隨著工業互聯網的發展，新的工業生產模式和新的產品形態下，需要對工業控制系統安全的內涵和外延進行重新審視和定義。本文在總結分析工控系統安全現狀和問題基礎上，提出基于本體安全的工業控制系統安全思想方法和形式描述。

1引言

在《中國制造2025》、“工業4.0”背景下，面向用戶需求的服務模式創新對生產方式的變革要求，“按需定制”對產業鏈、供應鏈乃至行業生態的要求越來越高，各類工業系統融合（互聯網化）趨勢愈加明確，打造跨行業跨區域的全產業生態形成共識，工業互聯網內涵和外延逐步完善。相對封閉的工業控制系統已經普遍采用通用協議、硬軟件系統，并且與企業內網，甚至是與互聯網發生了應用對接。工業控制系統越來越開放，使傳統信息安全威脅逐漸向工控系統擴散，同時，工業互聯網對自動化和信息化的發展和融合提出更高、更新的要求，也產生了新的非傳統信息安全問題，工控系統安全面臨前所未有的嚴峻形勢。

2工控系統安全現狀及問題分析

針對工控系統的安全防護，近年來出現很多產品和解決方案，在信息安全方面起到了一些作用，綜合而言，仍存在較大的問題，具體表現在以下方面：

（1）工控安全解決方案基本集中在防護，而且是傳統信息安全技術的裁剪，并非量身定做;作用的對象主要是網絡和主機，所謂的異常審計依據不完整數據集和流量，而非基于行業生產規則的行為分析。

（2）少數基于工控裝置的功能加強，也是從可用性增強，以達到高可靠性目的，采用的手段是冗余、容錯和表決機制，成本翻番，對價格敏感的工業化生產顯然不適用。

（3）所謂縱深防御深度融合體系，貌似將信息安全防護措施集大成，問題一是犧牲“實時性”，以時間換取空間;二是成本過高;三是防護過重過度。

（4）缺少針對業務應用場景的安全測試、檢測、測評、評估標準體系，且企業專業知識、業務能力、技術水平有限，造成防護措施的行業適配性差，難以開展針對工業生產全景的安全態勢感知、分析、預警服務。

究其原因，目前的工控安全是把工控系統割裂開，而工控系統實際上是一個內部強耦合、關聯作用緊密的整體。信息安全廠商和控制廠商從各自的技術和理解出發，過分強調某個方面的安全，未能將功能安全、信息安全、過程安全，以及運行管控安全等有機融合，造成現在的工控安全解決方案仍拘泥于“防護”，遵循傳統的信息安全分區隔離、邊界防護理念，未深入探究工控系統安全內在的本質的成因以及相互作用關系。

工控安全與傳統信息安全最大的不同是其基于業務和工藝，針對應用場景，必須結合工藝業務要求進行安全保障，簡單以“零和思維”、“木桶理論”思 路或試圖用一個統一的技術思路來解決工控安全問題都有失偏頗。

3 回歸工控系統安全本質

工業控制系統是由計算機設備與工業過程控制部件組成的自動控制系統，包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程測控單元（RTU）、傳感/監視/ 控制/診斷系統等，以及制造執行系統（MES）、歷史數據庫、圖形化界面、企業資源管理系統（ERP）等相關信息系統。工控系統安全涉及設備安全、功能安全、信息安全，覆蓋控制層、網絡層、系統層和管理層，貫穿設計、研發、實施、運維全生命周期。

從功能上可以分成生產功能和安全功能，生產功能包括生產運行控制系統，包括基本過程控制系統、過程控制系統、生產運行控制系統等;安全功能包括安全儀表系統、安全控制系統、安全保護控制系統、安全監測與控制系統等。

安全的工業控制系統由工控系統和安全保障系統組成。所謂工業控制系統安全（大安全）就是工控系統的設計目標在生命周期內的功能安全可達性。從本質而言，就是以實現工業系統可用性為目標，綜合運用功能安全、信息安全等技術手段和防護措施，保障工業系統在生命周期內的安全穩定運行。傳統的工業安全理論和單一的技術手段已經不能保證工業的安全穩定運行，只有建立基于行業業務規則的新的理論和技術創新，才有可能解決工控系統的本質安全。工控系統安全本質圖如圖1所示。

圖1 工控系統安全本質圖

4本體安全創新理論

鑒于工控裝置的“兩個有限”（合法狀態有限、合法指令有限）原則，在狀態可明確窮舉和每個狀態下合法指令有限條件下，執行裝置和控制設備的運行狀態、接收和下發的指令都是可監測和檢測的。無論是外部攻擊還是誤操作等任何原因造成的狀態異常以及非法指令、防危和態勢感知系統都可知，可針對性采取告警、拒絕執行（授權后）等措施，避免故障發生。

工控本體安全是面向工控安全的方法論，是一個方法的集合，也是技術的集合。充分利用工控大數據及人工智能技術，通過構建多級防危模型，實現不同層級本體的安全， 依托三級本體實現工控系統整體的主動縱深防御：

· 設備作為個體，結合防危形成設備本體。防危模塊對設備進行防危處理，同時將監測得到的數據上傳至其所屬的現場級本體系統，并根據規則在檢測到異常操作時，向用戶提供建議（存量）或者觸發設備自帶的安全處置功能（增量）;

· 設備本體結合關聯模式及信息安全模塊形成現場本體。現場本體發揮承上啟下的作用，一方面接收來自設備本體的安全監測數據，主動檢測下一級本體的運行狀態進行預警分析，另一方面，將現場級數據上傳至系統，并接收來自系統動態感知數據對專家知識庫和規則庫進行調整;

· 現場本體結合系統態勢感知以及信息安全形成系統本體。系統本體接收來自現場級本體的數據，進行總體態勢感知，并將系統態勢下發到各個現場本體。

工控本體安全示意圖如圖2所示。

圖2 工控本體安全示意圖

依據工程控制論思想，設立設備、現場以及系統等三個層級的工控本體，利用信息安全、人工智能等技術，建立各級本體中工控個體的防危機制實現主動防御;通過分析工控組成個體的屬性及其關系，建立用于協同防御的關聯模式;通過對事件的態勢分析，實現全生命周期的安全防護。工業控制系統本體形式化定義如下：

工控系統G =（N，∑， P， S）

其中N={﹤系統本體﹥，﹤附現場本體集﹥，﹤ 現場本體﹥，﹤附設備本體集﹥，﹤設備本體﹥}

∑={﹤設備﹥，﹤防危﹥， ﹤關聯模式﹥，﹤防危 專家知識庫﹥，﹤信息安全﹥， ﹤態勢感知﹥，﹤空﹥}

S={﹤系統本體﹥}

規則集P：

﹤系統本體﹥→﹤附現場本體集﹥﹤現場本體﹥ ﹤態勢感知﹥﹤信息安全﹥

﹤附現場本體集﹥→﹤附現場本體集﹥﹤現場本 體﹥|﹤空﹥

﹤現場本體﹥→﹤附現場本體集﹥﹤附設備本體 集﹥﹤設備本體﹥﹤關聯模式﹥﹤防危專家知識庫﹥ ﹤信息安全﹥

﹤附設備本體集﹥→﹤附設備本體集﹥﹤設備本 體﹥|﹤空﹥

﹤設備本體﹥→﹤設備﹥ ﹤防危﹥

5基于行業應用場景的工控系統安全是未來發展方向

隨著工業互聯網的發展，物聯網、邊緣計算、云計算、大數據、5G、人工智能等技術對工業生產活動的影響日益加深，自動化和信息化的深度融合加快，將會對工業生產方式帶來深刻變革，催生新的工控產品形態，需要對工控安全的內涵和外延重新審視和定義。

基于前述背景，工控系統安全是保障工業業務穩定開展的基石，但日益增長的功能要求和技術全面融合，帶來的安全隱患也愈發凸顯和難以簡單防護，傳統的信息安全和功能安全思路、技術和措施也愈發不適應，不能滿足業務發展要求。

行業工藝不同造成設備間的差異，以及生產數據的保密需求，都是工控安全要面對的障礙。其中蘊含的知識是企業的核心競爭力所在。每個行業對現場控制裝置、控制系統的要求都不一樣，這是由于工藝生產的不同要求造成的設備差異?；跇I務應用場景的專用設備，要完成的功能也不相同。據此，對安全的要求也千差萬別，極具“個性”。所以說，工控安全就必須依據工藝業務特點進行防護，不存在通用的 “靈丹妙藥”。

6結論

總的來說，工控安全形勢嚴峻，缺少成熟的理論、核心技術體系和針對性解決方案、服務模式。歷年的工控安全事件說明僅依靠現有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、 技術框架體系、產品譜系、咨詢測試測評評估系列服務、工控安全全面解決方案、工控安全工作長效協作機制等方面，還有很長的路要走。

從工控安全本質出發，從業務特點出發，立足行業，融合自動化、信息、安全等技術，針對存量、增量、服務，探索工控系統運行安全的本質機理，提出適用理論，研發安全的工控產品和防護產品，形成針對性解決方案，全面提高工控系統安全運行的綜合保障能力，是一個可行的行動路線。
編輯：hfy