第4章-工业控制系统信息安全风险评估分析课件.ppt

1、-1-1-第第4 4章章 工业控制系统信息安全风险评估工业控制系统信息安全风险评估 工业控制系统信息安全工业控制系统信息安全-2-2-第4章 工业控制系统信息安全风险评估4.1 系统识别4.2 区域与管道定义4.3 信息安全等级（SL）4.4 风险评估过程4.5 风险评估方法-3-3-4.1 4.1 系统识别系统识别需考虑的系统需考虑的系统-是指公司工业控制系统与信息安全相关的部分，并非指整个工业控制系统，是与信息安全相关的设备和网络的总称。-4-4-第4章 工业控制系统信息安全风险评估4.1 系统识别4.2 区域与管道定义4.3 信息安全等级（SL）4.4 风险评估过程4.5 风险评估方法-

2、5-5-4.2.1 4.2.1 区域定义区域定义1 1区域区域定义定义 按照IEC 62443定义，“区域区域”是由逻辑的或物理的资产组成的，并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合，基于功能、逻辑和物理关系。图4-2 多装置区域模型图-6-6-4.2.1 4.2.1 区域定义区域定义2 2信息安全区域信息安全区域定义定义 在工业控制系统中定义和设计区域、管道的目的是将具有相同的功能性和信息安全要求的设备分成组进行标识和分析，这也有利于设备和操作的管理。这样需要保护的就不是单个的设备而是整个区域。-7-7-4.2.2 4.2.2 管道定义管道定义1 1管道管道定义定义 按

3、照IEC 62443定义，“管道”是连接两个或多个共享安全要求区域通信渠道的逻辑组。-8-8-4.2.2 4.2.2 管道定义管道定义2 2信息安全管道定义信息安全管道定义-9-9-4.2.3 4.2.3 区域定义模板区域定义模板-10-10-第4章 工业控制系统信息安全风险评估4.1 系统识别4.2 区域与管道定义4.3 信息安全等级（SL）4.4 风险评估过程4.5 风险评估方法-11-11-4.3.1 4.3.1 安全保障等级（安全保障等级（SALSAL） 在IEC62443中引入了信息安全保障等级（Security Assurance Level，SAL）的概念，尝试用一种定量的方法来

4、处理一个区域的信息安全。它既适用于终端用户公司，也适用于工业控制系统和信息安全产品供应商。通过定义并比较用于信息安全扫描周期的不同阶段的目标安全保障等级（SAL-T）、达到安全保障等级（SAL-A）和能力安全保障等级（SAL-C），实现预期设计结果的安全性。 目标目标安全保障等级（安全保障等级（SAL-TSAL-T）是为特定系统设定的SAL。 达到达到安全保障等级（安全保障等级（SAL-ASAL-A）是特定系统信息安全实际的SAL等级。 能力能力安全保障等级（安全保障等级（SAL-CSAL-C）是指系统或组件正确配置时的信息安全等级。-12-12-4.3.2 4.3.2 安全保障等级（安全保障

5、等级（SALSAL）与）与 安全完整性等级（安全完整性等级（SILSIL）的区别）的区别 IEC 62443中引入了信息安全保障等级信息安全保障等级（Security Assurance Level，SAL）的概念，尝试用一种定量的方法来处理一个区域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段的目标SAL、设计SAL、完成SAL和能力SAL，实现预期设计结果的安全性。它从身份和授权控制、使用控制、数据完整性、数据保密性、受限数据流、事件适时响应、资源可用性7个基本要求入手，将信息安全保障等级分为4个等级。 功能安全系统使用安全完整性等级安全完整性等级（Safety Integrit

6、y Level，SIL）的概念已有近20年。它允许一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全，但是功能安全使用安全完整性等级（SIL）是基于随机硬件失效的一个部件或系统失效的可能性计算得出的，而信息安全系统有着更为广泛的应用，以及更多可能的诱因和后果。影响信息安全的因数非常复杂，很难用一个简单的数字描述出来。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安全的管理和维护也必须是周而复始不断进行的。-13-

7、13-4.3.3 4.3.3 基本要求（基本要求（FRFR）1 1FR1FR1：标识和认证：标识和认证控制控制2 2FR2FR2：使用：使用控制控制3 3FR3FR3：系统：系统完整性完整性4 4FR4FR4：数据：数据保密性保密性5 5FR5FR5：限制的：限制的数据流数据流6 6FR6FR6：对事件的及时：对事件的及时响应响应7 7FR7FR7：资源可用性：资源可用性-14-14-4.3.4 4.3.4 系统要求（系统要求（SRSR）1 1FR1FR1：标识和认证：标识和认证控制系统要求控制系统要求2 2FR2FR2：使用：使用控制控制系统系统要求要求3 3FR3FR3：系统：系统完整性完

8、整性系统系统要求要求4 4FR4FR4：数据：数据保密性保密性系统系统要求要求5 5FR5FR5：限制的：限制的数据流数据流系统系统要求要求6 6FR6FR6：对事件的及时：对事件的及时响应响应系统系统要求要求7 7FR7FR7：资源：资源可用性可用性系统系统要求要求-15-15-4.3.5 4.3.5 系统能力等级（系统能力等级（CLCL）系统能力等级（CL）：能力等级能力等级 CL1CL1：提供机制保护控制系统防范偶然的、轻度的攻击。能力等级能力等级CL2CL2：提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可能达到较小破坏后果的攻击。能力等级能力等级CL3CL3：提供机

9、制保护控制系统防范恶意的、利用中等资源、ICS特殊技术的复杂手段的可能达到较大破坏后果的攻击。能力等级能力等级CL4CL4：提供机制保护控制系统防范恶意的、使用扩展资源、ICS特殊技术的复杂手段与工具可能达到重大破坏后果的攻击。-16-16-4.3.6 4.3.6 信息安全等级（信息安全等级（SLSL）表表4-1 4-1 信息安全等级表信息安全等级表 1. 1. 管理等级划分管理等级划分 根据信息安全控制实用规则（ISO27002）的管理要求和过程自动化用户协会（WIB）的推荐要求，通过管理评估，将管理等级划分为三级，分别为ML1，ML2和ML3，由低到高分别对应低级、中级和高级。2. 2.

10、系统能力等级划分系统能力等级划分 根据前面一节的内容，基于IEC62443-3-3技术要求，通过系统能力（技术）评估，将系统能力等级分为四级，由小到大分别对应系统能力等级的CL1，CL2、CL3和CL4。3. 3. 信息安全等级（信息安全等级（SLSL）划分）划分 根据管理评估和系统能力评估的结果，可以得到工业控制系统的评估结果，即信息安全等级，其等级划分为四级，由低到高分别对应为SL1，SL2、SL3和SL4，如表4-1 所示。-17-17-第4章 工业控制系统信息安全风险评估4.1 系统识别4.2 区域与管道定义4.3 信息安全等级（SL）4.4 风险评估过程4.5 风险评估方法-18-1

11、8-4.4.1 4.4.1 准备评估准备评估1 1目标目标 准备评估的目标是为风险评估建立背景。2 2关键活动关键活动 准备评估的关键活动包括以下几点。 （1）识别风险评估的目的。 （2）识别风险评估的范围。 （3）识别进行哪种风险评估的假设和约束条件。 （4）识别风险评估中用到的威胁、漏洞和冲击信息源。 （5）明确和改进风险评估中用到的风险模型、评估方法和分析方法。-19-19-4.4.2 4.4.2 开展评估开展评估1 1目标目标 开展评估的目标是制定一个信息安全风险清单。此清单中的信息安全风险按风险等级排出优先级，且可用于通知风险响应决策。 2 2关键活动关键活动 开展评估的关键活动包括

12、识别威胁源和事件、识别漏洞和诱发条件、确定发生的可能性、确定冲击的幅度及确定风险。 1）识别威胁源和事件 2）识别漏洞和诱发条件 3）确定发生的可能性 4）确定冲击的幅度 5）确定风险-20-20-4.4.3 4.4.3 沟通结果沟通结果1 1目标目标 沟通结果的目标是确保公司组织的决策者有正确的与风险相关的信息，以便通知和指导风险决策。 2 2关键活动关键活动 沟通结果的关键活动包括以下几点： （1）明确正确的方法。 （2）与指定的公司股东沟通风险评估结果。 （3）共享风险评估结果，与公司方针和指导一致。-21-21-4.4.4 4.4.4 维护评估维护评估1 1目标目标 完成风险评估，沟通

13、评估结果，这个过程并没有结束。因为网络威胁和系统漏洞也在不断演变，公司应该不断考虑它们的风险姿态，以维持可接受的残余风险等级。2 2关键活动关键活动 维护评估的关键活动包括以下几点： （1）识别已发现的还需不断监控的关键风险因素。 （2）识别风险因素监控活动的频率和事项，找出哪些风险评估需要更新。 （3）重新确认风险评估的目的、范围和假设。 （4）实施正确的风险评估任务。 （5）与公司有关人员沟通后续的风险评估。-22-22-第4章 工业控制系统信息安全风险评估4.1 系统识别4.2 区域与管道定义4.3 信息安全等级（SL）4.4 风险评估过程4.5 风险评估方法-23-23-4.5.1 4

14、.5.1 定性和定量风险评估方法定性和定量风险评估方法 定性定性风险评估方法风险评估方法，可依赖有经验的雇员或者专家的意见，提供关于特定风险影响特定资产的可能性和严重性的信息。此外，不同层次的可能性和严重性可以通过一般级别如高、中、低来识别，而不是特定的可能结果和经济影响。 在缺乏可靠信息时，定性风险评估方法就不适用，而改用定量风险评估方法更加实用，这些信息为特定风险对特定资产影响的可能性，或者特定资产损害带来影响的整体评估。 定量定量风险评估方法风险评估方法需要大量的数据支持，这些数据可以提供因风险和脆弱性带来损失的概率。如果这些信息可用，那么定量风险评估能够提供比定性风险评估更加精确的风险

15、评估结果。根据最近提供的有关工业控制系统安全威胁的数据，事故发生，以及威胁迅速激化的现象相对较少发生，在这种情形下，定量风险评估方法在评价这些风险中更有效。-24-24-4.5.2 4.5.2 基于场景和资产风险评估方法基于场景和资产风险评估方法 基于场景和资产风险评估方法基于场景和资产风险评估方法，是利用实际的或者近乎实际的事故进行评估，如工业控制系统的装备在本地或远程未授权访问操作会带来什么结果，工业控制系统的数据被窃或被损害会带来什么后果等。 基于场景和资产的评估方法，适用于组织机构对控制系统、工作方法和对经济产生影响的特定资产有一定的认识。 基于场景和资产的评估方法不能深入发现风险对敏

16、感资产的威胁，这些敏感资产之前并没有遭受过风险。由于这种方法不能发现一些威胁和漏洞，这些威胁和漏洞将使其他一些设备置于危险中。-25-25-4.5.3 4.5.3 详细风险评估方法详细风险评估方法 详细详细风险评估方法风险评估方法主要集中在个体工业控制系统网络和设备上，同时要考虑到具体的财产上的技术漏洞评估和现有政策的有效性。它可能对组织机构一次性工业控制系统资产执行详细风险评估不是很符合实际。在这种情况下，组织机构将会收集足够的关于工业控制系统信息，允许对系统做优先级排序，决定哪些首先由具体漏洞和风险评估工作做分析。 在详细风险评估方法中，定义了风险，并进行优先级排序。-26-26-4.5.4 4.5.4 高层次风险评估方法高层次风险评估方法 高层次高层次风险评估方法，风险评估方法，阐明了运用工业控制系统产生的个别风险的性质，这需要从根本上选择最有效的方法和分析配置的成本。 高层次风险评估方法需要通过风险分析会议聚集利益关系者的意见，也需要利用高级商业后果，这些后果在经营理念中已经阐述。风险分析会议中的文件列举了一些情景，这些情景描述了一个特定的威胁是怎样利用特定的漏洞，造成经济损失和负面的商业影响，这种会议也设定了后果等级标准和抗风险等级优先顺序。