摘 要： 随着信息技术和工业自动化水平的提升，工业控制系统越来越复杂，错误也越来越难检测和避免，且常常引发工业事故，危及工业生产、国家经济安全和人民生命财产安全。针对工控系统存在的安全问题，采用复杂网络分析、数据预测、专家分析、自适应升降级等技术，提出一种包含全局防危、主动防危、实时防危、自主防危和防危认证的工业控制系统防危机制，实现对工业控制系统的安全防护。
关键词： 工业控制系统； 防危性； 数据挖掘

工业控制系统包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)等，以及确保各组件通信的接口技术[1]。目前广泛应用于电力、水利、污水处理、石油化工、交通运输、制药以及大型制造行业，是国民大电流功率电感器生产厂经济的重要组成部分。
据权威工业安全事件信息库RISI(Repository of Security Incidents)统计[2]，截止2011年10月，全球已发生200余起工业控制系统的严重安全事件。工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，一旦出现工业事故，将对正常生产运行和国家经济安全造成重大损害。
1984年12月3日凌晨，在印度的Bhopal，45吨甲烷异氰酸脂重毒气从联合炭化虫剂制造厂泄漏并扩散到附近居民区，造成至少2 500人死亡，25万人的健康受到影响。1986年4月，前苏联切尔诺贝利核电发生爆炸，导致世界上最严重的核事故。
分析以上事故原因发现，每起事故都涉及到控制系统的防危问题。印度毒气泄露事件调查报告显示[3]，610号储槽的压力在15 min内由2 psig上升到10 psig。由于换班原因，新操作员并未察觉到压力突变异常，正常压力大约在2~25 psig之间。而当压力突升而未察觉时，则会导致毒气泄漏。1986年切尔诺贝利核电站爆炸事故调查报告显示[4]，由于核电站人员多次违规操作，导致反应堆能量增加，发生爆炸。
随着高新技术的广泛应用，工业控制系统越来越复杂，错误越难检测和避免，由此带来的安全隐患也越多，对系统的防危要求越来越迫切。工控系统对防危性的要求包含以下几个方面[5]：
(1)整体性：工控系统中对关键设备的不同操作之间存在相互依赖关系，要将其视为一个整体考虑。
(2)通用性：为达到资源共享以及实现不同工控系统间的移植，需把系统功能实现与防危机制分离开，提高防危机制的通用性。
(3)自适应性：系统内部环境发生改变时，应采用某种自适应手段，适应新的环境来满足用户的需求。
(4)隔离性：监控对关键设备的操作，拒绝可能导致重大人身和财产损失的操作命令，实现应用软件与系统设备的隔离，保证工控系统的防危性。
面对越来越复杂的工控系统和愈来愈重要的防危性要求，开展针对现有工控系统的防危机制研究具有巨大的科学意义和应用价值。
1 相关研究介绍
近年来很多重大事故的发生都可以归结为工控系统在防危性方面的疏忽或缺失，事故主要来源于系统的设计缺陷及操作人员的误操作，也使工控系统失去了可信性。
1985年，Laprie提出了dependability(为与可靠性reliability相区别，译为可信性)概念，以此度量计算机系统的服务质量[6]。如图1所示，可信性是一个复杂的综合性概念，具有丰富的内涵，它所包含的特征有：可用性(Availability)、可靠性(Reliability)、防危性(Safety)、安全性(Security)和可维护性(Maintainability) 5个特征量。1995年Laprie把Security分解为Confidentiality和Integrity[7]。

防危性与可用性、可靠性、可维护性、安全性的区别[8]如表1所示。防危强调的是防止危险发生，即防止系统给生命财产及生态环境造成灾难性破坏。防危技术主要是对系统内部错误的侦测、异常处理以及误操作的避免，不同于可信性的其他特性。

目前实现防危的主要技术手段有防危核与防危壳两种。
防危核(Safety Kernel)最早由安全学家 Leveson[9]提出，其原理是根据实际系统的工作特点定制的一套防危策略，验证所有对关键设备的操作请求，只有通过验证的操作请求才可到达硬件进行操作，拒绝所有未经过验证的操作。防危核成功隔离了应用请求与关键设备，避免用户误操作引起的系统错误,达到对系统的防危保护。大电流电感

 1/4    1 2 3 4 下一页 尾页