放性大大擴展了控制系統的功能和覆蓋范圍,但任何事物都具有兩面性,IP的開放性也為通過信息技術對控制系統進行攻擊提供了有利條件。現在的問題是,我們如何揚長避短,既能充分利用開放系統為我們帶來的好處,同時又能防范可能出現的外部攻擊和安全威脅,這就是工業控制系統信息安全要解決的問題。
由于控制系統內部一般是一個封閉系統,而只要我們能夠保證執行控制功能的系統核心不受到侵犯,就可以保證控制系統的基本安全。為此我們需要清晰地在系統的關鍵核心,控制功能部分與外部功能擴展部分之間劃出一道邊界(boundary或border),采取各種手段來保證邊界內的系統不受攻擊,以此來保證控制系統的信息安全。很顯然,一個封閉的控制系統核心有著清晰的邊界,而采用了開放技術的控制系統核心則很難清晰地劃定邊界,并且采用的開放技術越多,邊界就越難以劃定。目前不少系統為實現復雜的協調控制和數據共享功能,普遍采用了諸如OPC(Object linking and embedding for Process Control)或DCOM(Distributed Component ObjectModel)這樣的技術,這就為劃定控制系統核心的邊界造成了不小的麻煩。近年來發展迅速的現場總線技術也是一種開放技術,特別是有些現場總線支持IP,這更增加了邊界劃分的難度。為了使控制系統核心具有清晰并防范嚴密的邊界,我們必須仔細地將系統核心的全部對外端口進行標識,包括各個通信端口、人機界面端口直至組態端口,并逐個確定每個端口的防范策略,必要時還要制定縱深防御策略,以確保能夠有效阻擋外部攻擊。
雖然一個封閉的控制系統核心比較容易劃定邊界,但這也并不表明這樣的系統是放在保險箱里的,因為有些端口容易被人忽略,成為系統防線的薄弱環節。例如組態端口,如果通過組態端口向系統下裝了含有惡意攻擊的組態數據,就足以對控制系統造成嚴重危害。另外,如人機界面終端,其移動存儲接口(如USB)就很容易成為引入攻擊的薄弱環節。有時外部攻擊并不表現為對系統數據的竊取或惡意篡改,而是簡單造成網絡風暴或廣播風暴,使系統網絡陷于癱瘓,也同樣會對系統造成嚴重危害。另外,在很多SCADA系統中,遠程的數據和控制命令是通過廣域網進行傳輸的,有些甚至通過公共網絡進行傳輸,這都是容易遭受攻擊的薄弱環節。
對此,我們不能認為工控系統不應該走開放路線,而是應該考慮如何避免開放所帶來的負面影響。我們現在還無法預見在工控系統走向更加網絡化的進程中會遇到什么問題,但可以肯定的一點是,我們不應該過分強調開放性,而要有分析地考慮在系統的哪些地方采用哪種程度的開放技術。在控制系統中,網絡必須分層次,靠近現場控制的底層網絡必須具有最高的安全性、可靠性和實時性。由于底層網絡的功能相對簡單,因此對底層網絡的要求不是更多更復雜的功能,對于其開放性的考慮也不應該把重點放在功能性、便利性和廣泛的互聯性方面。對于控制系統的底層網絡,我們最為關注的是現場實時數據和重要的資產管理數據的快速、及時、準確的傳遞,現場網絡的通信協議和通信機制應該盡量簡單、明確、易于檢查診斷,出現異常時能夠及時發現并快速處理,以最短的時間恢復正常。顯然,目前市場上有一些現場網絡產品并不符合上述原則,由于其過于龐大,技術實現過于復雜,對于保障控制系統最基礎的底層功能能夠安全可靠運行就不太有利。目前的當務之急并不是對現場層的網絡作加法,不斷讓其承擔更多的功能,而是要作減法,保留必要的功能并予以強化,使控制系統的最底層成為一個少而精、運行高效、可靠、堅固的核心,這樣才能夠在此基礎上建立一個功能強大的、完善的、規模龐大的完整系統。對此,一個很能說明問題的實例是,在有關功能安全的國際標準中,對于執行關鍵安全功能的控制器中甚至不主張使用操作系統,其考慮問題的出發點就在于此。
對于底層控制器的組態功能,應予以限制,除執行控制功能的必要參數外,盡量減少可組態部分。這樣比較便于進行檢查,以發現因不當組態所造成的威脅。對于可執行代碼,應該嚴格禁止對底層控制器實施下裝,這類操作是對系統安全的最大威脅。
另外,與系統的功能安全不同的是,僅采用技術手段還不足以保證系統的信息安全,有時技術手段甚至不是保證信息安全的主要措施。對于一個重要的、關鍵性的、復雜而大型的控制系統,必須要有一套嚴格有效的安全管理規范,并切實執行。目前最基本的安全管理包括授權管理和身份認證,用于保證經過授權的人員在其授權范圍內對系統進行操作,而拒絕非授權人員的操作及授權范圍以外的操作。這一點雖然簡單,但嚴格執行卻并不容易。例如經過授權的操作人員通過Password登錄系統后,就可以進行系統操作,而這時如果其他人趁操作人員暫時離開操作終端的機會實施惡意的破壞性操作,就會造成對系統的破壞。對于諸如此類的管理性漏洞,必須要認真、仔細、周到地進行考慮并進行實際場景的模擬分析,以發現漏洞并制定應對措施。在系統的日常運行中,還需要定期檢查執行情況,并對管理規程進行審核,以評估其有效性,發現問題及時修訂,保持管理規程的適用有效。
4 結語
第一,要明確劃分工業控制系統的層次及各個層次的邊界,對于系統底層,重點考慮其穩定性、實時性、可診斷性和對各類異常情況的抵御能力。更多功能性、易用性、擴展性等方面的考慮應該放到系統的高層去實現,而且系統的底層和高層之間應該具有有效的隔離措施。
第二,控制系統的信息安全并不是一個單純針對確定性風險的問題,而是一個面向不確定風險的難題。正因為其面對風險的不確定性,因此我們無法制定一套固定的技術措施和管理規程,并宣稱其能夠保證何種程度的信息安全。對此,工業控制系統信息安全的解決方案必定是一個持續不斷的過程,對于不斷變化的風險,不斷完善和強化防范策略,這樣才能確保系統的信息安全。另外,控制系統的信息安全不存在百分之百保證安全的可能,我們只能將控制系統保持在一個可接受的安全水平上,這個安全水平要根據被控對象的性質、重要程度、對危害的承受能力以及對信息安全措施的合理投入而定。
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號