1　功能安全（Safety）、RAM（可靠性、可用性、可維修性）和信息安全（Security）

    1.1　工業(yè)控制系統所面臨的風(fēng)險

    （1）安全性事故（HSE相關(guān)事故）

    發(fā)生人員傷亡、環(huán)境破壞及系統損失等危害事件的事故，例如化工廠(chǎng)爆炸、毒氣泄漏、火車(chē)相撞等。

    （2）系統可用性降低

    可導致系統可用性降低或喪失，如地鐵或火車(chē)運營(yíng)晚點(diǎn)、工廠(chǎng)停工等風(fēng)險。此類(lèi)事故后果可能不是非常嚴重，但是如果頻繁發(fā)生，風(fēng)險也是不可接受的。

    （3）信息泄露

    隨著(zhù)工控系統網(wǎng)絡(luò )化、開(kāi)放性不斷擴大引發(fā)了第三類(lèi)風(fēng)險，即由于信息泄露引發(fā)的安全問(wèn)題，如生產(chǎn)工藝數據被竊取等。

    1.2　功能安全（Safety）、RAM和信息安全（Security）三者關(guān)系（如圖1所示）

    （1）功能安全、RAM和信息安全三者之間的關(guān)系

    如圖1所示，功能安全只關(guān)注HSE相關(guān)的安全事故，重點(diǎn)涉及軟件、硬件方面系統自身的脆弱性引發(fā)的安全性事故。

圖1 功能安全、RAM和信息安全三者之間的關(guān)系

    系統可用性屬于RAM的范疇，是系統可用性和可靠性方面的因素。安全性與可靠性既有關(guān)系又有區別，如果發(fā)生安全性事故，同時(shí)必定會(huì )引發(fā)系統可用性的降低。功能安全和RAM是之前大家討論比較多的既有工控安全的范疇。

    隨著(zhù)信息化與工業(yè)化的深度融合，有了網(wǎng)絡(luò )攻擊的特點(diǎn)，引發(fā)了信息安全問(wèn)題。信息安全會(huì )導致信息的完整性和可用性、保密性等方面的問(wèn)題。完整性被破壞可能也會(huì )間接地引發(fā)與安全相關(guān)的工控惡性事故。

    信息安全同功能安全的區別在于，功能安全更注重自身脆弱性導致的事故，而信息安全體現在外部實(shí)體惡意利用系統本身的脆弱性進(jìn)行攻擊而導致的事故。同樣，系統可用性也是如此，之前RAM研究的范圍是自身的脆弱性，比如硬件或自身結構引起的隨機故障。信息安全增加了外部實(shí)體的惡意攻擊，比如導致拒絕服務(wù)攻擊之類(lèi)的，或者利用漏洞導致系統頻繁死機，以及信息泄露。

    工控安全的概念正在逐步擴大，之前討論安全性事故、可用性事故，隨著(zhù)信息安全的引入，工控系統安全的概念更加廣泛。功能安全、可用性、信息安全，三者并不是完全獨立的，既有關(guān)系，又有區別，只有共同達到安全可控，才能保證整個(gè)工控系統的安全。

    （2）Safety（功能安全）、RAM和Security（信息安全）的威脅特點(diǎn)

    如表1所示，從Safety、RAM和Security三者之間的威脅特點(diǎn)來(lái)看，功能安全和RAM強調的是系統自身的、偶然的威脅，比如硬件隨機失效或者人為的誤操作，系統設計和實(shí)現的脆弱性或者軟件、硬件實(shí)現的脆弱性，系統級可能有配置和操作脆弱性等，以及周?chē)h(huán)境的影響。信息安全強調的是外界實(shí)體利用系統脆弱性導致的威脅。從威脅的后果來(lái)看，對于HSE相關(guān)事故和系統可用性方面的風(fēng)險之前已經(jīng)考慮到了，信息安全的引入不僅會(huì )導致這兩方面的事故，還新增加了一個(gè)信息泄露方面的事件。信息泄露對于工控安全來(lái)說(shuō)，風(fēng)險是否可接受要根據各行業(yè)自身的特點(diǎn)來(lái)定。

表1 Safety、RAM和Security威脅特點(diǎn)   

    2　工控系統和產(chǎn)品功能安全評估現狀

    對于工控系統來(lái)說(shuō)，功能安全是各行各業(yè)都會(huì )考慮的問(wèn)題。功能安全標準最初的一個(gè)最基本標準是IEC 61508標準。由于是基本性的標準，沒(méi)有辦法覆蓋各個(gè)行業(yè)，因此基于這個(gè)標準又衍生出了各個(gè)行業(yè)自身的標準，比如流程性行業(yè)的IEC 61511標準、軌道交通領(lǐng)域的行業(yè)標準EN 50126/128/129。衍生出的標準雖然適合不同行業(yè)，但基本思想是相通的。

    2.1　風(fēng)險定義

    2.1.1　什么是風(fēng)險（Risk）

    （1） 出現傷害的概率及該傷害嚴重性的組合（GB/T 20438.4）。

    （2）一個(gè)給定的威脅，利用一項資產(chǎn)或多項資產(chǎn)的脆弱性，對組織造成損害的潛能?？赏ㄟ^(guò)事件的概率及其后果進(jìn)行度量（GB/T25069）。

    2.1.2　風(fēng)險的兩個(gè)要素

    風(fēng)險（Risk）=可能性（危害事件）×后果嚴重程度（傷害或影響）

    2.2　風(fēng)險評估

    （1）風(fēng)險矩陣

    常見(jiàn)的風(fēng)險評估一般都會(huì )用到風(fēng)險矩陣。如表2所示，一方面需要考慮可能性，另一方面還要考慮危害后果。

表2 風(fēng)險矩陣

    （2）風(fēng)險評估準則

    在軌道交通領(lǐng)域，風(fēng)險評估采用較多的是ALARP準則和GAMAB準則。

    安全是相對的，不存在絕對的安全。從風(fēng)險可控的角度來(lái)看，付出的成本和獲得的收益要相權衡，并不需要無(wú)盡止地付出成本，降低風(fēng)險。

    2.3　風(fēng)險評估與安全等級關(guān)系

    （1）風(fēng)險評估和安全等級分配

    在進(jìn)行了實(shí)際的風(fēng)險評估之后，如果風(fēng)險不可接受，則需要提出一些安全防護措施來(lái)降低風(fēng)險到允許的程度。降低風(fēng)險的措施一方面從危害事件的可能性出發(fā)，另一方面從危害后的嚴重程度來(lái)降低。為了更方便地衡量和指導企業(yè)實(shí)施安全防護措施，對應安全措施提出了安全等級概念。如圖2所示。

   
圖2 風(fēng)險評估和安全等級分配示意圖

    2.4　功能安全完整性等級（如圖3所示）

    （1）安全完整性等級

    依據在規定的時(shí)間內、規定的條件下，安全相關(guān)系統成功執行規定的安全功能的概率，將功能安全完整性分為四個(gè)等級：SIL1～SIL4。

圖3 功能安全完整性等級示意圖

   （2）安全完整性等級包括兩方面因素

    硬件安全完整性：一般有硬件隨機失效，硬件的隨機失效率是可以定量計算的。

    系統安全完整性：主要是考慮從整個(gè)系統的實(shí)現、管理方面，包括整個(gè)生命周期，從需求到設計，到軟硬件的實(shí)現，到安裝，到運維。功能安全主要考慮由系統自身脆弱性引起的安全性事故，不考慮由威脅主體惡意利用脆弱性導致的危害。信息安全相對于功能安全的安全性事故來(lái)說(shuō)，又多了一個(gè)觸發(fā)的原因。因此在考慮整個(gè)系統的風(fēng)險時(shí)，應同時(shí)考慮功能安全和信息安全兩方面的因素影響。

    2.5　工控系統功能安全風(fēng)險管理流程

    （1）風(fēng)險分析和安全完整性等級分配

    安全防護措施不是一次性完成的，在系統初步建設時(shí)，會(huì )識別威脅，評估風(fēng)險，識別安全措施對應的安全完整性等級。

    （2）風(fēng)險管理是一個(gè)持續的貫穿整個(gè)安全生命周期的活動(dòng)。

    （3）安全需求和安全完整性等級可以從系統到子系統再到產(chǎn)品部件級的逐步分配細化，形成一個(gè)完整的系統化體系。

    針對風(fēng)險的評估，也不是一次性把風(fēng)險評估完、定義完系統的完整性。如圖4所示，PHA，預先風(fēng)險性分析，即系統初步的危害性分析之后，再做系統的接口分析或系統級的功能分析，然后再到子系統級還會(huì )做子系統級的一些危害性分析。子系統可能還會(huì )向下分到模塊級，不斷補充安全需求。整個(gè)流程完成之后，再從測試、驗證和確認的角度去確保這些安全功能的正確實(shí)現。

   圖4 工控功能安全風(fēng)險管理流程

    2.6　功能安全相關(guān)系統屬性

    2.6.1　功能安全相關(guān)系統具備的兩方面因素

    （1）安全需求的充分性。通過(guò)持續風(fēng)險分析過(guò)程來(lái)充分識別可控制、消除或最小化威脅的安全需求。

    （2）安全需求的正確性。僅有安全需求還是不夠的，還需要確保選擇合適的安全完整性等級。

    功能安全在不同行業(yè)是有一定區別的，如流程化行業(yè)和軌道交通領(lǐng)域。流程化行業(yè)的安全相關(guān)系統，只有一個(gè)SIS系統或者安全的PLC。在軌道交通領(lǐng)域，列車(chē)的每個(gè)控制子系統都是安全相關(guān)系統，并不是整個(gè)系統只有一個(gè)安全相關(guān)系統，如緊急停車(chē)系統或者某個(gè)別的控制系統是安全相關(guān)系統。所以，定義安全相關(guān)系統基本上應具備兩個(gè)因素，一個(gè)是充分性的或者完整的安全功能要求或安全需求，另一個(gè)是要有確保安全功能正確實(shí)現的等級。如圖5所示。

圖5 功能安全相關(guān)系統的兩方面因素
   

    3　工控系統信息安全標準

    3.1　工控系統信息安全標準現狀

    工控系統信息安全的研究目前還處于起步階段，還沒(méi)有一些完善的標準體系來(lái)支撐。

    3.1.1　國際上主流的標準

    （1）IEC62443標準體系

    涵蓋組織的信息安全程序（62443-2-1，類(lèi)似IEC27001）；

    涵蓋系統級標準（第三部分）；

    涵蓋產(chǎn)品級標準（第四部分）。

    （2）美國國家標準技術(shù)研究院（NIST）

    NIST SP800-82《工業(yè)控制系統安全指南》；

    NIST SP800-53《針對聯(lián)邦信息系統和組織建議的安全控制》；

    《關(guān)鍵基礎設施網(wǎng)絡(luò )安全框架》。

    3.1.2　國內相關(guān)標準

    GB/T 30976工業(yè)控制系統信息安全 （兩個(gè)部分）已正式發(fā)布。

    中國信息安全測評中心承擔的《工業(yè)控制系統產(chǎn)品信息安全通用評估準則》標準。

    3.2　傳統IT信息系統標準

    3.2.1　傳統IT信息系統主要標準體系

    （1）IEC27000系列——適用于組織級的信息安全程序。

    （2）《信息系統安全等級保護標準》系列——適用于系統級，從廣義上來(lái)說(shuō)是一整套完整體系，包括產(chǎn)品、系統和管理。

    （3）GB/T 18336《信息技術(shù)安全評估準則》（等同采納IEC15408），簡(jiǎn)稱(chēng)CC標準——適用于產(chǎn)品級的標準。

    3.2.2　傳統IT信息系統等級保護標準體系系統定級

    基于信息系統被破壞之后的損害程度，傳統IT信息系統等級保護標準體系將系統定級為5個(gè)級別，分別是：

    第一級, 信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會(huì )秩序和公共利益；

    第二級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全；

    第三級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害；

    第四級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；

    第五級，信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。

    3.2.3　進(jìn)行定級的對象

    傳統IT信息系統等級保護標準從它定義的對象來(lái)看具備三個(gè)特點(diǎn)：

    （1）具有唯一確定的安全責任單位。作為定級對象的信息系統應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實(shí)體。只適用于整個(gè)系統級的定級，對于產(chǎn)品的定級和整個(gè)部件的定級是不適用的，應避免定義某個(gè)單一的系統組件，如將服務(wù)器、終端、網(wǎng)絡(luò )設備等作為定級對象。

    （2）具有信息系統的基本要素。

    （3）承載單一或相對獨立的業(yè)務(wù)應用。

    整個(gè)系統等級確定后，需要在各個(gè)層面保持相同的等級，不再進(jìn)行分配。不足的是從系統到產(chǎn)品就沒(méi)有一個(gè)直接的對應關(guān)系，缺乏系統化的指導。

    3.2.4　CC標準

    （1）CC標準的定級

    CC標準是針對產(chǎn)品評估的一個(gè)標準，定義了7個(gè)評估保障等級：

    EAL1——功能測試；

    EAL2——結構測試；

    EAL3——系統的測試和檢查；

    EAL4——系統的設計、測試和復查；

    EAL5——半形式化設計和測試；

    EAL6——半形式化驗證的設計和測試；

    EAL7——形式化驗證的設計和測試。

    EAL1~EAL3級可對抗基本攻擊潛力，EAL4~EAL5級可對抗增強基本攻擊潛力，EAL5~EAL6級可對抗中等攻擊潛力，EAL7級可對抗高等攻擊潛力。

    該評估保障等級側重整個(gè)產(chǎn)品能夠實(shí)現安全功能的一個(gè)信心保障程度，而不僅僅側重于安全技術(shù)能力方面。分級評估是通過(guò)對信息技術(shù)產(chǎn)品的安全性進(jìn)行獨立評估后取得的安全保障等級，表明產(chǎn)品的安全性及可信度。獲得的認證級別越高，產(chǎn)品可對抗更高級別的威脅，產(chǎn)品的可信度越高，適用于較高的風(fēng)險環(huán)境。這個(gè)標準同安全完整性等級是類(lèi)似的。安全功能依據威脅去識別，確認安全功能正確實(shí)現的等級，能給消費者和開(kāi)發(fā)者一個(gè)信心，產(chǎn)品既然有這個(gè)功能，就能保證實(shí)現的級別。

    （2）CC標準的特點(diǎn)

    CC標準不是針對某一款產(chǎn)品做的標準，提供了一套安全原理的實(shí)現方法，具備靈活性和通用性。

    CC標準采用了標準化語(yǔ)言的描述，使做完認證后的不同產(chǎn)品之間具備可比性。

    但CC標準屬于傳統IT通用評估準則，其7個(gè)分級適用于產(chǎn)品，與系統等級沒(méi)有形成直接的對應關(guān)系。

    3.3　工控系統信息安全標準

    3.3.1　IEC 62443標準系列

    IEC 62443標準系列是針對工控系統的，試圖從系統到產(chǎn)品建立一套完整體系。

    （1）類(lèi)似于功能安全的體系，這套標準采用了持續的風(fēng)險管理的思想（62443-3-2）。

    （2）定義了安全控制基線(xiàn)，并將技術(shù)要求劃分為7類(lèi)：

    認證與授權（AC）；

    使用控制（UC）；

    數據完整性（DI）；

    數據保密性（DC）；

    受限的數據流（RDF）；

    事件響應（TRE）；

    資源可用性（RA）。

    （3）整個(gè)安全等級基于風(fēng)險分析，從系統——>區域和管道——>產(chǎn)品/部件進(jìn)行分配。

    例如：

    EXAMPLE 1 —> SL-T(BPCS Zone) ={2 2 0 1 3 1 3}

    EXAMPLE 2 —> SL-C(SIS Engineering Workstation) ={3 3 2 3 0 0 1}

    EXAMPLE 3 —> SL-C(RA, FC- PLC)=4

    從舉例可以看出，括號中根據7大類(lèi)技術(shù)要求，可以分配不同的等級。整個(gè)工控系統行業(yè)特點(diǎn)是不同的，基于實(shí)際的風(fēng)險分析，分配的等級可能也是有所區別的，這個(gè)側重于可用性，那個(gè)側重于完整性。該標準對于整個(gè)工控系統解決方案的選擇會(huì )更靈活一點(diǎn)，行業(yè)特點(diǎn)也可以更加豐富。

    （4）安全等級（SL）劃分

    安全等級（SL）劃分為4個(gè)級別：

    SL1：防護偶然或巧合性的信息安全違規行為；

    SL2：防護利用較少資源、一般技術(shù)和較低動(dòng)機的簡(jiǎn)單手段的攻擊；

    SL3：防護利用中等資源、工控系統中特殊技術(shù)和中等動(dòng)機的復雜手段的攻擊；

    SL4：防護使用擴展資源、工控系統中特殊技術(shù)和較高動(dòng)機的復雜手段的攻擊。

    （5）對IEC62443標準的理解和看法

    IEC 62443標準是基于風(fēng)險管理的方法，但也確定了安全控制基線(xiàn)，這兩方面在一定程度上存在著(zhù)矛盾?；陲L(fēng)險管理，可能針對這種威脅去識別對應的技術(shù)要求，但如果安全控制基線(xiàn)定的非常嚴格的話(huà)，就必須按照這個(gè)基線(xiàn)去實(shí)施，也就失去了一些靈活性。這兩個(gè)方面可以互補，標準提供的安全基線(xiàn)僅是最佳實(shí)踐和指導，安全實(shí)踐可以基于此做選擇，而非強制性的，技術(shù)要求應該與所處環(huán)境面臨的威脅相對應。

    安全等級（SL）不僅包括技術(shù)要求能力，還應包含對應的安全保障要求等級。該安全等級并沒(méi)有強調安全等級的概念，雖然前面有定義，但是這個(gè)概念并沒(méi)有強調必須在什么情況下才能滿(mǎn)足這個(gè)安全等級。像前面提到的功能安全和信息安全就是保證等級可以分層次。系統完整性等級保障可分為：

    （1）公司組織級 （其他標準，如ISO9000、CMMI、IEC27000等），是基礎。

    （2）工程項目級

    系統建設（系統數據配置、安裝等）；

    產(chǎn)品實(shí)現（軟硬件設計和開(kāi)發(fā)、測試等）；

    運行維護（運維管理要求等）；

    系統廢棄 （停用或廢棄的要求等）。

    4　工控產(chǎn)品信息安全評估準則的探討

    工控產(chǎn)品信息安全評估準則是由中國信息安全測評中心承擔開(kāi)發(fā)的標準。

    4.1　標準的適用性

    （1）適用于消費者、開(kāi)發(fā)者和評估者。

    （2）適用于工控產(chǎn)品的開(kāi)發(fā)和評估。該標準是針對工控產(chǎn)品的，但不僅限于工控安全防護產(chǎn)品，目前既有的控制系統也帶有信息安全的功能。

    4.2　借鑒GB/T 18336（CC標準）的成熟標準框架

    （1）保持靈活性

    標準不限定于某一具體產(chǎn)品的要求，而是提供了一套方法，適用于具備信息安全防護功能的所有工控產(chǎn)品。

    （2）保持通用性和可比性

    提供了標準化語(yǔ)言描述的通用安全功能要求和安全保障要求，使得產(chǎn)品之間具備可比性。

    4.3　標準擬制思路

    （1）提供風(fēng)險評估和風(fēng)險管理方法（第一部分）

    產(chǎn)品依據預期使用環(huán)境進(jìn)行持續風(fēng)險分析，選取足夠的安全要求來(lái)對抗或消減所識別的威脅；

    （2）提供通用安全功能要求庫（第二部分）

    經(jīng)過(guò)風(fēng)險評估之后，通過(guò)裁剪和補充提出適用于ICS的安全功能要求集合，用于指導用戶(hù)選取合適的安全要求。

    （3）提供通用安全保障要求庫（第三部分）

    用于降低系統自身脆弱性的安全保障要求集合，包含產(chǎn)品需求、設計、實(shí)現、測試、管理等活動(dòng)。

    （4）與功能安全相對應，整個(gè)標準定義4個(gè)安全保障等級（SAL1～SAL4），提供分別對抗基本、基本增強、中等和高等攻擊潛力的威脅。

    4.4　標準的核心

    如圖6所示，標準的核心分為三個(gè)部分。

圖6 工控產(chǎn)品信息安全評估準則的核心

    （1）標準的第一部分?；诠た禺a(chǎn)品所面臨的預期，使用環(huán)境進(jìn)行風(fēng)險分析，確定與風(fēng)險可控相應的等級。

    （2）標準的第二部分。該部分提供了安全功能庫，依據前面的風(fēng)險分析來(lái)識別，使得識別的安全要求要充分，并且識別的要求與威脅要一一對應，有可追溯性。

    （3）標準的第三部分。這部分提供了安全保證要求，開(kāi)發(fā)者依據這個(gè)標準去開(kāi)發(fā)整個(gè)生命周期的管理、需求、設計、實(shí)現、測試和交付。評估者會(huì )依據開(kāi)發(fā)者做的活動(dòng)檢查其正確性，此外評估者還會(huì )做相對獨立性的測試，某些測試可能開(kāi)發(fā)者已經(jīng)做了，比如基本的模塊測試、功能測試、確認測試。評估者還會(huì )做獨立性的測試和穿透性的測試，確保整個(gè)系統到達一個(gè)相應的安全保障等級。

    （文章整理自邸麗清在“2015第四屆工業(yè)控制系統信息安全峰會(huì )”第四站上的報告）

    作者簡(jiǎn)介

    邸麗清（1978-），女，河北石家莊人，高級工程師，博士，現就職于中國信息安全測評中心，主要研究方向為工控系統信息安全。

    摘自《自動(dòng)化博覽》2016年3月刊