歡迎訪問喀什金澄光電有限公司
你的位置:喀什金澄光電有限公司 > 聯系我們 > ?>?文章正文

久等了!《工業控制系統安全評估流程》報告正式發布

時間: 2020-01-15 | 編輯: 107 | 閱讀:107次

隨著信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,網絡威脅正在由傳統IT領域向工業控制系統擴散,工業控制系統信息安全問題日益突出,對工業生產運行,乃至國家經濟安全造成重大隱患。

基于綠盟科技的安全實踐,綠盟科技格物實驗室正式發布《工業控制系統安全評估流程》報告,針對工業控制系統安全隱患制定出一套可行的檢測與安全評估方法。

久等了!《工業控制系統安全評估流程》報告正式發布

 

我們需要:一套“均碼”的度量標準&規范 

由于每個企業的業務目標和運營環境多樣化、復雜化,而制定一套“均碼”的度量標準或規范是很艱難的,即使制定出該標準但實施與執行后的效果是否理想就不得而知。安全評估存在的問題:

1. 合規并不等于安全。

2. 無法驗證的脆弱性僅僅是主觀推測的結果,需大膽設想,小心求證。

六步,搞定工業控制系統安全評估流程

在工業控制系統的功能安全、操作安全、安全防護措施以及脆弱性的基礎上,構建整體性更強、綜合性更高的方法(風險場景構建),避免零散孤立的合規核查,對風險的“可能性”做出更為準確的解釋,形成可量化的標準,為制定有針對性的、高效的風險緩解措施奠定基礎。

這里提出一種完整的工業控制系統安全評估流程,具體包括目標定義與系統評定、資產評估、脆弱性評估、風險場景構建、風險估算與防護部署、驗證與測試,如上圖所示。針對涉及到的技術點與方法進行歸納總結,為工業控制系統安全評估過程提供參考和幫助。

No.1

目標定義與系統評定階段中需要明確被評估的目標對象、與其向關聯的營運目標定義、構成目標對象的各類系統、每個系統的類別屬性、各個系統的優先級排序。

No.2

資產評估階段是梳理“家底”,篩選出高風險資產的過程,對資產全面識別與統計,將資產做以分類。連接各類資產的網絡拓撲結構也是相當重要的,因此在該階段需要將資產的連接“脈絡”也做以梳理,電熱水壺維修,理清楚資產之間的數據流對于當下的風險評估與后續的應急響應都是有益的。

No.3

脆弱性評估階段中著眼整個工業控制系統,從多個角度出發探討脆弱性可能存在的地方。梳理出針對目標工業控制系統的脆弱性,再與資產、威脅源、攻擊向量關聯起來,可分析出系統面臨的風險。

No.4

風險場景構建階段是整個安全評估流程的核心,在該階段內首先識別威脅源,場效應管的作用,再根據經驗列舉攻擊向量,由威脅源、攻擊向量、目標的脆弱性、攻擊目標、攻擊類型構建威脅事件,將威脅事件與場景攻擊手法、目標對象發生危險后的潛在后果結合便構成了風險場景,風險場景描述了目標對象面臨的風險點及其相關聯的詳細信息。

No.5

風險估算與防護部署階段是對構建的風險場景進行量化和制定緩解策略的詳細闡述,在該階段,提出一種從目標對象、脆弱性、風險場景可能性、影響四個維度出發的風險計算方法。同時就風險緩解策略的制定提供了一些思路。

No.6

驗證與測試階段是整個安全評估流程的落腳點,沒經過驗證的風險場景構建和防護部署方案是經不起推敲的。只有將驗證與測試的思路貫穿于整個安全評估流程,才可做到閉環,才可謂評估到位。

安全評估流程中的每個階段都需要做到有據可依、有證可查、有章可循、有人可問,只有遵照標準與指南,在評估進行過程中才可避免出現錯誤。同樣,匯集各方面專家,如自動控制類專家,信息安全類專家、工藝流程類專家才可做到全面、深入、徹底地進行安全評估。

文章標題: 久等了!《工業控制系統安全評估流程》報告正式發布
文章地址: http://www.bqvfdr.icu/lianxiwomen/115202.html
Top
专业打假太赚钱了