中国信息安全测评中心 邸丽清

工控产品信息安全评估准则的探讨

中国信息安全测评中心 邸丽清

1 功能安全（Safety）、RAM（可靠性、可用性、可维修性）和信息安全（Security）

1.1 工业控制系统所面临的风险

（1）安全性事故（HSE相关事故）

发生人员伤亡、环境破坏及系统损失等危害事件的事故，例如化工厂爆炸、毒气泄漏、火车相撞等。

（2）系统可用性降低

可导致系统可用性降低或丧失，如地铁或火车运营晚点、工厂停工等风险。此类事故后果可能不是非常严重，但是如果频繁发生，风险也是不可接受的。

（3）信息泄露

随着工控系统网络化、开放性不断扩大引发了第三类风险，即由于信息泄露引发的安全问题，如生产工艺数据被窃取等。

1.2 功能安全（Safety）、RAM和信息安全（Security）三者关系（如图1所示）

（1）功能安全、RAM和信息安全三者之间的关系

如图1所示，功能安全只关注HSE相关的安全事故，重点涉及软件、硬件方面系统自身的脆弱性引发的安全性事故。

图1 功能安全、RAM和信息安全三者之间的关系

系统可用性属于RAM的范畴，是系统可用性和可靠性方面的因素。安全性与可靠性既有关系又有区别，如果发生安全性事故，同时必定会引发系统可用性的降低。功能安全和RAM是之前大家讨论比较多的既有工控安全的范畴。

随着信息化与工业化的深度融合，有了网络攻击的特点，引发了信息安全问题。信息安全会导致信息的完整性和可用性、保密性等方面的问题。完整性被破坏可能也会间接地引发与安全相关的工控恶性事故。

信息安全同功能安全的区别在于，功能安全更注重自身脆弱性导致的事故，而信息安全体现在外部实体恶意利用系统本身的脆弱性进行攻击而导致的事故。同样，系统可用性也是如此，之前RAM研究的范围是自身的脆弱性，比如硬件或自身结构引起的随机故障。信息安全增加了外部实体的恶意攻击，比如导致拒绝服务攻击之类的，或者利用漏洞导致系统频繁死机，以及信息泄露。

工控安全的概念正在逐步扩大，之前讨论安全性事故、可用性事故，随着信息安全的引入，工控系统安全的概念更加广泛。功能安全、可用性、信息安全，三者并不是完全独立的，既有关系，又有区别，只有共同达到安全可控，才能保证整个工控系统的安全。

表1 Safety、RAM和Security威胁特点

（2）Safety（功能安全）、RAM和Security（信息安全）的威胁特点

如表1所示，从Safety、RAM和Security三者之间的威胁特点来看，功能安全和RAM强调的是系统自身的、偶然的威胁，比如硬件随机失效或者人为的误操作，系统设计和实现的脆弱性或者软件、硬件实现的脆弱性，系统级可能有配置和操作脆弱性等，以及周围环境的影响。信息安全强调的是外界实体利用系统脆弱性导致的威胁。从威胁的后果来看，对于HSE相关事故和系统可用性方面的风险之前已经考虑到了，信息安全的引入不仅会导致这两方面的事故，还新增加了一个信息泄露方面的事件。信息泄露对于工控安全来说，风险是否可接受要根据各行业自身的特点来定。

2 工控系统和产品功能安全评估现状

对于工控系统来说，功能安全是各行各业都会考虑的问题。功能安全标准最初的一个最基本标准是IEC 61508标准。由于是基本性的标准，没有办法覆盖各个行业，因此基于这个标准又衍生出了各个行业自身的标准，比如流程性行业的IEC 61511标准、轨道交通领域的行业标准EN 50126/128/129。衍生出的标准虽然适合不同行业，但基本思想是相通的。

2.1 风险定义

2.1.1 什么是风险（Risk）

（1）出现伤害的概率及该伤害严重性的组合（GB/T 20438.4）。

（2）一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量（GB/T25069）。

2.1.2 风险的两个要素

风险（Risk）=可能性（危害事件）×后果严重程度（伤害或影响）

2.2 风险评估（1）风险矩阵

常见的风险评估一般都会用到风险矩阵。如表2所示，一方面需要考虑可能性，另一方面还要考虑危害后果

表2 风险矩阵

（2）风险评估准则

在轨道交通领域，风险评估采用较多的是ALARP准则和GAMAB准则。

安全是相对的，不存在绝对的安全。从风险可控的角度来看，付出的成本和获得的收益要相权衡，并不需要无尽止地付出成本，降低风险。

2.3 风险评估与安全等级关系

（1）风险评估和安全等级分配

在进行了实际的风险评估之后，如果风险不可接受，则需要提出一些安全防护措施来降低风险到允许的程度。降低风险的措施一方面从危害事件的可能性出发，另一方面从危害后的严重程度来降低。为了更方便地衡量和指导企业实施安全防护措施，对应安全措施提出了安全等级概念。如图2所示。

图2 风险评估和安全等级分配示意图

2.4 功能安全完整性等级（如图3所示）

（1）安全完整性等级

依据在规定的时间内、规定的条件下，安全相关系统成功执行规定的安全功能的概率，将功能安全完整性分为四个等级：SIL1～SIL4。

（2）安全完整性等级包括两方面因素：

硬件安全完整性：一般有硬件随机失效，硬件的随机失效率是可以定量计算的。

系统安全完整性：主要是考虑从整个系统的实现、管理方面，包括整个生命周期，从需求到设计，到软硬件的实现，到安表，到运维。功能安全主要考虑由系统自身脆弱性引起的安全性事故，不考虑由威胁主体恶意利用脆弱性导致的危害。信息安全相对于功能安全的安全性事故来说，又多了一个触发的原因。因此在考虑整个系统的风险时，应同时考虑功能安全和信息安全两方面的因素影响。

图3 功能安全完整性等级示意图

2.5 工控系统功能安全风险管理流程

（1）风险分析和安全完整性等级分配

安全防护措施不是一次性完成的，在系统初步建设时，会识别威胁，评估风险，识别安全措施对应的安全完整性等级。

（2）风险管理是一个持续的贯穿整个安全生命周期的活动。

（3）安全需求和安全完整性等级可以从系统到子系统再到产品部件级的逐步分配细化，形成一个完整的系统化体系。

针对风险的评估，也不是一次性把风险评估完、定义完系统的完整性。如图4所示，PHA，预先风险性分析，即系统初步的危害性分析之后，再做系统的接口分析或系统级的功能分析，然后再到子系统级还会做子系统级的一些危害性分析。子系统可能还会向下分到模块级，不断补充安全需求。整个流程完成之后，再从测试、验证和确认的角度去确保这些安全功能的正确实现。

图4 工控功能安全风险管理流程

2.6 功能安全相关系统属性

2.6.1 功能安全相关系统具备的两方面因素

（1）安全需求的充分性。通过持续风险分析过程来充分识别可控制、消除或最小化威胁的安全需求。

（2）安全需求的正确性。仅有安全需求还是不够的，还需要确保选择合适的安全完整性等级。

功能安全在不同行业是有一定区别的，如流程化行业和轨道交通领域。流程化行业的安全相关系统，只有一个SIS系统或者安全的PLC。在轨道交通领域，列车的每个控制子系统都是安全相关系统，并不是整个系统只有一个安全相关系统，如紧急停车系统或者某个别的控制系统是安全相关系统。所以，定义安全相关系统基本上应具备两个因素，一个是充分性的或者完整的安全功能要求或安全需求，另一个是要有确保安全功能正确实现的等级。如图5所示。

3 工控系统信息安全标准

3.1 工控系统信息安全标准现状

工控系统信息安全的研究目前还处于起步阶段，还没有一些完善的标准体系来支撑。

3.1.1 国际上主流的标准

（1）IEC62443标准体系

• 涵盖组织的信息安全程序（62443-2-1，类似IEC27001）；

• 涵盖系统级标准（第三部分）；

• 涵盖产品级标准（第四部分）。

（2）美国国家标准技术研究院（NIST）

• NIST SP800-82《工业控制系统安全指南》；

• NIST SP800-53《针对联邦信息系统和组织建议的安全控制》；

• 《关键基础设施网络安全框架》。

3.1.2 国内相关标准

• GB/T 30976工业控制系统信息安全 （两个部分）已正式发布。

• 中国信息安全测评中心承担的《工业控制系统产品信息安全通用评估准则》标准。

3.2 传统IT信息系统标准

3.2.1 传统IT信息系统主要标准体系

（1）IEC27000系列——适用于组织级的信息安全程序。

（2）《信息系统安全等级保护标准》系列——适用于系统级，从广义上来说是一整套完整体系，包括产品、系统和管理。

（3）GB/T 18336《信息技术安全评估准则》（等同采纳IEC 15408），简称CC标准——适用于产品级的标准。

3.2.2 传统IT信息系统等级保护标准体系系统定级

基于信息系统被破坏之后的损害程度，传统IT信息系统等级保护标准体系将系统定级为5个级别，分别是：

第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

图5 功能安全相关系统的两方面因素

3.2.3 进行定级的对象

传统IT信息系统等级保护标准从它定义的对象来看具备三个特点：

（1）具有唯一确定的安全责任单位。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。只适用于整个系统级的定级，对于产品的定级和整个部件的定级是不适用的，应避免定义某个单一的系统组件，如将服务器、终端、网络设备等作为定级对象。

（2）具有信息系统的基本要素。

（3）承载单一或相对独立的业务应用。

整个系统等级确定后，需要在各个层面保持相同的等级，不再进行分配。不足的是从系统到产品就没有一个直接的对应关系，缺乏系统化的指导。

3.2.4 CC标准

（1）CC标准的定级

CC标准是针对产品评估的一个标准，定义了7个评估保障等级：

EAL1——功能测试；

EAL2——结构测试；

EAL3——系统的测试和检查；

EAL4——系统的设计、测试和复查；

EAL5——半形式化设计和测试；

EAL6——半形式化验证的设计和测试；

EAL7——形式化验证的设计和测试。

EAL1~EAL3级可对抗基本攻击潜力，EAL4~EAL5级可对抗增强基本攻击潜力，EAL5~EAL6级可对抗中等攻击潜力，EAL7级可对抗高等攻击潜力。

该评估保障等级侧重整个产品能够实现安全功能的一个信心保障程度，而不仅仅侧重于安全技术能力方面。分级评估是通过对信息技术产品的安全性进行独立评估后取得的安全保障等级，表明产品的安全性及可信度。获得的认证级别越高，产品可对抗更高级别的威胁，产品的可信度越高，适用于较高的风险环境。这个标准同安全完整性等级是类似的。安全功能依据威胁去识别，确认安全功能正确实现的等级，能给消费者和开发者一个信心，产品既然有这个功能，就能保证实现的级别。

（2）CC标准的特点

• CC标准不是针对某一款产品做的标准，提供了一套安全原理的实现方法，具备灵活性和通用性。

• CC标准采用了标准化语言的描述，使做完认证后的不同产品之间具备可比性。

• 但CC标准属于传统IT通用评估准则，其7个分级适用于产品，与系统等级没有形成直接的对应关系。

3.3 工控系统信息安全标准

3.3.1 IEC 62443标准系列

IEC 62443标准系列是针对工控系统的，试图从系统到产品建立一套完整体系。

（1）类似于功能安全的体系，这套标准采用了持续的风险管理的思想（62443-3-2）。

（2）定义了安全控制基线，并将技术要求划分为7类：

• 认证与授权（AC）；

• 使用控制（UC）；

• 数据完整性（DI）；

• 数据保密性（DC）；

• 受限的数据流（RDF）；

• 事件响应（TRE）；

• 资源可用性（RA）。

（3）整个安全等级基于风险分析，从系统——>区域和管道——>产品/部件进行分配。

例如：

EXAMPLE 1 —> SL-T(BPCS Zone) ={2 2 0 1 3 1 3}

EXAMPLE 2 —> SL-C(SIS Engineering Workstation) ={3 3 2 3 0 0 1}

EXAMPLE 3 —> SL-C(RA, FC- PLC)=4

从举例可以看出，括号中根据7大类技术要求，可以分配不同的等级。整个工控系统行业特点是不同的，基于实际的风险分析，分配的等级可能也是有所区别的，这个侧重于可用性，那个侧重于完整性。该标准对于整个工控系统解决方案的选择会更灵活一点，行业特点也可以更加丰富。

（4）安全等级（SL）划分

安全等级（SL）划分为4个级别：

• SL1：防护偶然或巧合性的信息安全违规行为；

• SL2：防护利用较少资源、一般技术和较低动机的简单手段的攻击；

• SL3：防护利用中等资源、工控系统中特殊技术和中等动机的复杂手段的攻击；

• SL4：防护使用扩展资源、工控系统中特殊技术和较高动机的复杂手段的攻击。

（5）对IEC62443标准的理解和看法

• IEC 62443标准是基于风险管理的方法，但也确定了安全控制基线，这两方面在一定程度上存在着矛盾。基于风险管理，可能针对这种威胁去识别对应的技术要求，但如果安全控制基线定的非常严格的话，就必须按照这个基线去实施，也就失去了一些灵活性。这两个方面可以互补，标准提供的安全基线仅是最佳实践和指导，安全实践可以基于此做选择，而非强制性的，技术要求应该与所处环境面临的威胁相对应。

• 安全等级（SL）不仅包括技术要求能力，还应包含对应的安全保障要求等级。该安全等级并没有强调安全等级的概念，虽然前面有定义，但是这个概念并没有强调必须在什么情况下才能满足这个安全等级。像前面提到的功能安全和信息安全就是保证等级可以分层次。系统完整性等级保障可分为：

（1）公司组织级 （其他标准，如ISO9000、CMMI、IEC27000等），是基础。

（2）工程项目级

• 系统建设 （系统数据配置、安装等）；

• 产品实现 （软硬件设计和开发、测试等）；

• 运行维护 （运维管理要求等）；

• 系统废弃 （停用或废弃的要求等）。

4 工控产品信息安全评估准则的探讨

工控产品信息安全评估准则是由中国信息安全测评中心承担开发的标准。

4.1 标准的适用性

（1）适用于消费者、开发者和评估者。

（2）适用于工控产品的开发和评估。该标准是针对工控产品的，但不仅限于工控安全防护产品，目前既有的控制系统也带有信息安全的功能。

4.2 借鉴GB/T 18336（CC标准）的成熟标准框架

（1）保持灵活性

标准不限定于某一具体产品的要求，而是提供了一套方法，适用于具备信息安全防护功能的所有工控产品。

（2）保持通用性和可比性

提供了标准化语言描述的通用安全功能要求和安全保障要求，使得产品之间具备可比性。

4.3 标准拟制思路

（1）提供风险评估和风险管理方法（第一部分）

产品依据预期使用环境进行持续风险分析，选取足够的安全要求来对抗或消减所识别的威胁；

（2）提供通用安全功能要求库（第二部分）

经过风险评估之后，通过裁剪和补充提出适用于ICS的安全功能要求集合，用于指导用户选取合适的安全要求。

（3）提供通用安全保障要求库（第三部分）

用于降低系统自身脆弱性的安全保障要求集合，包含产品需求、设计、实现、测试、管理等活动。

（4）与功能安全相对应，整个标准定义4个安全保障等级（SAL1～SAL4），提供分别对抗基本、基本增强、中等和高等攻击潜力的威胁。

4.4 标准的核心

如图6所示，标准的核心分为三个部分。

图6 工控产品信息安全评估准则的核心

（1）标准的第一部分。基于工控产品所面临的预期，使用环境进行风险分析，确定与风险可控相应的等级。

（2）标准的第二部分。该部分提供了安全功能库，依据前面的风险分析来识别，使得识别的安全要求要充分，并且识别的要求与威胁要一一对应，有可追溯性。

（3）标准的第三部分。这部分提供了安全保证要求，开发者依据这个标准去开发整个生命周期的管理、需求、设计、实现、测试和交付。评估者会依据开发者做的活动检查其正确性，此外评估者还会做相对独立性的测试，某些测试可能开发者已经做了，比如基本的模块测试、功能测试、确认测试。评估者还会做独立性的测试和穿透性的测试，确保整个系统到达一个相应的安全保障等级。

（文章整理自邸丽清在“2015第四届工业控制系统信息安全峰会”第四站上的报告）

邸丽清（1978-），女，河北石家庄人，高级工程师，博士，现就职于中国信息安全测评中心，主要研究方向为工控系统信息安全。