功能安全(Safety)、RAM(可靠性、可用性、可维修性)和信息安全(Security)关系工控系统和产品功能安全评估现状工控信息安全标准现状工控产品信息安全评估准则探讨功能安全(Safety)、RAM和信息安全(Security)发生人员伤亡、环境破坏、系统损失等危害事件化工厂爆炸/毒气泄漏/火车相撞等系统可用性降低地铁或火车的运营晚点/工厂停工等信息泄露生产工艺数据被窃取等工控系统面临的风险Safety、RAM和Security的比较什么是风险(Risk)？出现伤害的概率及该伤害严重性的组合(GB/T20438.4)一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量(GB/T25069)风险具备两个重要的要素风险（Risk）=可能性（危害事件）×后果严重程度（伤害或影响）风险矩阵风险可接受准则ALARP准则GAMAB准则风险评估和安全等级分配安全完整性等级在规定的时间内，规定的条件下安全相关系统成功执行规定的安全功能的概率，分为了四个等级SIL1～SIL4硬件安全完整性系统安全完整性风险分析和安全完整性等级分配风险管理是一个持续的贯穿整个安全生命周期的活动安全需求和安全完整性等级可以从系统到子系统再到产品部件级的逐步分配细化安全相关系统通过持续风险分析过程充分识别可控制、消除或最小化威胁的安全需求；（安全需求的充分性）确保选择合适的安全完整性等级；（安全需求的正确性）工控信息安全标准现状工控信息安全的研究还处于起步阶段，目前还没有完善的标准体系来支撑国际上主流的标准IEC62443标准体系涵盖组织的信息安全程序（62443-2-1，类似IEC27001）涵盖系统级标准（第三部分）涵盖产品级标准（第四部分）美国国家标准技术研究院（NIST）NISTSP800-82《工业控制系统安全指南》NISTSP800-53针《对联邦信息系统和组织建议的安全控制》《关键基础设施网络安全框架》国内相关标准GB/T30976工业控制系统信息安全（两个部分）已正式发布本单位承担了《工业控制系统产品信息安全通用评估准则》标准传统IT信息系统主要标准体系IEC27000系列——适用于组织级《信息系统安全等级保护标准》系列——适用于系统级GB/T18336《信息技术安全评估准则）（等同采纳IEC15408），简称CC标准——适用于产品级传统IT信息系统等级保护标准体系将系统定为5个级别：第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级，信息系统受到破坏后，会对国家安全造成特别严重损害进行定级的对象有如下限制：具有唯一确定的安全责任单位具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象承载单一或相对独立的业务应用整个系统等级确定后，需要在各个层面保持相同的等级，不再进行分配CC标准定义了7个评估保障级：EAL1——功能测试EAL2——结构测试EAL3——系统的测试和检查EAL4——系统的设计、测试和复查EAL5——半形式化设计和测试EAL6——半形式化验证的设计和测试EAL7——形式化验证的设计和测试CC标准的特点CC标准提供了一套安全原理的实现方法，具备灵活性和通用性CC标准采用了标准化语言的描述，使不同产品间具备可比性但CC标准属于通用评估准则，其分级适用于产品，与系统等级没有直接对应关系IEC62443标准系列采用了持续风险管理的思想（62443-3-2）定义了安全控制基线，并将技术要求划分为7类■认证与授权(AC)■使用控制(UC)■数据完整性(DI)■数据保密性(DC)■受限的数据流(RDF)■事件响应(TRE)■资源可用性(RA)安全等级从系统->区域和管道->产品/部件进行分配安全等级（SL）划分SL1：防护偶然或巧合性的信息安全违规行为SL2：防护利用较少资源、一般技术和较低动机的简单手段的攻击SL3：防护利用中等资源、工控系统中特殊技术和中等的动机的复杂手段的攻击SL4：防护使用扩展资源、工控系统中特殊技术和