防类需求以功能安全需求为准,去掉冲突的需求,然后融入系统整体安 全需求集R systeni中。
[0033] (6. 3)对于功能安全需求集和信息安全需求集中没有交叉的检测类需求,直接添 加入系统整体安全需求集Rsysteni中;对于有交叉的检测类需求,按照求并集的方式进行融合 (即尽量更全面的进行检测),然后添加进系统整体安全需求集R systen中。
[0034] (6. 4)对于功能安全需求集和信息安全需求集中响应类需求,需要进行更为精细 的融合。首先分析功能安全需求集和信息安全需求集中的各种响应类需求,结合系统的 实际情况,依次制定每个需求的冲突解决策略,例如,对于安全关键系统,可制定冲突解决 策略为:"当需求集R safety,R s_rity冲的需求有冲突时,以Rsafety冲的需求为准,删除 中冲突的需求";还可以以发生冲突的需求涉及的资产所面临的功能安全风险,与 信息安全风险之间的大小来制定冲突解决策略;然后将功能安全需求集和信息安全需求集 中的响应类需求逐一对比,没有冲突的直接添加入系统整体安全需求集Rsysteni中;有冲突 的,按照制定的冲突解决策略进行解决,然后融入到系统整体安全需求集R systeni中。冲突解 决策略的制订需要结合响应类需求的具体情况和系统的具体应用来确定。
[0035] 步骤(7)依据各安全措施的实施成本,结合系统的总体成本约束,对系统的整体 安全需求集进行优化,具体过程为:
[0036] (7. 1)分析系统整体安全需求集中每一则安全需求应对的风险,列举出能够减缓 该风险的所有安全措施(即能够提供相同类型的安全防护的措施),构成一类安全措施集 合。对于每一类安全措施集合,评估其实施成本。安全措施的实施成本是指系统为实施安 全措施而需要付出的额外代价,这里通过计算量和通信量两个指标来衡量,计算量成本利 用专家知识和大致估算相结合的方法获得,通信量成本指安全措施需要额外增加的通信字 节数,可以根据具体的安全措施直接确定。
[0037] (7. 2)根据系统的设计规范,获取系统的安全防护(包括功能安全和信息安全)总 的成本约束,即系统为功能安全保障和信息安全防护所能够付出的最大,包括总的计算量 成本和总的通信量成本。
[0038] (7. 3)依据系统的总成本约束,结合各安全措施集和中各安全措施的实施成本,对 系统的整体安全需求集Rsyst Ji行优化。(a)首先,将步骤(6)中获得的系统整体安全需求 集,按照每则需求所应对的风险等级大小由低到高排序。(b)依据安全措施的实施成本,计 算整个需求集的实施总成本,若没有超出系统安全防护总的成本约束,则完成优化过程;若 超出系统安全防护总的成本约束,则继续。(c)首先判断R systao中的需求是否已处理完,若 处理完,则说明在当前系统安全防护总的成本约束下,无法设计出满足系统或行业风险等 级要求的系统安全需求,需要修改系统安全防护总的成本约束,然后再重新进行系统安全 需求设计;若没有处理完,则顺序取出一则需求,在其对应的安全措施集合中,选取比当前 需求中选定的安全措施成本更低的安全措施,作为该则需求修改后的结果,然后继续。(d) 依据步骤(3)和(5)判断该则修改后的需求能否满足对应资产对风险的要求,若能满足则 跳转到(b);若不能满足则跳转到(c)。
[0039] 与现有技术相比,本发明以保护工业控制系统的功能安全和信息安全为目的,克 服了现有安全需求分析方法在用于工业控制系统时仅考虑一种安全问题的缺陷。该发明能 够在对工业控制系统进行安全需求分析时,综合考虑功能安全与信息安全,并在需求层面 进行两种安全的融合及协调优化,使安全需求在满足系统成本约束的前提下保证系统综合 安全性。预期的有益效果包括:
[0040] 一、在需求层面,综合考虑工业控制系统的功能安全和信息安全,能够保证系统安 全控制中两种安全的相互协调,避免系统整体安全需求中的冲突和冗余,为有效的提升系 统的整体安全性打下了基础。
[0041] 二、按照对系统的动作和影响,将功能安全需求和信息安全需求进行分类,采用定 量的方法对同一类型的安全需求进行融合,提高需求融合效率,同时也使得需求融合过程 中尽可能的保证安全需求的全面性和准确性。
[0042] 三、考虑工业控制系统资源成本受限的特性,采用成本约束的方法对融合后的系 统安全需求进行进一步的优化,确保在满足系统安全防护总成本的同时保证系统的整体安 全。
[0043] 四、该发明综合利用专家数据采取模糊评估等多种实用的工程评估方法,使其能 够运用于实际工业控制系统需求分析中,降低工业控制系统安全需求分析设计门槛,同时 切实减小系统开发成本。
【附图说明】
[0044] 图1是工业控制系统功能安全与信息安全的需求分析及融合流程;
[0045] 图2(a)是多个资产同时失效引发危害事故的关系示意图;
[0046] 图2(b)是独立的多个资产失效引发危害事故的关系示意图;
[0047] 图2(c)是两种关系混合的多个资产失效引发危害事故的关系示意图;
[0048] 图3是功能安全需求集与信息安全需求集融合流程;
[0049] 图4是预防类安全需求集的融合过程;
[0050] 图5是检测类安全需求集的融合过程;
[0051] 图6基于成本的系统整体安全需求集的优化过程。
【具体实施方式】
[0052] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要 彼此之间未构成冲突就可以相互组合。
[0053] 参见图1所示,图1中的优化后的系统整体安全需求集就是本发明申请中最终需 要获得到结果。
[0054] 本发明的一种用于工业控制系统功能安全与信息安全的需求分析及融合方法。该 方法能够为工业控制系统安全控制及防护(综合功能安全和信息安全)提供一套快速、完 整获取安全需求的流程,减小安全需求开发难度、降低安全需求开发成本,提高系统综合安 全能力。首先分析系统的资产,然后分别获取系统的功能安全需求集和信息安全需求集,最 后融合得到系统整体的安全需求集,具体包括以下步骤:
[0055] 步骤一:分析系统中的资产,明确其相关属性,形成系统资产清单。
[0056] (1)首先搜集、分析及整理系统的设计文档、说明文档以及用例图,并获得与系统 相关人员进行沟通、调研的结果。
[0057] (2)然后结合系统的设计文档,对系统中的资产进行分类:资产包括具体的资产 和抽象的资产,工业控制系统中的资产一般可以分为:信息资产、软件资产、物理资产、月艮 务、人员以及无形资产六大类。(a)信息资产包括数据库和数据文件、合同协议、系统文件、 研究信息、用户手册、操作或者支持规程、基本维持运行的安排、审核踪迹、归档信息等。(b) 软件资产包括应用软件、系统软件、开发工具、实用程序等。(c)物理资产包括工业控制系统 设备、电控设备、通信设备可移动媒体以及其他设备。(d)服务包括设计、安装、调试、运行、 维护、计算和通信服务、公用服务设施等。(e)人员包括系统涉及的所有人员,主要考虑人员 的资格、技能以及经验。(f)无形资产是指系统涉及的组织机构的声誉、形象等。最后,查明 系统中各种资产的各种属性,包括资产名称、数量、位置、失效时可能引发的危险事件、资产 固有的漏洞、失效概率以及资产在系统中的重要性以及,形成资产清单。如表1所示,给出 实施例某工业控制系统部分资产清单。其中,各资产的失效概率以及重要性利用专家评分 结果采取获取,初始可以设置为0,危害事故通过分析调研行业和系统的历史数据获得,这 里仅给出危害事件的编号,具体危害事件需要结合实际系统给出。
[0058] 表1实施例某工业控制系统部分资产清单
[0061] 步骤二:依据系统的资产清单,分析系统资产失效可能引发的危害事故,评估其后 果,根据危害事故与资产之间的关联关系,确定危害事故发生的可能性
[0062] (1)根据系统资产清单及各资产可能引发的危害事故,确定系统中可能发生的危 害事故集合。
[0063] 分析系统的资产清单,综合系统资产清单中涉及的危害事件,得到系统的危害事 件集 Accident = Ia1, · · ·,a;, · · ·,an},其中 a; (i = 1,2, · · ·,η)为第 i 个危害事件,η 为 系统中危害事件的总个数。对于危害事件集中的危害事件ai,采用三元组表示,即a1 = (Nai, Cai, Pai),其中Nai为危害事件a ;的编号,Ca ;为危害事件a ;