Електронні компоненти і системи 
Четвертая индустриальная революция тесно связана с обеспечением функциональной и информационной безопасности для систем нового типа, в частности, для Интернета вещей или Internet of Things (IoT). Функциональная безопасность беспроводных сенсорных сетей представляет собой комплекс мероприятий, направленных на защиту сетей от аварий с целью предотвращения нанесения ущерба людям, окружающей среде и материальным ценностям. Высокий уровень функциональной безопасности обеспечивается в случае, если функции безопасности при возникновении аварийных ситуаций работают надежно.
В АСУ ТП, например, к характерным функциям безопасности относятся следующие предохранительные функции: аварийная остановка системы, контроль давления автоматизированного котла, аварийное закрытие клапана котла, удерживание от закрытия шлюзных ворот и др. .
Основные нормы функциональной безопасности проектируемых электрических, электронных и программируемых электронных устройств и систем изложены в международных стандартах МЭК 61508 и МЭК 61511. Особенностью этих стандартов является риск-ориентированный подход. В зависимости от уровня ущерба, который может принести техногенный объект (в нашем случае беспроводные сенсорные сети) для жизни и здоровья человека или окружающей среде, устанавливаются соответствующие уровни риска, как это следует из рис. 1.
Рис. 1. Диаграмма уровней риска для оценки функциональной безопасности системы в соответствии с требованиями стандартов
МЭК 61508 и МЭК 61511
Для снижения степени риска предусмотрен комплекс мер, который регламентируется теми же стандартами.
Серия стандартов МЭК 61508 включает семь частей , рис. 2.
Рис. 2. Перечень международных стандартов по функциональной безопасности МЭК 61508
Для лучшего понимания проблемы функциональной безопасности приведем некоторые термины, относящиеся к функциям безопасности и полноте безопасности, которые подлежат регламентации в технических требованиях на проектируемое изделие:
1. Функция безопасности (safety function) – функция, реализуемая системой и предназначенная для достижения или поддержания безопасного состояния оборудования по отношению к конкретному опасному событию.
2. Полнота безопасности (safety integrity) – вероятность того, что система будет удовлетворительно выполнять требуемые функции безопасности при всех оговоренных условиях в течение заданного интервала времени.
3. Полнота безопасности программного обеспечения (software safety integrity) – составляющая полноты безопасности системы, касающаяся систематических отказов, проявляющихся в опасном режиме и относящихся к программному обеспечению.
4. Полнота безопасности, касающаяся систематических отказов (systematic safety integrity) – составляющая полноты безопасности системы, касающаяся систематических отказов, проявляющихся в опасном режиме.
5. Полнота безопасности аппаратных средств (hardware safety integrity) – это составляющая полноты безопасности системы, касающаяся случайных отказов аппаратуры, проявляющихся в опасном режиме.
6. Уровень полноты безопасности (safety integrity level – SIL) –дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности. При этом уровень полноты безопасности, равный 4, является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1, соответствует наименьшей полноте безопасности.
7. Стойкость к систематическим отказам (systematic
capability) – мера уверенности (выраженная в диапазоне ССО 1 — ССО 4) в том, что систематическая полнота безопасности элемента соответствует требованиям заданного значения уровня полноты безопасности для определенной функции безопасности элемента.
Отметим, что приведенные выше термины относятся к системам, которые связаны с безопасностью (safety-related system), т.е. к системам, которые реализуют необходимые функции безопасности, требующиеся для достижения и поддержки безопасного состояния оборудования.
Как следует из рис. 2, первая часть стандарта МЭК 61508 содержит общие требования к системам, которые отвечают за безопасность, вторая часть содержит связанные с безопасностью требования к электрическим, электротехническим и программируемым электронным системам. Именно к последним относятся БСС. Третья часть определяет требования к ПО, четвертая часть содержит основные термины и определения, пятая – включает примеры методов для определения уровней полноты безопасности, шестая – представляет собой руководство к применению требований, содержащихся в частях 2, 3, и седьмая часть включает обзор и примеры технических и организационных мероприятий по обеспечению функциональной безопасности проектируемых изделий (в нашем случае БСС).
Практически все системные функции, регламентируемые перечисленными стандартами, могут поддерживаться беспроводными сенсорными сетями. БСС – это многоуровневая распределенная самоорганизующиеся сеть большого числа сенсоров и исполнительных механизмов, объединенных радиоканалом, рис. 3 .
Рис. 3. Структурная организация беспроводных сенсорных сетей
На базе БСС реализуются проекты, связанные с применением технологии Интернета вещей, т.е. объектов, которые взаимодействуют между собой без участия человека. По данным журнала IоТ Analytics 2016 проекты, связанные с использованием технологии Интернета вещей в 2016 году, распределились между различными сферами применения в соответствии с приведенной на рис. 4 диаграммой.
Рис. 4. Распределение глобальных проектов по сферам применения, основанных на применении технологии Интернета вещей
Эти данные получены при оценке 640 глобальных проектов в странах Америки, Европы, Юго-Восточной Азии, Ближнего Востока и Австралии, что является свидетельством появления нового класса так называемых кибер-физических объектов. В таких объектах средства обеспечения надежности, информационной и функциональной безопасности должны быть объединены в единую систему. Связь атрибутов надежности, информационной и функциональной безопасности характеризуется диаграммой, рис. 5. .
Рис. 5. Взаимосвязь атрибутов надежности
Базовым показателем функциональной безопасности является риск. Риски могут оцениваться качественно или количественно. Основные методы оценки рисков или оценки уровней полноты безопасности изложены в стандарте МЭК 61508-5. В соответствии с требованиями этого стандарта могут быть использованы разные методы оценки уровня полноты безопасности, причем одни методы используются для ускоренной предварительной оценки, другие, более строгие, применяются для оценки последствий с многочисленными несчастными случаями. Таким образом, согласно МЭК 61508 функциональная безопасность относится к системам, реализующим функции безопасности, выход из строя которых может привести к значительным рискам для людей и/или окружающей среды. Способность системы обеспечивать функции безопасности определяются уровнем полноты безопасности или Safety Integrity Level, сокращенно SIL. Как следует из рис. 1, стандарт МЭК 61508 определяет четыре уровня полноты безопасности SIL1, SIL2, SIL3 и SIL4, причем, как было отмечено, самым высоким требованиям безопасности соответствует уровень SIL4, а самым низким – уровень SIL1. Расчет уровня SIL, как уже говорилось, осуществляется на основе оценки рисков. Для того, чтобы присвоить проектируемому изделию класс SIL, применяются методы расчета, приведенные в стандартах МЭК 61508 и МЭК 61511. После определения необходимого уровня SIL осуществляется подбор аппаратных и программных средств, необходимых для реализации функции безопасности системы в целом.
Стандарт МЭК 61508 регламентирует три режима работы систем, реализующих функции безопасности: с низкой частотой запросов (low demand mode), т.е режим, при котором частота запросов на выполнение функции безопасности не превышает одного в год; режим с высокой частотой запросов (high demand mode), при котором частота запросов на выполнение функции безопасности превышает один в год; и непрерывный режим (continuous mode). Зависимость уровня SIL от значений средней вероятности опасного отказа выполнения системой функции безопасности по запросу для режима с низкой частотой запросов (Average probability of dangerous failure on demand of the safety function или PFDAVG) приведена в табл. 1.
Таблица 1. Зависимость уровня SIL от значений средней
вероятности опасного отказа выполнения функции
безопасности по запросу для режима с низкой частотой
запросов (PFDAVG)
| Уровень SIL | Значение FPDAVG |
| 4 | от 10-5до 10-4 |
| 3 | от 10-4до 10-3 |
| 2 | от 10-3 до 10-2 |
| 1 | от 10-2 до 10-1 |
В качестве единицы измерения функции безопасности в режиме с высокой частотой запросов используется значение средней интенсивности опасных отказов функции безопасности (Average frequency of dangerous failure of the safety function – PFH). Зависимость уровня SIL от этого показателя приведена в табл. 2.
Таблица 2. Зависимость уровня SIL от величины средней
частоты опасных отказов функции безопасности
| Уровень SIL | Значение PFH |
| 4 | от 10-9до 10-8 один отказ в 11400 лет |
| 3 | от 10-8до 10-7 один отказ в 1140 лет |
| 2 | от 10-7 до 10-6 один отказ в 114 лет |
| 1 | от 10-6 до 10-5 один отказ в 11,4 лет |
Анализируя данные табл. 1, 2, приходим к выводу, что обеспечивать уровень SIL 4 для единичной БСС не имеет смысла, но если учесть, что в мире находит применение множество однотипных сенсорных сетей, то даже при такой низкой частоте отказов, которая соответствует уровню SIL 4, опасные отказы являются достаточно вероятными событиями. Отметим, что уровень SIL относится к функции безопасности всей системы или всей БСС. Поэтому нужно учитывать среднюю частоту опасных отказов для всех элементов сети. Чтобы рассчитать уровень SIL функции безопасности, нужно обратиться к методике, изложенной в стандарте МЭК 61508. Кратко рассмотрим, как нормируются количественные значения показателей безопасности в МЭК 61508. Если, например, обратиться к БСС, то события, связанные с риском, представляют собой отказы функций безопасности.
В качестве показателей безопасности в стандарте МЭК 60812 предложены вероятности отказов для функций безопасности. Для определения этих вероятностей используется аппарат теории надежности. Исходя из норм стандарта МЭК 61508, определяется доля опасных отказов (Dangerous Failure Fraction, DFF), которая дополняет долю безопасных отказов до единицы и рассчитывается, как отношение интенсивности опасных недиагностируемых отказов к суммарной интенсивности отказов.
Диагностическое покрытие (Diagnostic Coverage, DC) в МЭК 61508 определяется только исходя из интенсивности опасных отказов. Интенсивность опасных отказов – это отношение интенсивности опасных диагностируемых отказов к интенсивности опасных отказов, т.е. согласно данному стандарту это покрытие свидетельствует о доле уменьшения вероятности только опасных отказов за счет встроенного диагностирования. Максимальный уровень SIL определяется из расчета доли безопасных отказов (Safe Failure Fraction – SFF), как для резервированных, так и нерезервированных конфигураций БСС. Пример рассчитанных таким образом уровней SIL приведен в табл. 3.
Таблица 3. Максимально достижимый уровень SIL в зависимости от доли безопасных отказов SFF и показателя аппаратной отказоустойчивости (Hardware Fault Tolerance – HFT)
| Доля безопасных отказов на элемент БСС или SFF | Допустимое число аппаратных отказов или HFT | ||
| 0 | 1 | 2 | |
| < 60% | 一 | SIL1 | SIL2 |
| от 60% до 90% | SIL2 | SIL2 | SIL3 |
| от 90% до 99% | SIL2 | SIL3 | SIL4 |
| 99% | SIL3 | SIL4 | SIL4 |
Эти данные получены при оценке 640 глобальных проектов в странах Америки, Европы, Юго-Восточной Азии, Ближнего Востока и Австралии, что является свидетельством появления нового класса так называемых кибер-физических объектов. В таких объектах средства обеспечения надежности, информационной и функциональной безопасности должны быть объединены в единую систему. Связь атрибутов надежности, информационной и функциональной безопасности характеризуется диаграммой, рис. 5. . Исходя из данных табл. 3, для доли безопасных отказов 90 – 99 % при нерезервированной конфигурации (HFT = 0) максимальный уровень полноты безопасности не превышает SIL2. Для дублированных БСС (HFT = 1) может быть обеспечен уровень SIL3, а для троированных БСС – уровень SIL4. Показатель отказоустойчивости HFT в этом случае равен двум. Следует отметить, что элементы БСС согласно МЭК 61508 относятся к оборудованию типа В, т.е. к программируемым электронным устройствам.
Для того, чтобы рассчитать уровень SIL функции безопасности, недостаточно учитывать среднюю вероятность отказа функции безопасности (PFD) отдельных элементов БСС. Для этого необходимо сложить значения PFD отдельных элементов всей БСС. После чего полученный суммарный результат PFD сравнивается с допустимой общей вероятностью отказов требуемого уровня SIL. Повысить уровень SIL (если расчетное значение не соответствует требуемому уровню) можно введением в БСС средств диагностики и резервирования. Пример расчета общего значения PFD для БСС приведен на рис. 6.
Рис. 6. Расчет значений PFD функции безопасности элементов БСС в составе: сенсор (а), координатор (б), концентратор (в)
Для сетевого кластера, включающего 100 сенсоров, один координатор и один концентратор, средняя вероятность опасного отказа PFD = 4.46х10-1, что ниже уровня SIL1. Из этого следует, что для повышения уровня полноты безопасности БСС в целом следует ряд сенсоров (из 100) использовать в качестве горячего резерва, либо встроить в них средства диагностики.
В БСС одинаково важно использовать методы, направленные на обеспечение как функциональной, так и информационной безопасности. В серии стандартов МЭК 61508 практически отсутствуют подходы к обеспечению информационной безопасности. Для определения подходов, позволяющих обеспечить информационную безопасность БСС, рассмотрим потенциально опасные угрозы для типовой архитектуры БСС, рис. 3. Векторы атак для БСС могут быть направлены на удаленные сенсоры с радиомодулем, координатор с радиомодулем или концентратор с радиомодулем, на сменные носители информации, использующие USB- или I2C-порты, на беспроводные интерфейсы типа WiFi, ZigBee, Bluetooth и др., на мобильные платформы типа беспилотных летательных аппаратов или мобильных компьютеров, включая их программное обеспечение. Классификация атак на БСС, представляющих угрозу информационной безопасности сенсорных сетей, приведена на рис. 7.
Как следует из этого рисунка, атаки на БСС могут быть как пассивные, так и активные. Среди активных атак следует особо выделить атаки на беспроводные маршрутизаторы, которые обслуживают БСС. К ним относятся атаки, связанные с модификацией информации о маршрутизации, подменой идентификатора маршрутизатора, выборочное удаление пакетов данных, атаки на переполнение буфера, а также атаки типа «воронка» и типа «червоточина». Поясним характер последних двух типов атак.
Атака типа «воронка» (Sinkhole Attack) препятствует получению базовой станцией полных и корректных данных, создавая угрозу приложениям более высокого уровня.
Атака типа «червоточина» (Wormhole Attack) предусматривает создание специального пути между двумя и более злонамеренными узлами сенсорной сети для передачи перехваченных пакетов.
В табл. 4 приведены основные типы активных атак на БСС, характер возможного ущерба под воздействием этих атак и методы защиты БСС от активных атак разного рода.
К сожалению, в настоящее время отсутствуют нормативные документы, регламентирующие требования к информационной безопасности БСС, что существенно ограничивает развитие и внедрение технологий Интернета вещей на основе БСС. Причем это относится не только к законченным системам, но и к подключаемым устройствам, обеспечивающим доступ к БСС на разных уровнях, которые в большинстве своем могут быть выполнены в микроэлектронном исполнении. Это могут быть сетевые адаптеры, программируемые контроллеры с радиомодулями, приемопередатчики и многие другие микроэлектронные изделия. В связи с этим компании Infineon, NXP, STMicroelectronics и Европейское агентство по сетевой и информационной безопасности (ENISA) выступили с предложением разработать и внедрить базовые стандарты кибер-безопасности подключенных устройств.
Рис. 7 Классификация атак на БСС
Таблица 4. Типы активных атак на БСС, характер возможного ущерба и методы защиты БСС от активных атак
| Угроза | Уязвимость | Решение | |
| 1 | Пассивный мониторинг сети | Конфиденциальность | Криптография, шифрование |
| 2 | Прослушивание и анализ трафика | Конфиденциальность | Криптография, шифрование |
| 3 | Атаки маршрутизации | Целостность сети, маршрутизация, доступность данных | Защищенная маршрутизация, аутентификация, управление ключами, центр доверия |
| 3.1 | Подмена идентификатора | Механизмы маршрутизации, агрегация данных | Защищенная маршрутизация, защищенная агрегация данных |
| 3.2 | Выборочное удаление | Целостность сети, доступность данных | Защищенная маршрутизация |
| 3.3 | Модификация информации о маршрутизации | Таблицы маршрутизации | Защищенная маршрутизация |
| 3.4 | Атаки типа “воронка” | Маршрутизация, целостность сети | Защищенная маршрутизация |
| 3.5 | Атака через переполнение | Пропускная способность каналов сети, энергетические и вычислительные ресурсы | Защищенная маршрутизация |
| 3.6 | Атаки типа “червоточина” | Целостность сети, таблицы маршрутизации | Защищенная маршрутизация |
| 4 | Отказ в обслуживании | Целостность сети, энергетические и вычислительные ресурсы | Стойкость к отказам в обслуживании, в частности, механизм расширенного спектра |
| 5 | Захват узла | Целостность сети, криптографические ключи, конфиденциальная информация | Идентификация вторжений |
| 6 | Неисправность узла или выход его из строя | Целостность сети | Альтернативные маршруты, встроенная диагностика |
| 7 | Фальсификация или копирование узла | Целостность сети, конфиденциальная информация | Идентификация вторжений |
Производители микросхем выразили общее мнение, заявив, что европейская система маркировки и сертификации кибер-безопасности Интернета вещей должна оцениваться Европейской комиссией (ЕК). Европейскую Комиссию призывают поощрять разработку стандартов IoT-безопасности и конфиденциальности в рамках нового общеевропейского законодательства. В меморандуме, подписанном вышеупомянутыми компаниями, говорится о поддержке идеи маркировки подключаемых устройств – Trusted IoT («Надежный Интернет вещей») по аналогии с маркировкой CE для товаров, распространяемых на территории Европейского Союза. Они выступают за введение минимальных норм кибер-безопасности и стандартизацию процессов и услуг в этой отрасли.
Производители микросхем также предлагают внедрить систему материального поощрения производителей IoT-устройств, обеспечивающих кибербезопасность собственной продукции. По их мнению, такая практика поможет побороть нежелание производителей и потребителей тратиться на безопасность своих устройств. Они уверяют, что именно нежелание вкладывать средства в защиту от киберугроз мешает участникам европейского рынка получить максимальную выгоду от массового внедрения технологии Интернета вещей. Результаты недавних исследований Европейской комиссии свидетельствуют о том, что уже к 2020 году объем общеевропейского рынка IoT-устройств мог бы достичь одного триллиона долларов.
Однако в комиссии признают, что проблемы кибербезопасности таких устройств могут помешать практической реализации этого прогноза. Европейская комиссия объявила, что уже в октябре 2017 года планируется принять ряд новых законодательных норм, регулирующих вопросы кибербезопасности подключенных устройств. В соответствии с этими нормами, компании обяжут внедрять строгие стандарты кибербезопасности, а также проходить сертификационные испытания, призванные подтвердить необходимый уровень конфиденциальности. Европейские чиновники предложили компаниям самостоятельно разработать систему маркировки, которая бы указывала на уровень информационной безопасности и конфиденциальности того или иного продукта, подобно европейской маркировке энергоэффективности – по количеству звезд. Повышенное внимание к проблемам информационной безопасности отчасти связано с усилиями Европы, направленными на повышение скорости мобильных и фиксированных каналов доступа в Интернет. Европейские производители микросхем отмечают, что на сегодняшний день общепринятых стандартов и рекомендаций по кибербезопасности IoT-устройств просто не существует. По их мнению, мелкие и средние производители подключаемых устройств, как правило, не обладают достаточным уровнем знаний в области информационной безопасности. Малым и средним предприятиям необходимо предоставить максимум информации о безопасности и конфиденциальности в области технологии Интернета вещей, а также о существующих средствах защиты IoT-устройств, таких как шифрование, правила хранения ключей, строгая/двухфакторная аутентификация и системы управления идентичностью. Следует отметить, что одним из важнейших катализаторов для программы кибербезопасности IoT- устройств в Европейском Союзе стали атаки ботсети Mirai. Как известно, в 2016 году жертвой Mirai стал DNS-провайдер Dyn – в результате атаки был заблокирован доступ к Твиттеру, Amazon, PayPal и десяткам других популярных сайтов. Позднее, в ноябре того же года, модифицированный вариант Mirai инфицировал роутеры Deutsche Telekom, оставив без связи с внешним миром 900 тыс. абонентов компании. В феврале 2017 года Федеральное сетевое агентство ФРГ (BNetzA) запретило продажи умной игрушки производства США. Специалисты обнаружили, что у куклы Кайлы (Cayla) имеются проблемы с аутентификацией Bluetooth. Немецкий регулятор посчитал, что эта уязвимость может сделать игрушку, оборудованную камерой и микрофоном, инструментом скрытого слежения и контроля в руках злоумышленников. Производители микросхем предлагают европейским властям внедрить обязательные стандарты средств киберзащиты, такие как аутентификация и авторизация. При этом они настаивают, что, скажем, для термостатов эти стандарты должны быть проще, чем, к примеру, для смартфонов. Фактически предлагается разработать и внедрить упрощенную версию ИСО/МЭК 15408 – международный стандарт сертификации систем безопасности информационных технологий (Common Criteria, CC).
Стандарты сертификации IoT-устройств должны распространяться на подключенные устройства, коммерческое программное обеспечение и продукты с коротким жизненным циклом. Эти стандарты можно использовать наряду с вышеописанной маркировкой информационной безопасности подключенных устройств. Кроме того, планируется создать «единое игровое поле» для всех участников рынка IoT-устройств. В частности, при внедрении обязательного страхования кибербезопасности подключенных устройств .
ВЫВОДЫ
1. Беспроводные сенсорные сети являются основой технологии Интернета вещей, на базе которых создаются устройства и системы нового поколения для применения в различных областях человеческой деятельности. Широкое применение технологии Интернета вещей тесно связано с обеспечением функциональной и информационной безопасности беспроводных сенсорных сетей.
2. Основные требования к функциональной безопасности беспроводных сенсорных сетей регламентируются серией стандартов МЭК 61508 и МЭК 61511. Главной особенностью этих стандартов является риск-ориентированый подход.
3. Международные нормативные документы, регламентирующие требования к информационной безопасности беспроводных сенсорных сетей, практически еще не разработаны, что ограничивает развитие и внедрение технологии Интернета вещей в различные сферы человеческой деятельности.
4. По предложению ведущих европейских производителей микроэлектронных компонентов, таких как компании Infineon, ST Microelectronics, NXP и др., в в ЕС ближайшем будущем необходимо разработать и внедрить базовые международные стандарты по информационной безопасности беспроводных сенсорных сетей и их компонентов, в том числе в микроэлектронном исполнении, аналогичные стандартам МЭК по функциональной безопас-ности.
ЛИТЕРАТУРА
1. AUMA– функциональная безопасность – SIL.https:www.auma/ru/reshenija/service-conditirus functional-safety-sil/.
2. Функциональная безопасность часть 5 из 6.Жизненный цикл информационной и функциональной безопасности. https://habrahabr.ru/post/322428/.
3. Функциональная безопасность часть 6 из 6. Оценивание показателей функциональной безопасности и надежности. https://habrahabr.ru/post/323776.
4. Palagin O.V., Romanov V.O., Galelyka I.B., Voronenko O.V., Brayko Yu.O., Imamutdinova R.G. Wireless sensor network for precision farming and environmental protection // Information theories and applications. – Vol.24, Number 1. – 2017. – P. 19-34.
5. http://www.iotexpert.ru/node/19451.
