久等了！《工業(yè)控制系統(tǒng)安全評估流程》報告正式發(fā)布

隨著信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，網(wǎng)絡(luò)威脅正在由傳統(tǒng)IT領(lǐng)域向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出，對工業(yè)生產(chǎn)運行，乃至國家經(jīng)濟(jì)安全造成重大隱患。

基于綠盟科技的安全實踐，綠盟科技格物實驗室正式發(fā)布《工業(yè)控制系統(tǒng)安全評估流程》報告，針對工業(yè)控制系統(tǒng)安全隱患制定出一套可行的檢測與安全評估方法。

　　我們需要：一套“均碼”的度量標(biāo)準(zhǔn)&規(guī)范

由于每個企業(yè)的業(yè)務(wù)目標(biāo)和運營環(huán)境多樣化、復(fù)雜化，而制定一套“均碼”的度量標(biāo)準(zhǔn)或規(guī)范是很艱難的，即使制定出該標(biāo)準(zhǔn)但實施與執(zhí)行后的效果是否理想就不得而知。安全評估存在的問題：

1. 合規(guī)并不等于安全。

2. 無法驗證的脆弱性僅僅是主觀推測的結(jié)果，需大膽設(shè)想，小心求證。

　　六步，搞定工業(yè)控制系統(tǒng)安全評估流程?

在工業(yè)控制系統(tǒng)的功能安全、操作安全、安全防護(hù)措施以及脆弱性的基礎(chǔ)上，構(gòu)建整體性更強(qiáng)、綜合性更高的方法（風(fēng)險場景構(gòu)建），避免零散孤立的合規(guī)核查，對風(fēng)險的“可能性”做出更為準(zhǔn)確的解釋，形成可量化的標(biāo)準(zhǔn)，為制定有針對性的、高效的風(fēng)險緩解措施奠定基礎(chǔ)。

這里提出一種完整的工業(yè)控制系統(tǒng)安全評估流程，具體包括目標(biāo)定義與系統(tǒng)評定、資產(chǎn)評估、脆弱性評估、風(fēng)險場景構(gòu)建、風(fēng)險估算與防護(hù)部署、驗證與測試，如上圖所示。針對涉及到的技術(shù)點與方法進(jìn)行歸納總結(jié)，為工業(yè)控制系統(tǒng)安全評估過程提供參考和幫助。

No.1

目標(biāo)定義與系統(tǒng)評定階段中需要明確被評估的目標(biāo)對象、與其向關(guān)聯(lián)的營運目標(biāo)定義、構(gòu)成目標(biāo)對象的各類系統(tǒng)、每個系統(tǒng)的類別屬性、各個系統(tǒng)的優(yōu)先級排序。

No.2

資產(chǎn)評估階段是梳理“家底”，篩選出高風(fēng)險資產(chǎn)的過程，對資產(chǎn)全面識別與統(tǒng)計，將資產(chǎn)做以分類。連接各類資產(chǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也是相當(dāng)重要的，因此在該階段需要將資產(chǎn)的連接“脈絡(luò)”也做以梳理，理清楚資產(chǎn)之間的數(shù)據(jù)流對于當(dāng)下的風(fēng)險評估與后續(xù)的應(yīng)急響應(yīng)都是有益的。

No.3

脆弱性評估階段中著眼整個工業(yè)控制系統(tǒng)，從多個角度出發(fā)探討脆弱性可能存在的地方。梳理出針對目標(biāo)工業(yè)控制系統(tǒng)的脆弱性，再與資產(chǎn)、威脅源、攻擊向量關(guān)聯(lián)起來，可分析出系統(tǒng)面臨的風(fēng)險。

No.4

風(fēng)險場景構(gòu)建階段是整個安全評估流程的核心，在該階段內(nèi)首先識別威脅源，再根據(jù)經(jīng)驗列舉攻擊向量，由威脅源、攻擊向量、目標(biāo)的脆弱性、攻擊目標(biāo)、攻擊類型構(gòu)建威脅事件，將威脅事件與場景攻擊手法、目標(biāo)對象發(fā)生危險后的潛在后果結(jié)合便構(gòu)成了風(fēng)險場景，風(fēng)險場景描述了目標(biāo)對象面臨的風(fēng)險點及其相關(guān)聯(lián)的詳細(xì)信息。

No.5

風(fēng)險估算與防護(hù)部署階段是對構(gòu)建的風(fēng)險場景進(jìn)行量化和制定緩解策略的詳細(xì)闡述，在該階段，提出一種從目標(biāo)對象、脆弱性、風(fēng)險場景可能性、影響四個維度出發(fā)的風(fēng)險計算方法。同時就風(fēng)險緩解策略的制定提供了一些思路。

No.6

驗證與測試階段是整個安全評估流程的落腳點，沒經(jīng)過驗證的風(fēng)險場景構(gòu)建和防護(hù)部署方案是經(jīng)不起推敲的。只有將驗證與測試的思路貫穿于整個安全評估流程，才可做到閉環(huán)，才可謂評估到位。

安全評估流程中的每個階段都需要做到有據(jù)可依、有證可查、有章可循、有人可問，只有遵照標(biāo)準(zhǔn)與指南，在評估進(jìn)行過程中才可避免出現(xiàn)錯誤。同樣，匯集各方面專家，如自動控制類專家，信息安全類專家、工藝流程類專家才可做到全面、深入、徹底地進(jìn)行安全評估。

更多詳情，請關(guān)注由綠盟科技格物實驗室發(fā)布《工業(yè)控制系統(tǒng)安全評估流程》報告!

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。