标准规范下载简介
GB/T 33009.3-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第3部分:评估指南.pdf工艺复杂度由工业生产过程的复杂程度和控制系统的复杂程度来综合评定得出。评定的方法可以 根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统复合状态、系统的阶段和层次等属性建模 进行综合描述。本部分对工艺复杂度给出一个示例,以工艺环节、工序数量、系统层次和系统节点数为 衡量依据,将工艺复杂度分为四级,级别越高表示工艺过程及其实现系统越复杂,存在潜在脆弱性可能 性越高,如表7所示。组织也可以根据自身所处工业行业的工艺特点,建模确定工艺复杂度的评估依据 和取值。生产业务工艺的复杂性会影响控制系统的脆弱性,工艺控制环节越复杂,工业控制系统存在的 脆弱性越多,脆弱性之间潜在的关联性越强
表7DCS系统工艺复杂度定义示例
Q/GDW 46 10022.38-2018 现地控制柜类设备运检导则(试行).pdfGB/T3300932016
8安全风险评估文档记录
8.1评估文档记录要求
记录安全风险评估过程的相关文档,可参照GB20984一2007中的文档要求,应符合以下要求(但 不仅限于此): 确保文档发布前是得到批准的; b) 确保文档的更改和现行修订状态是可识别的; ) 确保文档的分发得到适当的控制,并确保在使用时可获得有关版本的适用文档; d 防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的 标识。 对于安全风险评估过程中形成的相关文档,还应规定其标识、储存、保护、检索、保存期限以及处置 所需的控制, 相关文档是否需要以及详略程度由组织的管理者来决定。
评估文档是指在整个DCS安全风险评估过程中产生的评估过程文档和评估结果文档,包括(但不 于此): a)安全风险评估方案:阐述评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等; b)安全风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要 的各种资产、威胁、脆弱性识别和判断依据; c) DCS设备识别清单:根据组织在评估程序文件中所确定的分类方法进行DCS设备识别,形成 DCS设备识别清单,明确资产的责任人/部门,并对关键部位标注名称、描述、类型、重要程度; d)工艺特征识别文件,根据组织在评估程序文件中所确定的分类方法对生产工艺的重要性、影响 性和复杂性进行识别赋值,形成DCS系统的生产工艺特征识别文件,其中要包括生产工艺过 程、工艺环节和工序进行具体说明,明确工艺特征赋值的判断依据; DCS威胁列表:根据威胁识别结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的 频率等; f DCS脆弱性列表:根据脆弱性识别结果,形成脆弱性列表,包括具体弱点的名称、描述、类型及 严重程度等; g) DCS已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表, 包括已有安全措施名称、类型、功能描述及实施效果等; h DCS风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方 法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容; 1 DCS风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择确定适当的控制 目标,选择适当的安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安 全措施的有效性; DCS风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过 程,并作为产生歧义后解决问题的依据。
附录A (规范性附录) DCS生命周期各阶段的安全风险评估
安全风险评估应贯穿于DCS系统生命周期的各阶段中。DCS系统生命周期各阶段中涉及的安全 风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得安全风险评估的 对象、目的、要求等各方面也有所不同。具体而言,在规划设计阶段,通过风险评估以确定系统的安全目 标;在建设验收阶段,通过安全风险评估以确定系统的安全目标达成与否;在运行维护阶段,要不断地实 施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得 以实现。因此,每个阶段安全风险评估的具体实施应根据该阶段的特点有所侧重地进行。有条件时,应 采用安全风险评估工具开展评估活动。 图A.1描述了网络安全等级生命周期。在安全生命周期的评估阶段给区域分配SL(目标)。在实 施阶段执行对抗措施以满足区域要求的SL(目标)。一个区域的SL(达到的)依赖于多种因素。为了确 保区域的SL(达到的)始终优于或等于SL(目标),必要时,在安全生命周期的维护阶段应审计和/或测 试并升级对抗措施
图A.1网络安全等级生命周期
DCS安全生命周期的评估阶段包括图A.2所示的活动。在给区域分配安全目标前,应建立以下 内容: a) 区域边界; b)组织的风险容忍准则。
GB/T 33009.32016
图A.2网络安全等级生命周期—评估阶段
图A.3网络安全等级生命周期——实施阶段
设备和系统的 者当发块 新脆弱性时进行审计和/或测 目标的达成度始终大于或等于设定的安全目标。与
GB/T 33009.32016
注:t,=时刻0以后(非时刻0)的某个时刻,t.+1表示t,时刻的下一时刻,时间间隔由用)
图A.4网络终安全生命周期维护阶段
B.1风险评估工具概述
B.1.1风险评估与管理工具
附录B (资料性附录)
风险评估工具和集散控制系统(DCS)常见的测
B.1.2系统基础平台风险评估工具
系统风险平台风险评估工具分析包括脆弱 具和渗透性测试工具。脆弱性扫描工具又 全扫描器、漏洞扫描仪等,主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这 具能够发现软件和硬件中已知的脆弱性,以决定系统是否易受已知攻击的影响
B.1.3风险评估辅助工具
集散控制系统(DCS)网络安全常见评估对象及测
B.2.1离线的安全测试
离线测试要包括系统的安全性测试设备的安全测试,以确保评估工作的完整性和健壮性。 24
B.2.3集散控制系统(DCS)的测试类型
B.2.3.1组件测试
组件测试应该由供应商和系统拥有者来完成。组件可以是软件、硬件或任何组合情况。组件 皮测试以验证他满足特定的操作和安全要求。组件测试是正常的工作台测试,要保证当组件集成 充中,每个组件都能按预期运行
B.2.3.2集成测试
集成测试应该由集成商和系统拥有者来验证。该测试包括可能来自不同供应商的各种组件的操作 和安全测试,这些组件是和工作台或辅助测试平台相连接,来检查所有的组件在投人DCS生产环境之 前是否能一起正常的工作。集成测试可能需要使用额外的测试工具,如网络管理工具。
B.2.3.3系统测试
系统测试应该由拥有者验证。验证的目的是证明DCS安全功能和安全策略的有效性。确保新的 安全功能在DCS运行过程中满足其安全要求,且不影响其性能和生产运行。 系统测试可能包括系统的渗透测试来保证安全组件的能力,从而保护系统受到各种威胁满足每个 区域的安全等级。渗透测试时一个已知的人尝试在系统中渗透安全防御,寻找脆弱性,并利用脆弱性来 获得访问或控制系统的权限。 常用的测试工具主要包括用于可以协助实际的测试的测试脚本、数据库变量、度量标准和标定工具 和可以进行路由、网关、连接设备模拟和诊断的软件。 进行任何渗透测试时,应在测试中记录渗透测试对系统性能的影响。一些系统或组件会因渗透测 式而造成性能退化。记录数据有助于后期的系统改进。
GB/T33009.3—2016
对风险进行计算,需要确定影响风险要素、要素之间的组合方式以及具体的计算方法,将风险要素 按照组合方式使用具体的计算方法进行计算,得到风险值。 本附录首先说明矩阵法和相乘法的原理,然后基于正文第8章风险计算原理中指出的风险要素和 要素组合方式,以示例的形式说明采用矩阵法和相乘法计算风险值的过程。 在实际应用中,可以将矩法和相乘法结合使用
C.2使用矩阵法计算风险
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵,矩阵内各 个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对, 行列交叉处即为所确定的计算结果, 即之二f(工,y),函数可以采用矩阵法。 矩阵法的原理是: =(工1,2,",i,,m},l≤i≤m,;为正整数 y=yi,y2,",yi,"",y},l 表C.1二维计算矩阵赋值表 对于2;的计算,可以采用以下计算公式, zi;=I;+y;,或zi,=T;Xy;, 或=αX;十βy,其中α和β为正常数。 z;的计算需要根据实际情况确定,矩阵内2值的计算不一定遵循统一的计算公式,但应具有统 对于2;的计算,可以采用以下计算公式, zj=工;+y;,或zi,=T;Xy;, 或j=α×;十β×y,,其中α和β为正常数。 z;的计算需要根据实际情况确定,矩阵内2值的计算不一定遵循统一的计算公式,但应具有统 共有三个重要设备,设备A1、设备A2和设备A3;其中包含两个生产业务工艺,工艺P1,工艺P2 设备A1属于工艺P1; 设备A2属于工艺P1; 设备A3属于工艺P2; 工艺P1的重要性Psl,复杂性Pcl,影响性Pil; 工艺P2的重要性Ps2,复杂性Pc2,影响性Pi2; 设备A1面临两个主要威胁,威胁T1和威胁T2; 设备A2面临一个主要威胁,威胁T3; 设备A3面临两个主要威胁,威胁T4和T5; 威胁T1可以利用的设备A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的设备A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的设备A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的设备A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的设备A3存在的一个脆弱性,脆弱性V9; 工艺P1的重要性Ps1=3复杂性Pcl=2,影响性Pil=4; 工艺P2的重要性Ps2=1,复杂性Pc1=2,影响性Pil=3; 设备价值分别是:设备A1=2,设备A2=3,设备A3=4; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4=4, 性V5=2,脆弱性V6=4,脆弱性V7=2,脆弱性V8=3.脆弱性V9=4。 共有三个重要设备,设备A1、设备A2和设备A3;其中包含两个生产业务工艺,工艺P1,工艺 设备A1属于工艺P1; 设备A2属于工艺P1; 设备A3属于工艺P2; 工艺P1的重要性Psl,复杂性Pcl,影响性Pil; 工艺P2的重要性Ps2,复杂性Pc2,影响性Pi2; 设备A1面临两个主要威胁,威胁T1和威胁T2; 设备A2面临一个主要威胁,威胁T3; 设备A3面临两个主要威胁,威胁T4和T5; 威胁T1可以利用的设备A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的设备A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的设备A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的设备A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的设备A3存在的一个脆弱性,脆弱性V9; 工艺P1的重要性Psl=3,复杂性Pcl=2,影响性Pil=4; 工艺P2的重要性Ps2=1,复杂性Pc1=2,影响性Pi1=3; 设备价值分别是:设备A1=2,设备A2=3,设备A3=4; 或胁发生题率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4 性V5=2.脆弱性V6=4,脆弱性V7=2,脆弱性V8=3.脆弱性V9=4。 C.2.2.2计算重要设备的风险值 GB/T33009.3—2016 表C.2工艺下的威胁发生频率矩阵 根据工艺的重要性和威胁发生频率值,确定工艺下的威胁发生频率=9。 然后构建工艺下的脆弱性严重程度矩阵,如表C.3所示 表C.3工艺下的脆弱性严重程度矩阵 GB/T 33009.3—2016 C.2.2.3结果判定 确定风险等级划分,如表C.10所示 表 C.10风险等级划分 根据上述计算方法,以此类推,得到三个重要资产的风险值,并根据风险等级划分表,确定 级.结果如表C.11所示, C.3使用相乘法计算风险 相乘法主要用于两个或多个要素值确定一个要素值的情形。即=(工,y),函数可以采用相 乘法。 相乘法的原理是: z=f(工,y)=工?y。 当为增量函数时,③可以为直接相乘,也可以为相乘后取模等,例如: 2=f(,y)=Xy, 或2=f(r,y)=VXy, 或α=f(,y)=[VXy], 或之=f(,y)= 工+y 相乘法提供一种定量的计算方法,直接使用两个要素值进行相乘得到另一个要素的值。相乘法的 特点是简单明确,直接按照统一公式计算,即可得到所需结果。 相乘法提供一种定量的 行相乘得到另一个要素的值。相乘法的 是简单明确,直接按照统一公式计算,即可得到所需结果, 在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定 共有三个重要设备,设备A1、设备A2和设备A3;其中包含两个生产业务工艺,工艺P1,工艺P2 设备A1属于工艺P1; 设备A2属于工艺P1; 设备A3属于工艺P2; 工艺P1的重要性Psl,复杂性Pcl,影响性Pil; 工艺P2的重要性Ps2,复杂性Pc2,影响性Pi2; 设备A1面临两个主要威胁,威胁T1和威胁T2; 设备A2面临一个主要威胁,威胁T3; 设备A3面临两个主要威胁,威胁T4和T5; 威胁T1可以利用的设备A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的设备A1存在的三个脆弱性龙泉塔景观灯安装工程施工组织设计,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的设备A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的设备A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的设备A3存在的一个脆弱性,脆弱性V9; 工艺P1的重要性Ps1=3,复杂性Pcl=2,影响性Pi1=4; 工艺P2的重要性Ps2=1,复杂性Pc1=2,影响性Pil=3; 设备价值分别是:设备A1=2,设备A2=3,设备A3=4; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4=4 性V5=2,脆弱性V6=4,脆弱性V7=2,脆弱性V8=3,脆弱性V9=4。 共有三个重要设备,设备A1、设备A2和设备A3;其中包含两个生产业务工艺,工艺P1,工艺P2; 设备A1属于工艺P1; 设备A2属于工艺P1; 设备A3属于工艺P2; 工艺P1的重要性Psl,复杂性Pcl,影响性Pil; 工艺P2的重要性Ps2,复杂性Pc2.影响性Pi2; 设备A1面临两个主要威胁,威胁T1和威胁T2; 设备A2面临一个主要威胁,威胁T3; 设备A3面临两个主要威胁,威胁T4和T5; 威胁T1可以利用的设备A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的设备A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的设备A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的设备A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的设备A3存在的一个脆弱性,脆弱性V9; 工艺P1的重要性Ps1=3,复杂性Pcl=2,影响性Pi1=4; 工艺P2的重要性Ps2=1,复杂性Pc1=2,影响性Pil=3; 设备价值分别是:设备A1=2,设备A2=3,设备A3=4; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4=4, 性V5=2.脆弱性V6=4.脆弱性V7=2.脆弱性V8=3.脆弱性V9=4 C.3.2.2计算重要设备的风险值 C.3.2.3结果判定 确定风险等级划分,如表C.12所示。 表C.12风险等级划分 根据上述计算方法,以此类推九引水工程施工组织设计,得到三个重要资产的风险值,并根据风险等级划分表,确定风险 洁果如表C.13所示。 根据上述计算方法,以此类推,得到三个重要资产的风险值,并根据风险等级划分表,确定风险等 级,结果如表C.13所示。 GB/T33009.3—2016