王曉鵬

（綠盟科技集團(tuán)股份有限公司，北京 100089）

0 引言

伴隨著工業(yè)自動化到智能化的發(fā)展，越來越多的IT技術(shù)應(yīng)用到工業(yè)自動化系統(tǒng)中，提升工業(yè)自動化系統(tǒng)的對于控制過程的處理能力。伴隨而來的是相關(guān)的安全隱患也越發(fā)突出，層出不群的安全漏洞，各種針對工業(yè)系統(tǒng)的攻擊行為已經(jīng)對工業(yè)系統(tǒng)的運(yùn)行安全帶來了極大的挑戰(zhàn)。對于工業(yè)系統(tǒng)來說，對于安全的認(rèn)識也從重視功能安全到開始重視信息安全，從而兩者并重來融合構(gòu)建安全能力。功能安全也是從風(fēng)險(xiǎn)入手通過對風(fēng)險(xiǎn)的分析來降低風(fēng)險(xiǎn)的影響從而達(dá)到風(fēng)險(xiǎn)的可控，而信息安全從安全的保密性、完整性和可用性的基本三要素來對安全的風(fēng)險(xiǎn)進(jìn)行管理[1]，其中對于風(fēng)險(xiǎn)的風(fēng)險(xiǎn)是整個(gè)安全分析中關(guān)鍵的步驟的，對于安全的可采取的措施多是基于對安全風(fēng)險(xiǎn)的分析。從功能安全與信息安全所達(dá)到的目標(biāo)看，所采用的技術(shù)手段都是為了減少由于系統(tǒng)自身固有的安全風(fēng)險(xiǎn)及外部不同要因?qū)\(yùn)行的邏輯部件、物理運(yùn)行系統(tǒng)所帶來的影響。但是由于兩者在面對的對象和所處理的過程不同并且在處理過程中存在一定矛盾等，如如功能安全通信要求實(shí)時(shí)性，而信息安全為了機(jī)密性要求可能需要大量的計(jì)算時(shí)間而影響實(shí)時(shí)性。協(xié)調(diào)的基本要求以便更好的融合功能安全和信息安全的相互作用，避免兩者共存而產(chǎn)生的潛在不良影響。目前國內(nèi)和國外的主要研究機(jī)構(gòu)和企業(yè)都在開展功能安全與信息安全融合的研究，在融合安全的業(yè)務(wù)融合的安全風(fēng)險(xiǎn)分析及融合決策機(jī)制上都在進(jìn)行相關(guān)的探索。

1 功能安全與信息安全的概念

1.1 功能安全與信息安全基本概念

工業(yè)控制系統(tǒng)有功能安全（Functional Safety）和信息安全（Information Security）兩類安全屬性。功能安全針對前者針對存在的危險(xiǎn)和傷害，利用冗余和診斷等技術(shù)避免設(shè)備因?yàn)槭韮?nèi)部和外部的影響；信息安全針對系統(tǒng)信息的完整性、保密性來展開相關(guān)的研究。功能安全的概念比較早在工業(yè)領(lǐng)域中提出，并且經(jīng)過相關(guān)的歸納和總結(jié)終由IEC以標(biāo)準(zhǔn)的形式來固化，IEC 61508提出“不存在不可接受的風(fēng)險(xiǎn)”。功能安全的系統(tǒng)已經(jīng)在行業(yè)的多個(gè)系統(tǒng)中得到應(yīng)用，如列控的聯(lián)鎖系統(tǒng)、流程工業(yè)的安全儀表系統(tǒng)，電力的緊急停止系統(tǒng)、汽車的安全制動系統(tǒng)等。

功能安全的特征[2]主要是指系統(tǒng)故障導(dǎo)致人或引起的環(huán)境次生災(zāi)害；信息安全的特征是由于人有意通過惡意的行為導(dǎo)致業(yè)務(wù)系統(tǒng)發(fā)生故障或者損害。針對系統(tǒng)的惡意攻擊行為會帶來系統(tǒng)的可用性降低或者系統(tǒng)喪失可用性或者引起其他的環(huán)境的次生災(zāi)害。功能安全不管系統(tǒng)是在正常還是失效的情況下都要保障系統(tǒng)處于安全狀態(tài)，信息安全以保障機(jī)密性、完整性、可用性等為目標(biāo)，需要考慮網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全等多個(gè)方面。從信息安全的攻擊同時(shí)也可以以功能安全為目標(biāo)會導(dǎo)致功能安全的可用性喪失或者導(dǎo)致功能出現(xiàn)誤判導(dǎo)致物理設(shè)備發(fā)生非正常邏輯決策所產(chǎn)生的動作。在應(yīng)用信息安全的防御措施時(shí)，尤其是在已經(jīng)投運(yùn)的具備功能安全系統(tǒng)業(yè)務(wù)系統(tǒng)時(shí)，可能產(chǎn)生一些沖突和矛盾。

我們在考慮功能安全與信息安全關(guān)聯(lián)時(shí)，需要考慮兩者既有區(qū)別又有聯(lián)系。

兩者主要的差別與聯(lián)系（見表1）。

1.2 信息安全之于功能安全

隨著智能制造深入應(yīng)用，新型的信息化技術(shù)開始在工業(yè)領(lǐng)域中得到應(yīng)用。由于信息安全問題所導(dǎo)致的業(yè)務(wù)或者導(dǎo)致安全儀表出現(xiàn)異常的問題，已經(jīng)在相關(guān)的發(fā)生的安全事件中被驗(yàn)證，如導(dǎo)致烏克蘭電力斷電的blackenegy攻擊，Triconnex的攻擊試圖引發(fā)沙特阿拉伯石油工廠的爆炸 。在控制層面除了控制器具備功能安全屬性外，更多的流程化工業(yè)中多采用單獨(dú)的安全儀表系統(tǒng)提供保障能力，功能安全在保障業(yè)務(wù)失效風(fēng)險(xiǎn)中的動作可以預(yù)防風(fēng)險(xiǎn)的進(jìn)一步擴(kuò)展和升級，在發(fā)生確定性的動作時(shí)或者功能安全受到網(wǎng)絡(luò)攻擊行為的影響無法發(fā)揮正常動作行為時(shí)，會導(dǎo)致功能安全系統(tǒng)出現(xiàn)一些異常的動作[5]，從而導(dǎo)致系統(tǒng)運(yùn)行發(fā)生問題。

表1

對于功能安全來說，需要通過信息安全的手段來保障功能的本體不受到外部攻擊的影響，不會由于信息安全的影響導(dǎo)致系統(tǒng)喪失可用性。另外，功能安全與信息安全之間需要通過確定范圍的信息的共享來提升相互基于自身安全定義的風(fēng)險(xiǎn)再確認(rèn)。當(dāng)信息安全補(bǔ)丁要應(yīng)用到功能安全系統(tǒng)時(shí)，補(bǔ)丁需要經(jīng)過充分的驗(yàn)證，另外，在采用應(yīng)急措施時(shí)要充分考慮到對信息安全策略的影響。

2 國內(nèi)外研究進(jìn)展

針對企業(yè)內(nèi)部而言，工業(yè)安全主要包括設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)安全等幾個(gè)層面。現(xiàn)有工業(yè)安全多從信息安全角度出發(fā)，沒有與業(yè)務(wù)系統(tǒng)結(jié)合，隨著工業(yè)智能化的發(fā)展，物理信息融合系統(tǒng)在工業(yè)領(lǐng)域中得到了一定規(guī)模的應(yīng)用，從未來發(fā)展趨勢看，功能安全與信息安全相結(jié)合，以保證業(yè)務(wù)系統(tǒng)的可用性為目標(biāo)和前提，考慮功能安全在預(yù)防系統(tǒng)失效的作為為基礎(chǔ)，結(jié)合信息安全的保證能力，來提升業(yè)務(wù)應(yīng)對各類風(fēng)險(xiǎn)的處置能力。并且通過迭代優(yōu)化設(shè)計(jì)，逐步消除沖突實(shí)現(xiàn)工業(yè)系統(tǒng)的兩安融合的難題，降低給業(yè)務(wù)系統(tǒng)所帶來的信息安全風(fēng)險(xiǎn)。從目前的發(fā)展情況看，國內(nèi)外已經(jīng)開始從標(biāo)準(zhǔn)制定、建模方法、體系結(jié)構(gòu)、任務(wù)調(diào)度等角度開展相關(guān)研究工作。從目前功能安全的發(fā)展看，在國內(nèi)外經(jīng)過了多年的研究、驗(yàn)證和政策法規(guī)要求后已經(jīng)形成了規(guī)?；瘧?yīng)用，并在重要的業(yè)務(wù)中為業(yè)務(wù)的穩(wěn)定運(yùn)行提供了可依靠的安全風(fēng)險(xiǎn)處理機(jī)制，在有效避免重大安全事件的發(fā)生方面也起到了重要的支撐作用。在工業(yè)信息安全領(lǐng)域在經(jīng)過了初步的探索階段后，已經(jīng)開始向規(guī)?；瘧?yīng)用發(fā)展方向前行，目前在防御、監(jiān)測和檢測等領(lǐng)域都出現(xiàn)了相關(guān)的技術(shù)和產(chǎn)品來支撐應(yīng)用。從目前信息安全的問題對功能安全看，網(wǎng)絡(luò)擾動帶來控制設(shè)備失效，進(jìn)而引發(fā)安全儀表系統(tǒng)動作，大大增加動作頻率，帶來高的業(yè)務(wù)中斷，對安全功能提出更高要求，如何降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如何在體系上融合減少由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對功能安全所帶來的安全影響，如何從管理機(jī)制上避免相關(guān)影響是目前國內(nèi)外在探索這個(gè)領(lǐng)域一些重要的研究方向。

3 體系層面上的融合

體系層面是指從功能安全和信息安全兩個(gè)標(biāo)準(zhǔn)體系上來考慮問題，選取既適用于功能安全的設(shè)計(jì)準(zhǔn)則和要求有可以有效的應(yīng)用于信息安全的特征[3]，如下圖所示：

圖1 共性安全要素

這些設(shè)計(jì)在沒有明確考慮信息安全威脅與攻擊的前提下，在不損害降低功能安全能力的前提下，需要考慮采用有效的措施來應(yīng)對信息安全的威脅。

在體系層面上針對信息安全和功能安全的處理要遵循一些基本原則，主要包括如下幾個(gè)方面：

（1）信息安全不能影響功能安全的目標(biāo)，應(yīng)為功能的實(shí)現(xiàn)提供保障。不應(yīng)帶來多樣性的違背或者導(dǎo)致工業(yè)控制系統(tǒng)體系縱深防御有效性的喪失；

（2）對于與現(xiàn)有系統(tǒng)存在沖突的信息安全相關(guān)措施需要進(jìn)行標(biāo)記和基于需求的評估。信息安全與功能安全系統(tǒng)之間的相關(guān)融合需要一個(gè)過程來支撐；

（3）信息安全特性的實(shí)現(xiàn)不應(yīng)該對性能（包括響應(yīng)時(shí)間）、有效性、可靠性或者功能安全相關(guān)的操作產(chǎn)生影響；

（4）需要對一次攻擊行為對業(yè)務(wù)的影響及功能安全在避免業(yè)務(wù)失效性風(fēng)險(xiǎn)中所帶來的影響代價(jià)來考量信息安全措施與功能安全的措施之間權(quán)重的合理分配；

（5）對于由于功能安全初始設(shè)計(jì)的特性和屬性（例如系統(tǒng)獨(dú)立），再考安全隱患需要信息安全的策略來保證時(shí)，需要必須采用有效的安全檢查手段，以保證策略的安全和有效。考慮的設(shè)計(jì)基本要求要在體系設(shè)計(jì)時(shí)，充分考慮一些要求和實(shí)踐的準(zhǔn)則來提升功能安全與信息安全之間的橋接能力[4]。

主要包括如下的內(nèi)容：

信息安全對于安全區(qū)域的定義是基于安全分級的方式來實(shí)現(xiàn)的，對于具備相似屬性的控制系統(tǒng)可以在安全區(qū)上定義共同的安全策略，使功能安全和信息安全同樣適用該策略。

在統(tǒng)一的事件上考慮引入功能安全與信息安全融合的分析方法，在所獲得數(shù)據(jù)的輸出和輸出結(jié)果可以進(jìn)行時(shí)間維度、關(guān)鍵業(yè)務(wù)屬性維度、運(yùn)行操作的同等分析維度來進(jìn)行工銀故障處理，同時(shí)要考慮到信息安全的策略不能引入新的故障，從而給業(yè)務(wù)帶來更大的危害。

設(shè)備分離以及多樣性這些特性對功能安全和信息安全能力都具有提升作用；

4 工業(yè)控制系統(tǒng)上的融合

工業(yè)控制系統(tǒng)信息安全和功能安全在工業(yè)控制系統(tǒng)運(yùn)行過程中相互之間的連接和作用越來越大，對于業(yè)務(wù)保障的共性需求也日益凸顯[6]。首先二者研究的對象都是針對同一個(gè)工業(yè)控制系統(tǒng)，研究的目的都是為了保障工業(yè)控制系統(tǒng)的安全。工業(yè)控制系統(tǒng)功能安全研究在進(jìn)行風(fēng)險(xiǎn)評估時(shí)不應(yīng)忽略由于信息安全事件導(dǎo)致相關(guān)事故的因素。工業(yè)控制系統(tǒng)信息安全研究在對系統(tǒng)實(shí)施保護(hù)方案時(shí)應(yīng)考慮是否對既有的安全相關(guān)系統(tǒng)在實(shí)時(shí)性、可靠性和安全性等方面造成了影響。因此如何將二者有機(jī)結(jié)合是一個(gè)嚴(yán)峻的挑戰(zhàn)。

4.1 基本原則

工業(yè)控制系統(tǒng)功能安全在進(jìn)行安全設(shè)計(jì)時(shí)通?？紤]采用冗余、故障安全設(shè)計(jì)原則等來降低風(fēng)險(xiǎn)。信息安全的設(shè)計(jì)需要基于相關(guān)安全的等級來定義區(qū)域隔離和訪問控制的強(qiáng)度，不能隨意旁路等措施來提升系統(tǒng)的安全性降低由于攻擊所帶來的安全風(fēng)險(xiǎn)。因此功能安全和信息安全在進(jìn)行安全設(shè)計(jì)時(shí)，一方面功能安全要考慮安全設(shè)計(jì)融入信息安全的措施時(shí)不能有被旁路的風(fēng)險(xiǎn)，另一方面信息安全要考慮其自身功能安全特性的失效由于業(yè)與業(yè)務(wù)更加貼合，是否會給系統(tǒng)造成可用性或安全性的風(fēng)險(xiǎn)。

在工控系統(tǒng)上針對信息安全和功能安全的處理要遵循一些基本原則，主要包括如下幾個(gè)方面：

（1）信息安全策略的增加要是否與業(yè)務(wù)本體的特征進(jìn)行結(jié)合，相關(guān)的策略的添加要以不影響業(yè)務(wù)運(yùn)行為前提，不使引入的策略導(dǎo)致新的失效性風(fēng)險(xiǎn)。

（2）信息安全特性的實(shí)現(xiàn)不應(yīng)對特定工業(yè)控制系統(tǒng)所支持的性能（包括響應(yīng)時(shí)間）、有效性、可靠性或者安全功能相關(guān)的操作產(chǎn)生有害影響，要考慮重要功能安全的特征在信息安全失效風(fēng)險(xiǎn)上的分析和應(yīng)對措施。

（3）不能由于引入信息安全策略而增大功能安全重要功能在處理事件時(shí)的處理時(shí)間。

對同一控制系統(tǒng)進(jìn)行安全保障時(shí)，功能安全和信息安全的結(jié)合和協(xié)同需要基于全生命周期來進(jìn)行考慮和分析，應(yīng)對各個(gè)生命周期中的各階段進(jìn)行一定條件的約束，需要從如下幾個(gè)方面來考慮：

（1）要在需采集時(shí)，功能安全就要考慮對于信息安全在哪里、做什么進(jìn)行分析；

（2）在設(shè)計(jì)階段要充分考慮兩者的協(xié)調(diào)，保障功能安全的實(shí)現(xiàn)的情況下，信息安全的保證能力也能得到充分的體現(xiàn)。

（3）驗(yàn)證階段需要針對功能安全的代碼從信息安全的角度進(jìn)行考慮，避免在功能安全設(shè)計(jì)時(shí)候引入了信息安全的風(fēng)險(xiǎn)，避免由于信息安全隱患所導(dǎo)致的功能的安全運(yùn)行風(fēng)險(xiǎn)。

（4）信息安全在考慮工控系統(tǒng)和功能安全系統(tǒng)的安全性所必要采取的技術(shù)手段，如滲透測試等手段，需要在可控的實(shí)驗(yàn)環(huán)境中進(jìn)行驗(yàn)證。

信息安全的配置變更等需要充分考慮到對功能安全的影響，避免由于信息安全的策略調(diào)整給功能安全帶來運(yùn)行的隱患，同時(shí)在信息安全在發(fā)現(xiàn)功能的安全隱患時(shí)，也要及時(shí)給功能安全同步，提升功能安全系統(tǒng)自身抵御信息安全威脅的能力。

4.2 基于風(fēng)險(xiǎn)管理思想的融合

工業(yè)控制系統(tǒng)功能安全研究是從消除風(fēng)險(xiǎn)保障業(yè)務(wù)為出點(diǎn)，將工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)控制變得可控。功能安全考慮了從需求、設(shè)計(jì)、實(shí)現(xiàn)、測試確認(rèn)、運(yùn)行維護(hù)等一系列生命周期階段都融入了風(fēng)險(xiǎn)管理的思想，在每一階段要確認(rèn)可識別的風(fēng)險(xiǎn)能夠被有效控制。本文融合在工業(yè)控制系統(tǒng)信息安全研究中采用了風(fēng)險(xiǎn)管理思想，在風(fēng)險(xiǎn)可控的原則上功能安全與信息安全要高度一致，因?yàn)槎哐芯酷槍ν还I(yè)控制系統(tǒng)對象，其針對不同原因?qū)е碌南嗤踩录斐傻暮蠊麌?yán)重程度和風(fēng)險(xiǎn)可接受程度應(yīng)是一致的，不論是信息安全事件還是功能安全事件導(dǎo)致的相關(guān)事故，其風(fēng)險(xiǎn)可控程度應(yīng)是統(tǒng)一的。另一方面在危害（或脆弱性）識別階段應(yīng)做到二者有機(jī)的結(jié)合，功能安全強(qiáng)調(diào)系統(tǒng)自身存在的脆弱性導(dǎo)致的系統(tǒng)失效，而信息安全強(qiáng)調(diào)威脅主體對客體的侵害程度，不同的侵害程度所帶來的影響不同，功能安全與信息安全都關(guān)注系統(tǒng)自身的脆弱性，一個(gè)是系統(tǒng)脆弱性被外部的威脅所利用，另一個(gè)是由于系統(tǒng)自身的健壯性不足導(dǎo)致在運(yùn)行過程中的系統(tǒng)失效。因此在危害（或脆弱性）的識別過程中，需要盡量把功能安全和信息安全進(jìn)行結(jié)合。

如圖2所示：需要考慮到功能安全數(shù)據(jù)與信息安全的融合，需要通過融合分析器如圖3-1所示：對于功能安全監(jiān)測到的一些數(shù)據(jù)異常報(bào)警時(shí)與信息安全裝置之間建立信息的相互通報(bào)和融合機(jī)制[7]，在時(shí)間維度、運(yùn)行異常維度、網(wǎng)絡(luò)通信異常維度對相關(guān)的數(shù)據(jù)值進(jìn)行擬合數(shù)據(jù)分析，通過對漏洞業(yè)務(wù)影響分析、攻擊與業(yè)務(wù)風(fēng)險(xiǎn)融合的分析，同時(shí)融合分析器給功能安全與網(wǎng)絡(luò)提供有效提升業(yè)務(wù)判斷的一些基礎(chǔ)數(shù)據(jù)，信息安全提供影響到功能安全的要素，功能安全提供影響到信息安全的要素，綜合來提升兩個(gè)系統(tǒng)本地在判決上的可靠性。

5 結(jié)語

圖2 兩安融合分析器結(jié)構(gòu)

工業(yè)控制系統(tǒng)作為關(guān)系到國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施的重要支柱，其安全問題一直備受關(guān)注。而工業(yè)控制系統(tǒng)功能安全和工業(yè)控制信息安全作為工業(yè)控制系統(tǒng)安全的兩個(gè)重要部分在發(fā)展上并不是孤立毫不相關(guān)的。信息安全與功能安全在物理世界映射到虛擬世界[8]，通過虛擬世界為物理世界提供保障，需要充分考慮信息安全在工業(yè)業(yè)務(wù)運(yùn)行中對功能安全的保障，信息安全的技術(shù)手段在采取動作時(shí)需要充分考慮對業(yè)務(wù)的影響及過程中與功能安全之間的相互作用。兩安融合目前還處于一個(gè)待發(fā)展的階段，各種技術(shù)的融合還不是很成熟，在具體的方法應(yīng)用和手段上還需要有更多的探索和實(shí)踐。