GB/T 40211-2021 标准规范下载简介
GB/T 40211-2021 工业通信网络 网络和系统安全 术语、概念和.pdf简介:
GB/T 40211-2021 工业通信网络 网络和系统安全 术语、概念和.pdf部分内容预览:
工业自动化和控制系统在复杂的环境下运行。组织越来越需要信息在工业自动化和业务之间共 享,在一个项目中的合作伙伴可能是另外一个项目中的竞争对手。然而,由于工业自动化和控制系统的 没备是直接和工艺过程相连的,安全遭到破坏的后果不仅仅是丧失了商业保密或在信息传送中发生中 断,还可能带来潜在的对人员或生产造成损失、破坏环境、违反法律法规和危及运行安全等更严重的后 果。这可能会衍生出组织所不期望的结果,甚至可能对所在地区或国家的基础设施造成破坏。 威胁不仅仅来自外部,内部具有一定技术能力的人员意或无意的行为也可能导致严重安全风险 另外,工业自动化和控制系统还经常和其他业务系统相连。对运行系统的修改和测试还会对系统的运 行产生没有意识到的影响。控制系统区域之外的人对系统所进行的安全测试,更加剧了这些影响的数 量和程度。综合上述因素,显而易见,潜在的对工业过程获得未授权或破环性访问的风险并不是微不足 道的。 虽然技术变化和合作伙伴关系可能对业务行为是有益的,但也增加了破坏安全的潜在风险。正因 为对于业务的威胁增加了,所以对于安全的需要也随之增加
工业自动化和控制系统是从单个的、独立的、专用操作系统和网络向互联的系统和使用商用技术 (即,操作系统和协议)的应用逐渐演化的。工业自动化和控制系统正在通过各种通信网络与企业管理 系统和其他业务应用集成。随着这种集成度的增加,带来了包括以下在内的巨大商业价值: a) 增加了工业控制系统各项活动的可见性(工作进程、设备状态、生产进度),从业务层面集成工 业过程系统,可以提高分析的能力,从而降低成本,提高生产力; b) 集成制造和生产系统,可以更直接获得商业信息,有利于形成具有快速响应能力的企业; ) 通用的接口降低了总体维护成本,并允许对生产过程的远程支持; d)对过程控制系统的远程监视可以降低成本并有利于更快速地解决问题。 通过定义、术语和信息交换的标准,使得工业自动化和控制系统行业以一致的方式分享信息是 可能的。然而,这种交换信息的能力增加了有恶意企图的个人进行攻击或误操作的脆弱性,从而给使用 工业自动化和控制系统的企业带来潜在的风险。 在物理硬件、编程和通信方面,工业自动化和控制系统的配置非常复杂。这种复杂性使得下列问题 难以确定: 授权谁可以访问电子信息; 一用户何时能访问信息; 用户访问何种数据或功能; 访问请求源的位置; 如何请求访问,
了解开放式操作系统和网络特性的人,具有潜在的人侵控制台设备、远程设备、数据库、在某些情
下是控制平台的可能性。侵工业自动化和控制系统可能出现的后果包括: a) 未授权访问、窃取或滥用保密信息; b 向未经授权的目的地发布信息; C 丧失过程数据和生产信息的完整性或可靠性; d) 丧失系统的可用性; e) 扰乱过程,导致过程的功能出错,降低产品质量,丧失生产能力,危及过程安全JC∕T 2110-2012 室内空气离子浓度测试方法,或造成向环境 的排放; f) 设备损坏; g) 人员伤害; h) 违反法律法规; 1) 带来公共健康和信任的风险; 心 对国家安全造成威胁
本章描述儿个基本概念,这些概念构成了后面章节以及IEC62443其他标准的基础。特别是解决 了下列问题: a)哪些是用于描述安全的主要概念; b)哪些重要概念构成了完整的安全程序的基础
IACS和通用IT系统
根据应用场景的不同,系统的完整性也可具有最高优先级。某些运行要求各个部件或系统具有不 同的优先级目标(即完整性或可用性可优先于保密性,或反之),从而使得组织采取不同的应对措施达到 这些安全目标
般通过单一措施或技术很难达到安全的目标 法是使用纵深防御的概念,即通过 分层或步进的方式采用多重措施。例如,人侵检测系终 统可以用来通知防火墙已被突破
安全上下文构成了解释术语和概念的基础,并给出了安全各要素之间的相互关系。这里所说安全 20
图2上下文要素相互关系
图3的上下文给出了与安全保证和威胁一风险评估两个相互关联的过程有关的一套扩展
5.6.2.2资产估值
界定一个对象是否能称为物理资产或逻辑资产,其首先应被一个组织所拥有或保管,并且对组织有 介值。价值的评估可以是定性的或定量的。一些组织认为定性评估是合适的,因为它们在风险分析过 中也是用定性的方法表述资产损失。 a) 资产定量估值:给出定量的评估值,与之相关的是精确的资金损失。可能依据更换成本、失销 成本,以及其他资金方面的度量。定量分析需要严格的成本分析以获得精确的数值,但不能为 组织提供关于损失的潜在影响的清晰描绘 D 资产定性估值:定性损失通常用更为抽象的方式来表述损失,例如百分比或类似于低影响、高 影响、无影响这样的相对值。很多资产仅能用定性损失来分析。风险评估过程可以从定性评 估开始,来证实高风险,并论证为降低风险而在补救措施上的资金投入行为的有效性,然后再
用定量分析作为支持,给出详细的风险情况描绘。 价值可以按照产生损失的类型来进行分类: 直接损失:直接损失代表的是更新资产的成本。对物理资产而言,包括设备本身更新的成本。 逻辑资产与其实用价值比较,直接损失相对较低,因为存储资产的媒体一般成本比较低。 1 间接损失:间接损失代表了由于丧失资产组织将会面对的任何损失。这可以包括生产过程的 停工期、返工或其他由于资产丧失导致的生产成本。物理资产的间接损失一般包括由于部件 损坏对下游产生的影响。逻辑资产的间接损失一般更大,包括丧失公共信任,由于违规丧失生 产许可,由于泄露了知识产权丧失竞争优势(如保密过程的技术)
5.6.2.3损失分类
产类型和价值评估的信息,可以列出各种资产的
简单来讲,脆弱性是系统、部件或组织固有的弱点。 脆弱性可能是来自有意的设计选择,也可能源于错误理解运行环境的偶然情况。脆弱性还有可能 在设备老化直至最终被淘汰的过程中显现。与正常运行或受控的设备相比,这种情况通常发生在较短 的时间内。脆弱性不仅仅限于电子或网络系统。了解物理(包括人员)和电子脆弱性之间的相互作用,
对于建立有效的工业自动化和控制系统安全是至关重要的。 一个最初只包含有限脆弱性的工业自动化和控制系统,随着环境变化、技术变化、系统部件的故障, 替换部件的不可用、人员流动以及更高级的威胁的出现,可能会变得更加易受攻击,
的后果的几率。风险是威胁、脆弱性和后果的函数,由于特定威胁或脆弱性对组织的资产造成特定损 害,因而后果对组织造成负面影响。威胁和脆弱性可以用可能性来表示,可能性是特定行为发生的 率。 资产拥有者在估计风险时应归类并包括缓解或修补的成本。它们还应当采取适当的对抗措施来缓 解最严重的安全题,以达到最低的经济损失。 任何合理的风险评估方法都应采用层次化的方法对所有涉及的系统进行分析,从最靠近威胁的系 统开始,逐渐深人。基本的风险评估过程包括三步: a)风险初始评估; b) 实施风险缓解对抗措施; c)评估残余风险。 第2步和第3步可以根据需要重复进行,以将该残余风险降低到可接受的水平。特别的,第2步还 包括评估现有控制和实施计划,增加补救措施或其他对抗措施。更具体的确定风险过程的描述将在 IEC62443以后部分给出。 需要考虑的典型风险通常包括: 人员安全的风险,例如死亡或受伤; b 过程安全风险,例如设备损坏或业务中断; 安全风险,例如成本、违法或损害品牌形象; 环境风险,例如违规,违法或有重大影响; 业务连续性的风险,例如业务中断
5.6.4.2风险容忍等级
5.6.4.3风险响应
对风险可以有几种潜在响应。组织可以根据不同的环境,采取一些组合行动
a)设计排除风险:一种缓解形式是修改设计以排除风险。一些风险存在仅仅是由于可以“访问”, 而“访问”是并不需要的。禁用不必要的功能或限制对功能的访问可以降低风险。组织可以采 取适当的业务决策,就不会产生风险。这些响应包括拒绝某些事情,无论是对新的供应商的产 品、系统或关系。 b 降低风险:通过实施对抗措施可以降低被攻击的可能性或后果,将风险降低到一个可接受的水 平。这里关键是达到一定的安全水平,而不是排除风险。 接受风险:还有一种选择是接受风险,将它看作是开展业务的代价。组织需要承担一定的风 险,而且不是总能有效地缓解或转移风险。 d 转移或分担风险:也可以通过建立保险或协议来转移部分或全部风险到第三方。一个典型的 例子是外包实现某些功能或服务。这种方法不是总有效,因为可能不能覆盖所有资产。安全 策略可以恢复某些破坏,但不可能恢复像丧失客户信任这样的逻辑资产的损失。 e 排除或重新设计多余的或无效的控制:好的评估过程将识别这些需要处理的控制,以便更加关 注有效的控制
5.6.5.2被动威胁
被动信息的收集能为潜在人侵者提供有价值的信息。威胁代理经常通过与雇员、合同承包商随意 的语言交流来收集被动信息。当然,设施内部或外部的人员也可以通过视觉观察来收集被动信息。被 动信息收集可以包括倒班数据、设备运行数据、后勤供给、巡逻计划以及其他脆弱性。被动信息收集可 能难以被探测到,特别是当信息从不同的信息源被零星收集的情况下。保持对好奇人员、摄影师以及 些经常在它们责任区域外活动的人的持续观察可以帮助组织判断出正在遭受被动信息收集,特别是在
与精确背景调查信息结合时。 侦听是一种被动威胁的例子。它是监视通信流中数据的行为。搭线窃听、截取信息流中的数据是 最为常见的侦听方法。侦听可能很复杂。侦听各种通信网络的数据的工具随处可见。虽然这些设备通 常被用于配置管理、网络故障诊断以及分析数据通信量,但它们也可以用于收集任何发生在跨网络数据 交换的特定数据。例如,包侦听和密码侦听过程中,攻击者通过远程交换机或计算机潜伏在网络上。侦 听工具被动监视通过网络发送的信息,并将泄密的信息送到磁盘上,这些信息随后可以被下载并用来分 析,从而获得用户的身份和密码
5.6.5.3主动威胁
《乙烯基酯树脂防腐蚀工程技术规范 GB/T 50590-2010》5.6.5.3.1概述
5.6.5.3.2通信
通信攻击意图是中断工业自动化和控制系统的通信。通信攻击可以通过各种方式进行。 可以发生在系统内各个层次上,从计算机处理器往上各层,以及从企业外部,以“拒绝服务”方 系统进行攻击
别墅施工图5.6.5.3.3数据库注入
安全代码、旁路防火墙执行未经授权的命 注入攻击用于从数据库窃取通常无法获得的信息 王机访间
5.6.5.3.4重放