工业控制系统及应用-SCADA系统篇（第2版） 课件 第6章安全仪表系统与工业控制系统信息安全

监控与数据采集技术Ch6安全仪表系统与工业控制系统信息安全一、功能安全基础1、功能安全相关的基本概念与标准（1）安全功能与功能安全在生产、生活中强调“安全是永恒的主题”。存在各类危险源：自然、自身、敌人通过各种安全功能（SafetyFunction）来降低风险，减少生命财产损失是非常有必要的。安全功能的例子包括：在要求时执行的功能，比如为避免危险状况的积极行动（如切断燃料阀门）采取预防行为的功能（如防止电机启动）功能安全（FunctionalSafety）是包括安全仪表系统在内的安全子系统是否能有效执行其安全功能的体现。功能安全是一种基于风险的安全技术和管理模式。

风险评估是实施功能安全管理的前提（2）功能安全评估功能安全是与EUC和EUC控制系统有关的整体安全的组成部分，它取决于E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低措施的正确执行。功能安全包含安全相关系统的安全功能和安全功能的执行能力两层含义。通过各种安全功能（SafetyFunction）来降低风险，减少生命财产损失是非常有必要的。E/E/PE安全相关系统的功能安全评估就是对E/E/PE安全相关系统的安全功能是否正确，以及其执行预期的安全功能的能力进行评估功能安全是一种基于风险的安全技术和管理模式。功能安全评估需要由具有相应资质的机构完成。（3）功能安全标准国际电工委员会于2000年出台了功能安全国际标准IEC61508。IEC61508标准发布之后，适用于其他行业的功能安全标准相继出台核工业的IEC61513标准机械工业的IEC62021标准等。IEC61784-3功能安全的通信总线EN50126/8/9铁路应用我国已于2006年、2007年分别等同采用了IEC61508标准和IEC61511标准，发布了GB/T20438和GB/T21109两个国家推荐功能安全标准。通常用风险的概念来评估危险事件。风险被定义为两个方面的组合，一方面是指造成伤害的概率，另一方面是指该伤害的严重程度。

风险（R）=严重程度（S）×频率（P）IEC61508标准定义了4种严重程度和6类频率，进而确定了不同的风险等级。IEC61508标准定义了4种类型的风险：过程风险、允许风险、残余风险和必要的风险降低，2、风险评估与风险降低（1）风险（2）风险评估功能安全管理的第一步就是对受控系统进行风险分析和评估，以确定需要采取哪些措施（E/E/PE安全相关系统、其他安全相关系统和外部风险降低措施）将受控系统的初始风险降低至可接受的水平.风险评估可以是定性的，也可以是定量的。定性的风险评估主观地将风险从低到高进行分级。定量风险评估为风险定出数值的量化指标，如死亡或事故率、泄漏的实际大小等。风险评估是对生产过程中的风险进行识别、评估和处理的系统过程。风险的评估技术有风险图法；失效模式、影响和危害度分析（FMECA）；失效模式和影响分析（FMEA）；故障树分析（FTA）；危险与可操作性分析（HAZardandOPerability，HAZOP）等。其中，HAZOP技术的应用较为广泛和成熟（3）风险降低与保护层模型风险降低包括3个部分：E/E/PE安全相关系统、其他安全相关系统和外部风险降低措施9风险级别不可容忍区域，一般风险值高于10E-4ALARP或可容忍区域(只有当效益理想时风险是可以控制的)广泛可接受的区域，一般风险值低于10E-6除非在特殊环境下，风险无法接受只有当进一步的风险降低已经不切实际或其花费与收益严重不成比例时才可接受当减少的花费超过获得的收益时可容忍ALARP原则注：ALARP=

AsLowAsReasonablyPractically

，即合理可行的低保护层的概念：从保护层起作用的方式看，可分为事件阻止层和后果减弱层。事件阻止层的作用是阻止潜在危险发生；后果减弱层的目的是对已发生的危险事件，尽可能地减小后果带来的损失。事件阻止层属于主动保护，而后果减弱层属于被动保护。为了确保保护层的事件阻止或减弱功能，一般来说，保护层应具有以下特点：特定性独立性可靠性可审查性IEC61508国际标准定义了SIL的概念：在一定时间、一定条件下，安全相关系统执行其所规定的安全功能的可能性。为了降低风险及危险事件发生的频率，要对安全仪表系统确定安全完整性等级，只有达到了指定的安全完整性等级，才能满足生产过程的安全要求，从而将风险降低到可以容忍的水平。包括硬件安全完整性等级和系统安全完整性等级IEC61508将SIL分为4个等级：SIL1～SIL4，其中，SIL1是最低的安全完整性水平，SIL4是最高的安全完整性水平。SIL等级的确定是通过计算系统的平均要求时失效概率PFDavg来实现的。安全完整性等级的确定是在风险评估结果的基础上进行的。

安全完整性等级的选择方法有定性和定量两类。3、安全完整性等级IEC61508国际标准把安全生命周期定义为在安全仪表功能（SIF）实施中，从项目的概念设计阶段到所有安全仪表功能停止使用之间的整个时间段。安全生命周期使用系统的方式建立一个框架，用以指导过程风险分析、安全系统的设计和评价。整体安全生命周期包括系统的概念（Concept）、定义（Definition）、分析（Analysis）、安全要求（SafetyRequirement）、设计（Design）、实现（Realization）、验证计划（ValidationPlan）、安装（Installation）、验证（Validation）、操作（Operation）、维护（Maintenance）和停用（Decommission）等阶段。4、安全生命周期二、安全仪表系统1、安全仪表系统基础（1）安全仪表系统组成与结构安全仪表系统（SafetyInstrumentSystem，SIS）由传感器、逻辑控制器和执行器三部分构成，用于当预定的过程条件或状态出现背离时，将过程置于安全状态。例如，系统超压或高温，安全仪表系统可以实现压力的降低、温度的降低，从而把处于危险状态的系统转入安全状态，保障设备、环境及生产人员安全。

IEC61511将安全仪表系统定义为执行一个或多个安全仪表功能的仪表系统。所谓安全仪表功能，是指由安全仪表系统执行的、具有特定安全完整性等级的安全功能，用于对特定的危险事件，达到或保持过程的安全状态。1）1oo1结构1oo1结构包括一个单通道（输入电路、公共电路、输出电路），如图所示。这里的公共电路可以是安全继电器、固态逻辑器件或现代的安全PLC等逻辑控制器。该系统是一个最小系统，这个系统没有提供冗余，也没有失效模式保护，没有容错能力，电子电路可以安全失效（输出断电，回路开路）或者危险失效（输出粘连或给电，回路短路），而危险失效都会导致安全失效。2）1oo2结构该结构将两个通道的输出触点串联在一起。正常工作时，两个输出触点都是闭合的，输出回路带电。但当输入存在“0”信号时，两个输出触点断开，输出回路失电，确保安全功能的实现。3）1oo1D结构1oo1D结构由两个通道组成，但其中一个通道为诊断通道。1oo1D的物理结构图如图6.7所示。诊断通道的输出与逻辑运算通道的输出串联在一起，当检测到系统内存在危险故障时，诊断电路的输出可以切断系统的最终输出，使工艺过程处于安全状态。（2）安全仪表系统分类安全仪表系统按照其应用行业的不同可以划分为化工安全仪表、电力工业安全仪表、汽车安全仪表、矿业安全仪表和医疗安全仪表等。在每个行业中又可以进行进一步的细分，如矿业又可以分为煤矿、金属矿、非金属矿及放射性矿等。还可以根据安全仪表系统实现的功能来分类，如有毒气体监测系统、紧急停车系统、移动危化品源跟踪监测系统及自动消防系统等。在IEC61508标准出来以前，在油气开采运输、石油化工和发电等过程工业，就有紧急停车系统（EmergencyShutDownSystem，ESD）、火灾和气体安全系统（FireandGasSafetySystem，FGS）、燃烧管理系统（BurnerManagementSystem，BMS）和高完整性压力保护系统（HighIntegrityPressureProtectionSystem，HIPPS）等。根据安全完整性等级的不同，安全仪表系统又分为SIL1、SIL2、SIL3和SIL4等不同等级。

（3）安全仪表系统与基本过程控制系统（BPCS）基本过程控制系统是执行基本的生产控制要求、完成基本功能（如采用PID控制规律）的自动控制系统。常用的DCS或PLC控制系统、SCADA系统等都属于常规控制控制系统。与安全仪表系统不同的是，基本过程控制系统只执行基本控制功能，其关注的是生产过程能否正常运行，而不是生产过程的安全。基本过程控制系统与安全仪表系统一般要做到相互独立，二者执行的功能不同，不可相互混淆。安全仪表系统监视整个生产过程的状态，当发生危险时动作，使生产过程进入安全状态，降低风险，防止危险事件发生。22与常规控制系统相比，安全仪表系统的特点主要体现在以下几点。1）符合一定的安全完整性水平

安全仪表系统的设计和开发过程必须遵循IEC61508标准，投入使用的安全仪表系统必须满足要求的安全完整性水平。2）容错性的多重冗余系统

为了提高系统的硬件故障裕度，安全仪表系统一般采用多重冗余结构，使系统的安全功能不会因为单一故障而丧失。3）响应速度快

安全仪表系统具有较好的实时性，从输入变化到输出变化的响应时间一般为10～50ms，甚至有些小型的安全仪表系统可以达到几毫秒的响应速度。4）全面的故障自诊断能力5）事件顺序记录功能

（4）安全仪表系统的安全性与可用性1）安全性安全仪表系统的安全性是指，当任何潜在危险发生时，安全仪表系统保证使过程处于安全状态的能力。不同安全仪表系统的安全性是不一样的，安全仪表系统自身的故障无法使过程处于安全状态的概率越低，则其安全性越高。安全仪表系统自身的故障有以下两种类型。A安全故障。当安全故障发生时，不管过程有无危险，系统均使过程处于安全状态。此类故障称为安全故障。对于按故障安全原则（正常时励磁、闭合）设计的系统而言，回路上的任何断路故障都是安全故障。B危险故障。当此类故障存在时，系统会丧失使过程处于安全状态的能力。此类故障称为危险故障。对于按故障安全原则设计的系统而言，回路上任何可断开触点的短路故障都是危险故障（按故障安全原则，有故障时，回路应该断开，以使系统安全，而可断开触点的短路使回路不可能处于断开状态，丧失了使过程处于安全状态的能力）。2）可用性安全仪表系统的可用性是指系统在冗余配置的条件下，当某个系统发生故障时，冗余系统在保证安全功能的条件下，仍能保证生产过程不中断的能力。与可用性比较接近的一个概念是系统的容错能力。一个系统具有高可用性或高容错能力不能以降低安全性作为代价，丧失安全性的可用性是没有意义的。严格地讲，可用性应满足以下几个条件。A系统是冗余的。B系统产生故障时，不丧失其预先定义的功能。C系统产生故障时，不影响正常的工艺过程。3）安全性与可用性的关系从某种意义上说，安全性与可用性是要相互协调的。某些措施会提高安全性，但会导致可用性下降，反之亦然。例如，冗余系统采用二取二逻辑，可用性提高，安全性降低；若采用二取一逻辑，则相反。采用故障安全原则设计的系统安全性高，采用非故障安全原则设计的系统可用性高。安全性与可用性是衡量一个安全仪表系统的重要指标，因此，设计安全仪表系统时要兼顾安全性和可用性。安全性是前提，可用性必须服从安全性。可用性是基础，没有高可用性的安全性是不现实的。2、安全仪表产品（1）继电线路：即用安全继电器代替常规继电器实现安全控制逻辑。属于全部通过硬件触点及其之间的连线形成安全保护逻辑，因此可靠性高、成本低，但是灵活性差，系统扩展、增加功能不容易。（2）固态电路：基于印刷电路板的电子逻辑系统。它采用晶体管元件实现与、或、非等逻辑功能。这种系统属于模块化结构，结构紧凑，可在线检测。容易识别故障，原件互换容易，可以冗余配置。但可靠性不如继电线路，操作费用高，灵活性不高。（3）安全PLC：以微处理器为基础，有专用的软件和编程语言，编程灵活，具有强大的自测试、自诊断能力。系统可以冗余配置，可靠性高。（4）故障安全控制系统：采用专用的紧急停车系统模块化设计，具有完善的自检功能，系统的硬件和软件都取得了相应等级的安全标准证书，可靠性非常高，但价格较贵。这类产品主要包括德国黑马（HIMA）公司、英国英维斯集团（现已被法国施耐德公司收购）的Tricon系列产品。主要的DCS厂家也有类似的产品，但最高的安全等级不及上述两家的产品。3、安全仪表系统与常规控制系统1）功能不同：常规控制系统起到调节的作用，而安全仪表系统的作用是降低生产过程风险，起安全保护的作用2）组成不同：常规控制系统的组成主要包括现场控制器、工程师站、操作员站和控制网络等，通常不包括现场检测仪器与执行器；而安全仪表系统由于要进行回路的SIL等级评定，因此必须对检测仪表、执行器及外部电源等一并进行考虑。3）I/O配置不同：常规控制系统通常配备的I/O模块有AI、AO、DI和DO；而安全仪表系统由于不执行调节作用，因此通常配备的I/O模块只有AI、DI和DO，较少使用AO4）工作方式不同：常规控制系统处于动态，而安全仪表系统处于静态。常规控制系统的输出一直在变化，具有连续性。安全仪表系统的输出保持相对稳定，其工作具有间断特性。5）可靠性与安全级别不同：常规控制系统不需要进行SIL等级评估，不需要选用具有一定SIL等级的控制仪表和装置；而安全联锁系统需要进行SIL等级评估，需要选择符合SIL等级的设备。6）使用与维护要求不同：安全仪表系统必须按照标准使用与维护，对安全仪表系统的更改都需要进行新的评估。而常规控制系统的使用与维护没有这么严格。7）应对失效方式不同：常规控制系统的大部分失效都是显而易见的，其失效会在生产的动态过程中自行显现，很少存在隐性失效；而安全仪表系统的失效没那么明显，确定这种休眠系统是否还能正常工作的唯一方法，就是对该系统进行周期性诊断或测试。因此安全仪表系统需要人为进行周期性的离线或在线检验测试，而有些安全系统带有内部自诊断功能。常规控制系统虽然有联锁功能，但是这种联锁功能通常是不进行SIL等级评估的三、安全仪表系统设计与应用1、安全仪表系统设计原则（1）基本原则在进行安全仪表系统设计时，应当遵循E/E/PES（电子/电气/可编程电子）安全要求规范。通过一切必要的技术与措施使设计的安全仪表系统达到要求的安全完整性水平（2）逻辑设计原则（1）可靠性原则：全面考虑整个回路的可靠性，因为可靠性决定系统的安全性。（2）可用性原则：可用性虽然不会影响系统的安全性，但可用性较低的生产装置将会使生产过程无法正常进行。在进行安全仪表系统设计时，必须保证其可用性满足一定的要求。（3）“故障安全”原则：当安全仪表系统出现故障时，应将系统设计成处于或导向安全的状态，即遵循“故障安全”原则。“故障安全”能否实现，取决于工艺过程及安全仪表系统的设置。（4）过程适应原则：安全仪表系统的设置应当能保证在正常情况下不影响生产过程的运行，当出现危险状况时能发挥相应作用，保障工艺装置的安全，即要满足系统设计的过程适应原则。（3）回路配置原则（1）独立设置原则SIS应独立于常规控制系统，独立完成安全保护功能。安全仪表系统的逻辑控制系统、检测元件与执行元件应该独立配置。（2）中间环节最少原则安全仪表系统应该被设计成一个高效的系统，中间环节越少越好。在一个回路中，仪表增多可能会导致可靠性降低。应尽量采用隔爆型仪表，减少因安全栅而产生的故障源，防止产生误停车。2、安全仪表系统设计步骤3、安全仪表系统应用实例（见教材）四、工业控制系统信息安全1、工业控制系统信息安全概述（1）什么是工业控制系统信息安全IEC62443标准给出了对控制系统信息安全（CyberSecurity）的定义：对系统采取的保护措施；建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问，以及非授权或意外的变更、破坏或损失等；基于计算机系统的能力，能够保证非授权人员和系统无法修改软件及其数据，也无法访问系统，但允许授权人员访问系统；防止对控制系统的非法和有害入侵，以及干扰控制系统执行正确和计划的操作。

（2）工业控制系统信息安全问题的由来控制系统漏洞大量存在控制系统从封闭走向开放控制系统与上层管理网络的联网网络威胁越来越多，攻击手段不断更新现有防护手段不足对工业控制系统信息安全重要性的认识不足重大标志事件：2010年9月24日，伊朗布什尔核电站控制系统遭受攻击，导致大量离心机损坏。2010年出现的毒区（Duqu）和2012年出现的火焰(Flame)病毒都是针对工业控制系统的计算机病毒。信息安全界将此列为2010十大IT事件。1982年前苏联西伯利亚天然气管道大爆炸，就是美国CIA事先在控制系统设下逻辑炸弹引起的。“从外星可见的最大非核爆炸”。（3）工控信息安全与IT的比较类别IT系统ICS系统结构安全焦点重点是保护IT资产、信息存储和传播中央服务器需要更多保护首要目标是保护系统边际设备，如过程控制现场设备中央服务器同样需要保护非预期后果安全解决方案都是围绕典型的IT系统设计的安全工具必须在与现场类似的ICS系统上进行严格地线下测试，确保其上线后不应影响正常的ICS运作资源约束系统需要有足够的资源来支持第三方的安全解决方案应用加入系统是以特定工业过程为目标设计的，没有足够的内存及其他计算机资源来支持增加的安全功能时间关键性作用应急事件处理不是关键按等级划分的严格访问控制对人和其他应急事件的响应非常关键ICS的访问需要严格控制，但不应阻碍和干扰人机交互系统操作依托典型的操作系统设计升级可以通过自动进行一般使用无内置安全功能的专有操作系统由于控制算法或添加、移除硬件所做的软件变更一般有软件供应商进行专门处理类别IT系统ICS系统通信标准通信协议主要是包含无线网络接入的有线网络典型的IT网络实施方法很多专有和标准通信协议多种通信媒介，包括专用线和无线(无线电和卫星)网络复杂，需要具有专门知识的控制工程师软件变更管理软件变更在当前完备的安全策略和过程中容易实现，变更过程通常是自动的需变更的软件需要完整的测试并进行增量部署，以确保控制系统的完整性故障处理必须制定详尽的计划ICS可能使用厂商已经不再进行技术支持的操作系统管理支持允许多种支持方式服务支持往往仅通过单一供应商生命周期一般为3~5年一般为15~20年组件访问组件通常部署在本地并易于接入访问组件被隔离部署在远处，需要多方面的物理支持才能够访问信息安全优先级比较对可用性的最高要求是导致工控系统信息安全与IT信息安全不同的主要根源2、工业控制系统体系结构及其脆弱性分析（1）工业控制系统体系结构与安全分析（2）工业控制系统的脆弱性分析工业控制系统的安全漏洞分为以下几类：操作系统漏洞（包括上位机通用系统与下位机嵌入式操作系统）系统结构漏洞应用软件漏洞通信协议漏洞安全策略和管理流程漏洞杀毒软件漏洞例如：Modbus协议脆弱性（1）缺乏接入控制

接入控制的目的是保证只有授权用户才能接入到系统，参与通信过程。接入控制的过程就包含认证与授权机制。Modbus缺乏这个机制，攻击者可以把攻击设备接入网络而不被发现，进而冒充合法用户来对系统实施监听、攻击或破坏。（2）缺乏认证

认证的目的是保证收到的信息来自合法的用户，未认证用户向设备发送控制命令不会被执行。在Modbus协议的通信过程中，没有任何认证相关的定义，攻击者只需要找到一个合法的地址就可以使用功能码并建立一个Modbus会话，从而扰乱整个或部分控制过程。（3）缺乏授权

授权是保证不同的特权操作者由拥有不用权限的认证用户来完成，这样可以大大降低误操作与内部攻击的概率。Modbus协议没有基于角色的访问控制机制，也没有对用户进行分类，没有对用户的权限进行划分，会导致任意用户可以执行任意功能。（4）数据明文传输，缺乏加密

Modbus协议封装的是ADU，传输的也是这个ADU，在网络上都是以明文的形式传输，加密机制的缺乏，使得攻击者可以很容易通过抓包技术来解析数据包。（3）针对工业控制系统典型的攻击手段1）侦察攻击（ReconnaissanceAttacks）

攻击是攻击者为了获取尽可能多的目标系统信息而设计的，完备的侦察攻击可加大黑客攻击的成功率。工控系统的侦察攻击目的是收集工控系统信息，侦测系统的网络架构并且收集设备特征，例如：设备制造商，支持的网络协议，设备和内存映射地址。

以针对Modbus协议的工控系统为了，侦察攻击入侵Modbus服务器，其过程如下：A地址扫描：通过向不同的Modbus地址广播轮询的响应发现工控系统服务器连接。B功能编码扫描：通过已经辨别的服务器识别支持的Modbus功能编码。C设备识别攻击：攻击者通过此类攻击获取供应商设备信息，产品代码，设备版本信息。D节点扫描：攻击者通过节点扫描建立Modbus的内存映射，掌握输入、输出寄存器信息。2）响应注入攻击（ResponseInjectionAttacks）工控系统通常采用广播轮询技术监测过程的状态信息。轮询机制采取从客户端向服务器端发送查询数据包，响应数据包由服务器发送给客户端。系统的状态信息被实时发送到人机界面，用来监控控制过程，存储历史测量数据，并将测量过程参数和基于过程状态的控制测量反馈给控制回路。响应注入攻击是指恶意篡改从服务端发送至客户端的状态信息。被分为简单的恶意响应攻击（naivemaliciousresponseinjection，NMRI）和复杂的恶意响应攻击（complexmaliciousresponseinjection，CMRI）两种形式。其中NMRI攻击是向网络中注入或改变数据包，无法获得被监控的过程信息。而CMRI攻击则试图掩盖物理过程的正常状态，给控制系统造成不利的影响，此类攻击需要深入了解目标系统。3）命令注入攻击（CommandInjectionAttacks）

命令注入攻击通过恶意注入错误的控制和配置命令来改变系统行为。恶意命令注入攻击将导致系统设备通信中断，未授权更改设备配置信息和过程临界值。命令注入攻击主要分为三种攻击方式：A恶意状态命令注入攻击（MSCI）：通过恶意命令攻击远程终端设备，使其从安全状态变为临界状态。B恶意参数命令注入攻击（MPCI）：通过恶意命令改变工控系统可编程控制器的设定值。C恶意功能编码命令注入攻击（MFCI）:通过恶意改变内置的协议功能。（4）拒绝服务攻击DoS（DenialofService），采用各种非法手段耗尽被攻击对象的资源，造成目标主机的TCP/IP协议层拥塞，导致被攻击主机无法提供正常的服务，严重的会使被攻击系统停止响应甚至崩溃。常见的DoS攻击有针对计算机网络带宽的攻击和连通性能攻击。

拒绝服务攻击具体表现方式有：1）制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。2）利用目标提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击