GB/T33009.3-2016
工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南
Industrialautomationandcontrolsystemsecurity—Distributedcontrolsystem(DCS)—Part3:Assessmentguidelines
- 中国标准分类号(CCS)N10
- 国际标准分类号(ICS)25.040
- 实施日期2017-05-01
- 文件格式PDF
- 文本页数36页
- 文件大小985.35KB
以图片形式预览工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南
工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南
国家标准 GB/T33009.3一2016 工业自动化和控制系统网络安全 集散控制系统(DCS 第3部分评估指南 ndustrialautomationandcomtrolsystemseeurity Distributelcomtrolsystem(DCS Part3:Assessmentguidelines 2016-10-13发布 2017-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T33009.3一2016 前 言 GB/T33009(工业自动化和控制系统网络安全集散控制系统(CS)》和GB/T33008《工业自动 化和控制系统网络安全可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列 标准
GB/T33009(《工业自动化和控制系统网络安全集散控制系统(DCS)》分为4个部分 -第1部分:防护要求; 第2部分;管理要求 第3部分;评估指南 第4部分风险与脆弱性检测要求
本部分为GB/T33009的第3部分
本部分按照GB/T1.1一2009给出的规则起草
本部分由机械工业联合会提出
本部分由全国工业过程测量、控制和自动化标准化技术委员会(sAc/Tc124)和全国信息安全标 准化技术委员会(sAC/Tc260)归口
本部分起草单位浙江中控研究院有限公司,浙江大学,机械工业仪器仪表综合技术经济研究所,重 庆邮电大学、科学院沈阳自动化研究所,西南大学、福建工程学院、,杭州科技职业技术学院、北京启 明星辰信息安全技术有限公司、电子技术标准化研究院、国网智能电网研究院、核电工程有限 公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子()有限公司,施耐 德电气()有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自 动化()有限公司、仪器仪表学会、工业和信息化部电子第五研究所,北京海泰方圆科技有限公 司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司 北京和利时系统工程有限公司、石油天然气管道有限公司、北京国恩网络科技有限责任公司、西南 电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司华为技术有限公司电子 科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机()有限公司北京研发中心
本部分主要起草人:;施一明、冯冬芹、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、 许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀,刘大龙、陆耿虹、刘文龙、王芳、孟雅辉、 范科峰、梁潇、王彦君、张建军,薛百华许斌、陈小泞,华瘠、高昆仑,王雪、周纯杰,张莉,刘杰,朱毅明、 王、孙静,胡伯良,刘安正、田雨聪、方亮、马欣欣,王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、 朱镜灵、张智、张建勋、兰昆、张晋宾,成继勋、尚文利、钟诚,梁猛、陈小枫、卜志军、丁露,李琳、杨应良、 杨磊
m
GB/T33009.3一2016 工业自动化和控制系统网络安全 集散控制系统(DCS 第3部分:评估指南 范围 GB/T33009的本部分规定了集散控制系统的安全风险评估等级划分、评估的对象及实施流程,以 及安全措施有效性测试
本部分适用于电力、石油、化工,水利、冶金、建材等各领域针对DCS系统的进行的安全风险评估活 动,也适用于指导DCS用户改善和提高生产系统中DCS安全能力的系统维护活动
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GBT208一2007信息安全技术信息安全风险评估规范 GB/T30976.1一2014工业控制系统信息安全第1部分;评估规范 术语、定义、缩略语 3.1术语和定义 GB/T209842007和GB/T30976.1一2014界定的以及下列术语和定义适用于本文件
为了便 于使用,以下重复列出了GB/T20984一2007和GB/T30976.1一2014中的一些术语和定义
3.1.1 验收acceptance 风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织机构,对评估活动进行逐项检 验,以是否达到评估目标为接受标准
[GB/T30976.1一2014,定义3.1.4] 3.1.2 accesscontrol 访问控制 保护系统资源防止未授权的访问;系统资源使用的过程是根据安全策略规定的,并且根据该策略只 允许被授权的实体(用户、,程序、.过程或者其他系统》 [IEC62443-1-1,定义3.2.2] 3.1.3 可用性availability 数据或资源能被授权实体按要求访问和使用的特性
[GB/T20984一2007,定义3.3]
GB/T33009.3一2016 3.1.4 鉴别authentieatiom 验证实体所声称的身份的动作
3.1.5 边界border 物理或者逻辑安全区域的边或者边界
[IEC62443-l-l,定义3.2.16] 3.1.6 信道channel 在通信管道内建立的特定的通信链接
[IEC62443-1-1,定义3.2.19] 3.1.7 保密性confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人,过程或其他实体的 程度 [GB/T20984一2007,定义3.5] 3.1.8 控制系统网络安全controlsystemseeurity 以保护控制系统的可用性,完整性、保密性为目标,另外也包括实时性、可靠性与稳定性
3.1.9 服务拒绝denialofseriee 阻止或者中断系统资源的授权访问或者挂起系统的操作的功能
注:在工业自动化和控制系统的情况下,服务拒绝是指过程功能的损失,而不仅仅是数据通信的损失
[IEC62443-1-1,定义3.2.42] 3.1.10 识别identify 对某一评估要素进行标识与辨别的过程 [GB/T30976.1一2014,定义3.1.2] 3.1.11 网络安全风险seeurityrisk 人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的 影响
[GB/T20984一2007,定义3.67 3.1.12 完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性
包括数据完整性和系统完整性 GB/T20984一2007,定义3.10 3.1.13 制造执行系统manufaeturingexeeutionsystem 生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据
GB/T33009.3一2016 例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息
注1此系统访问材料清单,工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和 监视将活动数据反饿给基础系统的过程
注2,更多的信息参见IEc62264-1
3.1.14 组织organization" 由作用不同的个体为实施共同的业务目标而建立的机构
一个单位是一个组织,某个业务部门也 可以是一个组织
[GB/T209842007,定义3.11 3.1.15 残余风险residualrisk 采取了安全措施后,信息系统仍然可能存在的风险
[GB/T20984一2007,定义3.121 3.1.16 风险接受riskacceptance 接受风险的决定
[GB/T30976.1一2014,定义3.1.7] 3.1.17 风险分析riskanalysis 系统地使用信息来识别风险来源和估计风险
[GB/T30976.12014,定义3.1.8] 3.1.18 风险评估riskassessment 系统地辨识重要系统资源的潜在脆弱性和威胁,基于发生的概率量化损失风险和后果,并(可选地 建议如何对各对抗措施分配资源以使总风险最小的过程
注1资源类型包括物理资源,逻辑资源和人力资源
注2;风险评估常与脆弱性评估相结合,以辨识脆弱性并量化相关风险
周期地执行这些内容是为了反映组织机 构的风险裕度、脆弱性、规程,人员和技术上的变化. 3.1.19 风险管理riskmanageent 基于风险评估来辨识和采用与所保护的资产价值相称的对抗措施的过程
3.1.20 安全事件seeurityineident 系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护措施的失效,或未 预知的不安全状况
[GB/T20984一2007,定义3.14们 3.1.21 网络安全措施seeuritymeasure 为保护资产,抵御威胁,减少脆弱性,降低安全事件的影响而实施的各种实践、规程和机制
GB/T33009.3一2016 3.1.22 威胁threat 可能导致对系统或组织危害的不希望事故潜在起因
[GB/T20984一2007,定义3.17] 3.1.23 脆弱性vulnerablty 系统设计,实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略 [GB/T30976.1一2014,定义3.1.1] 3.2 缩略语 下列缩略语适用于本文件
CL能力等级(CapabilityLevel) DCs;集散控制系统(DistributedControlSystem Dos;服务拒绝(DenialofService) IACS;工业自动化和控制系统[IndustrialAutomationandControlsystem(s) ExecutionSystem MEs:制造执行系统(Manufacturing! ML;管理等级(ManagenmentlLevelb) SL;安全等级(Securitylevel DCS安全风险评估概述 4.1Ds系统概述 4.1.1通用DcS系统应用的网络结构 通常DcS系统应用是一种纵向分层的网络结构.自上到下依次为过程监控层、现场控制层和现场 设备层
各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构 如图1所示
本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求 进行了要求
各层的说明如下 过程监控层;以操作监视为主要任务,兼有部分管理功能
这一级是面向操作员和控制系统工 程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示 器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工 程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略,故障诊断、质量 评估 现场控制层:现场控制层的主要功能包括;采集过程数据,进行数据转换与处理;对生产过程进 行监测和控制,输出控制信号,实现模拟量和开关量的控制;对1/O卡件进行诊断;与过程监 控层等进行数据通信
现场设备层:现场设备层的主要功能包括:采集控制信号、执行控制命令,依照控制信号进行设 备动作
GB/T33009.3一2016 财务管理 人力资源 资产管理 系统 系统 管理系统 对外服务系统 企业 资派层 没备维护 先进控制 工艺 工作站 工程师站 工作站 lnmtermet 打印机 生产 管理层 接 历史数据站 工程师站 主人机界面 备 控制服务器 G冗杂控制 国工自 服务器 过橙 监控层 操作员站工剧师站出 " 操作员站 工程师站 操作员站 串 工程师站 郎 控制器 控制器 控刺器 现场 控制层 现场 设备层 现场仪表 现场仪表 现场仪表 图1典型cs系统应用的网络结构示意图 注,将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCs控制器和控制器通信模块,1/o 模块等,现场设备层网络包括现场智能仪表、执行机构,传感器等现场设备和仪表 4.1.2DcCS运行安全总体要求 4.1.2.1实时性要求 DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动
4.1.2.2可用性要求 DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断 操作需要提前计划
4.1.2.3安全性要求 DCS具有安全性要求
DCS一般部署在重要的生产领域,系统不允许出现安全事故
4.1.2.4完整性要求 DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改
GB/T33009.3一2016 4.1.2.5稳定性要求 DCS具有稳定性要求
DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而 且加剧设备的损耗等
4.1.2.6高可靠性要求 DcCS具有可靠性要求
ICS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许 发生停车,且具有很好的耐久性和可维修性
4.2Dcs安全风险评估流程框架与流程 4.2.1安全要素及其关系 DCs安全要素的关系如图2所示
生产业务 依赖 复杂性 重要性 可用性 增加 增加 破坏 利用 演变 脆弱性 威胁 安全事件 增加 增加 控制 系统 风险 及设 抵街 可能 诱发 导出 降低 未控制 安全需求 安全措 残余风险 被满足 降低 图2安全风险评估要素关系图 图2中矩形框部分是安全风险评估的基本要素,椭圆部分是基本要素相关的属性
DCs系统安全 风险评估主要围绕生产业务、控制系统及设备、脆弱性、威胁、风险、安全措施等基本要素进行,但评估过
GB/T33009.3一2016 程中需要充分考虑业务的复杂性、重要性、可用性、安全事件,残余风险、安全需求等与基本要素相关的 属性
图2中基本要素及属性之间主要存在以下关系 生产业务最终靠工业控制系统及设备实现,依赖程度越高,要求控制系统风险越小 b)生产业务的复杂性会影响控制系统的脆弱性,工艺控制环节越复杂,工业控制系统存在的脆弱 性越多,脆弱性之间潜在的关联性越强; 生产业务的重要性会影响控制系统的所受到的威胁,负责的工艺流程越重要,其受到的威胁 最大; D 挖制系统自身的脆弱性直接影响控制系统所存在的风脸,脆弱性越多,其面临的风险越多 威胁利用脆弱性,演变为安全事件,损坏控制系统或设备,破坏生产业务的可用性要求; 通过控制系统所面临的风险可以获得系统的安全需求,以满足安全需求为目标,可以确定系统 采用的安全措施,采用安全措施可以降低风险,而未能被安全措施控制的残余风险,仍然有可 能诱发安全事件,破坏系统正常运行; 控制系统遭受的威胁越多,其可能面临的风险也越大; g h生产业务的可用性要求越高,控制系统可采用的安全措施越少 4.2.2DcS安全分析的原理 DCs风险分析涉及DCS资产(软\硬件等、工艺特征、DCs的脆性与DCS的威胁四大要素,如 图3所示
风险分析的主要内容包括: 对DCS资产进行识别,确认与识别DCS的系统范围、系统结构、网络结构,采用的通信协议、 a 关键部位的安全防护系统,列举构成DCS的设备清单,并对设备进行分组,分析设备间的关联 关系、通信协议,设备开放的端口和服务等,以确定Dcs评估的对象和范围,并整理通信设备 的运行和安全特征 对Dcs所处生产环境的工艺流程的特征进行识别,分析确定生产工艺流程各产晶生产环节中 的重要性和复杂度,该工业过程中可能发生的危险事件(爆炸、漏液、释放有毒气体等),及其可 能造成的影响以及影响范围; 对DCs的脆弱性进行识别,综合考虑DCs在控制方案、防护措施等技术与管理上的脆弱性进 行脆弱性梳理,并对其被利用的可能性和严重性、存在的原因进行深人分析; 对 DCS威胁进行识别,列举系统面临的潜在威胁和威胁的来源,以及发生过的历史安全事件, 在此基础上对各种潜在威胁发生的可能性、影响及其后果进行定性或定量评价; 根据威胁及利用脆弱性的难易程度判断安全事件发生的可能性; 根据脆弱性的严重程度及安全事件所作用的DCS部位来计算安全事件造成的影响和损失; 根据安全事件发生的可能性以及安全事件出现后的损失,评估安全事件对企业的风险等级 g h 参照风险等级定义、国家的法律法规及相关标准和公司安全需求,确定DCS应具备的管理等 级和系统安全能力等级,然后依据CS安全实施流程对系统进行评估,并确定评估结果
GB/T33009.3一2016 设备清单和 分组 设备运 Dcs资 建立系统 设备间关系 行和安 网络拓扑 产识别 全特征 技术检测 重要性赋值 分析系统工艺流程 工艺特 影响性赋值 征识别 和工艺环节分解 复杂度赋值 安全风 险等级 技术弱性分析 DCS胸 评定 严重程度及 弱性识 引发原因 别 管理腌调性分析 潜在战胁列举 胶胁发生 可能性 DcS贼 威胁来源列举 胁识别 影响和后暴 历史安全事件 图3风险分析原理示意图 4.2.3DcCs安全风险评估实施流程 DCS安全风险评估实施的具体流程如图4所示
首先对DCS系统的设备、工艺特征,脆弱性和面 临的威胁进行识别并形成评估过程文档,然后识别系统当前安全措施,并结合上述已识别的系统特征对 当前安全措施进行有效性验证,形成评估过程文档,然后对系统的风险进行计算和验证,如果评估得到 的风险无法被评估系统接受,需增加安全措施,然后重新评估安全措施的有效性,直至系统风险可以被 系统接受为止
GB/T33009.3一2016 安全风险评估准备 DCS资产识别 工艺特征识别 XcS脆涡性识别 DcS威胁识别 评估过程文档 己有安全措施的识别和有效性验证 评估过程文档 风险计算与验证 安全分析 评估过程文档 风险是否接受 香 增加安全措施 实液风险管理 安全风险评估文件 图4cS安全风险评估实施流程 4.3评估结果 4.3.1风险可接受程度 根据工业控制系统的组织机构管理以及系统(技术)能力评估系统的风险,针对风险产生的结果采 用网络安全等级(securitylevel,SL)来表示风险管理过程中的不同风险,这样的结果比较直观,根据 SL来确定组织机构的整体安全策略和相应的技术防御措施
同时,组织机构应当综合考虑风险控制成 本与风险造成的影响,提出一个可接受的风险范围
对某些资产的风险,如果风险计算值在可接受的范 围内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持已经有的安全 措施;如果风险评估值在可接受的范围外,但是低于不可接受范围的下限值,则该风险需要采取安全措 施降低、并控制风险到可接受的程度;如果评估的风险从经济,健康,安全和环境方面进行评估后发现风 险是不可以接受的,那么就要对现有的系统重新设计网络安全程序
见图5
其中的风险评估的工具 和方法参见附录B
GB/T33009.3一2016 不可接必风险/需加固DCS系统 采取措施 降低风险 可接受风险 图5风险可接受的程度 风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略
组织应 当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围
对某些资产的风险,如果风 险计算值在可接受的范围内,则该风险是可接受的风险,应保持已有的安全措施;如果风险评估值在可 接受的范围外,即风险计算值高于可接受范围的上限值,是不可接受的风险,需要采取安全措施以降低、 控制风险
另一种确定不可接受的风险的办法是根据等级化处理的结果,设定可接受风险值的基准,达 到相应等级的风险都进行处理 注1;cS利用可供选用的各种配置的功能和元 元件执行要求的任务,系统的该特征难以仅通过评定每一个单独功 能和元件的特征来综合评估一个系统的网络安全能力 注2:DCS网络安全风险评估的深度在很大程度上取决于系统的复杂程度、生产工艺过程复杂度以及边界影响条 件以及评估的目的 注3:评估的范围可以采用汇总统计表的形式,在一个轴线上列出系统的特性,另一轴线上列出需考虑的安全影响 条件
统计表的方格可用于记录对于每一种系统特性哪一种安全影响条件需要加以考虑
4.3.2风险评估结果 评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每 个等级设定风险值范围,并对所有风险计算结果进行等级处理
每个等级代表了相应风险的严重程度
表1提供了一种风险等级划分方法 表1DCS风险等级的划分 等级 标识 描 述 -旦发生将产生非常严重的经济或社会影响,如组织信息破坏、严重影响组织正常经营,经济 很高 损失重大.社会影响恶劣 高 -旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害 中等 旦发生会造成一定的经济,社会或生产经营影响,但影响面和影响程度不大 低 -且发生造成的影响程度较低,一般仅限于组织内部,通过一定的手段很快能解决 很低 -旦发生造成的影响儿乎不存在,通过简单的措施就能弥补 10o
GB/T33009.3一2016 评估工作准备 5.1概述 DCS系统安全风险评估是对DCS所处的系统网络层级结构、数据采集与传输协议、DCS硬件设备 及模块,DcCS监控软件,OPC软件、网络层级间的防护措施安全防护设备、安全管理措施及执行情况 生产工艺及流程、人员及场地特征、安全应急响应组织结构等进行全面的安全分析
同时,结合不同行 业的具体工业安全需求对Dcs中的高危性业务(可能存在爆炸、有毒、高腐蚀性气体或严重污染环境液 泄漏的业务)关键流程或关键业务的关联性业务、关键业务或控制站进行独立评估
风险评估的准备是 整个风险评估过程有效性的基础
组织实施风险评估是一种全面的系统工作,其结果将受到生产行业、 业务流程,安全需求、系统规模、系统配置、管理制度等方面的影响
因此,在风险评估实施前,应 a)确定Dcs风险评估的目标 b 确定DCS风险评估的范围 e组建评估管理与实施团队; d) 进行系统调研; 确定评估依据和方法; e 获得最高管理者对风险评估工作的支持
5.2确定Cs评估目标 识别与记录组织所应用的Ds在技术与管理上的潜在不足,以及可能造成的安全风险(包括人员 环境、社会以及国家安全方面的影响),维护与保证组织在业务持续性发展上的特定安全需要
评估的目标,由被评估方给出基本要求,评估方进行调研后,提出具体评估子目标,双方协商后确定 具体评估目标
5.3确定评估范围 DCs评估涉及Dcs的硬件、软件、网络架构、网络协议,现场设备、防护措施、应急响应方案等,重点 关注可能会造成严重的人员、环境或社会危害的DCS关键生产部位及其关联部位、,DCS核心重要业务 流程部位、,DCs关键网络通信部位的系统、人员、管理机构,责任部门等
5.4 组建评估团队 DCS评估团队应由管理层、生产工艺工程师,IT技术人员,现场人员包括技术人员、操作人员、维 护人员等)以及被评估企业的评估负责人等人员组成
可组建由评估方、被评估方领导和相关部门负责 人参加的安全风险评估领导小组,聘请第三方相关专业的技术专家和技术骨干组成专家小组
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行安全风险评估技术培训 和保密教育,制定DcS评估过程管理相关规定
可根据被评估方要求,双方签署保密合同,必要时签署 个人保密协议
5.5系统调研 拟采用问卷调查、现场面谈相结合的方式进行调研,调研内容应至少包括: a)企业主要生产业务类型、原料、加工或生产工艺过程,产品及其质量要求; b企业网络架构和网络连接情况(包括外网、内网); 企业的DCS应用情况(主要的控制器、智能设备、传感器、执行器、应用软件、网络设备的型号、 安装时间); 1l
GB/T33009.3一2016 d)Dcs以往安全事故 eDCS网络安全管理制度、责任或管理部门; D 关键生产业务部门或部位的运行过程及其相关人员,管理制度、接口情况 g)企业组织已经实施的工业控制网络安全措施与规程; h)其他企业组织已实施的工业控制网络安全措施与规程的经验; 以往DCS的安全风险评估记录与结果; 其他
5.6确定评估依据与方法 DCS安全风险评估依据包括(但不限于): a现行标准; b 行业主管机关的业务系统要求和制度 e系统互联单位的安全要求; d)控制系统本身的高实时性、高可靠性与高可用性等要求 企业自定义的安全需求和要求
在DCS评估方法的选取上,应考虑DCS的特殊安全特性,包括网络安全事件发生的不规律,安全 事件历史数据的缺乏、脆弱性一旦公开所带来的激增式威胁等;在技术手段的选择中,要充分考虑DCs 不可停车,实时性和稳定性的运行要求,保证不因评估检测影响当前系统的正常运行
同时根据组织长 期的业务经验,确定可用的安全风险评估计算方法(定量或定性,基于场景或基于资产等),必要时可开 展评估依据和评估方法的评审
制定评估方案 5. 制定评估方案的目的是为后续评估活动的实施提供一个总体计划,用于指导实施方开展后续工作
评估方案的内容一般包括(但不仅限于).: 组织架构:包括评估团队成员、组织结构、角色、责任等内容; a b)工作计划:评估各阶段的工作计划,包括工作内容、工作形式、以及希望获得的支持、预期工作 成果等内容 时间进度安排;项目实施的时间进度安排
5.8获得支持 上述所有内容确定后,应形成较为完整的安全风险评估实施方案,得到组织最高管理部门的支持、 批准;对管理层和技术人员进行传达,在组织架构范围内就风险评估相关内容进行培训,以明确有关人 员在评估中的任务
DCS安全要素识别 6.1Dcs资产识别 6.1.1建立资产清单与分组 DCS资产识别的目的是识别关键的DCS设备以及DCSs中给系统带来潜在风险的设备部件,及其 风险特性
如果对DCS的设备与网络的部署缺乏一个清晰的了解,将很难定位哪些位置存在风险
评 估小组会同DcCS工作人员应该对不同类别的设备,包括现场的以及远程的进行识别
应重点关注但不 局限于控制系统、测量系统、使用HMI的中央监控系统,还应包括生产控制操作区域,以及供电区与废 12
GB/T33009.3一2016 物处理设施等
表2是根据功能的不同对DCS设备进行的一种分类
表2DcS资产分类 例 类 示 过程监控层硬件:工程师站,操作员站,OPC服务器,HIMI控制台,数据库服务器,远程访问 服务器、web服务器等设备,以及与现场设备链接的专用设备 DCS硬件 现场控制层硬件;DcS控制器,Io模块,RTU,智能现场仪表等 安全设备;安全仪表系统SIs及其相关装置 监控软件;安装在控制台上的图形用户软件、人机交互软件、sCADA软件等 编程软件;组态软件 cs应用软件 生产优化软件:MES软件,资产管理软件、先进控制软件 系统软件:操作系统、数据库管理系统等 防火墙、防病毒软件、防恶意(malware) e)软件,人侵检测系统,人侵防御系统、身份认证系统、 安全保障系统 DCS安全审计系统、网络安全统一管理系统等 路由器、交换机.VPN、远程接人 人方式,无线接人 DcS数据通信与接人 D(cS网络架构 DCs网络的拓扑(网络边界、设备连接,冗余网络配置、边界访问控制、网络带宽等 网络服务;各种网络设备、设施提供的网络连接服务 服务 信息服务;对外依赖该系统开展的各类数据采集与共享服务 人员 掌握重要信息和核心业务的人员,如总工程师、车间主任、制造科长等 在对资产进行识别时需要对其工作原理,基本配置和技术参数进行了解、记录和测试
测试可以为 线下,近似或在模拟控制系统的环境下进行,一旦影响正常的DCs运行的实时性、可靠性和安全性,则 不允许继续测试
6.1.2分析检查网络拓扑 在对被评估系统进行详细评估前,应对待评估系统的范围或边界、,设备的互联互通关系,设备间通 信的方式,通信协议,通信端口进行清晰的了解
6.1.3Dcs设备安全属性赋值 可用性、完整性、保密性是评价cS设备的三个安全属性
风险评估中Ds设备的价值不是以 Dcs设备的经济价值来衡量,而是由Dcs设备在这三个安全属性上的达成程度或者其安全属性未达成 时所造成的影响程度来决定的
安全属性达成程度的不同将使IcS设备具有不同的价值,而Dcs设 备面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响
具体可用性、完整性、保密性赋值细节见GB20984一2007中的5.2.2. 6.2DcS脆弱性 6.2.1DcS脆弱性内容 Dcs脆弱性是指S系统或部件固有的弱点或后期安装,实施和配置不当造成的弱点,可能来自 于有意的设计,也可能来源于错误理解运行环境的偶然情况
环境变化、技术变化、系统部件的故障,部 件替换,人员流动或更高威胁事件的发生,可能触发系统中的弱点,使得包含脆弱性的工业自动化控制 13
GB/T33009.3一2016 系统更加容易受攻击
脆弱性不仅仅局限于电子或网络系统,还包括管理制度、组织结构等,所以不仅 要了解物理(包括人员)和电子脆弱性之间的相互作用,熟悉企业对DCS系统的相关管理制度和流程也 至关重要
DCS脆弱性的数据应来自于资产的所有者、,DCS操作者,以及相关业务领域和DCS软硬件方面的 专业人员等
脆弱性识别所采用的方法主要有,问卷调查,工具检测,人工核查,文档查阅,人工测试等 脆弱性识别主要从技术和管理两个方面进行,具体的脆弱性识别对象和实施过程参见集散控制系 s)风脸与脆弱性检渊要求
6.2.2Dcs脆弱性赋值 可以根据对工艺的影响程度、技术实现的难易程度、,脆弱性的流行程度,采用等级方式对已识别的 脆弱性的严重程度进行赋值
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响
因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低
等级数 值越大,脆弱性严重程度越高
表3提供了脆弱性严重程度的一种赋值方法
表3脆弱性严重程度赋值示例 赋值 标识 定 义 较小 如果被利用,将对DCS设备造成较小影响 如果被利用,将对Dcs设备造成一般影响 -般 严重 如果被利用,将对cS设备造成严重影响 特大 如果被利用将对s设备造成重大影响 6.3威胁识别 6.3.1威胁分类 威胁可能来源于组织内部或组织外部,表现为不同形式,但最为常见的三种形式是 疏忽或误操作;某人对正确的系统控制流程、工艺过程和安全策略不熟悉,或由于无意疏忽导 a 致偶然风险
也可能是由于组织不了解所有风险,在运行复杂的工业自动化相控制系统时,似 然的事故使这些风险呈现出来; 未经确认的修改;对控制系统、工业应用软件、工艺过程、控制参数、配置、连接和设备进行升 b 级、修改或其他改变,可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全 威胁; 蓄意的破坏和攻击;个人或组织通过网络或内部人员对控制系统进行破坏或窃取信息或数据 可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全威胁
6.3.2威胁赋值 判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判 断
在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率: 以往安全事件报告中出现过的威胁及其频率的统计; a b实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;近年来相关组织发布的 对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警 可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低
等级数 1
GB/T33009.3一2016 值越大,威胁出现的频率越高
表4提供了威胁出现频率的一种赋值方法
在实际的评估中,威胁频率的判断依据应在评估准备 阶段根据历史统计或行业判断予以确定
表4威胁赋值表 赋值 标识 定 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生 中 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 高 出现的频率较高(或>1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 出现的频率很高或>1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 很高 工艺特征识别 6,4 6.4.1重要性赋值 工艺重要性应依据该工艺环节遭受破坏后,对整个工业生产或企业经营的影响程度进行综合评定 得出
综合评定的方法可以根据组织自身的特点,以对生产和经营过程影响的严重等级作为工艺重要 性的最终赋值结果
本部分中,工艺重要性分为四级,级别越高表示工艺对生产过程和企业经营影响越 严重,如表5所示
组织也可以根据自身实际情况确定工艺重要性的赋值依据和取值
生产业务工艺 重要性越高,受到的威胁频率会越高
表5系统工艺重要性定义示例 赋值 标识 定 很低 不重要,其遭受破坏对生产活动的影响很小,对组织造成很小的损失,甚至可以忽略不计 不太重要,其遭受破坏可能直接影响生产活动的长期稳定性,会给组织长期正常经营带来安 低 全风险,对组织造成较低的损失 重要,其遭受破坏可能直接影响核心生产活动,可能导致组织正常经营中的核心业务中断,对 中 组织造成比较严重的损失 非常重要,其遭受破坏可能导致整个生产活动停止,且没有可替代方案
可能导致组织正常 经营中断,给组织造成非常严重的损失 6.4.2影响性赋值 工艺影响性应依据该工艺环节遭受破坏后,对人员、环境、地区公共财产和国家安全等可能造成的 影响进行评定得出
评定的方法可以根据生产工艺过程中各环节的高温、高压,有毒原料生产等特点, 以其实际遭受攻击后对外部造成后果的严重程度作为最终赋值结果
本部分中,工艺影响性分为四级, 级别越高表示工艺环节遭受破坏后,对外界的影响越严重,如表6所示
组织也可以根据自身实际情况 确定工艺影响性的赋值依据和取值
生产业务工艺影响性越高,设备价值就越高
15
GB/T33009.3一2016 表6DCS系统工艺影响性定义示例 赋值 标识 定 较小 工艺环节失控,可能对人员安全、环境、地区公共财产安全造成较小范围的破坏 小 工艺环节失控,可能对人员安全,环境、地区公共财产安全造成小范围的破坏 工艺环节失控,可能对人员安全、环境、地区公共财产安全造成局部性的破坏 中 工艺环节失控,可能对人员安全、环境、地区公共财产安全造成大面积的破坏,甚至对国家安 大 全造成影响 6.4.3复杂度赋值 工艺复杂度由工业生产过程的复杂程度和控制系统的复杂程度来综合评定得出
评定的方法可以 根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统复合状态、系统的阶段和层次等属性建模 进行综合描述
本部分对工艺复杂度给出一个示例,以工艺环节、工序数量、系统层次和系统节点数为 衡量依据,将工艺复杂度分为四级,级别越高表示工艺过程及其实现系统越复杂,存在潜在脆弱性可能 性越高,如表7所示
组织也可以根据自身所处工业行业的工艺特点,建模确定工艺复杂度的评估依据 和取值
生产业务工艺的复杂性会影响控制系统的脆弱性,工艺控制环节越复杂,工业控制系统存在的 脆弱性越多,脆弱性之间潜在的关联性越强
表7IcS系统工艺复杂度定义示例 赋值 标识 定 工艺过程中,工艺环节不大于3个,总工序不超过20个,系统层次最多为2级,1/O点数不大 简单 于200点 工艺过程中,工艺环节不大于3个,总工序不超过20个,系统层次最多为3级,1/O点数不大 -般 于1000点 工艺过程中,工艺环节不大于5个,总工序不超过50个,系统层次最多为3级,l/o点数不大 复杂 于5000点 工艺过程中,工艺环节不少于6个,总工序超过50个,系统层次超过3级,I/o点数大于 非常复杂 5000点 Dcs风险分析 7.1风险计算原理 DCS安全风险由威胁利用控制系统的脆弱性导致安全事件发生的可能性与后果影响程度来共同 决定
综合安全事件发生的可能性与安全事件的后果影响程度,判断安全事件对组织的影响
风险计 算原理以下面的形式加以说明 风险值=R(A.P,T,)或风险值-w[L(P:XT.,PRxV)XPxF(a,Va)7 其中,R和w表示安全风险计算函数;A表示Dcs设备;P表示DCs工艺特征(P表示工艺特征 的复杂性,P表示工艺特征的重要性,P表示工艺特征的影响性);T表示威胁;V表示脆弱性;la表示 16
GB/T33009.3一2016 安全事件所作用的DCS设备价值;Va表示脆弱性严重程度;L表示威胁利用DCS脆弱性导致安全事 件发生的可能性;F表示安全事件发生所产生的损失
有以下三个关键计算环节 计算安全事件发生的可能性 a 根据威胁出现频率及脆弱性情况,计算威胁利用脆弱性导致安全事件发生的可能性,即 安全事件发生的可能性=L威胁出现频率,脆弱性)=L(Ps×T,PeXV) b)计算安全发生后的损失 根据发生安全事件的DcS设备价值、脆弱性严重程度以及工艺特征影响性系数,计算安全事件发 生后的损失,即 安全事件的损失=P×F(DCs设备价值,脆弱性严重程度)=P×F(la,Va) e)计算风险值 根据计算出的安全事件发生的可能性以及安全事件的影响后果,计算风险值,即 风险值=w(安全事件发生的可能性,安全事件造成的损失)=w[L(Ps×T,Pe×V)×Pi×F(la, Va1 评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法
矩阵法通过构 -个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系;相乘法通过构造经验 造 函数,将安全事件发生的可能性与安全事件的损失进行运算得到风险值
附录B中列举了矩阵法和相乘法的风险计算示例
7.2风险处理计划 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划
风险处理计划中明确应采取的 弥补弱点的安全措施、预期效果,实施条件,进度安排,责任部门等
安全措施的选择应从管理与技术两 个方面考虑
安全措施的选择与实施应参照网络安全的相关标准进行
对于不可接受的风险在选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实 施安全措施后的残余风险是否已经降低到可接受的水平
残余风险的评估可以依据本部分提出的风险 评估流程实施,也可做适当裁减
一般来说,安全措施的实施是以减少脆弱性或降低安全事件发生可能 性为目标的,因此,残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后, 再次计算风险值的大小
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受 的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施
安全风险评估文档记录 8.1评估文档记录要求 记录安全风险评估过程的相关文档,可参照GB20984一2007中的文档要求,应符合以下要求但 不仅限于此): a)确保文档发布前是得到批准的 b确保文档的更改和现行修订状态是可识别的; e)确保文档的分发得到适当的控制,并确保在使用时可获得有关版本的适用文档 d防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的 标识
对于安全风险评估过程中形成的相关文档,还应规定其标识,储存,保护,检索、保存期限以及处置 所需的控制 相关文档是否需要以及详略程度由组织的管理者来决定
17
GB/T33009.3一2016 8.2评估文档 评估文档是指在整个DCS安全风险评估过程中产生的评估过程文档和评估结果文档,包括(但不 仅限于此). 安全风险评估方案:阐述评估的目标、范围,人员、评估方法、,评估结果的形式和实施进度等 a b)安全风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要 的各种资产威胁、脆弱性识别和判断依据 DCS设备识别清单;根据组织在评估程序文件中所确定的分类方法进行DCS设备识别,形成 CS设备识别清单,明确资产的责任人/部门,并对关键部位标注名称、描述,类型、重要程度; 工艺特征识别文件,根据组织在评估程序文件中所确定的分类方法对生产工艺的重要性、影响 工艺特征识别文件,其中要包括生产工艺过 性和复杂性进行识别赋值,形成DCS系统的生产 程、工艺环节和工序进行具体说明,明确工艺特征赋值的判断依据; DCS威胁列表:根据威胁识别结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的 频率等; DCcs脆弱性列表;根据脆弱性识别结果,形成脆弱性列表,包括具体弱点的名称、描述,类型及 严重程度等; DCcs已有安全措施确认表;根据对已采取的安全措施确认的结果,形成已有安全措施确认表、 包括已有安全槽施名称,类型,功能描述及实施效果等 h)DCS风险评估报告;对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方 法、资产,威胁、,脆弱性的识别结果、,风险分析,风险统计和结论等内容 DCcs风险处理计划;对评估结果中不可接受的风险制定风险处理计划,选择确定适当的控制 i 目标,选择适当的安全措施,明确责任,进度、,资源,并通过对残余风险的评价以确定所选择安 全措施的有效性 DCs风险评估记录;根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过 程,并作为产生歧义后解决问题的依据
18
GB/T33009.3一2016 附 录A 规范性附录 DCS生命周期各阶段的安全风险评估 A.1网络安全等级生命周期 安全风险评估应贯穿于DCS系统生命周期的各阶段中
DCS系统生命周期各阶段中涉及的安全 风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得安全风险评估的 对象、目的、要求等各方面也有所不同
具体而言,在规划设计阶段,通过风险评估以确定系统的安全目 标;在建设验收阶段,通过安全风险评估以确定系统的安全目标达成与否;在运行维护阶段,要不断地实 施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得 以实现
因此,每个阶段安全风险评估的具体实施应根据该阶段的特点有所侧重地进行
有条件时,应 采用安全风险评估工具开展评估活动 图A.1描述了网络安全等级生命周期
在安全生命周期的评估阶段给区域分配SL(目标)
在实 施阶段执行对抗措施以满足区域要求的SL.(目标)
一个区域的SL(达到的)依赖于多种因素
为了确 保区域的SL(达到的)始终优于或等于SL目标),必要时,在安全生命周期的维护阶段应审计和/或测 试并升级对抗措施
评估阶段 开发和实施阶段 维护阶段 图A.1网络安全等级生命周期 A.2评估阶段 DCS安全生命周期的评估阶段包括图A.2所示的活动
在给区域分配安全目标前,应建立以下 内容: 区域边界 a b)组织的风险容忍准则
19
GB/T33009.3一2016 针对DCS 俏息安全 Dcs是否已 建立区域? 区域的安全 评估XcS的 目标是否已知? 后果/风险 为区城选择远当的 安全目标 建立DCs 评估企业的 区域 风险容忍 区域的安全目标 审查每个安全目标 再次评估Dcs 提供的安全保护程 的安全目标 度 来自维护阶段 进入开发和实施阶段 供应商和用户的任务 供应商的任务 用户的任务 图A.2网络安全等级生命周期评估阶段 A.3开发和实施阶段 一且在评估阶段给区域分配了安全目标,就应执行对抗措施以验证区域的安全目标大于或等于设 定的安全目标
图A.3描述了在网络安全等级生命周期的实施阶段,有关新建或现有Dcs区域的所有 活动
在根据区域的安全要求确认系统后,其对应的安全目标就已确定 与实施阶段相关活动的细节见IEC62443-2-1的部分 心
GB/T33009.3一2016 新建Dcs 来自评估阶段 DCcs改变 Dcs是新 现有 建或现有? 安全目标改变 新建 设计Dcs以满足安 全目标 基于安全目标进行 工厂验收测试Dcs 基于安全目标 在现场安装 选择设备 Dcs设备 确认整个系统 的安全目标 开发集成设计 在现场安装 测试集成Ds达 DCS 到的安全目标 区域在6时刻 与安全措施相关 已达到 0时达到的安 的安全保证因素 的安全目标是否 进入维护阶段 全目标 在现场已到位 可接受 确定达到的 安全目标 实施增补安 全措施或 接受风险 供应商和用户的任务 供应商的任务 用户的任务 图A.3网络安全等级生命周期实施阶段 A.4维护阶段 设备和系统的安全措施和安全目标的达成度会随时间而降低
区域的安全目标应定期或者当发现 新脆弱性时进行审计和/或测试.以确保区域的安全目标的达成度始终大于或等于设定的安全目标
与 维护区域的安全目标达成度的评估测试相关的活动见图A.4
21
GB/T33009.3一2016 来自开发和实端阶没 过程改变 检查影响, 实际达到 指导安全检查 记录le时刻的 定时刻的达 的安全目标是否可 检测到新洞 以评估澜洞 达到的安全目标 到的安全目标 接受 计划中的定期 否 安全审查 发布的补丁 利和更新 相关漏洞是 否有补丁 区域在,时刻 新达到的安全 供应商测试补丁 目标 以可控方式部署补厅 和更新,以确保 供应商发布 和更新,以最小化共 中查补丁和更新 功能兼容性和安 结果 模失效的可能性 的供应商评估 全保证属性 在离线环境下测 确定,时刻的 供应商开发必要 兼容性和安全 试补丁、更新和 达到的安全目标 的应用秘序补丁 目标的影响 应用利序补丁 供应商应用 实际达到 私序修补 实施附加的 否 的安全目标是否 安全描施 可接受" 接受风险并对,时刻的 达到的安全目标文档化 进入评估阶段 供应商的任务 用户的任务 注:t
=时刻0以后(非时刻0)的某个时刻,l
1表示t
时刻的下一时刻,时间间隔由用户确定
图A.4网络安全生命周期维护阶段 22
GB/T33009.3一2016 附 录 B 资料性附录 风险评估工具和集散控制系统(DcS)常见的测试内容 B.1风险评估工具概述 B.1.1风险评估与管理工具 风险评估与管理工具大部分是基于某种标准方法或某组织机构自行开发的评估方法,可以有效地 通过输人数据来分析风险,给出对风险的评价并推荐控制风险的安全措施
风险评估与管理工具通常建立在一定的模型或算法之上,风险由重要资产如SIS系统,SLC系统 等、所面临的威胁以及威胁所利用的脆弱性三者来确定;也有的通过建立专家系统利用专家经验进行 分析,给出分析结论
这种评估工具需要不断进行知识库的扩充
此类工具实现了对风险评估全过程的实施和管理,包括;被评估信息系统基本信息获取、重要系统 获取,脆弱性识别与管理,威胁识别,评估过程与评估结果管理等功能
评估的方式可以通过问卷的方 式,也可以通过结构化的推理过程,建立模型,输人相关信息,得出评估结论
通常这类工具在对风险进 行评估后都会有针对性地提出风险控制措施
根据实现方法不同,风险评估与管理工具可以分为三类; 基于网络安全标准的风险评估与管理工具 目前,国际上存在多种不同的风险分析标准或指南,不同的风险分析方法侧重点不同,例如 IsAsecure,NIsTsP800-30,Bs7799,Iso/IEc13335等
以这些标准或指南的内容为基础 分别开发相应的评估工具,完成遵循标准或指南的风险评估过程
b 基于知识的风险评估与管理工具 基于知识的风险评估与管理工具并不仅仅限于某个单一的标准或指南,而是将各种风险分析 方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估
他还涉及 来自类似组织机构(包括规模,商务目标和市场等)的最佳实践,主要通过多种途径采集相关的 信息,识别组织机构的风险和当前的安全措施;与特定的标准或最佳实践进行比较,从中找出 不符合的地方;按照标准或最佳实践的推荐选择安全措施以控制风险 基于模型的风险评估与管理工 基于标准或基于知识的风险评估与管理工具,都使用了定性分析方法或定量分析方法,或者定 性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直 觉,或者业界的标准和实践,为风险的各个要索定级
定性分析法操作相对容易,但也可能因 为评估者经验和直觉的偏差而使分析结果失准
定量分析则对构成风险的各个要素和潜在损 失水平赋值,通过对度量风险的所有要素进行赋值,建立综合评价的数学模型,从而完成风险 的量化计算
定量分析方法准确,但前期建立系统风险模型较困难
定性与定量结合分析方 法是将风险要素的赋值和计算,根据需要分别采取定性和定量方法完成
这类工具是在对系 统各组成部分,安全要素充分研究的基础上,对典型系统,威胁、脆弱性建立量化或半量化的模 型,根据采集信息的输人,得到评价的结果
B.1.2系统基础平台风险评估工具 系统风险平台风险评估工具分析包括脆弱性扫描工具和渗透性测试工具
脆弱性扫描工具又称为 安全扫描器,漏洞扫描仪等,主要用于识别网络、操作系统、数据库系统的脆弱性
通常情况下,这些工 具能够发现软件和硬件中已知的脆弱性,以决定系统是否易受已知攻击的影响
23
GB/T33009.3一2016 脆弱性扫描工具是目前应用最广泛的风险评估工具,主要完成操作系统、数据库系统、网络协议、网 络服务等的安全脆弱性检测功能,目前常见的脆弱性扫描工具有以下几种类型 a 基于网络的扫描器;在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的 网络服务器的关健脆弱性; b基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险 如密码强度不够,也可实施对文件系统的检查; 由远程扫描代理、对这些代理的即播即用更新机制、中心管理点三部分构 分布式网络扫描器 成,用于企业级网络的脆弱性评估,分布和位于不同位置、,城市甚至不同的国家; 数据库脆弱性扫描器;对数据库的授权、认证和完整性进行详细分析,也可以识别数据库系统 中潜在的脆弱性 渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的 可能性
这类工具通常包括黑客工具,脚本文件
渗透性测试的目的是检测已发现的脆弱性是否真正 会给系统或网络带来影响
集散控制系统评估中,如果进行任何渗透测试,要慎重使用攻击性测试手段,并且测试系统的性能 需要注明额外的渗透测试结果
最有可能有一些系统或组件由于渗透测试而性能退化
这些性能衰减 应该被注明供今后使用
通常渗透性工具与脆弱性扫描工具一起使用
B.1.3风险评估辅助工具 科学的风险评估需要大量的实践和经验数据的支持,这些数据的积累是风险评估科学性的基础 风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分析和趋势判断,如 检查列表:检查列表是基于特定标准或基线建立的,对特定系统进行审查的项目条款
通过检 a 查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距; 人侵检测系统;人侵检测系统通过部署检测引擎,收集、处理整个网络中的通信信息,以获取可 b 能对网络主机造成危害的人侵攻击事件;帮助检测各种攻击试探和误操作;同时也可以作为- 个警报器,提醒管理员发生的安全状况 安全审计工具:用于记录网络行为,分析系统或网络安全现状;其审计记录可以作为风险评估 中的安全现状数据,并可用于判断被评估对象威胁信息的来源; 病毒和恶意代码检测工具:该工具如同一个主动的侦查代理者,对上述迹象的非正常的活动目 录进行侦查
病毒和恶意代码检测工具能够监查并运行在有恶意代码活动的主机上,或是网 络服务器的层面上,如同一个邮件服务器
未来方向包括启发式,统计以及神经网络技术的病 毒和恶意代码检测系统 资产信息收集系统;通过提供调查表形式,完成被评估信息系统数据,管理、人员等资产信息的 收集功能,了解到组织机构的主要业务、重要资产、,威胁、管理上的缺陷,采用的控制措施和安 全策略的执行情况
此类系统主要采取电子调查表形式,需要被评估系统管理人员参与填写、 并自动完成资产信息获取; f们 拓扑发现工具;通过接人点接人被评估网络,完成被评估网络中的资产发现功能,并提供网络 资产的相关信息,包括操作系统版本、型号等
拓扑发现工具主要是自动完成网络硬件设备的 识别发现功能
B.2集散控制系统(cs)网络安全常见评估对象及测试 B.2.1离线的安全测试 离线测试要包括系统的安全性测试设备的安全测试,以确保评估工作的完整性和健壮性
24
GB/T33009.3一2016 如果被评估对象CS是一个新系统,应该在系统脱机环境下进行安全测试
系统应该在供应商的 位置或最终工厂场地分步骤进行离线测试
位置并不重要,重要的是执行的安全测试步骤
虽然这对 安全测试的所有设备和应用于最后设备状态的对策很有意义,但是这也许支付不起且不适用
所以测 试的设计应该更关注ICS设备的能力和不局限于安装位置的对策
安全测试应该不仅仅包括评估受 试者遇到了典型的安全威胁的抵抗能力,也应该包括进行的系统安全支持的测试
这些包括但不限于 a)测试操作系统修补补丁和升级 b)测试DCS供应商的补丁和升级过程; 测试离线系统的开发环境; c d)测试恶意软件的部署和更新恶意软件的签名
B.2.2现场测试 被评估对象如果是新安装的DCS,应该在DCs上线之前进行这些测试
如果新系统是用于改造和 替换现有的DCS设备或者扩展现有生产过程或控制功能,可能无法进行全面的系统安全功能和安全策 略的现场测试
如果新安装的cs是全新的系统,则可以在其上线之前对其系统安全功能和安全策略 进行全面的现场测试,不必担心DCS安全功能和策略的现场测试对的DCS基本控制功能造成的影响 需要牢记的是系统性能测试应包括系统对正常和异常的工业操作类型事件和安全事故类型事件的 结合这些才能全面衡量系统的鲁棒性和完整性
由于每个工业操作稍有不同你可能确定一 反应
测试流程手册
他将需要大量的设计工作去决定最好的方法来保证测试,从而使得安全功能满足目标 安全等级
B.2.3集散控制系统(cs)的测试类型 组件测试 B.2.3.1 组件测试应该由供应商和系统拥有者来完成
组件可以是软件,硬件或任何组合情况
组件需要 被测试以验证他满足特定的操作和安全要求
组件测试是正常的工作台测试,要保证当组件集成到系 统中,每个组件都能按预期运行
B.2.3.2集成测试 集成测试应该由集成商和系统拥有者来验证
该测试包括可能来自不同供应商的各种组件的操作 和安全测试,这些组件是和工作台或辅助测试平台相连接,来检查所有的组件在投人CS生产环境之 前是否能一起正常的工作
集成测试可能需要使用额外的测试工具,如网络管理工具
B.2.3.3系统测试 系统测试应该由拥有者验证
验证的目的是证明DCS安全功能和安全策略的有效性
确保新的 安全功能在CS运行过程中满足其安全要求,且不影响其性能和生产运行
系统测试可能包括系统的渗透测试来保证安全组件的能力,从而保护系统受到各种威胁满足每个 区域的安全等级
渗透测试时一个已知的人尝试在系统中渗透安全防御,寻找脆弱性,并利用脆弱性来 获得访问或控制系统的权限 常用的测试工具主要包括用于可以协助实际的测试的测试脚本、数据库变量、度量标准和标定工具 和可以进行路由,网关,连接设备模拟和诊断的软件
进行任何渗透测试时,应在测试中记录渗透测试对系统性能的影响
一些系统或组件会因渗透测 试而造成性能退化
记录数据有助于后期的系统改进
25
GB/T33009.3一2016 附 录 规范性附录 风险的计算方法 C.1风险计算概述 对风险进行计算,需要确定影响风险要素,要素之间的组合方式以及具体的计算方法,将风险要素 按照组合方式使用具体的计算方法进行计算,得到风险值
本附录首先说明矩阵法和相乘法的原理,然后基于正文第8章风险计算原理中指出的风险要素和 要素组合方式,以示例的形式说明采用矩阵法和相乘法计算风险值的过程
在实际应用中,可以将矩阵法和相乘法结合使用
C.2使用矩阵法计算风险 C.2.1矩阵法原理 矩阵法主要适用于由两个要素值确定一个要素值的情形
首先需要确定二维计算矩阵,矩阵内备 个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对, 行列交叉处即为所确定的计算结果 即:=f(r,y),函数f可以采用矩阵法
矩阵法的原理是 (ri,r,,r,,,r},l
工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
在现代工业生产中,工业自动化系统已经成为高效、精确、快速的必备生产手段。而随着信息化技术的快速发展,现代工业自动化系统已经从单一机械控制向VXworks、 QNX等实时操作系统、PLC、PC和网络集成化方向发展。而这些新技术也带来了新的安全威胁。因此,为保障工业自动化系统的网络安全,我国发布了《工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016》标准。
该标准是对《工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016》标准的补充,主要针对DCS系统的风险评估和安全评估,旨在为工业自动化系统的网络安全提供详细的评估指导。
1. 评估方法
该标准规定了DCS系统的评估方法,包括组织评估、物理评估、技术评估等方面。通过采用科学合理的评估方法,可以全面地了解DCS系统中存在的安全问题。
2. 评估指标体系
该标准规定了DCS系统的评估指标体系,包括安全目标、安全威胁、安全需求、安全措施等方面。通过建立完整的评估指标体系,可以全面客观地评估DCS系统的安全性能,从而为制定有效的安全措施提供参考。
3. 评估实施步骤
该标准明确了DCS系统的评估实施步骤,包括评估前准备、评估实施、评估结果分析和报告编写等方面。通过按照规定的评估实施步骤进行,可以确保评估工作的科学性和严谨性。
4. 评估报告
该标准还规定了DCS系统的评估报告编写要求。评估报告应该包括评估目的、评估方法、评估结果、安全建议等内容,通过编写符合标准要求的评估报告,可以为制定有效的安全措施提供依据。
综上所述,工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016标准为工业自动化系统的网络安全提供了详细的评估指导和规范,对DCS系统的安全性能评估和风险评估提供了有力的支持。在实际应用中,企业需要按照该标准规定的步骤和方法,以及详细的评估指南,对DCS系统进行全面的安全评估。这样才能够真正保障工业自动化系统的网络安全。
总之,通过遵循GB/T33009.3-2016标准中规定的评估指南,可以为工业自动化系统的网络安全提供详细的评估指导和规范,从而保障生产过程的稳定和可持续发展。
工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南的相关资料
- 过程工业自动化系统验收测试规范
- 工业自动化仪表盘盘面布置图的绘制方法GB/T25927-2010
- 工业自动化系统与集成过程规范语言第41部分:定义性扩展:活动扩展GB/T20719.41-2010
- 工业自动化系统与集成过程规范语言第12部分:外核GB/T20719.12-2010
- 工业自动化系统与集成产品数据表达与交换第56部分:集成通用资源:状态GB/T16656.56-2010
- 工业过程测量和控制系统用智能调节器第2部分:性能评定方法GB/T26156.2-2010
- 网络测量和控制系统的精确时钟同步协议GB/T25931-2010
- 机床电气控制系统数控平面磨床辅助功能M代码和宏参数GB/T26677-2011
- 机床电气、电子和可编程电子控制系统保护联结电路连续性试验规范GB/T26679-2011
- 机床电气控制系统数控平面磨床的加工程序要求GB/T26678-2011
- 网络入侵检测系统测试方法GB/T26268-2010
- 银行业务安全加密设备(零售)第1部分: 概念、要求和评估方法GB/T21079.1-2011
- 网络安全事件描述和交换格式GB/T28517-2012
- IPsec协议应用测试规范GB/T28456-2012
- 信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T28451-2012
- 工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求GB/T33009.4-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GB/T33009.1-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求GB/T33009.4-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GB/T33009.1-2016
- 信息安全技术信息系统安全保障通用评估指南GB/T30273-2013的重要性
- 体育用品安全风险评估指南
- 消防安全工程第9部分:人员疏散评估指南GB/T31593.9-2015
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 产品几何技术规范(GPS)坐标测量机的检测不确定度评估指南GB/T34881-2017
