1.6 SCADA系统信息安全与功能安全

1.6.1 控制系统功能安全

安全对经济、环境和人类自身的健康发展至关重要，因此，安全问题一直是人们生活中关心的问题。印度博帕尔毒气泄漏、前苏联切尔诺贝利核电站爆炸等灾难使人们深刻地认识到工业生产过程中安全问题的重要性。安全相关系统（Safety-related System）被广泛地应用于生产过程中，用于监视生产过程的状态，在危险条件出现时采取相关措施，防止危险事件的发生，避免潜在危险对人身、设备、环境、造成伤害或减轻其后果的损失。2000年，国际电工委员会发布了IEC 61508标准，该标准规定了电气/电子/可编程电子（Electrical/Electronic/Programmable Electronic，E/E/PE）安全相关系统的功能安全的标准。该标准明确提出了安全相关系统的功能安全问题，即当生产过程在出现危险条件时，安全相关系统能否有效执行其安全功能（Functional Safety），如何提高其执行安全功能能力等相关问题。安全仪表系统（Safety Instrument System，SIS）是安全相关系统的一个专门类别，在石油化工等流程工业中被广泛采用。

IEC 61508认为功能安全是指“一个受控设备（Equipment Under Control，EUC）或是受控设备的控制系统整体安全的组成部分”，它的实现借助于安全相关系统的正常运行，例如，一个电机中加装温度传感器，若温度超过一定值，即停止电机运转。而功能安全则指安全功能本身的安全性，用于描述安全相关系统执行其安全功能的能力。

根据IEC 61508的定义危险是指“伤害的潜在根源”，而风险是指“出现伤害的概率及该伤害严重性的组合”。风险不可能完全消除，所以也就没有绝对的安全。IEC 61508认为安全是指“不存在不可接受的风险”，这里的安全是一个相对安全的概念。这样安全问题就转化为控制风险的问题了。

通过安全相关系统降低风险、实现功能安全主要分为以下3步。

第一步，评估受控设备（Equipment Under Control，EUC）风险。先确定EUC的范围，以及EUC与其控制系统相互影响情况，然后找出所有可能存在的危险，并针对每个危险做后果分析与可能性分析，评估该危险的EUC风险。

第二步，确定允许风险。综合考虑法律法规、规章标准的要求和社会要求，确定可以接受的允许风险。

第三步，比较EUC风险和允许风险。如果受EUC风险大于允许风险，则必须通过安全相关系统将风险降低到允许风险以下。

安全相关系统包括E/E/PE安全相关系统、其他技术安全相关系统，同时提高系统功能安全的还有外部风险降低设施。

1.6.2 控制系统信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，信息服务不中断。信息安全主要包括五方面的内容，即需保证信息的保密性、真实性、完整性、未授权复制和所寄生系统的安全性。信息安全的根本目的就是使内部信息不受外部威胁，为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。过去，信息安全的重点是在信息系统，对于其他应用系统，特别是控制系统考虑较少。但今年来，出现了一系列较严重的控制系统受攻击而造成损失的事件，如：

（1）2000年3月，澳大利亚昆士兰州污水处理厂的一个前顾问非法登录该厂的控制系统导致100万升的污水排入附近的河道。

（2）2003年1月，Slammer蠕虫感染了俄亥俄州的戴维斯贝斯核电厂，造成了监控系统的瘫痪。由于该监控系统与外网的连接受到防火墙的保护，该厂负责人认为核电厂处在安全状态。实际上，一个承包商受感染的计算机由电话线直接拨号上网连接到核电厂网络，由此绕过了防火墙，导致该厂的控制系统受到蠕虫病毒的感染和破坏。

（3）2010年11月，伊朗的核设施遭到Stuxnet蠕虫病毒攻击，离心机遭到大量破坏，导致伊朗的核计划受到严重影响。Stuxnet是第一个已发现的暗中监视和破坏工业系统的恶意软件，它只针对西门子公司的SCADA系统，通过破坏用以对设备编程的Step7软件来感染PLC。相比其他的控制系统受攻击事件，该事件造成的影响很大，使人们对加强控制系统的信息安全的重要性有了更加深刻的认识。

由于工业控制系统用在许多关系到国家经济命脉和国家安全的行业，如在电力输配、油气加工生产、冶金、油气采集和输送，水和污水处理、核电、交通中发挥着中枢神经的作用。控制系统的功能安全（Functional Safety）和信息安全（Cyber Security）对于这些行业企业的生产平稳运行起关键作用。长期以来，控制系统的性能、可靠性、灵活性与控制系统的功能安全一直都得到很高的重视，然而，控制系统的信息安全却被长期得不到重视甚至被忽视。随着工业控制系统的数字化程度不断提高，控制系统的开放性越来越高，标准的控制产品和通信协议使用越来越广泛且公开；控制网络与企业信息网络甚至Internet的集成虽然在经济上带来了好处，但却造成了两个网络在物理上不再分隔，通过企业信息系统入侵控制系统成为可能；控制系统设计时对信息安全功能考虑的缺失，以及控制系统软、硬件本身存在的安全漏洞，在技术上为控制系统的信息安全事故埋下了隐患；控制系统信息安全管理措施的不足为信息安全事件的发生留下了后门；各种不同目的的网络安全威胁来源更是对控制系统信息安全构成了严峻考验。不断出现的控制系统信息安全事件及产生的越来越严重的后果，使得控制系统信息安全的研究变得十分迫切。近年来，工业控制系统的信息安全成为工业控制界和信息安全界高度关注的热点领域之一。

工业控制系统的信息安全（Cyber Security）是指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改和泄露，系统连续可靠正常地运行，信息服务不中断，其根本目的就是使内部信息不受外部威胁。

控制系统的信息安全包括从技术和管理上采取的措施。通过这两个方面的措施，来提高控制系统的信息安全水平，确保控制系统在受到外部攻击情况下，不造成严重的损失。 mi+N9/XfQvJH2zbs7VWRDr3nnTUE9q/Ca1AmHlYWDRa3X+hpYNnyMfAcJ0rygaPF