等级SAL1SAL2017工业控制系统信息安全峰会.pptVIP

工控产品信息安全评估准则探讨 邸丽清 博士 2015年12月10日 功能安全(Safety)、RAM(可靠性、可用性、可维修性)和信息安全(Security)关系 工控系统和产品功能安全评估现状 工控信息安全标准现状 工控产品信息安全评估准则探讨 主要内容 功能安全(Safety)、RAM和信息安全(Security) 发生人员伤亡、环境破坏、系统损失等危害事件 化工厂爆炸/毒气泄漏/火车相撞等 系统可用性降低 地铁或火车的运营晚点/工厂停工等 信息泄露 生产工艺数据被窃取等 工业控制系统面临的风险 工控系统面临的风险 功能安全 RAM 信息安全 Safety、RAM和Security的比较 Safety、RAM和Security比较 对比项 Safety RAM Security 威胁特点 系统自身的、偶然的威胁： - 硬件随时失效 - 人为误操作 - 系统设计和实现脆弱性 - 软件和硬件实现脆弱性 - 配置和操作脆弱性等 周围环境的影响： - 振动、高低温、EMC、防水防尘、防雷击、防火等 威胁主体（无意或恶意地）利用系统自身的脆弱性： - 人为误操作 - 系统设计和实现脆弱性 - 软件和硬件实现脆弱性 - 配置和操作脆弱性等 周围环境的影响： - 防潮、防火、防雷击、防偷盗 威胁后果 HSE相关事故、系统可用性 HSE相关事故、系统可用性、信息泄露事件 工控系统和产品功能安全评估现状 什么是风险(Risk)？ 出现伤害的概率及该伤害严重性的组合(GB/T 20438.4) 一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量(GB/T 25069) 风险具备两个重要的要素 风险（Risk）=可能性（危害事件）×后果严重程度（伤害或影响） 风险定义 风险矩阵 风险可接受准则 ALARP准则 GAMAB准则 风险评估 危险事件发生概率 风险等级 频繁 应避免的 不可接受的 不可接受的 不可接受的 经常 容许的 应避免的 不可接受的 不可接受的 有时 容许的 应避免的 应避免的 不可接受的 很少 可忽略的 容许的 应避免的 应避免的 极少 可忽略的 可忽略的 容许的 容许的 几乎不可能 可忽略的 可忽略的 可忽略的 可忽略的 轻微 次要 重大 特大 危害后果的严重等级 安全是相对的，不存在绝对的安全 风险评估和安全等级分配 风险评估和安全等级关系 安全完整性等级 在规定的时间内，规定的条件下安全相关系统成功执行规定的安全功能的概率，分为了四个等级SIL1～SIL4 硬件安全完整性 系统安全完整性 功能安全完整性等级 注：主要考虑由系统自身脆弱性引起的安全性事故，不考虑由威胁主体恶意利用脆弱性导致的危害 风险分析和安全完整性等级分配 风险管理是一个持续的贯穿整个安全生命周期的活动 安全需求和安全完整性等级可以从系统到子系统再到产品部件级的逐步分配细化 工控功能安全风险管理流程 安全相关系统 通过持续风险分析过程充分识别可控制、消除或最小化威胁的安全需求；（安全需求的充分性） 确保选择合适的安全完整性等级；（安全需求的正确性） 功能安全相关系统属性 工控信息安全标准现状 工控信息安全的研究还处于起步阶段，目前还没有完善的标准体系来支撑 国际上主流的标准 IEC62443标准体系 涵盖组织的信息安全程序（62443-2-1，类似IEC27001） 涵盖系统级标准（第三部分） 涵盖产品级标准（第四部分） 美国国家标准技术研究院（NIST） NIST SP800-82 《工业控制系统安全指南》 NIST SP800-53针《对联邦信息系统和组织建议的安全控制》 《关键基础设施网络安全框架》 国内相关标准 GB/T 30976 工业控制系统信息安全 （两个部分）已正式发布 本单位承担了《工业控制系统产品信息安全通用评估准则》标准 工控信息安全标准现状 传统IT信息系统主要标准体系 IEC27000系列——适用于组织级 《信息系统安全等级保护标准》系列——适用于系统级 GB/T 18336《信息技术安全评估准则）（等同采纳IEC 15408），简称CC标准——适用于产品级 传统IT信息系统标准 传统IT信息系统等级保护标准体系将系统定为5个级别： 第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 第三级，信息系统受到破坏后，会对社会秩序和公