工業(yè)測控設(shè)備的范圍包括變送器、執(zhí)行器等過程傳感與執(zhí)行設(shè)備，以及PLC、DCS等各類控制器，同時包括涉及的上位機系統(tǒng)。測控設(shè)備是工業(yè)控制系統(tǒng)的神經(jīng)中樞，隨著工業(yè)控制系統(tǒng)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展，面臨著安全威脅加劇滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。

工業(yè)控制系統(tǒng)信息安全已經(jīng)上升到國家戰(zhàn)略安全層面。美國、歐盟、中國等高度重視工業(yè)信息安全發(fā)展，發(fā)布了工業(yè)信息安全的國家戰(zhàn)略和政策法規(guī)，以構(gòu)建工業(yè)信息安全保障體系。

2017年美國總統(tǒng)簽署《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》行政令。美國工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)組（Industrial Control System Cyber Emergency Response Team，ICS-CERT）對關(guān)鍵基礎(chǔ)設(shè)施的測控設(shè)備廠商、集成商、用戶提出了縱深防御實施要求，按年發(fā)布漏洞報告；歐盟應(yīng)急響應(yīng)組承擔(dān)“歐洲關(guān)鍵基礎(chǔ)設(shè)施保護項目”，分析工業(yè)安全事件響應(yīng)，指導(dǎo)各成員國的信息安全措施。2017年黨的十九大報告強調(diào)“開展關(guān)鍵信息基礎(chǔ)設(shè)施保護”、中國工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》等，初步形成“政府引導(dǎo)，企業(yè)主體，自主制造，共同推進”的基本方針。

本文闡述了工業(yè)測控設(shè)備功能安全、信息安全技術(shù)的發(fā)展過程，以及目前國內(nèi)外安全型工業(yè)測控設(shè)備的產(chǎn)品化業(yè)態(tài)，介紹了相關(guān)工業(yè)測控設(shè)備安全標(biāo)準(zhǔn)的制定進展，最后總結(jié)了工業(yè)測控設(shè)備安全的未來發(fā)展趨勢。

2.1　功能安全型工業(yè)測控設(shè)備

從安全角度來看，第一代為功能安全型工業(yè)測控設(shè)備。功能安全型工業(yè)測控設(shè)備一般應(yīng)進行SIL（Safety Integrity Level）認(rèn)證。

SIL認(rèn)證是基于國際標(biāo)準(zhǔn)IEC 61508 、IEC 61511等進行，分為SIL1、SIL2、SIL3、SIL4四個等級。IEC 61508、IEC 61511等系列標(biāo)準(zhǔn)已經(jīng)逐步成為各國家、行業(yè)廣泛認(rèn)可的基本功能安全標(biāo)準(zhǔn)，中國已有相應(yīng)的國家標(biāo)準(zhǔn)。IEC 61508標(biāo)準(zhǔn)給出了功能安全定義：功能安全主要是針對與E/E/PE相關(guān)的設(shè)備及控制系統(tǒng)，避免在系統(tǒng)故障或失效時，被控對象/過程或其他相關(guān)系統(tǒng)導(dǎo)致不可接受的風(fēng)險，造成經(jīng)濟損失、人員傷亡或環(huán)境污染。

功能安全型工業(yè)測控設(shè)備相對發(fā)展比較成熟，國內(nèi)外很多工業(yè)測控設(shè)備均已通過功能安全SIL認(rèn)證，包括PLC控制器、SIS安全儀表系統(tǒng)、DCS控制器、變送器、執(zhí)行器等設(shè)備。

2.2　信息安全型工業(yè)測控設(shè)備

從安全角度來看，第二代為信息安全型工業(yè)測控設(shè)備。信息安全型工業(yè)測控設(shè)備目前主要基于《工業(yè)過程測量、控制和自動化 網(wǎng)絡(luò)與系統(tǒng)信息安全》（IEC 62443）進行認(rèn)證。IEC 62443是針對工業(yè)自動化和工業(yè)安全的系列標(biāo)準(zhǔn)，指導(dǎo)系統(tǒng)集成商、產(chǎn)品提供商和服務(wù)提供商對他們的產(chǎn)品和服務(wù)進行安全性評估，引入了信息安全保障等級（Security Assurance Level, SAL）的概念，分為SAL1、SAL2、SAL3、SAL4四個等級。中國正在制定相應(yīng)的國家標(biāo)準(zhǔn)。

IEC 62443針對工控系統(tǒng)信息安全的定義是：（1）保護系統(tǒng)所采取的措施；（2）由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；（3）能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失；（4）基于計算機系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；（5）防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。

在產(chǎn)品開發(fā)方面，羅克韋爾自動化、西門子、通用電氣等國際廠商已開展了信息安全研究和產(chǎn)業(yè)化工作，發(fā)布了Allen-Bradley Stratix 5950控制器、縱深防御S7 1500系列控制器。國內(nèi)重慶川儀研發(fā)了全國產(chǎn)化自主可控的WIA系列變送器/執(zhí)行器；和利時、浙江中控、杭州優(yōu)穩(wěn)等已發(fā)布具備信息安全功能的UW、LK等型號控制器，應(yīng)用于電力、冶金、石化、軌道交通等行業(yè)。

在產(chǎn)品認(rèn)證方面，目前國際上主流的工業(yè)控制系統(tǒng)信息安全認(rèn)證主要為ISA Secure認(rèn)證和Achilles認(rèn)證。信息安全型工業(yè)測控設(shè)備目前處于發(fā)展完善階段，國內(nèi)外已有系列工業(yè)測控設(shè)備通過了ISA Secure認(rèn)證或Achilles認(rèn)證，因需要從設(shè)計層面增加信息安全防護機制，對工業(yè)測控設(shè)備的計算能力有額外的要求，所以目前主要集中在PLC控制器、DCS控制器、SIS安全儀表系統(tǒng)等設(shè)備。

2.3　功能安全與信息安全融合型工業(yè)測控設(shè)備

從安全角度來看，第三代為功能安全與信息安全融合型工業(yè)測控設(shè)備。

工業(yè)控制系統(tǒng)信息安全防護長期側(cè)重于網(wǎng)絡(luò)域的“縱深防御”，通過隔離網(wǎng)絡(luò)保護重要資產(chǎn)，使得傳統(tǒng)的外網(wǎng)滲透攻擊手段失效。傳統(tǒng)防護技術(shù)手段具有局限性，網(wǎng)絡(luò)無法阻斷物理介質(zhì)傳輸數(shù)據(jù)和物理設(shè)備的接入，隨著APT攻擊愈演愈烈，即使是物理隔離的工業(yè)測控設(shè)備，亦可以成為攻擊目標(biāo)。增強工業(yè)測控設(shè)備自身的內(nèi)生安全能力是解決問題的根本途徑之一。

但是，從設(shè)計層面，工業(yè)測控設(shè)備信息安全能力的增加，與功能安全存在資源、目標(biāo)、策略等沖突，如信息安全防護策略有可能會增大系統(tǒng)功能安全方面的風(fēng)險，功能安全保障措施也有可能給系統(tǒng)引入新的信息安全漏洞等。因此設(shè)計時應(yīng)將功能安全與信息安全相結(jié)合，以業(yè)務(wù)系統(tǒng)功能安全（Safety）的可用性為目標(biāo)和約束條件，再考慮信息安全（Security），通過迭代優(yōu)化設(shè)計，消除沖突，實現(xiàn)工業(yè)系統(tǒng)的功能安全與信息安全融合，降低信息物理融合帶來的信息安全風(fēng)險。目前國內(nèi)外已經(jīng)開始從設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等層面上考慮功能安全與信息安全融合問題，從標(biāo)準(zhǔn)制定、建模方法、體系結(jié)構(gòu)、任務(wù)調(diào)度等角度開展相關(guān)研究工作。但是現(xiàn)有的功能安全與信息安全融合研究都集中在工業(yè)控制系統(tǒng)，并未涉及到現(xiàn)場控制器、現(xiàn)場儀器儀表層次的實際安全需求。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）制定了SP 800-82、800-53等工控安全系列標(biāo)準(zhǔn)，國際電工委員會（International Electrotechnical Commission，IEC）制定了IEC 62443工控安全系列標(biāo)準(zhǔn)，推動了測控裝備測試認(rèn)證，如國際Achilles、ISA Secure認(rèn)證。

IEC功能安全與信息安全融合工作組TC65/WG20對工業(yè)控制系統(tǒng)的功能安全與信息安全融合開展了研究；IEC 62443-3從系統(tǒng)信息安全的角度出發(fā)，初步探討了系統(tǒng)級功能安全與信息安全的相互影響，但尚未對功能安全與信息安全的融合進行深入研究。

國內(nèi)也先后制定發(fā)布了《可編程邏輯控制器（PLC）安全要求》、《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全-第2-1部分：建立工業(yè)自動化和控制系統(tǒng)信息安全程序》、《集散控制系統(tǒng)（DCS）安全防護標(biāo)準(zhǔn)》、《集散控制系統(tǒng)（DCS）安全管理標(biāo)準(zhǔn)》、《集散控制系（DCS統(tǒng)）安全評估標(biāo)準(zhǔn)》和《集散控制系統(tǒng)（DCS）風(fēng)險與脆弱性檢測標(biāo)準(zhǔn)》等功能安全和信息安全相關(guān)國家標(biāo)準(zhǔn)。機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所將功能安全與信息安全融合的相關(guān)要求應(yīng)用于智能工廠與數(shù)字化車間，制定了安全一體化的系列標(biāo)準(zhǔn)。國內(nèi)已有功能安全與信息安全融合的工業(yè)測控設(shè)備方面的研究文獻(xiàn)、發(fā)明專利可查，也有相關(guān)的國家科技項目立項，但尚未制定相關(guān)的國家標(biāo)準(zhǔn)。

隨著工業(yè)互聯(lián)網(wǎng)的愈加成熟，工業(yè)測控設(shè)備在邊緣計算層面將會發(fā)揮越來越重要的作用，同時越來越多新的安全問題將會出現(xiàn)，在工業(yè)測控設(shè)備的安全防護上也應(yīng)該采用更多新的思路。本文結(jié)合工業(yè)測控設(shè)備安全技術(shù)的發(fā)展現(xiàn)狀，總結(jié)了以下幾個發(fā)展方向：

（1）目前缺少對功能安全與信息安全融合測控設(shè)備的測評認(rèn)證，亟需開展對其測評認(rèn)證相關(guān)研究工作。

（2）功能安全與信息安全融合理論與方法基礎(chǔ)薄弱，融合共性關(guān)鍵技術(shù)、關(guān)鍵環(huán)節(jié)支撐手段缺乏，融合測試分析評估標(biāo)準(zhǔn)與規(guī)范尚未完善，測評服務(wù)平臺尚未形成，應(yīng)加快相關(guān)研究工作。

（3）現(xiàn)有信息安全手段，主要集中在網(wǎng)絡(luò)層，在感知控制層十分缺乏。在感知層，大型工程中變送器/執(zhí)行器自主配套率不足20%，且防護手段幾乎為零，亟需加強設(shè)備自身的信息安全防護能力。在控制層需進一步標(biāo)準(zhǔn)化安全技術(shù)，與感知層形成安全閉環(huán)。

（4）隨著邊緣服務(wù)器、邊緣網(wǎng)關(guān)、邊緣控制器、邊緣智能儀器儀表等新型邊緣設(shè)備的應(yīng)用，亟需從設(shè)計層面研究功能安全與信息安全技術(shù)的融合理論與方法，以及細(xì)粒度的輕量級、可配置、易部署的功能安全與信息安全組件。

隨著自動化領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化的快速發(fā)展，智能工業(yè)測控設(shè)備面臨著功能失效因素不斷增多和信息攻擊加速滲透等威脅，存在同時滿足功能安全和信息安全防護的迫切需求，但如何在資源嚴(yán)重受限的條件下實現(xiàn)二者的有機融合是一個巨大的挑戰(zhàn)。

通過對功能安全與信息安全融合測控設(shè)備基礎(chǔ)理論、關(guān)鍵技術(shù)、產(chǎn)品開發(fā)與測試評估等全生命周期各階段共性關(guān)鍵技術(shù)的研究，提高智能工業(yè)測控設(shè)備功能安全與信息安全融合能力迫在眉睫。

文章來源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟