原创 | 工业控制系统信息安全与功能安全研究
2021-10-26
来源:关键基础设施安全应急响应中心
摘要:随着工业发展的日新月异,工控系统安全问题愈发引人关注。研究表明,工业控制系统的信息安全可能直接影响功能安全问题,本文就来讨论工业信息安全对功能安全的影响。
关键词:工控,功能安全,信息安全
引言
我国是工业大国,自“十三五”以来,工业总量规模稳步提升。随着工业化和信息化融合加速,工控系统接口越来越开放,解决外部对系统恶意入侵的工业信息安全问题日益严重,国家出台大量举措,大力加强工业信息安全保障能力建设。除工业信息安全,功能安全也同为重要,早期人们对电子技术和计算机系统的可靠性、安全性没有信心,而功能安全保证电气、电子、计算机、现场总线技术构成的安全相关系统安全,现今通过外部网络攻击也可能会影响功能安全。2008年,伊拉克向土耳其输送原油的输油管道发生爆炸,土耳其为监控1099英里石油管道,在这条管道内安装了大量探测器和摄像头。然而在爆炸将管道破坏前,却没有引发遇险信号。根据事故调查,缘由黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。可以看出工业控制系统的信息安全可能直接影响功能安全问题,轻则造成财产损失,重则造成人身伤害危害国家安全,于是早期为保障安全相关系统的功能安全再次进入人们的视线。
功能安全的定义及标准
功能安全是依赖自动保护的系统或设备整体安全的一部分,该自动保护系统需要对其输入做出正确响应,对失败有可预测的反应这包括人为错误、硬件故障和操作/环境压力。举例来说,锅炉控制系统在点火后会对压力进行监控,当压力到达限定值可能造成危险时,锅炉控制系统会自动关闭燃料系统。如果该机制失效,锅炉持续燃烧,压力超过限定值并持续增高,就会导致爆炸。
工业革命使我们的生活发生了翻天覆地的变化,机器取代人力,大规模工厂化生产取代个体手工生产。然而,人们在享受工业红利的同时,由此引发的灾难也接踵而至。在二十世纪,死于工伤事故的人,已成为人类最严重的死因之一。尤其在石油化工与核工业领域发生了多次爆炸或泄露事件,如1957年英国军用温茨凯尔反应堆事故、1979年美国三里岛核事故、1984年印度博帕尔的联合碳化物工厂泄漏、1986年前苏联的切尔诺贝利核电站发生泄漏事故。这些工业事故的起因都是安全相关系统的功能失效。
就是在这种背景下,经过不断实践和摸索,欧美颁布了成套的功能安全相关产品指令和设计标准,并深入到各个领域,如汽车(ISO26262)、轨道控制(EN5012X)、核电(EN61513)、工业装备及机器控制(EN62601, ENISO 13849-1/2)、过程控制(EN61511)等,国际上,IEC形成的IEC61508,IEC61511等系列标准在工业领域引起强烈反响,已经逐步成为各国家、行业广泛认可的基本功能安全标准,中国也仿效并形成了的相应国家标准,其他行业性功能安全标准也在参照并将逐步形成为国家行业性标准。
工业信息安全对功能安全的影响
我们整理归纳,总结出工业信息安全影响功能安全的三种情况。
1. 网络攻击导致功能安全的失效,继而影响系统安全。
以SIS(安全仪表系统)为例,SIS系统大多是应用于石油化工、电力等行业,在工控系统发生危险时,SIS系统使生产装置进入一个预定义的安全停车工况,从而使危险降低到可以接受的最低程度,以保证人员、设备、生产装置和环境的安全。由于工控系统设计之初,没有将信息安全考虑在内,使得攻击者通过网络攻击工控系统,致原本的功能安全失效,造成系统故障,继而演变成危险源,使工控系统出现不可接受的风险时不能将风险降低到可接受范围,最终导致事故的发生。
2. 工业信息安全产品影响功能安全。
当前工业信息安全产品经过专业机构检测、取得销售许可和检测报告就可以被企业购买应用在工控系统中。然而在检测工业信息安全产品时依据的是信息安全技术相关产品的技术要求和测试评价方法,并不会考虑工控功能安全与工业信息安全产品相结合导致的新问题。在2020年12月,内蒙古某电厂就发生了因工业信息安全产品问题而导致机组跳机的事件。此事影响重大,经查是一款旁路的设备,连接两台机组的交换机。由于设备在未加电状态时两个网口处于bypass连通状态,两台机组DCS网络直接互通,最终导致两台机组跳机。Bypass一般应用于工业场景,且只有在串联设备中才可以起到作用,在串联设备故障或断电时能第一时间保障业务不被中断。旁路设备携带bypass主要由于部分安全厂商倾向于避免硬件设计差异,将携带bypass硬件的设备同时应用于多款安全产品,包括串联部署的防火墙,旁路部署的流量分析、入侵检测、日志采集、安全管理等设备之中,加上开发时缺少相应管理流程,bypass未从底层关闭,最终导致事故的发生。
工控系统中对业务的实时性要求非常高,网络延迟、抖动都有可能会影响功能安全,串联部署的工业信息安全产品显然会增加这方面的不确定性。虽然目前还没有相关案例证明延迟、抖动会影响工控系统的功能安全,但随着工业信息安全的不断深入下沉,这种风险在不断提高。同时工业信息安全产品实施的人员缺少对工控系统功能安全的了解,配置不正确的工业信息安全产品策略也可能也会阻断正常通信,影响功能安全。
3. 工业信息安全加强功能安全,继而提升工业安全。
在工业信息安全与功能安全中,有许多相似性,当两者对安全的需求出现重叠时,工业信息安全就可以加强功能安全。如网络安全等级保护中的安全通信网络就在通信传输中有要求,应采用校验技术或 密码技术保证通信过程中数据的完整性,功能安全中也有通信完整性的需求,因此在攻击者攻破一个组件时,另一个组件依旧可以起到作用。还有一种情况,工业信息安全产品可以监测工控系统的状态,如在某石油管道的关键路径位置部署的工业安全审计系统,不光可以分析网络流量异常行为,同时对IEC104和OPC数据采集进行监控,当发现网络数据中断时,可分析故障原因,缩短故障处理时间。
结语
功能安全在漫长的岁月中经历了数不尽的事故才逐步走向完善,信息安全技术在Purdue模型中大多应用于2-4层,随着工业互联网以及5G、物联网等技术的发展,信息安全技术不断向下与功能安全紧密结合,二者之谈其一保证不了工控系统的安全。本文分析了工业系统信息安全对功能安全的三种影响,但还停留在较为浅层的辨析二者关系。工业信息安全与功能安全融合还会暴露更多的问题,这种问题不光是技术上的,管理上也同样存在。未来应从实践中建立联系,逐渐积累二者之间的影响,找到覆盖工控系统全生命周期的一套方法,保障工业控制系统不受危害。