bokee.net

首席销售官博客

正文 更多文章

2013年可以期待的自动化热点

2013年可以期待的自动化热点

2012年已经逝去,回顾这一年,遭受美国金融风暴、欧债危机以来,自动化并无重大突破,但也有一些进展。

 

工业控制系统的安保(Security)

 

名词问题

 

在工控领域内,safety指功能安全;而Security则表示安保,但也有人称之为信息安全,在英文中表达明确。如果将Security译为信息安全,那么,功能安全和信息安全译为英文就变为function safety与information safety,这样极易混淆,不利于中外交流。因此Security应译为安保。

 

目前状况

 

2010年6月“震网”(stuxnet)攻击伊朗核电站,使其发电时间推迟了18个月,这一严重后果引起了人们的注意。原来我们的基础工业竟是一座“不设防的城市”。我国工信部于2011年9月下发了(工信部协[2011]451号)《关于加强工业控制系统信息安全管理的通知》要求各有关单位予以重视,采取对策。

 

去年,俄罗斯一家研究所又发现了“火焰”病毒在中东传播,据说其烈度为“震网”的20倍,需10年时间将之克服。

 

有迹象表明,这些病毒并非个人行为,可能来自举国之力。

 

目前有两家公司可提供解决方案:其一是青岛Tofino公司与加拿大一家小公司合作,可以提供解决方案,有的已在国内一些石化企业应用;另外一家是德国菲尼克斯收购德国一家小公司Inomation,研发出了FL MGUARD工业信息安全组件。

 

去年8月,在上海举办的MICONEX上,西门子公司的唐文博士做了“工业基础设施信息安全”的报告,着重讲了国际上能源、水利与水处理、交通和制造业所发生的17起攻击事件、Security的需求分析与纵深防御的解决方案;上海工业自动化仪表研究院王英副总工做了“大型石化装置的ICS信息安全技术”的报告,该技术正在上海高桥石化进行试验。目前国内外一些大公司都在积极研发,预计明年将陆续出台解决方案。

 

存在问题

 

现有的解决方案是被动的,处于“挨打”的局面。目前的解决方案和标准是先将整个企业按地理位置或流程分为若干区(zone),各个区之间由管道来连接,在管道上安装防火墙或安全网关,再用黑名单和白名单的办法,若信息符合白名单上的协议就可以通过。而所谓纵深防御,就是从企业的ERP层往下,层层设关,最多可达5层,而且按IEC62443标准,如有需要则还可在重要的控制器前再设“分”或“二次”防火墙。一旦出现工业信息安全威胁,生产人员不知道“敌人”何时入侵,也不知已潜伏的“定时炸弹”何时爆炸,一有风吹草动,不免风声鹤唳,草木皆兵,怎么叫人安心生产?

 

此外,其实用性也有待验证。据了解,目前的解决方案或标准均出自于IT行业。例如IEC62443提及IT行业的信息与工控信息要求的区别在于IT行业对信息要求的排序是保密性-完整性-可用性;而工控行业信息要求则为可用性-完整性-保密性。从工控行业的观点来看则应从实时性-可靠性-安全性方面来对比。纵深防御、层层把关,对工控系统的正常运行(实时性、可靠性、安全性)是否会产生负面影响?

 

同时,这也增加了很大的成本一次投资固然会增加,但今后的维护、升级的费用将会更多。

 

有关安全的标准应该是强制性的还是推荐性、参考性的?目前的IEC62443是属于“预标准(pre-standard)”,而正在转化的国标也是推荐性的。例如在IEC62443标准中,几乎都是“宜”(should),而不是“应”(shall)。“宜”就是可以这样做,也可以不这样做。对于安全来讲这样做是否合适呢?另外,IEC62443篇幅浩繁,有些地方深奥难懂,可操作性差,但反过来讲,在需要与可能存在很大差距的情况下,这样做总比无所作为好一些吧?

分享到:

上一篇:秋雨

下一篇:工业进步拉动着国内模具产业快速发展