第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估

1、-1-1-第第4 4章章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估 工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全-2-2-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估4.1 系統(tǒng)識(shí)別4.2 區(qū)域與管道定義4.3 信息安全等級(jí)（SL）4.4 風(fēng)險(xiǎn)評(píng)估過程4.5 風(fēng)險(xiǎn)評(píng)估方法-3-3-4.1 4.1 系統(tǒng)識(shí)別系統(tǒng)識(shí)別需考慮的系統(tǒng)需考慮的系統(tǒng)-是指公司工業(yè)控制系統(tǒng)與信息安全相關(guān)的部分，并非指整個(gè)工業(yè)控制系統(tǒng)，是與信息安全相關(guān)的設(shè)備和網(wǎng)絡(luò)的總稱。-4-4-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估4.1 系統(tǒng)識(shí)別4.2 區(qū)域與管道定義4.3 信息安全等級(jí)（SL）4.4 風(fēng)險(xiǎn)評(píng)估過程4.5 風(fēng)險(xiǎn)評(píng)估方法-

2、5-5-4.2.1 4.2.1 區(qū)域定義區(qū)域定義1 1區(qū)域定義區(qū)域定義 按照IEC 62443定義，“區(qū)域區(qū)域”是由邏輯的或物理的資產(chǎn)組成的，并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實(shí)體集合，基于功能、邏輯和物理關(guān)系。圖4-2 多裝置區(qū)域模型圖-6-6-4.2.1 4.2.1 區(qū)域定義區(qū)域定義2 2信息安全區(qū)域定義信息安全區(qū)域定義 在工業(yè)控制系統(tǒng)中定義和設(shè)計(jì)區(qū)域、管道的目的是將具有相同的功能性和信息安全要求的設(shè)備分成組進(jìn)行標(biāo)識(shí)和分析，這也有利于設(shè)備和操作的管理。這樣需要保護(hù)的就不是單個(gè)的設(shè)備而是整個(gè)區(qū)域。-7-7-4.2.2 4.2.2 管道定義管道定義1 1管道定義管道定義 按

3、照IEC 62443定義，“管道”是連接兩個(gè)或多個(gè)共享安全要求區(qū)域通信渠道的邏輯組。-8-8-4.2.2 4.2.2 管道定義管道定義2 2信息安全管道定義信息安全管道定義-9-9-4.2.3 4.2.3 區(qū)域定義模板區(qū)域定義模板-10-10-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估4.1 系統(tǒng)識(shí)別4.2 區(qū)域與管道定義4.3 信息安全等級(jí)（SL）4.4 風(fēng)險(xiǎn)評(píng)估過程4.5 風(fēng)險(xiǎn)評(píng)估方法-11-11-4.3.1 4.3.1 安全保障等級(jí)（安全保障等級(jí)（SALSAL） 在IEC62443中引入了信息安全保障等級(jí)（Security Assurance Level，SAL）的概念，嘗試用一種定量的方法來

4、處理一個(gè)區(qū)域的信息安全。它既適用于終端用戶公司，也適用于工業(yè)控制系統(tǒng)和信息安全產(chǎn)品供應(yīng)商。通過定義并比較用于信息安全掃描周期的不同階段的目標(biāo)安全保障等級(jí)（SAL-T）、達(dá)到安全保障等級(jí)（SAL-A）和能力安全保障等級(jí)（SAL-C），實(shí)現(xiàn)預(yù)期設(shè)計(jì)結(jié)果的安全性。 目標(biāo)安全保障等級(jí)（目標(biāo)安全保障等級(jí)（SAL-TSAL-T）是為特定系統(tǒng)設(shè)定的SAL。 達(dá)到安全保障等級(jí)（達(dá)到安全保障等級(jí)（SAL-ASAL-A）是特定系統(tǒng)信息安全實(shí)際的SAL等級(jí)。 能力安全保障等級(jí)（能力安全保障等級(jí)（SAL-CSAL-C）是指系統(tǒng)或組件正確配置時(shí)的信息安全等級(jí)。-12-12-4.3.2 4.3.2 安全保障等級(jí)（安全保障

5、等級(jí)（SALSAL）與）與 安全完整性等級(jí)（安全完整性等級(jí)（SILSIL）的區(qū)別）的區(qū)別 IEC 62443中引入了信息安全保障等級(jí)信息安全保障等級(jí)（Security Assurance Level，SAL）的概念，嘗試用一種定量的方法來處理一個(gè)區(qū)域的信息安全。通過定義并比較用于信息安全生命周期的不同階段的目標(biāo)SAL、設(shè)計(jì)SAL、完成SAL和能力SAL，實(shí)現(xiàn)預(yù)期設(shè)計(jì)結(jié)果的安全性。它從身份和授權(quán)控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、受限數(shù)據(jù)流、事件適時(shí)響應(yīng)、資源可用性7個(gè)基本要求入手，將信息安全保障等級(jí)分為4個(gè)等級(jí)。 功能安全系統(tǒng)使用安全完整性等級(jí)安全完整性等級(jí)（Safety Integrit

6、y Level，SIL）的概念已有近20年。它允許一個(gè)部件或系統(tǒng)的安全表示為單個(gè)數(shù)字，而這個(gè)數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。工業(yè)控制系統(tǒng)信息安全的評(píng)估方法與功能安全的評(píng)估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全，但是功能安全使用安全完整性等級(jí)（SIL）是基于隨機(jī)硬件失效的一個(gè)部件或系統(tǒng)失效的可能性計(jì)算得出的，而信息安全系統(tǒng)有著更為廣泛的應(yīng)用，以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復(fù)雜，很難用一個(gè)簡(jiǎn)單的數(shù)字描述出來。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護(hù)也必須是周而復(fù)始不斷進(jìn)行的。-13-

7、13-4.3.3 4.3.3 基本要求（基本要求（FRFR）1 1FR1FR1：標(biāo)識(shí)和認(rèn)證控制：標(biāo)識(shí)和認(rèn)證控制2 2FR2FR2：使用控制：使用控制3 3FR3FR3：系統(tǒng)完整性：系統(tǒng)完整性4 4FR4FR4：數(shù)據(jù)保密性：數(shù)據(jù)保密性5 5FR5FR5：限制的數(shù)據(jù)流：限制的數(shù)據(jù)流6 6FR6FR6：對(duì)事件的及時(shí)響應(yīng)：對(duì)事件的及時(shí)響應(yīng)7 7FR7FR7：資源可用性：資源可用性-14-14-4.3.4 4.3.4 系統(tǒng)要求（系統(tǒng)要求（SRSR）1 1FR1FR1：標(biāo)識(shí)和認(rèn)證控制系統(tǒng)要求：標(biāo)識(shí)和認(rèn)證控制系統(tǒng)要求2 2FR2FR2：使用控制系統(tǒng)要求：使用控制系統(tǒng)要求3 3FR3FR3：系統(tǒng)完整性系統(tǒng)要求

8、：系統(tǒng)完整性系統(tǒng)要求4 4FR4FR4：數(shù)據(jù)保密性系統(tǒng)要求：數(shù)據(jù)保密性系統(tǒng)要求5 5FR5FR5：限制的數(shù)據(jù)流系統(tǒng)要求：限制的數(shù)據(jù)流系統(tǒng)要求6 6FR6FR6：對(duì)事件的及時(shí)響應(yīng)系統(tǒng)要求：對(duì)事件的及時(shí)響應(yīng)系統(tǒng)要求7 7FR7FR7：資源可用性系統(tǒng)要求：資源可用性系統(tǒng)要求-15-15-4.3.5 4.3.5 系統(tǒng)能力等級(jí)（系統(tǒng)能力等級(jí)（CLCL）系統(tǒng)能力等級(jí)（CL）：能力等級(jí)能力等級(jí) CL1CL1：提供機(jī)制保護(hù)控制系統(tǒng)防范偶然的、輕度的攻擊。能力等級(jí)能力等級(jí)CL2CL2：提供機(jī)制保護(hù)控制系統(tǒng)防范有意的、利用較少資源和一般技術(shù)的簡(jiǎn)單手段可能達(dá)到較小破壞后果的攻擊。能力等級(jí)能力等級(jí)CL3CL3：提供機(jī)

9、制保護(hù)控制系統(tǒng)防范惡意的、利用中等資源、ICS特殊技術(shù)的復(fù)雜手段的可能達(dá)到較大破壞后果的攻擊。能力等級(jí)能力等級(jí)CL4CL4：提供機(jī)制保護(hù)控制系統(tǒng)防范惡意的、使用擴(kuò)展資源、ICS特殊技術(shù)的復(fù)雜手段與工具可能達(dá)到重大破壞后果的攻擊。-16-16-4.3.6 4.3.6 信息安全等級(jí)（信息安全等級(jí)（SLSL）表表4-1 4-1 信息安全等級(jí)表信息安全等級(jí)表 1. 1. 管理等級(jí)劃分管理等級(jí)劃分 根據(jù)信息安全控制實(shí)用規(guī)則（ISO27002）的管理要求和過程自動(dòng)化用戶協(xié)會(huì)（WIB）的推薦要求，通過管理評(píng)估，將管理等級(jí)劃分為三級(jí)，分別為ML1，ML2和ML3，由低到高分別對(duì)應(yīng)低級(jí)、中級(jí)和高級(jí)。2. 2.

10、系統(tǒng)能力等級(jí)劃分系統(tǒng)能力等級(jí)劃分 根據(jù)前面一節(jié)的內(nèi)容，基于IEC62443-3-3技術(shù)要求，通過系統(tǒng)能力（技術(shù)）評(píng)估，將系統(tǒng)能力等級(jí)分為四級(jí)，由小到大分別對(duì)應(yīng)系統(tǒng)能力等級(jí)的CL1，CL2、CL3和CL4。3. 3. 信息安全等級(jí)（信息安全等級(jí)（SLSL）劃分）劃分 根據(jù)管理評(píng)估和系統(tǒng)能力評(píng)估的結(jié)果，可以得到工業(yè)控制系統(tǒng)的評(píng)估結(jié)果，即信息安全等級(jí)，其等級(jí)劃分為四級(jí)，由低到高分別對(duì)應(yīng)為SL1，SL2、SL3和SL4，如表4-1 所示。-17-17-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估4.1 系統(tǒng)識(shí)別4.2 區(qū)域與管道定義4.3 信息安全等級(jí)（SL）4.4 風(fēng)險(xiǎn)評(píng)估過程4.5 風(fēng)險(xiǎn)評(píng)估方法-18-1

11、8-4.4.1 4.4.1 準(zhǔn)備評(píng)估準(zhǔn)備評(píng)估1 1目標(biāo)目標(biāo) 準(zhǔn)備評(píng)估的目標(biāo)是為風(fēng)險(xiǎn)評(píng)估建立背景。2 2關(guān)鍵活動(dòng)關(guān)鍵活動(dòng) 準(zhǔn)備評(píng)估的關(guān)鍵活動(dòng)包括以下幾點(diǎn)。 （1）識(shí)別風(fēng)險(xiǎn)評(píng)估的目的。 （2）識(shí)別風(fēng)險(xiǎn)評(píng)估的范圍。 （3）識(shí)別進(jìn)行哪種風(fēng)險(xiǎn)評(píng)估的假設(shè)和約束條件。 （4）識(shí)別風(fēng)險(xiǎn)評(píng)估中用到的威脅、漏洞和沖擊信息源。 （5）明確和改進(jìn)風(fēng)險(xiǎn)評(píng)估中用到的風(fēng)險(xiǎn)模型、評(píng)估方法和分析方法。-19-19-4.4.2 4.4.2 開展評(píng)估開展評(píng)估1 1目標(biāo)目標(biāo) 開展評(píng)估的目標(biāo)是制定一個(gè)信息安全風(fēng)險(xiǎn)清單。此清單中的信息安全風(fēng)險(xiǎn)按風(fēng)險(xiǎn)等級(jí)排出優(yōu)先級(jí)，且可用于通知風(fēng)險(xiǎn)響應(yīng)決策。 2 2關(guān)鍵活動(dòng)關(guān)鍵活動(dòng) 開展評(píng)估的關(guān)鍵活動(dòng)包括

12、識(shí)別威脅源和事件、識(shí)別漏洞和誘發(fā)條件、確定發(fā)生的可能性、確定沖擊的幅度及確定風(fēng)險(xiǎn)。 1）識(shí)別威脅源和事件 2）識(shí)別漏洞和誘發(fā)條件 3）確定發(fā)生的可能性 4）確定沖擊的幅度 5）確定風(fēng)險(xiǎn)-20-20-4.4.3 4.4.3 溝通結(jié)果溝通結(jié)果1 1目標(biāo)目標(biāo) 溝通結(jié)果的目標(biāo)是確保公司組織的決策者有正確的與風(fēng)險(xiǎn)相關(guān)的信息，以便通知和指導(dǎo)風(fēng)險(xiǎn)決策。 2 2關(guān)鍵活動(dòng)關(guān)鍵活動(dòng) 溝通結(jié)果的關(guān)鍵活動(dòng)包括以下幾點(diǎn)： （1）明確正確的方法。 （2）與指定的公司股東溝通風(fēng)險(xiǎn)評(píng)估結(jié)果。 （3）共享風(fēng)險(xiǎn)評(píng)估結(jié)果，與公司方針和指導(dǎo)一致。-21-21-4.4.4 4.4.4 維護(hù)評(píng)估維護(hù)評(píng)估1 1目標(biāo)目標(biāo) 完成風(fēng)險(xiǎn)評(píng)估，溝通

13、評(píng)估結(jié)果，這個(gè)過程并沒有結(jié)束。因?yàn)榫W(wǎng)絡(luò)威脅和系統(tǒng)漏洞也在不斷演變，公司應(yīng)該不斷考慮它們的風(fēng)險(xiǎn)姿態(tài)，以維持可接受的殘余風(fēng)險(xiǎn)等級(jí)。2 2關(guān)鍵活動(dòng)關(guān)鍵活動(dòng) 維護(hù)評(píng)估的關(guān)鍵活動(dòng)包括以下幾點(diǎn)： （1）識(shí)別已發(fā)現(xiàn)的還需不斷監(jiān)控的關(guān)鍵風(fēng)險(xiǎn)因素。 （2）識(shí)別風(fēng)險(xiǎn)因素監(jiān)控活動(dòng)的頻率和事項(xiàng)，找出哪些風(fēng)險(xiǎn)評(píng)估需要更新。 （3）重新確認(rèn)風(fēng)險(xiǎn)評(píng)估的目的、范圍和假設(shè)。 （4）實(shí)施正確的風(fēng)險(xiǎn)評(píng)估任務(wù)。 （5）與公司有關(guān)人員溝通后續(xù)的風(fēng)險(xiǎn)評(píng)估。-22-22-第4章 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估4.1 系統(tǒng)識(shí)別4.2 區(qū)域與管道定義4.3 信息安全等級(jí)（SL）4.4 風(fēng)險(xiǎn)評(píng)估過程4.5 風(fēng)險(xiǎn)評(píng)估方法-23-23-4.5.1 4

14、.5.1 定性和定量風(fēng)險(xiǎn)評(píng)估方法定性和定量風(fēng)險(xiǎn)評(píng)估方法 定性風(fēng)險(xiǎn)評(píng)估方法定性風(fēng)險(xiǎn)評(píng)估方法，可依賴有經(jīng)驗(yàn)的雇員或者專家的意見，提供關(guān)于特定風(fēng)險(xiǎn)影響特定資產(chǎn)的可能性和嚴(yán)重性的信息。此外，不同層次的可能性和嚴(yán)重性可以通過一般級(jí)別如高、中、低來識(shí)別，而不是特定的可能結(jié)果和經(jīng)濟(jì)影響。 在缺乏可靠信息時(shí)，定性風(fēng)險(xiǎn)評(píng)估方法就不適用，而改用定量風(fēng)險(xiǎn)評(píng)估方法更加實(shí)用，這些信息為特定風(fēng)險(xiǎn)對(duì)特定資產(chǎn)影響的可能性，或者特定資產(chǎn)損害帶來影響的整體評(píng)估。 定量風(fēng)險(xiǎn)評(píng)估方法定量風(fēng)險(xiǎn)評(píng)估方法需要大量的數(shù)據(jù)支持，這些數(shù)據(jù)可以提供因風(fēng)險(xiǎn)和脆弱性帶來損失的概率。如果這些信息可用，那么定量風(fēng)險(xiǎn)評(píng)估能夠提供比定性風(fēng)險(xiǎn)評(píng)估更加精確的風(fēng)險(xiǎn)

15、評(píng)估結(jié)果。根據(jù)最近提供的有關(guān)工業(yè)控制系統(tǒng)安全威脅的數(shù)據(jù)，事故發(fā)生，以及威脅迅速激化的現(xiàn)象相對(duì)較少發(fā)生，在這種情形下，定量風(fēng)險(xiǎn)評(píng)估方法在評(píng)價(jià)這些風(fēng)險(xiǎn)中更有效。-24-24-4.5.2 4.5.2 基于場(chǎng)景和資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法基于場(chǎng)景和資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法 基于場(chǎng)景和資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法基于場(chǎng)景和資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法，是利用實(shí)際的或者近乎實(shí)際的事故進(jìn)行評(píng)估，如工業(yè)控制系統(tǒng)的裝備在本地或遠(yuǎn)程未授權(quán)訪問操作會(huì)帶來什么結(jié)果，工業(yè)控制系統(tǒng)的數(shù)據(jù)被竊或被損害會(huì)帶來什么后果等。 基于場(chǎng)景和資產(chǎn)的評(píng)估方法，適用于組織機(jī)構(gòu)對(duì)控制系統(tǒng)、工作方法和對(duì)經(jīng)濟(jì)產(chǎn)生影響的特定資產(chǎn)有一定的認(rèn)識(shí)。 基于場(chǎng)景和資產(chǎn)的評(píng)估方法不能深入發(fā)現(xiàn)風(fēng)險(xiǎn)對(duì)敏感資產(chǎn)的威脅，這些敏感資產(chǎn)之前并沒有遭受過風(fēng)險(xiǎn)。由于這種方法不能發(fā)現(xiàn)一些威脅和漏洞，這些威脅和漏洞將使其他一些設(shè)備置于危險(xiǎn)中。-25-25-4.5.3 4.5.3 詳細(xì)風(fēng)險(xiǎn)評(píng)估方法詳細(xì)風(fēng)險(xiǎn)評(píng)估方法 詳細(xì)風(fēng)險(xiǎn)評(píng)估方法詳細(xì)風(fēng)險(xiǎn)評(píng)估方法主要集中在個(gè)體工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和設(shè)備上，同時(shí)要考慮到具體的財(cái)產(chǎn)上的技術(shù)漏洞評(píng)估和現(xiàn)有政策的有效性。它可能對(duì)組織機(jī)構(gòu)一次性工業(yè)控制系統(tǒng)資產(chǎn)執(zhí)行詳細(xì)風(fēng)險(xiǎn)評(píng)估不是很符合實(shí)際。在這種情況下，組織機(jī)構(gòu)將會(huì)收集足夠的關(guān)于工業(yè)控制系統(tǒng)信息，允許對(duì)系統(tǒng)做優(yōu)先級(jí)排序，決定哪些首先由具體漏洞和風(fēng)險(xiǎn)評(píng)估工作做分析。 在詳細(xì)風(fēng)險(xiǎn)評(píng)估方法中，定義了風(fēng)險(xiǎn)，并進(jìn)行