工业控制系统信息安全与功能安全研究

摘要

随着工业发展的日新月异，工控系统安全问题愈发引人关注。研究表明，工业控制系统的信息安全可能直接影响功能安全问题，本文就来讨论工业信息安全对功能安全的影响。

关键词：工控，功能安全，信息安全

一、引言

我国是工业大国，自“十三五”以来，工业总量规模稳步提升。随着工业化和信息化融合加速，工控系统接口越来越开放，解决外部对系统恶意入侵的工业信息安全问题日益严重，国家出台大量举措，大力加强工业信息安全保障能力建设。除工业信息安全，功能安全也同为重要，早期人们对电子技术和计算机系统的可靠性、安全性没有信心，而功能安全保证电气、电子、计算机、现场总线技术构成的安全相关系统安全，现今通过外部网络攻击也可能会影响功能安全。2008年，伊拉克向土耳其输送原油的输油管道发生爆炸，土耳其为监控1099英里石油管道，在这条管道内安装了大量探测器和摄像头。然而在爆炸将管道破坏前，却没有引发遇险信号。根据事故调查，缘由黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。可以看出工业控制系统的信息安全可能直接影响功能安全问题，轻则造成财产损失，重则造成人身伤害危害国家安全，于是早期为保障安全相关系统的功能安全再次进入人们的视线。

二、功能安全的定义及标准

功能安全是依赖自动保护的系统或设备整体安全的一部分，该自动保护系统需要对其输入做出正确响应，对失败有可预测的反应这包括人为错误、硬件故障和操作/环境压力。举例来说，锅炉控制系统在点火后会对压力进行监控，当压力到达限定值可能造成危险时，锅炉控制系统会自动关闭燃料系统。如果该机制失效，锅炉持续燃烧，压力超过限定值并持续增高，就会导致爆炸。

工业革命使我们的生活发生了翻天覆地的变化，机器取代人力，大规模工厂化生产取代个体手工生产。然而，人们在享受工业红利的同时，由此引发的灾难也接踵而至。在二十世纪，死于工伤事故的人，已成为人类最严重的死因之一。尤其在石油化工与核工业领域发生了多次爆炸或泄露事件，如1957年英国军用温茨凯尔反应堆事故、1979年美国三里岛核事故、1984年印度博帕尔的联合碳化物工厂泄漏、1986年前苏联的切尔诺贝利核电站发生泄漏事故。这些工业事故的起因都是安全相关系统的功能失效。

就是在这种背景下，经过不断实践和摸索，欧美颁布了成套的功能安全相关产品指令和设计标准，并深入到各个领域，如汽车（ISO26262）、轨道控制（EN5012X）、核电(EN61513)、工业装备及机器控制（EN62601, ENISO 13849-1/2）、过程控制(EN61511)等，国际上，IEC形成的IEC61508，IEC61511等系列标准在工业领域引起强烈反响，已经逐步成为各国家、行业广泛认可的基本功能安全标准，中国也仿效并形成了的相应国家标准，其他行业性功能安全标准也在参照并将逐步形成为国家行业性标准。

三、工业信息安全对功能安全的影响

我们整理归纳，总结出工业信息安全影响功能安全的三种情况。

1. 网络攻击导致功能安全的失效，继而影响系统安全。

以SIS（安全仪表系统）为例，SIS系统大多是应用于石油化工、电力等行业，在工控系统发生危险时，SIS系统使生产装置进入一个预定义的安全停车工况，从而使危险降低到可以接受的最低程度，以保证人员、设备、生产装置和环境的安全。由于工控系统设计之初，没有将信息安全考虑在内，使得攻击者通过网络攻击工控系统，致原本的功能安全失效，造成系统故障，继而演变成危险源，使工控系统出现不可接受的风险时不能将风险降低到可接受范围，最终导致事故的发生。

2. 工业信息安全产品影响功能安全。

当前工业信息安全产品经过专业机构检测、取得销售许可和检测报告就可以被企业购买应用在工控系统中。然而在检测工业信息安全产品时依据的是信息安全技术相关产品的技术要求和测试评价方法，并不会考虑工控功能安全与工业信息安全产品相结合导致的新问题。在2020年12月，内蒙古某电厂就发生了因工业信息安全产品问题而导致机组跳机的事件。此事影响重大，经查是一款旁路的设备，连接两台机组的交换机。由于设备在未加电状态时两个网口处于bypass连通状态，两台机组DCS网络直接互通，最终导致两台机组跳机。Bypass一般应用于工业场景，且只有在串联设备中才可以起到作用，在串联设备故障或断电时能第一时间保障业务不被中断。旁路设备携带bypass主要由于部分安全厂商倾向于避免硬件设计差异，将携带bypass硬件的设备同时应用于多款安全产品，包括串联部署的防火墙，旁路部署的流量分析、入侵检测、日志采集、安全管理等设备之中，加上开发时缺少相应管理流程，bypass未从底层关闭，最终导致事故的发生。

工控系统中对业务的实时性要求非常高，网络延迟、抖动都有可能会影响功能安全，串联部署的工业信息安全产品显然会增加这方面的不确定性。虽然目前还没有相关案例证明延迟、抖动会影响工控系统的功能安全，但随着工业信息安全的不断深入下沉，这种风险在不断提高。同时工业信息安全产品实施的人员缺少对工控系统功能安全的了解，配置不正确的工业信息安全产品策略也可能也会阻断正常通信，影响功能安全。

3. 工业信息安全加强功能安全，继而提升工业安全。

在工业信息安全与功能安全中，有许多相似性，当两者对安全的需求出现重叠时，工业信息安全就可以加强功能安全。如网络安全等级保护中的安全通信网络就在通信传输中有要求，应采用校验技术或密码技术保证通信过程中数据的完整性，功能安全中也有通信完整性的需求，因此在攻击者攻破一个组件时，另一个组件依旧可以起到作用。还有一种情况，工业信息安全产品可以监测工控系统的状态，如在某石油管道的关键路径位置部署的工业安全审计系统，不光可以分析网络流量异常行为，同时对IEC104和OPC数据采集进行监控，当发现网络数据中断时，可分析故障原因，缩短故障处理时间。

四、结语

功能安全在漫长的岁月中经历了数不尽的事故才逐步走向完善，信息安全技术在Purdue模型中大多应用于2-4层，随着工业互联网以及5G、物联网等技术的发展，信息安全技术不断向下与功能安全紧密结合，二者之谈其一保证不了工控系统的安全。本文分析了工业系统信息安全对功能安全的三种影响，但还停留在较为浅层的辨析二者关系。工业信息安全与功能安全融合还会暴露更多的问题，这种问题不光是技术上的，管理上也同样存在。未来应从实践中建立联系，逐渐积累二者之间的影响，找到覆盖工控系统全生命周期的一套方法，保障工业控制系统不受危害。

关于格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

内容编辑：仁心 责任编辑：王星凯

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营，绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。