工業(yè)控制系統(tǒng)及應(yīng)用-SCADA系統(tǒng)篇（第2版） 課件 第6章安全儀表系統(tǒng)與工業(yè)控制系統(tǒng)信息安全

監(jiān)控與數(shù)據(jù)采集技術(shù)Ch6安全儀表系統(tǒng)與工業(yè)控制系統(tǒng)信息安全一、功能安全基礎(chǔ)1、功能安全相關(guān)的基本概念與標(biāo)準(zhǔn)（1）安全功能與功能安全在生產(chǎn)、生活中強調(diào)“安全是永恒的主題”。存在各類危險源：自然、自身、敵人通過各種安全功能（SafetyFunction）來降低風(fēng)險，減少生命財產(chǎn)損失是非常有必要的。安全功能的例子包括：在要求時執(zhí)行的功能，比如為避免危險狀況的積極行動（如切斷燃料閥門）采取預(yù)防行為的功能（如防止電機啟動）功能安全（FunctionalSafety）是包括安全儀表系統(tǒng)在內(nèi)的安全子系統(tǒng)是否能有效執(zhí)行其安全功能的體現(xiàn)。功能安全是一種基于風(fēng)險的安全技術(shù)和管理模式。

風(fēng)險評估是實施功能安全管理的前提（2）功能安全評估功能安全是與EUC和EUC控制系統(tǒng)有關(guān)的整體安全的組成部分，它取決于E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低措施的正確執(zhí)行。功能安全包含安全相關(guān)系統(tǒng)的安全功能和安全功能的執(zhí)行能力兩層含義。通過各種安全功能（SafetyFunction）來降低風(fēng)險，減少生命財產(chǎn)損失是非常有必要的。E/E/PE安全相關(guān)系統(tǒng)的功能安全評估就是對E/E/PE安全相關(guān)系統(tǒng)的安全功能是否正確，以及其執(zhí)行預(yù)期的安全功能的能力進行評估功能安全是一種基于風(fēng)險的安全技術(shù)和管理模式。功能安全評估需要由具有相應(yīng)資質(zhì)的機構(gòu)完成。（3）功能安全標(biāo)準(zhǔn)國際電工委員會于2000年出臺了功能安全國際標(biāo)準(zhǔn)IEC61508。IEC61508標(biāo)準(zhǔn)發(fā)布之后，適用于其他行業(yè)的功能安全標(biāo)準(zhǔn)相繼出臺核工業(yè)的IEC61513標(biāo)準(zhǔn)機械工業(yè)的IEC62021標(biāo)準(zhǔn)等。IEC61784-3功能安全的通信總線EN50126/8/9鐵路應(yīng)用我國已于2006年、2007年分別等同采用了IEC61508標(biāo)準(zhǔn)和IEC61511標(biāo)準(zhǔn)，發(fā)布了GB/T20438和GB/T21109兩個國家推薦功能安全標(biāo)準(zhǔn)。通常用風(fēng)險的概念來評估危險事件。風(fēng)險被定義為兩個方面的組合，一方面是指造成傷害的概率，另一方面是指該傷害的嚴(yán)重程度。

風(fēng)險（R）=嚴(yán)重程度（S）×頻率（P）IEC61508標(biāo)準(zhǔn)定義了4種嚴(yán)重程度和6類頻率，進而確定了不同的風(fēng)險等級。IEC61508標(biāo)準(zhǔn)定義了4種類型的風(fēng)險：過程風(fēng)險、允許風(fēng)險、殘余風(fēng)險和必要的風(fēng)險降低，2、風(fēng)險評估與風(fēng)險降低（1）風(fēng)險（2）風(fēng)險評估功能安全管理的第一步就是對受控系統(tǒng)進行風(fēng)險分析和評估，以確定需要采取哪些措施（E/E/PE安全相關(guān)系統(tǒng)、其他安全相關(guān)系統(tǒng)和外部風(fēng)險降低措施）將受控系統(tǒng)的初始風(fēng)險降低至可接受的水平.風(fēng)險評估可以是定性的，也可以是定量的。定性的風(fēng)險評估主觀地將風(fēng)險從低到高進行分級。定量風(fēng)險評估為風(fēng)險定出數(shù)值的量化指標(biāo)，如死亡或事故率、泄漏的實際大小等。風(fēng)險評估是對生產(chǎn)過程中的風(fēng)險進行識別、評估和處理的系統(tǒng)過程。風(fēng)險的評估技術(shù)有風(fēng)險圖法；失效模式、影響和危害度分析（FMECA）；失效模式和影響分析（FMEA）；故障樹分析（FTA）；危險與可操作性分析（HAZardandOPerability，HAZOP）等。其中，HAZOP技術(shù)的應(yīng)用較為廣泛和成熟（3）風(fēng)險降低與保護層模型風(fēng)險降低包括3個部分：E/E/PE安全相關(guān)系統(tǒng)、其他安全相關(guān)系統(tǒng)和外部風(fēng)險降低措施9風(fēng)險級別不可容忍區(qū)域，一般風(fēng)險值高于10E-4ALARP或可容忍區(qū)域(只有當(dāng)效益理想時風(fēng)險是可以控制的)廣泛可接受的區(qū)域，一般風(fēng)險值低于10E-6除非在特殊環(huán)境下，風(fēng)險無法接受只有當(dāng)進一步的風(fēng)險降低已經(jīng)不切實際或其花費與收益嚴(yán)重不成比例時才可接受當(dāng)減少的花費超過獲得的收益時可容忍ALARP原則注：ALARP=

AsLowAsReasonablyPractically

，即合理可行的低保護層的概念：從保護層起作用的方式看，可分為事件阻止層和后果減弱層。事件阻止層的作用是阻止?jié)撛谖ｋU發(fā)生；后果減弱層的目的是對已發(fā)生的危險事件，盡可能地減小后果帶來的損失。事件阻止層屬于主動保護，而后果減弱層屬于被動保護。為了確保保護層的事件阻止或減弱功能，一般來說，保護層應(yīng)具有以下特點：特定性獨立性可靠性可審查性IEC61508國際標(biāo)準(zhǔn)定義了SIL的概念：在一定時間、一定條件下，安全相關(guān)系統(tǒng)執(zhí)行其所規(guī)定的安全功能的可能性。為了降低風(fēng)險及危險事件發(fā)生的頻率，要對安全儀表系統(tǒng)確定安全完整性等級，只有達(dá)到了指定的安全完整性等級，才能滿足生產(chǎn)過程的安全要求，從而將風(fēng)險降低到可以容忍的水平。包括硬件安全完整性等級和系統(tǒng)安全完整性等級IEC61508將SIL分為4個等級：SIL1～SIL4，其中，SIL1是最低的安全完整性水平，SIL4是最高的安全完整性水平。SIL等級的確定是通過計算系統(tǒng)的平均要求時失效概率PFDavg來實現(xiàn)的。安全完整性等級的確定是在風(fēng)險評估結(jié)果的基礎(chǔ)上進行的。

安全完整性等級的選擇方法有定性和定量兩類。3、安全完整性等級IEC61508國際標(biāo)準(zhǔn)把安全生命周期定義為在安全儀表功能（SIF）實施中，從項目的概念設(shè)計階段到所有安全儀表功能停止使用之間的整個時間段。安全生命周期使用系統(tǒng)的方式建立一個框架，用以指導(dǎo)過程風(fēng)險分析、安全系統(tǒng)的設(shè)計和評價。整體安全生命周期包括系統(tǒng)的概念（Concept）、定義（Definition）、分析（Analysis）、安全要求（SafetyRequirement）、設(shè)計（Design）、實現(xiàn)（Realization）、驗證計劃（ValidationPlan）、安裝（Installation）、驗證（Validation）、操作（Operation）、維護（Maintenance）和停用（Decommission）等階段。4、安全生命周期二、安全儀表系統(tǒng)1、安全儀表系統(tǒng)基礎(chǔ)（1）安全儀表系統(tǒng)組成與結(jié)構(gòu)安全儀表系統(tǒng)（SafetyInstrumentSystem，SIS）由傳感器、邏輯控制器和執(zhí)行器三部分構(gòu)成，用于當(dāng)預(yù)定的過程條件或狀態(tài)出現(xiàn)背離時，將過程置于安全狀態(tài)。例如，系統(tǒng)超壓或高溫，安全儀表系統(tǒng)可以實現(xiàn)壓力的降低、溫度的降低，從而把處于危險狀態(tài)的系統(tǒng)轉(zhuǎn)入安全狀態(tài)，保障設(shè)備、環(huán)境及生產(chǎn)人員安全。

IEC61511將安全儀表系統(tǒng)定義為執(zhí)行一個或多個安全儀表功能的儀表系統(tǒng)。所謂安全儀表功能，是指由安全儀表系統(tǒng)執(zhí)行的、具有特定安全完整性等級的安全功能，用于對特定的危險事件，達(dá)到或保持過程的安全狀態(tài)。1）1oo1結(jié)構(gòu)1oo1結(jié)構(gòu)包括一個單通道（輸入電路、公共電路、輸出電路），如圖所示。這里的公共電路可以是安全繼電器、固態(tài)邏輯器件或現(xiàn)代的安全PLC等邏輯控制器。該系統(tǒng)是一個最小系統(tǒng)，這個系統(tǒng)沒有提供冗余，也沒有失效模式保護，沒有容錯能力，電子電路可以安全失效（輸出斷電，回路開路）或者危險失效（輸出粘連或給電，回路短路），而危險失效都會導(dǎo)致安全失效。2）1oo2結(jié)構(gòu)該結(jié)構(gòu)將兩個通道的輸出觸點串聯(lián)在一起。正常工作時，兩個輸出觸點都是閉合的，輸出回路帶電。但當(dāng)輸入存在“0”信號時，兩個輸出觸點斷開，輸出回路失電，確保安全功能的實現(xiàn)。3）1oo1D結(jié)構(gòu)1oo1D結(jié)構(gòu)由兩個通道組成，但其中一個通道為診斷通道。1oo1D的物理結(jié)構(gòu)圖如圖6.7所示。診斷通道的輸出與邏輯運算通道的輸出串聯(lián)在一起，當(dāng)檢測到系統(tǒng)內(nèi)存在危險故障時，診斷電路的輸出可以切斷系統(tǒng)的最終輸出，使工藝過程處于安全狀態(tài)。（2）安全儀表系統(tǒng)分類安全儀表系統(tǒng)按照其應(yīng)用行業(yè)的不同可以劃分為化工安全儀表、電力工業(yè)安全儀表、汽車安全儀表、礦業(yè)安全儀表和醫(yī)療安全儀表等。在每個行業(yè)中又可以進行進一步的細(xì)分，如礦業(yè)又可以分為煤礦、金屬礦、非金屬礦及放射性礦等。還可以根據(jù)安全儀表系統(tǒng)實現(xiàn)的功能來分類，如有毒氣體監(jiān)測系統(tǒng)、緊急停車系統(tǒng)、移動?；吩锤櫛O(jiān)測系統(tǒng)及自動消防系統(tǒng)等。在IEC61508標(biāo)準(zhǔn)出來以前，在油氣開采運輸、石油化工和發(fā)電等過程工業(yè)，就有緊急停車系統(tǒng)（EmergencyShutDownSystem，ESD）、火災(zāi)和氣體安全系統(tǒng)（FireandGasSafetySystem，F(xiàn)GS）、燃燒管理系統(tǒng)（BurnerManagementSystem，BMS）和高完整性壓力保護系統(tǒng)（HighIntegrityPressureProtectionSystem，HIPPS）等。根據(jù)安全完整性等級的不同，安全儀表系統(tǒng)又分為SIL1、SIL2、SIL3和SIL4等不同等級。

（3）安全儀表系統(tǒng)與基本過程控制系統(tǒng)（BPCS）基本過程控制系統(tǒng)是執(zhí)行基本的生產(chǎn)控制要求、完成基本功能（如采用PID控制規(guī)律）的自動控制系統(tǒng)。常用的DCS或PLC控制系統(tǒng)、SCADA系統(tǒng)等都屬于常規(guī)控制控制系統(tǒng)。與安全儀表系統(tǒng)不同的是，基本過程控制系統(tǒng)只執(zhí)行基本控制功能，其關(guān)注的是生產(chǎn)過程能否正常運行，而不是生產(chǎn)過程的安全?；具^程控制系統(tǒng)與安全儀表系統(tǒng)一般要做到相互獨立，二者執(zhí)行的功能不同，不可相互混淆。安全儀表系統(tǒng)監(jiān)視整個生產(chǎn)過程的狀態(tài)，當(dāng)發(fā)生危險時動作，使生產(chǎn)過程進入安全狀態(tài)，降低風(fēng)險，防止危險事件發(fā)生。22與常規(guī)控制系統(tǒng)相比，安全儀表系統(tǒng)的特點主要體現(xiàn)在以下幾點。1）符合一定的安全完整性水平

安全儀表系統(tǒng)的設(shè)計和開發(fā)過程必須遵循IEC61508標(biāo)準(zhǔn)，投入使用的安全儀表系統(tǒng)必須滿足要求的安全完整性水平。2）容錯性的多重冗余系統(tǒng)

為了提高系統(tǒng)的硬件故障裕度，安全儀表系統(tǒng)一般采用多重冗余結(jié)構(gòu)，使系統(tǒng)的安全功能不會因為單一故障而喪失。3）響應(yīng)速度快

安全儀表系統(tǒng)具有較好的實時性，從輸入變化到輸出變化的響應(yīng)時間一般為10～50ms，甚至有些小型的安全儀表系統(tǒng)可以達(dá)到幾毫秒的響應(yīng)速度。4）全面的故障自診斷能力5）事件順序記錄功能

（4）安全儀表系統(tǒng)的安全性與可用性1）安全性安全儀表系統(tǒng)的安全性是指，當(dāng)任何潛在危險發(fā)生時，安全儀表系統(tǒng)保證使過程處于安全狀態(tài)的能力。不同安全儀表系統(tǒng)的安全性是不一樣的，安全儀表系統(tǒng)自身的故障無法使過程處于安全狀態(tài)的概率越低，則其安全性越高。安全儀表系統(tǒng)自身的故障有以下兩種類型。A安全故障。當(dāng)安全故障發(fā)生時，不管過程有無危險，系統(tǒng)均使過程處于安全狀態(tài)。此類故障稱為安全故障。對于按故障安全原則（正常時勵磁、閉合）設(shè)計的系統(tǒng)而言，回路上的任何斷路故障都是安全故障。B危險故障。當(dāng)此類故障存在時，系統(tǒng)會喪失使過程處于安全狀態(tài)的能力。此類故障稱為危險故障。對于按故障安全原則設(shè)計的系統(tǒng)而言，回路上任何可斷開觸點的短路故障都是危險故障（按故障安全原則，有故障時，回路應(yīng)該斷開，以使系統(tǒng)安全，而可斷開觸點的短路使回路不可能處于斷開狀態(tài)，喪失了使過程處于安全狀態(tài)的能力）。2）可用性安全儀表系統(tǒng)的可用性是指系統(tǒng)在冗余配置的條件下，當(dāng)某個系統(tǒng)發(fā)生故障時，冗余系統(tǒng)在保證安全功能的條件下，仍能保證生產(chǎn)過程不中斷的能力。與可用性比較接近的一個概念是系統(tǒng)的容錯能力。一個系統(tǒng)具有高可用性或高容錯能力不能以降低安全性作為代價，喪失安全性的可用性是沒有意義的。嚴(yán)格地講，可用性應(yīng)滿足以下幾個條件。A系統(tǒng)是冗余的。B系統(tǒng)產(chǎn)生故障時，不喪失其預(yù)先定義的功能。C系統(tǒng)產(chǎn)生故障時，不影響正常的工藝過程。3）安全性與可用性的關(guān)系從某種意義上說，安全性與可用性是要相互協(xié)調(diào)的。某些措施會提高安全性，但會導(dǎo)致可用性下降，反之亦然。例如，冗余系統(tǒng)采用二取二邏輯，可用性提高，安全性降低；若采用二取一邏輯，則相反。采用故障安全原則設(shè)計的系統(tǒng)安全性高，采用非故障安全原則設(shè)計的系統(tǒng)可用性高。安全性與可用性是衡量一個安全儀表系統(tǒng)的重要指標(biāo)，因此，設(shè)計安全儀表系統(tǒng)時要兼顧安全性和可用性。安全性是前提，可用性必須服從安全性?？捎眯允腔A(chǔ)，沒有高可用性的安全性是不現(xiàn)實的。2、安全儀表產(chǎn)品（1）繼電線路：即用安全繼電器代替常規(guī)繼電器實現(xiàn)安全控制邏輯。屬于全部通過硬件觸點及其之間的連線形成安全保護邏輯，因此可靠性高、成本低，但是靈活性差，系統(tǒng)擴展、增加功能不容易。（2）固態(tài)電路：基于印刷電路板的電子邏輯系統(tǒng)。它采用晶體管元件實現(xiàn)與、或、非等邏輯功能。這種系統(tǒng)屬于模塊化結(jié)構(gòu)，結(jié)構(gòu)緊湊，可在線檢測。容易識別故障，原件互換容易，可以冗余配置。但可靠性不如繼電線路，操作費用高，靈活性不高。（3）安全PLC：以微處理器為基礎(chǔ)，有專用的軟件和編程語言，編程靈活，具有強大的自測試、自診斷能力。系統(tǒng)可以冗余配置，可靠性高。（4）故障安全控制系統(tǒng)：采用專用的緊急停車系統(tǒng)模塊化設(shè)計，具有完善的自檢功能，系統(tǒng)的硬件和軟件都取得了相應(yīng)等級的安全標(biāo)準(zhǔn)證書，可靠性非常高，但價格較貴。這類產(chǎn)品主要包括德國黑馬（HIMA）公司、英國英維斯集團（現(xiàn)已被法國施耐德公司收購）的Tricon系列產(chǎn)品。主要的DCS廠家也有類似的產(chǎn)品，但最高的安全等級不及上述兩家的產(chǎn)品。3、安全儀表系統(tǒng)與常規(guī)控制系統(tǒng)1）功能不同：常規(guī)控制系統(tǒng)起到調(diào)節(jié)的作用，而安全儀表系統(tǒng)的作用是降低生產(chǎn)過程風(fēng)險，起安全保護的作用2）組成不同：常規(guī)控制系統(tǒng)的組成主要包括現(xiàn)場控制器、工程師站、操作員站和控制網(wǎng)絡(luò)等，通常不包括現(xiàn)場檢測儀器與執(zhí)行器；而安全儀表系統(tǒng)由于要進行回路的SIL等級評定，因此必須對檢測儀表、執(zhí)行器及外部電源等一并進行考慮。3）I/O配置不同：常規(guī)控制系統(tǒng)通常配備的I/O模塊有AI、AO、DI和DO；而安全儀表系統(tǒng)由于不執(zhí)行調(diào)節(jié)作用，因此通常配備的I/O模塊只有AI、DI和DO，較少使用AO4）工作方式不同：常規(guī)控制系統(tǒng)處于動態(tài)，而安全儀表系統(tǒng)處于靜態(tài)。常規(guī)控制系統(tǒng)的輸出一直在變化，具有連續(xù)性。安全儀表系統(tǒng)的輸出保持相對穩(wěn)定，其工作具有間斷特性。5）可靠性與安全級別不同：常規(guī)控制系統(tǒng)不需要進行SIL等級評估，不需要選用具有一定SIL等級的控制儀表和裝置；而安全聯(lián)鎖系統(tǒng)需要進行SIL等級評估，需要選擇符合SIL等級的設(shè)備。6）使用與維護要求不同：安全儀表系統(tǒng)必須按照標(biāo)準(zhǔn)使用與維護，對安全儀表系統(tǒng)的更改都需要進行新的評估。而常規(guī)控制系統(tǒng)的使用與維護沒有這么嚴(yán)格。7）應(yīng)對失效方式不同：常規(guī)控制系統(tǒng)的大部分失效都是顯而易見的，其失效會在生產(chǎn)的動態(tài)過程中自行顯現(xiàn)，很少存在隱性失效；而安全儀表系統(tǒng)的失效沒那么明顯，確定這種休眠系統(tǒng)是否還能正常工作的唯一方法，就是對該系統(tǒng)進行周期性診斷或測試。因此安全儀表系統(tǒng)需要人為進行周期性的離線或在線檢驗測試，而有些安全系統(tǒng)帶有內(nèi)部自診斷功能。常規(guī)控制系統(tǒng)雖然有聯(lián)鎖功能，但是這種聯(lián)鎖功能通常是不進行SIL等級評估的三、安全儀表系統(tǒng)設(shè)計與應(yīng)用1、安全儀表系統(tǒng)設(shè)計原則（1）基本原則在進行安全儀表系統(tǒng)設(shè)計時，應(yīng)當(dāng)遵循E/E/PES（電子/電氣/可編程電子）安全要求規(guī)范。通過一切必要的技術(shù)與措施使設(shè)計的安全儀表系統(tǒng)達(dá)到要求的安全完整性水平（2）邏輯設(shè)計原則（1）可靠性原則：全面考慮整個回路的可靠性，因為可靠性決定系統(tǒng)的安全性。（2）可用性原則：可用性雖然不會影響系統(tǒng)的安全性，但可用性較低的生產(chǎn)裝置將會使生產(chǎn)過程無法正常進行。在進行安全儀表系統(tǒng)設(shè)計時，必須保證其可用性滿足一定的要求。（3）“故障安全”原則：當(dāng)安全儀表系統(tǒng)出現(xiàn)故障時，應(yīng)將系統(tǒng)設(shè)計成處于或?qū)虬踩臓顟B(tài)，即遵循“故障安全”原則。“故障安全”能否實現(xiàn)，取決于工藝過程及安全儀表系統(tǒng)的設(shè)置。（4）過程適應(yīng)原則：安全儀表系統(tǒng)的設(shè)置應(yīng)當(dāng)能保證在正常情況下不影響生產(chǎn)過程的運行，當(dāng)出現(xiàn)危險狀況時能發(fā)揮相應(yīng)作用，保障工藝裝置的安全，即要滿足系統(tǒng)設(shè)計的過程適應(yīng)原則。（3）回路配置原則（1）獨立設(shè)置原則SIS應(yīng)獨立于常規(guī)控制系統(tǒng)，獨立完成安全保護功能。安全儀表系統(tǒng)的邏輯控制系統(tǒng)、檢測元件與執(zhí)行元件應(yīng)該獨立配置。（2）中間環(huán)節(jié)最少原則安全儀表系統(tǒng)應(yīng)該被設(shè)計成一個高效的系統(tǒng)，中間環(huán)節(jié)越少越好。在一個回路中，儀表增多可能會導(dǎo)致可靠性降低。應(yīng)盡量采用隔爆型儀表，減少因安全柵而產(chǎn)生的故障源，防止產(chǎn)生誤停車。2、安全儀表系統(tǒng)設(shè)計步驟3、安全儀表系統(tǒng)應(yīng)用實例（見教材）四、工業(yè)控制系統(tǒng)信息安全1、工業(yè)控制系統(tǒng)信息安全概述（1）什么是工業(yè)控制系統(tǒng)信息安全IEC62443標(biāo)準(zhǔn)給出了對控制系統(tǒng)信息安全（CyberSecurity）的定義：對系統(tǒng)采取的保護措施；建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權(quán)訪問，以及非授權(quán)或意外的變更、破壞或損失等；基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)無法修改軟件及其數(shù)據(jù)，也無法訪問系統(tǒng)，但允許授權(quán)人員訪問系統(tǒng)；防止對控制系統(tǒng)的非法和有害入侵，以及干擾控制系統(tǒng)執(zhí)行正確和計劃的操作。

（2）工業(yè)控制系統(tǒng)信息安全問題的由來控制系統(tǒng)漏洞大量存在控制系統(tǒng)從封閉走向開放控制系統(tǒng)與上層管理網(wǎng)絡(luò)的聯(lián)網(wǎng)網(wǎng)絡(luò)威脅越來越多，攻擊手段不斷更新現(xiàn)有防護手段不足對工業(yè)控制系統(tǒng)信息安全重要性的認(rèn)識不足重大標(biāo)志事件：2010年9月24日，伊朗布什爾核電站控制系統(tǒng)遭受攻擊，導(dǎo)致大量離心機損壞。2010年出現(xiàn)的毒區(qū)（Duqu）和2012年出現(xiàn)的火焰(Flame)病毒都是針對工業(yè)控制系統(tǒng)的計算機病毒。信息安全界將此列為2010十大IT事件。1982年前蘇聯(lián)西伯利亞天然氣管道大爆炸，就是美國CIA事先在控制系統(tǒng)設(shè)下邏輯炸彈引起的?！皬耐庑强梢姷淖畲蠓呛吮ā?。（3）工控信息安全與IT的比較類別IT系統(tǒng)ICS系統(tǒng)結(jié)構(gòu)安全焦點重點是保護IT資產(chǎn)、信息存儲和傳播中央服務(wù)器需要更多保護首要目標(biāo)是保護系統(tǒng)邊際設(shè)備，如過程控制現(xiàn)場設(shè)備中央服務(wù)器同樣需要保護非預(yù)期后果安全解決方案都是圍繞典型的IT系統(tǒng)設(shè)計的安全工具必須在與現(xiàn)場類似的ICS系統(tǒng)上進行嚴(yán)格地線下測試，確保其上線后不應(yīng)影響正常的ICS運作資源約束系統(tǒng)需要有足夠的資源來支持第三方的安全解決方案應(yīng)用加入系統(tǒng)是以特定工業(yè)過程為目標(biāo)設(shè)計的，沒有足夠的內(nèi)存及其他計算機資源來支持增加的安全功能時間關(guān)鍵性作用應(yīng)急事件處理不是關(guān)鍵按等級劃分的嚴(yán)格訪問控制對人和其他應(yīng)急事件的響應(yīng)非常關(guān)鍵ICS的訪問需要嚴(yán)格控制，但不應(yīng)阻礙和干擾人機交互系統(tǒng)操作依托典型的操作系統(tǒng)設(shè)計升級可以通過自動進行一般使用無內(nèi)置安全功能的專有操作系統(tǒng)由于控制算法或添加、移除硬件所做的軟件變更一般有軟件供應(yīng)商進行專門處理類別IT系統(tǒng)ICS系統(tǒng)通信標(biāo)準(zhǔn)通信協(xié)議主要是包含無線網(wǎng)絡(luò)接入的有線網(wǎng)絡(luò)典型的IT網(wǎng)絡(luò)實施方法很多專有和標(biāo)準(zhǔn)通信協(xié)議多種通信媒介，包括專用線和無線(無線電和衛(wèi)星)網(wǎng)絡(luò)復(fù)雜，需要具有專門知識的控制工程師軟件變更管理軟件變更在當(dāng)前完備的安全策略和過程中容易實現(xiàn)，變更過程通常是自動的需變更的軟件需要完整的測試并進行增量部署，以確?？刂葡到y(tǒng)的完整性故障處理必須制定詳盡的計劃ICS可能使用廠商已經(jīng)不再進行技術(shù)支持的操作系統(tǒng)管理支持允許多種支持方式服務(wù)支持往往僅通過單一供應(yīng)商生命周期一般為3~5年一般為15~20年組件訪問組件通常部署在本地并易于接入訪問組件被隔離部署在遠(yuǎn)處，需要多方面的物理支持才能夠訪問信息安全優(yōu)先級比較對可用性的最高要求是導(dǎo)致工控系統(tǒng)信息安全與IT信息安全不同的主要根源2、工業(yè)控制系統(tǒng)體系結(jié)構(gòu)及其脆弱性分析（1）工業(yè)控制系統(tǒng)體系結(jié)構(gòu)與安全分析（2）工業(yè)控制系統(tǒng)的脆弱性分析工業(yè)控制系統(tǒng)的安全漏洞分為以下幾類：操作系統(tǒng)漏洞（包括上位機通用系統(tǒng)與下位機嵌入式操作系統(tǒng)）系統(tǒng)結(jié)構(gòu)漏洞應(yīng)用軟件漏洞通信協(xié)議漏洞安全策略和管理流程漏洞殺毒軟件漏洞例如：Modbus協(xié)議脆弱性（1）缺乏接入控制

接入控制的目的是保證只有授權(quán)用戶才能接入到系統(tǒng)，參與通信過程。接入控制的過程就包含認(rèn)證與授權(quán)機制。Modbus缺乏這個機制，攻擊者可以把攻擊設(shè)備接入網(wǎng)絡(luò)而不被發(fā)現(xiàn)，進而冒充合法用戶來對系統(tǒng)實施監(jiān)聽、攻擊或破壞。（2）缺乏認(rèn)證

認(rèn)證的目的是保證收到的信息來自合法的用戶，未認(rèn)證用戶向設(shè)備發(fā)送控制命令不會被執(zhí)行。在Modbus協(xié)議的通信過程中，沒有任何認(rèn)證相關(guān)的定義，攻擊者只需要找到一個合法的地址就可以使用功能碼并建立一個Modbus會話，從而擾亂整個或部分控制過程。（3）缺乏授權(quán)

授權(quán)是保證不同的特權(quán)操作者由擁有不用權(quán)限的認(rèn)證用戶來完成，這樣可以大大降低誤操作與內(nèi)部攻擊的概率。Modbus協(xié)議沒有基于角色的訪問控制機制，也沒有對用戶進行分類，沒有對用戶的權(quán)限進行劃分，會導(dǎo)致任意用戶可以執(zhí)行任意功能。（4）數(shù)據(jù)明文傳輸，缺乏加密

Modbus協(xié)議封裝的是ADU，傳輸?shù)囊彩沁@個ADU，在網(wǎng)絡(luò)上都是以明文的形式傳輸，加密機制的缺乏，使得攻擊者可以很容易通過抓包技術(shù)來解析數(shù)據(jù)包。（3）針對工業(yè)控制系統(tǒng)典型的攻擊手段1）偵察攻擊（ReconnaissanceAttacks）

攻擊是攻擊者為了獲取盡可能多的目標(biāo)系統(tǒng)信息而設(shè)計的，完備的偵察攻擊可加大黑客攻擊的成功率。工控系統(tǒng)的偵察攻擊目的是收集工控系統(tǒng)信息，偵測系統(tǒng)的網(wǎng)絡(luò)架構(gòu)并且收集設(shè)備特征，例如：設(shè)備制造商，支持的網(wǎng)絡(luò)協(xié)議，設(shè)備和內(nèi)存映射地址。

以針對Modbus協(xié)議的工控系統(tǒng)為了，偵察攻擊入侵Modbus服務(wù)器，其過程如下：A地址掃描：通過向不同的Modbus地址廣播輪詢的響應(yīng)發(fā)現(xiàn)工控系統(tǒng)服務(wù)器連接。B功能編碼掃描：通過已經(jīng)辨別的服務(wù)器識別支持的Modbus功能編碼。C設(shè)備識別攻擊：攻擊者通過此類攻擊獲取供應(yīng)商設(shè)備信息，產(chǎn)品代碼，設(shè)備版本信息。D節(jié)點掃描：攻擊者通過節(jié)點掃描建立Modbus的內(nèi)存映射，掌握輸入、輸出寄存器信息。2）響應(yīng)注入攻擊（ResponseInjectionAttacks）工控系統(tǒng)通常采用廣播輪詢技術(shù)監(jiān)測過程的狀態(tài)信息。輪詢機制采取從客戶端向服務(wù)器端發(fā)送查詢數(shù)據(jù)包，響應(yīng)數(shù)據(jù)包由服務(wù)器發(fā)送給客戶端。系統(tǒng)的狀態(tài)信息被實時發(fā)送到人機界面，用來監(jiān)控控制過程，存儲歷史測量數(shù)據(jù)，并將測量過程參數(shù)和基于過程狀態(tài)的控制測量反饋給控制回路。響應(yīng)注入攻擊是指惡意篡改從服務(wù)端發(fā)送至客戶端的狀態(tài)信息。被分為簡單的惡意響應(yīng)攻擊（naivemaliciousresponseinjection，NMRI）和復(fù)雜的惡意響應(yīng)攻擊（complexmaliciousresponseinjection，CMRI）兩種形式。其中NMRI攻擊是向網(wǎng)絡(luò)中注入或改變數(shù)據(jù)包，無法獲得被監(jiān)控的過程信息。而CMRI攻擊則試圖掩蓋物理過程的正常狀態(tài)，給控制系統(tǒng)造成不利的影響，此類攻擊需要深入了解目標(biāo)系統(tǒng)。3）命令注入攻擊（CommandInjectionAttacks）

命令注入攻擊通過惡意注入錯誤的控制和配置命令來改變系統(tǒng)行為。惡意命令注入攻擊將導(dǎo)致系統(tǒng)設(shè)備通信中斷，未授權(quán)更改設(shè)備配置信息和過程臨界值。命令注入攻擊主要分為三種攻擊方式：A惡意狀態(tài)命令注入攻擊（MSCI）：通過惡意命令攻擊遠(yuǎn)程終端設(shè)備，使其從安全狀態(tài)變?yōu)榕R界狀態(tài)。B惡意參數(shù)命令注入攻擊（MPCI）：通過惡意命令改變工控系統(tǒng)可編程控制器的設(shè)定值。C惡意功能編碼命令注入攻擊（MFCI）:通過惡意改變內(nèi)置的協(xié)議功能。（4）拒絕服務(wù)攻擊DoS（DenialofService），采用各種非法手段耗盡被攻擊對象的資源，造成目標(biāo)主機的TCP/IP協(xié)議層擁塞，導(dǎo)致被攻擊主機無法提供正常的服務(wù)，嚴(yán)重的會使被攻擊系統(tǒng)停止響應(yīng)甚至崩潰。常見的DoS攻擊有針對計算機網(wǎng)絡(luò)帶寬的攻擊和連通性能攻擊。

拒絕服務(wù)攻擊具體表現(xiàn)方式有：1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡(luò)擁塞，使被攻擊主機無法正常和外界通信。2）利用目標(biāo)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊