等级SAL1SAL工业控制系统信息安全峰会.pptVIP

工控产品信息安全评估准则探讨

;功能安全(Safety)、RAM(可靠性、可用性、可维修性)和信息安全(Security)关系

工控系统和产品功能安全评估现状

工控信息安全标准现状

工控产品信息安全评估准则探讨;功能安全(Safety)、RAM和信息安全(Security);发生人员伤亡、环境破坏、系统损失等危害事件

化工厂爆炸/毒气泄漏/火车相撞等

系统可用性降低

地铁或火车的运营晚点/工厂停工等

信息泄露

生产工艺数据被窃取等;工控系统面临的风险;Safety、RAM和Security的比较;;什么是风险(Risk)？

出现伤害的概率及该伤害严重性的组合(GB/T20438.4)

一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量(GB/T25069)

风险具备两个重要的要素

风险（Risk）=可能性（危害事件）×后果严重程度（伤害或影响）;风险矩阵

风险可接受准则

ALARP准则

GAMAB准则;风险评估和安全等级分配;安全完整性等级

在规定的时间内，规定的条件下安全相关系统成功执行规定的安全功能的概率，分为了四个等级SIL1～SIL4

硬件安全完整性

系统安全完整性;风险分析和安全完整性等级分配

风险管理是一个持续的贯穿整个安全生命周期的活动

安全需求和安全完整性等级可以从系统到子系统再到产品部件级的逐步分配细化;安全相关系统

通过持续风险分析过程充分识别可控制、消除或最小化威胁的安全需求；（安全需求的充分性）

确保选择合适的安全完整性等级；（安全需求的正确性）;工控信息安全标准现状;工控信息安全的研究还处于起步阶段，目前还没有完善的标准体系来支撑

国际上主流的标准

IEC62443标准体系

涵盖组织的信息安全程序（62443-2-1，类似IEC27001）

涵盖系统级标准（第三部分）

涵盖产品级标准（第四部分）

美国国家标准技术研究院（NIST）

NISTSP800-82《工业控制系统安全指南》

NISTSP800-53针《对联邦信息系统和组织建议的安全控制》

《关键基础设施网络安全框架》

国内相关标准

GB/T30976工业控制系统信息安全（两个部分）已正式发布

本单位承担了《工业控制系统产品信息安全通用评估准则》标准;传统IT信息系统主要??准体系

IEC27000系列——适用于组织级

《信息系统安全等级保护标准》系列——适用于系统级

GB/T18336《信息技术安全评估准则）（等同采纳IEC15408），简称CC标准——适用于产品级;传统IT信息系统等级保护标准体系将系统定为5个级别：

第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害;进行定级的对象有如下限制：

具有唯一确定的安全责任单位

具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象

承载单一或相对独立的业务应用

整个系统等级确定后，需要在各个层面保持相同的等级，不再进行分配

;CC标准定义了7个评估保障级：

EAL1——功能测试

EAL2——结构测试

EAL3——系统的测试和检查

EAL4——系统的设计、测试和复查

EAL5——半形式化设计和测试

EAL6——半形式化验证的设计和测试

EAL7——形式化验证的设计和测试;CC标准的特点

CC标准提供了一套安全原理的实现方法，具备灵活性和通用性

CC标准采用了标准化语言的描述，使不同产品间具备可比性

但CC标准属于通用评估准则，其分级适用于产品，与系统等级没有直接对应关系;IEC62443标准系列

采用了持续风险管理的思想（62443-3-2）

定义了安全控制基线，并将技术要求划分为7类

■认证与授权(AC)■使用控制(UC)■数据完整性(DI)

■数据保密性(DC)■受限的数据流(RDF)■事件响应(TRE)■资源可用性(RA)

安全等级从系统-区域和管道-产品/部件进行分配;安全等级（SL）划分

SL1：防护偶然或巧合性的信息安全违规行为

SL2：防护利用较少资源、一般技术和较低动机