第5章工業(yè)控制系統(tǒng)信息安全生命周期_第1頁
第5章工業(yè)控制系統(tǒng)信息安全生命周期_第2頁
第5章工業(yè)控制系統(tǒng)信息安全生命周期_第3頁
第5章工業(yè)控制系統(tǒng)信息安全生命周期_第4頁
第5章工業(yè)控制系統(tǒng)信息安全生命周期_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第5章工業(yè)控制系統(tǒng)信息安全生命周期

講課人:講課地點(diǎn):講課時(shí)間:2015年《工業(yè)控制系統(tǒng)信息安全》第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述工業(yè)控制系統(tǒng)生命周期---工業(yè)控制系統(tǒng)的可靠性和穩(wěn)定性研究工業(yè)控制信息安全生命周期,為解決控制系統(tǒng)信息安全提供一定的指導(dǎo)。掌握工業(yè)控制系統(tǒng)通用生命周期,對(duì)我們了解通用生命周期各個(gè)階段的工作有明確的方向,同時(shí),對(duì)我們運(yùn)行和維護(hù)控制系統(tǒng)有很大的幫助。理解工業(yè)控制系統(tǒng)安全生命周期,有助于我們了解安全生命周期每個(gè)階段的具體工作。分析工業(yè)控制系統(tǒng)信息安全成熟周期,我們對(duì)控制系統(tǒng)的信息安全有了進(jìn)一步的認(rèn)識(shí)。分析工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期,我們對(duì)控制系統(tǒng)信息安全等級(jí)有了充分的理解。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期5.2.1工業(yè)控制系統(tǒng)通用生命周期1.策劃階段2.采購階段3.實(shí)施階段4.運(yùn)行階段5.報(bào)廢階段圖5-1工業(yè)控制系統(tǒng)通用生命周期圖

工業(yè)控制系統(tǒng)通用生命周期通常包括策劃階段、采購階段、實(shí)施階段、運(yùn)行階段和報(bào)廢階段。5.2.2工業(yè)控制系統(tǒng)安全生命周期

工業(yè)控制系統(tǒng)安全生命周期分為三個(gè)階段,分別為評(píng)估階段、驗(yàn)收階段和常規(guī)運(yùn)行階段。5.2.2工業(yè)控制系統(tǒng)安全生命周期1.評(píng)估階段評(píng)估階段工作包括確定評(píng)估目標(biāo)、制定評(píng)估計(jì)劃、選擇評(píng)估方法、獲取必備信息、高級(jí)風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、綜合評(píng)估結(jié)果和改進(jìn)措施建議。2.驗(yàn)收階段驗(yàn)收階段工作包括整改實(shí)施計(jì)劃、識(shí)別工況環(huán)境、措施風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置方案、措施具體實(shí)施、安全措施驗(yàn)證和系統(tǒng)完整性驗(yàn)證。3.常規(guī)運(yùn)行階段常規(guī)運(yùn)行階段工作包括安全態(tài)勢分析、常規(guī)分析與報(bào)告、定期審計(jì)與措施和重新評(píng)估與驗(yàn)收。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期5.3.1工業(yè)控制系統(tǒng)信息安全程序成熟周期概述一般地,工業(yè)控制系統(tǒng)信息安全程序成熟生命周期由多個(gè)階段組成,而每個(gè)階段又可以由一步或幾步組成,具體階段與步驟如圖5-3所示。圖5-3工業(yè)控制系統(tǒng)信息安全成熟周期圖5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析1.初步設(shè)計(jì)階段初步設(shè)計(jì)階段通常由兩個(gè)步驟組成,分別是識(shí)別和概念兩個(gè)步驟。1)識(shí)別在識(shí)別步驟中主要完成以下工作:(1)充分認(rèn)識(shí)財(cái)產(chǎn)設(shè)備、資產(chǎn)、服務(wù)、人員等保護(hù)的需求。(2)開始開發(fā)信息安全程序。2)概念在概念步驟中主要完成以下工作:(1)繼續(xù)開發(fā)信息安全程序。(2)做好資產(chǎn)、服務(wù)、人員等保護(hù)等級(jí)需求文檔。(3)做好公司內(nèi)部和外部威脅文檔。(4)建立信息安全使命、前景和價(jià)值觀。(5)為工業(yè)控制系統(tǒng)與設(shè)備、信息系統(tǒng)和人員開發(fā)信息安全方針。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析2.功能分析階段功能分析階段通常由一個(gè)步驟組成,即定義步驟。在定義步驟中主要完成以下工作:(1)繼續(xù)開發(fā)信息安全程序。(2)為工業(yè)控制系統(tǒng)與設(shè)備、信息系統(tǒng)和人員建立信息安全功能要求。(3)基于潛在威脅清單,做好相關(guān)設(shè)施與服務(wù)的漏洞評(píng)估。(4)找出和確定工業(yè)控制系統(tǒng)的法律法規(guī)要求。(5)對(duì)潛在漏洞和威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估。(6)對(duì)風(fēng)險(xiǎn)、潛在的公司沖擊和潛在的減輕措施進(jìn)行分類。(7)將信息安全工作分隔成可控制的任務(wù)和模塊,為功能設(shè)計(jì)開發(fā)做好準(zhǔn)備。(8)為工業(yè)控制系統(tǒng)信息安全部分建立網(wǎng)絡(luò)功能定義。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3.實(shí)施階段實(shí)施階段通常由三個(gè)步驟組成,分別是功能設(shè)計(jì)、詳細(xì)設(shè)計(jì)和施工三個(gè)步驟。1)功能設(shè)計(jì)在功能設(shè)計(jì)步驟中主要完成以下工作:(1)信息安全程序開發(fā)在本階段應(yīng)完成。(2)為公司區(qū)域、工廠區(qū)域和控制區(qū)域建立信息安全功能要求。(3)定義信息安全功能的組織機(jī)構(gòu)和架構(gòu)。(4)定義實(shí)施計(jì)劃要求的功能。(5)定義和公布信息安全區(qū)域、邊界和訪問控制端口。(6)完成和發(fā)布信息安全方針和程序。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3.實(shí)施階段實(shí)施階段通常由三個(gè)步驟組成,分別是功能設(shè)計(jì)、詳細(xì)設(shè)計(jì)和施工三個(gè)步驟。2)詳細(xì)設(shè)計(jì)在詳細(xì)設(shè)計(jì)步驟中主要完成以下工作:(1)為實(shí)現(xiàn)前面定義的信息安全功能要求,設(shè)計(jì)物理和邏輯控制系統(tǒng)。(2)開展培訓(xùn)。(3)實(shí)施計(jì)劃完整開發(fā)。(4)起草資產(chǎn)管理程序和變更管理程序。(5)為保護(hù)區(qū)域設(shè)計(jì)邊界和訪問控制端口。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3.實(shí)施階段實(shí)施階段通常由三個(gè)步驟組成,分別是功能設(shè)計(jì)、詳細(xì)設(shè)計(jì)和施工三個(gè)步驟。3)施工在施工步驟中主要完成以下工作:(1)執(zhí)行實(shí)施計(jì)劃。為完成公司內(nèi)安全區(qū)域和邊界,安裝物理信息安全設(shè)備、邏輯運(yùn)用、軟件配置和人員安排程序。(2)激活和維護(hù)訪問控制端口屬性。(3)完成培訓(xùn)。(4)資產(chǎn)管理程序和變更管理程序正式啟動(dòng)和運(yùn)作。(5)完成信息安全系統(tǒng)交付包,準(zhǔn)備交給運(yùn)行和維護(hù)人員驗(yàn)收。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析4.運(yùn)行階段運(yùn)行階段通常由兩個(gè)步驟組成,分別是運(yùn)行和符合性監(jiān)視兩個(gè)步驟。1)運(yùn)行在運(yùn)行步驟中主要完成以下工作:(1)運(yùn)行和維護(hù)人員完成和接收這些安全設(shè)備、服務(wù)、運(yùn)用和軟件配置。(2)為相關(guān)人員開展培訓(xùn),并提供信息安全相關(guān)的繼續(xù)培訓(xùn)。(3)維護(hù)人員監(jiān)視公司、工廠或控制區(qū)域的安全部分,并維持這些部分的功能正常運(yùn)行。(4)資產(chǎn)管理程序和變更管理程序獲得正常運(yùn)作和維護(hù)。2)符合性監(jiān)視在符合性監(jiān)視步驟中主要完成以下工作:(1)內(nèi)部審計(jì)。(2)風(fēng)險(xiǎn)檢查。(3)外部審計(jì)。。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析5.循環(huán)與處置階段循環(huán)與處置階段通常由兩個(gè)步驟組成,分別是處置和解除兩個(gè)步驟。1)處置在處置步驟中主要完成以下工作:(1)正確拆除和處置過期的信息安全系統(tǒng)。(2)為區(qū)域保護(hù)更新或重新創(chuàng)立信息安全邊界。(3)創(chuàng)立、重新定義、重新配置或關(guān)閉訪問控制端口。(4)對(duì)信息安全系統(tǒng)的改動(dòng)和對(duì)相應(yīng)系統(tǒng)的影響一起向相關(guān)人員進(jìn)行說明。2)解除在解除步驟中主要完成以下工作:(1)正確收集、文檔化和安全存檔或銷毀知識(shí)產(chǎn)權(quán)。(2)關(guān)閉訪問控制端口和相應(yīng)的鏈接。(3)信息安全系統(tǒng)的解除和對(duì)保留系統(tǒng)的影響一起向相關(guān)人員進(jìn)行說明。。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論