六、安保策略
安保策略是定义系统、组织或其他实体安全意味着什么。对于一个组织,它要约束成员的行为,以及用机制约束黑客的入侵,诸如使用门、锁、墙等设施。对于系统,安保策略要约束功能和数据流,约束外部系统和黑客的访问,包括对人员或应用程序和数据访问。
安保策略由组织的高级管理层或选出的委员会来定义。安保策略可以由组织按要求对特定功能或系统进行裁剪。安保项目应该包括安保策略、标准、指南、基线、程序、安保基础培训、事故响应计划和法规遵从。这些内容在ISO/IEC 27000系列标准中描述,美国能源部提供了可以实施的细节。
七、危险评估
危险评估包括分析资产,确定信息和资产的价值, 确定漏洞和潜在危险(威胁),威胁降低方法,决定可以接受、避免或转移的危险。这项行动由危险分析团队执行。危险评估过程包括执行评估程序,分析及评定危险结果。危险评估应用于信息、通信和电力。在这个周期,应该确定关键资产。
危险评估必须考虑对安保系统的影响。比如在一个系统中的危险可能是:
•安全危险可能导致生命损失,人员伤害,或环境破坏。
•任务危险可能导致这个系统的瘫痪,诸如关键基础设施或数据的损失。
•商业危险可能导致重大经济损失,诸如商业或声誉的损失。
•安保危险可能导致敏感数据的损失。
八、建立危险分析团队
危险分析团队必须包括组织关键区域中的人员诸如管理人员,工程人员,安保专家,过程控制工程师,信息技术(IT)规划师,应用分析师,程序设计师。危险分析团队成员必须是每个行业里的专家,了解过程、商业对象、工程原理、技术和法规。
九、信息和资产的价值
信息的价值决定了安保的方法。在评估信息的价值时,同样的逻辑可用于资产,诸如设施,系统,服务,资源,供给和人员。为了评估什么是危险,必须评估什么是财产。信息和资产都应该有给予它数量和质量的测量。
实际价值由它的获得、开发和维护的成本所决定。对于所有者,授权用户和非授权用户的重要性决定了资产的价值。资产可以是有形的(计算机、设备、网络、系统、设施、供给)或者是无形的(声誉、数据、知识产权)。
十、确定威胁
威胁评估是一个非常具体的行为,在有些情况下,这是一项困难的任务。
威胁可以分成人为(有意或无意)和自然灾害。很多类型的威胁来源于多种漏洞,从而导致多种特定的威胁。一旦威胁是针对某种应用、系统、业务单位或组织, 必须查清相关的漏洞,找到解决的办法。
十一、确定漏洞
漏洞是一个用来攻击的潜在通道,是连接内部或外部代理,可能导致安保失效的系统属性或环境。发现漏洞并不那么容易,需要一定的技能水平。当发现特定的漏洞时,需要找出所有针对组织的进入点,找出访问信息(来自电子和物理)点,诸如:
- 因特网连接;
- 远程访问点;
- 与其他组织的连接;
- 物理访问设施;
- 用户访问点;
- 无线访问点。
失效模式和影响分析是一种用于决定漏洞位置以及查出路径的方法。这种方法支持决定功能、确定功能失效、评估失效原因和对结构化过程的影响。这是一个系统工程方法,近来用于评估危险管理的优先级和减轻已知漏洞的威胁。
[DividePage:NextPage]
十二、危险分析方法
现在出现了许多用于公共ICT系统的评估方法和概念。安保设计者和控制系统的用户需要对这些方法的适用性、收益和性价比进行评价。另外,用于控制系统的危险管理没有基于危险的标准方法。
危险分析的步骤按照NIST、ISO/IEC等的标准和方法论来定义。现在常用的危险评估方法有:
- 基于列表的检查;
- 原因-结果分析;
- 分级全息模型;
- 失效树分析;
- 事件树分析;
- 攻击树分析;
- 基于能力的攻击树;
- 漏洞树分析;
- 失效模式影响和危险程度分析。
危险分析是决定控制系统安全运行的基础,包括价值性、敏感性和关键信息。危险评估对危险管理给出一个战略方法应对一个标准案例的挑战。分析和评估危险的过程是很好了解和及时执行基础。
当评估系统的危险时,必须对通用方法进行定制,包括下面的行动:
- 确定系统特性,区分与公共ICT系统的不同;
- 确定与电力系统相关独特的攻击点;
- 确定与人员安全相关的危险;
- 确定对电力系统可靠性相关危险;
- 确定基于危险程度和生存标准(如,计算机每年折旧)的资产价值。
- 当评估资产的价值时包括机密性、完整性和可用性。
- 当分析威胁事件、威胁影响或威胁频率时,确定不可靠等级。
- 在执行危险分析时,平衡使用数量和质量方法,诸如这些方法的结果提供了最佳的危险评估或测量信息。
- 指派合格的危险分析师。分析师应该具有控制系统开发的实践经验,了解控制系统出现的各种问题。
- 使用一种战略危险管理方法,支持做出决定的关键信息。
- 使用自动的和假设分析(what-if)工具,提供一套可选择的战略方法用于危险管理。
- 最大化地对控制系统进行一致和完全的漏洞分析,包括硬件、软件、因特网访问、环境和人员。
- 使用集成模型用于危险管理,实施主动预案进行危险管理。
- 使用过程控制模型,使用闭环加强安保,最小化危险等级。
- 使用系统识别模型生成一个基于模型的系统识别和过程控制方法,并应用到控制系统。
考虑恶意软件在网络中高速传播特性,人们需要确定安保危险和模拟控制系统的动态过程,找出一个最佳解决方案监视网络攻击。监视方法可以使用基于专用设备和收集数据估计的参数预测模型。这种工具可以使用统计和机器学习方法来估算和导出最佳参数,减轻正在发生的网络攻击。安保系统也可以使用位置的原则最小化危险,阻止大规模网络攻击的传播。
十三、整体危险对比剩余危险
区分整体危险与剩余危险的观念是非常重要的,剩余危险是指一个公司愿意承受的危险。总有一些要存在的危险;这也被称为残留危险。也要确定控制的缺口;这是控制系统不能保护和覆盖的部分。下面的公式表示了整体危险和剩余危险的不同:
- 威胁 x 漏洞 x 资产价值 => 整体危险
- (威胁 x 漏洞 x 资产价值)x 控制缺口 => 剩余危险
- 整体危险 – 对策 => 剩余危险
[DividePage:NextPage]
十四、实施安保
在选择-安保方法(或者安全装置)前,确定安保机制和评估其效力是非常重要的步骤。然而,考虑和选择适当的方法需要进行性价比分析。方案的成本包括很多内容,从产品价格、实施和维护费用到对生产率、与其他方法的兼容性和环境变化的影响。为了列出所有的内容,需要使用最新出版的文件。
十五、危险处理和缓解
信息安保管理的第二个阶段包括确定优先级、预算、最终实施和适当维护危险降低方法的过程。
在整体危险和剩余危险的数量决定后,管理必须决定如何处理和缓解危险。危险能够用不同方式处理:转移、拒绝、接受或降低。
如果组织决定采取终止引入危险的行动,就是众所周知的危险规避。例如,一台连接到SCADA控制系统的计算机,如果组织允许它使用电子邮件或即时通讯,那么这些应用具有很多的危险。断开这些服务是一个规避危险的例子。
危险缓解是一种把危险降低到可以接受的程度、使商业行为可以继续的方法。采用各种安保技术(防火墙,侵入检测/保护系统,加密,培训等)是降低危险的方法。
危险接受是当成本/收益比大于1时使用的一种方法, 这意味着安保方法的成本权重超过了潜在损失的价值。当然,危险接受还要考虑其他的因素。
还有,在不同功能区域从事危险管理任务的人员应能够交流知识。成功实现危险管理的一个特征是在电力网格内以正确方式传播知识。
在域内的人员工作在不同的功能区域中,应共享危险管理的实践经验,在网络实践中参与和协同工作会收益非浅。一种实践网络危险管理方法是水平地切割垂直的集成域。做为网络的一部分,来自信息安保的人员可以获得更多知识访问,提高他们危险管理的能力。
(原创)
