2.4.2　功能安全與信息安全的平行發展

正是由于早期OT和IT的各自發展以及對安全需求的不同，進一步導致了功能安全與信息安全兩個安全維度的出現。由于OT的生產環境往往會和現實世界直接交互，關鍵業務資產的可靠性和使用壽命是管理者主要關心的問題，因此對于功能安全更為重視。

1.功能安全的發展歷程

功能安全的研究與工業革命息息相關。20世紀以來，工業革命給人類的生產和生活帶來了天翻地覆的變化，尤其是進入20世紀70年代，半導體器件的廣泛使用把世界推入了電氣化時代。工業文明在給人類帶來便利的同時，也帶來了諸多不利影響，如全世界每年死于工傷事故和職業病的人數約為200萬。隨著人們實現“安全工業”的愿望越來越強烈，越來越多的安全相關系統被廣泛應用于各種領域，但如何確定系統功能安全成為最大的難題，例如，早期的IEC 60204、NFPA 79、JIS 90960中要求不要將電子技術應用于機械安全相關系統。隨著20世紀80年代開始使用PLC，以及越來越嚴格的設備安全、人身安全和環境保護的需求，專門用于安全相關系統的控制器系統、安全型PLC和安全解決方案得以快速發展和推廣。

在這種背景下，歐洲與美國開始致力于相關的研究與標準制定。歐洲從機械安全領域著手，最早的標準于20世紀70年代由德國制定，是關于鍋爐/燃燒器的啟?？刂频?；1994年5月，德國頒布了標準DIN V 19250“控制技術，測量和控制設備必須考慮的基本安全”。該標準將安全性劃分為8級，目標是減少用戶的危險并確定安全相關系統的完整性需求；為了適應安全領域中越來越多的可編程電子系統（PES），德國進一步提出了DIN V VED0801標準，確定了專門的措施用于評估PES。

美國從過程工業領域著手。美國儀表協會（ISA）于1996年2月提出了ISA S 84.01《過程工業安全儀表系統的應用》（Application of Safety Instrumented Systems for the Process Industries），第一次提出了安全完整性水平（SIL）的概念。隨后，國際電工委員會（IEC）制定了功能安全基礎標準IEC 61508，這也標志著功能安全正式形成共識，成為獨立的研究領域。IEC 61508發布后，各個行業也相繼推出行業的功能安全標準，例如鐵路相關標準EN 50126/128/129、過程工業標準IEC 61511、機械工業標準IEC 62601、核工業標準61513等，如圖2-3所示。

圖2-3　各個領域的功能安全標準

在功能安全基礎標準IEC 61508中還首次提出了電氣／電子／可編程電子系統功能安全的概念，并對于如何從全生命周期的角度達到功能安全相應等級給出了詳細的要求和指南。

與OT不同，IT領域典型的職責包括支持業務和行政職能、提供網絡訪問和連接，所以更專注于數字環境，主要考慮數據處理速度、系統可靠性和安全性等問題。

2.信息安全發展歷程

信息安全的發展大致經歷了4個時期。第一個時期是通信安全時期，其主要標志是1949年香農發表的論文《保密通信的信息理論》。在這個時期，通信技術還不發達，電腦只是零散地位于不同的地點，信息系統的安全僅限于保證計算機的物理安全以及通過密碼（主要是序列密碼）解決通信的保密問題。

第二個時期是計算機安全時期，以20世紀70～80年代提出的《可信計算機評估準則》（TCSEC）為標志。在20世紀60年代，半導體和集成電路技術的飛速發展推動了計算機軟硬件的發展，計算機和網絡技術的應用進入了實用化、規?；A段，數據的傳輸可以通過計算機網絡來完成。這時候，信息已經分成靜態信息和動態信息。人們對安全的關注已經逐漸發展到以保密性、完整性和可用性為目標的信息安全階段，主要保證動態信息在傳輸過程中不被竊取，即使被竊取，也不能讀出正確的信息；還要保證數據在傳輸過程中不被篡改，讓讀取信息的人能夠看到正確無誤的信息。1977年美國國家標準局（NBS）公布的國家數據加密標準（DES）和1983年美國國防部公布TCSEC，標志著解決計算機信息系統保密性問題的研究和應用邁上了新臺階。

第三個時期是在20世紀90年代興起的網絡時代。從20世紀90年代開始，由于互聯網技術的飛速發展，無論是企業內部還是外部，信息都更加開放，由此產生的信息安全問題跨越了時間和空間，信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則擴展出可控性、抗抵賴性、真實性等原則和目標。

第四個時期是進入21世紀的信息安全保障時代，其主要標志是提出了《信息保障技術框架》（IATF）。如果說對信息的保護還處于從傳統安全理念到信息化安全理念的轉變過程中，那么面向業務的安全保障就完全是從信息化的角度來考慮了。體系性的安全保障理念不僅關注系統的漏洞，而且是從業務的生命周期著手對業務流程進行分析，找出流程中的關鍵控制點，對安全事件出現的前、中、后三個階段進行安全保障。面向業務的安全保障不是只建立防護屏障，而是建立“深度防御體系”，通過更多的技術手段把安全管理與技術防護聯系起來，從被動保護變為主動防御攻擊。也就是說，面向業務的安全防護已經從被動走向主動，安全保障理念從風險承受模式走向安全保障模式。信息安全階段也走向從整體角度考慮體系化建設的信息安全保障時代。圖2-4展示了隨著信息安全的發展，各種信息安全技術的產生與演變。

圖2-4　信息安全發展簡介

對于信息安全技術，目前國際上已經發布了工業控制系統信息安全標準IEC 62443。我國在工業信息安全方面尚處于起步階段，目前已發布GB/T 30976.1～2—2014《工業控制系統信息安全》評估和驗收兩個標準。但是尚缺少針對智能制造行業的工業信息安全標準，以及工業系統可用性和其他評價標準相結合的綜合評估方法。再次強調，工業信息安全應兼顧系統及部件的可用性，其標準不能照搬IT信息安全相關標準。