DCS的安全性包含的内容的介绍

DCS的安全性包含功能安全、人身安全和信息安全。功能安全和人身安全对应英文Safety一词，信息安全对应Security一词。

1.功能安全

功能安全（Functional Safety）是指系统正确地响应输入从而正确地输出控制的能力（按IEC 61508的定义）。在传统的工业控制系统中，特别是在所谓的安全系统（Safety Sys⁃tems）或安全相关系统（Safety Related Systems）中，所指的安全性通常都是功能安全。比如在联锁系统或保护系统中，安全性是关键性的指标，其安全性也是指功能安全。功能安全性差的控制系统，其后果不仅仅是系统停机的经济损失，而且往往会导致设备损坏、环境污染，甚至人身伤害。几乎所有的工业系统都存在安全隐患，也就是说它们在某些时刻不能正确响应系统的输入，从而导致人身伤害、设备损坏或环境污染。按照IEC 61508的定义，功能安全是系统总体安全中的一部分，而不是全部。功能安全强调：危险前有信息输入；系统能正确响应输入，发出控制指令，避免危险的发生。

例如，电动机线圈过热保护装置，其工作原理是：在线圈内安装温度探头，装置设定温度保护点，当探头测量到的温度超过设定点时，装置就切断电动机的电源。这就是一个完整的功能安全的例子。另一个例子：如果改善电动机线圈的材质或者提供高温保护层，就不属于功能安全，因为没有输入，这种安全保护属于对象本身的内在安全（Inherent Safety）。如果一个系统存在某些功能上的要求，以确保系统将危险限制在可以接受的水平，就将这样的系统称为安全相关系统（Safety Related System）。这些功能上的要求就是所谓的安全功能（Safety Functions），安全功能包含：安全功能需求，描述每项安全功能的作用，来源于危险分析（Hazard Analysis）过程；安全度（Degree of Safety）要求，规定系统完成安全功能的概率，具体应用的安全度要求，从风险评估（Risk Assessment）过程中得到。

所以，当描述一个安全相关系统时，总是围绕“什么功能需要安全地执行”和“这些功能需要安全到什么程度”这两个主题来进行。一个安全相关系统，可以是一个独立于其他控制系统的系统，也可以包含在通用的控制系统之中。

2.人身安全及安规认证

人身安全（Personal Safety）是指系统在人对其进行正常使用和操作的过程中，不会直接导致人身伤害。比如，系统电源输入接地不良可能导致电击伤人，就属于设备人身安全设计必须要考虑的问题。通常，每个国家对设备可能直接导致人身伤害的场合，都颁布了强制性的标准规范，产品在生产销售之前应该满足这些强制性规范的要求，并由第三方机构实施认证，这就是通常所说的安全规范认证，简称安规认证。

所有可能威胁人身安全的产品，在销售之前都必须通过某种要求的认证，一般每个国家都会列出一系列的产品目录，并规定每类产品应按何种标准进行安规认证或产品认证。产品认证主要是指产品的安全性检验或认证，这种检验或认证是基于各国的产品安全法及其引申出来的单一法规而进行的。在国际贸易中，这种检验或认证具有极其重要的意义。因为通过这种检验或认证，是产品进入当地市场合法销售的通行证，也是对在销售或使用过程中，因产品安全问题而引发法律或商务纠纷时的一种保障。

一般而言，产品安全性的检验、认证和使用合法标识的分类情况，如图8-1所示。

图8-1　产品认证分类

1）产品责任法

在欧美国家，政府为了充分保护消费者的利益和社会整体的安定，制定了相当严格的产品责任法（Product Liability Law）。与一般的民事或刑事法律相比，产品责任法有两个需要企业特别重视的基本原则：产品责任法强调的是非过失责任；在发生纠纷时，首先举证的责任在产品的供应方。

（1）非过失责任。即使产品的供应者并无意伤害他人，但只要在产品的常规使用过程中，发生了伤害，产品的供应者也必须承担相关的民事或刑事责任。这一基本原则实际上是要求，产品的供应者在设计和制造产品时，必须对常规使用过程中有可能发生的伤害做充分的评估，并在最大程度上采取可靠的防护措施。这种措施包括技术性措施，也包括警示性措施。麦当劳用来装热饮的杯子上的警语“小心：热饮烫口”，就是一个常见的例子。

（2）首先举证的责任在产品的供应方。若产品的使用者提出指控，因使用某产品而遭受伤害，他并不需要证明该伤害确实是由该产品造成的。相反地，被告的产品供应者必须设法证明，该伤害不是由其产品造成的。若产品的供应者无法证明这一点，则指控成立。在欧盟，上述的伤害并不局限于对人员的伤害，也包括对财产的伤害，乃至家畜的伤害。

2）企业自行检验

在了解上述两条产品责任法的基本原则之后，便可以较正确地理解欧美国家对于产品认证的管理政策，即在市场准入方面，给企业提供多重选择性；在市场监管和执法方面，采取从严处理的措施。关于中国出口欧美地区的大部分产品，如轻工产品、机电产品中的一部分，进入市场的合格检验原则上可以由企业自己执行。在这种情况下，产品进入市场后一旦发生产品责任，亦全部由企业自己承担。

一般而言，在企业可自检的产品范围内，是不存在任何法定合格标识的。但是，在欧盟，随着一系列CE指令的实施，玩具、灯具、家用电器、工业机械和信息产品的一部分自检类产品，在进入市场销售时，必须使用欧盟法定的CE标识。

3）自愿申请第三者认证

本着在市场准入方面给企业提供多重选择性的原则，欧美各国针对可自检类产品也认可一批专业认证机构，允许企业向这些认证机构申请产品的安全认证。企业选择第三者认证有三大好处。

（1）利用认证机构在产品法规和检验标准方面的专业性，确保产品检验的正确性和完整性，以避免检验不完整而带来的后顾之忧，包括避免买方或消费者借产品安全的理由人为地制造一些同务纠纷。

（2）在通过认证后，企业可以在产品上使用认证机构的认证标志，以此将自己的产品与同行的自检产品加以区分，增加买方的信任，提高市场的接受度。

（3）在产品进入市场后一旦发生产品责任问题，可以取得认证机构的技术支持和法律支持。这种自愿性的第三者认证制度，是机电产品范围内最常见的现象。以欧美最流行的两大认证标志为例，美国的UL和德国的GS都是这样一种自愿性的第三者认证。类似的例子还有英国的BS、加拿大的CSA、法国的NF、意大利的IMQ，等等。事实上，这种基于自愿原则的认证，由于买方的强烈要求和市场的接受度，已产生了一种商业活动意义上的强制性。没有UL标志的机电产品，几乎无法外销美国；没有GS标志的机电产品出口德国将困难重重。在欧盟，由于CE指令要求采用欧洲标准作为统一的检验标准，因此各国原有的认证机构也迅速地采用欧洲标准，作为自愿性认证的技术标准。所以，产品在通过认证机构的认证后，同时也符合了CE的要求，这样企业便可以在产品上同时使用法定的CE标识和认证机构的认证标志。

4）强制性第三者认证

在欧美，强制性第三者认证主要适用于高风险产品范围，如医疗器械、承压设备、爆炸性产品、人员运输设备、金属切割机械、食品及药品等直接关系到人身安全的产品。在很长一段时间内，这类产品的上市许可程序，即使在一个国家内，也有很大的差别，也包括许多政府行为。欧盟的CE指令，提出了较符合现代经济发展和科技进步的认证管理方法。

（1）管理机构负责监督法规的执行情况，而将直接的测试和认证工作，授权给专业的认证机构执行。

（2）所有产品范围内，统一认证程序主要包括两个部分：第1部分是样品的技术检验，第2部分是生产时的质量保证体系认证。在欧洲，强制性第三者认证的范围正在逐步精简。在某些国家，强制性第三者认证的范围则仍较广泛，亦涵盖家用电器和信息产品等。俄罗斯的GOST-R认证和中国的CCC标志就是这样的例子。

主要机电产品的认证标志见表8-1。

表8-1　主要机电产品认证标志

续表

3.信息安全

信息安全（Information Security）是指数据信息的完整性、可用性和保密性。信息安全问题一般会导致重大经济损失，或对国家的公共安全造成威胁。病毒、黑客攻击及其他的各种非授权侵入系统的行为都属于信息安全研究的重点问题。计算机网络在政治、经济、社会及文化等领域起着越来越大的作用，基于因特网的电子商务也迅速发展。信息安全如果得不到保障，将会给庞大的计算机网络造成巨大的损失。目前我国已形成国家公用网络、国家专用网络和企业网络三大类别的计算机网络系统，互联网已覆盖我国200多个城市，3 000多个政府数据库和10 000多个企业数据库，在网上自由传递的电子邮件等更是难以计数。信息安全问题已经成为我国信息化进程中比较突出而且亟待解决的难题。通俗地讲，信息安全是要保证信息的完整性、可用性和保密性。

1）信息安全的分类

目前的信息安全可以分为网络的安全、系统的安全及信息数据的安全3个层面。

（1）网络层安全问题的核心在于网络是否得到控制，也就是说，是不是任何一个IP地址来源的用户都能够进入网络。一旦危险的访问者进入企业网络，后果是不堪设想的。这就要求网络能够对来访者进行分析，判断来自这一IP地址的数据是否安全，以及是否会对本网络造成危害；同时还要求系统能自动将危险的来访者拒之门外，并对其进行自动记录，使其无法再次为害。(www.xing528.com)

（2）系统层面的安全问题主要是病毒对于网络的威胁。病毒的危害已是人尽皆知了，它就像是暗藏在网络中的炸弹，系统随时都有可能遭到破坏而导致严重后果，甚至造成系统瘫痪。因此企业必须做到实时监测，随时查毒、杀毒，不能有丝毫的懈怠与疏忽。

（3）信息数据是安全问题的关键，其要求保证信息传输的完整性、保密性等。这一安全问题所涉及的是，使用系统中的资源和数据的用户是否是那些真正被授权的用户。这就要求系统能够对网络中流通的数据信息进行监测、记录，并对使用该系统信息数据的用户进行强有力的身份认证，以保证企业的信息安全。

目前，针对这3个层面而开发出的信息安全产品主要包括杀毒软件、防火墙、安全管理、认证授权及加密等。其中以杀毒软件和防火墙应用最为广泛。

2）信息安全标准和法规

根据《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》规定程序，我国信息安全产品实行销售许可证制度，由公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构的审批工作。

信息安全的管理和评价实行分等级制度，GB 17859—1999《计算机信息系统安全保护等级划分准则》，就是中国在信息安全等级保护方面的强制性国家标准。GB 17859规定了计算机系统安全保护能力的5个等级：第1级为用户自主保护级，第2级为系统审计保护级，第3级为安全标记保护级，第4级为结构化保护级，第5级为访问验证保护级。

国际信息安全等级标准的发展过程如图8-2所示。

图8-2　国际信息安全等级标准的发展过程

（1）TCSEC标准。在TCSEC中，美国国防部按处理信息的等级和应采用的相应措施，将计算机安全从高到低分为A、B、C、D四类八个级别，共27条评估准则。其中，D级为无保护级、C级为自主保护级、B级为强制保护级、A级为验证保护级。随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。

（2）通用准则CC。CC共包含11个安全功能类，见表8-2。

表8-2　通用准则CC

安全保证要求部分提出的7个评估保证级别（EALs）和各评估标准之间的对应关系分别见表8-3和表8-4。

表8-3　7个评估保证级别

表8-4　国际信息安全评估标准分级对应表

4.信息安全技术

信息安全主要采用防火墙技术、虚拟专有网、安全服务器、用户认证产品、电子签证机构、安全操作系统和安全管理中心。

1）防火墙

防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。其主要技术有：包过滤技术、应用网关技术和代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络进行攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

2）虚拟专有网

虚拟专有网VPN是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

3）安全服务器

安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制、对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

4）用户认证产品

由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其他技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜及脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得用户身份的认证和识别更趋完善。

5）电子签证机构

电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

6）安全操作系统

安全操作系统为系统中的关键服务器提供安全运行平台，构成安全WWW服务、安全FTP服务、安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

针对工业控制行业的信息安全技术，ISA在2004年发布了对应的技术报告。

（1）ISATR 99.00.01—2004：Security Technologies for Manufacturing and Control Systems。

（2）ISATR 99.00.02—2004：Integrating Electronic Security into the Manufacturing and Con⁃trol Systems Environment。

7）安全管理中心

由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。