工業(yè)控制系統(tǒng)功能安全與信息安全一體化防護措施研究*

靳江紅 莫昌瑜 李剛

(1.北京勞動保護科學研究所 北京 100054； 2.北京廣利核系統(tǒng)工程有限公司 北京 100094)

0 引言

隨著工業(yè)化和信息化的深度融合，工業(yè)控制系統(tǒng)面臨的信息安全形勢日益嚴峻，傳統(tǒng)的“孤島隔離”方式已無法避免工業(yè)控制系統(tǒng)遭受信息安全攻擊。工業(yè)控制系統(tǒng)信息安全問題引起了業(yè)界重視，在短短幾年內，業(yè)內出現(xiàn)各種各樣的信息安全技術標準、報告和信息安全產品，以規(guī)范、指導核安全級DCS解決信息安全問題，提升網(wǎng)絡攻擊防御能力。

針對信息安全威脅，部署縱深防御體系，是工業(yè)控制系統(tǒng)的發(fā)展趨勢。2017年，國家發(fā)布網(wǎng)絡安全法，明確要求實施信息安全等級保護制度；2019年5月，公安部發(fā)布國家信息安全等級保護標準第2版[1]，其中明確提出針對工業(yè)控制系統(tǒng)的信息安全等級保護要求。美國核電領域針對核電廠工業(yè)控制系統(tǒng)提出了包括大綱計劃、管理程序、技術方案與措施的信息安全防御技術體系[2-6]。然而，在工業(yè)控制系統(tǒng)上增加信息安全防護能力，必然會對可用性、實時性和安全性等功能安全相關特性造成影響，即工業(yè)控制系統(tǒng)的功能安全與信息安全可能存在矛盾與沖突。例如，系統(tǒng)功能安全要求通過執(zhí)行一個安全功能的指令時，而信息安全防火墻可能會阻止該指令通過。如何權衡并協(xié)調解決功能安全與信息安全的矛盾，形成“安全一體化”的解決方案，并在工業(yè)控制系統(tǒng)中落實體現(xiàn)，IEC僅給出權衡原則，即信息安全的實施不應影響功能安全[7]，業(yè)界尚無公認的解決方法?；诠I(yè)控制系統(tǒng)的特點，針對典型工業(yè)控制系統(tǒng)研究了功能安全和信息安全的防護措施，并應用風險評估理論制定了功能安全與信息安全協(xié)同方法，在此基礎上給出了適用于工業(yè)控制系統(tǒng)的功能安全與信息安全一體化防護方案。

需要指出的是，本文討論的工業(yè)控制系統(tǒng)主要指DCS，PLC，SCADA和RTU等，按照IEC 62264-1分層模型[8]，工業(yè)控制系統(tǒng)包括現(xiàn)場設備層(0層)、現(xiàn)場控制層(1層)、過程監(jiān)控層(2層)、制造執(zhí)行系統(tǒng)層(3層)和企業(yè)管理層(4層)，這里僅針對現(xiàn)場控制層(1層)和過程監(jiān)控層設備(2層)。信息安全僅針對網(wǎng)絡攻擊的防御技術，而不包括純粹物理攻擊(如大型商用客機撞擊、炮彈襲擊等)和自然災害(地震、海嘯等)。

1 安全一體化技術原理

對于工業(yè)控制系統(tǒng)功能安全與信息安全一體化研究，不能空對空的討論信息安全與功能安全措施的一致性與矛盾，應將兩者放在特定的研究對象中，根據(jù)具體情況，權衡兩者的利弊，最終提出針對性的一體化方案。目前學術界與工程領域均無成熟有效的經(jīng)驗可以借鑒，本文按照如下步驟開展探索性研究：

(1)確定分析對象。

(2)按照IEC 61508[9]的要求，識別潛在故障模式，并確定相應的功能安全技術措施，包括故障診斷、報警和故障處理機制。

(3)按照IEC 62443[10]的要求，識別潛在的信息安全威脅與脆弱性，并確定相應的信息安全措施，包括信息安全檢測措施、報警和攻擊相應措施。

(4)使用FMEA[11-12]技術，以功能安全技術措施為基礎，遍歷分析增加了信息安全措施后是否存在矛盾項，再應用事件樹[13]分析在工業(yè)控制系統(tǒng)的可實現(xiàn)性，針對無法實現(xiàn)一體化的功能安全和信息安全措施，詳細分析矛盾之處，應用風險評估法[14]權衡利弊，最終給出針對性的一體化方案。

1.1 功能安全措施確定

根據(jù)IEC 61508，工業(yè)控制系統(tǒng)可采取的控制措施包括：避免和控制系統(tǒng)性失效的措施以及控制隨機失效的措施，功能安全措施確定流程如圖1所示。

結合工業(yè)控制系統(tǒng)具體架構和預期要達到的SIL等級，識別故障模式，并從IEC 61508中選定相應的功能安全措施，包括診斷措施和故障處理機制，該工業(yè)控制系統(tǒng)的功能安全措施即可確定。

圖1 基于IEC 61508的功能安全措施確定流程

1.2 信息安全措施確定

工業(yè)控制系統(tǒng)的信息安全措施，主要分為信息安全運行與管理措施和信息安全技術控制措施，確定信息安全措施的流程如圖2所示。

圖2 信息安全措施集

1.3 一體化權衡技術

應用FMEA技術進行信息安全技術遍歷，如表1所示。

表1 信息安全技術遍歷分析

對于識別到的矛盾項，應用事件樹進行分析，從信息安全措施的應用范圍和方式兩方面確定解決方案，如圖3所示。

圖3 確定信息安全解決方案

對于可行的應用方案，應用風險評估技術進行權衡分析，從資源消耗程度(R)、技術復雜度(C)和威脅防護程度(D)3個維度進行評價，如表2所示。

表2 維度等級

每一個維度可以賦予一個權重，權重值根據(jù)具體情況確定，方案的評分總值根據(jù)下述公式[6]算出為

T=(R×α1)×(C×α2)×(D×α3) (1)

α1+α2+α3=1 (2)

式中，α1為資源消耗程度的權重，α2為技術復雜度的權重，α3為威脅防護程度的權重。方案值T高者，優(yōu)先選擇。

2 典型工業(yè)控制系統(tǒng)功能安全與信息安全一體化設計

2.1 典型工業(yè)控制系統(tǒng)架構

典型工業(yè)控制系統(tǒng)架構如圖4所示。典型工業(yè)控制系統(tǒng)具備SIL3等級，其采用的避免失效的安全措施如IEC 61508-2 Table B.1～B.5所述，控制系統(tǒng)失效的措施如IEC 61508-2 Table A.16所述。要控制硬件隨機失效，需要考慮基準故障模式。針對典型工業(yè)控制系統(tǒng)開展板卡級FMEA工作，可識別出基準故障模式。針對基準故障模式，典型工業(yè)控制系統(tǒng)進行了故障分類，并設計了相應的診斷措施，如表3所示。

圖4 典型工業(yè)控制系統(tǒng)架構

表3 典型安全工控系統(tǒng)診斷措施

為了確保典型安全工控系統(tǒng)的安全完整性，基準故障模式發(fā)生并被診斷到后，應進行相應故障處理與報警指示，確保典型安全工控系統(tǒng)處于可控的安全狀態(tài)。基于上述流程，典型安全工控系統(tǒng)在診斷到基準故障模式后，采取的故障處理與報警指示措施如表4所示。

表4 典型安全工控系統(tǒng)故障處理與報警指示措施

2.2 信息安全措施

根據(jù)IEC 62443提出的SL3等級要求，從工業(yè)控制系統(tǒng)生命周期應開展的信息安全活動、信息安全要求措施兩方面設計選定典型安全工控系統(tǒng)的信息安全措施。對于信息安全管理措施，可遵循IEC 62443-4-1和RG 5.71中管理章節(jié)部分內容。對于技術措施，典型安全工控系統(tǒng)滿足信息安全SL3級要求，其采用的信息安全要求措施可參見IEC 62443-3-3的第5～10章，如表5所示。其中，F(xiàn)R(Foundational Requirement)為基本框架要求措施，包括系統(tǒng)基本要求措施SR(System Requirement)和增強要求措施RE(Requirement Enhanced)。

2.3 生命周期功能安全與信息安全活動一體化分析

根據(jù)IEC 61508—2、IEC 62443-4-1和RG 5.71分析，典型安全工控系統(tǒng)生命周期內的功能安全和信息安全活動無矛盾項。需要注意的是，故障插入測試和威脅緩解測試、脆弱性測試和滲透測試，均會對典型安全工控系統(tǒng)產生一定的破壞性。因此，這些測試的具體執(zhí)行時機需要結合項目所處的階段來考慮：這4項測試應該在設計實現(xiàn)階段開展全范圍測試(包括破壞性和非破壞性用例)，使識別出的問題有足夠的時間和資源進行更改，在即將出廠的工廠接受測試階段執(zhí)行這4項測試的非破壞性用例。這樣的處理方式既可以保證測試識別的問題和缺陷能夠及時得到修補，又可以避免即將出廠的系統(tǒng)在進行出廠測試時產生損傷。

表5 典型工業(yè)控制系統(tǒng)信息安全措施示例

2.4 功能安全措施和信息安全措施一體化分析

從實踐經(jīng)驗的角度出發(fā)，功能安全措施在工業(yè)控制系統(tǒng)上已經(jīng)積累了將近30年的實踐經(jīng)驗，在工業(yè)領域已經(jīng)形成了成熟、公認的技術理論、方法、產品和全面應用解決方案，是廣泛可接受的技術措施。而工業(yè)控制系統(tǒng)信息安全技術剛剛起步，積累的實踐經(jīng)驗還不足，一些潛在的問題在業(yè)內尚未被識別，技術成熟度有待提升。因此，本文將一一遍歷信息安全措施的技術原理和方法，分析判斷其是否對功能安全措施或原有的功能性能要求產生影響，如果沒有影響，則可以進行應用；若信息安全措施對功能安全措施或原有的功能性能產生影響，則應用事件樹和風險評估技術判斷影響情況，并采取較為保守的應用策略(有限應用或者不用)。

經(jīng)過遍歷分析，如下信息安全措施將會對典型安全工控系統(tǒng)功能安全措施和原有功能安全措施產生影響。

(1)SR 1.2-Software process and device identification and authentication：此項措施要求典型工業(yè)控制系統(tǒng)一層設備或安全控制顯示站為所有的連接對象以及網(wǎng)絡通信首先進行標識和認證，才進行下一步。功能安全設計理念則是：只和匹配的設備進行數(shù)據(jù)交互、只運行合法程序，一旦出現(xiàn)不匹配的連接對象或者未知程序，將首先觸發(fā)異常處理，進入安全狀態(tài)，不再對不匹配的連接對象或未知程序有任何操作或交互。此措施與功能安全設計理念不符合。

(2)SR 3.1 RE 1-Cryptographic integrity protection：此信息安全措施要求在典型安全工控系統(tǒng)通信過程中使用加密機制來保護通信信息。對于典型安全工控系統(tǒng)的點對點通信、IO通信、主處理通信和多節(jié)點通信，實時性要求非常高，響應時間在毫秒級，如采用加密措施將直接影響通信效率，這有可能造成安全功能響應時間無法滿足要求。此措施影響了安全功能執(zhí)行時間和運行負荷率指標。

(3)SR 7.4-Control system recovery and reconstitution：此信息安全措施要求當?shù)湫桶踩た叵到y(tǒng)受到攻擊破壞或失效時，應能夠恢復到一個信息安全狀態(tài)。整個恢復與重建內容包括：所有系統(tǒng)參數(shù)處于安全值、信息安全重要補丁重新安裝、信息安全相關配置重新建立、系統(tǒng)文件與操作流程可用、應用軟件與系統(tǒng)軟件重新安裝與配置并完成信息安全設置、已知信息安全備份完成裝載、系統(tǒng)經(jīng)過完整的測試并能夠正常運行。當?shù)湫桶踩た叵到y(tǒng)發(fā)生失效后，根據(jù)功能安全設計要求，必須進入并保持在安全狀態(tài)，不可自動重啟恢復。因此，此信息安全措施的執(zhí)行，只有在相關人員確認現(xiàn)場異常完全排除后，才能開展，一旦自動進入信息安全狀態(tài)，將會與功能安全設計理念沖突。

根據(jù)相關法規(guī)標準的說法，以上信息安全措施并非完全不能應用，可以結合實際情況，從應用范圍(模塊級應用、系統(tǒng)級應用)和應用方式(實時在線應用、初始化時應用或離線應用)兩方面考慮有限應用，盡量做到既能夠滿足信息安全要求，又不會對功能安全特性和原有功能性能造成影響。本文將采用事件樹和風險分析相結合的方式來評估SR 1.2，SR 3.1，RE 1和SR 7.4的可實現(xiàn)性，如下圖5～圖7所示。考慮到實時性、可用性資源對于功能安全的重要性，同時電廠、化工廠本身已具備較為嚴格的安保措施，本文將資源消耗程度、技術復雜度和威脅防護程度的占比確定為：0.4，0.3和0.3，如表6～表8所示。

圖5 信息安全措施SR 1.2在典型安全工控系統(tǒng)可實現(xiàn)性分析

圖6 信息安全措施SR 3.1 RE 1在典型安全工控系統(tǒng)可實現(xiàn)性分析

圖7 信息安全措施SR 7.4在典型安全工控系統(tǒng)可實現(xiàn)性分析

2.4.1信息安全措施SR 1.2可行性分析

范圍1-應用方式1的可行性：不可行；功能安全理念要求一層設備與安全控制顯示站故障后進入安全狀態(tài)且不與其他設備程序交互。

范圍1-應用方式2的可行性：不可行；功能安全理念要求一層設備與安全控制顯示站故障后進入安全狀態(tài)且不與其他設備程序交互。

范圍2-應用方式1的可行性：可行；可以對服務器、工程師站和操作員站部署此信息安全措施，不會對典型工控系統(tǒng)的安全功能有影響。

范圍2-應用方式2的可行性：可行；可以對服務器、工程師站和操作員站部署此信息安全措施，不會對典型工控系統(tǒng)的安全功能有影響。

針對兩種可行性方案進行風險評估，如表6所示。

表6 信息安全措施SR 1.2可行方案風險評估

2.4.2信息安全措施SR 3.1 RE 1可行性分析

范圍1-應用方式1的可行性：不可行；典型工控系統(tǒng)中一層設備實時通信采取加密后，影響安全功能執(zhí)行時間和運行負荷率。

范圍1-應用方式2的可行性：不可行；典型工控系統(tǒng)中一層設備實時通信采取加密后，影響安全功能執(zhí)行時間和運行負荷率。

范圍2-應用方式1的可行性：可行；可以對服務器、工程師站和操作員站部署此信息安全措施，不會對典型工控系統(tǒng)的安全功能有影響。

范圍2-應用方式2的可行性：可行；可以對服務器、工程師站和操作員站部署此信息安全措施，不會對典型工控系統(tǒng)的安全功能有影響。

針對兩種可行性方案進行風險分析，如表7所示。

表7 信息安全措施SR 3.1 RE 1可行方案風險評估

表8 信息安全措施SR 7.4在典型安全工控系統(tǒng)風險評估

2.4.3信息安全措施SR 7.4可行性分析

范圍1-應用方式1的可行性：不可行；典型工控系統(tǒng)所有模式設置安全狀態(tài)，故障或破壞時應同時達成功能安全和信息安全，不可自動恢復。

范圍1-應用方式2的可行性：不可行；典型工控系統(tǒng)所有模式設置安全狀態(tài)，故障或破壞時應同時達成功能安全和信息安全，不可自動恢復。

范圍2-應用方式1的可行性：可行；可在操作員站、服務器和工程師站應用此措施。

范圍2-應用方式2的可行性：可行；可在操作員站、服務器和工程師站應用此措施。

針對兩種可行性方案進行風險分析，如表8所示。

2.5 典型工控系統(tǒng)功能安全和信息安全一體化方案

根據(jù)前述分析研究的結果，得出了典型安全工控系統(tǒng)功能安全和信息安全一體化建議方案，如下所述。

(1)管理方面。典型安全工控系統(tǒng)生命周期安全活動一體化措施方案應包括IEC 61508-2 Table B.1～B.5，IEC 62443-4-1 CH6～CH11 和RG 5.71 APPENDIX C3。

(2)技術方面。典型工控系統(tǒng)既滿足IEC 61508 SIL3要求，又滿足IEC 62443 SL3級要求。對于功能安全特性，將采用表1和表2中所述的措施，并基于此進行方案設計與產品研發(fā)來實現(xiàn)；對于信息安全特性，典型工控系統(tǒng)通過采用表5所述的措施，并結合2.4節(jié)的分析評估結果，進行方案設計與產品研發(fā)來實現(xiàn)。為了簡化描述，典型安全工控系統(tǒng)一體化措施列表不再給出，安全一體化總體方案如圖8所示。

圖8 典型工控系統(tǒng)一體化方案

(3)典型安全工控系統(tǒng)1層控制站為了保證安全功能的實時性和功能性能，僅針對多節(jié)點通信模塊增加通信加密，因為多節(jié)點通信暫不影響安全功能。除此之外，典型安全工控系統(tǒng)1層控制站整體視為可信整體，僅在外部施加邏輯隔離。對于2層設備，除了安全控制顯示站，均施加信息加密、白名單、殺毒軟件、邏輯隔離和入侵檢測措施，保護典型安全工控系統(tǒng)的邊界條件。其余SIL3功能安全措施和SL3信息安全措施均按研究結果實施，圖中未畫出。

3 結語

(1)提出了一種用于評估工業(yè)控制系統(tǒng)信息安全與功能安全的權衡技術，該技術針對工業(yè)控制系統(tǒng)預采用的信息安全防護措施，應用事件樹技術，分析出采用這些信息安全防護措施后對原有的安全機制的影響和沖突，并針對這些影響和沖突提出應對補償方案，在此基礎上進行風險評估，最終確定最優(yōu)的可實施方案。實踐結果表明，在業(yè)界現(xiàn)有的技術狀態(tài)下，可以作為工業(yè)控制系統(tǒng)解決功能安全與信息安全融合問題的一種方案。

(2)采用的功能安全與信息安全權衡方法，主要是事件樹法和風險評估法，屬于半定量方法，權衡因素和權重比的確定主要以實踐經(jīng)驗為主，理論方法仍需梳理優(yōu)化，后續(xù)將進一步完善功能安全與信息安全的權衡理論。

(3)目前功能安全等級與信息安全等級均為4級，而SIL等級與SL等級之間的對應關系，是否可用一個綜合評價指標來度量工業(yè)控制系統(tǒng)的安全性，目前尚無明確討論，而隨著技術進步，業(yè)內尤其是工業(yè)控制系統(tǒng)供應商會更早的面臨這一問題，后續(xù)將進一步研究綜合評價功能安全與信息安全的問題。