STPA-SafeSec:网络物理系统的安全(safety)性和安全(security)性分析
STPA-SafeSec: Safety and security analysis for cyber-physical system
申明
版权归原文作者及出版单位所有,如有侵权请联系删除。
纲要总结
| 类型 | 缺点 | 解决 |
|---|---|---|
| safety:传统的基于故障-错误-失效链的事故模型 | 旨在评估关键基础设施安全性的分析方法未能涵盖新兴CPS的复杂性,不足以描述复杂互联系统的系统故障 | 开发STAMP,STPA新的危险分析技术 |
| cybersecurity:基于ICT协议或网络配置的分析 | 受到信息安全关切的强烈偏见 | 为了准确量化这些影响,需要了解网络攻击与物理过程之间的关系,STPA-sec,它在安全领域使用了STPA的基本原理。 |
摘要
信息物理系统CPS紧密整合了物理过程和信息通信技术。由于今天的关键基础设施(例如电力网或水配送网络)是复杂的网络物理系统,确保其安全性safety和安全性security变得至关重要。传统的安全分析方法,如HAZOP,不适用于评估这些系统。此外,通常不将网络安全漏洞视为关键,因为对其对物理过程的影响尚未完全理解。在本研究中,我们提出了STPA-SafeSec,一种新颖的同时考虑安全性safety和安全性security的分析方法。其结果显示了网络安全漏洞与系统安全之间的依赖关系。利用这些信息,可以轻松确定确保系统安全性safety和安全性security的最有效缓解策略。我们将STPA-SafeSec应用于电力网络领域的一个用例,并突显其优势。
关键词:智能电网 同步孤立发电 STPA 信息物理系统 安全性 网络安全
1.引言
关键基础设施,如电力网或水配送网络,属于网络物理系统(CPS):物理过程和组件通过信息和通信技术(ICT)相互连接,这对于系统的正确运行至关重要。随着计算能力和网络传输速度的增加,工业控制系统(ICS)的新应用借助ICT的进展来提高基础物理系统的效率。这些新应用加强了物理过程与网络领域之间的紧密集成。此外,系统变得更加互联,因此更加复杂。分析ICT的增加使用和由此产生的复杂性对信息物理系统安全性的影响变得十分重要。这是为了确保在系统设计过程中识别和解决安全需求。除了安全方面,信息物理系统面临网络安全威胁的问题也越来越严重。Stuxnet病毒(Karnouskos,2011)或对德国一家钢铁厂的攻击(Lee等,2014)展示了成功的网络攻击如何导致物理损害。此外,在能源领域,Kang等人的研究(2015)表明,多阶段网络攻击可能导致光伏逆变器被操纵,改变其有功输出。
传统的 旨在评估关键基础设施安全性(safety)的分析方法未能涵盖新兴网络物理系统的复杂性(Leveson,2011)。它们使用基于故障-错误-失效链的事故模型(参见Avizienis等,2004)。虽然这些模型对于描述线性系统和单一组件的故障是有效的,但它们不足以描述复杂互联系统的系统故障。为解决这个缺陷,Leveson(2004)开发了系统论事故模型与过程(STAMP)事故模型。基于STAMP,开发了系统论过程分析(STPA)方法,作为一种新的危险分析技术,用于评估系统的安全性。
目前用于研究CPS网络安全(cybersecurity)的方法通常基于ICT协议或网络配置的分析,因此受到信息安全关切的强烈偏见(Young和Leveson,2014)。此外,需要从安全角度分析网络攻击的影响。通过这种方式,可以识别网络攻击对物理过程安全性的潜在影响。为了准确量化这些影响,需要了解网络攻击与物理过程之间的关系,这需要专门的安全和安全性分析技术。为了解决这个问题,Young和Leveson(2013, 2014)开发了STPA-sec,它在安全领域使用了STPA的基本原理。然而,我们将在第3.1节中展示,他们的方法——表明安全(STPA)和安全性(STPA-sec)的分开分析方法——需要改进和澄清。
在这项工作中,我们提出了一种将安全性分析(STPA)和安全性分析(STPA-sec)整合到一个简洁框架中的新型分析方法:STPA-SafeSec。此外,我们通过向分析引入安全性约束,并将STPA分析的系统的抽象控制级别映射到实际组件,克服了STPA的局限性。STPA-SafeSec相对于现有工作提供了许多优势:
-
(i)它提供了一种单一方法,以识别需要由系统确保以无损运行的safety和security约束。这种单一方法允许检测safety和安全性约束之间的相互依赖关系,并在缓解策略中使用它们;
-
(ii)最关键的系统组件可以优先进行深入的安全性security分析(例如渗透测试);
-
(iii)分析结果显示了系统潜在损失,这些损失可以由系统中特定的安全性security或安全性safety漏洞引起;
-
(iv)可以更容易地设计缓解策略并评估其有效性——物理过程的变化可以用来缓解网络攻击,而控制算法可以缓解物理过程或设备的安全性safety限制。
本文的其余部分结构如下。在第2节中,我们总结了先前的工作并突显了我们的工作克服的缺点。第3节介绍我们的方法的动机,然后详细介绍STPA-SafeSec。为了评估STPA-SafeSec,我们将其应用于电力网络领域的一个用例。该用例在第4节中描述,分析结果在第5节中给出。最后,第6节讨论结果,第7节总结本文。
2. 相关工作
可以确定两类危害分析技术:基于故障的危害分析技术和基于系统的危害分析技术。基于故障的技术的例子包括故障树分析(Fault Tree Analysis, FTA)(Watson, 1961)和故障模式及影响分析(Failure Modes and Effect Analysis, FMEA)(Duckworth和Moore,2010;Standard,1980)。基于故障的方法侧重于单个组件故障的影响和概率。组件故障的概率使得基于故障的技术能够量化。然而,基于故障的技术的有效性以及现代系统的不断复杂化导致了一种根源于组件交互的新型事故。
为了理解这种新型事故,需要系统化的分析技术。其中一种技术是危害和可操作性分析(Hazard and Operability Analysis, HAZOP)(Lawley,1974)。基于牢固的系统设计,定义了相关系统参数,然后使用指导词(guidewords)来识别系统可能如何偏离设计行为。多年来,研究人员试图将HAZOP形式化以实现客观和可量化的结果。但正如Dunjó等人(2010)所强调的,对结果进行量化的所有方法最终都导致了使用基于故障的FTA。由于现代系统越来越多地依赖于用于控制物理过程的软件系统,并且进一步嵌入在社会技术环境中,因此基于系统的方法难以量化。在设计时,软件错误以及非技术影响对系统的影响很难衡量。STPA的目标是通过一种新的基于系统的危害分析技术解决这些新挑战。尽管目前还没有系统化的方法来量化STPA的结果,但Thomas(2013)在他的论文中提供了支持STPA的数学模型以及执行STPA分析的程序。与最近几年的临时应用相比,这种系统化的STPA执行允许更客观的分析结果。
对物理基础设施在CPS中潜在受到网络攻击的研究通常从ICT或物理与控制工程的角度进行。
在ICT领域,Dondossola等人(2008)分析了对电力变电站控制系统的网络攻击的潜在威胁。他们的研究重点是网络攻击对ICT通信能力的潜在威胁。虽然强调了潜在的物理影响,但在实验中并未实现关键的物理影响。这样的研究对于展示从网络领域已知的特定漏洞可以在CPS环境中利用是重要的。然而,当物理过程通过基于ICT的通信得到增强时,物理安全措施仍然存在。这些安全机制通常被用作淡化网络攻击对系统安全运行的风险的论据。STPA-SafeSec在分析过程中考虑了现有的安全机制,因此可以更有力地论证为什么应该认真对待网络安全漏洞。
Wang和Lu(2013)强调了对可用性、完整性和保密性的网络攻击,以及它们对不同用例的潜在影响,并提出了潜在的缓解策略。签名和加密被提出作为密码对策,以及由于计算能力有限和时间限制严格而引起的困难。网络基础设施的安全考虑是必要的,但该分析仅适用于非常通用的智能电网架构。这使得很难从研究结果中得出对具体系统的结论。STPA-SafeSec将这些发现的通用方面纳入到工程师可以应用于特定系统的分析框架中。
Kundur等人(2011)提出了一种基于图形的框架,用于建模网络攻击对智能电网的物理影响。两个案例研究展示了该框架在基于两个修改后的IEEE 13节点配电系统模型的Matlab环境中的应用。其中一项案例研究显示,成功的网络攻击可能导致严重的欠频情况,最终导致局部停电。对于电力网格,Ten等人(2008)提出了使用Petri网和攻击树来预测由于已识别的弱点导致的负荷损失。Laprie等人(2007)使用状态机展示了攻击导致的过渡如何引起逐步升级、级联和共同原因故障。使用数学系统模型的好处在于它们可以被验证并以自动化的方式执行。但是它们的设计非常耗时,建模技术没有标准化,而且通常没有工具支持。对于已经必须执行系统安全分析的系统工程师来说,这通常意味着不可计算的时间投入,而在大多数情况下是非强制性的。STPA-SafeSec可以用作另一种安全分析技术的替代,同时将安全分析作为副产品进行。
Srivastava等人(2013)描述了攻击者如何模拟对网络攻击的网络和物理脆弱性,基于有限信息。作者提出了一种网络脆弱性排名,并展示了如何使用有关电网的有限信息来识别发动攻击的最关键组件。在Ten等人(2010)中,作者提出了一种用于电网的自动网络安全弹性框架,该框架包括检测、推理和自动缓解操作,重点关注使用攻击树进行脆弱性分析。为了为特定系统架构实现此弹性框架,需要对网络安全脆弱性、其潜在物理影响和可能的缓解策略进行详细分析。Ten等人的工作没有描述应该如何获取这些信息。STPA-SafeSec被设计为从系统中获取此信息的工具。
Sridhar等人(2012)提出了一种适用于信息物理基础设施的领域独立风险评估方法。风险分析始于对基础设施进行详细脆弱性评估,然后分析应用和物理系统的影响。对于复杂的CPS(如电力网格)执行完整的脆弱性分析非常复杂,而且很难证明其完整性。更好的方法是仅在通过先前的影响分析识别的最关键组件上执行详细的脆弱性分析。这样,可以最有效地安排像渗透测试这样耗时的任务。此外,在不了解无效组件行为的潜在影响的情况下,不建议对实际CPS进行渗透测试。STPA-SafeSec提供了一种识别进行深入安全分析的最关键系统组件的手段。它进一步强调了特定组件失效可能导致的潜在系统危害和系统损失。
Hu和Wei(2009)介绍了GPS信号的可用性攻击,其中包括GPS干扰。作者还阐述了现代GPS接收器对抗GPS干扰的反制措施。Zhang等人(2013)提出了一种与时间同步有关的GPS信号的完整性攻击。作者展示了有针对性的GPS信号注入如何增加攻击效果,以比可用性攻击引入的任意误差更为明显。在特定CPS上进行这样的研究的相关性通常难以确定。很难回答是否存在部署在基础设施中依赖GPS的设备以及操纵或阻断信号的影响是什么。STPA-SafeSec提供了识别特定组件对特定通信链路的依赖性以及不同攻击类别的影响的手段。
攻击树是最为成熟的图形安全模型之一。最早由Weiss(1991)作为威胁逻辑树引入,它们与故障树(Vesely等,1981)的相似性表明它们的根源在安全领域。Salter等人(1998)首次使用了术语“攻击树”,而Kordy等人(2014)则对自那时以来发展起来的不同方法进行了及时的总结。
鉴于在安全和安全领域中树形结构的主导地位,STPA-SafeSec利用了树形结构来连接和展示最终的分析结果。然后,可以通过深入的安全分析结果来扩展该树。此外,将成本因素或概率附加到传统的攻击树中的方法有可能使STPA-SafeSec的结果可量化。
3. STPA-SafeSec方法
3.1 动机
信息物理系统(CPS)越来越依赖设备的互联性。这引起了对网络安全的日益关注,以及对传统分析技术的需求。Young和Leveson(2013, 2014)提出的STPA-sec是STAMP和STPA社区为解决这一需求而做的尝试。STPA-sec表明STPA也可用于分析系统的信息安全性。它改变了传统的自下而上的安全性方法——其中使用威胁来推导安全性要求——转向了一种自上而下的方法,其中结果是相关的(Young和Leveson,2013)。自上而下的方法也可以由其他安全分析技术(例如FTA、HAZOP)支持,但第2节强调了STPA相对于这些方法的优势。
然而,STPA不仅仅用于分析系统的安全性(safety)或安全性(security),以防止危害和损失。它可以进一步推广,以分析系统与所有相关新兴系统属性。新兴的系统属性是通过系统部分的相互作用而产生的属性,而这些部分本身不一定具有相同的属性。安全性(safety)和安全性(security)是这种新兴系统属性的例子。先前关于STPA-sec的出版物(Young和Leveson,2013, 2014)表明,安全(security)分析总是用于确保系统的安全性(safety)。此外,出版物表明STPA用于安全性(safety)和STPA-sec用于安全性(security)之间存在差异。第1节认为必须共同解决安全性(safety)和安全性(security)。STPA可以实现这种集体方法。然而,目前对STPA的介绍有一系列的局限性,这些局限性在本文中得以解决。
(i)并未明确STPA和STPA-sec是相同的分析。只有对安全性(safety)和安全性(security)进行集体分析,分析员才能识别两者之间的依赖关系并得出最优结果。
(ii)对使用STPA集成安全性(safety)和安全性(security)的整合方法没有指导,其中安全性(safety)和安全性(security)被认为是同样重要且相互影响的属性。相反,STPA-sec认为安全性(security)仅在其对安全性(safety)的影响方面才相关。这是对系统的有限看法。在现代信息物理系统的社会技术背景下,运营商的货币损失应被视为关键的系统损失。这种损失可能是由于机密性的破坏(例如消费者数据或知识产权)而发生的,而没有直接对安全性(safety)产生影响。随后,传统的STPA-sec需要扩展,以使分析员能够考虑这类与安全性(safety)无直接关联的损失。
(iii)STPA-sec在定义了关键系统方面后并未提供如何执行安全性(security)分析的指导。首先,它没有将安全(safety)领域的因果因素扩展到安全(security)领域。这使得分析更加困难,并限制了不同分析结果之间的可比性。此外,STPA-sec没有提供将成熟的安全性(security)分析技术集成的手段。这不仅影响了将STPA用于安全性(security)分析的接受度。对于从渗透测试等手段获得详细结果,这也对分析的质量很重要。在物理和以安全(safety)为驱动的系统领域,不是所有安全性(security)约束都可以得到保证。为了推导出最有效的系统设计,STPA必须能够引导手动分析并整合结果。
STPA-SafeSec的概述如图1所示。它旨在解决上述提到的缺陷,并引入以下对传统STPA方法的改进。
(i)基于STPA和STPA-sec的统一的安全性(safety)和安全性(security)分析方法的描述和评估。此方法同等优先考虑安全性(safety)和安全性(security),并允许检测更广泛的危险情景。
(ii)将STPA的安全性(safety)因果因素指导扩展到安全性(security)领域。该扩展为分析员提供支持,并使结果更具可比性。
(iii)一种将抽象控制结构链接到物理系统设计的方法,以集成传统安全性(security)分析方法的结果。基于物理系统设计,可以将传统的安全性(security)分析技术用作STPA-SafeSec的补充。此外,结果允许将耗时的分析任务智能应用于系统的最关键部分。
该方法包含两个循环。现代信息物理系统并非静态的,而是随时间演变,受其社会技术环境的影响。外部循环突出了STPA-SafeSec是一种迭代方法,需要在系统的生命周期内重新应用以管理这种不断发展的性质。在其核心,STPA基于系统的约束和控制循环。为了管理现代系统的复杂性,在分析过程中分别分析每个控制循环;这由内循环所示。
首先,对整个系统的约束根据应该防止的损失进行了细化。然后,这些约束被细化并映射到控制层;控制循环及其相互作用的表示。当执行违反先前定义的一个或多个约束的控制操作(称为危险控制操作)时,会发生危险和随后的损失。该分析提供了推导导致这些危险控制操作的因果因素的手段。这些因果因素由STPA-SafeSec扩展,以涵盖安全性(security)考虑因素。此外,抽象控制层被映射到实现特定的组件层。该组件层提供了进一步细化约束并导出更具体因果因素的手段。它还可以指导深入的安全性(security)分析。最终的结果——需要应用于系统架构以确保无损运行的一组更改——最终是基于描述危险控制操作是如何由因果因素引起的场景。
3.2. STPA-SafeSec方法详细说明
在对分析的统一方法进行描述的同时,STPA-SafeSec提供了两个核心贡献。第一个贡献是描述在图2中展示的通用组件层次结构图。
为了评估是否保障了安全性(security)约束, 分析的焦点需要从系统的更抽象的控制层扩展到一个新的组件层。STPA引入了通用控制结构图,帮助分析员识别系统的控制回路。而控制层专注于功能交互、控制概念和算法,组件层则可视化系统的实现,包括部署控制算法或传感器的节点,以及使用的网络节点、物理网络连接和应用层协议。
第二个贡献是将因果因素扩展到安全性(security)领域。STPA提供了一个呈现导致危险控制行为的因素的通用因果因素图。然而,这些因素不包括带有恶意意图的主动行为。我们推导出一组描述网络攻击对完整性和可用性影响的因素,如表1和表2所示。
在第一步中,这一扩展为分析员提供了要考虑的因素清单。然而,结合组件层,STPA-SafeSec还提供了在控制和组件层之间映射因果因素的指导。对于每种攻击效果,我们的指导显示攻击者在组件层需要哪些能力才能实现恶意效果。例如,如果确定缺少反馈是导致危险控制行为的因果因素,那么应该在传感器和控制器之间的物理通信网络以及传感器的反馈机制上放置可用性约束。然后,表2可以显示网络节点、终端节点或物理通信链路可以被攻击以实现通信的延迟或丢失。
STPA-SafeSec依赖于这两个扩展,提供了在图3中详细显示的统一分析方法。
可以再次看到图1中的两个循环。自顶向下分析的迭代应用用于涵盖社会技术环境对系统的影响,这由系统细化循环表示。在此分析中,使用控制回路分析循环来管理系统复杂性。可以将控制回路考虑为分层结构,其中没有进一步依赖的简单回路构建最低层。
分析的每个步骤都产生了分析结果,这些结果允许识别系统设计中的缺陷并将其追溯到系统损失。分析员首先识别高级别的系统损失,然后基于这些损失识别系统危害。在传统的STPA中,然后从已识别的危害中推导出安全性(safety)约束(也请参见图3中的步骤II-IV)。在STPA-SafeSec中,系统范围的安全性(safety)约束与安全性(safety)约束一起定义。确定了这些约束后,在第V步构建了一个控制层。这个控制层是STPA中安全性(safety)控制结构的对应物(对等)。它是系统中控制回路和不同控制器之间交互的图形表示。此外,安全性(safety)和安全性(security)约束被集体考虑并映射到该控制层的不同方面。这个控制层为进一步分析奠定了基础。
控制回路分析循环的目标是识别导致系统操作违反安全性(safety)或安全性(security)约束的因果因素。如图1所示,定义了详细描述特定约束如何被违反的危险场景。步骤IV-XIII详细描述了如何分析每个控制回路,以识别这些危险场景。基于这些危险场景,可以在系统设计中应用缓解策略,以解决最初确定的安全性(safety)约束(XV)。
危险控制行为可以根据Thomas(2013)的定义以半自动方式定义。基于STPA-SafeSec中的危险控制行为集,利用通用因果因素图以及表1和表2中呈现的完整性和可用性威胁,识别因果因素。流程图中的第XI步(图3)是STPA-SafeSec引入的,用于生成每个控制回路的控制层表示与其组件层表示之间的映射。这个映射显示了在哪些物理组件上运行哪些算法,以及每个抽象通信路径使用的网络。在识别危险场景之前的第XI和第XII步中,安全性(safety)和安全性(security)约束都得到了细化,并映射到组件层。这使得分析员可以在控制层上丰富安全性(safety)约束,并在组件层上添加安全性(security)约束;同样,表1和表2可以用作指导。
基于这些信息,可以派生危险场景。由于约束是相互派生的,危险场景可以被细化并表示为分层树状结构。以反馈可用性为例,根场景将是违反要求反馈必须可用的安全性(safety)约束。在安全性(security)领域,与每个相关组件上的可用性约束违反相对应的是子场景。在安全性(safety)领域,还可以根据传感器的可靠性等方面识别其他场景。
最后,在第XIV步中,可以使用系统的组件层来指导详细的安全性(security)分析。基于控制层级别的最关键约束,组件层级别的约束确定了应优先考虑进行深入安全性(security)分析的组件。已识别的漏洞可以看作是对这些安全性(security)约束的潜在违规。因此,通过场景树可以追溯各种网络攻击可能导致的潜在系统损失。还可以识别最有效的缓解策略。如果一组缓解策略对场景树中的所有路径都起作用,则认为这组缓解策略是有效的。安全性(safety)和安全性(security)约束之间的关联以及控制和组件层之间的映射是缓解策略的实现者,有助于确定最有效的最小集。例如,当无法替换旧设备时,与安全性(security)相关的漏洞可能无法解决。根据漏洞的性质,在控制层面上的缓解策略可以代替以缓解与相关安全性(safety)约束的违反。在这种情况下,攻击仍然可能发生,但攻击者无法实现危害。
STPA-SafeSec解决了STPA和STPA-sec在第3.1节中介绍的缺陷。它提供了一种集成的方法,以在单一框架中分析安全性和安全性方面。这消除了重复执行分析步骤的需要,并减少了误解的风险。STPA-SafeSec在分析人员在识别安全性(security)约束时提供指导,并在详细的安全性(security)分析阶段(例如渗透测试)中更好地优先考虑时间耗费的任务。最后,将安全性和安全性约束集成到系统的多层次表示中突显了两个领域之间的依赖关系。
4. 同步孤岛运行用例
本节介绍在第5节中进行的分析的用例。它围绕同步孤岛运行微电网的概念展开。随着传统电力网络中可再生能源(例如光伏(PV)或风力涡轮机)的不断渗透,出现了对更精细的控制能力的需求。Farhangi(2010)和Considine(2012)等人将微电网标识为管理未来智能电网复杂性的一种方式。它允许有效集成可再生能源,但引入了对更紧密集成信息和通信技术资源的新要求。微电网是主机电网的潜在独立子集,其中发电、存储和负载在本地紧密相邻。它的特点是能够在连接到主机电网或者在主机电网发生故障的情况下作为独立电力岛运行。对于大多数类型的微电网,独立运行仅在有限的时间内可能。为了在重新连接期间防止微电网停电,必须在运行过程中动态添加和移除微电网。同步孤岛运行微电网被视为解决这一挑战的一种方式。即使在孤岛模式下,电力指标(电压幅值(Xm),频率(ω)和相位角(φ))仍然与主机电网保持同步。当孤岛微电网和主机之间的电力指标匹配时,断路器重新闭合是安全的。如果不能保证同步,必须禁止断路器的重新闭合。
Best等人(2008)提出了一种通用的同步孤岛方法。作者描述了引入参考信号时可能引起的时间延迟的一般要求和可能的限制。控制逻辑用于控制系统之间的频率差异,同时最小化电流相位角差异。诸如孤岛检测和控制启动以及在通信丢失情况下的电力质量和安全机制等挑战也被涵盖。
同步孤岛运行对底层通信网络施加了严格的传输延迟约束。Laverty等人(2008)对广域电信引入的时间延迟的影响进行了详细分析。在他们的研究中,作者展示了由基于互联网的相位差控制器操作的交流发电机对本地负载接受的响应。他们能够证明,当在具有可变时延的电信链路上运行时,控制是有效的,例如互联网。Caldon等人(2004)评估了同步和逆变器接口的发电机对电力岛稳定性的影响。作者表明,逆变器接口的发电机增加了频率和相位角差异的稳定性。
图4展示了将在本文中进行分析的同步孤岛测试平台的高级表示。
它被设计成在孤岛模式下以与主电网同步的方式操作由主动机(在本例中为直流机)驱动的交流发电机。发电机组是一个直流电机/交流发电机组合。直流电机由“Eurotherm 590+”数字主动机控制器供电;它提供模拟输入以控制驱动的设定点。相量测量单元(PMUs)是一种测量设备,周期性地捕捉电压幅值(Xm)、频率(ω)和相角(φ),并将其传输到配置的接收器。为了使PMU测量有用,它们需要在电网中的每个位置都**在完全相同的时间进行**。这种时钟同步通常通过GPS信号实现,尽管也有其他可能的方法。在我们的测试平台上,PMUs被部署在主电网和电力孤岛内。然后将收集的电力指标传输到控制器。负载电阻是一个在电力孤岛内部署的三相电阻性负载电阻。它可以用来评估受控孤岛在负载变化下的行为。控制器收集来自PMUs的测量数据,并调整发电机组的设定点。关于用例的更详细说明,请参阅Friedberg等人(2015)。
5. 分析
在本节中,我们将应用STPA-SafeSec方法来分析同步孤岛用例。图4中的测试平台模型展示了架构的高级视图。在我们的分析过程中,我们遵循了图3中详细的STPA-SafeSec流程图。本节分为子部分,每个子部分代表图1中简单STPA-SafeSec图表中的一个步骤。如何使用危害场景来引导深入的安全分析,以及结果如何用于制定缓解策略将在第6节中讨论。
在分析过程中,我们将使用一组首字母缩写来指代分析结果产生的不同工件。表3突出显示了不同的缩写及其含义。
5.1. 定义安全控制结构
我们将正在分析的系统定义为不同系统状态下对发电机组的控制。在最初的步骤中,我们根据专业知识识别系统损失和系统危害。虽然没有提供正式的流程,但系统损失和危害通常是高层属性。
我们可以为我们的系统定义损失如下:
(L-1)对人的伤害,
(L-2)对电力设备的损坏,
(L-3)对最终用户设备的损害 和
(L-4)对消费者负载的电力供应中断。
基于系统损失,识别系统危害:
(H-1)失同步再合闸(reclosure),
(H-2)在操作限制之外操作电力设备,
(H-3)违反电力质量指标,
(H-4)无法实现同步 和
(H-5)无法满足本地需求。
对于具体的系统,危害H-2可以进一步细化为:发电机组不应在模拟设定点超出0 V至5 V范围之外运行,因为架构中只有一个关键的电力设备,即发电机组。危害H-3应分为H-3.1(与电压有关的电力质量违规)和H-3.2(与频率有关的电力质量违规)。表4显示了每个危害可能引起的损失。
下一步是为正在评估的系统导出高层安全(safety)和安全性(security)约束(见图3中的步骤IV)。识别高层约束的最简单方法是否定已识别的系统危害(分别是CSTR-S-1至CSTR-S-5)。由此产生的约束可能与安全性(safety)有关,也可能与安全性(security)有关,具体取决于危害的性质。在这个用例中,没有导出高级安全性(security)约束。但是,这并不意味着我们考虑的是一个纯粹的安全(safety)用例。在这个第一阶段,我们看整体系统操作并决定从自上而下的角度确保什么以防止损失。在分析过程中,我们将细化这些约束,并显示需要考虑安全性(sacurity)以了解系统的复杂性。
图5详细展示了正在评估的系统的控制级表示(步骤V)。
传统的STPA分析提供了一个通用的控制层图表,用于指导该控制级表示的生成。图5是基于图4中的控制环路设计的。两个控制环路之间的等效性不明显。在原始的STPA文档中,控制环路中的控制命令和信息流以逆时针方式表示。传统上,控制环路以顺时针循环表示(如图4所示)。STPA-SafeSec使用STPA逆时针表示的方式。我们确定了一个控制环路——速度控制器——以及它与系统中不同逻辑组件的交互。控制层的每个节点(CTRL-N)和每个连接(CTRL-C)都带有标签,以便在文本中进行清晰的引用。为简化起见,图中省略了前缀CTRL-。在控制环路的核心是速度控制器(CTRL-N-1)。它通过两个单独的连接(CTRL-C-4和CTRL-C-5)接收来自本地微电网(CTRL-N-4)和主电网(CTRL-N-5)中的两个PMUs的反馈。每个PMU定期报告测量的电压幅值(Xm)、频率(ω)和相角(φ)。此外,控制器检查是否已实现同步【译者注: 主电网和微电网要求实现同步是为了确保电力系统的稳定运行和互操作性】,因此断路器再合闸是否安全或不安全,并将此信息传输给断路器控制器(CTRL-C-6,CTRL-N-6)。由于测试平台的安全原因,断路器控制器未实现为自动控制环路。相反,一个人操作作为断路器控制器。最后,速度控制器可以为发电机组(CTRL-N-3)通过直流驱动(CTRL-N-2)定义一个设定点(CTRL-C-1)。
5.2. 控制危险动作
根据控制层图,表5显示了与速度控制器正确运行相关的已识别系统变量(见第VII和VIII步)。
它还显示了控制器可以发出的控制命令。对于每个变量,需要将值空间分解为安全相关的离散步骤。这允许通过不同系统状态的自动枚举来识别潜在的危险场景(也请参阅Thomas, 2013的详细内容)。为了实现同步,速度控制器需要计算主电网和微电网之间的功率指标差异。我们定义以下变量作为本地微电网与主电网之间的电压幅度、频率和相位角的差异:
Δ X m ( t ) = ∣ X m h ( t ) − X m μ ( t ) ∣ \Delta_{X_m}(t) = |X^{h}_{m}(t) - X^{μ}_{m}(t)| ΔXm(t)=∣Xmh(t)−Xmμ(t)∣ ( 1 ) \ \ \ \ \ \ \ (1) (1)
Δ ω ( t ) = ∣ ω h ( t ) − ω μ ( t ) ∣ \Delta_\omega(t) = |\omega_{h}(t) - \omega_{μ}(t)| Δω(t)=∣ωh(t)−ωμ(t)∣ ( 2 ) \ \ \ (2) (2)
Δ ϕ ( t ) = ∣ ϕ h ( t ) − ϕ μ ( t ) ∣ \Delta_\phi(t) = |\phi_{h}(t) - \phi_{μ}(t)| Δϕ(t)=∣ϕh(t)−ϕμ(t)∣ (3)
对于功率指标的差异,可以识别出两种系统状态。差异可以小到足以安全地闭合断路器(在限制范围内),也可以不是。对于每个可能的控制动作,必须决定在给定的系统状态下控制动作是否危险。
在STPA中,如果
- (i)被施加控制动作 (it is applied at all)
- (ii)控制动作施加得太早
- (iii)施加得太晚
- (iv)在给定的系统状态下没有施加
则,控制动作可能是危险的。
表6显示了为速度控制器识别的危险控制动作列表。
`特定系统状态下存在危险控制动作,并可能引起一系列危害·。HC-1至HC-3描述了速度控制器错误地认为已实现同步的情况。它将表明断路器的重新闭合是安全的,而实际上并非如此。这可能导致不同步的重新闭合(失同步再合闸)(H-1)或违反电力质量指标(H-3)。在这种情况下,向断路器控制器(CTRL-N-6)发送的控制命令何时发出并不重要,因为在此系统状态下的任何命令发生都可能是潜在的危险。HC-4强调,发电机组的设定点不得超出发电机组的操作限制。同样,命令的时机无关紧要,断路器的状态和电力质量指标也是如此。最后,HC-5显示,如果断路器打开,速度控制器错过对发电机组设定点的有效更新是危险的。在这种情况下,本地负载的本地供电完全依赖于发电机组产生的电力。未能根据变化的负载情况调整电力输出可能会导致电力损失、电力质量违规,从而对消费者设备造成损害。
5.3. 将控制映射到组件层
现在我们已经识别出某些控制动作导致系统危害的情况,目标是识别使危险控制动作成为可能的系统缺陷。在传统的STPA中,这仅在安全(safety)领域内完成。在我们的综合方法中,我们还包括违反安全(security)约束作为潜在的因果因素。因此,我们将图5所示的控制层映射到物理组件层。图6显示了我们同步孤岛测试床的组件层。
| 控制层中 | 对应组件层实现 |
|---|---|
| CTRL-N-3 Gnerator Set | CPT-N-4 Gnerator Set |
| CTRL-N-1速度控制器 | CPT-N-1树莓派处理控制算法管理,管理IP通信到本地网络CPT-C-7 + CPT-N-1微控制器通过串行链路CPT-C-1连接,并将树莓派的数字控制信号转换为直流驱动器所需的模拟信号 |
| CTRL-N-4,CTRL-N-5 PMU设备 | 引入了额外的GPS天线组件(CPT-N-6,CPT-N-10)以及与GPS系统的无线通信链路。最后,PMU与速度控制器之间的基于IP的通信在更多细节上显示出来。控制层只强调了PMU和控制器之间存在通信的事实(CTRL-C-4,CTRL-C-5),而组件层突出了完整的复杂性。 |
图5中的节点仍然可见,但由组件层的节点(CPT-N)表示。控制层连接现在由组件层的连接(CPT-C)表示。组件层的节点和连接是高级控制层在物理世界中的架构实现。虽然发电机组(CTRL-N-3)由一个物理组件(CPT-N-4)实现,但其他节点和连接的实现要复杂得多。速度控制器(CTRL-N-1)实际上由两个节点实现。首先,使用树莓派(CPT-N-1)来处理控制算法并管理基于IP的通信到本地网络(CPT-C-7)。另外一个微控制器(CPT-N-2)通过串行链路(CPT-C-1)连接,并将树莓派的数字控制信号转换为直流驱动器所需的模拟信号。这显示了控制层的一个节点是如何由组件层的节点和连接组合表示的。PMU设备(CTRL-N-4,CTRL-N-5)的表示也更复杂。组件层突出了PMU对GPS信号的依赖。引入了额外的GPS天线组件(CPT-N-6,CPT-N-10)以及与GPS系统的无线通信链路。最后,PMU与速度控制器之间的基于IP的通信在更多细节上显示出来。控制层只强调了PMU和控制器之间存在通信的事实(CTRL-C-4,CTRL-C-5),而组件层突出了完整的复杂性。网络节点如交换机(CPT-N-7)和防火墙(CPT-N-8)以及不同的网络飞地(enclave)都显示出来。组件图还强调了可以在已知的本地网络中放置安全(safety)和安全(security)约束。另一方面,用于从主电网PMU传输数据的广域网(WAN)不受系统架构师的控制。因此,无法确保约束,并且需要有缓解策略以确保安全(safety)和安全(security)。
通过控制和组件层之间的映射,我们可以识别可能导致危险控制动作的高级设计缺陷。再次我们可以利用传统STPA中的现有工具。它提供了一个通用的因果因素图,以提供可能具有安全影响的潜在设计缺陷(见Leveson, 2011, p. 223)。
在将其应用于我们的用例之后,我们在系统中发现了以下缺陷【译者注:第X步?】:
系统缺陷集:
- F-1:控制器错误地认为电压差异在限制范围内;
- F-2:控制器错误地认为频率差异在限制范围内;
- F-3:控制器错误地认为相位角差异在限制范围内;
- F-4:DC驱动器接收到的设定点超出了操作限制;
- F-5:速度控制器错误地认为不需要设定点校正;
- F-6:断路器控制器错误地接收到闭合是安全的信息。
在传统的STPA中,下一步将是识别危险场景(见图3中的第XIII步)。相反,我们首先根据控制和组件层精炼系统的安全(safety)和安全(security)约束。为了缓解F-1至F-3以及F-5和F-6,系统的反馈机制需要确保安全(safety)性和安全(security)性约束得到满足。对于F-6,还需要在控制器以及与断路器控制器的通信上施加进一步的约束。需要在控制器和执行器以及与执行器和发电机组的通信上得到保证。
5.4 精细化安全(safety)和安全(security)性约束
基于系统缺陷集,图7突出显示了控制层的每个节点和连接可能违反的安全(safety)和安全(security)性约束。【译者注:前12个为表1,表2里面的网络攻击导致的损害,后5个为定义的系统危害】
高级别的安全威胁与第3.2节中表1和表2所呈现的威胁相一致。安全约束的集合是基于每个节点或连接可能引起的危害而确定的。
为了更好地理解危险场景如何显现,需要将这些约束映射到组件层。这些步骤是STPA-SafeSec特有的,并构成了对分析的核心贡献。它们使STPA-SafeSec克服了以往方法的局限性。我们将看到,这是一个相当复杂的任务,会产生大量数据。由于空间限制,我们将仅描述三个最有趣案例的约束映射。
5.4.1 本地PMU设备
第一个案例是本地PMU设备(CTRL-N-4)。我们可以从图7中看出,CTRL-N-4的故障可能导致不同步的闭合、电能质量违规和无法满足本地需求。所有这三种危害只有在断路器打开时才可能发生(见表6)。PMU还应该是可靠的;在预期的情况下,测量质量应该符合对设备的预期。对CTRL-N-4的网络攻击可能导致反馈信息无法到达控制器(CSTR-A-1和CSTR-A-2)或违反反馈的完整性(CSTR-I-5至CSTR-I-8)。
CTRL-N-4实际上在组件层由两个节点表示。首先是PMU设备(CPT-N-5),还有一个连接的GPS天线(CPT-N-6)。通过使用表1和表2,可以自动完成从控制层到组件层的网络安全约束映射。这些表显示了需要保证特定安全(security)性约束的实现方面。STPA-SafeSec过程推导出所有对CTRL-N-4的安全(security)性约束都需要通过CPT-N-5来确保。进一步的分析需要针对具体实施来确保安全(safety)约束。CPT-N-5和CPT-N-6之间的连接是有线的,只要两个端点都是安全的,这个连接就可以被认为是稳定和安全(secure)的。但我们需要将约束扩展到GPS连接。已知存在可以欺骗(见张等人,2013年)或干扰(见胡和魏,2009年)GPS信号的攻击。因此,CSTR-A-1和CSTR-A-2需要在CPT-N-6和CPT-C-5上得到保证。此外,根据PMU的实现情况,未能接收到正确的GPS信号可能导致无效或缺失的反馈。控制器将能够检测到时钟同步中的错误;因此,可以防止不同步的闭合。但由于缺乏有效的反馈,控制器无法在与主网断开连接时稳定系统。电能质量违规和无法满足本地需求是可能的。因此,PMU的可靠性取决于GPS连接的可靠性(CPT-C-5)。
表7总结了每个具体节点和具体连接上违反每个约束可能导致的危害。
我们可以看到,可靠的时间同步以及本地PMU测量的及时可用性对于在孤岛运行中实现系统稳定性是必要的。然而,无效的反馈、延迟和缺失的时钟同步可以被检测到,以防止不同步的闭合。因此,不同步的闭合只能由错误或操纵的测量数据引起。
5.4.2 速度控制器
图7突出显示了速度控制器(CTRL-N-1)作为最关键的节点。速度控制器的故障或成功的网络攻击可能导致所有潜在的系统危害。
但为了识别相关因素,我们需要了解速度控制器的组件层结构。它由两个具体节点组成:
-
(i)一个处理反馈的IP基础流量以及控制逻辑的树莓派(CPT-N-1)
-
(ii)一个将数字控制信号转换为0V至5V模拟信号的数字到模拟转换器,以传递给主动力控制器(CPT-N-2)。
这些设备通过USB硬连接(CPT-C-1)。从图7中的危害来看,不同步的闭合(H-1)、电能质量违规(H-3)和无法满足本地需求(H-5)可以由CPT-N-1引起。只有发电机组的操作限制需要由CPT-N-2来保证。此外,CPT-N-2没有直接连接到任何网络。因此,它在网络领域的完整性取决于CPT-N-1的完整性。这表明,CPT-N-1的可靠性和完整性应该是系统中所有设备中最重要的。
5.4.3 远程PMU与控制器之间的广域连接
我们详细研究的最后一个案例是远程主机基础PMU与速度控制器之间的连接(CTRL-C-5)。假设我们已经在上一节中解决了速度控制器可能受到威胁的可能性,我们现在可以关注通信。
图7显示,通信链路的错误行为可能导致不同步的闭合、电能质量违规和无法满足本地需求。然而,在这种情况下,电能质量违规和无法满足本地需求只能作为不同步闭合的后果而发生。本地速度控制器不会仅基于来自主网的反馈就导致这些危害;本地反馈和本地稳定性将优先考虑。因此,只需要详细调查一种危害:H-1。
组件层(图6)突出显示了连接的复杂性。PMU的流量通过广域网路由到微网的本地网络(CPT-C-7)。在那里,它必须通过防火墙(CPT-N-8)到达网络交换机(CPT-N-7),然后才能到达控制器。再次,表1和表2提供了所需的映射。然而,广域网(WAN)中的网络组件并不受系统架构师的控制。因此,无法确保该网络上的任何安全(safety)或安全(security)性约束(无论是网络节点还是物理层)。
表8显示了每个组件需要确保的约束。由于只有一个系统危害(H-1)需要确保,因此表的结构与表7的结构有所不同。
为了确保广域网连接(CPT-C-7)的可靠性,需要在广域网运营商和电网运营商之间建立服务级别协议(SLA)。CPT-C-7的网络领域的可用性约束(CSTR-A-1 - CSTR-A-4)也被这些SLA覆盖,包括CSTR-I-6(测量丢失)和CSTR-I-8(测量延迟)。CPT-C-7在数据完整性方面仍然由电网运营商控制的唯一方面是通信协议(见表1)。为了确保CPT-C-7上的消息完整性(CSTR-I-5和CSTR-I-7),我们需要在协议层进行完整性检查。这些可以是端到端加密(在应用层,或使用虚拟私人网络(VPN))或数字签名。在表8中,CPT-C-7的约束被分为那些需要通过SLA来确保的和那些需要在通信协议的应用层来确保的。
在内部网络中,需要采取更广泛的方法。网络交换机(CPT-N-7)和防火墙(CPT-N-8)上的缓解策略需要平衡。仅基于CTRL-C-5,可以在防火墙(CPT-N-8)上设置两个约束。首先,需要允许来自CPT-N-9的有效流量进入本地网络。其次,防火墙需要阻止针对网络交换机(CPT-N-7)的可用性或完整性的恶意流量。网络交换机应尽可能地确保消息完整性(CSTR-I-5 - CSTR-I-8)和通信可用性(CSTR-A-1 - CSTR-I-4)。基于典型网络协议(例如ARP、DNS)的开放结构,可能无法实现所有约束。
5.5 定义危险情景
在前一节中,我们强调了安全性(safety)和安全性(security)约束如何在控制层和组件层之间映射。为了最终连接分析中生成的所有工件,需要描述危险情景。危险情景是系统操作中一个特定案例的文本表示,在这个案例中,一个系统缺陷可能导致一个危险的控制动作,随后导致系统危害,可能伴随着系统损失。每个情景都与触发系统缺陷并导致采取危险控制动作的一系列违反约束条件相连。
这种文本表示非常重要。在分析过程中,分析团队会生成并处理大量数据,但这些数据并不容易结构化。这使得外部人员很难理解和使用分析结果。一个层级化结构的危险情景列表提供了最终分析结果的文本表示。通过阅读这些情景,团队外的人员可以识别最相关的方面,并在此基础上找到更详细的结果。因此,将情景与系统缺陷和违反的控制动作相关联至关重要。
危险情景列表可能非常长,并应该层级化结构。可以为系统的每个安全(safety)或安全(security)缺陷定义一个通用情景。然后,每个情景可以迭代细化为子情景。情景细化的集合以树状表示。这些情景突出了系统可能失败的方式。它们提供了分析结果的结构化摘要和深入分析的起点。此外,它们可以用来评估缓解策略的有效性。如果从叶节点到根节点的每条路径都被阻止,则有效地缓解了情景树。如果情景树被有效缓解,则可以认为系统是安全(safety)和安全(security)的。
由于篇幅原因,本文在此时无法提供所有危险情景的完整列表。然而,文中详细讨论了一个例子。
【译者注:可能假设连接是有线的,只要两个端点都是安全的,这个连接就可以被认为是稳定和安全(secure)的】
情景1:控制器错误地认为电压差异在限制范围内。
| 项 | 具体 |
|---|---|
| 危害 | H-1、H-3、H-5 |
| 系统缺陷 | F-1 |
| 危险控制动作 | HC-1 |
| 控制层组件 | CTRL-N-1、CTRL-N-4、CTRL-C-4、CTRL-N-5、CTRL-C-5 |
| 组件层组件 | CPT-N-1、CPT-N-5、CPT-C-6、CPT-N-7、CPT-N-8、CPT-N-9、CPT-C-7、CPT-C-9 |
情景1直接代表缺陷F1。基于这一情景,将进行安全(safety)和安全(security)约束的详细分析,以创建更详细的子情景。
情景1.1:速度控制器(CPT-N-1)错误解读正确的反馈。
| 项 | 具体 |
|---|---|
| 控制层组件 | CTRL-N-1 |
| 组件层组件 | CPT-N-1 |
| safety 安全约束 | 设备和算法的可靠性,算法的正确性 |
| security 安全约束 | CSTR-I-5,CSTR-I-7 |
情景1.2:CTRL-N-1从远程PMU(CTRL-N-5)收到的反馈不正确但被视为有效。
| 项 | 具体 |
|---|---|
| 控制层组件 | CTRL-N-1、CTRL-N-5、CTRL-C-5 |
| 组件层组件 | CPT-N-1、CPT-N-9、CPT-N-7、CPT-N-8、CPT-C-7、CPT-C-9 |
| safety 安全约束 | CPT-N-9的可靠性 |
| security 安全约束 | CSTR-I-5,CSTR-I-7 |
情景1.2.1:CTRL-N-4发送错误反馈。
| 项 | 具体 |
|---|---|
| 控制层组件 | CTRL-N-5 |
| 组件层组件 | CPT-N-9 |
| safety 安全约束 | CPT-N-9的可靠性 |
| security 安全约束 | CSTR-I-5,CSTR-I-7,成功利用CPT-N-9 |
情景1.2.2:CTRL-N-4发出的正确反馈被改变或在CTRL-C-5被注入额外反馈。CPT-C-1处的通信有效。
| 项 | 具体 |
|---|---|
| 控制层组件 | CTRL-C-5 |
| 组件层组件 | CPT-C-7、CPT-N-7、CPT-N-8 |
| safety 安全约束 | 无 |
| security 安全约束 | CSTR-I-5,CSTR-I-7 |
情景1.2.3:CTRL-N-4发出的正确反馈被改变或在CTRL-C-5被注入额外反馈。CPT-C-1处的通信无效但被接受。
| 项 | 具体 |
|---|---|
| 控制层组件 | CTRL-N-1、CTRL-C-5 |
| 组件层组件 | CPT-N-1、CPT-C-7、CPT-N-7、CPT-N-8 |
| safety 安全约束 | 无 |
| security 安全约束 | CSTR-I-5,CSTR-I-7 |
情景1.3与情景1.2几乎等同。我们只需要考虑本地PMU及其与速度控制器的通信,而不是远程PMU。
类似的考虑导致了基于情景1的情景2和情景3。对于最后三个系统缺陷,情景以相同的方式设计。层级方法用于细化情景并使案例更具体。例如,对情景1.2.1的进一步细化是可能的——最终我们可以为每种违反特定具体组件的约束的方式定义一个情景——但应该达到合理的中间点。
6. 讨论
通过我们的分析,我们能够描述系统可能失败的各种方式。第5.5节中描述的每个场景都突出了为引起特定系统危害而违反的安全(safety)和安全(security)限制。
树状结构具有多种好处。
-
(i) 根场景可用于在董事会层面(board level)传达需要缓解策略的必要性。它们以高层次描述故障或恶意的系统行为,并指出最坏情况下潜在的系统损失及其成本。
-
(ii) 缓解策略可以应用于树的每个节点。当从子节点到根的每条路径至少在一个点上得到缓解时,特定树中的所有场景都有效缓解。
-
(iii) 每个子节点都可以进一步细化,以明确突出违反限制的特定方式。这样,攻击树可以用来进一步细化网络安全领域中的危险场景。如果通过攻击树的所有路径都得到安全保护,则场景得到缓解。
-
(iv) 树状结构提供的增加的可见性突出了深入安全(security)分析的要求。如果特定危险场景没有提供足够的细节来设计有效的缓解策略,并且没有父场景可以缓解,则需要详细分析。
作为一种基于系统的危险分析技术,STPA-SafeSec并未直接提供量化结果。然而,已知的使像HAZOP这样的基于系统的危害分析技术更可量化的方法也可以应用于STPA-SafeSec。此外,量化攻击树的方法也可以应用于STPA-SafeSec结果的树状结构。
以下示例展示了如何缓解场景1引起的危害。
一种方法是在断路器处引入额外的安全装置。
该装置与断路器的两侧硬连接,并在本地测量电压大小、频率和相位角。如果断路器两侧的任何指标差异过大,该装置将阻止断路器闭合。这种策略将缓解H-1(不同步重合闸)并随后也缓解场景1中的H-3和H-5。因此,该场景的所有危害都将得到缓解,子场景不需要进一步考虑。这种方法的缺点是一组设备可能在操作员不知情的情况下受到损害,因为安全设备屏蔽了反馈。这里的问题在于归属和状态意识。需要安装额外的监测能力以实现对ICT系统更好的状态意识。然而,STPA-SafeSec侧重于系统的无损失运行:因此,如果不需要这种状态意识来缓解某个特定的危险场景,它就不一定会识别出这些系统的需要。
另一种方法是详细考虑子场景。
场景1.2.2可以通过使用确保数据完整性的应用层协议(使用加密签名或端到端加密)来缓解。场景1.2.3要求在CPT-N-1实际验证数据完整性检查。缓解场景1.2.1更加困难。可靠性约束可以通过CTRL-N-4的设备质量或冗余来确保。但要确保设备的完整性,我们需要对设备进行深入的安全分析。为了缓解场景1.1,也需要对CPT-N-1进行同样的深入分析。
基于这两个示例,显然第一种策略更有效。首先,一个额外的设备可能比详细的安全分析、协议更改以及由进一步分析引起的必须应用的缓解策略更具成本效益。但场景1只是系统中的一个危险场景。基于系统缺陷F-5(速度控制器错误地认为不需要更改设定点)的场景分析不能以同样的方式缓解。错误的反馈到速度控制器将无限期地阻止断路器重合,因为无法实现同步。要缓解这些场景,也需要在应用层进行完整性检查以及CPT-N-1的深入分析。在这些考虑下,确保安全约束的缓解将更有效。
这表明了STPA-SafeSec的结果如何用于权衡关于最关键组件和最有效缓解策略的复杂决策。此外,STPA-SafeSec还突出了没有物理缓解策略有效的场景。为了限制损失,可以给系统损失赋予优先级,以接受较不严重的损失,从而防止最严重的损失。在我们的示例中,可以接受L-4(中断对消费者负载的电力供应)以防止L-1(对人类的伤害)。
所提出的分析没有提供执行STPA-SafeSec的自动化方法。然而,为传统STPA定义的半自动方法可以直接应用于STPA-SafeSec的某些部分。此外,可以应用类似的半自动方法来处理STPA-SafeSec中的新步骤。
7. 结论
在本文中,我们分析了微网使用案例中同步孤岛运行的安全(safety)和安全(security)性方面。为了控制这些操作状态,需要将电力系统与ICT通信更紧密地整合。这种整合激发了分析系统在安全(safety)性和安全(security)性方面的新方法。
我们提出了这样一种新方法——STPA-SafeSec——它统一并扩展了用于安全(safety)分析的系统理论过程分析(STPA)技术和用于安全(security)分析的STPA-sec。
这项工作的新贡献是对分析物理限制(由实际电力设备施加)和网络领域攻击者能力之间的依赖关系的方法进行了形式化。这种形式化允许分析师使用网络领域的先前研究结果(例如,Wang和Lu,2013)并将其应用于基础设施。此外,已知的从基于系统的危害分析技术中量化结果的方法可以应用于STPA-SafeSec。我们能够表明,需要同时处理安全(safety)和安全(security)约束,以识别导致系统损失的完整场景集。通过引入组件层,我们能够识别现有安全漏洞(如GPS干扰(Hu和Wei,2009))对系统的物理影响。
能够根据高层次的系统损失突出安全(security)漏洞或系统缺陷的物理效应,使结果比Dondossola等人(2008)提供的通用安全分析结果更易于在董事会(board level)层面进行沟通。STPA-SafeSec进一步能够指导对最关键组件进行深入的安全分析,并整合结果。我们展示了一个示例,其中安全(safety)和安全(security)领域的不同缓解策略缓解了导致高层次系统损失的场景。此外,STPA-SafeSec的结果可以用来设计复杂的响应(reactive)框架,以确保系统安全(safety),例如Ten等人(2010)提出的那样。
致谢
本工作部分由EPSRC CAPRICA(合同号EP/M002837/1)项目和欧盟FP7 SPARKS项目(合同号608224)资助。
参考文献
Avizienis, A, Laprie, J-C, Randell, B, Landwehr, C, 2004. Basic concepts and taxonomy
of dependable and secure computing. Dependable Secure Comput IEEE Trans 1
(1), 11–33.
Best, R, Morrow, D, Laverty, D, Crossley, P, 2008. Universal application of synchronous islanded operation.
Caldon, R, Rossetto, F, Turri, R, 2004. Temporary islanded operation of dispersed
generation on distribution networks. 39th International Universities Power Engineering Conference, 2004. UPEC 2004, vol. 3, pp. 987–991 vol. 2..
Considine, T, Cox, W, Cazalet, EG, 2012. Understanding microgrids as the essential
architecture of smart energy. Grid Interop Forum, Texas.
Dondossola, G, Szanto, J, Masera, M, Nai Fovino, I, 2008. Effects of intentional
threats to power substation control systems. Int J Crit Infrastruct 4 (1), 129–143.
Duckworth, HA, Moore, RA, 2010. Social responsibility: failure mode effects and
analysis. CRC Press.
Dunjó, J, Fthenakis, V, Vlchez, JA, Arnaldos, J, 2010. Hazard and operability (HAZOP)
analysis. A literature review. J Hazard Mater 173 (1–3), 19–32.
Farhangi, H, 2010. The path of the smart grid. Power Energy Mag IEEE 8 (1), 18–28.
Friedberg, I, Laverty, D, McLaughlin, K, Smith, P, 2015. A cyber-physical security
analysis of synchronous-islanded microgrid operation. 3rd International Symposium for ICS & SCADA Cyber Security Research 2015 (ICS-CSR 2015).
Hu, H, Wei, N, 2009. A study of GPS jamming and anti-jamming. Power Electronics
and Intelligent Transportation System (PEITS), 2009 2nd International Conference on, vol. 1, pp. 388–391.
Kang, B, Maynard, P, McLaughlin, K, Sezer, S, Andren, F, Seitl, C, et al., 2015. Investigating cyber-physical attacks against IEC 61850 photovoltaic inverter installations. Emerging Technologies Factory Automation (ETFA), 2015 IEEE 20th Conference on, pp. 1–8.
Karnouskos, S, 2011. Stuxnet worm impact on industrial cyber-physical system security. IECON 2011 — 37th Annual Conference on IEEE Industrial Electronics Society.
Kordy, B, Piètre-Cambacédès, L, Schweitzer, P, 2014. DAG-based attack and defense
modeling: don’t miss the forest for the attack trees. Comput Sci Rev 13–14,
1–38.
Kundur, D, Feng, X, Mashayekh, S, Liu, S, Zourntos, T, Butler-Purry, KL, 2011. Towards
modelling the impact of cyber attacks on a smart grid. Int J Secur Netw 6 (1),
2–13.
Laprie, J-C, Kanoun, K, Kaâniche, M, 2007. Modelling interdependencies between the
electricity and information infrastructures. Computer safety, reliability, and security. Springer, pp. 54–67.
Laverty, DM, Morrow, DJ, Best, R, Crossley, PA, 2008. Internet based phasor measurement system for phase control of synchronous islands. 2008 IEEE Power and
Energy Society General Meeting — conversion and delivery of electrical energy
in the 21st century. IEEE, pp. 1–6.
Lawley, H, 1974. Operability studies and hazard analysis. Chem Eng Process 70 (4),
45–56.
Lee, R, Assante, M, Connway, T, 2014. ICS CP/PE (Cyber-to-Physical or Process Effects) case study paper — German steel mill cyber attack Technical report, SANS
ICS.
Leveson, N, 2004. A new accident model for engineering safer systems. Saf Sci 42
(4), 237–270.
Leveson, NG, 2011. Engineering a safer world. Systems Thinking Applied to Safety,
the MIT Press, Cambridge, MA, USA.
Salter, C, Saydjari, OS, Schneier, B, Wallner, J, 1998. Toward a secure system engineering methodology. In: Proceedings of the 1998 Workshop on New Security
Paradigms. ACM, pp. 2–10.
Sridhar, S, Hahn, A, Govindarasu, M, 2012. Cyber physical system security for the
electric power grid. P IEEE 100 (1), 210–224.
Srivastava, A, Morris, T, Ernster, T, Vellaithurai, C, Pan, S, Adhikari, U, 2013. Modeling
cyber-physical vulnerability of the smart grid with incomplete information. IEEE
Trans Smart Grid 4 (1), 235–244.
Standard, M, 1980. Procedures for performing a failure mode, effects and criticality
analysis MIL-STD-1629, November, AMSC Number N3074.
Ten, C-W, Liu, C-C, Manimaran, G, 2008. Vulnerability assessment of cybersecurity
for SCADA systems. Power Syst IEEE Trans 23 (4), 1836–1846.
Ten, C-W, Manimaran, G, Liu, C-C, 2010. Cybersecurity for critical infrastructures:
attack and defense modeling. Syst Man Cybern Part A Syst Hum IEEE Trans 40
(4), 853–865.
Thomas, IVJP, 2013. Extending and automating a systems-theoretic hazard analysis
for requirements generation and analysis Ph.D. thesis; Massachusetts Institute
of Technology.
Vesely, WE, Goldberg, FF, Roberts, NH, Haasl, DF, 1981. Fault tree handbook Technical report, DTIC Document.
Wang, W, Lu, Z, 2013. Cyber security in the Smart Grid: survey and challenges.
Comput Netw 57 (5), 1344–1371.
Watson, H, 1961. Launch control safety study Technical report, Bell Laboratories:
Murray Hill, NJ.
Weiss, JD, 1991. A system security engineering process. In: Proceedings of the 14th
National Computer Security Conference, vol. 249.
Young, W, Leveson, N, 2013. Systems thinking for safety and security. In: Proceedings of the 29th Annual Computer Security Applications Conference on — ACSAC
‘13. ACM Press, New York, New York, USA., pp. 1–8.
Young, W, Leveson, NG, 2014. An integrated approach to safety and security based
on systems theory. Commun ACM 57 (2), 31–35.
Zhang, Z, Gong, S, Dimitrovski, AD, Li, H, 2013. Time synchronization attack in smart
grid: impact and analysis. Smart Grid IEEE Trans 4 (1), 87–98.
2871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
