《工业互联网安全》课件——项目6 工业互联网安全风险评估.pptx

工业互联网安全IndustrialInternetSecurity主讲教师：

项目01工业互联网设备安全配置项目02工业互联网网络安全配置工业互联网数据安全配置项目04项目03工业互联网控制系统安全配置项目05工业互联网应用安全配置项目06工业互联网安全风险评估项目07工业互联网安全应用处置

工业互联网安全风险评估06项目

通过以下两个任务的实施，掌握安全测试报告和风险评估报告的编写内容和编写方法。项目情境本项目将介绍工业互联网安全风险评估的相关标准、方法、流程以及处置策略，为执行风险评估提供翔实的指导。安全测试报告编写风险评估报告编写0102

了解安全风险评估的概念和方法；了解安全风险评估准备工作；了解安全风险信息收集；了解安全风险计算分析的内容和方法；了解安全风险评估处置的内容。知识目标理解安全测试报告内容；具备编写安全测试报告的能力；理解信息安全风险评估报告内容；具备编写安全风险评估报告的能力。技能目标具备制定工业互联网风险应对策略的能力，根据风险评估结果，提出相应的风险控制措施和防范策略。具备良好的沟通协调能力，能够与工业互联网领域的各方利益相关者进行有效沟通和协作，共同推进安全风险评估工作。素质目标学习目标

学习导图

工业互联网安全测评与应急职业技能等级标准工业互联网安全风险评估工作任务职业技能要求等级知识点技能点理解并掌握工业互联网安全测评与风险评估的方法①能根据项目要求，确定安全评估范围；②能够进行工业互联网安全评估检查；③能根据报告编写要求，梳理安全测试信息；④能根据报告编写要求，梳理网络资产信息；⑤能根据报告编写要求，梳理网络威胁信息；⑥能具备良好的沟通表达及团队合作能力。初级中级①了解安全风险评估的概念和方法；②了解安全风险评估准备工作；③了解安全风险信息收集；④了解安全风险计算分析的内容和方法；⑤了解安全风险评估处置的内容。①理解安全测试报告内容；②具备编写安全测试报告的能力；③理解信息安全风险评估报告内容；④具备编写安全风险评估报告的能力。与职业技能等级标准内容对应关系

任务1工业互联网安全风险测试报告的编写

测试报告主要提供给目标组织者阅读，针对其目标系统风险进行业务评估，并给出证据证明其风险的有效性，以及对应的安全策略建议。主要有三类人会阅读测试报告：高级管理人员、IT管理人员和IT技术人员。此外，有时候也会有专门的安全负责人、厂家技术、普通职员、宣传部门等人员会查看相应报告。任务描述本任务介绍的测试报告，单指在所有测试实施工作结束后，按照测试方案要求所需要输出提供的结论性报告文档，是安全测试工作的最重要成果。

安全风险评估的概念和方法1知识导入信息安全风险定义为：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估的定义为：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

安全风险评估的概念和方法1工业互联网安全风险评估主要依据以下标准：GB/T20984—6417信息安全技术信息安全风险评估规范；GB/T26333—2010工业控制网络安全风险评估规范；GB/T30976.1—2014工业控制系统信息安全第1部分：评估规范；GB/T33009.3—2016工业自动化和控制系统网络安全集散控制系统（DCS）第3部分：评估指南；GB/T22239—2019信息安全技术网络安全等级保护基本要求。知识导入

安全风险评估的概念和方法1（1）风险评估要素及其关系结合信息安全风险评估规范，并结合工业互联网特性，可知工业互联网的风险评估要素及其关系。知识导入

安全风险评估的概念和方法1（2）工业互联网安全分析的原理工业互联网的安全分析涉及业务、资产、威胁、脆弱性、安全措施和风险六个基本要素，每个要素有各自的识别内容。知识导入

安全风险评估的概念和方法1（3）安全风险评估的实施流程工业互联网安全风险评估的实施流程如图。根据流程中的各项工作内容，一般将风险评估划分为评估准备、风险要素识别、风险分析三个阶段。知识导入

安全风险评估准备2①确定风险评估的目标。②确定风险评估的对象和范围。③组建适当的评估管理与实施团队。④对系统进行前期调研。知识导入风险评估的准备是风险评估过程有效性的保证。组织实施风险评估是一种战略性考虑，评估结果会受到组织战略、业务、业务流程、安全需求、系统规模和结构等因素的影响。因此，在实施风险评估前，应做如下准备：⑤确定评估的依据和方法。⑥制定风险评估实施方案。⑦获得最高管理者对风险评估工作的支持。

知识导入安全风险信息收集3针对工业互联网进行现