上述步骤(3)中得到的功能安全需求集与步骤(5)中信息安全需求集进行冲突 协调,通过定性的方法对两种安全需求进行融合得到系统整体的安全需求集; (7) 依据各安全措施的实施成本,结合系统的总体成本约束,对系统的整体安全需求集 进行优化,具体过程为: (7. 1)分析系统整体安全需求集中每一则安全需求应对的风险,列举出能够减缓该风 险的所有安全措施,构成一类安全措施集合;对于每一类安全措施集合,评估其实施成本; (7. 2)根据系统的设计规范,获取系统的安全防护总的成本约束,即系统为功能安全保 障和信息安全防护所能够付出的最大,包括总的计算量成本和总的通信量成本; (7. 3)依据系统的总成本约束,结合各安全措施集和中各安全措施的实施成本,对系统 的整体安全需求集进行优化: (7.3. 1)首先,将步骤(6)中获得的系统整体安全需求集,按照每则需求所应对的风险 等级大小由低到尚排序; (7. 3. 2)依据安全措施的实施成本,计算整个需求集的实施总成本,若没有超出系统安 全防护总的成本约束,则完成优化过程;若超出系统安全防护总的成本约束,则继续; (7. 3. 3)首先判断系统的整体安全需求集中的需求是否已处理完,若处理完,则说明在 当前系统安全防护总的成本约束下,无法设计出满足系统或行业风险等级要求的系统安全 需求,需要修改系统安全防护总的成本约束,然后再重新进行系统安全需求设计;若没有处 理完,则顺序取出一则需求,在其对应的安全措施集合中,选取比当前需求中选定的安全措 施成本更低的安全措施,作为该则需求修改后的结果,然后继续; (7. 3. 4)依据步骤(3)和(5)判断该则修改后的需求能否满足对应资产对风险的要求, 若能满足则跳转到(7. 3. 2);若不能满足则跳转到(7. 3. 3)。2. 如权利要求1所述的工业控制系统功能安全与信息安全的需求分析及融合方法,其 特征在于,所述步骤(2)具体包括: (2. 1)根据系统资产清单及各资产可能引发的危害事故,确定系统中可能发生的危害 事故集合; (2. 2)对危害事故集合中的每种危害事故根据专家评估结果采用模糊综合评估方法评 估其发生后产生的后果; (2. 3)依据系统资产间的依赖关系,结合资产的失效概率,确定危害事故集合中的每种 危害可能发生的概率。3. 如权利要求1或2所述的工业控制系统功能安全与信息安全的需求分析及融合方 法,其特征在于,所述步骤(3)具体包括: (3. 1)结合危害事故发生造成的后果和可能发生的概率,评估各类危险事件的功能安 全风险; (3. 2)结合各类危险事件的应对措施,根据各类危险事件功能安全风险等级,判断是否 需要施加对应的功能安全保障措施来降低或消除风险; (3. 3)将整个系统所需的功能安全保障综合起来,形成系统的功能安全需求集。4. 如权利要求1或2所述的工业控制系统功能安全与信息安全的需求分析及融合方 法,其特征在于,所述步骤(4)具体包括: (4. 1)针对资产清单中的各种资产,依据其固有的漏洞,分析可能面临的威胁列表、以 及所有可用的保护措施; (4. 2)分析资产的固有漏洞和可能面临的信息安全威胁,依据行业的历史数据,利用专 家评估的数据通过模糊评估方法判断各种漏洞可能被威胁所利用的概率。5. 如权利要求1或2所述的工业控制系统功能安全与信息安全的需求分析及融合方 法,其特征在于,所述步骤(5)具体包括: (5. 1)将资产对应的漏洞列表中的每个漏洞可能被利用的概率进行模糊化得到对应的 模糊向量; (5. 2)根据系统的资产列表获得其在系统中的重要性程度,并同样将其进行模糊化,得 到对应的模糊向量; (5. 3)将信息安全风险按照行业或系统要求划分等级; (5. 4)设计系统的信息安全风险模糊评估的隶属度矩阵;结合资产重要性的模糊向量 和对应漏洞被利用可能性的模糊向量,计算出该漏洞的风险模糊向量;并通过模糊向量的 方模糊化得到该漏洞的风险等级; (5. 5)根据系统中资产对信息安全风险的承受能力,判断该漏洞是否需要进行防护,若 是则给出防护措施; (5. 6)依据上述(5. 1)-(5. 5)完成所有资产的所有漏洞的评估与防护;将整个系统的 将系统的信息安全防护措施综合起来,形成系统的信息安全需求集。6. 如权利要求1或2所述的工业控制系统功能安全与信息安全的需求分析及融合方 法,其特征在于,所述步骤(6)具体包括: (6. 1)分别将功能安全需求集和信息安全需求集,按照预防类、检测类、响应类进行分 类;预防类需求是指在功能安全保障或信息安全防护中起预防作用的措施对应的需求;检 测类需求是指在功能安全保障或信息安全防护中进行实时检测对应的需求;响应类需求是 指在功能安全保障或信息安全防护中在检测到问题后系统有针对性的进行响应对应的需 求; (6. 2)对于功能安全需求集和信息安全需求集中的预防类需求,没有交叉的,则直接添 加进系统整体安全需求集中;有交叉的,针对上层的预防类需求以信息安全需求为准,针对 下层的预防类需求以功能安全需求为准,去掉冲突的需求,然后融入系统整体安全需求集 中; (6. 3)对于功能安全需求集和信息安全需求集中没有交叉的检测类需求,直接添加入 系统整体安全需求集中;对于有交叉的检测类需求,按照求并集的方式进行融合,然后添加 进系统整体安全需求集中; (6. 4)对于功能安全需求集和信息安全需求集中响应类需求,分析功能安全需求集和 信息安全需求集中的各种响应类需求,结合系统的实际情况,依次制定每个需求的冲突解 决策略。7. 如权利要求1或2所述的工业控制系统功能安全与信息安全的需求分析及融合方 法,其特征在于,所述步骤(1)具体包括: (I. 1)搜集、分析及整理系统的设计文档、说明文档以及用例图; (1. 2)分析系统中的功能、数据信息、软硬件资源以及系统运行涉及的人员,将系统的 资产进行分类,分为信息资产、软件资产、物理资产、服务、人员以及无形资产,确定资产的 属性,包括:资产名称、数量、位置、随机失效概率、资产失效后可能引发的危害事故、资产的 重要性以及资产的固有漏洞;其中资产的重要性分为非常重要、重要、一般、不重要、非常不 重要五个等级,最后形成系统的资产清单。8. 如权利要求7所述的工业控制系统功能安全与信息安全的需求分析及融合方法,其 特征在于,所述步骤(1.2)中: 信息资产包括数据库和数据文件、合同协议、系统文件、研究信息、用户手册、操作或者 支持规程、基本维持运行的安排、审核踪迹、归档信息;软件资产包括应用软件、系统软件、 开发工具、实用程序;物理资产包括工业控制系统设备、电控设备、通信设备可移动媒体; 服务包括设计、安装、调试、运行、维护、计算和通信服务、公用服务设施;人员包括系统涉及 的所有人员,考虑人员的资格、技能以及经验;无形资产是指系统涉及的组织机构的声誉、 形象。9. 如权利要求7所述的工业控制系统功能安全与信息安全的需求分析及融合方法,其 特征在于,所述步骤(1. 3)具体包括: 计算危害事件^可能发生的概率,依据系统的资产清单,分析危害事故与资产之间的 关系,包括:(1. 3. 1)几种资产同时失效引发某一危害事故,危害事件可能发生的概率为10. 如权利要求6所述的工业控制系统功能安全与信息安全的需求分析及融合方法, 其特征在于,所述步骤(6. 4)具体包括: 对于安全关键系统,制定冲突解决策略为:"当响应类需求集RsafetP和R 中的需 求有冲突时,以RsafetP中的需求为准,删除R 中冲突的需求"; 或者以发生冲突的需求涉及的资产所面临的功能安全风险,与信息安全风险之间的大 小来制定冲突解决策略;然后将功能安全需求集和信息安全需求集中的响应类需求逐一对 比,没有冲突的直接添加入系统整体安全需求集中;有冲突的,按照制定的冲突解决策略进 行解决,然后融入到系统整体安全需求集中。
【专利摘要】本发明公开了一种工业控制系统功能安全与信息安全的需求分析及融合方法,包括分析系统中的资产,明确其相关属性,形成系统资产清单;根据系统资产与危害事件之间的关联性确定危害事故发生的可能性;确定哪些危害事件需要进一步采取功能安全保障措施,进而确定对系统中功能安全需求集;分析资产的固有漏洞及其可能面临的信息安全威胁及对应的防护措施;判断需要加强保护的系统资产,进而确定资产的信息安全防护措施,所有资产需要的保护措施就形成了系统的信息安全需求集;将功能安全需求集与信息安全需求集进行冲突协调,得到系统整体的安全需求集;依据各安全措施的实施成本,结合系统的总体成本约束,对系统的整体安全需求集进行优化。
【IPC分类】G05B23/02
【公开号】CN105045251
【申请号】CN201510276161
【发明人】周纯杰, 黄双, 秦元庆, 张琦, 李璇
【申请人】华中科技大学
【公开日】2015年11月11日
【申请日】2015年5月27日