今日頭條
官方微信
官方抖音
資訊頻道
1 功能安全(Safety)、RAM(可靠性、可用性、可維修性)和信息安全(Security)
1.1 工業控制系統所面臨的風險
(1)安全性事故(HSE相關事故)
發生人員傷亡、環境破壞及系統損失等危害事件的事故,例如化工廠爆炸、毒氣泄漏、火車相撞等。
(2)系統可用性降低
可導致系統可用性降低或喪失,如地鐵或火車運營晚點、工廠停工等風險。此類事故后果可能不是非常嚴重,但是如果頻繁發生,風險也是不可接受的。
(3)信息泄露
隨著工控系統網絡化、開放性不斷擴大引發了第三類風險,即由于信息泄露引發的安全問題,如生產工藝數據被竊取等。
1.2 功能安全(Safety)、RAM和信息安全(Security)三者關系(如圖1所示)
(1)功能安全、RAM和信息安全三者之間的關系
如圖1所示,功能安全只關注HSE相關的安全事故,重點涉及軟件、硬件方面系統自身的脆弱性引發的安全性事故。
圖1 功能安全、RAM和信息安全三者之間的關系
系統可用性屬于RAM的范疇,是系統可用性和可靠性方面的因素。安全性與可靠性既有關系又有區別,如果發生安全性事故,同時必定會引發系統可用性的降低。功能安全和RAM是之前大家討論比較多的既有工控安全的范疇。
隨著信息化與工業化的深度融合,有了網絡攻擊的特點,引發了信息安全問題。信息安全會導致信息的完整性和可用性、保密性等方面的問題。完整性被破壞可能也會間接地引發與安全相關的工控惡性事故。
信息安全同功能安全的區別在于,功能安全更注重自身脆弱性導致的事故,而信息安全體現在外部實體惡意利用系統本身的脆弱性進行攻擊而導致的事故。同樣,系統可用性也是如此,之前RAM研究的范圍是自身的脆弱性,比如硬件或自身結構引起的隨機故障。信息安全增加了外部實體的惡意攻擊,比如導致拒絕服務攻擊之類的,或者利用漏洞導致系統頻繁死機,以及信息泄露。
工控安全的概念正在逐步擴大,之前討論安全性事故、可用性事故,隨著信息安全的引入,工控系統安全的概念更加廣泛。功能安全、可用性、信息安全,三者并不是完全獨立的,既有關系,又有區別,只有共同達到安全可控,才能保證整個工控系統的安全。
(2)Safety(功能安全)、RAM和Security(信息安全)的威脅特點
如表1所示,從Safety、RAM和Security三者之間的威脅特點來看,功能安全和RAM強調的是系統自身的、偶然的威脅,比如硬件隨機失效或者人為的誤操作,系統設計和實現的脆弱性或者軟件、硬件實現的脆弱性,系統級可能有配置和操作脆弱性等,以及周圍環境的影響。信息安全強調的是外界實體利用系統脆弱性導致的威脅。從威脅的后果來看,對于HSE相關事故和系統可用性方面的風險之前已經考慮到了,信息安全的引入不僅會導致這兩方面的事故,還新增加了一個信息泄露方面的事件。信息泄露對于工控安全來說,風險是否可接受要根據各行業自身的特點來定。
表1 Safety、RAM和Security威脅特點
2 工控系統和產品功能安全評估現狀
對于工控系統來說,功能安全是各行各業都會考慮的問題。功能安全標準最初的一個最基本標準是IEC 61508標準。由于是基本性的標準,沒有辦法覆蓋各個行業,因此基于這個標準又衍生出了各個行業自身的標準,比如流程性行業的IEC 61511標準、軌道交通領域的行業標準EN 50126/128/129。衍生出的標準雖然適合不同行業,但基本思想是相通的。
2.1 風險定義
2.1.1 什么是風險(Risk)
(1) 出現傷害的概率及該傷害嚴重性的組合(GB/T 20438.4)。
(2)一個給定的威脅,利用一項資產或多項資產的脆弱性,對組織造成損害的潛能。可通過事件的概率及其后果進行度量(GB/T25069)。
2.1.2 風險的兩個要素
風險(Risk)=可能性(危害事件)×后果嚴重程度(傷害或影響)
2.2 風險評估
(1)風險矩陣
常見的風險評估一般都會用到風險矩陣。如表2所示,一方面需要考慮可能性,另一方面還要考慮危害后果。
表2 風險矩陣
(2)風險評估準則
在軌道交通領域,風險評估采用較多的是ALARP準則和GAMAB準則。
安全是相對的,不存在絕對的安全。從風險可控的角度來看,付出的成本和獲得的收益要相權衡,并不需要無盡止地付出成本,降低風險。
2.3 風險評估與安全等級關系
(1)風險評估和安全等級分配
在進行了實際的風險評估之后,如果風險不可接受,則需要提出一些安全防護措施來降低風險到允許的程度。降低風險的措施一方面從危害事件的可能性出發,另一方面從危害后的嚴重程度來降低。為了更方便地衡量和指導企業實施安全防護措施,對應安全措施提出了安全等級概念。如圖2所示。
圖2 風險評估和安全等級分配示意圖
2.4 功能安全完整性等級(如圖3所示)
(1)安全完整性等級
依據在規定的時間內、規定的條件下,安全相關系統成功執行規定的安全功能的概率,將功能安全完整性分為四個等級:SIL1~SIL4。
圖3 功能安全完整性等級示意圖
(2)安全完整性等級包括兩方面因素
硬件安全完整性:一般有硬件隨機失效,硬件的隨機失效率是可以定量計算的。
系統安全完整性:主要是考慮從整個系統的實現、管理方面,包括整個生命周期,從需求到設計,到軟硬件的實現,到安裝,到運維。功能安全主要考慮由系統自身脆弱性引起的安全性事故,不考慮由威脅主體惡意利用脆弱性導致的危害。信息安全相對于功能安全的安全性事故來說,又多了一個觸發的原因。因此在考慮整個系統的風險時,應同時考慮功能安全和信息安全兩方面的因素影響。
2.5 工控系統功能安全風險管理流程
(1)風險分析和安全完整性等級分配
安全防護措施不是一次性完成的,在系統初步建設時,會識別威脅,評估風險,識別安全措施對應的安全完整性等級。
(2)風險管理是一個持續的貫穿整個安全生命周期的活動。
(3)安全需求和安全完整性等級可以從系統到子系統再到產品部件級的逐步分配細化,形成一個完整的系統化體系。
針對風險的評估,也不是一次性把風險評估完、定義完系統的完整性。如圖4所示,PHA,預先風險性分析,即系統初步的危害性分析之后,再做系統的接口分析或系統級的功能分析,然后再到子系統級還會做子系統級的一些危害性分析。子系統可能還會向下分到模塊級,不斷補充安全需求。整個流程完成之后,再從測試、驗證和確認的角度去確保這些安全功能的正確實現。
圖4 工控功能安全風險管理流程
2.6 功能安全相關系統屬性
2.6.1 功能安全相關系統具備的兩方面因素
(1)安全需求的充分性。通過持續風險分析過程來充分識別可控制、消除或最小化威脅的安全需求。
(2)安全需求的正確性。僅有安全需求還是不夠的,還需要確保選擇合適的安全完整性等級。
功能安全在不同行業是有一定區別的,如流程化行業和軌道交通領域。流程化行業的安全相關系統,只有一個SIS系統或者安全的PLC。在軌道交通領域,列車的每個控制子系統都是安全相關系統,并不是整個系統只有一個安全相關系統,如緊急停車系統或者某個別的控制系統是安全相關系統。所以,定義安全相關系統基本上應具備兩個因素,一個是充分性的或者完整的安全功能要求或安全需求,另一個是要有確保安全功能正確實現的等級。如圖5所示。
圖5 功能安全相關系統的兩方面因素
3 工控系統信息安全標準
3.1 工控系統信息安全標準現狀
工控系統信息安全的研究目前還處于起步階段,還沒有一些完善的標準體系來支撐。
3.1.1 國際上主流的標準
(1)IEC62443標準體系
涵蓋組織的信息安全程序(62443-2-1,類似IEC27001);
涵蓋系統級標準(第三部分);
涵蓋產品級標準(第四部分)。
(2)美國國家標準技術研究院(NIST)
NIST SP800-82《工業控制系統安全指南》;
NIST SP800-53《針對聯邦信息系統和組織建議的安全控制》;
《關鍵基礎設施網絡安全框架》。
3.1.2 國內相關標準
GB/T 30976工業控制系統信息安全 (兩個部分)已正式發布。
中國信息安全測評中心承擔的《工業控制系統產品信息安全通用評估準則》標準。
3.2 傳統IT信息系統標準
3.2.1 傳統IT信息系統主要標準體系
(1)IEC27000系列——適用于組織級的信息安全程序。
(2)《信息系統安全等級保護標準》系列——適用于系統級,從廣義上來說是一整套完整體系,包括產品、系統和管理。
(3)GB/T 18336《信息技術安全評估準則》(等同采納IEC15408),簡稱CC標準——適用于產品級的標準。
3.2.2 傳統IT信息系統等級保護標準體系系統定級
基于信息系統被破壞之后的損害程度,傳統IT信息系統等級保護標準體系將系統定級為5個級別,分別是:
第一級, 信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
3.2.3 進行定級的對象
傳統IT信息系統等級保護標準從它定義的對象來看具備三個特點:
(1)具有唯一確定的安全責任單位。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。只適用于整個系統級的定級,對于產品的定級和整個部件的定級是不適用的,應避免定義某個單一的系統組件,如將服務器、終端、網絡設備等作為定級對象。
(2)具有信息系統的基本要素。
(3)承載單一或相對獨立的業務應用。
整個系統等級確定后,需要在各個層面保持相同的等級,不再進行分配。不足的是從系統到產品就沒有一個直接的對應關系,缺乏系統化的指導。
3.2.4 CC標準
(1)CC標準的定級
CC標準是針對產品評估的一個標準,定義了7個評估保障等級:
EAL1——功能測試;
EAL2——結構測試;
EAL3——系統的測試和檢查;
EAL4——系統的設計、測試和復查;
EAL5——半形式化設計和測試;
EAL6——半形式化驗證的設計和測試;
EAL7——形式化驗證的設計和測試。
EAL1~EAL3級可對抗基本攻擊潛力,EAL4~EAL5級可對抗增強基本攻擊潛力,EAL5~EAL6級可對抗中等攻擊潛力,EAL7級可對抗高等攻擊潛力。
該評估保障等級側重整個產品能夠實現安全功能的一個信心保障程度,而不僅僅側重于安全技術能力方面。分級評估是通過對信息技術產品的安全性進行獨立評估后取得的安全保障等級,表明產品的安全性及可信度。獲得的認證級別越高,產品可對抗更高級別的威脅,產品的可信度越高,適用于較高的風險環境。這個標準同安全完整性等級是類似的。安全功能依據威脅去識別,確認安全功能正確實現的等級,能給消費者和開發者一個信心,產品既然有這個功能,就能保證實現的級別。
(2)CC標準的特點
CC標準不是針對某一款產品做的標準,提供了一套安全原理的實現方法,具備靈活性和通用性。
CC標準采用了標準化語言的描述,使做完認證后的不同產品之間具備可比性。
但CC標準屬于傳統IT通用評估準則,其7個分級適用于產品,與系統等級沒有形成直接的對應關系。
3.3 工控系統信息安全標準
3.3.1 IEC 62443標準系列
IEC 62443標準系列是針對工控系統的,試圖從系統到產品建立一套完整體系。
(1)類似于功能安全的體系,這套標準采用了持續的風險管理的思想(62443-3-2)。
(2)定義了安全控制基線,并將技術要求劃分為7類:
認證與授權(AC);
使用控制(UC);
數據完整性(DI);
數據保密性(DC);
受限的數據流(RDF);
事件響應(TRE);
資源可用性(RA)。
(3)整個安全等級基于風險分析,從系統——>區域和管道——>產品/部件進行分配。
例如:
EXAMPLE 1 —> SL-T(BPCS Zone) ={2 2 0 1 3 1 3}
EXAMPLE 2 —> SL-C(SIS Engineering Workstation) ={3 3 2 3 0 0 1}
EXAMPLE 3 —> SL-C(RA, FC- PLC)=4
從舉例可以看出,括號中根據7大類技術要求,可以分配不同的等級。整個工控系統行業特點是不同的,基于實際的風險分析,分配的等級可能也是有所區別的,這個側重于可用性,那個側重于完整性。該標準對于整個工控系統解決方案的選擇會更靈活一點,行業特點也可以更加豐富。
(4)安全等級(SL)劃分
安全等級(SL)劃分為4個級別:
SL1:防護偶然或巧合性的信息安全違規行為;
SL2:防護利用較少資源、一般技術和較低動機的簡單手段的攻擊;
SL3:防護利用中等資源、工控系統中特殊技術和中等動機的復雜手段的攻擊;
SL4:防護使用擴展資源、工控系統中特殊技術和較高動機的復雜手段的攻擊。
(5)對IEC62443標準的理解和看法
IEC 62443標準是基于風險管理的方法,但也確定了安全控制基線,這兩方面在一定程度上存在著矛盾。基于風險管理,可能針對這種威脅去識別對應的技術要求,但如果安全控制基線定的非常嚴格的話,就必須按照這個基線去實施,也就失去了一些靈活性。這兩個方面可以互補,標準提供的安全基線僅是最佳實踐和指導,安全實踐可以基于此做選擇,而非強制性的,技術要求應該與所處環境面臨的威脅相對應。
安全等級(SL)不僅包括技術要求能力,還應包含對應的安全保障要求等級。該安全等級并沒有強調安全等級的概念,雖然前面有定義,但是這個概念并沒有強調必須在什么情況下才能滿足這個安全等級。像前面提到的功能安全和信息安全就是保證等級可以分層次。系統完整性等級保障可分為:
(1)公司組織級 (其他標準,如ISO9000、CMMI、IEC27000等),是基礎。
(2)工程項目級
系統建設(系統數據配置、安裝等);
產品實現(軟硬件設計和開發、測試等);
運行維護(運維管理要求等);
系統廢棄 (停用或廢棄的要求等)。
4 工控產品信息安全評估準則的探討
工控產品信息安全評估準則是由中國信息安全測評中心承擔開發的標準。
4.1 標準的適用性
(1)適用于消費者、開發者和評估者。
(2)適用于工控產品的開發和評估。該標準是針對工控產品的,但不僅限于工控安全防護產品,目前既有的控制系統也帶有信息安全的功能。
4.2 借鑒GB/T 18336(CC標準)的成熟標準框架
(1)保持靈活性
標準不限定于某一具體產品的要求,而是提供了一套方法,適用于具備信息安全防護功能的所有工控產品。
(2)保持通用性和可比性
提供了標準化語言描述的通用安全功能要求和安全保障要求,使得產品之間具備可比性。
4.3 標準擬制思路
(1)提供風險評估和風險管理方法(第一部分)
產品依據預期使用環境進行持續風險分析,選取足夠的安全要求來對抗或消減所識別的威脅;
(2)提供通用安全功能要求庫(第二部分)
經過風險評估之后,通過裁剪和補充提出適用于ICS的安全功能要求集合,用于指導用戶選取合適的安全要求。
(3)提供通用安全保障要求庫(第三部分)
用于降低系統自身脆弱性的安全保障要求集合,包含產品需求、設計、實現、測試、管理等活動。
(4)與功能安全相對應,整個標準定義4個安全保障等級(SAL1~SAL4),提供分別對抗基本、基本增強、中等和高等攻擊潛力的威脅。
4.4 標準的核心
如圖6所示,標準的核心分為三個部分。
圖6 工控產品信息安全評估準則的核心
(1)標準的第一部分。基于工控產品所面臨的預期,使用環境進行風險分析,確定與風險可控相應的等級。
(2)標準的第二部分。該部分提供了安全功能庫,依據前面的風險分析來識別,使得識別的安全要求要充分,并且識別的要求與威脅要一一對應,有可追溯性。
(3)標準的第三部分。這部分提供了安全保證要求,開發者依據這個標準去開發整個生命周期的管理、需求、設計、實現、測試和交付。評估者會依據開發者做的活動檢查其正確性,此外評估者還會做相對獨立性的測試,某些測試可能開發者已經做了,比如基本的模塊測試、功能測試、確認測試。評估者還會做獨立性的測試和穿透性的測試,確保整個系統到達一個相應的安全保障等級。
(文章整理自邸麗清在“2015第四屆工業控制系統信息安全峰會”第四站上的報告)
作者簡介
邸麗清(1978-),女,河北石家莊人,高級工程師,博士,現就職于中國信息安全測評中心,主要研究方向為工控系統信息安全。
摘自《自動化博覽》2016年3月刊
北京市公安局海淀分局備案號:11010802023656號