信息与功能安全的双保险

信息与功能安全的双保险

网络攻击是石油天然气行业愈发严重的安全威胁

作者:Peter Sieber 文章来源:PROCESS《流程工业》 点击数:47 发布时间:2019-03-11
IBM公司2015年的一项调查研究表明,制造业生产设备受到网络攻击的可能性高于金融服务业,这个结果令人惊讶。只有将功能安全与IT安全结合到一起,才能保证石油和天然气行业中的企业最高的整体安全性。
信息与功能安全的双保险

如今,IOT物联网带来的改变越来越清楚地突显工程技术人员掌握IT技术知识的重要性。当然,这同样也适用于IT工程师。两大工程师团队都应就这一问题进行沟通,他们必须熟悉彼此的工作领域。有趣的是,德语中的“安全”不仅表示功能安全,也有表示防止外部攻击的含义。因此,Hima公司用它开发的工具既保护了功能性安全又保护了设备安全,无论是上游、中间还是下游设备的安全。

与安全有关的自动化解决方案,还必须确保能够有效地防止网络攻击。不同的安全观点可以分为下列几种:功能安全的目的是保护人员、设备和环境不受侵害,之所以包含了环境是因为环境受到影响后也会给设备带来危害;网络安全则包括了网络和数据的可用性、完整性和保密性,它涉及到的安全保护指的是设备不受环境因素的影响。因此,只有把功能性安全和信息安全结合到一起才能保证设备的整体安全。

石油和天然气工业领域的大型项目中,许多企业都有着各不相同的安全目标。生产厂家重视其流程设备操作系统的安全保障,而设备集成商们则必须保护它们的专业技术知识不会泄露,并要求用户负责系统操作使用时的安全。但都没有简单的方法来确保网络安全,因此上述所有问题都必须认真对待。供应商、集成商和最终用户面临的挑战则是,把他们的特定技术捆绑在一起。

今天的流程设备面临着更严重的网络攻击风险
今天的流程设备面临着更严重的网络攻击风险

设备安全的国际标准

IEC 61508国际标准定义了与电子技术、电气技术和可编程技术系统有关的功能性安全。标准中的功能性安全的定义是:整个安全系统中,根据其初始状态信息使系统或者设备做出正确反映的一个组成部分。IT安全的目的是在工作过程中,使系统尽可能不受负面影响,以避免对人员、设备和环境带来危害,或者将危害降低到最低程度。

事实上,每一个自动化系统即便忽略受到的外部恶意攻击,也都会对IT安全构成威胁。这也包括了与安全保护有关的系统本身,以及与安全系统有关的DCS分散式控制系统。出于这一原因,许多安全专家不仅要求与安全保护系统的元器件与分散式控制系统的元器件相互隔离,而且还要求由不同的技术团队或供应商负责安全保护系统。

另外,SIS安全保护系统还必须遵守国际标准IEC 61511的规定。而且不论涉及到的是独立的安全保护系统还是基本的过程控制系统,都必须遵守这一国际标准的规定和要求。图1所示是IEC 61511标准在实际应用中的情况。

按照国际标准规定的安全保护模式,可以将工业过程中的风险降低到最低程度,以便将总的风险降低到人们可以接受的水平。不同层次降低风险的因素是由安全完整性等级SIL决定的。

每一套流程设备的第一层安全防护是控制和监控层次的安全防护,其中包括了基本的过程控制。这一层次的安全防护降低了发生不良事件的风险。预防层包括了SIS安全系统,这一层次中的硬件和软件都满足了SIF安全功能的要求。为了将总的风险降低到可以接受的程度,安全系统中的大多数关键工艺流程都要满足安全完整性等级SIL3的要求,也就是安全系数至少为1 000。

在安全保护的衰减层中,必须要采用能够在出现意外情况时,把损失限制在一定范围内的技术措施。一般情况下,这样的风险衰减系统不是安全保护系统的一部分,原因是它只能在出现意外情况时才被激活。通常情况下,这种衰减风险的系统是由机械装置或者专门设计的特殊部件构成的,例如蓄水池或消防系统等。

再看看有关物流安全的IEC标准。目前正在起草的IEC 62443标准的内容包含了防止对企业网络和系统进行攻击的关键安全技术。IEC 62443标准中提出了7项基本要求,这7项要求涉及到了不同的安全目标,例如保护系统不受到非法入侵的侵害。除此以外,IEC 62443标准还包含了企业网络中自动化系统的保护。正如图2所示,标准要求整个系统被隔离起来。另外,该标准还定义了安全区、连接渠道和其防火墙,并对它们提出了不同的要求。通过这种结构建立起了多层次的防御机制,也被称之为深度防御,可以根据不同安全区的安全等级对防火墙设定不同的要求。

网络安全标准不仅要求安全系统与自动化系统是相互分离的,而且还增加了DMZ安全区、各个安全区的性能定义和防火墙的要求
网络安全标准不仅要求安全系统与自动化系统是相互分离的,而且还增加了DMZ安全区、各个安全区的性能定义和防火墙的要求

安全系统的“木桶效应”

最新版的IEC 61511标准中提及,必须平等地考虑设备操作和物理结构的安全保护要求。该标准提出了诸多要求,例如SIS技术性的安全保护系统、确保安全保护系统有着足够的抵抗已知风险的能力,保证SIS安全保护系统的功能,错误识别与纠正、防止不必要的程序改动,保护用于故障查询的安全功能SIF数据、防止在报警和手动关闭时出现机械操作困难的问题以及有安全的读写激活、禁用方法等。

就结构要求而言,IEC 61511标准要求流程设备的运营商应对其SIS安全保护系统进行评估。运营商必须确保不同等级的安全区之间的独立性,不同安全区之间应相互分离,在出现故障时能够从各个安全区之间的相互关系中找出故障原因,避免再次发生类似故障。

IEC 61511标准对于网络安全和工厂安全之间的关联给予了高度的关注。标准规定安全技术功能应与非安全功能尽可能分开。IEC 61511和IEC 62443标准都提出了独立的安全保护等级要求。两个标准的有关规定如下:

  • 控制系统和安全系统应是相互独立;
  • 采取减少系统错误的措施;
  • 技术功能和管理职能必须是相互分离的;
  • 能够减少引起常见故障的因素。

除此之外,两个标准都强调了整个系统的安全如何,取决于系统中最薄弱的一个环节。安全保护系统和自动化控制系统在同一平台运行,在使用集成式安全保护系统时,可能会危及安全功能的硬件和软件应当作安全功能的组成部分予以考虑。这意味着标准的自动化系统必须采用与安全保护系统一样的管理方案。

组织措施

除了技术措施之外,流程设备运营商在网络安全工作中采取必要措施也非常重要。现有的技术无法抵抗新出现的网络攻击,因此,定期检查企业内部网络的安全性十分重要,例如进行手动的网络入侵和攻击测试。

另外,可操作的连续性监控也非常重要。例如,流程设备操作者可以利用工业协议关停流程设备,这对黑客来讲也不会是一个大难题。因此要提醒所有的操作者都保持清醒:如果某位员工的密码意外泄露,黑客就能够轻而易举地发起进攻。另外,在任何情况下都不得在DCS分散式控制系统中上网或者玩视频游戏。

结语

有许多的方法来确保工业生产设备的网络安全,除了上述技术措施之外还需要采用一些从信息技术领域中派生出来的措施。所有与流程设备安全有关的信息都要在从流程设备的规划设计起直到流程设备的整个寿命周期中完整记录和保存下来。生产厂家、系统集成商和用户必须始终关注最新的安全技术,引进并实施最严格的质量控制。在考虑了上述所有因素之后,才能安全可靠地使用、运行石油天然气生产设备。