工业控制系统信息安全与功能安全结合之探讨
发布时间:
2017-07-06
来源:
作者:
中国信息安全测评中心/邸丽清 谢丰
访问量:
52
一、工业控制系统安全问题概述
随着工业控制系统的发展演变,其安全问题也在不断延伸。早期的工业控制系统由于安全相关系统的功能失效接连发生安全性事故(如化工厂爆炸、毒气泄漏等)引发了人们的关注。功能安全(Functional Safety)成为了研究热点。众所周知,安全是一个相对的概念,现实中不存在绝对的安全。IEC 61508标准将安全的概念定义为“不存在不可接受的风险”,将风险的定义为“出现伤害的概率及该伤害严重性的组合”,因此为了使得所有风险都降低到可接受的范围,也即达到相对安全的状态,安全工作一种是采取降低伤害的概率,另一种是降低伤害的严重程度。功能安全是安全相关系统有效地执行其安全功能的能力体现,安全功能正确执行的概率越高,其发生伤害的概率就越低。功能安全依据在规定的时间内、规定的条件下安全相关系统成功执行规定的安全功能的概率,将功能安全完整性分为了四个等级SIL1〜SIL4。在实际应用中,依据风险评估确定安全相关系统的安全完整性等级。功能安全完整性等级由硬件安全完整性和系统安全完整性两个部分组成。其中硬件安全完整性等级包含系统硬件随机失效故障,该部分是可定量计算的,系统安全完整性等级包含系统自身管理、安全开发等技术措施的实施。该部分是不可定量计算的,可通过不同的技术措施强度来区分等级。功能安全研究安全相关系统失效的原因仅局限在系统自身引发的问题,如系统硬件随机失效、系统设计不合理、软件自身脆弱性或系统内操作人员的误操作等。功能安全研究的重点也是利用冗余、安全设计原则、安全开发流程等提高系统安全功能正确执行的能力。目前未考虑系统外部因素的影响(如人为恶意攻击等)。而另一方面,功能安全仅考虑对健康、安全或环境(HSE)造成影响的安全性事故。对于影响系统可用性的事件不属于功能安全研究的范畴,有时候安全性和可用性存在着一定的冲突,如有时要确保安全的前提是需要紧急停车等,因此在考虑时需要综合考虑安全性和可用性。
随着工业化和信息化的深度融合,工业控制系统从早期相对封闭和独立的状态逐渐向开放化状态转化。大部分系统采用基于TCP/IP协议的以太网贯穿了控制系统的各个层次,将孤立的现场设备和设备工程师以及企业管理人员均作为一个网络节点有机连接在一起,实现现场设备层到管理层的直接通信。工业控制系统的开放化以及系统本身承担的重要使命,使其逐渐成为了敌对势力和恐怖组织进行网络攻击的对象,“震网”病毒、“Duqu”病毒、“火焰”病毒以及乌克兰电网遭受的木马攻击等事件都足以说明工业控制系统面临的信息安全(Information Security)威胁正日益升级。工业控制系统与传统信息系统相比有其独特的特点,如实时性、可用性和安全性要求都较高,且在实施信息安全防护方案时要考虑不能与既有的安全方案冲突等,因此直接照搬传统信息系统防护方案到工业控制系统可能会存在问题,工业控制系统信息安全研究成为了当前的热点。目前工控信息安全标准及相关安全产品的推出都还处于起步阶段。工控信息安全研究的范畴是关注系统外威胁主体(如黑客、敌对势力、恐怖组织等)利用系统自身的脆弱性对系统信息的可用性、完整性和机密性造成破坏,进而造成系统可用性丧失、系统敏感信息泄露或HSE事故等安全事件。工控信息安全与功能安全显著不同点在于造成系统失效的原因一个属于内因(功能安全)一个属于外因(信息安全)。随着工业控制系统开放化,安全相关系统的安全功能失效也可能会由威胁主体通过网络攻击实现,因此工业控制系统的功能安全和信息安全在一定程度上并不是独立的,需要在实施时考虑二者之间的关联并做一定的结合。
除了功能安全和信息安全外,工业控制系统还面临着另外一类威胁,即自然环境的威胁(如地震、洪水、雷雨等)和物理环境的威胁(如电磁兼容、振动、温湿度、粉尘等),大部分工业控制系统所部署的环境相对比较恶劣,而环境的因素也可能间接地导致系统功能失效,因此物理安全(或环境安全)也是工业控制系统安全必须考虑的一部分。由于物理安全也可能会间接地影响到安全相关系统的功能正确执行,因此在功能安全评估过程中,物理安全也是必须要考虑的部分,这一点在现有的评估中已相对成熟。而相对于信息安全,同样物理安全也可能会导致系统信息可用性的丧失等,因此传统信息系统的风险评估一般也会同时考虑物理安全因素。因此物理安全和功能安全与信息安全也都是既有区别又有联系的。
从威胁源和威胁后果的特点分析,功能安全、物理安全和信息安全的属性对比如表1所示。
工业控制系统信息安全、功能安全和物理安全三个安全属性缺一不可,只有将三个安全属性有机的结合在一起才能全面保障工业控制系统的安全。如图1所示。
二、工业控制系统信息安全和功能安全的结合
工业控制系统信息安全和功能安全并不是孤立毫无联系的,首先二者研究的对象都是针对同一个工业控制系统,研究的目的都是为了保障工业控制系统的安全。工业控制系统功能安全研究在进行风险评估时不应忽略由于信息安全事件导致HSE相关事故的因素。工业控制系统信息安全研究在对系统实施保护方案时应考虑是否对既有的安全相关系统在实时性、可靠性和安全性等方面造成了影响。因此如何将二者有机结合是一个巨大的挑战。国际标准化组织IEC/TC65专门成立了一个功能安全和信息安全协调的工作组(AHG1)。
1.基于风险管理思想的结合
工业控制系统功能安全研究是一个将工业控制系统安全风险控制在一个可接受范围内的过程。功能安全相关系统从需求、设计、实现、测试确认、运行维护等一系列生命周期阶段都融入了风险管理的思想,在每一阶段都确认可识别的风险被控制。建议在工业控制系统信息安全研究采用风险管理思想时,一方面在风险可接受原则上要与功能安全统一,因为二者研究针对同一工业控制系统对象,其针对不同原因导致的相同安全事件造成的后果严重程度和风险可接受程度应是一致的。如不论是信息安全事件还是功能安全事件导致的HSE相关事故,其风险可接受程度应是一致的。另一方面在危害(或脆弱性)识别阶段应做到二者有机的结合,功能安全强调系统自身存在的脆弱性导致的系统失效,而信息安全强调威胁主体利用系统自身存在的脆弱性导致的系统失效,二者都关注系统自身的脆弱性,一个是系统脆弱性易于被人利用,另一个是由于系统自身的不鲁棒性在运行过程中导致的系统失效。因此在危害(或脆弱性)的识别过程中,应该统筹考虑两方面的因素,尽量做到功能安全和信息安全的结合。
2.基于设计原则的结合
工业控制系统功能安全在进行安全设计时通常考虑采用冗余、故障安全设计原则等来降低风险。信息安全设计原则通常采用域分离、不可旁路特性等来降低被攻击后的损失。因此功能安全和信息安全在进行安全设计时一方面功能安全要考虑安全设计原则是否存在被攻击者旁路的风险,另一方面信息安全要考虑其自身功能安全特性的失效是否会给系统造成可用性或安全性的风险。
3.基于安全开发生命周期的结合
工业控制系统功能安全完整性等级中的系统安全完整性是为了降低系统失效(系统硬件随机故障除外)而设计的一些技术和管理措施,它通过逐级加强的技术和管理措施来区分系统安全功能正确实现的能力。而信息安全功能措施的正确实施能力也是通过系统完整性要求(或安全保障要求)来保证的,如标准GB/T 18336.3部分的要求或IEC 62443 4-1部分的要求。这部分的理念和功能安全是一致的,因此在制定二者的系统完整性要求(或安全保障要求)时应互相借鉴其各自的优势。
三、结语
工业控制系统作为关系到国计民生的关键基础设施的重要支柱,其安全问题一直备受关注。而工业控制系统功能安全和工业控制信息安全作为工业控制系统安全的两个重要部分在发展上并不是孤立毫不相关的。本文从工业控制系统的安全问题出发,重点讨论了工业控制系统功能安全和工业控制系统信息安全两部分相结合的可能性,为进一步保障工业控制系统安全的研究扩展了思路。
(本文刊登于《中国信息安全》)
相关资讯
