隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，新的工業(yè)生產(chǎn)模式和新的產(chǎn)品形態(tài)下，需要對工業(yè)控制系統(tǒng)安全的內(nèi)涵和外延進行重新審視和定義。本文在總結(jié)分析工控系統(tǒng)安全現(xiàn)狀和問題基礎(chǔ)上，提出基于本體安全的工業(yè)控制系統(tǒng)安全思想方法和形式描述。

1

工控系統(tǒng)安全現(xiàn)狀及問題分析

針對工控系統(tǒng)的安全防護，近年來出現(xiàn)很多產(chǎn)品和解決方案，在信息安全方面起到了一些作用，綜合而言，仍存在較大的問題，具體表現(xiàn)在以下方面：

（1）工控安全解決方案基本集中在防護，而且是傳統(tǒng)信息安全技術(shù)的裁剪，并非量身定做；作用的對象主要是網(wǎng)絡(luò)和主機，所謂的異常審計依據(jù)不完整數(shù)據(jù)集和流量，而非基于行業(yè)生產(chǎn)規(guī)則的行為分析。

（2）少數(shù)基于工控裝置的功能加強，也是從可用性增強，以達到高可靠性目的，采用的手段是冗余、容錯和表決機制，成本翻番，對價格敏感的工業(yè)化生產(chǎn)顯然不適用。

（3）所謂縱深防御深度融合體系，貌似將信息安全防護措施集大成，問題一是犧牲“實時性”，以時間換取空間；二是成本過高；三是防護過重過度。

（4）缺少針對業(yè)務(wù)應(yīng)用場景的安全測試、檢測、測評、評估標(biāo)準(zhǔn)體系，且企業(yè)專業(yè)知識、業(yè)務(wù)能力、技術(shù)水平有限，造成防護措施的行業(yè)適配性差，難以開展針對工業(yè)生產(chǎn)全景的安全態(tài)勢感知、分析、預(yù)警服務(wù)。

究其原因，目前的工控安全是把工控系統(tǒng)割裂開，而工控系統(tǒng)實際上是一個內(nèi)部強耦合、關(guān)聯(lián)作用緊密的整體。信息安全廠商和控制廠商從各自的技術(shù)和理解出發(fā)，過分強調(diào)某個方面的安全，未能將功能安全、信息安全、過程安全，以及運行管控安全等有機融合，造成現(xiàn)在的工控安全解決方案仍拘泥于“防護”，遵循傳統(tǒng)的信息安全分區(qū)隔離、邊界防護理念，未深入探究工控系統(tǒng)安全內(nèi)在的本質(zhì)的成因以及相互作用關(guān)系。

工控安全與傳統(tǒng)信息安全最大的不同是其基于業(yè)務(wù)和工藝，針對應(yīng)用場景，必須結(jié)合工藝業(yè)務(wù)要求進行安全保障，簡單以“零和思維”、“木桶理論”思 路或試圖用一個統(tǒng)一的技術(shù)思路來解決工控安全問題都有失偏頗。

2

回歸工控系統(tǒng)安全本質(zhì)

工業(yè)控制系統(tǒng)是由計算機設(shè)備與工業(yè)過程控制部件組成的自動控制系統(tǒng)，包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠程測控單元（RTU）、傳感/監(jiān)視/ 控制/診斷系統(tǒng)等，以及制造執(zhí)行系統(tǒng)（MES）、歷史數(shù)據(jù)庫、圖形化界面、企業(yè)資源管理系統(tǒng)（ERP）等相關(guān)信息系統(tǒng)。工控系統(tǒng)安全涉及設(shè)備安全、功能安全、信息安全，覆蓋控制層、網(wǎng)絡(luò)層、系統(tǒng)層和管理層，貫穿設(shè)計、研發(fā)、實施、運維全生命周期。

從功能上可以分成生產(chǎn)功能和安全功能，生產(chǎn)功能包括生產(chǎn)運行控制系統(tǒng)，包括基本過程控制系統(tǒng)、過程控制系統(tǒng)、生產(chǎn)運行控制系統(tǒng)等；安全功能包括安全儀表系統(tǒng)、安全控制系統(tǒng)、安全保護控制系統(tǒng)、安全監(jiān)測與控制系統(tǒng)等。

安全的工業(yè)控制系統(tǒng)由工控系統(tǒng)和安全保障系統(tǒng)組成。所謂工業(yè)控制系統(tǒng)安全（大安全）就是工控系統(tǒng)的設(shè)計目標(biāo)在生命周期內(nèi)的功能安全可達性。從本質(zhì)而言，就是以實現(xiàn)工業(yè)系統(tǒng)可用性為目標(biāo)，綜合運用功能安全、信息安全等技術(shù)手段和防護措施，保障工業(yè)系統(tǒng)在生命周期內(nèi)的安全穩(wěn)定運行。傳統(tǒng)的工業(yè)安全理論和單一的技術(shù)手段已經(jīng)不能保證工業(yè)的安全穩(wěn)定運行，只有建立基于行業(yè)業(yè)務(wù)規(guī)則的新的理論和技術(shù)創(chuàng)新，才有可能解決工控系統(tǒng)的本質(zhì)安全。工控系統(tǒng)安全本質(zhì)圖如圖1所示。

圖1 工控系統(tǒng)安全本質(zhì)圖

3

本體安全創(chuàng)新理論

鑒于工控裝置的“兩個有限”（合法狀態(tài)有限、合法指令有限）原則，在狀態(tài)可明確窮舉和每個狀態(tài)下合法指令有限條件下，執(zhí)行裝置和控制設(shè)備的運行狀態(tài)、接收和下發(fā)的指令都是可監(jiān)測和檢測的。無論是外部攻擊還是誤操作等任何原因造成的狀態(tài)異常以及非法指令、防危和態(tài)勢感知系統(tǒng)都可知，可針對性采取告警、拒絕執(zhí)行（授權(quán)后）等措施，避免故障發(fā)生。

工控本體安全是面向工控安全的方法論，是一個方法的集合，也是技術(shù)的集合。充分利用工控大數(shù)據(jù)及人工智能技術(shù)，通過構(gòu)建多級防危模型，實現(xiàn)不同層級本體的安全， 依托三級本體實現(xiàn)工控系統(tǒng)整體的主動縱深防御：

· 設(shè)備作為個體，結(jié)合防危形成設(shè)備本體。防危模塊對設(shè)備進行防危處理，同時將監(jiān)測得到的數(shù)據(jù)上傳至其所屬的現(xiàn)場級本體系統(tǒng)，并根據(jù)規(guī)則在檢測到異常操作時，向用戶提供建議（存量）或者觸發(fā)設(shè)備自帶的安全處置功能（增量）；

· 設(shè)備本體結(jié)合關(guān)聯(lián)模式及信息安全模塊形成現(xiàn)場本體?，F(xiàn)場本體發(fā)揮承上啟下的作用，一方面接收來自設(shè)備本體的安全監(jiān)測數(shù)據(jù)，主動檢測下一級本體的運行狀態(tài)進行預(yù)警分析，另一方面，將現(xiàn)場級數(shù)據(jù)上傳至系統(tǒng)，并接收來自系統(tǒng)動態(tài)感知數(shù)據(jù)對專家知識庫和規(guī)則庫進行調(diào)整；

· 現(xiàn)場本體結(jié)合系統(tǒng)態(tài)勢感知以及信息安全形成系統(tǒng)本體。系統(tǒng)本體接收來自現(xiàn)場級本體的數(shù)據(jù)，進行總體態(tài)勢感知，并將系統(tǒng)態(tài)勢下發(fā)到各個現(xiàn)場本體。

工控本體安全示意圖如圖2所示。

圖2 工控本體安全示意圖

依據(jù)工程控制論思想，設(shè)立設(shè)備、現(xiàn)場以及系統(tǒng)等三個層級的工控本體，利用信息安全、人工智能等技術(shù)，建立各級本體中工控個體的防危機制實現(xiàn)主動防御；通過分析工控組成個體的屬性及其關(guān)系，建立用于協(xié)同防御的關(guān)聯(lián)模式；通過對事件的態(tài)勢分析，實現(xiàn)全生命周期的安全防護。

4

基于行業(yè)應(yīng)用場景的工控系統(tǒng)安全是未來發(fā)展方向

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，物聯(lián)網(wǎng)、邊緣計算、云計算、大數(shù)據(jù)、5G、人工智能等技術(shù)對工業(yè)生產(chǎn)活動的影響日益加深，自動化和信息化的深度融合加快，將會對工業(yè)生產(chǎn)方式帶來深刻變革，催生新的工控產(chǎn)品形態(tài)，需要對工控安全的內(nèi)涵和外延重新審視和定義。

基于前述背景，工控系統(tǒng)安全是保障工業(yè)業(yè)務(wù)穩(wěn)定開展的基石，但日益增長的功能要求和技術(shù)全面融合，帶來的安全隱患也愈發(fā)凸顯和難以簡單防護，傳統(tǒng)的信息安全和功能安全思路、技術(shù)和措施也愈發(fā)不適應(yīng)，不能滿足業(yè)務(wù)發(fā)展要求。

行業(yè)工藝不同造成設(shè)備間的差異，以及生產(chǎn)數(shù)據(jù)的保密需求，都是工控安全要面對的障礙。其中蘊含的知識是企業(yè)的核心競爭力所在。每個行業(yè)對現(xiàn)場控制裝置、控制系統(tǒng)的要求都不一樣，這是由于工藝生產(chǎn)的不同要求造成的設(shè)備差異。基于業(yè)務(wù)應(yīng)用場景的專用設(shè)備，要完成的功能也不相同。據(jù)此，對安全的要求也千差萬別，極具“個性”。所以說，工控安全就必須依據(jù)工藝業(yè)務(wù)特點進行防護，不存在通用的 “靈丹妙藥”。

5

結(jié)論

總的來說，工控安全形勢嚴峻，缺少成熟的理論、核心技術(shù)體系和針對性解決方案、服務(wù)模式。歷年的工控安全事件說明僅依靠現(xiàn)有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、 技術(shù)框架體系、產(chǎn)品譜系、咨詢測試測評評估系列服務(wù)、工控安全全面解決方案、工控安全工作長效協(xié)作機制等方面，還有很長的路要走。

從工控安全本質(zhì)出發(fā)，從業(yè)務(wù)特點出發(fā)，立足行業(yè)，融合自動化、信息、安全等技術(shù)，針對存量、增量、服務(wù)，探索工控系統(tǒng)運行安全的本質(zhì)機理，提出適用理論，研發(fā)安全的工控產(chǎn)品和防護產(chǎn)品，形成針對性解決方案，全面提高工控系統(tǒng)安全運行的綜合保障能力，是一個可行的行動路線。