国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    1　功能安全（Safety）、RAM（可靠性、可用性、可維修性）和信息安全（Security）

    1.1　工業(yè)控制系統(tǒng)所面臨的風(fēng)險(xiǎn)

    （1）安全性事故（HSE相關(guān)事故）

    發(fā)生人員傷亡、環(huán)境破壞及系統(tǒng)損失等危害事件的事故，例如化工廠爆炸、毒氣泄漏、火車相撞等。

    （2）系統(tǒng)可用性降低

    可導(dǎo)致系統(tǒng)可用性降低或喪失，如地鐵或火車運(yùn)營(yíng)晚點(diǎn)、工廠停工等風(fēng)險(xiǎn)。此類事故后果可能不是非常嚴(yán)重，但是如果頻繁發(fā)生，風(fēng)險(xiǎn)也是不可接受的。

    （3）信息泄露

    隨著工控系統(tǒng)網(wǎng)絡(luò)化、開(kāi)放性不斷擴(kuò)大引發(fā)了第三類風(fēng)險(xiǎn)，即由于信息泄露引發(fā)的安全問(wèn)題，如生產(chǎn)工藝數(shù)據(jù)被竊取等。

    1.2　功能安全（Safety）、RAM和信息安全（Security）三者關(guān)系（如圖1所示）

    （1）功能安全、RAM和信息安全三者之間的關(guān)系

    如圖1所示，功能安全只關(guān)注HSE相關(guān)的安全事故，重點(diǎn)涉及軟件、硬件方面系統(tǒng)自身的脆弱性引發(fā)的安全性事故。

圖1 功能安全、RAM和信息安全三者之間的關(guān)系

    系統(tǒng)可用性屬于RAM的范疇，是系統(tǒng)可用性和可靠性方面的因素。安全性與可靠性既有關(guān)系又有區(qū)別，如果發(fā)生安全性事故，同時(shí)必定會(huì)引發(fā)系統(tǒng)可用性的降低。功能安全和RAM是之前大家討論比較多的既有工控安全的范疇。

    隨著信息化與工業(yè)化的深度融合，有了網(wǎng)絡(luò)攻擊的特點(diǎn)，引發(fā)了信息安全問(wèn)題。信息安全會(huì)導(dǎo)致信息的完整性和可用性、保密性等方面的問(wèn)題。完整性被破壞可能也會(huì)間接地引發(fā)與安全相關(guān)的工控惡性事故。

    信息安全同功能安全的區(qū)別在于，功能安全更注重自身脆弱性導(dǎo)致的事故，而信息安全體現(xiàn)在外部實(shí)體惡意利用系統(tǒng)本身的脆弱性進(jìn)行攻擊而導(dǎo)致的事故。同樣，系統(tǒng)可用性也是如此，之前RAM研究的范圍是自身的脆弱性，比如硬件或自身結(jié)構(gòu)引起的隨機(jī)故障。信息安全增加了外部實(shí)體的惡意攻擊，比如導(dǎo)致拒絕服務(wù)攻擊之類的，或者利用漏洞導(dǎo)致系統(tǒng)頻繁死機(jī)，以及信息泄露。

    工控安全的概念正在逐步擴(kuò)大，之前討論安全性事故、可用性事故，隨著信息安全的引入，工控系統(tǒng)安全的概念更加廣泛。功能安全、可用性、信息安全，三者并不是完全獨(dú)立的，既有關(guān)系，又有區(qū)別，只有共同達(dá)到安全可控，才能保證整個(gè)工控系統(tǒng)的安全。

    （2）Safety（功能安全）、RAM和Security（信息安全）的威脅特點(diǎn)

    如表1所示，從Safety、RAM和Security三者之間的威脅特點(diǎn)來(lái)看，功能安全和RAM強(qiáng)調(diào)的是系統(tǒng)自身的、偶然的威脅，比如硬件隨機(jī)失效或者人為的誤操作，系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的脆弱性或者軟件、硬件實(shí)現(xiàn)的脆弱性，系統(tǒng)級(jí)可能有配置和操作脆弱性等，以及周圍環(huán)境的影響。信息安全強(qiáng)調(diào)的是外界實(shí)體利用系統(tǒng)脆弱性導(dǎo)致的威脅。從威脅的后果來(lái)看，對(duì)于HSE相關(guān)事故和系統(tǒng)可用性方面的風(fēng)險(xiǎn)之前已經(jīng)考慮到了，信息安全的引入不僅會(huì)導(dǎo)致這兩方面的事故，還新增加了一個(gè)信息泄露方面的事件。信息泄露對(duì)于工控安全來(lái)說(shuō)，風(fēng)險(xiǎn)是否可接受要根據(jù)各行業(yè)自身的特點(diǎn)來(lái)定。

表1 Safety、RAM和Security威脅特點(diǎn)   

    2　工控系統(tǒng)和產(chǎn)品功能安全評(píng)估現(xiàn)狀

    對(duì)于工控系統(tǒng)來(lái)說(shuō)，功能安全是各行各業(yè)都會(huì)考慮的問(wèn)題。功能安全標(biāo)準(zhǔn)最初的一個(gè)最基本標(biāo)準(zhǔn)是IEC 61508標(biāo)準(zhǔn)。由于是基本性的標(biāo)準(zhǔn)，沒(méi)有辦法覆蓋各個(gè)行業(yè)，因此基于這個(gè)標(biāo)準(zhǔn)又衍生出了各個(gè)行業(yè)自身的標(biāo)準(zhǔn)，比如流程性行業(yè)的IEC 61511標(biāo)準(zhǔn)、軌道交通領(lǐng)域的行業(yè)標(biāo)準(zhǔn)EN 50126/128/129。衍生出的標(biāo)準(zhǔn)雖然適合不同行業(yè)，但基本思想是相通的。

    2.1　風(fēng)險(xiǎn)定義

    2.1.1　什么是風(fēng)險(xiǎn)（Risk）

    （1） 出現(xiàn)傷害的概率及該傷害嚴(yán)重性的組合（GB/T 20438.4）。

    （2）一個(gè)給定的威脅，利用一項(xiàng)資產(chǎn)或多項(xiàng)資產(chǎn)的脆弱性，對(duì)組織造成損害的潛能。可通過(guò)事件的概率及其后果進(jìn)行度量（GB/T25069）。

    2.1.2　風(fēng)險(xiǎn)的兩個(gè)要素

    風(fēng)險(xiǎn)（Risk）=可能性（危害事件）×后果嚴(yán)重程度（傷害或影響）

    2.2　風(fēng)險(xiǎn)評(píng)估

    （1）風(fēng)險(xiǎn)矩陣

    常見(jiàn)的風(fēng)險(xiǎn)評(píng)估一般都會(huì)用到風(fēng)險(xiǎn)矩陣。如表2所示，一方面需要考慮可能性，另一方面還要考慮危害后果。

表2 風(fēng)險(xiǎn)矩陣

    （2）風(fēng)險(xiǎn)評(píng)估準(zhǔn)則

    在軌道交通領(lǐng)域，風(fēng)險(xiǎn)評(píng)估采用較多的是ALARP準(zhǔn)則和GAMAB準(zhǔn)則。

    安全是相對(duì)的，不存在絕對(duì)的安全。從風(fēng)險(xiǎn)可控的角度來(lái)看，付出的成本和獲得的收益要相權(quán)衡，并不需要無(wú)盡止地付出成本，降低風(fēng)險(xiǎn)。

    2.3　風(fēng)險(xiǎn)評(píng)估與安全等級(jí)關(guān)系

    （1）風(fēng)險(xiǎn)評(píng)估和安全等級(jí)分配

    在進(jìn)行了實(shí)際的風(fēng)險(xiǎn)評(píng)估之后，如果風(fēng)險(xiǎn)不可接受，則需要提出一些安全防護(hù)措施來(lái)降低風(fēng)險(xiǎn)到允許的程度。降低風(fēng)險(xiǎn)的措施一方面從危害事件的可能性出發(fā)，另一方面從危害后的嚴(yán)重程度來(lái)降低。為了更方便地衡量和指導(dǎo)企業(yè)實(shí)施安全防護(hù)措施，對(duì)應(yīng)安全措施提出了安全等級(jí)概念。如圖2所示。

   
圖2 風(fēng)險(xiǎn)評(píng)估和安全等級(jí)分配示意圖

    2.4　功能安全完整性等級(jí)（如圖3所示）

    （1）安全完整性等級(jí)

    依據(jù)在規(guī)定的時(shí)間內(nèi)、規(guī)定的條件下，安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定的安全功能的概率，將功能安全完整性分為四個(gè)等級(jí)：SIL1～SIL4。

圖3 功能安全完整性等級(jí)示意圖

   （2）安全完整性等級(jí)包括兩方面因素

    硬件安全完整性：一般有硬件隨機(jī)失效，硬件的隨機(jī)失效率是可以定量計(jì)算的。

    系統(tǒng)安全完整性：主要是考慮從整個(gè)系統(tǒng)的實(shí)現(xiàn)、管理方面，包括整個(gè)生命周期，從需求到設(shè)計(jì)，到軟硬件的實(shí)現(xiàn)，到安裝，到運(yùn)維。功能安全主要考慮由系統(tǒng)自身脆弱性引起的安全性事故，不考慮由威脅主體惡意利用脆弱性導(dǎo)致的危害。信息安全相對(duì)于功能安全的安全性事故來(lái)說(shuō)，又多了一個(gè)觸發(fā)的原因。因此在考慮整個(gè)系統(tǒng)的風(fēng)險(xiǎn)時(shí)，應(yīng)同時(shí)考慮功能安全和信息安全兩方面的因素影響。

    2.5　工控系統(tǒng)功能安全風(fēng)險(xiǎn)管理流程

    （1）風(fēng)險(xiǎn)分析和安全完整性等級(jí)分配

    安全防護(hù)措施不是一次性完成的，在系統(tǒng)初步建設(shè)時(shí)，會(huì)識(shí)別威脅，評(píng)估風(fēng)險(xiǎn)，識(shí)別安全措施對(duì)應(yīng)的安全完整性等級(jí)。

    （2）風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的貫穿整個(gè)安全生命周期的活動(dòng)。

    （3）安全需求和安全完整性等級(jí)可以從系統(tǒng)到子系統(tǒng)再到產(chǎn)品部件級(jí)的逐步分配細(xì)化，形成一個(gè)完整的系統(tǒng)化體系。

    針對(duì)風(fēng)險(xiǎn)的評(píng)估，也不是一次性把風(fēng)險(xiǎn)評(píng)估完、定義完系統(tǒng)的完整性。如圖4所示，PHA，預(yù)先風(fēng)險(xiǎn)性分析，即系統(tǒng)初步的危害性分析之后，再做系統(tǒng)的接口分析或系統(tǒng)級(jí)的功能分析，然后再到子系統(tǒng)級(jí)還會(huì)做子系統(tǒng)級(jí)的一些危害性分析。子系統(tǒng)可能還會(huì)向下分到模塊級(jí)，不斷補(bǔ)充安全需求。整個(gè)流程完成之后，再?gòu)臏y(cè)試、驗(yàn)證和確認(rèn)的角度去確保這些安全功能的正確實(shí)現(xiàn)。

   圖4 工控功能安全風(fēng)險(xiǎn)管理流程

    2.6　功能安全相關(guān)系統(tǒng)屬性

    2.6.1　功能安全相關(guān)系統(tǒng)具備的兩方面因素

    （1）安全需求的充分性。通過(guò)持續(xù)風(fēng)險(xiǎn)分析過(guò)程來(lái)充分識(shí)別可控制、消除或最小化威脅的安全需求。

    （2）安全需求的正確性。僅有安全需求還是不夠的，還需要確保選擇合適的安全完整性等級(jí)。

    功能安全在不同行業(yè)是有一定區(qū)別的，如流程化行業(yè)和軌道交通領(lǐng)域。流程化行業(yè)的安全相關(guān)系統(tǒng)，只有一個(gè)SIS系統(tǒng)或者安全的PLC。在軌道交通領(lǐng)域，列車的每個(gè)控制子系統(tǒng)都是安全相關(guān)系統(tǒng)，并不是整個(gè)系統(tǒng)只有一個(gè)安全相關(guān)系統(tǒng)，如緊急停車系統(tǒng)或者某個(gè)別的控制系統(tǒng)是安全相關(guān)系統(tǒng)。所以，定義安全相關(guān)系統(tǒng)基本上應(yīng)具備兩個(gè)因素，一個(gè)是充分性的或者完整的安全功能要求或安全需求，另一個(gè)是要有確保安全功能正確實(shí)現(xiàn)的等級(jí)。如圖5所示。

圖5 功能安全相關(guān)系統(tǒng)的兩方面因素
   

    3　工控系統(tǒng)信息安全標(biāo)準(zhǔn)

    3.1　工控系統(tǒng)信息安全標(biāo)準(zhǔn)現(xiàn)狀

    工控系統(tǒng)信息安全的研究目前還處于起步階段，還沒(méi)有一些完善的標(biāo)準(zhǔn)體系來(lái)支撐。

    3.1.1　國(guó)際上主流的標(biāo)準(zhǔn)

    （1）IEC62443標(biāo)準(zhǔn)體系

    涵蓋組織的信息安全程序（62443-2-1，類似IEC27001）；

    涵蓋系統(tǒng)級(jí)標(biāo)準(zhǔn)（第三部分）；

    涵蓋產(chǎn)品級(jí)標(biāo)準(zhǔn)（第四部分）。

    （2）美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）

    NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》；

    NIST SP800-53《針對(duì)聯(lián)邦信息系統(tǒng)和組織建議的安全控制》；

    《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》。

    3.1.2　國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)

    GB/T 30976工業(yè)控制系統(tǒng)信息安全 （兩個(gè)部分）已正式發(fā)布。

    中國(guó)信息安全測(cè)評(píng)中心承擔(dān)的《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)。

    3.2　傳統(tǒng)IT信息系統(tǒng)標(biāo)準(zhǔn)

    3.2.1　傳統(tǒng)IT信息系統(tǒng)主要標(biāo)準(zhǔn)體系

    （1）IEC27000系列——適用于組織級(jí)的信息安全程序。

    （2）《信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)》系列——適用于系統(tǒng)級(jí)，從廣義上來(lái)說(shuō)是一整套完整體系，包括產(chǎn)品、系統(tǒng)和管理。

    （3）GB/T 18336《信息技術(shù)安全評(píng)估準(zhǔn)則》（等同采納IEC15408），簡(jiǎn)稱CC標(biāo)準(zhǔn)——適用于產(chǎn)品級(jí)的標(biāo)準(zhǔn)。

    3.2.2　傳統(tǒng)IT信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)體系系統(tǒng)定級(jí)

    基于信息系統(tǒng)被破壞之后的損害程度，傳統(tǒng)IT信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)體系將系統(tǒng)定級(jí)為5個(gè)級(jí)別，分別是：

    第一級(jí), 信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益；

    第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全；

    第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害；

    第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害；

    第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

    3.2.3　進(jìn)行定級(jí)的對(duì)象

    傳統(tǒng)IT信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)從它定義的對(duì)象來(lái)看具備三個(gè)特點(diǎn)：

    （1）具有唯一確定的安全責(zé)任單位。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。只適用于整個(gè)系統(tǒng)級(jí)的定級(jí)，對(duì)于產(chǎn)品的定級(jí)和整個(gè)部件的定級(jí)是不適用的，應(yīng)避免定義某個(gè)單一的系統(tǒng)組件，如將服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。

    （2）具有信息系統(tǒng)的基本要素。

    （3）承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用。

    整個(gè)系統(tǒng)等級(jí)確定后，需要在各個(gè)層面保持相同的等級(jí)，不再進(jìn)行分配。不足的是從系統(tǒng)到產(chǎn)品就沒(méi)有一個(gè)直接的對(duì)應(yīng)關(guān)系，缺乏系統(tǒng)化的指導(dǎo)。

    3.2.4　CC標(biāo)準(zhǔn)

    （1）CC標(biāo)準(zhǔn)的定級(jí)

    CC標(biāo)準(zhǔn)是針對(duì)產(chǎn)品評(píng)估的一個(gè)標(biāo)準(zhǔn)，定義了7個(gè)評(píng)估保障等級(jí)：

    EAL1——功能測(cè)試；

    EAL2——結(jié)構(gòu)測(cè)試；

    EAL3——系統(tǒng)的測(cè)試和檢查；

    EAL4——系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查；

    EAL5——半形式化設(shè)計(jì)和測(cè)試；

    EAL6——半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試；

    EAL7——形式化驗(yàn)證的設(shè)計(jì)和測(cè)試。

    EAL1~EAL3級(jí)可對(duì)抗基本攻擊潛力，EAL4~EAL5級(jí)可對(duì)抗增強(qiáng)基本攻擊潛力，EAL5~EAL6級(jí)可對(duì)抗中等攻擊潛力，EAL7級(jí)可對(duì)抗高等攻擊潛力。

    該評(píng)估保障等級(jí)側(cè)重整個(gè)產(chǎn)品能夠?qū)崿F(xiàn)安全功能的一個(gè)信心保障程度，而不僅僅側(cè)重于安全技術(shù)能力方面。分級(jí)評(píng)估是通過(guò)對(duì)信息技術(shù)產(chǎn)品的安全性進(jìn)行獨(dú)立評(píng)估后取得的安全保障等級(jí)，表明產(chǎn)品的安全性及可信度。獲得的認(rèn)證級(jí)別越高，產(chǎn)品可對(duì)抗更高級(jí)別的威脅，產(chǎn)品的可信度越高，適用于較高的風(fēng)險(xiǎn)環(huán)境。這個(gè)標(biāo)準(zhǔn)同安全完整性等級(jí)是類似的。安全功能依據(jù)威脅去識(shí)別，確認(rèn)安全功能正確實(shí)現(xiàn)的等級(jí)，能給消費(fèi)者和開(kāi)發(fā)者一個(gè)信心，產(chǎn)品既然有這個(gè)功能，就能保證實(shí)現(xiàn)的級(jí)別。

    （2）CC標(biāo)準(zhǔn)的特點(diǎn)

    CC標(biāo)準(zhǔn)不是針對(duì)某一款產(chǎn)品做的標(biāo)準(zhǔn)，提供了一套安全原理的實(shí)現(xiàn)方法，具備靈活性和通用性。

    CC標(biāo)準(zhǔn)采用了標(biāo)準(zhǔn)化語(yǔ)言的描述，使做完認(rèn)證后的不同產(chǎn)品之間具備可比性。

    但CC標(biāo)準(zhǔn)屬于傳統(tǒng)IT通用評(píng)估準(zhǔn)則，其7個(gè)分級(jí)適用于產(chǎn)品，與系統(tǒng)等級(jí)沒(méi)有形成直接的對(duì)應(yīng)關(guān)系。

    3.3　工控系統(tǒng)信息安全標(biāo)準(zhǔn)

    3.3.1　IEC 62443標(biāo)準(zhǔn)系列

    IEC 62443標(biāo)準(zhǔn)系列是針對(duì)工控系統(tǒng)的，試圖從系統(tǒng)到產(chǎn)品建立一套完整體系。

    （1）類似于功能安全的體系，這套標(biāo)準(zhǔn)采用了持續(xù)的風(fēng)險(xiǎn)管理的思想（62443-3-2）。

    （2）定義了安全控制基線，并將技術(shù)要求劃分為7類：

    認(rèn)證與授權(quán)（AC）；

    使用控制（UC）；

    數(shù)據(jù)完整性（DI）；

    數(shù)據(jù)保密性（DC）；

    受限的數(shù)據(jù)流（RDF）；

    事件響應(yīng)（TRE）；

    資源可用性（RA）。

    （3）整個(gè)安全等級(jí)基于風(fēng)險(xiǎn)分析，從系統(tǒng)——>區(qū)域和管道——>產(chǎn)品/部件進(jìn)行分配。

    例如：

    EXAMPLE 1 —> SL-T(BPCS Zone) ={2 2 0 1 3 1 3}

    EXAMPLE 2 —> SL-C(SIS Engineering Workstation) ={3 3 2 3 0 0 1}

    EXAMPLE 3 —> SL-C(RA, FC- PLC)=4

    從舉例可以看出，括號(hào)中根據(jù)7大類技術(shù)要求，可以分配不同的等級(jí)。整個(gè)工控系統(tǒng)行業(yè)特點(diǎn)是不同的，基于實(shí)際的風(fēng)險(xiǎn)分析，分配的等級(jí)可能也是有所區(qū)別的，這個(gè)側(cè)重于可用性，那個(gè)側(cè)重于完整性。該標(biāo)準(zhǔn)對(duì)于整個(gè)工控系統(tǒng)解決方案的選擇會(huì)更靈活一點(diǎn)，行業(yè)特點(diǎn)也可以更加豐富。

    （4）安全等級(jí)（SL）劃分

    安全等級(jí)（SL）劃分為4個(gè)級(jí)別：

    SL1：防護(hù)偶然或巧合性的信息安全違規(guī)行為；

    SL2：防護(hù)利用較少資源、一般技術(shù)和較低動(dòng)機(jī)的簡(jiǎn)單手段的攻擊；

    SL3：防護(hù)利用中等資源、工控系統(tǒng)中特殊技術(shù)和中等動(dòng)機(jī)的復(fù)雜手段的攻擊；

    SL4：防護(hù)使用擴(kuò)展資源、工控系統(tǒng)中特殊技術(shù)和較高動(dòng)機(jī)的復(fù)雜手段的攻擊。

    （5）對(duì)IEC62443標(biāo)準(zhǔn)的理解和看法

    IEC 62443標(biāo)準(zhǔn)是基于風(fēng)險(xiǎn)管理的方法，但也確定了安全控制基線，這兩方面在一定程度上存在著矛盾?；陲L(fēng)險(xiǎn)管理，可能針對(duì)這種威脅去識(shí)別對(duì)應(yīng)的技術(shù)要求，但如果安全控制基線定的非常嚴(yán)格的話，就必須按照這個(gè)基線去實(shí)施，也就失去了一些靈活性。這兩個(gè)方面可以互補(bǔ)，標(biāo)準(zhǔn)提供的安全基線僅是最佳實(shí)踐和指導(dǎo)，安全實(shí)踐可以基于此做選擇，而非強(qiáng)制性的，技術(shù)要求應(yīng)該與所處環(huán)境面臨的威脅相對(duì)應(yīng)。

    安全等級(jí)（SL）不僅包括技術(shù)要求能力，還應(yīng)包含對(duì)應(yīng)的安全保障要求等級(jí)。該安全等級(jí)并沒(méi)有強(qiáng)調(diào)安全等級(jí)的概念，雖然前面有定義，但是這個(gè)概念并沒(méi)有強(qiáng)調(diào)必須在什么情況下才能滿足這個(gè)安全等級(jí)。像前面提到的功能安全和信息安全就是保證等級(jí)可以分層次。系統(tǒng)完整性等級(jí)保障可分為：

    （1）公司組織級(jí) （其他標(biāo)準(zhǔn)，如ISO9000、CMMI、IEC27000等），是基礎(chǔ)。

    （2）工程項(xiàng)目級(jí)

    系統(tǒng)建設(shè)（系統(tǒng)數(shù)據(jù)配置、安裝等）；

    產(chǎn)品實(shí)現(xiàn)（軟硬件設(shè)計(jì)和開(kāi)發(fā)、測(cè)試等）；

    運(yùn)行維護(hù)（運(yùn)維管理要求等）；

    系統(tǒng)廢棄 （停用或廢棄的要求等）。

    4　工控產(chǎn)品信息安全評(píng)估準(zhǔn)則的探討

    工控產(chǎn)品信息安全評(píng)估準(zhǔn)則是由中國(guó)信息安全測(cè)評(píng)中心承擔(dān)開(kāi)發(fā)的標(biāo)準(zhǔn)。

    4.1　標(biāo)準(zhǔn)的適用性

    （1）適用于消費(fèi)者、開(kāi)發(fā)者和評(píng)估者。

    （2）適用于工控產(chǎn)品的開(kāi)發(fā)和評(píng)估。該標(biāo)準(zhǔn)是針對(duì)工控產(chǎn)品的，但不僅限于工控安全防護(hù)產(chǎn)品，目前既有的控制系統(tǒng)也帶有信息安全的功能。

    4.2　借鑒GB/T 18336（CC標(biāo)準(zhǔn)）的成熟標(biāo)準(zhǔn)框架

    （1）保持靈活性

    標(biāo)準(zhǔn)不限定于某一具體產(chǎn)品的要求，而是提供了一套方法，適用于具備信息安全防護(hù)功能的所有工控產(chǎn)品。

    （2）保持通用性和可比性

    提供了標(biāo)準(zhǔn)化語(yǔ)言描述的通用安全功能要求和安全保障要求，使得產(chǎn)品之間具備可比性。

    4.3　標(biāo)準(zhǔn)擬制思路

    （1）提供風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方法（第一部分）

    產(chǎn)品依據(jù)預(yù)期使用環(huán)境進(jìn)行持續(xù)風(fēng)險(xiǎn)分析，選取足夠的安全要求來(lái)對(duì)抗或消減所識(shí)別的威脅；

    （2）提供通用安全功能要求庫(kù)（第二部分）

    經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估之后，通過(guò)裁剪和補(bǔ)充提出適用于ICS的安全功能要求集合，用于指導(dǎo)用戶選取合適的安全要求。

    （3）提供通用安全保障要求庫(kù)（第三部分）

    用于降低系統(tǒng)自身脆弱性的安全保障要求集合，包含產(chǎn)品需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、管理等活動(dòng)。

    （4）與功能安全相對(duì)應(yīng)，整個(gè)標(biāo)準(zhǔn)定義4個(gè)安全保障等級(jí)（SAL1～SAL4），提供分別對(duì)抗基本、基本增強(qiáng)、中等和高等攻擊潛力的威脅。

    4.4　標(biāo)準(zhǔn)的核心

    如圖6所示，標(biāo)準(zhǔn)的核心分為三個(gè)部分。

圖6 工控產(chǎn)品信息安全評(píng)估準(zhǔn)則的核心

    （1）標(biāo)準(zhǔn)的第一部分?；诠た禺a(chǎn)品所面臨的預(yù)期，使用環(huán)境進(jìn)行風(fēng)險(xiǎn)分析，確定與風(fēng)險(xiǎn)可控相應(yīng)的等級(jí)。

    （2）標(biāo)準(zhǔn)的第二部分。該部分提供了安全功能庫(kù)，依據(jù)前面的風(fēng)險(xiǎn)分析來(lái)識(shí)別，使得識(shí)別的安全要求要充分，并且識(shí)別的要求與威脅要一一對(duì)應(yīng)，有可追溯性。

    （3）標(biāo)準(zhǔn)的第三部分。這部分提供了安全保證要求，開(kāi)發(fā)者依據(jù)這個(gè)標(biāo)準(zhǔn)去開(kāi)發(fā)整個(gè)生命周期的管理、需求、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試和交付。評(píng)估者會(huì)依據(jù)開(kāi)發(fā)者做的活動(dòng)檢查其正確性，此外評(píng)估者還會(huì)做相對(duì)獨(dú)立性的測(cè)試，某些測(cè)試可能開(kāi)發(fā)者已經(jīng)做了，比如基本的模塊測(cè)試、功能測(cè)試、確認(rèn)測(cè)試。評(píng)估者還會(huì)做獨(dú)立性的測(cè)試和穿透性的測(cè)試，確保整個(gè)系統(tǒng)到達(dá)一個(gè)相應(yīng)的安全保障等級(jí)。

    （文章整理自邸麗清在“2015第四屆工業(yè)控制系統(tǒng)信息安全峰會(huì)”第四站上的報(bào)告）

    作者簡(jiǎn)介

    邸麗清（1978-），女，河北石家莊人，高級(jí)工程師，博士，現(xiàn)就職于中國(guó)信息安全測(cè)評(píng)中心，主要研究方向?yàn)楣た叵到y(tǒng)信息安全。

    摘自《自動(dòng)化博覽》2016年3月刊