r>[0119] 依据上述(1)-(5)子步骤完成所有资产的所有漏洞的评估与防护。将整个系统的 将系统的信息安全防护措施综合起来,形成系统的信息安全需求集R s_?ty。
[0120] 步骤六:将上述步骤三中得到的功能安全需求集Rsafety与步骤五中信息安全需求 集R s_"ty进行冲突协调,通过定性的方法对两种安全需求进行融合得到系统整体的安全需 求集R system,其流程如图3所示。
[0121] (1)分别将功能安全需求集Rsafety和信息安全需求集Rs^ lty,都按照"预防类"、"检 测类"、"响应类"进行分类。
[0122] 按照安全需求(包括功能安全需求和信息安全需求)对系统的影响将两个需求 集Rsafety和R s_"ty都分为三类:预防类需求、检测类需求以及响应类需求,即得到功能安 全预防类需求集R safety p、功能安全检测类需求集Rsafety d、功能安全响应类需求集RsafetP和 信息安全预防类需求集R_u"ty p、信息安全检测类需求集Rs_"ty d、信息安全响应类需求集 Rsecurity r。两个安全需求集中相同类型的需求有可能存在冗余信息和冲突,不同类型的需求 是相互独立的。因此对两个安全需求集同类型的需求进行融合,
[0123] (2)融合功能安全需求集和信息安全需求集中的预防类需求。
[0124] 对于预防类需求集Rsafety p和R s_"ty p,是预先设置防范措施用于保护系统的安全 需求。工业控制系统中,信息安全一般是由信息层面逐渐向下引入到现场控制层面,功能安 全一般是系统内部逐渐向底层扩散,进而影响物理系统,最后造成财产损失、人员伤亡或环 境破坏。信息安全的预防类措施一般集中于较为上层的信息处理层,功能安全的预防类措 施一般集中于较为下层的实时控制层以及物理系统,其冲突较少。功能安全预防类需求集 Rsafety P和信息安全预防类需求集R s_"ty P的融合过程如图4所示,具体为:从R safety p中的 预防类需求集中取出一则需求,依次与Rs_"ty p中的每则需求进行比较:若都无冲突和冗 余,则将该则需求添加到系统整体安全需求集Rsystao中;若有冲突则检查保护点的位置,若 处于信息层面,则丢弃该则需求,若处于现场控制层面或物理系统,则该则需求添加到系统 整体安全需求集R systao中,并将R s_"ty p相应冲突的需求删除;若有冗余,也丢弃该则需求。 依次步骤,直至Rsafety p为空集,然后,将R s_"ty p中剩余的需求添加到系统整体安全需求集 D 由 ?^system 丁0
[0125] (3)融合功能安全需求集和信息安全需求集中的检测类需求。
[0126] 对于检测类需求集Rsafety ^ Rs_"ty d,在工业控制系统中,一般对系统的影响主要 体现在对系统资源的占用方面,此外,检测类需求一般不会有相互冲突的需求,更多的是检 测项的冗余。因此R safety d与R s_"ty d的融合主要是消除冗余信息,其过程如图5所示,具体 为:从Rsafety d中取出一则需求依次与R s_"ty d中的需求进行比较,若有没有冗余信息,则将 该则需求添加到系统整体安全需求集Rsysteni中;否则将这两则需求合并为一则需求,然后添 加到系统整体安全需求集R systeni中。直至R safety d为空集,然后,将R s_"ty d中剩余的需求添 加到系统整体安全需求集Rsysteni中。
[0127] (4)融合功能安全需求集和信息安全需求集中的响应类需求。
[0128] 对于响应类需求集Rsafety,Rs_"ty y在工业控制系统中,一般会直接改变系统的 行为以应对故障或攻击,两个需求集Rsafety ^和R s_"ty ^中的这类需求由于都是对系统采取 动作,在融合过程中,主要是解决需求的冲突问题。同时,这类需求实现后产生动作对系统 影响最大,有冲突的功能安全响应和信息安全响应不仅不能完成本身的安全保障任务,还 可能会对系统造成严重的影响,因此需要设计更为精细的融合方案。首先,结合行业和系统 的实际情况,制订融合的过程中冲突解决的基本策略,例如,对于安全关键系统,可制定冲 突解决策略为:"当需求集R safetP和R 中的需求有冲突时,以R safetp中的需求为准, 删除中冲突的需求。"还可以以发生冲突的需求涉及的资产所面临的功能安全风 险,与信息安全风险之间的大小来制定冲突解决策略。然后,从RsafetP中取出需求依次与 中的需求比较,若有冲突,采用预先制定的策略进行解决,然后将融合后的需求添 加到系统整体安全需求集Rsystani中;若没有冲突则直接将该需求添加到系统整体安全需求 集R system中。直至R safety ^为空集,然后,将R s_"ty ^中剩余的需求添加到系统整体安全需求 集 Rsystem 中。
[0129] 步骤七:依据各安全措施的实施成本,结合系统的总体成本约束,对系统的整体安 全需求集进行优化。
[0130] 工业控制系统中,其安全防护(包括功能安全保障和信息安全防护)并不是越多 越好,在安全需求设计阶段,安全防护是受到系统分配的安全防护总成本的约束。因此,在 通过上述六个步骤得到系统的整体安全需求集后,还需要根据系统的安全防护总体成本约 束,对需求集进行优化,获得在满足成本约束前提下的系统整体安全需求集。
[0131] (1)分析所有安全需求,评估其实施成本。
[0132] 在进行优化前,首先需要分析系统整体安全需求集中每一则安全需求应对的风 险,列举出能够减缓该风险的所有安全措施(即能够提供相同类型的安全防护的措施),构 成一类安全措施集合。对于每一类安全措施集合,评估其实施成本。安全措施的实施成本 是指系统为实施安全措施而需要付出的额外代价,这里通过计算量和通信量两个指标来衡 量,计算量成本利用专家评估结果通过估算的方法获得,通信量成本指安全措施需要额外 增加的通信字节数,可以根据具体的安全措施直接确定。
[0133] (2)获取系统安全需求设计的总成本约束。
[0134] 然后,根据系统的设计规范,获取系统的安全防护(包括功能安全和信息安全)总 的成本约束,即系统为功能安全保障和信息安全防护所能够付出的最大,包括总的计算量 成本和总的通信量成本。
[0135] (3)对系统的整体安全需求集进行优化。
[0136] 系统整体安全需求集的具体优化过程如图6所示,具体流程为:(a)首先,将步骤 (6)中获得的系统整体安全需求集,按照每则需求所应对的风险等级大小由低到高排序。 (b)依据安全措施的实施成本,计算整个需求集的实施总成本,若没有超出系统安全防护总 的成本约束,则完成优化过程;若超出系统安全防护总的成本约束,则继续。(c)首先判断 Rsystao中的需求是否已处理完,若处理完,则说明在当前系统安全防护总的成本约束下,无 法设计出满足系统或行业风险等级要求的系统安全需求,需要修改系统安全防护总的成本 约束,然后再重新进行系统安全需求设计;若没有处理完,则顺序取出一则需求,在其对应 的安全措施集合中,选取比当前需求中选定的安全措施成本更低的安全措施,作为该则需 求修改后的结果,然后继续。(d)依据步骤三和五判断该则修改后的需求能否满足对应资产 对风险的要求,若能满足则跳转到(b);若不能满足则跳转到(C)。
[0137] 最终得到优化后系统整体安全需求集Rsysteni,即融合功能安全需求与信息安全需 求、且满足系统成本约束的系统安全需求集。
[0138] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以 限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含 在本发明的保护范围之内。
【主权项】
1. 一种工业控制系统功能安全与信息安全的需求分析及融合方法,其特征在于,所述 方法包括如下步骤: (1) 分析系统中的资产,明确其相关属性,形成系统资产清单; (2) 依据系统的资产清单,分析系统资产失效可能引发的危害事故,评估其后果,根据 系统资产与危害事件之间的关联性确定危害事故发生的可能性; (3) 根据危害事故的分析结果,评估其功能安全方面的潜在风险,结合行业对系统的风 险承受能力,确定哪些危害事件需要进一步采取功能安全保障措施,进而确定对系统中功 能安全需求集; (4) 根据系统的资产,分析资产的固有漏洞及其可能面临的信息安全威胁及对应的防 护措施; (5) 根据资产的重要性等级、其漏洞被利用的可能性,采用模糊评估的方法评估资产的 信息安全风险等级,结合系统能够承受的信息安全风险等级,判断需要加强保护的系统资 产,进而确定资产的信息安全防护措施,所有资产需要的保护措施就形成了系统的信息安 全需求集; (6) 将