工业互联网安全:架构与防御(网络空间安全技术丛书)
上QQ阅读APP看书,第一时间看更新

2.4.3 功能安全与信息安全的融合需求

虽然功能安全与信息安全并行发展了很长一段时间,但逐渐融合的趋势是显而易见的。早期,随着计算机在工业环境中的应用,工业控制领域开始涉及一些信息安全的需求,由于传统设备和控制系统的智能化程度不高,加上高度的隔离性和封闭性,因此信息安全不会受到太大的影响。

随着软件、Web、云计算技术在工业环境中的大量应用,包括控制系统自身的Web配置和监控、计算机辅助设计所采用的CAD/CAE/CAM/CAPP等软件、生产业务的组态监控程序、生产线及车间操作的管理平台MES、生产过程和资源成本管理的ERP系统、产品设计管理的PDM、内部人力资源管理OA系统、企业的门户站点等逐步应用到工业环境中,也将信息安全威胁带入工业环境中。IT环境和OT环境之间的平衡就是从这个时期开始被打破的,越来越多的软件应用和数据在IT和OT环境之间交互,在方便业务的同时也引入了更大范围的安全威胁。

2010年,伊朗发生的Stuxnet事件是工业互联网安全史上具有影响力的事件,它让全世界真正意识到工业系统环境中安全问题的严重性。从安全防御的视角来看,Stuxnet第一次让公众意识到APT在工业互联网环境中造成的危害,随后陆续出现的Duqu、BlackEnergy、Havex、Industroyer等针对工业互联网系统目标的恶意代码使得原先基于主机、网络、应用系统、中间件、云系统环境的各种被动防御技术更加难以招架。这时,工业互联网的概念被正式提出,引入了大量新的技术和业务模式,很多技术架构发生了变化,尤其是工业云平台、APP、边缘计算、大数据、大量IoT类设备、人工智能、区块链、数字孪生、5G技术的应用,使得工业互联网环境真正迎来了IT、OT和CT的融合,大大扩大了其应用边界。

随着新一轮工业革命的推进,制造业的智能化转型正在让现实与虚拟世界之间的界限变得越来越模糊,带有IP地址的网络设备正在快速、大面积地覆盖智能工厂。当生产过程和信息合二为一,就呼唤新的运营模式、要求IT和OT进一步深度融合,形成一个贯穿整个制造企业的技术架构。在当今的工业领域中,安全包括信息安全、功能安全和物理安全3个层面。在数字化和网络化阶段,功能安全和物理安全是关注的重点,其中功能安全强调系统自身存在的脆弱性导致的系统失效,即由于系统自身的不鲁棒性在运行过程中导致的系统失效。信息安全虽然也关注系统自身的脆弱性,但更强调威胁主体利用系统自身存在的脆弱性导致的系统失效,即系统脆弱性易于被人利用。

但由于早期IT和OT的平行发展,功能安全与信息安全独立演化,导致现有的安全防护措施不能很好地适应两者的融合。一体化的安全并非二者的简单叠加,而应当是深度的一体化融合。其中的难点主要在于信息安全已经走到了APT阶段,而工业安全仍处于基于系统思维构筑安全系统的阶段。

虽然针对功能安全和信息安全的各种技术已在工业控制系统上广泛使用,但随着自动化、数字化、信息化技术的不断发展,越来越多的信息互联和控制应用被集成到同一个系统中。当功能安全和信息安全集中于同一个智能化系统架构时,需要建立一套综合的全生命周期安全一体化体系,涵盖功能安全和信息安全的问题,包括风险评估、开发、集成、安装验收等阶段,图2-5展示了功能安全周期与信息安全周期的对比,其中带标号的部分为功能安全周期,未带标号的部分为信息安全周期。

在安全一体化标准设计方面,国际电工委员会(IEC)于2019年提出工业过程测量、控制和自动化功能安全和信息安全框架TR 63069。欧盟研究理事会资助了一项功能安全与信息安全的风险综合分析的项目CAESAR,旨在研究功能安全与信息安全的复杂交互,以提出脆弱性和安全失效在系统中的传递模型、系统级风险度量的有效算法以及量化方法。针对复杂工控系统中功能安全与信息安全之间耦合程度的建模、识别等问题,法国电力集团(The EDF Group)提出了基于布尔逻辑驱动的马尔可夫过程对功能安全与信息安全的相互依赖性建模。

总体而言,国内外关于功能安全与信息安全一体化的研究还处于初级阶段,安全一体化的架构设计及标准、规范在国内外均尚未形成。实现全生命周期一体化设计主要面临三个难题。

图2-5 功能安全周期与信息安全周期的对比

1.探索并明确功能安全与信息安全在全生命周期中的耦合边界问题

功能安全一般以功能回路为导向,并不针对一个设备或部件。例如针对自适应巡航系统(Adaptive Cruise Control,ACC)进行正常减速跟车的功能安全分析,这个减速过程涉及前雷达目标探测、中央控制单元进行数据处理、制动系统进行减速的整个过程回路,而针对其中任何一项是无法进行功能安全分析的。信息安全则一般以区域为导向,需要确定工控系统中的区域和管道,每个区域有一个要求的信息安全等级。表2-2展示了全生命周期功能安全与信息安全的详细分析。为了将两者融合,需要对两者的边界关系进行明确区分(如图2-6所示),进而深化全生命周期安全一体化设计的理念。

表2-2 功能安全和信息安全的差异对照

图2-6 功能安全与信息安全边界模型

2.功能安全与信息安全一体化耦合与依赖关系建模的理论难题

在工业控制系统中,信息安全与功能安全并不是相互独立的。例如,强有力的诊断措施可能同时有益于信息安全与功能安全;有些措施则使两者存在冲突,例如当汽车车顶受到巨大压力即将翻车的时候,可以自动打开车门以保证车内人员逃生,但这个特性也为偷车贼提供了可乘之机。因此,针对安全相关控制系统功能安全与信息安全耦合作用、相互影响引起的安全域泛化问题,在高动态强耦合条件下,进行耦合建模有助于分析安全事件迁移演化预测、风险耦合量化、策略冲突检测与兼容性分析,为一体化设计实现提供理论指导。

3.如何建立信息空间与物理空间综合的一体化安全架构的难题

在工控系统复杂化、安全威胁隐秘化、业务信息集成化、安全边界无效化的趋势下,安全相关控制系统的传统架构已无法适应信息物理协同攻击的防范需求,急需构建跨越物理域与信息域,覆盖设计、研发、评测、运维、退役等阶段的全生命周期安全一体化纵深防御体系。架构的建立用于保障形成安全一体化融合增强设计规范,开发对应的一体化安全组件,保障智能控制设备的安全完整性。