第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估

1、-1-1-第第4 4章章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估工業(yè)控制系統(tǒng)信息安全風(fēng)險評估 工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全-2-2-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估4.1 系統(tǒng)識別4.2 區(qū)域與管道定義4.3 信息安全等級（SL）4.4 風(fēng)險評估過程4.5 風(fēng)險評估方法-3-3-4.1 4.1 系統(tǒng)識別系統(tǒng)識別需考慮的系統(tǒng)需考慮的系統(tǒng)-是指公司工業(yè)控制系統(tǒng)與信息安全相關(guān)的部分，并非指整個工業(yè)控制系統(tǒng)，是與信息安全相關(guān)的設(shè)備和網(wǎng)絡(luò)的總稱。-4-4-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估4.1 系統(tǒng)識別4.2 區(qū)域與管道定義4.3 信息安全等級（SL）4.4 風(fēng)險評估過程4.5 風(fēng)險評估方法-

2、5-5-4.2.1 4.2.1 區(qū)域定義區(qū)域定義1 1區(qū)域定義區(qū)域定義 按照IEC 62443定義，“區(qū)域區(qū)域”是由邏輯的或物理的資產(chǎn)組成的，并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實(shí)體集合，基于功能、邏輯和物理關(guān)系。圖4-2 多裝置區(qū)域模型圖-6-6-4.2.1 4.2.1 區(qū)域定義區(qū)域定義2 2信息安全區(qū)域定義信息安全區(qū)域定義 在工業(yè)控制系統(tǒng)中定義和設(shè)計區(qū)域、管道的目的是將具有相同的功能性和信息安全要求的設(shè)備分成組進(jìn)行標(biāo)識和分析，這也有利于設(shè)備和操作的管理。這樣需要保護(hù)的就不是單個的設(shè)備而是整個區(qū)域。-7-7-4.2.2 4.2.2 管道定義管道定義1 1管道定義管道定義 按

3、照IEC 62443定義，“管道”是連接兩個或多個共享安全要求區(qū)域通信渠道的邏輯組。-8-8-4.2.2 4.2.2 管道定義管道定義2 2信息安全管道定義信息安全管道定義-9-9-4.2.3 4.2.3 區(qū)域定義模板區(qū)域定義模板-10-10-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估4.1 系統(tǒng)識別4.2 區(qū)域與管道定義4.3 信息安全等級（SL）4.4 風(fēng)險評估過程4.5 風(fēng)險評估方法-11-11-4.3.1 4.3.1 安全保障等級（安全保障等級（SALSAL） 在IEC62443中引入了信息安全保障等級（Security Assurance Level，SAL）的概念，嘗試用一種定量的方法來

4、處理一個區(qū)域的信息安全。它既適用于終端用戶公司，也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應(yīng)商。通過定義并比較用于信息安全掃描周期的不同階段的目標(biāo)安全保障等級（SAL-T）、達(dá)到安全保障等級（SAL-A）和能力安全保障等級（SAL-C），實(shí)現(xiàn)預(yù)期設(shè)計結(jié)果的安全性。 目標(biāo)安全保障等級（目標(biāo)安全保障等級（SAL-TSAL-T）是為特定系統(tǒng)設(shè)定的SAL。 達(dá)到安全保障等級（達(dá)到安全保障等級（SAL-ASAL-A）是特定系統(tǒng)信息安全實(shí)際的SAL等級。 能力安全保障等級（能力安全保障等級（SAL-CSAL-C）是指系統(tǒng)或組件正確配置時的信息安全等級。-12-12-4.3.2 4.3.2 安全保障等級（安全保障

5、等級（SALSAL）與）與 安全完整性等級（安全完整性等級（SILSIL）的區(qū)別）的區(qū)別 IEC 62443中引入了信息安全保障等級信息安全保障等級（Security Assurance Level，SAL）的概念，嘗試用一種定量的方法來處理一個區(qū)域的信息安全。通過定義并比較用于信息安全生命周期的不同階段的目標(biāo)SAL、設(shè)計SAL、完成SAL和能力SAL，實(shí)現(xiàn)預(yù)期設(shè)計結(jié)果的安全性。它從身份和授權(quán)控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、受限數(shù)據(jù)流、事件適時響應(yīng)、資源可用性7個基本要求入手，將信息安全保障等級分為4個等級。 功能安全系統(tǒng)使用安全完整性等級安全完整性等級（Safety Integrit

6、y Level，SIL）的概念已有近20年。它允許一個部件或系統(tǒng)的安全表示為單個數(shù)字，而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。工業(yè)控制系統(tǒng)信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全，但是功能安全使用安全完整性等級（SIL）是基于隨機(jī)硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的，而信息安全系統(tǒng)有著更為廣泛的應(yīng)用，以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復(fù)雜，很難用一個簡單的數(shù)字描述出來。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護(hù)也必須是周而復(fù)始不斷進(jìn)行的。-13-

7、13-4.3.3 4.3.3 基本要求（基本要求（FRFR）1 1FR1FR1：標(biāo)識和認(rèn)證控制：標(biāo)識和認(rèn)證控制2 2FR2FR2：使用控制：使用控制3 3FR3FR3：系統(tǒng)完整性：系統(tǒng)完整性4 4FR4FR4：數(shù)據(jù)保密性：數(shù)據(jù)保密性5 5FR5FR5：限制的數(shù)據(jù)流：限制的數(shù)據(jù)流6 6FR6FR6：對事件的及時響應(yīng)：對事件的及時響應(yīng)7 7FR7FR7：資源可用性：資源可用性-14-14-4.3.4 4.3.4 系統(tǒng)要求（系統(tǒng)要求（SRSR）1 1FR1FR1：標(biāo)識和認(rèn)證控制系統(tǒng)要求：標(biāo)識和認(rèn)證控制系統(tǒng)要求2 2FR2FR2：使用控制系統(tǒng)要求：使用控制系統(tǒng)要求3 3FR3FR3：系統(tǒng)完整性系統(tǒng)要求

8、：系統(tǒng)完整性系統(tǒng)要求4 4FR4FR4：數(shù)據(jù)保密性系統(tǒng)要求：數(shù)據(jù)保密性系統(tǒng)要求5 5FR5FR5：限制的數(shù)據(jù)流系統(tǒng)要求：限制的數(shù)據(jù)流系統(tǒng)要求6 6FR6FR6：對事件的及時響應(yīng)系統(tǒng)要求：對事件的及時響應(yīng)系統(tǒng)要求7 7FR7FR7：資源可用性系統(tǒng)要求：資源可用性系統(tǒng)要求-15-15-4.3.5 4.3.5 系統(tǒng)能力等級（系統(tǒng)能力等級（CLCL）系統(tǒng)能力等級（CL）：能力等級能力等級 CL1CL1：提供機(jī)制保護(hù)控制系統(tǒng)防范偶然的、輕度的攻擊。能力等級能力等級CL2CL2：提供機(jī)制保護(hù)控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡單手段可能達(dá)到較小破壞后果的攻擊。能力等級能力等級CL3CL3：提供機(jī)

9、制保護(hù)控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復(fù)雜手段的可能達(dá)到較大破壞后果的攻擊。能力等級能力等級CL4CL4：提供機(jī)制保護(hù)控制系統(tǒng)防范惡意的、使用擴(kuò)展資源、ICS特殊技術(shù)的復(fù)雜手段與工具可能達(dá)到重大破壞后果的攻擊。-16-16-4.3.6 4.3.6 信息安全等級（信息安全等級（SLSL）表表4-1 4-1 信息安全等級表信息安全等級表 1. 1. 管理等級劃分管理等級劃分 根據(jù)信息安全控制實(shí)用規(guī)則（ISO27002）的管理要求和過程自動化用戶協(xié)會（WIB）的推薦要求，通過管理評估，將管理等級劃分為三級，分別為ML1，ML2和ML3，由低到高分別對應(yīng)低級、中級和高級。2. 2.

10、系統(tǒng)能力等級劃分系統(tǒng)能力等級劃分 根據(jù)前面一節(jié)的內(nèi)容，基于IEC62443-3-3技術(shù)要求，通過系統(tǒng)能力（技術(shù)）評估，將系統(tǒng)能力等級分為四級，由小到大分別對應(yīng)系統(tǒng)能力等級的CL1，CL2、CL3和CL4。3. 3. 信息安全等級（信息安全等級（SLSL）劃分）劃分 根據(jù)管理評估和系統(tǒng)能力評估的結(jié)果，可以得到工業(yè)控制系統(tǒng)的評估結(jié)果，即信息安全等級，其等級劃分為四級，由低到高分別對應(yīng)為SL1，SL2、SL3和SL4，如表4-1 所示。-17-17-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估4.1 系統(tǒng)識別4.2 區(qū)域與管道定義4.3 信息安全等級（SL）4.4 風(fēng)險評估過程4.5 風(fēng)險評估方法-18-1

11、8-4.4.1 4.4.1 準(zhǔn)備評估準(zhǔn)備評估1 1目標(biāo)目標(biāo) 準(zhǔn)備評估的目標(biāo)是為風(fēng)險評估建立背景。2 2關(guān)鍵活動關(guān)鍵活動 準(zhǔn)備評估的關(guān)鍵活動包括以下幾點(diǎn)。 （1）識別風(fēng)險評估的目的。 （2）識別風(fēng)險評估的范圍。 （3）識別進(jìn)行哪種風(fēng)險評估的假設(shè)和約束條件。 （4）識別風(fēng)險評估中用到的威脅、漏洞和沖擊信息源。 （5）明確和改進(jìn)風(fēng)險評估中用到的風(fēng)險模型、評估方法和分析方法。-19-19-4.4.2 4.4.2 開展評估開展評估1 1目標(biāo)目標(biāo) 開展評估的目標(biāo)是制定一個信息安全風(fēng)險清單。此清單中的信息安全風(fēng)險按風(fēng)險等級排出優(yōu)先級，且可用于通知風(fēng)險響應(yīng)決策。 2 2關(guān)鍵活動關(guān)鍵活動 開展評估的關(guān)鍵活動包括

12、識別威脅源和事件、識別漏洞和誘發(fā)條件、確定發(fā)生的可能性、確定沖擊的幅度及確定風(fēng)險。 1）識別威脅源和事件 2）識別漏洞和誘發(fā)條件 3）確定發(fā)生的可能性 4）確定沖擊的幅度 5）確定風(fēng)險-20-20-4.4.3 4.4.3 溝通結(jié)果溝通結(jié)果1 1目標(biāo)目標(biāo) 溝通結(jié)果的目標(biāo)是確保公司組織的決策者有正確的與風(fēng)險相關(guān)的信息，以便通知和指導(dǎo)風(fēng)險決策。 2 2關(guān)鍵活動關(guān)鍵活動 溝通結(jié)果的關(guān)鍵活動包括以下幾點(diǎn)： （1）明確正確的方法。 （2）與指定的公司股東溝通風(fēng)險評估結(jié)果。 （3）共享風(fēng)險評估結(jié)果，與公司方針和指導(dǎo)一致。-21-21-4.4.4 4.4.4 維護(hù)評估維護(hù)評估1 1目標(biāo)目標(biāo) 完成風(fēng)險評估，溝通

13、評估結(jié)果，這個過程并沒有結(jié)束。因?yàn)榫W(wǎng)絡(luò)威脅和系統(tǒng)漏洞也在不斷演變，公司應(yīng)該不斷考慮它們的風(fēng)險姿態(tài)，以維持可接受的殘余風(fēng)險等級。2 2關(guān)鍵活動關(guān)鍵活動 維護(hù)評估的關(guān)鍵活動包括以下幾點(diǎn)： （1）識別已發(fā)現(xiàn)的還需不斷監(jiān)控的關(guān)鍵風(fēng)險因素。 （2）識別風(fēng)險因素監(jiān)控活動的頻率和事項，找出哪些風(fēng)險評估需要更新。 （3）重新確認(rèn)風(fēng)險評估的目的、范圍和假設(shè)。 （4）實(shí)施正確的風(fēng)險評估任務(wù)。 （5）與公司有關(guān)人員溝通后續(xù)的風(fēng)險評估。-22-22-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險評估4.1 系統(tǒng)識別4.2 區(qū)域與管道定義4.3 信息安全等級（SL）4.4 風(fēng)險評估過程4.5 風(fēng)險評估方法-23-23-4.5.1 4

14、.5.1 定性和定量風(fēng)險評估方法定性和定量風(fēng)險評估方法 定性風(fēng)險評估方法定性風(fēng)險評估方法，可依賴有經(jīng)驗(yàn)的雇員或者專家的意見，提供關(guān)于特定風(fēng)險影響特定資產(chǎn)的可能性和嚴(yán)重性的信息。此外，不同層次的可能性和嚴(yán)重性可以通過一般級別如高、中、低來識別，而不是特定的可能結(jié)果和經(jīng)濟(jì)影響。 在缺乏可靠信息時，定性風(fēng)險評估方法就不適用，而改用定量風(fēng)險評估方法更加實(shí)用，這些信息為特定風(fēng)險對特定資產(chǎn)影響的可能性，或者特定資產(chǎn)損害帶來影響的整體評估。 定量風(fēng)險評估方法定量風(fēng)險評估方法需要大量的數(shù)據(jù)支持，這些數(shù)據(jù)可以提供因風(fēng)險和脆弱性帶來損失的概率。如果這些信息可用，那么定量風(fēng)險評估能夠提供比定性風(fēng)險評估更加精確的風(fēng)險

15、評估結(jié)果。根據(jù)最近提供的有關(guān)工業(yè)控制系統(tǒng)安全威脅的數(shù)據(jù)，事故發(fā)生，以及威脅迅速激化的現(xiàn)象相對較少發(fā)生，在這種情形下，定量風(fēng)險評估方法在評價這些風(fēng)險中更有效。-24-24-4.5.2 4.5.2 基于場景和資產(chǎn)風(fēng)險評估方法基于場景和資產(chǎn)風(fēng)險評估方法 基于場景和資產(chǎn)風(fēng)險評估方法基于場景和資產(chǎn)風(fēng)險評估方法，是利用實(shí)際的或者近乎實(shí)際的事故進(jìn)行評估，如工業(yè)控制系統(tǒng)的裝備在本地或遠(yuǎn)程未授權(quán)訪問操作會帶來什么結(jié)果，工業(yè)控制系統(tǒng)的數(shù)據(jù)被竊或被損害會帶來什么后果等。 基于場景和資產(chǎn)的評估方法，適用于組織機(jī)構(gòu)對控制系統(tǒng)、工作方法和對經(jīng)濟(jì)產(chǎn)生影響的特定資產(chǎn)有一定的認(rèn)識。 基于場景和資產(chǎn)的評估方法不能深入發(fā)現(xiàn)風(fēng)險對敏感資產(chǎn)的威脅，這些敏感資產(chǎn)之前并沒有遭受過風(fēng)險。由于這種方法不能發(fā)現(xiàn)一些威脅和漏洞，這些威脅和漏洞將使其他一些設(shè)備置于危險中。-25-25-4.5.3 4.5.3 詳細(xì)風(fēng)險評估方法詳細(xì)風(fēng)險評估方法 詳細(xì)風(fēng)險評估方法詳細(xì)風(fēng)險評估方法主要集中在個體工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備上，同時要考慮到具體的財產(chǎn)上的技術(shù)漏洞評估和現(xiàn)有政策的有效性。它可能對組織機(jī)構(gòu)一次性工業(yè)控制系統(tǒng)資產(chǎn)執(zhí)行詳細(xì)風(fēng)險評估不是很符合實(shí)際。在這種情況下，組織機(jī)構(gòu)將會收集足夠的關(guān)于工業(yè)控制系統(tǒng)信息，允許對系統(tǒng)做優(yōu)先級排序，決定哪些首先由具體漏洞和風(fēng)險評估工作做分析。 在詳細(xì)風(fēng)險評估方法中，定義了風(fēng)險，并進(jìn)行