第5章工業(yè)控制系統(tǒng)信息安全生命周期

第5章工業(yè)控制系統(tǒng)信息安全生命周期

講課人：講課地點：講課時間：2015年《工業(yè)控制系統(tǒng)信息安全》第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述工業(yè)控制系統(tǒng)生命周期---工業(yè)控制系統(tǒng)的可靠性和穩(wěn)定性研究工業(yè)控制信息安全生命周期，為解決控制系統(tǒng)信息安全提供一定的指導(dǎo)。掌握工業(yè)控制系統(tǒng)通用生命周期，對我們了解通用生命周期各個階段的工作有明確的方向，同時，對我們運行和維護控制系統(tǒng)有很大的幫助。理解工業(yè)控制系統(tǒng)安全生命周期，有助于我們了解安全生命周期每個階段的具體工作。分析工業(yè)控制系統(tǒng)信息安全成熟周期，我們對控制系統(tǒng)的信息安全有了進(jìn)一步的認(rèn)識。分析工業(yè)控制系統(tǒng)信息安全等級生命周期，我們對控制系統(tǒng)信息安全等級有了充分的理解。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級生命周期5.2.1工業(yè)控制系統(tǒng)通用生命周期1．策劃階段2．采購階段3．實施階段4．運行階段5．報廢階段圖5-1工業(yè)控制系統(tǒng)通用生命周期圖

工業(yè)控制系統(tǒng)通用生命周期通常包括策劃階段、采購階段、實施階段、運行階段和報廢階段。5.2.2工業(yè)控制系統(tǒng)安全生命周期

工業(yè)控制系統(tǒng)安全生命周期分為三個階段，分別為評估階段、驗收階段和常規(guī)運行階段。5.2.2工業(yè)控制系統(tǒng)安全生命周期1．評估階段評估階段工作包括確定評估目標(biāo)、制定評估計劃、選擇評估方法、獲取必備信息、高級風(fēng)險評估、詳細(xì)風(fēng)險評估、綜合評估結(jié)果和改進(jìn)措施建議。2．驗收階段驗收階段工作包括整改實施計劃、識別工況環(huán)境、措施風(fēng)險分析、風(fēng)險處置方案、措施具體實施、安全措施驗證和系統(tǒng)完整性驗證。3．常規(guī)運行階段常規(guī)運行階段工作包括安全態(tài)勢分析、常規(guī)分析與報告、定期審計與措施和重新評估與驗收。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系統(tǒng)信息安全生命周期概述5.2工業(yè)控制系統(tǒng)生命周期5.3工業(yè)控制系統(tǒng)信息安全程序成熟周期5.4工業(yè)控制系統(tǒng)信息安全等級生命周期5.3.1工業(yè)控制系統(tǒng)信息安全程序成熟周期概述一般地，工業(yè)控制系統(tǒng)信息安全程序成熟生命周期由多個階段組成，而每個階段又可以由一步或幾步組成，具體階段與步驟如圖5-3所示。圖5-3工業(yè)控制系統(tǒng)信息安全成熟周期圖5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析1．初步設(shè)計階段初步設(shè)計階段通常由兩個步驟組成，分別是識別和概念兩個步驟。1）識別在識別步驟中主要完成以下工作：（1）充分認(rèn)識財產(chǎn)設(shè)備、資產(chǎn)、服務(wù)、人員等保護的需求。（2）開始開發(fā)信息安全程序。2）概念在概念步驟中主要完成以下工作：（1）繼續(xù)開發(fā)信息安全程序。（2）做好資產(chǎn)、服務(wù)、人員等保護等級需求文檔。（3）做好公司內(nèi)部和外部威脅文檔。（4）建立信息安全使命、前景和價值觀。（5）為工業(yè)控制系統(tǒng)與設(shè)備、信息系統(tǒng)和人員開發(fā)信息安全方針。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析2．功能分析階段功能分析階段通常由一個步驟組成，即定義步驟。在定義步驟中主要完成以下工作：（1）繼續(xù)開發(fā)信息安全程序。（2）為工業(yè)控制系統(tǒng)與設(shè)備、信息系統(tǒng)和人員建立信息安全功能要求。（3）基于潛在威脅清單，做好相關(guān)設(shè)施與服務(wù)的漏洞評估。（4）找出和確定工業(yè)控制系統(tǒng)的法律法規(guī)要求。（5）對潛在漏洞和威脅進(jìn)行風(fēng)險評估。（6）對風(fēng)險、潛在的公司沖擊和潛在的減輕措施進(jìn)行分類。（7）將信息安全工作分隔成可控制的任務(wù)和模塊，為功能設(shè)計開發(fā)做好準(zhǔn)備。（8）為工業(yè)控制系統(tǒng)信息安全部分建立網(wǎng)絡(luò)功能定義。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3．實施階段實施階段通常由三個步驟組成，分別是功能設(shè)計、詳細(xì)設(shè)計和施工三個步驟。1）功能設(shè)計在功能設(shè)計步驟中主要完成以下工作：（1）信息安全程序開發(fā)在本階段應(yīng)完成。（2）為公司區(qū)域、工廠區(qū)域和控制區(qū)域建立信息安全功能要求。（3）定義信息安全功能的組織機構(gòu)和架構(gòu)。（4）定義實施計劃要求的功能。（5）定義和公布信息安全區(qū)域、邊界和訪問控制端口。（6）完成和發(fā)布信息安全方針和程序。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3．實施階段實施階段通常由三個步驟組成，分別是功能設(shè)計、詳細(xì)設(shè)計和施工三個步驟。2）詳細(xì)設(shè)計在詳細(xì)設(shè)計步驟中主要完成以下工作：（1）為實現(xiàn)前面定義的信息安全功能要求，設(shè)計物理和邏輯控制系統(tǒng)。（2）開展培訓(xùn)。（3）實施計劃完整開發(fā)。（4）起草資產(chǎn)管理程序和變更管理程序。（5）為保護區(qū)域設(shè)計邊界和訪問控制端口。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析3．實施階段實施階段通常由三個步驟組成，分別是功能設(shè)計、詳細(xì)設(shè)計和施工三個步驟。3）施工在施工步驟中主要完成以下工作：（1）執(zhí)行實施計劃。為完成公司內(nèi)安全區(qū)域和邊界，安裝物理信息安全設(shè)備、邏輯運用、軟件配置和人員安排程序。（2）激活和維護訪問控制端口屬性。（3）完成培訓(xùn)。（4）資產(chǎn)管理程序和變更管理程序正式啟動和運作。（5）完成信息安全系統(tǒng)交付包，準(zhǔn)備交給運行和維護人員驗收。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析4．運行階段運行階段通常由兩個步驟組成，分別是運行和符合性監(jiān)視兩個步驟。1）運行在運行步驟中主要完成以下工作：（1）運行和維護人員完成和接收這些安全設(shè)備、服務(wù)、運用和軟件配置。（2）為相關(guān)人員開展培訓(xùn)，并提供信息安全相關(guān)的繼續(xù)培訓(xùn)。（3）維護人員監(jiān)視公司、工廠或控制區(qū)域的安全部分，并維持這些部分的功能正常運行。（4）資產(chǎn)管理程序和變更管理程序獲得正常運作和維護。2）符合性監(jiān)視在符合性監(jiān)視步驟中主要完成以下工作：（1）內(nèi)部審計。（2）風(fēng)險檢查。（3）外部審計。。5.3.2工業(yè)控制系統(tǒng)安全程序成熟周期

各階段分析5．循環(huán)與處置階段循環(huán)與處置階段通常由兩個步驟組成，分別是處置和解除兩個步驟。1）處置在處置步驟中主要完成以下工作：（1）正確拆除和處置過期的信息安全系統(tǒng)。（2）為區(qū)域保護更新或重新創(chuàng)立信息安全邊界。（3）創(chuàng)立、重新定義、重新配置或關(guān)閉訪問控制端口。（4）對信息安全系統(tǒng)的改動和對相應(yīng)系統(tǒng)的影響一起向相關(guān)人員進(jìn)行說明。2）解除在解除步驟中主要完成以下工作：（1）正確收集、文檔化和安全存檔或銷毀知識產(chǎn)權(quán)。（2）關(guān)閉訪問控制端口和相應(yīng)的鏈接。（3）信息安全系統(tǒng)的解除和對保留系統(tǒng)的影響一起向相關(guān)人員進(jìn)行說明。。第5章工業(yè)控制系統(tǒng)信息安全生命周期5.1工業(yè)控制系