恐怖分子、黑客和可能存在心怀不满的雇员的威胁，以及控制系统本身脆弱、易受攻击的特点使我们必须对其安全保护给予足够的关注。不应该忽略加强控制系统安全保护的呼声，这决不是杞人忧天！

全球各地的保险公司、律师、政府正日益关注及重要基础设施的计算机信息系统遭到“cyber”攻击的可能性与危害性。同样地，制造业和重要基础行业（例如电力、供水和油气）自身也开始广泛关注工厂中关键的控制系统（DCS、PLC、SCADA系统、HMI和控制系统网络）可能遭计算机攻击的可能性。

人们现在更有理由担心过程控制系统，因为传统IT系统的潜在弱点目前已经广为人知，被大家了解。而过程控制系统的安全隐患广泛存在、很多概念被错误理解，更多不安全性还未被意识到。其结果是：许多人忽然发现他们正面对着一种不确定的威胁，受到重创也许只是时间的问题。

在这些行业中只有极少数人已经采取措施来减轻这种危险。事实上许多人所做的恰恰相反，他们使这种危险变得更为广泛，更加不可捉摸。这也使大家感到困惑，是否灾难真的会降临？于是有些人自己安慰自己：情况并不是真的那么糟糕，不必担心。另外一些人则是抱着无能为力的态度消极等待，看灾难会在何时降临、它会怎样发生、结果有多糟糕。

也有少数人清楚地认识到了情况的严重性，他们已经参照其他行业的做法设立了相应的安全措施，确保过程控制系统可靠有效的运行。确保控制系统设备的完整有效使用户可以采取更加均衡的手段来预防事故、保证安全或进行事故后的恢复工作。

行业文化隔阂

一般来说，公司的IT部门了解信息安全相关知识并且有相应的预算资金来处理此类问题，但是IT人员不了解过程控制系统。而负责操作和维护过程控制系统的人员对信息安全的了解以及可以应用于此项目的预算资金都比IT部门要少得多。另外，技术和行业文化的不同也使两者之间存在巨大差异：

●IT部门通常不能充分意识到控制系统需要每周7天，每天24小时长期运行的需要；
●IT部门也不能理解把IT技术和原则直接应用在控制系统上可能带来的问题；
●IT部门操作人员通常认为：系统可用性比安全性更重要。

当前的趋势

与其他领域发生的情况完全一样的是，许多工厂的控制系统遭遇过“cyber”事故，但是受害者不愿意公开这类信息，他们甚至不愿意承认发生过这种事情。不过我们还是从遍及全球的各种工厂中收集到许多关于控制系统安全事故的信息。经过对这些不断增加的信息进行客观的甄别，去除虚假信息，我们可以了解到攻击的种类、攻击强度、所造成财政损失以及工厂做出的反应等信息，还可以看出它们的变化趋势。

在电力（包括输配电、水力发电、火力发电、核电等）、供排水、石油天然气、化学、制造业等行业都发生过针对控制系统的信息安全事故。美国联邦调查局正密切关注针对重要基础设施的控制系统所发生的“刺探”和分析活动，最近此类事件正在不断增加。在黑客们常去的Internet留言板“blackhat”和“vulnerability”上，关于控制系统弱点的聊天交流也在不断增加。

目前还没有一份由独立机构完成的关于控制系统所受到计算机攻击的精确统计报告，只是有几个关于此类事件的“孤立”的数据库，根据这种很有限的数据得出的统计结果是不可靠的。但是我们至少可以从中得出一个结论：与传统IT行业所暴露出来的问题一样，控制系统的信息安全事故也呈上升趋势。（请参见图1。）

图1：在过去几年里，恶意的和无意的信息系统攻击入侵事件增长非常快；

从1998到2003年发生了310000起此类事件，对比1993到1997年度，只有10000起。

在一个具体公司中实际发生的针对控制系统的安全事故可以被划分成3大类：（1）故意发起的黑客攻击行为（如未经授权进入机密电子文档），破坏正常的系统运行（DoS-例如用超过系统负荷的大量通信数据使网络系统瘫痪）或是欺骗活动（在发送出去的电子邮件中伪造发件人地址）；（2）由于计算机网络“蠕虫”(可自我复制但无危害)或是“病毒”造成的非故意的损害；（3）发生在内部的无意中违反安全规定的行为，例如不恰当的操作系统测试或是对控制系统的构建考虑不周。在这三大类事件中，故意发起的黑客攻击行为是最少发生的，但是它的破坏性最强，而且要求对整个控制系统和被控制对象有详细深入的了解。因此最有可能的攻击者就是心怀不满的员工、前员工或是曾经在这里工作过的人。

最有可能发生的是非故意的内部事故，通常由于不恰当的测试活动或是程序考虑不周而引起，由不熟悉控制系统的人来进行控制系统网络的入侵测试就是典型的自己制造麻烦的例子。最普遍的是由Internet“病毒”和“蠕虫”而引起的事故，它们一般是针对MicrosoftWindows或是其他基本的IT结构，而不是针对具体终端用户的。由于绝大多数控制系统的人机界面软件通常都运行在常用的商用操作系统上，因此这类DoS类型的事故正在不断增加。这种事故会使控制系统趋向于不稳定，很大程度上同控制系统所采用的操作平台以及设备的具体规格、生产年份有关。最典型的现象是控制系统速度变得很慢、发生死机甚至自动关机。

商业案例

被攻击的制造以及控制系统可能会危及公共安全和员工自身的安全，还会使公司失去社会的信任，违反规定的要求，丢失所拥有的机密信息，造成经济上的损失甚至危害国家安全。其中直接的经济损失来自以下几个方面：

●控制系统的性能下降（例如性能变差，机会损失，不能达到规定要求等）；
●恢复系统需要额外的人力资源；
●造成客户抱怨及法律纠纷，造成保险费用增加，带来信誉损失等。

根据图表的显示，传统IT系统受到“病毒”、“蠕虫”和其他计算机攻击的情况正在不断增加，但是由于这些事件很少被报道，所以没有一个统计数字来定量的显示商业领域的状况，操作管理者目前没有一个定量的参考数字用来平衡信息安全要求和传统操作维护的要求。

另外，许多电力行业人士认为失去电力供应是造成重大经济损失的一个前提条件。然而KEMA针对曾受到信息系统攻击（包括故意的攻击、非故意的攻击和“病毒”“蠕虫”的攻击）的公司进行的一个研究显示：在攻击行为并未造成电力供应中断或是生产损失的情况下也能对受害公司造成巨大的经济损失。这些研究结果可以作为构建信息安全保护系统的定量依据，可以用于包括缺陷评估、制订控制系统防计算机攻击原则以及应用相应IT技术的依据（例如设置合适的防火墙）。

行业反应

控制系统的安全性正面临巨大挑战，是否情况已经糟糕到绝望的程度？不必这样悲观！问题的关键是必须把控制系统专家包括到抵抗计算机攻击的队伍里来。

ISA和其他标准化组织都在积极制订广泛的标准来保护控制系统。ISA-SP99委员会由来自许多不同工业行业的控制系统专家组成，他们正在制订新的标准、操作规程建议(工业标准)、技术报告和其他相关文件。这些可以用作制订控制系统的电子安全防护程序的原则，也可以用作电子系统安全性能评估的依据。这些指导原则对设计、操作或是管理生产装置和控制系统人员、系统集成商、安全保护行业人员以及控制系统生产销售商都是适用的。

当然，用户必须针对不同的场合和不同的系统采取不同的措施。许多已经执行贯彻安全保护程序（有些仅仅是很初步的措施，例如在控制层增加防火墙）的生产商都反映说效果很好。

图2：统计数据显示因为内部原因引起事故的可能性与受到外部攻击造成事故的可能性同样大。

建议

怎样获得成功？

1.首先必须对自身环境的每一个主要危险区域作综合性风险分析。你会发现，减小安全保护程序的覆盖范围是非常容易的事。如果你一开始时遗漏了某个重要因素，事后想要扩大安全保护程序的覆盖范围则是非常不容易的事。因此开始时做一个好的风险评估是非常重要的。

2.其次必须作一个经济分析，这有助于公司采取成本合理的保护措施，确定是否危险已经被减少到可接受的程度。

3.必须贯彻执行安全保护规定和相应程序并且仔细选择保护技术。归根结底，安全是通过严格的程序来实现的，这不是一个高深的技术问题，许多安全事故都是可以通过加强操作纪律来避免的。严格、统一和高效的操作行为是降低风险的关键。这个理念必须在技术环节和执行的环节都得到贯彻。

4.必须不断学习完善。各个标准化协会、行业组织都在不断完善已有的系统安全保护标准、制定新的标准。包括ISA（仪表、系统及自动化协会）、NIST（美国国家标准和技术协会）、CIDX（化学工业数据交流中心）、IEC（国际工程师协会）、CIGRE（国际强电委员会）、NERC（北美电气可靠性委员会）等，他们都出版了关于控制系统信息安全的标准。

ISASP-99委员会组建于2002年，已经出版了两部技术报告，用户可以通过ISA得到这些报告。其中ISATR99.00.01报告介绍怎样把公共安全防护技术应用到过程控制系统上。ISATR99.00.02是一部指导性的文件，它可以帮助用户创建一个高效率的安全保护程序，提供用户需要的原则和技术。ISASP-99委员会已经发起制订一个关于制造和控制系统安全防护的总体的工业标准，邀请各方共同参与制定。ISA的努力方向主要集中在保护控制系统可以采用的技术上，可以提供建立、维护保护程序的方法，还可以提供手段用以评估保护程序面对各种控制环境时的效能。ISASP-99的努力并不是只局限于特定工业领域，现在已经有代表220家公司（包括了每种制造业和过程相关工业的大多数公司）的250个成员加入这项工作。

还有许多组织在进行相关的、很有帮助的活动。NIST过程控制安全论坛（PCSRF）正在制定关于现有的和新开发的控制系统的详细的公用标准。ISA和PCSRF也在进行安全保护方面的合作。化学工业数据交流中心（CIDX）正在致力于化学工业领域的控制系统安全保护工作，并且和ISA以及控制系统行业开展合作。

5.在努力防止事故发生的同时，也需要注意控制系统遭到攻击后的补救和恢复。因为多数事故都会对过程产生影响使其在一段时间里失去检测能力，所以仅仅把注意力集中在防止事故发生上面是不够的。还需要注意降低事故发生后造成的产品和过程损失，通过维护程序、质量保证程序、风险管理程序和生产安全程序等来提高发现问题、补救事故、恢复系统的能力。

6.如果本公司不具备必要的时间、人员、经验等条件，可以通过咨询或是系统集成商取得帮助。

挑战

在对付控制系统面临的威胁面前，我们做得还远远不够，还需要艰苦的努力才能够使控制系统比较安全。这是否意味着狂风暴雨般的灾难正在降临？我认为即使狂风暴雨还没有降临，至少天空已经开始阴云密布了。目前的控制系统存在着很多隐患，工业界已经出现了一些此类事故，出现更多事故的可能性很大。

不过并非所有的都是坏消息，如果工业界现在就及时采取相应措施就可以显著降低出现问题的风险。

●首先必须明确将会影响控制系统可靠性的诸多因素。
●采取周密的措施减少事故发生的可能性。
●把发生事故带来的影响限制在尽量小的范围里。
●采取措施使控制系统在发生事故后能够尽快修复和恢复。

工业界已经在努力了解所面临的安全威胁，工程师们也已经在致力于调整程序、规定，引入最新的技术手段来保护控制系统。

来源：CEC