當(dāng)提及人機(jī)接口時(shí)，安全和保安之間的區(qū)別往往可以很明確。Wonderware公司的針對(duì)基礎(chǔ)設(shè)施和平臺(tái)產(chǎn)品的市場(chǎng)經(jīng)理Steven Garbrecht說(shuō)：“安全指的是嵌入PLC的控制操作和安全聯(lián)動(dòng)裝置，它已經(jīng)被設(shè)計(jì)到控制程序中了?！? 保安是針對(duì)闖入控制系統(tǒng)意圖盜取信息或破壞的人。這是兩個(gè)不同的領(lǐng)域，然而說(shuō)到hmi，安全和保安就有一些交集了。 適當(dāng)?shù)陌踩O(shè)計(jì)可以防止操作人員對(duì)產(chǎn)品或設(shè)備造成的損傷或破壞，并且可以使操作人員及時(shí)行動(dòng)避免這種情況發(fā)生。1984年12月份，印度Bhopal省的Union Carbide公司的一家工廠發(fā)生了災(zāi)難性的事故，化學(xué)反應(yīng)堆失控，造成成噸的異氰酸甲酯泄露，成千的人死亡，更多的人患病。對(duì)于此次事故中安全系統(tǒng)是否工作的討論存在這個(gè)分歧，Union Carbide公司的立場(chǎng)是“造成如此大的事故只可能是人為破壞。”而且他人卻十分不認(rèn)同這種說(shuō)法。 [align=center]圖1：在這個(gè)制藥流程中，生產(chǎn)過(guò)程的啟動(dòng)、控制和監(jiān)控都是由操作員完成的，Wonderware Intouch 公司的HMI 軟件一步一步地知道操作員完成這個(gè)過(guò)程。 如圖所示為工廠系統(tǒng)的總圖（左側(cè)），和樣品數(shù)據(jù)管理和審核流程。[/align] 1979年美國(guó)Three Mile Island（PA）發(fā)生的核工廠泄露事故中，操作人員并沒(méi)有意識(shí)到一個(gè)關(guān)鍵的閥門被打開(kāi)了，雖然顯示時(shí)關(guān)閉的。之后他們收到了反應(yīng)堆液位的錯(cuò)誤信息。后來(lái)的調(diào)查顯示，被惡意破壞的可能被排除，如果操作人員當(dāng)時(shí)收到了正確的信息，他們就能夠阻止情況失控。 確保不失控 誠(chéng)然，確實(shí)有外部的惡意破壞者。Wonderware公司的信息安全（Infosec）分析師Rich Clark在一次題為“控制系統(tǒng)安全向?qū)А钡难葜v中，列舉了17類情況，包括從不滿的員工到普通的罪犯，以致有組織的危害國(guó)家和政府安全的組織和個(gè)人。他說(shuō)，這些人很難別確認(rèn)，但“他們每天卻有很多目標(biāo)可以攻擊?！? Garbrecht說(shuō)：“從人機(jī)接口的角度上，有三種主要的情況，一是公司以外的某些人穿越防火墻，通過(guò)網(wǎng)絡(luò)進(jìn)入公司，并對(duì)人機(jī)接口做了某些改動(dòng)。二是公司內(nèi)部的某些人以某種原因?qū)咀髁藧阂獠僮?。三是公司?nèi)部員工，并不是有意要做惡意攻擊，只是由于誤操作導(dǎo)致流程中安全或其他方面的問(wèn)題?！? Clark說(shuō)，如果公司把控制系統(tǒng)的保安工作交給IT部門，那么公司可能會(huì)有麻煩。IT人員通過(guò)隔離每臺(tái)機(jī)器來(lái)達(dá)到保安，他們隔離哪些正在上網(wǎng)的和有可能攜帶病毒的人，使他們不至于影響企業(yè)中的其他部分。這種方法在IT領(lǐng)域確實(shí)奏效，但是它犧牲了機(jī)器之間通訊的便捷性，并且實(shí)時(shí)性能不好。 Clark繼續(xù)說(shuō)道：“當(dāng)控制系統(tǒng)被設(shè)計(jì)時(shí)，每臺(tái)機(jī)器都設(shè)計(jì)成可以不受阻礙地與另一臺(tái)機(jī)器通訊。在控制系統(tǒng)的環(huán)境中，更多的機(jī)器既是服務(wù)器又是客戶機(jī)，這并不符合IT領(lǐng)域中的客戶端服務(wù)器模型。”Clark指出，控制系統(tǒng)的安全方案是將控制系統(tǒng)放在一面保護(hù)墻后面，然后密切控制受保護(hù)區(qū)域的所有進(jìn)出。 在控制系統(tǒng)和整個(gè)系統(tǒng)之間的所有通訊必須經(jīng)過(guò)防火墻。California的一家生物制藥公司最近安裝了符合21 CFR 11 標(biāo)準(zhǔn)的用于處理歷史數(shù)據(jù)的新型系統(tǒng)。所有有關(guān)過(guò)程錯(cuò)誤和事件的信息都被存儲(chǔ)在服務(wù)器中需要的人可以調(diào)用。但是工廠的重要數(shù)據(jù)和控制信息都是存放在與整個(gè)系統(tǒng)隔離的網(wǎng)絡(luò)中的。 Clark引用了“having limited threat vectors。”他說(shuō)，一個(gè)理想的安全控制系統(tǒng)應(yīng)該滿足以下幾條： ■與全部的威脅隔離，包括商業(yè)合作企業(yè)。 ■用強(qiáng)力抗侵蝕設(shè)備分層 ■只有一個(gè)輸入輸出點(diǎn) ■所有的系統(tǒng)自動(dòng)化都在一個(gè)安全集合內(nèi) ■并且企業(yè)內(nèi)的每一個(gè)置信機(jī)器可以無(wú)阻礙地訪問(wèn)另一個(gè)置信機(jī)器 微軟公司稱這種安全模型為“網(wǎng)域隔離”。GE公司通過(guò)使用“Application Validator Utility”工具，為它的iFIX軟件3.5版本添加了這種安全特性。這種軟件工具可以自動(dòng)整理對(duì)系統(tǒng)文件和功能的修改，減少安裝被無(wú)意和有意地危機(jī)的可能性。 Systek Automated Controls公司的工程副總裁（前International Automation 公司控制工程經(jīng)理）Joe Quigg警告說(shuō)：“有意圖的人可以制造危險(xiǎn)。對(duì)于以前的系統(tǒng)，很多情況下，人們可以不受阻礙和無(wú)人監(jiān)管地對(duì)系統(tǒng)作修改和改動(dòng)。而且這種修改缺乏文檔備案機(jī)制，如果人們改動(dòng)了系統(tǒng)，而且沒(méi)有備案，那就根本無(wú)據(jù)可查?！彼^續(xù)說(shuō)道：“很多邏輯系統(tǒng)都帶有硬件繼電器邏輯，如果某人可以打開(kāi)控制面板，那么只要他愿意他就可以設(shè)置某些旁路。” 他繼續(xù)說(shuō)道：“一個(gè)設(shè)計(jì)精良的現(xiàn)代系統(tǒng)被劃分為兩個(gè)部分，標(biāo)準(zhǔn)部分，即日常的控制程序，它是開(kāi)放式結(jié)構(gòu)的，另一個(gè)是安全不分，如果改動(dòng)的話就會(huì)產(chǎn)生危險(xiǎn)，這部分是被鎖定的。只有特定的人，使用正確的密碼，經(jīng)過(guò)培訓(xùn)和指導(dǎo)才能夠?qū)ζ溥M(jìn)行修改。”