久等了！《工業(yè)控制系統(tǒng)安全評估流程》報告正式發(fā)布

隨著信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件，網(wǎng)絡威脅正在由傳統(tǒng)IT領域向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出，對工業(yè)生產運行，乃至國家經濟安全造成重大隱患。

基于綠盟科技的安全實踐，綠盟科技格物實驗室正式發(fā)布《工業(yè)控制系統(tǒng)安全評估流程》報告，針對工業(yè)控制系統(tǒng)安全隱患制定出一套可行的檢測與安全評估方法。

　　我們需要：一套“均碼”的度量標準&規(guī)范

由于每個企業(yè)的業(yè)務目標和運營環(huán)境多樣化、復雜化，而制定一套“均碼”的度量標準或規(guī)范是很艱難的，即使制定出該標準但實施與執(zhí)行后的效果是否理想就不得而知。安全評估存在的問題：

1. 合規(guī)并不等于安全。

2. 無法驗證的脆弱性僅僅是主觀推測的結果，需大膽設想，小心求證。

　　六步，搞定工業(yè)控制系統(tǒng)安全評估流程?

在工業(yè)控制系統(tǒng)的功能安全、操作安全、安全防護措施以及脆弱性的基礎上，構建整體性更強、綜合性更高的方法（風險場景構建），避免零散孤立的合規(guī)核查，對風險的“可能性”做出更為準確的解釋，形成可量化的標準，為制定有針對性的、高效的風險緩解措施奠定基礎。

這里提出一種完整的工業(yè)控制系統(tǒng)安全評估流程，具體包括目標定義與系統(tǒng)評定、資產評估、脆弱性評估、風險場景構建、風險估算與防護部署、驗證與測試，如上圖所示。針對涉及到的技術點與方法進行歸納總結，為工業(yè)控制系統(tǒng)安全評估過程提供參考和幫助。

No.1

目標定義與系統(tǒng)評定階段中需要明確被評估的目標對象、與其向關聯(lián)的營運目標定義、構成目標對象的各類系統(tǒng)、每個系統(tǒng)的類別屬性、各個系統(tǒng)的優(yōu)先級排序。

No.2

資產評估階段是梳理“家底”，篩選出高風險資產的過程，對資產全面識別與統(tǒng)計，將資產做以分類。連接各類資產的網(wǎng)絡拓撲結構也是相當重要的，因此在該階段需要將資產的連接“脈絡”也做以梳理，理清楚資產之間的數(shù)據(jù)流對于當下的風險評估與后續(xù)的應急響應都是有益的。

No.3

脆弱性評估階段中著眼整個工業(yè)控制系統(tǒng)，從多個角度出發(fā)探討脆弱性可能存在的地方。梳理出針對目標工業(yè)控制系統(tǒng)的脆弱性，再與資產、威脅源、攻擊向量關聯(lián)起來，可分析出系統(tǒng)面臨的風險。

No.4

風險場景構建階段是整個安全評估流程的核心，在該階段內首先識別威脅源，再根據(jù)經驗列舉攻擊向量，由威脅源、攻擊向量、目標的脆弱性、攻擊目標、攻擊類型構建威脅事件，將威脅事件與場景攻擊手法、目標對象發(fā)生危險后的潛在后果結合便構成了風險場景，風險場景描述了目標對象面臨的風險點及其相關聯(lián)的詳細信息。

No.5

風險估算與防護部署階段是對構建的風險場景進行量化和制定緩解策略的詳細闡述，在該階段，提出一種從目標對象、脆弱性、風險場景可能性、影響四個維度出發(fā)的風險計算方法。同時就風險緩解策略的制定提供了一些思路。

No.6

驗證與測試階段是整個安全評估流程的落腳點，沒經過驗證的風險場景構建和防護部署方案是經不起推敲的。只有將驗證與測試的思路貫穿于整個安全評估流程，才可做到閉環(huán)，才可謂評估到位。

安全評估流程中的每個階段都需要做到有據(jù)可依、有證可查、有章可循、有人可問，只有遵照標準與指南，在評估進行過程中才可避免出現(xiàn)錯誤。同樣，匯集各方面專家，如自動控制類專家，信息安全類專家、工藝流程類專家才可做到全面、深入、徹底地進行安全評估。

更多詳情，請關注由綠盟科技格物實驗室發(fā)布《工業(yè)控制系統(tǒng)安全評估流程》報告!

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。