工業控制系統信息安全與功能安全研究
摘要
隨著工業發展的日新月異,工控系統安全問題愈發引人關注。研究表明,工業控制系統的信息安全可能直接影響功能安全問題,本文就來討論工業信息安全對功能安全的影響。
關鍵詞:工控,功能安全,信息安全
一、引言
我國是工業大國,自“十三五”以來,工業總量規模穩步提升。隨著工業化和信息化融合加速,工控系統接口越來越開放,解決外部對系統惡意入侵的工業信息安全問題日益嚴重,國家出臺大量舉措,大力加強工業信息安全保障能力建設。除工業信息安全,功能安全也同為重要,早期人們對電子技術和計算機系統的可靠性、安全性沒有信心,而功能安全保證電氣、電子、計算機、現場總線技術構成的安全相關系統安全,現今通過外部網絡攻擊也可能會影響功能安全。2008年,伊拉克向土耳其輸送原油的輸油管道發生爆炸,土耳其為監控1099英里石油管道,在這條管道內安裝了大量探測器和攝像頭。然而在爆炸將管道破壞前,卻沒有引發遇險信號。根據事故調查,緣由黑客關閉了警報、切斷了通信聯系、給管道內的原油大幅增壓。可以看出工業控制系統的信息安全可能直接影響功能安全問題,輕則造成財產損失,重則造成人身傷害危害國家安全,于是早期為保障安全相關系統的功能安全再次進入人們的視線。
二、功能安全的定義及標準
功能安全是依賴自動保護的系統或設備整體安全的一部分,該自動保護系統需要對其輸入做出正確響應,對失敗有可預測的反應這包括人為錯誤、硬件故障和操作/環境壓力。舉例來說,鍋爐控制系統在點火后會對壓力進行監控,當壓力到達限定值可能造成危險時,鍋爐控制系統會自動關閉燃料系統。如果該機制失效,鍋爐持續燃燒,壓力超過限定值并持續增高,就會導致爆炸。
工業革命使我們的生活發生了翻天覆地的變化,機器取代人力,大規模工廠化生產取代個體手工生產。然而,人們在享受工業紅利的同時,由此引發的災難也接踵而至。在二十世紀,死于工傷事故的人,已成為人類最嚴重的死因之一。尤其在石油化工與核工業領域發生了多次爆炸或泄露事件,如1957年英國軍用溫茨凱爾反應堆事故、1979年美國三里島核事故、1984年印度博帕爾的聯合碳化物工廠泄漏、1986年前蘇聯的切爾諾貝利核電站發生泄漏事故。這些工業事故的起因都是安全相關系統的功能失效。
就是在這種背景下,經過不斷實踐和摸索,歐美頒布了成套的功能安全相關產品指令和設計標準,并深入到各個領域,如汽車(ISO26262)、軌道控制(EN5012X)、核電(EN61513)、工業裝備及機器控制(EN62601, ENISO 13849-1/2)、過程控制(EN61511)等,國際上,IEC形成的IEC61508,IEC61511等系列標準在工業領域引起強烈反響,已經逐步成為各國家、行業廣泛認可的基本功能安全標準,中國也仿效并形成了的相應國家標準,其他行業性功能安全標準也在參照并將逐步形成為國家行業性標準。
三、工業信息安全對功能安全的影響
我們整理歸納,總結出工業信息安全影響功能安全的三種情況。
1. 網絡攻擊導致功能安全的失效,繼而影響系統安全。
以SIS(安全儀表系統)為例,SIS系統大多是應用于石油化工、電力等行業,在工控系統發生危險時,SIS系統使生產裝置進入一個預定義的安全停車工況,從而使危險降低到可以接受的最低程度,以保證人員、設備、生產裝置和環境的安全。由于工控系統設計之初,沒有將信息安全考慮在內,使得攻擊者通過網絡攻擊工控系統,致原本的功能安全失效,造成系統故障,繼而演變成危險源,使工控系統出現不可接受的風險時不能將風險降低到可接受范圍,最終導致事故的發生。
2. 工業信息安全產品影響功能安全。
當前工業信息安全產品經過專業機構檢測、取得銷售許可和檢測報告就可以被企業購買應用在工控系統中。然而在檢測工業信息安全產品時依據的是信息安全技術相關產品的技術要求和測試評價方法,并不會考慮工控功能安全與工業信息安全產品相結合導致的新問題。在2020年12月,內蒙古某電廠就發生了因工業信息安全產品問題而導致機組跳機的事件。此事影響重大,經查是一款旁路的設備,連接兩臺機組的交換機。由于設備在未加電狀態時兩個網口處于bypass連通狀態,兩臺機組DCS網絡直接互通,最終導致兩臺機組跳機。Bypass一般應用于工業場景,且只有在串聯設備中才可以起到作用,在串聯設備故障或斷電時能第一時間保障業務不被中斷。旁路設備攜帶bypass主要由于部分安全廠商傾向于避免硬件設計差異,將攜帶bypass硬件的設備同時應用于多款安全產品,包括串聯部署的防火墻,旁路部署的流量分析、入侵檢測、日志采集、安全管理等設備之中,加上開發時缺少相應管理流程,bypass未從底層關閉,最終導致事故的發生。
工控系統中對業務的實時性要求非常高,網絡延遲、抖動都有可能會影響功能安全,串聯部署的工業信息安全產品顯然會增加這方面的不確定性。雖然目前還沒有相關案例證明延遲、抖動會影響工控系統的功能安全,但隨著工業信息安全的不斷深入下沉,這種風險在不斷提高。同時工業信息安全產品實施的人員缺少對工控系統功能安全的了解,配置不正確的工業信息安全產品策略也可能也會阻斷正常通信,影響功能安全。
3. 工業信息安全加強功能安全,繼而提升工業安全。
在工業信息安全與功能安全中,有許多相似性,當兩者對安全的需求出現重疊時,工業信息安全就可以加強功能安全。如網絡安全等級保護中的安全通信網絡就在通信傳輸中有要求,應采用校驗技術或密碼技術保證通信過程中數據的完整性,功能安全中也有通信完整性的需求,因此在攻擊者攻破一個組件時,另一個組件依舊可以起到作用。還有一種情況,工業信息安全產品可以監測工控系統的狀態,如在某石油管道的關鍵路徑位置部署的工業安全審計系統,不光可以分析網絡流量異常行為,同時對IEC104和OPC數據采集進行監控,當發現網絡數據中斷時,可分析故障原因,縮短故障處理時間。
四、結語
功能安全在漫長的歲月中經歷了數不盡的事故才逐步走向完善,信息安全技術在Purdue模型中大多應用于2-4層,隨著工業互聯網以及5G、物聯網等技術的發展,信息安全技術不斷向下與功能安全緊密結合,二者之談其一保證不了工控系統的安全。本文分析了工業系統信息安全對功能安全的三種影響,但還停留在較為淺層的辨析二者關系。工業信息安全與功能安全融合還會暴露更多的問題,這種問題不光是技術上的,管理上也同樣存在。未來應從實踐中建立聯系,逐漸積累二者之間的影響,找到覆蓋工控系統全生命周期的一套方法,保障工業控制系統不受危害。
