保护工业控制系统安全 (保护工业控制的措施)

一、引言

随着信息技术的飞速发展，工业控制系统在现代工业生产中的应用越来越广泛。
随着网络安全威胁的不断增加，工业控制系统面临的安全风险也日益严峻。
为了保护工业控制系统的安全稳定运行，确保生产过程的可靠性和高效性，本文将深入探讨保护工业控制系统的措施与策略。

二、工业控制系统的概述

工业控制系统是一种集成了传感器、控制器、执行器、通信网络等多种技术要素的自动化系统。
它通过对工业生产过程中的各种参数进行实时监测和控制，实现生产过程的自动化、智能化和高效化。
由于工业控制系统的特殊性和复杂性，其面临的安全风险与传统的信息系统存在显著差异。

三、工业控制系统面临的安全风险

工业控制系统面临的安全风险主要包括以下几个方面：

1. 网络攻击：黑客利用网络安全漏洞对工业控制系统进行攻击，可能导致生产过程中的数据泄露、系统瘫痪等严重后果。
2. 病毒威胁：病毒可能通过外部网络或内部设备侵入工业控制系统，导致系统崩溃或数据损坏。
3. 物理破坏：敌对势力或破坏分子可能对工业控制系统的硬件设备造成物理破坏，导致生产中断。
4. 内部人员滥用权限：内部人员滥用权限、恶意篡改数据等行为可能导致生产过程中的安全隐患。

四、保护工业控制系统的措施与策略

针对以上安全风险，本文提出以下保护工业控制系统的措施与策略：

1. 加强网络安全防护：通过部署防火墙、入侵检测系统等网络安全设备，提高工业控制系统的网络安全防护能力。同时，定期对系统进行安全漏洞扫描和修复，确保系统的安全性。
2. 强化物理安全防护：对工业控制系统的硬件设备采取物理安全防护措施，如安装防护栏、监控摄像头等，防止敌对势力或破坏分子对硬件设备的破坏。还要对重要设备实施备份和恢复计划，确保在生产过程中设备损坏时能够迅速恢复运行。
3. 加强人员管理：对工业控制系统的操作人员进行严格的权限管理和培训。通过制定明确的岗位职责和权限分配，确保每个操作人员只能访问其职责范围内的数据和功能。同时，定期对操作人员进行安全培训，提高他们对网络安全的认识和应对能力。对于关键岗位的负责人，还需要进行背景调查和信誉评估，确保他们的可靠性和安全性。
4. 实施安全审计和监控：对工业控制系统的操作进行安全审计和监控，确保系统的运行过程符合安全规范。通过记录和分析系统的运行日志和操作记录，发现异常行为及时进行处理。同时，建立安全事件应急响应机制，对发生的安全事件进行快速响应和处理。
5. 采用安全技术和产品：选用经过安全认证的技术和产品，如使用加密技术保护数据传输安全、使用安全芯片保护设备安全等。采用具有自我修复和自我防护功能的系统和软件，提高系统的安全性和稳定性。
6. 建立安全管理制度和流程：制定完善的安全管理制度和流程，明确各级人员的职责和权限。同时，建立定期的安全检查和评估机制，对系统的安全性能进行评估和改进。

五、结语

保护工业控制系统的安全稳定运行对于保障生产过程的可靠性和高效性具有重要意义。
通过加强网络安全防护、强化物理安全防护、加强人员管理、实施安全审计和监控、采用安全技术和产品以及建立安全管理制度和流程等措施与策略的实施，可以有效提高工业控制系统的安全性。
随着技术的不断发展和安全威胁的不断演变我们需要持续关注并不断完善相关措施与策略以确保工业控制系统的长期安全稳定运行。

安全性(safety)：免除不可接受的风险影响的特性。 我认为安全性来自两方面：系统在正常运行下的安全性(即逻辑上的错误，又叫功能安全)和故障（失效）下的安全性。 安全控制系统中逻辑上的错误是要坚决杜绝的(百分之百没有也是不现实的)，在铁路行业中有专门的检测机构进行测试，其实质是遍历测试，测试所有可能的情况；故障安全是指故障时设备应导向安全状态。 安全性是以防止人生伤亡和财产损失为目的。 安全性评价比较常用的是安全完整性等级(SIL),根据安全要求的不用共分为四个等级。 国内石化行业用的是SIL3，铁路和轨道交通用的是SIL4。 在硬件上例如会采用动态电源、硬件表决、诊断、回采等技术来提高安全性；软件上例如软件表决(避错技术，例如三取二，二取二等)、通信数据的严格检验、命令间的相关性小、模拟量的裁决：平均值，平滑滤波等。 2. 可靠性(reliability)：指系统或元件在规定条件下，规定时间内，完成规定功能的能力。 可靠性以维护系统的功能正常执行为目的。 对可靠性的评价一般用平均无故障时间(MBTF)。 质量是可靠性的基础，规范的质量检查及软件工程都是可靠性的重要保障。 此外，在硬件上应注意元器件的选择和使用、机械环境设计考虑、电磁兼容设计考虑等。 在软件上有N版本程序设计、恢复块等技术。 在系统级别有失效模式分析(FMEA),故障树(FTA)等技术。 3. 可用性(availability)：在要求的外部资源得到保证的前提下，产品在规定的条件下和规定的时刻或时间区间内处于可执行规定或恢复功能的能力。 可用性以系统故障后(或局部故障)对业务的影响最小为目的。 对可用性的评价可用平均修复时间(MTRF)衡量。 最常用的提高可用性的方法为冗余(容错技术)，例如三重表决系统(三取二)、二乘二取二等，这些系统兼顾了安全性和可用性。 这三个指标的关系：下面通过几个假设再阐述一下这几个指标的关系：上面已经提到安全性包括正常工作时的安全性和故障时的安全性，这里面只讨论故障安全，1. 假设系统的可靠性为百分之百。 这时即使系统故障不会导向安全，那也是安全的，所以说系统的可靠性越高，系统越安全(这只是一个相对概率)；即使可用性差，即MTRF很大，那也没有问题，因为可靠性百分之百。 可靠性关注的是少出故障。 2. 假设系统的可用性是百分之百。 那即使系统的可靠性不高对用户造成的影响也较小，例如通过冗余来提高系统可用性，即冗余的实现是百分之百OK的(因为可用性为百分之百)，当系统出现可靠性问题(故障)时自动切换到冗余系统，不会影响用户的可用性，也相当于提高了整个系统的可靠性，当然，如果切换到冗余系统后原系统不修复的情况下发生故障则会导致系统瘫痪(即共模故障)，所以说低可靠性会导致低可用性；同样，较好的可用性会提高系统的安全性。 可用性关注的是故障后对业务的影响程度。 3. 假设系统的安全性是百分之百。 这时对可靠性的要求会有一定程度的降低，毕竟安全问题才是最大的问题。 对可用性会提高，因为系统故障时带来的后悔严重程序较小。 安全性关注的是故障后的后果。 4. 其实这三个指标并不是所有时候都成正比关系的，有时会牺牲一个指标来满足另一个指标。 例如在三取二系统中，降级模式有两种3-2-1-0和3-2-0，在第二种降级模式中，如果只有一个模块则系统是不能工作，因为已经无法表决了，即为了保证安全性降低了可用性；而第一种降级模式中则可工作，即牺牲了安全性降低了可用性。 5. 绝对(百分之百)可靠、可用和安全的系统是不存在的，所以在系统设计时要权衡这几着之间的关系。