2012年已經逝去�����,回顧這一年,遭受美國金融風暴��、歐債危機以來�����,自動化并無重大突破����,但也有一些進展��。
工業控制系統的安保(Security)
名詞問題
在工控領域內,safety指功能安全�;而Security則表示安保����,但也有人稱之為信息安全����,在英文中表達明確。如果將Security譯為信息安全���,那么,功能安全和信息安全譯為英文就變為function safety與information safety�,這樣極易混淆����,不利于中外交流����。因此Security應譯為安保。
目前狀況
2010年6月“震網”(stuxnet)攻擊伊朗核電站�����,使其發電時間推遲了18個月�����,這一嚴重后果引起了人們的注意�。原來我們的基礎工業竟是一座“不設防的城市”����。我國工信部于2011年9月下發了(工信部協[2011]451號)《關于加強工業控制系統信息安全管理的通知》要求各有關單位予以重視,采取對策�����。
去年���,俄羅斯一家研究所又發現了“火焰”病毒在中東傳播�,據說其烈度為“震網”的20倍����,需10年時間將之克服。
有跡象表明��,這些病毒并非個人行為�����,可能來自舉國之力���。
目前有兩家公司可提供解決方案:其一是青島Tofino公司與加拿大一家小公司合作�,可以提供解決方案,有的已在國內一些石化企業應用����;另外一家是德國菲尼克斯收購德國一家小公司Inomation���,研發出了FL MGUARD工業信息安全組件��。
去年8月,在上海舉辦的MICONEX上���,西門子公司的唐文博士做了“工業基礎設施信息安全”的報告,著重講了國際上能源�、水利與水處理��、交通和制造業所發生的17起攻擊事件、Security的需求分析與縱深防御的解決方案�����;上海工業自動化儀表研究院王英副總工做了“大型石化裝置的ICS信息安全技術”的報告��,該技術正在上海高橋石化進行試驗。目前國內外一些大公司都在積極研發,預計明年將陸續出臺解決方案�。
存在問題
現有的解決方案是被動的�����,處于“挨打”的局面。目前的解決方案和標準是先將整個企業按地理位置或流程分為若干區(zone)����,各個區之間由管道來連接����,在管道上安裝防火墻或安全網關���,再用黑名單和白名單的辦法����,若信息符合白名單上的協議就可以通過。而所謂縱深防御�����,就是從企業的ERP層往下�,層層設關,最多可達5層,而且按IEC62443標準���,如有需要則還可在重要的控制器前再設“分”或“二次”防火墻。一旦出現工業信息安全威脅,生產人員不知道“敵人”何時入侵�����,也不知已潛伏的“定時炸彈”何時爆炸��,一有風吹草動,不免風聲鶴唳,草木皆兵,怎么叫人安心生產��?
此外����,其實用性也有待驗證。據了解,目前的解決方案或標準均出自于IT行業�。例如IEC62443提及IT行業的信息與工控信息要求的區別在于IT行業對信息要求的排序是保密性-完整性-可用性����;而工控行業信息要求則為可用性-完整性-保密性�。從工控行業的觀點來看則應從實時性-可靠性-安全性方面來對比。縱深防御�����、層層把關����,對工控系統的正常運行(實時性�����、可靠性、安全性)是否會產生負面影響?
同時,這也增加了很大的成本一次投資固然會增加�����,但今后的維護����、升級的費用將會更多。
有關安全的標準應該是強制性的還是推薦性、參考性的��?目前的IEC62443是屬于“預標準(pre-standard)”���,而正在轉化的國標也是推薦性的�。例如在IEC62443標準中���,幾乎都是“宜”(should)���,而不是“應”(shall)��������!耙恕本褪强梢赃@樣做����,也可以不這樣做��。對于安全來講這樣做是否合適呢��?另外,IEC62443篇幅浩繁���,有些地方深奧難懂,可操作性差�,但反過來講�,在需要與可能存在很大差距的情況下��,這樣做總比無所作為好一些吧��?
轉載請注明:工業自動化 中國工控網 自動化
