综述
随着计算机和网络技术的发展,特别是信息化与工业化## 综述
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制 系统产品越来越多地采用通用协议、通用硬件和通用软件,网络威胁正在由传统 IT领域向工业控制系 统扩散,工业控制系统信息安全问题日益突出,对工业生产运行,乃至国家经济安全造成重大隐患。如 何针对这些隐患制定出一套可行的检测与安全评估方法显得尤为重要,也是关键基础设施领域亟待解决 的问题。但由于每个企业的业务目标和运营环境多样化、复杂化,而制定一套“均码”的度量标准或者 规范是很艰难的,即使制定出该标准但实施与执行后的效果是否理想就不得而知。
安全评估存在的问题:
- 合规并不等于安全。
- 无法验证的脆弱性仅仅是主观推测的结果,需大胆设想,小心求证。 构建的理念:
在工业控制系统的功能安全、操作安全、安全防护措施以及脆弱性的基础上,构建整体性更强、综 合性更高的方法(风险场景构建),避免零散孤立的合规核查,对风险的“可能性”做出更为准确的解 释,形成可量化的标准,为制定有针对性的、高效的风险缓解措施奠定基础。
这里将尝试提出一种工业控制系统安全评估流程的方法论,从技术层面出发梳理评估步骤,针对涉 及到的技术点与方法进行归纳总结。本文所提出的安全评估的流程如下图所示:
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性
风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 (组件测试、 防护措施排序 系统测试)
目标定义与系统评定
目标定义
全面的安全评估需要了解系统的相关组成结构以及相关联的业务,从多个方面评估可能存在的风险, 并通过实施过程进行逐步验证,通过计算模型推导出可能形成的损失。如下图:
人员 信息 管理
系统 风险评估考虑因素:
- 人员(安全意识与安全能力)
- 管理(人员管理、生产管理、数据管理、运维管理等)
数据 通讯 终端 • 供应链(元件 / 设备引入安全风险)
系统 系统 系统 • 边界(不同区域的风险管理) - 工艺(可靠性要求)
- 电磁辐射(侧信道攻击)
生产 • 环境(设备 / 系统针对不同环境的适应能力)
系统 • 数据传输与存储 - 设备老化或者异常运行
供应链
图 2.1 风险评估参考架构
制定适合自有系统的风险度量标准并对识别出的风险进行评分,对于工业控制系统来说,需要理清 如下问题:
- 企业生产什么 ?
- 工业控制系统运行 / 实现自动化的环节有哪些?
- 在生产环境中部署了哪些系统支持正常生产?
- 工业控制系统中哪些地方出现异常可能会造成较大的损失?
通过回答这些甚至更多问题,就可知道哪些系统对于实现业务 / 运营目标更为关键,哪些系统为辅 助性的,同时也明确了这些系统按计划停止运行后可能导致的后果是什么。
确定业务 / 运营目标过程: - 多角色参与讨论,如业务经理 / 资产所有者 / 资产托管方 / 工程经理 / 工程师 / 所有其他利益相 关方。
- 从对业务 / 运营目标提供支持的系统及这些系统的故障导致潜在的后果这两个维度出发,对业 务 / 运营目标做出澄清。
输出:
- 清晰的业务 / 运营目标。
- 支撑目标的各类系统。
系统评定与分类
在工业控制系统环境中系统的概念为出于一个共同的业务 / 运营目标而协同工作的一组过程设备、 处理装置、计算机、调度策略、运行工艺和组织管理等。如 SIS(安全仪表系统)、SCADA(监控与数 据采集系统)、HSE(健康安全和环境管理系统)、FGS(火气系统)等。
系统评定与分类的过程按照以下顺序进行:
对目标系统做识别与判定 分析与系统相关联的潜在事件和后果 建立后果与业务/运营目标的关联关系 根据关键性对系统进行分类与优先级排序
图 2.2 系统评定与分类过程
输出内容为:
- 对支撑业务 / 运营目标的各类系统的分类。
- 根据关键性对各个系统的优先级排序。
参考资料
绿盟 工业控制系统安全评估流程
深度融合以及物联网的快速发展,工业控制 系统产品越来越多地采用通用协议、通用硬件和通用软件,网络威胁正在由传统 IT领域向工业控制系 统扩散,工业控制系统信息安全问题日益突出,对工业生产运行,乃至国家经济安全造成重大隐患。如 何针对这些隐患制定出一套可行的检测与安全评估方法显得尤为重要,也是关键基础设施领域亟待解决 的问题。但由于每个企业的业务目标和运营环境多样化、复杂化,而制定一套“均码”的度量标准或者 规范是很艰难的,即使制定出该标准但实施与执行后的效果是否理想就不得而知。安全评估存在的问题:
- 合规并不等于安全。
- 无法验证的脆弱性
仅仅是主观推测的结果,需大胆设想,小心求证。 构建的理念:在工业控制系统
的功能安全、操作安全、安全防护措施以及脆弱性的基础上,构建整体性更强、综 合性更高的方法(风险场景构建),避免零散孤立的合规核查,对风险的“可能性”做出更为准确的解 释,形成可量化的标准,为制定有针对性的、高效的风险缓解措施奠定基础。这里将尝试提出一种工业控制系统安全评估流程的方法论,从技术层面出发梳理评估步骤,针对涉 及到的技术点与方法进行归纳总结。本文所提出的安全评估的流程如下图所示:
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性
风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 (组件测试、 防护措施排序 系统测试)
目标定义与系统评定
目标定义
全面的安全评估需要了解系统的相关组成结构以及相关联的业务,从多个方面评估可能存在的风险, 并通过实施过程进行逐步验证,通过计算模型推导出可能形成的损失。如下图:
人员 信息 管理
系统 风险评估考虑因素:
- 人员(安全意识与安全能力)
- 管理(人员管理、生产管理、数据管理、运维管理等)
数据 通讯 终端 • 供应链(元件 / 设备引入安全风险)
系统 系统 系统 • 边界(不同区域的风险管理) - 工艺(可靠性要求)
- 电磁辐射(侧信道攻击)
生产 • 环境(设备 / 系统针对不同环境的适应能力)
系统 • 数据传输与存储 - 设备老化或者异常运行
供应链
图 2.1 风险评估参考架构
制定适合自有系统的风险度量标准并对识别出的风险进行评分,对于工业控制系统来说,需要理清 如下问题:
- 企业生产什么 ?
- 工业控制系统运行 / 实现自动化的环节有哪些?
- 在生产环境中部署了哪些系统支持正常生产?
- 工业控制系统中哪些地方出现异常可能会造成较大的损失?
通过回答这些甚至更多问题,就可知道哪些系统对于实现业务 / 运营目标更为关键,哪些系统为辅 助性的,同时也明确了这些系统按计划停止运行后可能导致的后果是什么。
确定业务 / 运营目标过程: - 多角色参与讨论,如业务经理 / 资产所有者 / 资产托管方 / 工程经理 / 工程师 / 所有其他利益相 关方。
- 从对业务 / 运营目标提供支持的系统及这些系统的故障导致潜在的后果这两个维度出发,对业 务 / 运营目标做出澄清。
输出:
- 清晰的业务 / 运营目标。
- 支撑目标的各类系统。
系统评定与分类
在工业控制系统环境中系统的概念为出于一个共同的业务 / 运营目标而协同工作的一组过程设备、 处理装置、计算机、调度策略、运行工艺和组织管理等。如 SIS(安全仪表系统)、SCADA(监控与数 据采集系统)、HSE(健康安全和环境管理系统)、FGS(火气系统)等。
系统评定与分类的过程按照以下顺序进行:
对目标系统做识别与判定 分析与系统相关联的潜在事件和后果 建立后果与业务/运营目标的关联关系 根据关键性对系统进行分类与优先级排序
图 2.2 系统评定与分类过程
输出内容为:
- 对支撑业务 / 运营目标的各类系统的分类。
- 根据关键性对各个系统的优先级排序。
700
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
