工业控制系统功能安全与信息安全融合初探

王晓鹏

（绿盟科技集团股份有限公司，北京 100089）

0 引言

伴随着工业自动化到智能化的发展，越来越多的IT技术应用到工业自动化系统中，提升工业自动化系统的对于控制过程的处理能力。伴随而来的是相关的安全隐患也越发突出，层出不群的安全漏洞，各种针对工业系统的攻击行为已经对工业系统的运行安全带来了极大的挑战。对于工业系统来说，对于安全的认识也从重视功能安全到开始重视信息安全，从而两者并重来融合构建安全能力。功能安全也是从风险入手通过对风险的分析来降低风险的影响从而达到风险的可控，而信息安全从安全的保密性、完整性和可用性的基本三要素来对安全的风险进行管理[1]，其中对于风险的风险是整个安全分析中关键的步骤的，对于安全的可采取的措施多是基于对安全风险的分析。从功能安全与信息安全所达到的目标看，所采用的技术手段都是为了减少由于系统自身固有的安全风险及外部不同要因对运行的逻辑部件、物理运行系统所带来的影响。但是由于两者在面对的对象和所处理的过程不同并且在处理过程中存在一定矛盾等，如如功能安全通信要求实时性，而信息安全为了机密性要求可能需要大量的计算时间而影响实时性。协调的基本要求以便更好的融合功能安全和信息安全的相互作用，避免两者共存而产生的潜在不良影响。目前国内和国外的主要研究机构和企业都在开展功能安全与信息安全融合的研究，在融合安全的业务融合的安全风险分析及融合决策机制上都在进行相关的探索。

1 功能安全与信息安全的概念

1.1 功能安全与信息安全基本概念

工业控制系统有功能安全（Functional Safety）和信息安全（Information Security）两类安全属性。功能安全针对前者针对存在的危险和伤害，利用冗余和诊断等技术避免设备因为失效带来内部和外部的影响；信息安全针对系统信息的完整性、保密性来展开相关的研究。功能安全的概念比较早在工业领域中提出，并且经过相关的归纳和总结终由IEC以标准的形式来固化，IEC 61508提出“不存在不可接受的风险”。功能安全的系统已经在行业的多个系统中得到应用，如列控的联锁系统、流程工业的安全仪表系统，电力的紧急停止系统、汽车的安全制动系统等。

功能安全的特征[2]主要是指系统故障导致人或引起的环境次生灾害；信息安全的特征是由于人有意通过恶意的行为导致业务系统发生故障或者损害。针对系统的恶意攻击行为会带来系统的可用性降低或者系统丧失可用性或者引起其他的环境的次生灾害。功能安全不管系统是在正常还是失效的情况下都要保障系统处于安全状态，信息安全以保障机密性、完整性、可用性等为目标，需要考虑网络安全、主机安全、数据库安全、应用安全等多个方面。从信息安全的攻击同时也可以以功能安全为目标会导致功能安全的可用性丧失或者导致功能出现误判导致物理设备发生非正常逻辑决策所产生的动作。在应用信息安全的防御措施时，尤其是在已经投运的具备功能安全系统业务系统时，可能产生一些冲突和矛盾。

我们在考虑功能安全与信息安全关联时，需要考虑两者既有区别又有联系。

两者主要的差别与联系（见表1）。

1.2 信息安全之于功能安全

随着智能制造深入应用，新型的信息化技术开始在工业领域中得到应用。由于信息安全问题所导致的业务或者导致安全仪表出现异常的问题，已经在相关的发生的安全事件中被验证，如导致乌克兰电力断电的blackenegy攻击，Triconnex的攻击试图引发沙特阿拉伯石油工厂的爆炸 。在控制层面除了控制器具备功能安全属性外，更多的流程化工业中多采用单独的安全仪表系统提供保障能力，功能安全在保障业务失效风险中的动作可以预防风险的进一步扩展和升级，在发生确定性的动作时或者功能安全受到网络攻击行为的影响无法发挥正常动作行为时，会导致功能安全系统出现一些异常的动作[5]，从而导致系统运行发生问题。

表1

对于功能安全来说，需要通过信息安全的手段来保障功能的本体不受到外部攻击的影响，不会由于信息安全的影响导致系统丧失可用性。另外，功能安全与信息安全之间需要通过确定范围的信息的共享来提升相互基于自身安全定义的风险再确认。当信息安全补丁要应用到功能安全系统时，补丁需要经过充分的验证，另外，在采用应急措施时要充分考虑到对信息安全策略的影响。

2 国内外研究进展

针对企业内部而言，工业安全主要包括设备安全、网络安全、数据安全、业务安全等几个层面。现有工业安全多从信息安全角度出发，没有与业务系统结合，随着工业智能化的发展，物理信息融合系统在工业领域中得到了一定规模的应用，从未来发展趋势看，功能安全与信息安全相结合，以保证业务系统的可用性为目标和前提，考虑功能安全在预防系统失效的作为为基础，结合信息安全的保证能力，来提升业务应对各类风险的处置能力。并且通过迭代优化设计，逐步消除冲突实现工业系统的两安融合的难题，降低给业务系统所带来的信息安全风险。从目前的发展情况看，国内外已经开始从标准制定、建模方法、体系结构、任务调度等角度开展相关研究工作。从目前功能安全的发展看，在国内外经过了多年的研究、验证和政策法规要求后已经形成了规模化应用，并在重要的业务中为业务的稳定运行提供了可依靠的安全风险处理机制，在有效避免重大安全事件的发生方面也起到了重要的支撑作用。在工业信息安全领域在经过了初步的探索阶段后，已经开始向规模化应用发展方向前行，目前在防御、监测和检测等领域都出现了相关的技术和产品来支撑应用。从目前信息安全的问题对功能安全看，网络扰动带来控制设备失效，进而引发安全仪表系统动作，大大增加动作频率，带来高的业务中断，对安全功能提出更高要求，如何降低网络安全风险，如何在体系上融合减少由于网络安全风险对功能安全所带来的安全影响，如何从管理机制上避免相关影响是目前国内外在探索这个领域一些重要的研究方向。

3 体系层面上的融合

体系层面是指从功能安全和信息安全两个标准体系上来考虑问题，选取既适用于功能安全的设计准则和要求有可以有效的应用于信息安全的特征[3]，如下图所示：

图1 共性安全要素

这些设计在没有明确考虑信息安全威胁与攻击的前提下，在不损害降低功能安全能力的前提下，需要考虑采用有效的措施来应对信息安全的威胁。

在体系层面上针对信息安全和功能安全的处理要遵循一些基本原则，主要包括如下几个方面：

（1）信息安全不能影响功能安全的目标，应为功能的实现提供保障。不应带来多样性的违背或者导致工业控制系统体系纵深防御有效性的丧失；

（2）对于与现有系统存在冲突的信息安全相关措施需要进行标记和基于需求的评估。信息安全与功能安全系统之间的相关融合需要一个过程来支撑；

（3）信息安全特性的实现不应该对性能（包括响应时间）、有效性、可靠性或者功能安全相关的操作产生影响；

（4）需要对一次攻击行为对业务的影响及功能安全在避免业务失效性风险中所带来的影响代价来考量信息安全措施与功能安全的措施之间权重的合理分配；

（5）对于由于功能安全初始设计的特性和属性（例如系统独立），再考安全隐患需要信息安全的策略来保证时，需要必须采用有效的安全检查手段，以保证策略的安全和有效。考虑的设计基本要求要在体系设计时，充分考虑一些要求和实践的准则来提升功能安全与信息安全之间的桥接能力[4]。

主要包括如下的内容：

信息安全对于安全区域的定义是基于安全分级的方式来实现的，对于具备相似属性的控制系统可以在安全区上定义共同的安全策略，使功能安全和信息安全同样适用该策略。

在统一的事件上考虑引入功能安全与信息安全融合的分析方法，在所获得数据的输出和输出结果可以进行时间维度、关键业务属性维度、运行操作的同等分析维度来进行工银故障处理，同时要考虑到信息安全的策略不能引入新的故障，从而给业务带来更大的危害。

设备分离以及多样性这些特性对功能安全和信息安全能力都具有提升作用；

4 工业控制系统上的融合

工业控制系统信息安全和功能安全在工业控制系统运行过程中相互之间的连接和作用越来越大，对于业务保障的共性需求也日益凸显[6]。首先二者研究的对象都是针对同一个工业控制系统，研究的目的都是为了保障工业控制系统的安全。工业控制系统功能安全研究在进行风险评估时不应忽略由于信息安全事件导致相关事故的因素。工业控制系统信息安全研究在对系统实施保护方案时应考虑是否对既有的安全相关系统在实时性、可靠性和安全性等方面造成了影响。因此如何将二者有机结合是一个严峻的挑战。

4.1 基本原则

工业控制系统功能安全在进行安全设计时通常考虑采用冗余、故障安全设计原则等来降低风险。信息安全的设计需要基于相关安全的等级来定义区域隔离和访问控制的强度，不能随意旁路等措施来提升系统的安全性降低由于攻击所带来的安全风险。因此功能安全和信息安全在进行安全设计时，一方面功能安全要考虑安全设计融入信息安全的措施时不能有被旁路的风险，另一方面信息安全要考虑其自身功能安全特性的失效由于业与业务更加贴合，是否会给系统造成可用性或安全性的风险。

在工控系统上针对信息安全和功能安全的处理要遵循一些基本原则，主要包括如下几个方面：

（1）信息安全策略的增加要是否与业务本体的特征进行结合，相关的策略的添加要以不影响业务运行为前提，不使引入的策略导致新的失效性风险。

（2）信息安全特性的实现不应对特定工业控制系统所支持的性能（包括响应时间）、有效性、可靠性或者安全功能相关的操作产生有害影响，要考虑重要功能安全的特征在信息安全失效风险上的分析和应对措施。

（3）不能由于引入信息安全策略而增大功能安全重要功能在处理事件时的处理时间。

对同一控制系统进行安全保障时，功能安全和信息安全的结合和协同需要基于全生命周期来进行考虑和分析，应对各个生命周期中的各阶段进行一定条件的约束，需要从如下几个方面来考虑：

（1）要在需采集时，功能安全就要考虑对于信息安全在哪里、做什么进行分析；

（2）在设计阶段要充分考虑两者的协调，保障功能安全的实现的情况下，信息安全的保证能力也能得到充分的体现。

（3）验证阶段需要针对功能安全的代码从信息安全的角度进行考虑，避免在功能安全设计时候引入了信息安全的风险，避免由于信息安全隐患所导致的功能的安全运行风险。

（4）信息安全在考虑工控系统和功能安全系统的安全性所必要采取的技术手段，如渗透测试等手段，需要在可控的实验环境中进行验证。

信息安全的配置变更等需要充分考虑到对功能安全的影响，避免由于信息安全的策略调整给功能安全带来运行的隐患，同时在信息安全在发现功能的安全隐患时，也要及时给功能安全同步，提升功能安全系统自身抵御信息安全威胁的能力。

4.2 基于风险管理思想的融合

工业控制系统功能安全研究是从消除风险保障业务为出点，将工业控制系统安全风险控制变得可控。功能安全考虑了从需求、设计、实现、测试确认、运行维护等一系列生命周期阶段都融入了风险管理的思想，在每一阶段要确认可识别的风险能够被有效控制。本文融合在工业控制系统信息安全研究中采用了风险管理思想，在风险可控的原则上功能安全与信息安全要高度一致，因为二者研究针对同一工业控制系统对象，其针对不同原因导致的相同安全事件造成的后果严重程度和风险可接受程度应是一致的，不论是信息安全事件还是功能安全事件导致的相关事故，其风险可控程度应是统一的。另一方面在危害（或脆弱性）识别阶段应做到二者有机的结合，功能安全强调系统自身存在的脆弱性导致的系统失效，而信息安全强调威胁主体对客体的侵害程度，不同的侵害程度所带来的影响不同，功能安全与信息安全都关注系统自身的脆弱性，一个是系统脆弱性被外部的威胁所利用，另一个是由于系统自身的健壮性不足导致在运行过程中的系统失效。因此在危害（或脆弱性）的识别过程中，需要尽量把功能安全和信息安全进行结合。

如图2所示：需要考虑到功能安全数据与信息安全的融合，需要通过融合分析器如图3-1所示：对于功能安全监测到的一些数据异常报警时与信息安全装置之间建立信息的相互通报和融合机制[7]，在时间维度、运行异常维度、网络通信异常维度对相关的数据值进行拟合数据分析，通过对漏洞业务影响分析、攻击与业务风险融合的分析，同时融合分析器给功能安全与网络提供有效提升业务判断的一些基础数据，信息安全提供影响到功能安全的要素，功能安全提供影响到信息安全的要素，综合来提升两个系统本地在判决上的可靠性。

5 结语

图2 两安融合分析器结构

工业控制系统作为关系到国计民生的关键基础设施的重要支柱，其安全问题一直备受关注。而工业控制系统功能安全和工业控制信息安全作为工业控制系统安全的两个重要部分在发展上并不是孤立毫不相关的。信息安全与功能安全在物理世界映射到虚拟世界[8]，通过虚拟世界为物理世界提供保障，需要充分考虑信息安全在工业业务运行中对功能安全的保障，信息安全的技术手段在采取动作时需要充分考虑对业务的影响及过程中与功能安全之间的相互作用。两安融合目前还处于一个待发展的阶段，各种技术的融合还不是很成熟，在具体的方法应用和手段上还需要有更多的探索和实践。