当提及人机接口时,安全和保安之间的区别往往可以很明确。Wonderware公司的针对基础设施和平台产品的市场经理Steven Garbrecht说:“安全指的是嵌入PLC的控制操作和安全联动装置,它已经被设计到控制程序中了。”
保安是针对闯入控制系统意图盗取信息或破坏的人。这是两个不同的领域,然而说到hmi,安全和保安就有一些交集了。
适当的安全设计可以防止操作人员对产品或设备造成的损伤或破坏,并且可以使操作人员及时行动避免这种情况发生。1984年12月份,印度Bhopal省的Union Carbide公司的一家工厂发生了灾难性的事故,化学反应堆失控,造成成吨的异氰酸甲酯泄露,成千的人死亡,更多的人患病。对于此次事故中安全系统是否工作的讨论存在这个分歧,Union Carbide公司的立场是“造成如此大的事故只可能是人为破坏。”而且他人却十分不认同这种说法。
图1:在这个制药流程中,生产过程的启动、控制和监控都是由操作员完成的,Wonderware Intouch 公司的HMI 软件一步一步地知道操作员完成这个过程。
如图所示为工厂系统的总图(左侧),和样品数据管理和审核流程。
1979年美国Three Mile Island(PA)发生的核工厂泄露事故中,操作人员并没有意识到一个关键的阀门被打开了,虽然显示时关闭的。之后他们收到了反应堆液位的错误信息。后来的调查显示,被恶意破坏的可能被排除,如果操作人员当时收到了正确的信息,他们就能够阻止情况失控。
确保不失控
诚然,确实有外部的恶意破坏者。Wonderware公司的信息安全(Infosec)分析师Rich Clark在一次题为“控制系统安全向导”的演讲中,列举了17类情况,包括从不满的员工到普通的罪犯,以致有组织的危害国家和政府安全的组织和个人。他说,这些人很难别确认,但“他们每天却有很多目标可以攻击。”
Garbrecht说:“从人机接口的角度上,有三种主要的情况,一是公司以外的某些人穿越防火墙,通过网络进入公司,并对人机接口做了某些改动。二是公司内部的某些人以某种原因对公司作了恶意操作。三是公司内部员工,并不是有意要做恶意攻击,只是由于误操作导致流程中安全或其他方面的问题。”
Clark说,如果公司把控制系统的保安工作交给IT部门,那么公司可能会有麻烦。IT人员通过隔离每台机器来达到保安,他们隔离哪些正在上网的和有可能携带病毒的人,使他们不至于影响企业中的其他部分。这种方法在IT领域确实奏效,但是它牺牲了机器之间通讯的便捷性,并且实时性能不好。
Clark继续说道:“当控制系统被设计时,每台机器都设计成可以不受阻碍地与另一台机器通讯。在控制系统的环境中,更多的机器既是服务器又是客户机,这并不符合IT领域中的客户端服务器模型。”Clark指出,控制系统的安全方案是将控制系统放在一面保护墙后面,然后密切控制受保护区域的所有进出。
在控制系统和整个系统之间的所有通讯必须经过防火墙。California的一家生物制药公司最近安装了符合21 CFR 11 标准的用于处理历史数据的新型系统。所有有关过程错误和事件的信息都被存储在服务器中需要的人可以调用。但是工厂的重要数据和控制信息都是存放在与整个系统隔离的网络中的。
Clark引用了“having limited threat vectors。”他说,一个理想的安全控制系统应该满足以下几条:
■与全部的威胁隔离,包括商业合作企业。
■用强力抗侵蚀设备分层
■只有一个输入输出点
■所有的系统自动化都在一个安全集合内
■并且企业内的每一个置信机器可以无阻碍地访问另一个置信机器
微软公司称这种安全模型为“网域隔离”。GE公司通过使用“Application Validator Utility”工具,为它的iFIX软件3.5版本添加了这种安全特性。这种软件工具可以自动整理对系统文件和功能的修改,减少安装被无意和有意地危机的可能性。
Systek Automated Controls公司的工程副总裁(前International Automation 公司控制工程经理)Joe Quigg警告说:“有意图的人可以制造危险。对于以前的系统,很多情况下,人们可以不受阻碍和无人监管地对系统作修改和改动。而且这种修改缺乏文档备案机制,如果人们改动了系统,而且没有备案,那就根本无据可查。”他继续说道:“很多逻辑系统都带有硬件继电器逻辑,如果某人可以打开控制面板,那么只要他愿意他就可以设置某些旁路。”
他继续说道:“一个设计精良的现代系统被划分为两个部分,标准部分,即日常的控制程序,它是开放式结构的,另一个是安全不分,如果改动的话就会产生危险,这部分是被锁定的。只有特定的人,使用正确的密码,经过培训和指导才能够对其进行修改。”