摘自:《网络安全技术和产业动态》2023年第8期,总第38期。
控制系统功能安全(Safety)是通过判断工业运行系统功能的有效性和正确性,评估危害发生的可能性和严重度,并以保护人或环境为目的而采取应对措施。控制系统信息安全(Security)是针对网络攻击等安全威胁,以保护工业控制系统硬件、软件、数据等不因偶然和恶意的原因而遭到破坏、更改和泄露为目的。
控制系统功能安全与信息安全融合应用,是通过在底层工业控制协议数据的采集、识别、关联、检测等技术及架构的融合,以及安全监测数据与信号的关联分析,并结合工业系统的数据字典、数据模型等,构建安全防护与检测、安全威胁识别、安全事件响应等协同,实现工业控制系统安全防护从物理层面、网络层面到应用层面的综合能力提升。
01
发展情况
近年来,在工业控制领域开展功能安全与信息安全的应用研究,主要包括融合方法、安全框架、应用场景、标准研制等方面。
中国科学院沈阳自动化研究所从信息物理系统的应用发展出发,在工业系统功能安全目标约束下,叠加考虑信息安全需求后进行优化设计。华中科技大学围绕功能安全与信息安全融合方法开展研究,包括工业控制系统功能安全与信息安全的需求分析及融合方法、基于模糊多目标决策的智能仪表功能安全与信息安全融合方法等。天融信基于自身安全技术、安全知识、安全服务等能力,构建控制系统功能安全与信息安全融合应用体系,针对控制领域不同业务场景特征,推出了基于功能安全与信息安全融合解决方案。
目前国内外围绕功能安全或信息安全,开展工业控制领域标准研制工作,发布了一系列功能安全或信息安全相关标准,但是面向功能安全与信息安全融合应用的相关标准还存在较大空缺。IEC TR 63069-2019《工业过程测量、控制和自动化 功能安全和安保框架》提出了控制系统功能安全和信息安全协同应用的原则:“功能安全和信息安全领域之间的沟通和互动应贯穿整个生命周期,以确保包括安全职能在内的基本职能有一个合适的安全保障环境”,这为研制面向控制系统功能安全与信息安全融合应用的相关标准提供了一定的依据。
02
发展难点
工业控制系统在功能安全与信息安全融合应用过程中,在数据关联、安全决策、应用层面存在难点。主要体现如下:
1.控制系统功能安全与信息安全的数据关联融合难
目前国内应用于工业控制领域的安全技术,对监测到的寄存器数据没有与工业环境中的功能安全数据进行有效关联。在实际应用中,缺少结合功能安全数据配置的信息安全策略,无法识别真实物理变量在规定数值范围内异常变动而导致功能失效状态等安全隐患。如何将安全仪表、功能码、寄存器地址、指令集、告警事件等相关数据与信息安全检测技术进行关联,并建立有效的协同接口、数据字典,通过数据采集、数据关联对安全威胁进行监测预警,是功能安全与信息安全融合应用的难点之一。
2.控制系统功能安全与信息安全的安全决策融合难
控制系统的功能安全需求和信息安全要求之间可能存在冲突,需要在两者之间取得平衡,根据实际情况确定合适的安全策略。如对于某些涉及人身安全的信息传输(紧急信号传输),功能安全要求该信息应该尽可能快地被传输,并尽快响应执行;但是信息安全则要求对信号的发送者进行身份验证以及进行加密传输,以有效避免假冒、篡改、窃听等安全风险。在这种情况下,功能安全和信息安全在需求上存在了一定的冲突,需要制定合理的安全策略、安全模型,才能保障工控系统安全可靠运行。
3.控制系统功能安全与信息安全的管理融合难
在安全管理层面,功能安全体系多基于实时数据进行判断,其监测、处置过程缺乏整体的分析、预测能力;信息安全体系中包含固定的安全管理中心,但其因与生产、运营过程的关联性较弱,仅为信息安全相关威胁,难以与生产、运营业务流程进行融合,缺少安全管理的整体性。因此功能安全和信息安全技术在实现管理层面的融合应用还面临较多困难。
03
产业落地情况
目前控制系统功能安全与信息安全的融合应用产业化,主要以融合信息安全能力的工业控制设备,以及融入功能安全能力的信息安全设备形式体现。西门子、罗克韦尔自动化等国外控制设备厂商已发布了内置信息安全功能的模块,例如西门子Siemens CP443-1 Advanced板卡等具有信息安全功能的控制设备,实现功能安全与信息安全能力的初步整合。另外,国内多家控制设备及网络安全厂商也推出了具备信息安全功能的控制设备或信息安全模块,并已被广泛应用于电力、冶金、石化、轨道交通等行业中。
04
意见和建议
为进一步推动控制系统功能安全与信息安全的融合应用研究,加快应用落地和产品研发,提出以下建议:
1.制定功能安全与信息安全融合应用指南
进一步制定和完善相关安全标准,编写适用于不同控制场景的功能安全与信息安全融合应用指南,明确功能安全与信息安全融合的安全框架,以及两者融合的应用措施、应用方式、评价指标等内容。
2.增加科研投入,促进应用成果落地实践
加大功能安全与信息安全融合应用研究的专项资金投入,积极利用国家专项、科研基金开展基础理论研究,开发和验证合理可行的融合应用方法、逻辑框架、应用体系,在融合应用研究基础上推动成果落地和应用实践。
3.深化产业合作,构建控制系统安全生态
建议持续深化信息安全设备厂商与控制系统生产厂商之间的合作,通过在控制设备中增加信息安全模块等方式,实现功能安全与信息安全在控制系统中的融合应用,形成相关产业链,构建控制系统安全生态。
中国网络安全产业联盟(CCIA)主办,北京天融信网络安全技术有限公司供稿。
声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。