靳江红 莫昌瑜 李刚

(1.北京劳动保护科学研究所 北京 100054； 2.北京广利核系统工程有限公司 北京 100094)

0 引言

随着工业化和信息化的深度融合，工业控制系统面临的信息安全形势日益严峻，传统的“孤岛隔离”方式已无法避免工业控制系统遭受信息安全攻击。工业控制系统信息安全问题引起了业界重视，在短短几年内，业内出现各种各样的信息安全技术标准、报告和信息安全产品，以规范、指导核安全级DCS解决信息安全问题，提升网络攻击防御能力。

针对信息安全威胁，部署纵深防御体系，是工业控制系统的发展趋势。2017年，国家发布网络安全法，明确要求实施信息安全等级保护制度；2019年5月，公安部发布国家信息安全等级保护标准第2版[1]，其中明确提出针对工业控制系统的信息安全等级保护要求。美国核电领域针对核电厂工业控制系统提出了包括大纲计划、管理程序、技术方案与措施的信息安全防御技术体系[2-6]。然而，在工业控制系统上增加信息安全防护能力，必然会对可用性、实时性和安全性等功能安全相关特性造成影响，即工业控制系统的功能安全与信息安全可能存在矛盾与冲突。例如，系统功能安全要求通过执行一个安全功能的指令时，而信息安全防火墙可能会阻止该指令通过。如何权衡并协调解决功能安全与信息安全的矛盾，形成“安全一体化”的解决方案，并在工业控制系统中落实体现，IEC仅给出权衡原则，即信息安全的实施不应影响功能安全[7]，业界尚无公认的解决方法。基于工业控制系统的特点，针对典型工业控制系统研究了功能安全和信息安全的防护措施，并应用风险评估理论制定了功能安全与信息安全协同方法，在此基础上给出了适用于工业控制系统的功能安全与信息安全一体化防护方案。

需要指出的是，本文讨论的工业控制系统主要指DCS，PLC，SCADA和RTU等，按照IEC 62264-1分层模型[8]，工业控制系统包括现场设备层(0层)、现场控制层(1层)、过程监控层(2层)、制造执行系统层(3层)和企业管理层(4层)，这里仅针对现场控制层(1层)和过程监控层设备(2层)。信息安全仅针对网络攻击的防御技术，而不包括纯粹物理攻击(如大型商用客机撞击、炮弹袭击等)和自然灾害(地震、海啸等)。

1 安全一体化技术原理

对于工业控制系统功能安全与信息安全一体化研究，不能空对空的讨论信息安全与功能安全措施的一致性与矛盾，应将两者放在特定的研究对象中，根据具体情况，权衡两者的利弊，最终提出针对性的一体化方案。目前学术界与工程领域均无成熟有效的经验可以借鉴，本文按照如下步骤开展探索性研究：

(1)确定分析对象。

(2)按照IEC 61508[9]的要求，识别潜在故障模式，并确定相应的功能安全技术措施，包括故障诊断、报警和故障处理机制。

(3)按照IEC 62443[10]的要求，识别潜在的信息安全威胁与脆弱性，并确定相应的信息安全措施，包括信息安全检测措施、报警和攻击相应措施。

(4)使用FMEA[11-12]技术，以功能安全技术措施为基础，遍历分析增加了信息安全措施后是否存在矛盾项，再应用事件树[13]分析在工业控制系统的可实现性，针对无法实现一体化的功能安全和信息安全措施，详细分析矛盾之处，应用风险评估法[14]权衡利弊，最终给出针对性的一体化方案。

1.1 功能安全措施确定

根据IEC 61508，工业控制系统可采取的控制措施包括：避免和控制系统性失效的措施以及控制随机失效的措施，功能安全措施确定流程如图1所示。

结合工业控制系统具体架构和预期要达到的SIL等级，识别故障模式，并从IEC 61508中选定相应的功能安全措施，包括诊断措施和故障处理机制，该工业控制系统的功能安全措施即可确定。

图1 基于IEC 61508的功能安全措施确定流程

1.2 信息安全措施确定

工业控制系统的信息安全措施，主要分为信息安全运行与管理措施和信息安全技术控制措施，确定信息安全措施的流程如图2所示。

图2 信息安全措施集

1.3 一体化权衡技术

应用FMEA技术进行信息安全技术遍历，如表1所示。

表1 信息安全技术遍历分析

对于识别到的矛盾项，应用事件树进行分析，从信息安全措施的应用范围和方式两方面确定解决方案，如图3所示。

图3 确定信息安全解决方案

对于可行的应用方案，应用风险评估技术进行权衡分析，从资源消耗程度(R)、技术复杂度(C)和威胁防护程度(D)3个维度进行评价，如表2所示。

表2 维度等级

每一个维度可以赋予一个权重，权重值根据具体情况确定，方案的评分总值根据下述公式[6]算出为

T=(R×α1)×(C×α2)×(D×α3) (1)

α1+α2+α3=1 (2)

式中，α1为资源消耗程度的权重，α2为技术复杂度的权重，α3为威胁防护程度的权重。方案值T高者，优先选择。

2 典型工业控制系统功能安全与信息安全一体化设计

2.1 典型工业控制系统架构

典型工业控制系统架构如图4所示。典型工业控制系统具备SIL3等级，其采用的避免失效的安全措施如IEC 61508-2 Table B.1～B.5所述，控制系统失效的措施如IEC 61508-2 Table A.16所述。要控制硬件随机失效，需要考虑基准故障模式。针对典型工业控制系统开展板卡级FMEA工作，可识别出基准故障模式。针对基准故障模式，典型工业控制系统进行了故障分类，并设计了相应的诊断措施，如表3所示。

图4 典型工业控制系统架构

表3 典型安全工控系统诊断措施

为了确保典型安全工控系统的安全完整性，基准故障模式发生并被诊断到后，应进行相应故障处理与报警指示，确保典型安全工控系统处于可控的安全状态。基于上述流程，典型安全工控系统在诊断到基准故障模式后，采取的故障处理与报警指示措施如表4所示。

表4 典型安全工控系统故障处理与报警指示措施

2.2 信息安全措施

根据IEC 62443提出的SL3等级要求，从工业控制系统生命周期应开展的信息安全活动、信息安全要求措施两方面设计选定典型安全工控系统的信息安全措施。对于信息安全管理措施，可遵循IEC 62443-4-1和RG 5.71中管理章节部分内容。对于技术措施，典型安全工控系统满足信息安全SL3级要求，其采用的信息安全要求措施可参见IEC 62443-3-3的第5～10章，如表5所示。其中，FR(Foundational Requirement)为基本框架要求措施，包括系统基本要求措施SR(System Requirement)和增强要求措施RE(Requirement Enhanced)。

2.3 生命周期功能安全与信息安全活动一体化分析

根据IEC 61508—2、IEC 62443-4-1和RG 5.71分析，典型安全工控系统生命周期内的功能安全和信息安全活动无矛盾项。需要注意的是，故障插入测试和威胁缓解测试、脆弱性测试和渗透测试，均会对典型安全工控系统产生一定的破坏性。因此，这些测试的具体执行时机需要结合项目所处的阶段来考虑：这4项测试应该在设计实现阶段开展全范围测试(包括破坏性和非破坏性用例)，使识别出的问题有足够的时间和资源进行更改，在即将出厂的工厂接受测试阶段执行这4项测试的非破坏性用例。这样的处理方式既可以保证测试识别的问题和缺陷能够及时得到修补，又可以避免即将出厂的系统在进行出厂测试时产生损伤。

表5 典型工业控制系统信息安全措施示例

2.4 功能安全措施和信息安全措施一体化分析

从实践经验的角度出发，功能安全措施在工业控制系统上已经积累了将近30年的实践经验，在工业领域已经形成了成熟、公认的技术理论、方法、产品和全面应用解决方案，是广泛可接受的技术措施。而工业控制系统信息安全技术刚刚起步，积累的实践经验还不足，一些潜在的问题在业内尚未被识别，技术成熟度有待提升。因此，本文将一一遍历信息安全措施的技术原理和方法，分析判断其是否对功能安全措施或原有的功能性能要求产生影响，如果没有影响，则可以进行应用；若信息安全措施对功能安全措施或原有的功能性能产生影响，则应用事件树和风险评估技术判断影响情况，并采取较为保守的应用策略(有限应用或者不用)。

经过遍历分析，如下信息安全措施将会对典型安全工控系统功能安全措施和原有功能安全措施产生影响。

(1)SR 1.2-Software process and device identification and authentication：此项措施要求典型工业控制系统一层设备或安全控制显示站为所有的连接对象以及网络通信首先进行标识和认证，才进行下一步。功能安全设计理念则是：只和匹配的设备进行数据交互、只运行合法程序，一旦出现不匹配的连接对象或者未知程序，将首先触发异常处理，进入安全状态，不再对不匹配的连接对象或未知程序有任何操作或交互。此措施与功能安全设计理念不符合。

(2)SR 3.1 RE 1-Cryptographic integrity protection：此信息安全措施要求在典型安全工控系统通信过程中使用加密机制来保护通信信息。对于典型安全工控系统的点对点通信、IO通信、主处理通信和多节点通信，实时性要求非常高，响应时间在毫秒级，如采用加密措施将直接影响通信效率，这有可能造成安全功能响应时间无法满足要求。此措施影响了安全功能执行时间和运行负荷率指标。

(3)SR 7.4-Control system recovery and reconstitution：此信息安全措施要求当典型安全工控系统受到攻击破坏或失效时，应能够恢复到一个信息安全状态。整个恢复与重建内容包括：所有系统参数处于安全值、信息安全重要补丁重新安装、信息安全相关配置重新建立、系统文件与操作流程可用、应用软件与系统软件重新安装与配置并完成信息安全设置、已知信息安全备份完成装载、系统经过完整的测试并能够正常运行。当典型安全工控系统发生失效后，根据功能安全设计要求，必须进入并保持在安全状态，不可自动重启恢复。因此，此信息安全措施的执行，只有在相关人员确认现场异常完全排除后，才能开展，一旦自动进入信息安全状态，将会与功能安全设计理念冲突。

根据相关法规标准的说法，以上信息安全措施并非完全不能应用，可以结合实际情况，从应用范围(模块级应用、系统级应用)和应用方式(实时在线应用、初始化时应用或离线应用)两方面考虑有限应用，尽量做到既能够满足信息安全要求，又不会对功能安全特性和原有功能性能造成影响。本文将采用事件树和风险分析相结合的方式来评估SR 1.2，SR 3.1，RE 1和SR 7.4的可实现性，如下图5～图7所示。考虑到实时性、可用性资源对于功能安全的重要性，同时电厂、化工厂本身已具备较为严格的安保措施，本文将资源消耗程度、技术复杂度和威胁防护程度的占比确定为：0.4，0.3和0.3，如表6～表8所示。

图5 信息安全措施SR 1.2在典型安全工控系统可实现性分析

图6 信息安全措施SR 3.1 RE 1在典型安全工控系统可实现性分析

图7 信息安全措施SR 7.4在典型安全工控系统可实现性分析

2.4.1信息安全措施SR 1.2可行性分析

范围1-应用方式1的可行性：不可行；功能安全理念要求一层设备与安全控制显示站故障后进入安全状态且不与其他设备程序交互。

范围1-应用方式2的可行性：不可行；功能安全理念要求一层设备与安全控制显示站故障后进入安全状态且不与其他设备程序交互。

范围2-应用方式1的可行性：可行；可以对服务器、工程师站和操作员站部署此信息安全措施，不会对典型工控系统的安全功能有影响。

范围2-应用方式2的可行性：可行；可以对服务器、工程师站和操作员站部署此信息安全措施，不会对典型工控系统的安全功能有影响。

针对两种可行性方案进行风险评估，如表6所示。

表6 信息安全措施SR 1.2可行方案风险评估

2.4.2信息安全措施SR 3.1 RE 1可行性分析

范围1-应用方式1的可行性：不可行；典型工控系统中一层设备实时通信采取加密后，影响安全功能执行时间和运行负荷率。

范围1-应用方式2的可行性：不可行；典型工控系统中一层设备实时通信采取加密后，影响安全功能执行时间和运行负荷率。

范围2-应用方式1的可行性：可行；可以对服务器、工程师站和操作员站部署此信息安全措施，不会对典型工控系统的安全功能有影响。

范围2-应用方式2的可行性：可行；可以对服务器、工程师站和操作员站部署此信息安全措施，不会对典型工控系统的安全功能有影响。

针对两种可行性方案进行风险分析，如表7所示。

表7 信息安全措施SR 3.1 RE 1可行方案风险评估

表8 信息安全措施SR 7.4在典型安全工控系统风险评估

2.4.3信息安全措施SR 7.4可行性分析

范围1-应用方式1的可行性：不可行；典型工控系统所有模式设置安全状态，故障或破坏时应同时达成功能安全和信息安全，不可自动恢复。

范围1-应用方式2的可行性：不可行；典型工控系统所有模式设置安全状态，故障或破坏时应同时达成功能安全和信息安全，不可自动恢复。

范围2-应用方式1的可行性：可行；可在操作员站、服务器和工程师站应用此措施。

范围2-应用方式2的可行性：可行；可在操作员站、服务器和工程师站应用此措施。

针对两种可行性方案进行风险分析，如表8所示。

2.5 典型工控系统功能安全和信息安全一体化方案

根据前述分析研究的结果，得出了典型安全工控系统功能安全和信息安全一体化建议方案，如下所述。

(1)管理方面。典型安全工控系统生命周期安全活动一体化措施方案应包括IEC 61508-2 Table B.1～B.5，IEC 62443-4-1 CH6～CH11 和RG 5.71 APPENDIX C3。

(2)技术方面。典型工控系统既满足IEC 61508 SIL3要求，又满足IEC 62443 SL3级要求。对于功能安全特性，将采用表1和表2中所述的措施，并基于此进行方案设计与产品研发来实现；对于信息安全特性，典型工控系统通过采用表5所述的措施，并结合2.4节的分析评估结果，进行方案设计与产品研发来实现。为了简化描述，典型安全工控系统一体化措施列表不再给出，安全一体化总体方案如图8所示。

图8 典型工控系统一体化方案

(3)典型安全工控系统1层控制站为了保证安全功能的实时性和功能性能，仅针对多节点通信模块增加通信加密，因为多节点通信暂不影响安全功能。除此之外，典型安全工控系统1层控制站整体视为可信整体，仅在外部施加逻辑隔离。对于2层设备，除了安全控制显示站，均施加信息加密、白名单、杀毒软件、逻辑隔离和入侵检测措施，保护典型安全工控系统的边界条件。其余SIL3功能安全措施和SL3信息安全措施均按研究结果实施，图中未画出。

3 结语

(1)提出了一种用于评估工业控制系统信息安全与功能安全的权衡技术，该技术针对工业控制系统预采用的信息安全防护措施，应用事件树技术，分析出采用这些信息安全防护措施后对原有的安全机制的影响和冲突，并针对这些影响和冲突提出应对补偿方案，在此基础上进行风险评估，最终确定最优的可实施方案。实践结果表明，在业界现有的技术状态下，可以作为工业控制系统解决功能安全与信息安全融合问题的一种方案。

(2)采用的功能安全与信息安全权衡方法，主要是事件树法和风险评估法，属于半定量方法，权衡因素和权重比的确定主要以实践经验为主，理论方法仍需梳理优化，后续将进一步完善功能安全与信息安全的权衡理论。

(3)目前功能安全等级与信息安全等级均为4级，而SIL等级与SL等级之间的对应关系，是否可用一个综合评价指标来度量工业控制系统的安全性，目前尚无明确讨论，而随着技术进步，业内尤其是工业控制系统供应商会更早的面临这一问题，后续将进一步研究综合评价功能安全与信息安全的问题。