隨著數(shù)字化校同一卡通系統(tǒng)在我國(guó)各高等院校和中學(xué)的日益普及．系統(tǒng)住傳輸環(huán)節(jié)的安全性愈發(fā)顯得重要，應(yīng)該說(shuō)是影響整個(gè)系統(tǒng)能否正常工作的重要環(huán)節(jié)之一。在傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)和構(gòu)建中，一般都采用開環(huán)結(jié)構(gòu)，這種結(jié)構(gòu)簡(jiǎn)單、容易實(shí)施。但是系統(tǒng)的無(wú)差性無(wú)從保障。系統(tǒng)的中心控制節(jié)點(diǎn)很難掌控系統(tǒng)的運(yùn)行。而閉環(huán)結(jié)構(gòu)就可以很好地避免上述缺點(diǎn)。

一個(gè)典型的網(wǎng)絡(luò)的閉環(huán)結(jié)構(gòu)如下圖所示： 

圖1 閉環(huán)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

    從控制理論的角度來(lái)看。閉環(huán)結(jié)構(gòu)提高了網(wǎng)絡(luò)系統(tǒng)的可靠性，增強(qiáng)了系統(tǒng)的維護(hù)性和擴(kuò)展性，降低了系統(tǒng)的遠(yuǎn)程運(yùn)行費(fèi)用，實(shí)現(xiàn)了信息資源的共享。DCCS的信息安全涉及DCCS的安全體系結(jié)構(gòu)、通訊協(xié)議的安全性設(shè)計(jì)、信息加密技術(shù)、安全域安全子域等方面的內(nèi)容。在當(dāng)前DCCS的網(wǎng)絡(luò)安全理論的研究大大落后于DCCS的實(shí)際應(yīng)用的情況下，對(duì)DCCS安全體系設(shè)計(jì)的研究是十分有意義的。

    本文將分析DCCS安全體系的設(shè)計(jì)目標(biāo)、設(shè)計(jì)要求和設(shè)計(jì)原則等問(wèn)題，并提出自律分散DCCS安全體系的設(shè)計(jì)方法，同時(shí)指出DCCS網(wǎng)絡(luò)信息安全分體系設(shè)計(jì)中應(yīng)進(jìn)一步研究的問(wèn)題。

1．DCCS的信息安全

1．1基本概念

    DCCS的信息安全包括信息系統(tǒng)的安全、信息數(shù)據(jù)的安全和信息內(nèi)容的安全。其核心就是要保障DCCS的所有信息免遭偶然的或者惡意的破壞、更改、泄露和刪除。DCCS的信息安全涉及到信息在采集、傳遞、存儲(chǔ)和應(yīng)用等過(guò)程中如何保證完整性、合法性、可靠性、可用性、保密性、真實(shí)性和可控性等的相關(guān)技術(shù)理與理論。

1．2體系結(jié)構(gòu)

    DCCS的信息、信息載體和信息環(huán)境是DCCS信息安全的三大類保護(hù)對(duì)象。由此構(gòu)成了DCCS信息安全體系結(jié)構(gòu)。

    信息是指DCCS各節(jié)點(diǎn)之間在網(wǎng)上傳輸?shù)男畔ⅲ糜谛畔踩w系結(jié)構(gòu)的內(nèi)層，既包含實(shí)時(shí)信息，雙包含非實(shí)時(shí)信息，例如，事故報(bào)警信息、系統(tǒng)狀態(tài)信息、過(guò)程參數(shù)測(cè)量信息、網(wǎng)絡(luò)控制器控制信息、開關(guān)和閥門的位置信息、系統(tǒng)組態(tài)信息、系統(tǒng)診斷信息、系統(tǒng)維護(hù)信息、系統(tǒng)備份信息、網(wǎng)絡(luò)調(diào)度信息、管理決策信息等；信息載體指信息的承載體，處于信息安全體系結(jié)構(gòu)的中間層，包括物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和就用平臺(tái)，如通信協(xié)議、網(wǎng)絡(luò)協(xié)議、應(yīng)用協(xié)議及其軟件等；信息環(huán)境指DCCS的信息及信息載體所處的環(huán)境，處于信息安全體系結(jié)構(gòu)的外層，包括硬環(huán)境和軟件環(huán)境。

2．DCCS的網(wǎng)絡(luò)安全

    DCCS網(wǎng)絡(luò)安全的核心就是要保證信息安全的網(wǎng)絡(luò)上傳輸與共享，保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。DCCS中的“網(wǎng)絡(luò)”泛指廣義網(wǎng)絡(luò)．包括現(xiàn)場(chǎng)總線網(wǎng)絡(luò)、工業(yè)太網(wǎng)和互聯(lián)網(wǎng)等。

    DCCS的網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含三個(gè)層次：密碼安全層、網(wǎng)絡(luò)安全層和環(huán)境安全層：網(wǎng)絡(luò)安全處于中間層．一方面它需要密碼安全層的支持．同時(shí)也為密碼安全層提供運(yùn)行環(huán)境：環(huán)境安全處于外層，為網(wǎng)絡(luò)安全層．密碼安全層提供可靠的設(shè)施和管理等安全環(huán)境。

3．DCCS的安全體系設(shè)計(jì)

3 ．1設(shè)計(jì)目標(biāo) 

    DCCS安全體系設(shè)計(jì)的目標(biāo)在一定約束下，盡可能滿足用戶的安全需求。這里需要解決如下三個(gè)基本問(wèn)題： 

    (1)如何根據(jù)安全需求制定安全策略，即DCCS的安全分板問(wèn)題。
    (2)如何將安全需求映射為安全體系，即DCCS的安全設(shè)計(jì)問(wèn)題。
    (3)明確安全體系滿足安全需求的程序．即DCCS的安全評(píng)價(jià)問(wèn)題。
 
    解決上述問(wèn)題需要系統(tǒng)化和結(jié)構(gòu)化的設(shè)計(jì)方法及其輔助工具的支持。

3．2設(shè)計(jì)原則

    DCCS安全體系的設(shè)計(jì)需遵循如下一些設(shè)計(jì)原則：

    (1)木桶原則。木桶的容積取決于最短一塊木板．而DCCS的安全性則取決于最薄弱的環(huán)節(jié)。
    (2)整體性原則。對(duì)DCCS不僅要提供安全防護(hù)和檢測(cè)機(jī)制．還應(yīng)提供應(yīng)急恢復(fù)機(jī)制等。
    (3)等級(jí)性原則。對(duì)DCCS的網(wǎng)絡(luò)應(yīng)進(jìn)行分級(jí)，包括對(duì)信息保密程度分級(jí)、用戶操作權(quán)限分級(jí)、網(wǎng)絡(luò)安全程度分級(jí)、系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)分級(jí)(如應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)。
    (4)有效和實(shí)用原則。安全機(jī)制不應(yīng)影響DCCS正常運(yùn)行．應(yīng)有效、簡(jiǎn)單和實(shí)用
    (5)動(dòng)太性原則。安全體系內(nèi)應(yīng)盡可能引入可變因素。使安全體系具備良好的動(dòng)態(tài)性。
    (6)失效保護(hù)狀態(tài)原則。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)失效模式應(yīng)是“失敗一安全”型，即一旦防火墻屏蔽子網(wǎng)失效、重啟或崩潰．就安全阻斷內(nèi)部網(wǎng)絡(luò)與外界的連接。
    (7)缺省拒絕狀態(tài)原則。從安全角度講．缺省拒絕狀態(tài)是失敗效保護(hù)狀態(tài)。
    (8)設(shè)計(jì)為本原則。DCCS的安全重在設(shè)計(jì)，安全性設(shè)計(jì)應(yīng)與DCCS的體系結(jié)構(gòu)、通信協(xié)議、迭制策略設(shè)計(jì)相結(jié)合，采用同步與并重的原則。
    (9)有的放矢和各取所需原則。根據(jù)不同的控制對(duì)象．其安全側(cè)重點(diǎn)各不相同，應(yīng)綜合考慮解決方案，提高性行走價(jià)格比。

3．3設(shè)計(jì)要求

    DCCS安全體系的設(shè)計(jì)要求如下：

    (1)應(yīng)綜合考慮DCCS體系結(jié)構(gòu)。確保DCCS的網(wǎng)絡(luò)安全服務(wù)質(zhì)量。應(yīng)全面考慮DCCS拓?fù)浣Y(jié)構(gòu)、通信協(xié)議、控制策略和被控對(duì)象的動(dòng)態(tài)特性，滿足DCCS對(duì)網(wǎng)絡(luò)安全服務(wù)質(zhì)量的各種需求．確保DCCS安全服務(wù)技術(shù)先進(jìn)性、風(fēng)絡(luò)安全服務(wù)質(zhì)量的優(yōu)良性、安全體系運(yùn)行的可靠性、穩(wěn)定性和可持續(xù)發(fā)展性。

    (2)應(yīng)采用冗余和備份技術(shù)，提高系統(tǒng)的可用性與生存性。

    網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)應(yīng)通過(guò)節(jié)點(diǎn)和鏈路的冗余與備份手段來(lái)提高DCCS的可用性與生存性。關(guān)于冗余技術(shù)，可考慮采用網(wǎng)絡(luò)冗余，隔離故障，以避免全網(wǎng)失效：采用硬件冗余，使個(gè)別故障不能影響整個(gè)系統(tǒng)的正常運(yùn)行：采用功能冗余．在某些部件(或節(jié)點(diǎn))失效時(shí)，其余完好的部件(或節(jié)點(diǎn))部分或全部地承擔(dān)起故障部件所喪失的控制作用，以維持控制系統(tǒng)的性能在允許的范圍內(nèi)：采用時(shí)時(shí)冗余，檢出和糾正由于暫時(shí)故障引起的錯(cuò)誤．采用信息冗余，對(duì)傳輸數(shù)據(jù)進(jìn)行冗余校驗(yàn)。此外，還可考慮采軟件冗余等冗余技術(shù)。關(guān)于備技術(shù)．可考慮采用網(wǎng)絡(luò)備份．用于網(wǎng)絡(luò)的防毀、抗災(zāi)以及應(yīng)急處理：采用信息備份．對(duì)DCCS的狀態(tài)信息(如系統(tǒng)組態(tài)信息、關(guān)鍵參數(shù)信息等)進(jìn)行備份，以便于分析與處理。

    (3)應(yīng)確保DCCS的可控性、可觀測(cè)性和穩(wěn)定性不受影響。
    (4)信息加密／解密及傳輸過(guò)程必須滿足DCCS的實(shí)時(shí)性要求。
    (5)不應(yīng)降低DCCS的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制性質(zhì)量
    (6)應(yīng)使用成熟可靠的安全技術(shù)和措施，減少DCCS安全體系本身的安全漏洞
    (7)根據(jù)被保護(hù)對(duì)象的重要性．應(yīng)劃分不同的安全等級(jí)：提高安全體系設(shè)計(jì)的經(jīng)濟(jì)性。
    (8)應(yīng)減少不同安全等級(jí)問(wèn)被保護(hù)對(duì)象的安全耦合以提高DCCS的整體安全性。
    (9)安全體系應(yīng)具有可重構(gòu)性。DCCS的安全狀態(tài)可根據(jù)安全評(píng)估模型劃分等級(jí)，如正常、緊急、事故等狀態(tài)。當(dāng)系統(tǒng)處于正常狀態(tài)進(jìn)．安全策略傾向于易用性；當(dāng)系統(tǒng)受到頻繁攻擊時(shí)，可通過(guò)安全重構(gòu)加強(qiáng)系統(tǒng)安全性．使安全策略更傾向于安全性：當(dāng)系統(tǒng)處于事故狀態(tài)時(shí)，安全策略傾向于故障安全狀態(tài)，確保故障節(jié)點(diǎn)或子系統(tǒng)處于最低安全狀態(tài)，避免導(dǎo)致整個(gè)系統(tǒng)崩潰?？芍貥?gòu)成的DCCS安全體系，可以有效地解決易用性與安全性之間的矛盾
    (10)安全體系應(yīng)具有局部可恢復(fù)性和生存性。一旦DCCS安全體系中某個(gè)節(jié)點(diǎn)或子系統(tǒng)安全性被破壞，該節(jié)點(diǎn)或子系統(tǒng)應(yīng)及時(shí)被隔離，或限制與其他節(jié)點(diǎn)或子系統(tǒng)通信，直到該節(jié)點(diǎn)或子系統(tǒng)恢復(fù)安全性．才解除隔離或限制。這樣．即使DCCS局部(或安全或安全體系受到破壞，也不至于導(dǎo)致整個(gè)系統(tǒng)體體系崩潰。
    (11)安全體系應(yīng)具有開放性和動(dòng)態(tài)擴(kuò)展性。隨著網(wǎng)絡(luò)環(huán)境的變化以及新的漏洞和攻擊手段出現(xiàn)．DCCS安全體系必須根據(jù)壞境的變化做 調(diào)整，并增強(qiáng)自身的擴(kuò)展能力。

3．4設(shè)計(jì)中應(yīng)注意的幾個(gè)問(wèn)題

    DCCS安全體系設(shè)計(jì)中有若干問(wèn)題需要進(jìn)一步研究。

    (1)信息系統(tǒng)劃分信息技術(shù)的基本原則是數(shù)據(jù)共享、網(wǎng)絡(luò)互連。兇此，在信息技術(shù)應(yīng)用的過(guò)程中應(yīng)特別強(qiáng)調(diào)以數(shù)據(jù)庫(kù)為核心，以網(wǎng)絡(luò)為支撐。DCCS的信息系統(tǒng)劃分到少應(yīng)遵循以下原則：

    ① 不同安全等級(jí)的應(yīng)用最好劃分為同的系統(tǒng)或子系統(tǒng)。系統(tǒng)的安全設(shè)計(jì)應(yīng)根據(jù)應(yīng)用的要求確定 既要避免安全性和可靠性方面漏洞．也要避免不必要的開銷
    ② 處于不同安全等級(jí)網(wǎng)絡(luò)上的系統(tǒng)或子系統(tǒng)之間信息交換不宜過(guò)多。應(yīng)盡可能采用從高到低的單向傳輸，必要時(shí)設(shè)置有效的隔離裝置。
    ⑧ 能在安全等級(jí)較低的網(wǎng)絡(luò)上實(shí)現(xiàn)應(yīng)用系統(tǒng)．不宜放到安全等級(jí)較高的網(wǎng)絡(luò)中實(shí)現(xiàn)。

    (2)信息系統(tǒng)的功能：當(dāng)DCCS中信息的產(chǎn)生和消費(fèi)內(nèi)奸屬于不同的系統(tǒng)域子系統(tǒng)時(shí)，就將功能放在信息消費(fèi)多的那分系統(tǒng)中。

    (3)信息的采集方式：實(shí)時(shí)信息大多來(lái)自DCCS的控制點(diǎn)，信息的采集應(yīng)由DCCS來(lái)完成．而管理的對(duì)象和內(nèi)容則通過(guò)人同交互的方法獲得。從控制系統(tǒng)休集信息時(shí)，要嚴(yán)格限制為單向獲取數(shù)據(jù)，保證信息采集不會(huì)對(duì)DCCS造成影響。

    (4)信息的傳輸方式：DCCS信息的傳遞可大致分成三類。

    ① DCCS內(nèi)部各節(jié)點(diǎn)之間的信息傳遞，只存在可靠性及信息盜用的威脅。
    ② 不同DCCS之音的信息傳遞．除存在可靠性及信息盜用的威脅外，還存在系統(tǒng)之間互擾及錯(cuò)誤信息流向等問(wèn)題。
    ⑧ 廣義網(wǎng)絡(luò)信息資源與所有DCCS之間信息傳遞。

3．5自律分散DCCS安全體系的設(shè)計(jì)方法

    DCCS融合了控制、計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)，是一個(gè)典型的混雜動(dòng)態(tài)控制系統(tǒng)(HDCS)。影響DCCS信息安全和網(wǎng)絡(luò)安全的因素眾多而繁雜，因而需要有一套系統(tǒng)化和結(jié)構(gòu)化的設(shè)計(jì)方法相應(yīng)的輔助工具，用以設(shè)計(jì)DCCS的風(fēng)絡(luò)安全體系。自律分散DCCS安全體系的設(shè)計(jì)方法，實(shí)現(xiàn)了DCCS安全體系結(jié)構(gòu)的動(dòng)態(tài)變化和在線功能

3．5．1自律分散DCCS安全體系的基本概念

    隨著DCCS規(guī)模的擴(kuò)大多，控制功能的分散化，節(jié)點(diǎn)分布的方域化．攻擊手段多樣化和網(wǎng)絡(luò)環(huán)境參數(shù)變化的復(fù)雜化，DCCS將變得愈來(lái)愈難以控制。與此同時(shí)，隨著用戶需求和網(wǎng)絡(luò)資源的變化，DCCS的體系結(jié)構(gòu)(控制結(jié)構(gòu)、拓?fù)浣Y(jié)構(gòu)和通信協(xié)議等)也處在不斷的變化與發(fā)展過(guò)程之中。DCCS的組成部件(節(jié)點(diǎn))的增加或減少，將導(dǎo)致DCCS安全域的擴(kuò)展收縮。所有這些變化都要求DCCS的安全機(jī)制能跟隨這些變化做出快速的響應(yīng)，安全策略能跟隨這些變化進(jìn)行動(dòng)態(tài)的調(diào)整，以便全面地反映變化過(guò)程中系統(tǒng)的安全需求。同時(shí)，也要求DCCS的安全體系能動(dòng)態(tài)地適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。

    自律分散DCCS安全體系．將DCCS安全體系劃分成許多自律安全體系單元 由于DCCS安全體系變化的動(dòng)態(tài)性，整個(gè)系統(tǒng)安全體系很難事先完全定義．只能定義若干自律安全體系單元，然后集成。自律分散DCCS安全體系最為重要的特點(diǎn)，就是自律安全體系單元的自我控制和自我協(xié)調(diào)能力。即自律安全體系單元應(yīng)具有以下兩個(gè)基本特性：

    (1)自律可控性(autonomous con-trollability)：系統(tǒng)如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入，都不能影響其他自律安全體系單元的自我管理及功能的運(yùn)行。
    (2)自律可協(xié)調(diào)性(autonomous COOrdinatability)：系統(tǒng)如果有任何自律安全體系單元出現(xiàn)故障、正在維護(hù)或剛剛加入．其他自律安全體系單元之間能夠協(xié)調(diào)各自的任務(wù)，并以協(xié)作方式運(yùn)行以實(shí)現(xiàn)各自功能?；咀月砂踩w系單元的自律可控性和自律可協(xié)調(diào)性設(shè)計(jì)的DCCS安全體系．可確保安全體系的在線擴(kuò)展(on-ling expansion)、在線維護(hù)(on—ling maintenance) 在線容錯(cuò)(on—ling faulttolerance)功能。這些特點(diǎn)與不斷發(fā)展和變化的DCCS的安全需求非常吻合。

3．5．2 自律分散DcCS安全體系的設(shè)計(jì)方法

    自律分散DCCS安全體系的設(shè)計(jì)方法，采用自底向上、由內(nèi)向外，從自律安全體系單元逐步構(gòu)成整個(gè)DCCS安全體系的系統(tǒng)設(shè)計(jì)方法．突破了假定在設(shè)計(jì)階段安全體系的結(jié)構(gòu)、規(guī)模和功能都是確定的自頂向下的系統(tǒng)設(shè)計(jì)方法。自律分散DCCS安全體系支持DCCS分階段建設(shè)和實(shí)施。使DCCS安全體系具備在線擴(kuò)展、在線維護(hù)和在線容錯(cuò)等“動(dòng)態(tài)”功能．適應(yīng)了DCCS安全體系結(jié)構(gòu)的動(dòng)態(tài)變化，實(shí)現(xiàn)了DCCS安全體系設(shè)計(jì)方法的突破。

    DCCS的信息安全和網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的，不是單一的信息安全和網(wǎng)絡(luò)安全技術(shù)能夠?qū)崿F(xiàn)。在保證DCCS信息傳輸?shù)目煽啃院鸵r里前提下．綜合考慮DCCS的信息安全網(wǎng)絡(luò)，尋找確保網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)效率的平衡點(diǎn)，建立真正適合于DCCS的網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)。對(duì)于DCCS的安全體系設(shè)計(jì)，迫切需要開展以下研究工作：

    (1)全面開展DCCS網(wǎng)絡(luò)信息安全保障技術(shù)規(guī)劃與設(shè)計(jì)研究。從硬件及軟件兩方面為DCCS提供完整的安全系統(tǒng)平臺(tái)，建立DCCS綜合安全評(píng)估模安型
    (2)DCCS的網(wǎng)絡(luò)信息安全，不僅關(guān)系到網(wǎng)絡(luò)安全問(wèn)題，而且還涉及信息系統(tǒng)的劃分、功能定義、數(shù)據(jù)采集、數(shù)據(jù)庫(kù)結(jié)構(gòu)構(gòu)設(shè)計(jì)等一系列問(wèn)題。需要從整個(gè)DCCS體系結(jié)構(gòu)、通信協(xié)議、節(jié)點(diǎn)狀況、被控對(duì)象特性、網(wǎng)絡(luò)資源等方面綜合考慮，確保DCCS安全運(yùn)行。
    (3)加強(qiáng)對(duì)DCCS網(wǎng)絡(luò)信息安全設(shè)計(jì)相關(guān)理論的研究，以推動(dòng)DCCS的網(wǎng)絡(luò)安全理論向前發(fā)展。

作者：四川省電子計(jì)算機(jī)應(yīng)用研究中心    華曉鳴