摘要：隨著工業(yè)發(fā)展的日新月異，工控系統(tǒng)安全問題愈發(fā)引人關注。研究表明，工業(yè)控制系統(tǒng)的信息安全可能直接影響功能安全問題，本文就來討論工業(yè)信息安全對功能安全的影響。

關鍵詞：工控，功能安全，信息安全

引言

我國是工業(yè)大國，自“十三五”以來，工業(yè)總量規(guī)模穩(wěn)步提升。隨著工業(yè)化和信息化融合加速，工控系統(tǒng)接口越來越開放，解決外部對系統(tǒng)惡意入侵的工業(yè)信息安全問題日益嚴重，國家出臺大量舉措，大力加強工業(yè)信息安全保障能力建設。除工業(yè)信息安全，功能安全也同為重要，早期人們對電子技術和計算機系統(tǒng)的可靠性、安全性沒有信心，而功能安全保證電氣、電子、計算機、現(xiàn)場總線技術構成的安全相關系統(tǒng)安全，現(xiàn)今通過外部網(wǎng)絡攻擊也可能會影響功能安全。2008年，伊拉克向土耳其輸送原油的輸油管道發(fā)生爆炸，土耳其為監(jiān)控1099英里石油管道，在這條管道內安裝了大量探測器和攝像頭。然而在爆炸將管道破壞前，卻沒有引發(fā)遇險信號。根據(jù)事故調查，緣由黑客關閉了警報、切斷了通信聯(lián)系、給管道內的原油大幅增壓?？梢钥闯龉I(yè)控制系統(tǒng)的信息安全可能直接影響功能安全問題，輕則造成財產(chǎn)損失，重則造成人身傷害危害國家安全，于是早期為保障安全相關系統(tǒng)的功能安全再次進入人們的視線。

功能安全的定義及標準

功能安全是依賴自動保護的系統(tǒng)或設備整體安全的一部分，該自動保護系統(tǒng)需要對其輸入做出正確響應，對失敗有可預測的反應這包括人為錯誤、硬件故障和操作/環(huán)境壓力。舉例來說，鍋爐控制系統(tǒng)在點火后會對壓力進行監(jiān)控，當壓力到達限定值可能造成危險時，鍋爐控制系統(tǒng)會自動關閉燃料系統(tǒng)。如果該機制失效，鍋爐持續(xù)燃燒，壓力超過限定值并持續(xù)增高，就會導致爆炸。

工業(yè)革命使我們的生活發(fā)生了翻天覆地的變化，機器取代人力，大規(guī)模工廠化生產(chǎn)取代個體手工生產(chǎn)。然而，人們在享受工業(yè)紅利的同時，由此引發(fā)的災難也接踵而至。在二十世紀，死于工傷事故的人，已成為人類最嚴重的死因之一。尤其在石油化工與核工業(yè)領域發(fā)生了多次爆炸或泄露事件，如1957年英國軍用溫茨凱爾反應堆事故、1979年美國三里島核事故、1984年印度博帕爾的聯(lián)合碳化物工廠泄漏、1986年前蘇聯(lián)的切爾諾貝利核電站發(fā)生泄漏事故。這些工業(yè)事故的起因都是安全相關系統(tǒng)的功能失效。

就是在這種背景下，經(jīng)過不斷實踐和摸索，歐美頒布了成套的功能安全相關產(chǎn)品指令和設計標準，并深入到各個領域，如汽車(ISO26262)、軌道控制(EN5012X)、核電(EN61513)、工業(yè)裝備及機器控制(EN62601, ENISO 13849-1/2)、過程控制(EN61511)等，國際上，IEC形成的IEC61508，IEC61511等系列標準在工業(yè)領域引起強烈反響，已經(jīng)逐步成為各國家、行業(yè)廣泛認可的基本功能安全標準，中國也仿效并形成了的相應國家標準，其他行業(yè)性功能安全標準也在參照并將逐步形成為國家行業(yè)性標準。

工業(yè)信息安全對功能安全的影響

我們整理歸納，總結出工業(yè)信息安全影響功能安全的三種情況。

1. 網(wǎng)絡攻擊導致功能安全的失效，繼而影響系統(tǒng)安全。

以SIS(安全儀表系統(tǒng))為例，SIS系統(tǒng)大多是應用于石油化工、電力等行業(yè)，在工控系統(tǒng)發(fā)生危險時，SIS系統(tǒng)使生產(chǎn)裝置進入一個預定義的安全停車工況，從而使危險降低到可以接受的最低程度，以保證人員、設備、生產(chǎn)裝置和環(huán)境的安全。由于工控系統(tǒng)設計之初，沒有將信息安全考慮在內，使得攻擊者通過網(wǎng)絡攻擊工控系統(tǒng)，致原本的功能安全失效，造成系統(tǒng)故障，繼而演變成危險源，使工控系統(tǒng)出現(xiàn)不可接受的風險時不能將風險降低到可接受范圍，最終導致事故的發(fā)生。

2. 工業(yè)信息安全產(chǎn)品影響功能安全。

當前工業(yè)信息安全產(chǎn)品經(jīng)過專業(yè)機構檢測、取得銷售許可和檢測報告就可以被企業(yè)購買應用在工控系統(tǒng)中。然而在檢測工業(yè)信息安全產(chǎn)品時依據(jù)的是信息安全技術相關產(chǎn)品的技術要求和測試評價方法，并不會考慮工控功能安全與工業(yè)信息安全產(chǎn)品相結合導致的新問題。在2020年12月，內蒙古某電廠就發(fā)生了因工業(yè)信息安全產(chǎn)品問題而導致機組跳機的事件。此事影響重大，經(jīng)查是一款旁路的設備，連接兩臺機組的交換機。由于設備在未加電狀態(tài)時兩個網(wǎng)口處于bypass連通狀態(tài)，兩臺機組DCS網(wǎng)絡直接互通，最終導致兩臺機組跳機。Bypass一般應用于工業(yè)場景，且只有在串聯(lián)設備中才可以起到作用，在串聯(lián)設備故障或斷電時能第一時間保障業(yè)務不被中斷。旁路設備攜帶bypass主要由于部分安全廠商傾向于避免硬件設計差異，將攜帶bypass硬件的設備同時應用于多款安全產(chǎn)品，包括串聯(lián)部署的防火墻，旁路部署的流量分析、入侵檢測、日志采集、安全管理等設備之中，加上開發(fā)時缺少相應管理流程，bypass未從底層關閉，最終導致事故的發(fā)生。

工控系統(tǒng)中對業(yè)務的實時性要求非常高，網(wǎng)絡延遲、抖動都有可能會影響功能安全，串聯(lián)部署的工業(yè)信息安全產(chǎn)品顯然會增加這方面的不確定性。雖然目前還沒有相關案例證明延遲、抖動會影響工控系統(tǒng)的功能安全，但隨著工業(yè)信息安全的不斷深入下沉，這種風險在不斷提高。同時工業(yè)信息安全產(chǎn)品實施的人員缺少對工控系統(tǒng)功能安全的了解，配置不正確的工業(yè)信息安全產(chǎn)品策略也可能也會阻斷正常通信，影響功能安全。

3. 工業(yè)信息安全加強功能安全，繼而提升工業(yè)安全。

在工業(yè)信息安全與功能安全中，有許多相似性，當兩者對安全的需求出現(xiàn)重疊時，工業(yè)信息安全就可以加強功能安全。如網(wǎng)絡安全等級保護中的安全通信網(wǎng)絡就在通信傳輸中有要求，應采用校驗技術或 密碼技術保證通信過程中數(shù)據(jù)的完整性，功能安全中也有通信完整性的需求，因此在攻擊者攻破一個組件時，另一個組件依舊可以起到作用。還有一種情況，工業(yè)信息安全產(chǎn)品可以監(jiān)測工控系統(tǒng)的狀態(tài)，如在某石油管道的關鍵路徑位置部署的工業(yè)安全審計系統(tǒng)，不光可以分析網(wǎng)絡流量異常行為，同時對IEC104和OPC數(shù)據(jù)采集進行監(jiān)控，當發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)中斷時，可分析故障原因，縮短故障處理時間。

結語

功能安全在漫長的歲月中經(jīng)歷了數(shù)不盡的事故才逐步走向完善，信息安全技術在Purdue模型中大多應用于2-4層，隨著工業(yè)互聯(lián)網(wǎng)以及5G、物聯(lián)網(wǎng)等技術的發(fā)展，信息安全技術不斷向下與功能安全緊密結合，二者之談其一保證不了工控系統(tǒng)的安全。本文分析了工業(yè)系統(tǒng)信息安全對功能安全的三種影響，但還停留在較為淺層的辨析二者關系。工業(yè)信息安全與功能安全融合還會暴露更多的問題，這種問題不光是技術上的，管理上也同樣存在。未來應從實踐中建立聯(lián)系，逐漸積累二者之間的影響，找到覆蓋工控系統(tǒng)全生命周期的一套方法，保障工業(yè)控制系統(tǒng)不受危害。

來源：關鍵基礎設施安全應急響應中心