工業控制系統功能安全與信息安全融合初探

王曉鵬

（綠盟科技集團股份有限公司，北京 100089）

0 引言

伴隨著工業自動化到智能化的發展，越來越多的IT技術應用到工業自動化系統中，提升工業自動化系統的對于控制過程的處理能力。伴隨而來的是相關的安全隱患也越發突出，層出不群的安全漏洞，各種針對工業系統的攻擊行為已經對工業系統的運行安全帶來了極大的挑戰。對于工業系統來說，對于安全的認識也從重視功能安全到開始重視信息安全，從而兩者并重來融合構建安全能力。功能安全也是從風險入手通過對風險的分析來降低風險的影響從而達到風險的可控，而信息安全從安全的保密性、完整性和可用性的基本三要素來對安全的風險進行管理[1]，其中對于風險的風險是整個安全分析中關鍵的步驟的，對于安全的可采取的措施多是基于對安全風險的分析。從功能安全與信息安全所達到的目標看，所采用的技術手段都是為了減少由于系統自身固有的安全風險及外部不同要因對運行的邏輯部件、物理運行系統所帶來的影響。但是由于兩者在面對的對象和所處理的過程不同并且在處理過程中存在一定矛盾等，如如功能安全通信要求實時性，而信息安全為了機密性要求可能需要大量的計算時間而影響實時性。協調的基本要求以便更好的融合功能安全和信息安全的相互作用，避免兩者共存而產生的潛在不良影響。目前國內和國外的主要研究機構和企業都在開展功能安全與信息安全融合的研究，在融合安全的業務融合的安全風險分析及融合決策機制上都在進行相關的探索。

1 功能安全與信息安全的概念

1.1 功能安全與信息安全基本概念

工業控制系統有功能安全（Functional Safety）和信息安全（Information Security）兩類安全屬性。功能安全針對前者針對存在的危險和傷害，利用冗余和診斷等技術避免設備因為失效帶來內部和外部的影響；信息安全針對系統信息的完整性、保密性來展開相關的研究。功能安全的概念比較早在工業領域中提出，并且經過相關的歸納和總結終由IEC以標準的形式來固化，IEC 61508提出“不存在不可接受的風險”。功能安全的系統已經在行業的多個系統中得到應用，如列控的聯鎖系統、流程工業的安全儀表系統，電力的緊急停止系統、汽車的安全制動系統等。

功能安全的特征[2]主要是指系統故障導致人或引起的環境次生災害；信息安全的特征是由于人有意通過惡意的行為導致業務系統發生故障或者損害。針對系統的惡意攻擊行為會帶來系統的可用性降低或者系統喪失可用性或者引起其他的環境的次生災害。功能安全不管系統是在正常還是失效的情況下都要保障系統處于安全狀態，信息安全以保障機密性、完整性、可用性等為目標，需要考慮網絡安全、主機安全、數據庫安全、應用安全等多個方面。從信息安全的攻擊同時也可以以功能安全為目標會導致功能安全的可用性喪失或者導致功能出現誤判導致物理設備發生非正常邏輯決策所產生的動作。在應用信息安全的防御措施時，尤其是在已經投運的具備功能安全系統業務系統時，可能產生一些沖突和矛盾。

我們在考慮功能安全與信息安全關聯時，需要考慮兩者既有區別又有聯系。

兩者主要的差別與聯系（見表1）。

1.2 信息安全之于功能安全

隨著智能制造深入應用，新型的信息化技術開始在工業領域中得到應用。由于信息安全問題所導致的業務或者導致安全儀表出現異常的問題，已經在相關的發生的安全事件中被驗證，如導致烏克蘭電力斷電的blackenegy攻擊，Triconnex的攻擊試圖引發沙特阿拉伯石油工廠的爆炸 。在控制層面除了控制器具備功能安全屬性外，更多的流程化工業中多采用單獨的安全儀表系統提供保障能力，功能安全在保障業務失效風險中的動作可以預防風險的進一步擴展和升級，在發生確定性的動作時或者功能安全受到網絡攻擊行為的影響無法發揮正常動作行為時，會導致功能安全系統出現一些異常的動作[5]，從而導致系統運行發生問題。

表1

對于功能安全來說，需要通過信息安全的手段來保障功能的本體不受到外部攻擊的影響，不會由于信息安全的影響導致系統喪失可用性。另外，功能安全與信息安全之間需要通過確定范圍的信息的共享來提升相互基于自身安全定義的風險再確認。當信息安全補丁要應用到功能安全系統時，補丁需要經過充分的驗證，另外，在采用應急措施時要充分考慮到對信息安全策略的影響。

2 國內外研究進展

針對企業內部而言，工業安全主要包括設備安全、網絡安全、數據安全、業務安全等幾個層面?，F有工業安全多從信息安全角度出發，沒有與業務系統結合，隨著工業智能化的發展，物理信息融合系統在工業領域中得到了一定規模的應用，從未來發展趨勢看，功能安全與信息安全相結合，以保證業務系統的可用性為目標和前提，考慮功能安全在預防系統失效的作為為基礎，結合信息安全的保證能力，來提升業務應對各類風險的處置能力。并且通過迭代優化設計，逐步消除沖突實現工業系統的兩安融合的難題，降低給業務系統所帶來的信息安全風險。從目前的發展情況看，國內外已經開始從標準制定、建模方法、體系結構、任務調度等角度開展相關研究工作。從目前功能安全的發展看，在國內外經過了多年的研究、驗證和政策法規要求后已經形成了規?；瘧?，并在重要的業務中為業務的穩定運行提供了可依靠的安全風險處理機制，在有效避免重大安全事件的發生方面也起到了重要的支撐作用。在工業信息安全領域在經過了初步的探索階段后，已經開始向規?；瘧冒l展方向前行，目前在防御、監測和檢測等領域都出現了相關的技術和產品來支撐應用。從目前信息安全的問題對功能安全看，網絡擾動帶來控制設備失效，進而引發安全儀表系統動作，大大增加動作頻率，帶來高的業務中斷，對安全功能提出更高要求，如何降低網絡安全風險，如何在體系上融合減少由于網絡安全風險對功能安全所帶來的安全影響，如何從管理機制上避免相關影響是目前國內外在探索這個領域一些重要的研究方向。

3 體系層面上的融合

體系層面是指從功能安全和信息安全兩個標準體系上來考慮問題，選取既適用于功能安全的設計準則和要求有可以有效的應用于信息安全的特征[3]，如下圖所示：

圖1 共性安全要素

這些設計在沒有明確考慮信息安全威脅與攻擊的前提下，在不損害降低功能安全能力的前提下，需要考慮采用有效的措施來應對信息安全的威脅。

在體系層面上針對信息安全和功能安全的處理要遵循一些基本原則，主要包括如下幾個方面：

（1）信息安全不能影響功能安全的目標，應為功能的實現提供保障。不應帶來多樣性的違背或者導致工業控制系統體系縱深防御有效性的喪失；

（2）對于與現有系統存在沖突的信息安全相關措施需要進行標記和基于需求的評估。信息安全與功能安全系統之間的相關融合需要一個過程來支撐；

（3）信息安全特性的實現不應該對性能（包括響應時間）、有效性、可靠性或者功能安全相關的操作產生影響；

（4）需要對一次攻擊行為對業務的影響及功能安全在避免業務失效性風險中所帶來的影響代價來考量信息安全措施與功能安全的措施之間權重的合理分配；

（5）對于由于功能安全初始設計的特性和屬性（例如系統獨立），再考安全隱患需要信息安全的策略來保證時，需要必須采用有效的安全檢查手段，以保證策略的安全和有效?？紤]的設計基本要求要在體系設計時，充分考慮一些要求和實踐的準則來提升功能安全與信息安全之間的橋接能力[4]。

主要包括如下的內容：

信息安全對于安全區域的定義是基于安全分級的方式來實現的，對于具備相似屬性的控制系統可以在安全區上定義共同的安全策略，使功能安全和信息安全同樣適用該策略。

在統一的事件上考慮引入功能安全與信息安全融合的分析方法，在所獲得數據的輸出和輸出結果可以進行時間維度、關鍵業務屬性維度、運行操作的同等分析維度來進行工銀故障處理，同時要考慮到信息安全的策略不能引入新的故障，從而給業務帶來更大的危害。

設備分離以及多樣性這些特性對功能安全和信息安全能力都具有提升作用；

4 工業控制系統上的融合

工業控制系統信息安全和功能安全在工業控制系統運行過程中相互之間的連接和作用越來越大，對于業務保障的共性需求也日益凸顯[6]。首先二者研究的對象都是針對同一個工業控制系統，研究的目的都是為了保障工業控制系統的安全。工業控制系統功能安全研究在進行風險評估時不應忽略由于信息安全事件導致相關事故的因素。工業控制系統信息安全研究在對系統實施保護方案時應考慮是否對既有的安全相關系統在實時性、可靠性和安全性等方面造成了影響。因此如何將二者有機結合是一個嚴峻的挑戰。

4.1 基本原則

工業控制系統功能安全在進行安全設計時通?？紤]采用冗余、故障安全設計原則等來降低風險。信息安全的設計需要基于相關安全的等級來定義區域隔離和訪問控制的強度，不能隨意旁路等措施來提升系統的安全性降低由于攻擊所帶來的安全風險。因此功能安全和信息安全在進行安全設計時，一方面功能安全要考慮安全設計融入信息安全的措施時不能有被旁路的風險，另一方面信息安全要考慮其自身功能安全特性的失效由于業與業務更加貼合，是否會給系統造成可用性或安全性的風險。

在工控系統上針對信息安全和功能安全的處理要遵循一些基本原則，主要包括如下幾個方面：

（1）信息安全策略的增加要是否與業務本體的特征進行結合，相關的策略的添加要以不影響業務運行為前提，不使引入的策略導致新的失效性風險。

（2）信息安全特性的實現不應對特定工業控制系統所支持的性能（包括響應時間）、有效性、可靠性或者安全功能相關的操作產生有害影響，要考慮重要功能安全的特征在信息安全失效風險上的分析和應對措施。

（3）不能由于引入信息安全策略而增大功能安全重要功能在處理事件時的處理時間。

對同一控制系統進行安全保障時，功能安全和信息安全的結合和協同需要基于全生命周期來進行考慮和分析，應對各個生命周期中的各階段進行一定條件的約束，需要從如下幾個方面來考慮：

（1）要在需采集時，功能安全就要考慮對于信息安全在哪里、做什么進行分析；

（2）在設計階段要充分考慮兩者的協調，保障功能安全的實現的情況下，信息安全的保證能力也能得到充分的體現。

（3）驗證階段需要針對功能安全的代碼從信息安全的角度進行考慮，避免在功能安全設計時候引入了信息安全的風險，避免由于信息安全隱患所導致的功能的安全運行風險。

（4）信息安全在考慮工控系統和功能安全系統的安全性所必要采取的技術手段，如滲透測試等手段，需要在可控的實驗環境中進行驗證。

信息安全的配置變更等需要充分考慮到對功能安全的影響，避免由于信息安全的策略調整給功能安全帶來運行的隱患，同時在信息安全在發現功能的安全隱患時，也要及時給功能安全同步，提升功能安全系統自身抵御信息安全威脅的能力。

4.2 基于風險管理思想的融合

工業控制系統功能安全研究是從消除風險保障業務為出點，將工業控制系統安全風險控制變得可控。功能安全考慮了從需求、設計、實現、測試確認、運行維護等一系列生命周期階段都融入了風險管理的思想，在每一階段要確認可識別的風險能夠被有效控制。本文融合在工業控制系統信息安全研究中采用了風險管理思想，在風險可控的原則上功能安全與信息安全要高度一致，因為二者研究針對同一工業控制系統對象，其針對不同原因導致的相同安全事件造成的后果嚴重程度和風險可接受程度應是一致的，不論是信息安全事件還是功能安全事件導致的相關事故，其風險可控程度應是統一的。另一方面在危害（或脆弱性）識別階段應做到二者有機的結合，功能安全強調系統自身存在的脆弱性導致的系統失效，而信息安全強調威脅主體對客體的侵害程度，不同的侵害程度所帶來的影響不同，功能安全與信息安全都關注系統自身的脆弱性，一個是系統脆弱性被外部的威脅所利用，另一個是由于系統自身的健壯性不足導致在運行過程中的系統失效。因此在危害（或脆弱性）的識別過程中，需要盡量把功能安全和信息安全進行結合。

如圖2所示：需要考慮到功能安全數據與信息安全的融合，需要通過融合分析器如圖3-1所示：對于功能安全監測到的一些數據異常報警時與信息安全裝置之間建立信息的相互通報和融合機制[7]，在時間維度、運行異常維度、網絡通信異常維度對相關的數據值進行擬合數據分析，通過對漏洞業務影響分析、攻擊與業務風險融合的分析，同時融合分析器給功能安全與網絡提供有效提升業務判斷的一些基礎數據，信息安全提供影響到功能安全的要素，功能安全提供影響到信息安全的要素，綜合來提升兩個系統本地在判決上的可靠性。

5 結語

圖2 兩安融合分析器結構

工業控制系統作為關系到國計民生的關鍵基礎設施的重要支柱，其安全問題一直備受關注。而工業控制系統功能安全和工業控制信息安全作為工業控制系統安全的兩個重要部分在發展上并不是孤立毫不相關的。信息安全與功能安全在物理世界映射到虛擬世界[8]，通過虛擬世界為物理世界提供保障，需要充分考慮信息安全在工業業務運行中對功能安全的保障，信息安全的技術手段在采取動作時需要充分考慮對業務的影響及過程中與功能安全之間的相互作用。兩安融合目前還處于一個待發展的階段，各種技術的融合還不是很成熟，在具體的方法應用和手段上還需要有更多的探索和實踐。