工业控制系统信息安全风险评估和分析,这是一篇与风险评估论文范文相关的免费优秀学术论文范文资料,为你的论文写作提供参考。
风险评估论文参考文献:
摘 要:随着信息化的推动和工业化进程的加速,工业控制系统越来越容易受到信息安全的威胁.论文分析了工业控制系统资产、威胁、脆弱性、风险计算问题,为评估工业控制系统信息安全风险状况提供了简便、有效的方法.
关键词:工业控制系统;信息安全;风险评估
Abstract: With the promotion of information technology and the acceleration of the industrialization process, industrial control systems are increasingly vulnerable to information security. This paper focuses on the analysis of the assets, threats, vulnerabilities and provides a simple and effective method for assessing the information security risk of industrial control system.
Key words: industrial control system; information security; risk assesent
1 引言
工业控制系统是包括监控和数据采集系统、分布控制系统等多种类型控制系统的总称 ,目前已广泛应用于钢铁、化工、电力、民航等关乎国计民生的关键基础设施领域,成为国家安全战略的重要组成部分.
随着智能制造和工业4.0时代的到来,以及工业化与信息化的深度融合,针对工业控制系统的病毒、木马、入侵等安全威胁和攻击不断增多,工业控制系统信息安全(以下简称“工控安全”)面临着巨大的挑战.因此,论文对工控安全风险评估进行了研究分析.
2 工控安全的资产分析
2.1 资产分类
工业控制系统资产可分为硬件(远程终端单元、主终端单元、过程控制系统、可编程逻辑控制器、工业控制计算机、输入输出服务器等),软件(组态监控软件、工控编程软件、互联网应用软件、数据库软件、防病毒软件等),信息(数据文件、审核踪迹、系统文件、培训材料等),人力(主机维护主管、系统维护者、掌握重要信息和核心业务的人员等),无形资产(相关专利、商誉、技术秘密等).
2.2 资产赋值
通过分析工业控制系统资产的可用性、完整性、机密性的达成程度,将工业控制系统资产划分为“高”(资产重要性很高,其安全属性破坏后会带来非常严重的影响);“较高”(资产重要性较高,其安全属性破坏后会带来比较严重的影响);“一般”(资产重要性一般,其安全属性破坏后会带来中等程度的影响);“较低”(资产重要性较低,其安全属性破坏后会带来较低程度的影响);“低”(资产重要性低,其安全属性破坏后带来的影响可忽略不计)五个重要性等级,其中工业控制系统资产重要性程度与其级别成正比.
3 工控安全的威胁分析
3.1 威胁分类
工控安全威胁的表现形式可分为人为失误(设置错误、配置错误、操作失误等),管理缺失(策略和制度不完善、操作规程不明晰、职责不明确等),越权或滥用(未授权连接访问、滥用权限非正常修改或破坏重要信息等),信息泄密(內部或外部的信息泄露等),安全漏洞(网络漏洞、软硬件漏洞、通信协议漏洞等),软硬件故障(工业控制系统自身缺陷、设备故障、应用软件故障等),恶意代码(病毒、蠕虫、木马、后门、逻辑炸弹等),入侵攻击(敌对势力或工业间谍的攻击摧毁、数据和应用的窃取和破坏、拒绝服务攻击等),自然灾害(洪灾、地震、其他不可预知事件等),物理影响(停电、断网、静电、电磁干扰等).
3.2 威胁赋值
结合威胁发生的频率和其对资产造成的影响,将工业控制系统所面临的威胁划分为“高”(威胁发生的频率高(≥1次/天),会造成严重影响);“较高”(威胁发生的频率较高(≥1次/周),会造成一定影响);“一般”(威胁发生的频率一般(≥1次/月),可能会造成影响);“较低”(威胁发生的频率较低(≥1次/年),造成影响的几率小);“低”(威胁发生的频率十分低,几乎不造成影响)五个等级,其中威胁出现的频率与其级别成正比.
4 工控安全的脆弱性分析
4.1 脆弱性识别
工业控制系统的脆弱性按照不同的属性可以分为技术脆弱性和管理脆弱性.
技术脆弱性可从物理环境(物理隔离、防盗窃破坏、防雷击静电、防水防潮、温湿度控制、应急供电设施、电磁屏蔽、稳压器等),生产管理(网络架构、边界防护、通信传输、无线使用控制、访问控制、口令管理、身份鉴别、安全审计、资源控制、网络协议、入侵及恶意代码防范、安全监视等),应用和数据(组态软件、监控软件、编程软件、数据库软件、服务器软件、软件容错、数据完整性、数据保密性、数据备份恢复、剩余信息保护等),设备和计算(主机、系统及软硬件产品漏洞、访问控制、身份鉴别、口令保护、设备故障、网络设备端口安全等)方面进行识别.
管理脆弱性可从策略和制度(工控安全工作的总体方针、安全策略、管理活动中的各类管理内容、日常管理操作的操作规程等),机构和人员(指导和管理工控安全工作的委员会或领导小组、工控安全工作的职能部门、系统管理员、网络管理员、安全管理员、第三方人员安全等),开发管理(安全产品采购和使用、第三方管理的执行、安全性测试和评估的创建和执行、外包软件验收交付的检查等),运维管理(资产、介质及设备的存放环境、使用、维护和销毁等安全管理、系统维护维修活动、日常监测和报警机制、漏洞和风险管理等)和应急管理(应急演练、应急预案、应急保障队伍等)方面进行识别.
4.2 脆弱性赋值
依据工业控制系统脆弱性被威胁成功利用的难易程度,将工业控制系统的脆弱性划分为“高”(脆弱性程度高,易被威胁利用,将造成完全损害);“较高”(脆弱性程度较高,较易被威胁利用,将造成重大损害);“一般”(脆弱性程度中等,可能被威胁利用,将造成一般损害);“较低”(脆弱性程度较低,较难被威胁利用,将造成较小损害);“低”(脆弱性程度低,难以被威胁利用,几乎不造成损害)五个严重程度等级,其中脆弱性对工业控制系统所造成的严重程度与其级别成正比.
5 工控安全的风险分析
5.1风险计算
工业控制系统风险计算的方法有很多种,如矩阵法和相乘法,评估者可根据自身情况,参照GB/T 20984-2007《信息安全技术信息安全风险评估规范》 中风险值的范化形式,选择相应的风险计算方法计算工业控制系统的风险值.
5.2 风险结果
结合计算出的工业控制系统的风险值,将风险计算结果划分为“高”(一旦发生将造成恶劣影响,严重危害工业控制系统);“较高”(一旦发生将造成重大影响,一定程度上危害工业控制系统);“一般”(一旦发生将造成中等影响,一般程度上危害工业控制系统);“较低”(一旦发生将造成较低影响,较小程度上危害工业控制系统,采取有效措施便可解决);“低”(一旦发生造成的影响几乎不存在)五个等级,其中工业控制系统的风险与其级别成正比.
根据评估出的风险等级,工业控制系统应在风险管理中设定可接受风险值的基准,从而确定工控安全的相应策略,保障工业控制系统安全运行.
6 结束语
我国关于工控安全的研究仍然处于起步发展阶段.本文重点研究与分析了工控安全风险评估中资产、威胁、脆弱性问题,并提出了对应分析方法,对提高工业控制系统的安全防护能力有推动作用.
参考文献
[1] 彭勇,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012.52(10):1396-1408.
[2] 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息安全技术信息安全风险评估规范:GB/T 20984—2007[S].北京:中国标准出版社,2007.
结论:关于本文可作为相关专业风险评估论文写作研究的大学硕士与本科毕业论文风险评估论文开题报告范文和职称论文参考文献资料。
信息安全风险评估管理相关国家标准
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前。
电力系统调度控制中存在安全风险应对措施
摘 要:智能电网的发展和电力调度控制自动化水平的提高,对电力调度安全管理的风险防范显得愈加重要。内容首先阐述了电力系统调度控制风险防范的重要意义。
针对信息安全风险评估分析和
摘 要:本文主要详细的论述了目前网络信息安全风险评估工作中急需解决的问题。信息安全风险评估是建立信息安全体系的基础,是信息系统安全工程的一个关键。
企业计算机信息网络系统的安全风险和控制
摘 要:改革开放以来,我国就已经在经济建设方面取得了巨大的成就,在随后一段时间里党和国家对国家体制作出改革后,我國的经济发展更是突飞猛进。综合国。