隨著數字化校同一卡通系統在我國各高等院校和中學的日益普及．系統住傳輸環節的安全性愈發顯得重要，應該說是影響整個系統能否正常工作的重要環節之一。在傳統的網絡設計和構建中，一般都采用開環結構，這種結構簡單、容易實施。但是系統的無差性無從保障。系統的中心控制節點很難掌控系統的運行。而閉環結構就可以很好地避免上述缺點。

一個典型的網絡的閉環結構如下圖所示： 

圖1 閉環網絡系統結構

    從控制理論的角度來看。閉環結構提高了網絡系統的可靠性，增強了系統的維護性和擴展性，降低了系統的遠程運行費用，實現了信息資源的共享。DCCS的信息安全涉及DCCS的安全體系結構、通訊協議的安全性設計、信息加密技術、安全域安全子域等方面的內容。在當前DCCS的網絡安全理論的研究大大落后于DCCS的實際應用的情況下，對DCCS安全體系設計的研究是十分有意義的。

    本文將分析DCCS安全體系的設計目標、設計要求和設計原則等問題，并提出自律分散DCCS安全體系的設計方法，同時指出DCCS網絡信息安全分體系設計中應進一步研究的問題。

1．DCCS的信息安全

1．1基本概念

    DCCS的信息安全包括信息系統的安全、信息數據的安全和信息內容的安全。其核心就是要保障DCCS的所有信息免遭偶然的或者惡意的破壞、更改、泄露和刪除。DCCS的信息安全涉及到信息在采集、傳遞、存儲和應用等過程中如何保證完整性、合法性、可靠性、可用性、保密性、真實性和可控性等的相關技術理與理論。

1．2體系結構

    DCCS的信息、信息載體和信息環境是DCCS信息安全的三大類保護對象。由此構成了DCCS信息安全體系結構。

    信息是指DCCS各節點之間在網上傳輸的信息．置于信息安全體系結構的內層，既包含實時信息，雙包含非實時信息，例如，事故報警信息、系統狀態信息、過程參數測量信息、網絡控制器控制信息、開關和閥門的位置信息、系統組態信息、系統診斷信息、系統維護信息、系統備份信息、網絡調度信息、管理決策信息等；信息載體指信息的承載體，處于信息安全體系結構的中間層，包括物理平臺、系統平臺、通信平臺、網絡平臺和就用平臺，如通信協議、網絡協議、應用協議及其軟件等；信息環境指DCCS的信息及信息載體所處的環境，處于信息安全體系結構的外層，包括硬環境和軟件環境。

2．DCCS的網絡安全

    DCCS網絡安全的核心就是要保證信息安全的網絡上傳輸與共享，保證網絡系統的安全運行。DCCS中的“網絡”泛指廣義網絡．包括現場總線網絡、工業太網和互聯網等。

    DCCS的網絡安全體系結構包含三個層次：密碼安全層、網絡安全層和環境安全層：網絡安全處于中間層．一方面它需要密碼安全層的支持．同時也為密碼安全層提供運行環境：環境安全處于外層，為網絡安全層．密碼安全層提供可靠的設施和管理等安全環境。

3．DCCS的安全體系設計

3 ．1設計目標 

    DCCS安全體系設計的目標在一定約束下，盡可能滿足用戶的安全需求。這里需要解決如下三個基本問題： 

    (1)如何根據安全需求制定安全策略，即DCCS的安全分板問題。
    (2)如何將安全需求映射為安全體系，即DCCS的安全設計問題。
    (3)明確安全體系滿足安全需求的程序．即DCCS的安全評價問題。
 
    解決上述問題需要系統化和結構化的設計方法及其輔助工具的支持。

3．2設計原則

    DCCS安全體系的設計需遵循如下一些設計原則：

    (1)木桶原則。木桶的容積取決于最短一塊木板．而DCCS的安全性則取決于最薄弱的環節。
    (2)整體性原則。對DCCS不僅要提供安全防護和檢測機制．還應提供應急恢復機制等。
    (3)等級性原則。對DCCS的網絡應進行分級，包括對信息保密程度分級、用戶操作權限分級、網絡安全程度分級、系統實現結構分級(如應用層、網絡層、鏈路層等)。
    (4)有效和實用原則。安全機制不應影響DCCS正常運行．應有效、簡單和實用
    (5)動太性原則。安全體系內應盡可能引入可變因素。使安全體系具備良好的動態性。
    (6)失效保護狀態原則。網絡安全防護系統失效模式應是“失敗一安全”型，即一旦防火墻屏蔽子網失效、重啟或崩潰．就安全阻斷內部網絡與外界的連接。
    (7)缺省拒絕狀態原則。從安全角度講．缺省拒絕狀態是失敗效保護狀態。
    (8)設計為本原則。DCCS的安全重在設計，安全性設計應與DCCS的體系結構、通信協議、迭制策略設計相結合，采用同步與并重的原則。
    (9)有的放矢和各取所需原則。根據不同的控制對象．其安全側重點各不相同，應綜合考慮解決方案，提高性行走價格比。

3．3設計要求

    DCCS安全體系的設計要求如下：

    (1)應綜合考慮DCCS體系結構。確保DCCS的網絡安全服務質量。應全面考慮DCCS拓撲結構、通信協議、控制策略和被控對象的動態特性，滿足DCCS對網絡安全服務質量的各種需求．確保DCCS安全服務技術先進性、風絡安全服務質量的優良性、安全體系運行的可靠性、穩定性和可持續發展性。

    (2)應采用冗余和備份技術，提高系統的可用性與生存性。

    網絡的拓撲結構設計應通過節點和鏈路的冗余與備份手段來提高DCCS的可用性與生存性。關于冗余技術，可考慮采用網絡冗余，隔離故障，以避免全網失效：采用硬件冗余，使個別故障不能影響整個系統的正常運行：采用功能冗余．在某些部件(或節點)失效時，其余完好的部件(或節點)部分或全部地承擔起故障部件所喪失的控制作用，以維持控制系統的性能在允許的范圍內：采用時時冗余，檢出和糾正由于暫時故障引起的錯誤．采用信息冗余，對傳輸數據進行冗余校驗。此外，還可考慮采軟件冗余等冗余技術。關于備技術．可考慮采用網絡備份．用于網絡的防毀、抗災以及應急處理：采用信息備份．對DCCS的狀態信息(如系統組態信息、關鍵參數信息等)進行備份，以便于分析與處理。

    (3)應確保DCCS的可控性、可觀測性和穩定性不受影響。
    (4)信息加密／解密及傳輸過程必須滿足DCCS的實時性要求。
    (5)不應降低DCCS的網絡服務質量和控制性質量
    (6)應使用成熟可靠的安全技術和措施，減少DCCS安全體系本身的安全漏洞
    (7)根據被保護對象的重要性．應劃分不同的安全等級：提高安全體系設計的經濟性。
    (8)應減少不同安全等級問被保護對象的安全耦合以提高DCCS的整體安全性。
    (9)安全體系應具有可重構性。DCCS的安全狀態可根據安全評估模型劃分等級，如正常、緊急、事故等狀態。當系統處于正常狀態進．安全策略傾向于易用性；當系統受到頻繁攻擊時，可通過安全重構加強系統安全性．使安全策略更傾向于安全性：當系統處于事故狀態時，安全策略傾向于故障安全狀態，確保故障節點或子系統處于最低安全狀態，避免導致整個系統崩潰。可重構成的DCCS安全體系，可以有效地解決易用性與安全性之間的矛盾
    (10)安全體系應具有局部可恢復性和生存性。一旦DCCS安全體系中某個節點或子系統安全性被破壞，該節點或子系統應及時被隔離，或限制與其他節點或子系統通信，直到該節點或子系統恢復安全性．才解除隔離或限制。這樣．即使DCCS局部(或安全或安全體系受到破壞，也不至于導致整個系統體體系崩潰。
    (11)安全體系應具有開放性和動態擴展性。隨著網絡環境的變化以及新的漏洞和攻擊手段出現．DCCS安全體系必須根據壞境的變化做 調整，并增強自身的擴展能力。

3．4設計中應注意的幾個問題

    DCCS安全體系設計中有若干問題需要進一步研究。

    (1)信息系統劃分信息技術的基本原則是數據共享、網絡互連。兇此，在信息技術應用的過程中應特別強調以數據庫為核心，以網絡為支撐。DCCS的信息系統劃分到少應遵循以下原則：

    ① 不同安全等級的應用最好劃分為同的系統或子系統。系統的安全設計應根據應用的要求確定 既要避免安全性和可靠性方面漏洞．也要避免不必要的開銷
    ② 處于不同安全等級網絡上的系統或子系統之間信息交換不宜過多。應盡可能采用從高到低的單向傳輸，必要時設置有效的隔離裝置。
    ⑧ 能在安全等級較低的網絡上實現應用系統．不宜放到安全等級較高的網絡中實現。

    (2)信息系統的功能：當DCCS中信息的產生和消費內奸屬于不同的系統域子系統時，就將功能放在信息消費多的那分系統中。

    (3)信息的采集方式：實時信息大多來自DCCS的控制點，信息的采集應由DCCS來完成．而管理的對象和內容則通過人同交互的方法獲得。從控制系統休集信息時，要嚴格限制為單向獲取數據，保證信息采集不會對DCCS造成影響。

    (4)信息的傳輸方式：DCCS信息的傳遞可大致分成三類。

    ① DCCS內部各節點之間的信息傳遞，只存在可靠性及信息盜用的威脅。
    ② 不同DCCS之音的信息傳遞．除存在可靠性及信息盜用的威脅外，還存在系統之間互擾及錯誤信息流向等問題。
    ⑧ 廣義網絡信息資源與所有DCCS之間信息傳遞。

3．5自律分散DCCS安全體系的設計方法

    DCCS融合了控制、計算機和網絡通信技術，是一個典型的混雜動態控制系統(HDCS)。影響DCCS信息安全和網絡安全的因素眾多而繁雜，因而需要有一套系統化和結構化的設計方法相應的輔助工具，用以設計DCCS的風絡安全體系。自律分散DCCS安全體系的設計方法，實現了DCCS安全體系結構的動態變化和在線功能

3．5．1自律分散DCCS安全體系的基本概念

    隨著DCCS規模的擴大多，控制功能的分散化，節點分布的方域化．攻擊手段多樣化和網絡環境參數變化的復雜化，DCCS將變得愈來愈難以控制。與此同時，隨著用戶需求和網絡資源的變化，DCCS的體系結構(控制結構、拓撲結構和通信協議等)也處在不斷的變化與發展過程之中。DCCS的組成部件(節點)的增加或減少，將導致DCCS安全域的擴展收縮。所有這些變化都要求DCCS的安全機制能跟隨這些變化做出快速的響應，安全策略能跟隨這些變化進行動態的調整，以便全面地反映變化過程中系統的安全需求。同時，也要求DCCS的安全體系能動態地適應網絡環境的變化。

    自律分散DCCS安全體系．將DCCS安全體系劃分成許多自律安全體系單元 由于DCCS安全體系變化的動態性，整個系統安全體系很難事先完全定義．只能定義若干自律安全體系單元，然后集成。自律分散DCCS安全體系最為重要的特點，就是自律安全體系單元的自我控制和自我協調能力。即自律安全體系單元應具有以下兩個基本特性：

    (1)自律可控性(autonomous con-trollability)：系統如果有任何自律安全體系單元出現故障、正在維護或剛剛加入，都不能影響其他自律安全體系單元的自我管理及功能的運行。
    (2)自律可協調性(autonomous COOrdinatability)：系統如果有任何自律安全體系單元出現故障、正在維護或剛剛加入．其他自律安全體系單元之間能夠協調各自的任務，并以協作方式運行以實現各自功能。基本自律安全體系單元的自律可控性和自律可協調性設計的DCCS安全體系．可確保安全體系的在線擴展(on-ling expansion)、在線維護(on—ling maintenance) 在線容錯(on—ling faulttolerance)功能。這些特點與不斷發展和變化的DCCS的安全需求非常吻合。

3．5．2 自律分散DcCS安全體系的設計方法

    自律分散DCCS安全體系的設計方法，采用自底向上、由內向外，從自律安全體系單元逐步構成整個DCCS安全體系的系統設計方法．突破了假定在設計階段安全體系的結構、規模和功能都是確定的自頂向下的系統設計方法。自律分散DCCS安全體系支持DCCS分階段建設和實施。使DCCS安全體系具備在線擴展、在線維護和在線容錯等“動態”功能．適應了DCCS安全體系結構的動態變化，實現了DCCS安全體系設計方法的突破。

    DCCS的信息安全和網絡安全是整體的、動態的，不是單一的信息安全和網絡安全技術能夠實現。在保證DCCS信息傳輸的可靠性和襯里前提下．綜合考慮DCCS的信息安全網絡，尋找確保網絡信息安全網絡效率的平衡點，建立真正適合于DCCS的網絡信息安全體系結構。對于DCCS的安全體系設計，迫切需要開展以下研究工作：

    (1)全面開展DCCS網絡信息安全保障技術規劃與設計研究。從硬件及軟件兩方面為DCCS提供完整的安全系統平臺，建立DCCS綜合安全評估模安型
    (2)DCCS的網絡信息安全，不僅關系到網絡安全問題，而且還涉及信息系統的劃分、功能定義、數據采集、數據庫結構構設計等一系列問題。需要從整個DCCS體系結構、通信協議、節點狀況、被控對象特性、網絡資源等方面綜合考慮，確保DCCS安全運行。
    (3)加強對DCCS網絡信息安全設計相關理論的研究，以推動DCCS的網絡安全理論向前發展。

作者：四川省電子計算機應用研究中心    華曉鳴