★尚文利,曾衍瀚 广州大学
★刘贤达,王天宇 中国科学院沈阳自动化研究所
摘要:工业测控设备是工业控制系统的神经中枢,其安全问题日趋严峻,内生安全技术是抵御内外部信息安全威胁攻击的根本。本文从内生安全视角阐述了工业测控设备功能安全、信息安全技术的发展过程,以及目前国内外安全型工业测控设备的产品化业态,介绍了相关工业测控设备安全标准研究进展,最后结合现状分析了未来发展的趋势,为工业测控设备安全技术的研究及发展提供参考。
关键词:工业测控设备;内生安全;功能安全;信息安全
1 前言
工业测控设备的范围包括变送器、执行器等过程传感与执行设备,以及PLC、DCS等各类控制器,同时包括涉及的上位机系统。测控设备是工业控制系统的神经中枢,随着工业控制系统数字化、网络化、智能化发展,面临着安全威胁加剧渗透、攻击手段复杂多样等新挑战。
工业控制系统信息安全已经上升到国家战略安全层面。美国、欧盟、中国等高度重视工业信息安全发展,发布了工业信息安全的国家战略和政策法规,以构建工业信息安全保障体系。
2017年美国总统签署《增强联邦政府网络与关键性基础设施网络安全》行政令。美国工业控制系统应急响应组(Industrial Control System Cyber Emergency Response Team,ICS-CERT)对关键基础设施的测控设备厂商、集成商、用户提出了纵深防御实施要求,按年发布漏洞报告;欧盟应急响应组承担“欧洲关键基础设施保护项目”,分析工业安全事件响应,指导各成员国的信息安全措施。2017年党的十九大报告强调“开展关键信息基础设施保护”、中国工信部印发《工业控制系统信息安全行动计划(2018-2020年)》等,初步形成“政府引导,企业主体,自主制造,共同推进”的基本方针。
本文阐述了工业测控设备功能安全、信息安全技术的发展过程,以及目前国内外安全型工业测控设备的产品化业态,介绍了相关工业测控设备安全标准的制定进展,最后总结了工业测控设备安全的未来发展趋势。
2 工业测控设备安全技术的发展
2.1 功能安全型工业测控设备
从安全角度来看,第一代为功能安全型工业测控设备。功能安全型工业测控设备一般应进行SIL(Safety Integrity Level)认证。
SIL认证是基于国际标准IEC 61508 、IEC 61511等进行,分为SIL1、SIL2、SIL3、SIL4四个等级。IEC 61508、IEC 61511等系列标准已经逐步成为各国家、行业广泛认可的基本功能安全标准,中国已有相应的国家标准。IEC 61508标准给出了功能安全定义:功能安全主要是针对与E/E/PE相关的设备及控制系统,避免在系统故障或失效时,被控对象/过程或其他相关系统导致不可接受的风险,造成经济损失、人员伤亡或环境污染。
功能安全型工业测控设备相对发展比较成熟,国内外很多工业测控设备均已通过功能安全SIL认证,包括PLC控制器、SIS安全仪表系统、DCS控制器、变送器、执行器等设备。
2.2 信息安全型工业测控设备
从安全角度来看,第二代为信息安全型工业测控设备。信息安全型工业测控设备目前主要基于《工业过程测量、控制和自动化 网络与系统信息安全》(IEC 62443)进行认证。IEC 62443是针对工业自动化和工业安全的系列标准,指导系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估,引入了信息安全保障等级(Security Assurance Level, SAL)的概念,分为SAL1、SAL2、SAL3、SAL4四个等级。中国正在制定相应的国家标准。
IEC 62443针对工控系统信息安全的定义是:(1)保护系统所采取的措施;(2)由建立和维护保护系统的措施所得到的系统状态;(3)能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;(4)基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;(5)防止对工控系统的非法或有害入侵,或者干扰其正确和计划的操作。
在产品开发方面,罗克韦尔自动化、西门子、通用电气等国际厂商已开展了信息安全研究和产业化工作,发布了Allen-Bradley Stratix 5950控制器、纵深防御S7 1500系列控制器。国内重庆川仪研发了全国产化自主可控的WIA系列变送器/执行器;和利时、浙江中控、杭州优稳等已发布具备信息安全功能的UW、LK等型号控制器,应用于电力、冶金、石化、轨道交通等行业。
在产品认证方面,目前国际上主流的工业控制系统信息安全认证主要为ISA Secure认证和Achilles认证。信息安全型工业测控设备目前处于发展完善阶段,国内外已有系列工业测控设备通过了ISA Secure认证或Achilles认证,因需要从设计层面增加信息安全防护机制,对工业测控设备的计算能力有额外的要求,所以目前主要集中在PLC控制器、DCS控制器、SIS安全仪表系统等设备。
2.3 功能安全与信息安全融合型工业测控设备
从安全角度来看,第三代为功能安全与信息安全融合型工业测控设备。
工业控制系统信息安全防护长期侧重于网络域的“纵深防御”,通过隔离网络保护重要资产,使得传统的外网渗透攻击手段失效。传统防护技术手段具有局限性,网络无法阻断物理介质传输数据和物理设备的接入,随着APT攻击愈演愈烈,即使是物理隔离的工业测控设备,亦可以成为攻击目标。增强工业测控设备自身的内生安全能力是解决问题的根本途径之一。
但是,从设计层面,工业测控设备信息安全能力的增加,与功能安全存在资源、目标、策略等冲突,如信息安全防护策略有可能会增大系统功能安全方面的风险,功能安全保障措施也有可能给系统引入新的信息安全漏洞等。因此设计时应将功能安全与信息安全相结合,以业务系统功能安全(Safety)的可用性为目标和约束条件,再考虑信息安全(Security),通过迭代优化设计,消除冲突,实现工业系统的功能安全与信息安全融合,降低信息物理融合带来的信息安全风险。目前国内外已经开始从设备、网络、数据、应用等层面上考虑功能安全与信息安全融合问题,从标准制定、建模方法、体系结构、任务调度等角度开展相关研究工作。但是现有的功能安全与信息安全融合研究都集中在工业控制系统,并未涉及到现场控制器、现场仪器仪表层次的实际安全需求。
3 相关标准研究进展
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)制定了SP 800-82、800-53等工控安全系列标准,国际电工委员会(International Electrotechnical Commission,IEC)制定了IEC 62443工控安全系列标准,推动了测控装备测试认证,如国际Achilles、ISA Secure认证。
IEC功能安全与信息安全融合工作组TC65/WG20对工业控制系统的功能安全与信息安全融合开展了研究;IEC 62443-3从系统信息安全的角度出发,初步探讨了系统级功能安全与信息安全的相互影响,但尚未对功能安全与信息安全的融合进行深入研究。
国内也先后制定发布了《可编程逻辑控制器(PLC)安全要求》、《工业通信网络-网络和系统安全-第2-1部分:建立工业自动化和控制系统信息安全程序》、《集散控制系统(DCS)安全防护标准》、《集散控制系统(DCS)安全管理标准》、《集散控制系(DCS统)安全评估标准》和《集散控制系统(DCS)风险与脆弱性检测标准》等功能安全和信息安全相关国家标准。机械工业仪器仪表综合技术经济研究所将功能安全与信息安全融合的相关要求应用于智能工厂与数字化车间,制定了安全一体化的系列标准。国内已有功能安全与信息安全融合的工业测控设备方面的研究文献、发明专利可查,也有相关的国家科技项目立项,但尚未制定相关的国家标准。
4 技术发展趋势
随着工业互联网的愈加成熟,工业测控设备在边缘计算层面将会发挥越来越重要的作用,同时越来越多新的安全问题将会出现,在工业测控设备的安全防护上也应该采用更多新的思路。本文结合工业测控设备安全技术的发展现状,总结了以下几个发展方向:
(1)目前缺少对功能安全与信息安全融合测控设备的测评认证,亟需开展对其测评认证相关研究工作。
(2)功能安全与信息安全融合理论与方法基础薄弱,融合共性关键技术、关键环节支撑手段缺乏,融合测试分析评估标准与规范尚未完善,测评服务平台尚未形成,应加快相关研究工作。
(3)现有信息安全手段,主要集中在网络层,在感知控制层十分缺乏。在感知层,大型工程中变送器/执行器自主配套率不足20%,且防护手段几乎为零,亟需加强设备自身的信息安全防护能力。在控制层需进一步标准化安全技术,与感知层形成安全闭环。
(4)随着边缘服务器、边缘网关、边缘控制器、边缘智能仪器仪表等新型边缘设备的应用,亟需从设计层面研究功能安全与信息安全技术的融合理论与方法,以及细粒度的轻量级、可配置、易部署的功能安全与信息安全组件。
5 结论
随着自动化领域数字化、网络化、智能化的快速发展,智能工业测控设备面临着功能失效因素不断增多和信息攻击加速渗透等威胁,存在同时满足功能安全和信息安全防护的迫切需求,但如何在资源严重受限的条件下实现二者的有机融合是一个巨大的挑战。
通过对功能安全与信息安全融合测控设备基础理论、关键技术、产品开发与测试评估等全生命周期各阶段共性关键技术的研究,提高智能工业测控设备功能安全与信息安全融合能力迫在眉睫。
作者简介
尚文利(1974-),男,黑龙江北安人,博士,教授、博士生导师,目前主要从事计算智能与机器学习、工业信息安全、边缘计算方向研究。现任国家“十三五”重点研发计划项目首席,IEEE Industrial Electronics Society (IES) Member,第六届全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124/SC5)委员,边缘计算产业联盟(ECC)信息安全组副主席,工业控制系统信息安全产业联盟理事。
参考文献
[1] Kumar R, Stoelinga M. Quantitative Security and Safety Analysis with Attack-Fault Trees[C]. 2017 IEEE 18th International Symposium on High Assurance Systems Engineering (HASE). IEEE, 2017.
[2] 靳江红, 莫昌瑜, 李刚. 工业控制系统功能安全与信息安全一体化防护措施研究[J]. 工业安全与环保, 2020, (01) : 53 - 60.
[3] 邸丽清, 谢丰. 工业控制系统信息安全与功能安全结合之探讨[J]. 中国信息安全, 2016, 76 (04) : 62 - 65.
[4] 赵艳领, 刘丹. 功能安全和信息安全协调基本要求浅析[J]. 中国仪器仪表, 2015, 297 (12) : 48 - 50.
[5] Kriaa S, Bouissou M, Laarouchi Y. A Model Based Approach For SCADA Safety And Security Joint Modelling: S-Cube[C]. The IET System Safety and Cyber Security. IET, 2016.
[6] Gu T, Lu M, Li L. Extracting interdependent requirements and resolving conflicted requirements of safety and security for industrial control systems[C]. First International Conference on Reliability Systems Engineering. IEEE, 2016.
[7] 尚文利. 功能安全与信息安全相结合,实现工业系统的两安融合[J]. 自动化博览, 2020, 37 (02) : 16 - 17.
[8] 孙心宇. CBTC关键系统功能安全与信息安全综合分析方法研究[D]. 北京: 北京交通大学,2018.
[9] 熊文泽. 第五十九讲:安全一体化模型概述——功能安全和信息安全的集成[J]. 仪器仪表标准化与计量, 2017, (3) : 9 - 13.
[10] Badwan, Faris M, Demuth, 等. Application of Framework for Integrating Safety, Security and Safeguards (3Ss) into the Design Of Used Nuclear Fuel Storage Facility[J]. 2015.
来源 | 《工业控制系统信息安全专刊(第七辑)》
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。