2013年可以期待的自動化熱點

作者 ：admin  來源 ：本站  發表時間 ：2013/1/19 9:14:27  點擊 ：2122

2012年已經逝去 ，回顧這一年 ，遭受美國金融風暴 、歐債危機以來 ，自動化並無重大突破 ，但也有一些進展 。

工業控製係統的安保（Security）

名詞問題

在工控領域內 ，safety指功能安全 ；而Security則表示安保 ，但也有人稱之為信息安全 ，在英文中表達明確 。如果將Security譯為信息安全 ，那麽 ，功能安全和信息安全譯為英文就變為function safety與information safety ，這樣極易混淆 ，不利於中外交流 。因此Security應譯為安保 。

目前狀況

2010年6月“震網”（stuxnet）攻擊伊朗核電站 ，使其發電時間推遲了18個月 ，這一嚴重後果引起了人們的注意 。原來聚星撲克的基礎工業竟是一座“不設防的城市” 。我國工信部於2011年9月下發了（工信部協[2011]451號）《關於加強工業控製係統信息安全管理的通知》要求各有關單位予以重視，采取對策 。

去年 ，俄羅斯一家研究所又發現了“火焰”病毒在中東傳播 ，據說其烈度為“震網”的20倍 ，需10年時間將之克服 。

有跡象表明 ，這些病毒並非個人行為 ，可能來自舉國之力 。

目前有兩家公司可提供解決方案 ：其一是青島Tofino公司與加拿大一家小公司合作 ，可以提供解決方案 ，有的已在國內一些石化企業應用 ；另外一家是德國菲尼克斯收購德國一家小公司Inomation ，研發出了FL MGUARD工業信息安全組件 。

去年8月 ，在上海舉辦的MICONEX上 ，西門子公司的唐文博士做了“工業基礎設施信息安全”的報告 ，著重講了國際上能源 、水利與水處理 、交通和製造業所發生的17起攻擊事件 、Security的需求分析與縱深防禦的解決方案 ；上海工業自動化儀表研究院王英副總工做了“大型石化裝置的ICS信息安全技術”的報告 ，該技術正在上海高橋石化進行試驗 。目前國內外一些大公司都在積極研發 ，預計明年將陸續出台解決方案 。

存在問題

現有的解決方案是被動的 ，處於“挨打”的局麵 。目前的解決方案和標準是先將整個企業按地理位置或流程分為若幹區（zone） ，各個區之間由管道來連接 ，在管道上安裝防火牆或安全網關 ，再用黑名單和白名單的辦法 ，若信息符合白名單上的協議就可以通過 。而所謂縱深防禦 ，就是從企業的ERP層往下 ，層層設關 ，最多可達5層 ，而且按IEC62443標準 ，如有需要則還可在重要的控製器前再設“分”或“二次”防火牆 。一旦出現工業信息安全威脅 ，生產人員不知道“敵人”何時入侵 ，也不知已潛伏的“定時炸彈”何時爆炸 ，一有風吹草動 ，不免風聲鶴唳 ，草木皆兵 ，怎麽叫人安心生產 ？

此外 ，其實用性也有待驗證 。據了解 ，目前的解決方案或標準均出自於IT行業 。例如IEC62443提及IT行業的信息與工控信息要求的區別在於IT行業對信息要求的排序是保密性-完整性-可用性 ；而工控行業信息要求則為可用性-完整性-保密性 。從工控行業的觀點來看則應從實時性-可靠性-安全性方麵來對比 。縱深防禦 、層層把關 ，對工控係統的正常運行（實時性 、可靠性 、安全性）是否會產生負麵影響 ？

同時 ，這也增加了很大的成本一次投資固然會增加 ，但今後的維護、升級的費用將會更多 。

有關安全的標準應該是強製性的還是推薦性 、參考性的 ？目前的IEC62443是屬於“預標準（pre-standard）” ，而正在轉化的國標也是推薦性的 。例如在IEC62443標準中 ，幾乎都是“宜”（should） ，而不是“應”（shall） 。“宜”就是可以這樣做 ，也可以不這樣做 。對於安全來講這樣做是否合適呢 ？另外 ，IEC62443篇幅浩繁 ，有些地方深奧難懂 ，可操作性差 ，但反過來講 ，在需要與可能存在很大差距的情況下 ，這樣做總比無所作為好一些吧 ？

轉載請注明 ：工業自動化 中國工控網 自動化