工业控制系统功能安全与信息安全的需求分析及融合方法
【技术领域】
[0001] 本发明涉及工业控制系统安全控制领域,更具体地,涉及一种针对工业控制系统 的功能安全与信息安全的需求分析及融合方法。
【背景技术】
[0002] 工业控制系统属于生产运行系统,是国家关键基础设施和各类工业生产的大脑和 中枢神经,保障其安全运行至关重要。工业控制系统安全防护需求分析是是保障系统安全 运tx的如提和基础。
[0003] 在工业控制系统中,功能安全是安全控制的一个重要方面,在IEC61508标准中, 功能安全主要是针对与E/E/PE相关的设备及控制系统,避免在系统故障或失效时,被控对 象/过程或其他相关系统导致不可接受的风险,导致经济损失、人员伤亡或环境污染。信息 通信技术在工业控制系统中的广泛应用极大的降低了系统的设计维护成本提高了系统的 性能,但同时也将信息安全问题引入到了工业控制系统中,信息安全业已成为工业控制系 统安全控制的另一个重要的方面。这两种安全并不是相互独立、毫无关系的,而是相互影 响、密切联系的。从安全防护的视角来看,信息安全防护策略有可能会增大系统功能安全方 面的风险,功能安全保障措施也有可能给系统引入新的信息安全漏洞;同时,在某些时刻二 者也会体现出相互促进的一面。总体来说,功能安全保障与信息安全防护在总体目标上是 一致的,都是为了保证系统安全稳定运行,但是其具体的侧重点又有不同。功能安全强调的 是系统运行过程中不导致资产损失、人员伤亡或环境污染,考虑的是系统随机的故障与失 效对外界产生的风险。信息安全强调的是恶意攻击不干扰系统的正常运行,考虑的是恶意 的入侵攻击对系统内产生的风险。
[0004] 功能安全标准IEC61508中规定了工业控制系统功能安全防护步骤,现在已经制 定的IEC62443部分标准也大致明晰了工业控制系统信息安全防护的流程。但是这些标准 大多是从一个方面的安全出发进行考虑,且涉及的安全相关知识较为专业、门槛过高。而目 前,关于综合工业控制系统功能安全与信息安全方面的研究,多是集中于区分二者的概念 与关系,对于其综合安全需求分析与融合尚未提出有效的解决方案。
[0005] 发明专利申请(CN201210186363.X)公开了一种"基于系统资产的软件安全需求 分析方法",在确定系统资产后,通过建成的系统资产库半自动地获得具有系统性、权威性 的分析结果(包括资产所对应的威胁、攻击模式和用于缓和威胁的CC标准安全功能组件), 最终根据结果完成安全概要规范。发明授权专利(CN201110208744. 9),公开了一种"一种 等级驱动的安全需求分析方法",根据用户对系统提出的安全需求等级要求,对根据威胁选 择的安全功能组件进行筛选,再由安全需求分析人员考虑具体技术和安全策略,将最终选 定的安全功能组件描述成安全概要规范。这些专利都是属于IT领域,且仅考虑的是信息安 全。
[0006] 功能安全与信息安全的这些异同点在分析系统安全需求时就使得存在一些相互 冗余或矛盾的安全需求,需要进行融合以获得具有一致性的系统安全需求。目前,国内外尚 未有一套工业控制系统的综合功能安全与信息安全的需求分析与融合方法。
【发明内容】
[0007] 本发明的目的在于提供一种用于工业控制系统的功能安全和信息安全需求分析 及融合的方法,该方法能够为工业控制系统安全控制及防护(综合功能安全和信息安全) 提供一套快速、完整获取安全需求的流程,减小安全需求开发难度、降低安全需求开发成 本,提尚系统综合安全能力。
[0008] 本发明提供了工业控制系统中功能安全与信息安全的需求分析及融合方法,包括 下述步骤;
[0009] 步骤(1)分析系统中的资产,明确其相关属性,形成系统资产清单。其具体过程 为:
[0010] (1. 1)搜集、分析及整理系统的设计文档、说明文档以及用例图;
[0011] (1. 2)分析系统中的功能、数据信息、软硬件资源以及系统运行涉及的人员,将系 统的资产进行分类,分为信息资产、软件资产、物理资产、服务、人员以及无形资产,确定资 产的属性,包括:资产名称、数量、位置、随机失效概率、资产失效后可能引发的危害事故、资 产的重要性以及资产的固有漏洞。其中资产的重要性可以分为非常重要(VI)、重要(I)、一 般(GI)、不重要(UI)、非常不重要(VUI)五个等级。最后形成系统的资产清单。
[0012] 步骤(2)依据系统的资产清单,分析系统资产失效可能引发的危害事故,评估其 后果,根据系统资产与危害事件之间的关联性确定危害事故发生的可能性,其具体过程 为:
[0013] (2. 1)根据系统资产清单及各资产可能引发的危害事故,确定系统中可能发生的 危害事故集合。
[0014] (2. 2)对危害事故集合中的每种危害事故根据专家评估结果采用模糊综合评估方 法评估其发生后产生的后果。
[0015] (2. 3)依据系统资产间的依赖关系,结合资产的失效概率,确定危害事故集合中的 每种危害可能发生的概率。
[0016] 步骤(3)根据危害事故的分析结果,评估其功能安全方面的潜在风险,结合行业 对系统的风险承受能力,确定哪些危害事件需要进一步采取功能安全保障措施,进而确定 对系统中功能安全保护需求(即功能安全需求),其具体过程为:
[0017] (3. 1)结合危害事故发生造成的后果和可能发生的概率,评估各类危险事件的功 能安全风险;
[0018] (3. 2)结合各类危险事件的应对措施,根据各类危险事件功能安全风险等级,判断 是否需要施加对应的功能安全保障措施来降低或消除风险;
[0019] (3. 3)将整个系统所需的功能安全保障综合起来,形成系统的功能安全需求集 Rsafety 0
[0020] 步骤⑷根据系统的资产,分析资产的固有漏洞及其可能面临的信息安全威胁及 对应的防护措施,具体过程为:
[0021] (4. 1)针对资产清单中的各种资产,依据其固有的漏洞,分析可能面临的威胁列 表、以及所有可用的保护措施。
[0022] (4. 2)分析资产的固有漏洞和可能面临的信息安全威胁,依据行业的历史数据,利 用专家评估的数据通过模糊评估方法判断各种漏洞可能被威胁所利用的概率。
[0023] 步骤(5),根据资产的重要性等级、其漏洞被利用的可能性,采用模糊评估的方法 评估资产的信息安全风险等级,结合系统能够承受的信息安全风险等级,判断需要加强保 护的系统资产,进而确定资产的信息安全防护措施,所有资产需要的保护措施就形成了系 统的信息安全防护需求(即信息安全需求集),其具体过程为:
[0024] (5. 1)将资产对应的漏洞列表中的每个漏洞可能被利用的概率进行模糊化得到对 应的模糊向量。
[0025] (5. 2)根据系统的资产列表获得其在系统中的重要性程度(如表1所示,分为三个 等级),并同样将其进行模糊化,得到对应的模糊向量。
[0026] (5.3)将信息安全风险按照行业或系统要求划分等级,例如划分"高(HR)、中 (MR)、低(LR) "三个等级。
[0027] (5. 4)设计系统的信息安全风险模糊评估的隶属度矩阵。然后,结合资产重要性的 模糊向量和对应漏洞被利用可能性的模糊向量,计算出该漏洞的风险模糊向量。并通过模 糊向量的方模糊化得到该漏洞的风险等级。
[0028] (5. 5)根据系统中资产对信息安全风险的承受能力,判断该漏洞是否需要进行防 护,若是则给出防护措施。
[0029] (5. 6)依据上述(5. 1)-(5. 5)完成所有资产的所有漏洞的评估与防护。将整个系 统的将系统的信息安全防护措施综合起来,形成系统的信息安全需求集Rs_? ty。
[0030] 步骤(6),将上述步骤(3)中得到的功能安全需求集Rsafety与步骤(5)中信息安全 需求集R s_"ty进行冲突协调,通过定性的方法对两种安全需求进行融合得到系统整体的安 全需求集R systeni,其具体过程为:
[0031] (6. 1)分别将功能安全需求集和信息安全需求集,按照"预防类"、"检测类"、"响应 类"进行分类。预防类需求是指在功能安全保障或信息安全防护中起预防作用的措施对应 的需求;检测类需求是指在功能安全保障或信息安全防护中进行实时检测(故障检测及入 侵检测)对应的需求;响应类需求是指在功能安全保障或信息安全防护中在检测到问题后 (故障或入侵)系统有针对性的进行响应对应的需求。
[0032] (6. 2)对于功能安全需求集和信息安全需求集中的预防类需求,没有交叉的,则直 接添加进系统整体安全需求集Rsysteni中;有交叉的,针对上层的预防类需求以信息安全需求 为准,针对下层的预