标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 33009.3-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第3部分:评估指南.pdf注:将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O 模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表
4.1.2DCS运行安全总体要求
4.1.2.1实时性要求
DCS应具备实时响应能力GB/T 50308-2017 城市轨道交通工程测量规范,不允许存在不可接受的延迟和抖动。
4.1.2.2可用性要求
DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断 操作需要提前计划
4.1.2.3安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故
4.1.2.4完整性要求
整性要求,不允许未授权用户或者恶意程序对信
4.1.2.5稳定性要求
DCS具有稳定性要求。DCS一且工作不稳定,将存在严重的威胁,导致大批的不合格产品流出, 剧设备的损耗等,
4.1.2.6高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下,长期正常执行其设定的控制功能,期I 发生停车,且具有很好的耐久性和可维修性,
4.2DCS安全风险评估流程框架与流程
.2.1安全要素及其关系
OCS安全要素的关系如图2所示。
图2安全风险评估要素关系图
图2中矩形框部分是安全风险评 基本要素相关的属性。DCS系统安
GB/T 33009.32016
4.2.2DCS安全分析的原理
4.2.3DCS安全风险评估实施流程
图3风险分析原理示意图
DCS安全风险评估实施的具体流程如图4所示。首先对DCS系统的设备、工艺特征、脆弱性和面 临的威胁进行识别并形成评估过程文档,然后识别系统当前安全措施,并结合上述已识别的系统特征对 当前安全措施进行有效性验证,形成评估过程文档,然后对系统的风险进行计算和验证,如果评估得到 的风险无法被评估系统接受,需增加安全措施,然后重新评估安全措施的有效性,直至系统风险可以被 系统接受为止。
GB/T 33009.3—2016
4.3.1风险可接受程度
图4DCS安全风险评估实施流程
根据工业控制系统的组织机构管理以及系统(技术)能力评估系统的风险,针对风险产生的结果采 用网络安全等级(securitylevel,SL)来表示风险管理过程中的不同风险,这样的结果比较直观,根据 SL来确定组织机构的整体安全策略和相应的技术防御措施。同时,组织机构应当综合考虑风险控制成 本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范 围内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持已经有的安全 措施;如果风险评估值在可接受的范围外,但是低于不可接受范围的下限值,则该风险需要采取安全措 施降低、并控制风险到可接受的程度;如果评估的风险从经济,健康,安全和环境方面进行评估后发现风 险是不可以接受的,那么就要对现有的系统重新设计网络安全程序。见图5。其中的风险评估的工具 和方法参见附录B。
图5风险可接受的程度
当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风 验计算值在可接受的范围内,则该风险是可接受的风险,应保持已有的安全措施;如果风险评估值在可 接受的范围外,即风险计算值高于可接受范围的上限值,是不可接受的风险,需要采取安全措施以降低 控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,设定可接受风险值的基准,达 到相应等级的风险都进行处理。 注1:DCS利用可供选用的各种配置的功能和元件执行要求的任务,系统的该特征难以仅通过评定每一个单独功 能和元件的特征来综合评估一个系统的网络安全能力; 注2:DCS网络安全风险评估的深度在很大程度上取决于系统的复杂程度、生产工艺过程复杂度以及边界影响条 件以及评估的目的; 注3:评估的范围可以采用汇总统计表的形式,在一个轴线上列出系统的特性,另一轴线上列出需考虑的安全影响 条件。统计表的方格可用于记录对于每一种系统特性哪一种安全影响条件需要加以考虑
4.3.2风险评估结果
评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为 级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度 提供了一种风险等级划分方法
表1DCS风险等级的划分
DCS系统安全风险评估是对DCS所处的系统网络层级结构、数据采集与传输协议、DCS硬件设备 及模块、DCS监控软件、OPC软件、网络层级间的防护措施、安全防护设备、安全管理措施及执行情况、 生产工艺及流程、人员及场地特征、安全应急响应组织结构等进行全面的安全分析。同时,结合不同行 业的具体工业安全需求对DCS中的高危性业务(可能存在爆炸、有毒、高腐蚀性气体或严重污染环境液 泄漏的业务)关键流程或关键业务的关联性业务、关键业务或控制站进行独立评估。风险评估的准备是 整个风险评估过程有效性的基础。组织实施风险评估是一种全面的系统工作,其结果将受到生产行业、 业务流程、安全需求、系统规模、系统配置、管理制度等方面的影响。因此,在风险评估实施前,应: a) 确定DCS风险评估的目标; b) 确定DCS风险评估的范围; 组建评估管理与实施团队; d)进行系统调研; 确定评估依据和方法; 获得最高管理者对风险评估工作的支持
5.2确定DCS评估目标
识别与记录组织所应用的DCS在技术与管理上的潜在不足,以及可能造成的安全风险(包括人员、 环境、社会以及国家安全方面的影响),维护与保证组织在业务持续性发展上的特定安全需要。 评估的目标,由被评估方给出基本要求,评估方进行调研后,提出具体评估子目标,双方协商后确定 具体评估目标
拟采用问卷调查、现场面谈相结合的方式进行调研,调研内容应至少包括: a)企业主要生产业务类型、原料、加工或生产工艺过程、产品及其质量要求; b) 企业网络架构和网络连接情况(包括外网、内网); c) 企业的DCS应用情况(主要的控制器、智能设备、传感器、执行器、应用软件、网络设备的型号、 安装时间);
d)DCS以往安全事故; e)DCS网络安全管理制度、责任或管理部门; f)关键生产业务部门或部位的运行过程及其相关人员、管理制度、接口情况; g)企业组织已经实施的工业控制网络安全措施与规程; h)其他企业组织已实施的工业控制网络安全措施与规程的经验; 以往DCS的安全风险评估记录与结果; i)其他
5.6确定评估依据与方法
制定评估方案的目的是为后续评估活动的实施提供一个总体计划,用于指导实施方开展后续工作, 平估方案的内容一般包括(但不仅限于): a)组织架构:包括评估团队成员、组织结构、角色、责任等内容; b)工作计划:评估各阶段的工作计划,包括工作内容、工作形式、以及希望获得的支持、预期工作 成果等内容; c)时间进度安排:项目实施的时间进度安排。
上述所有内容确定后,应形成较为完整的安全风险评估实施方案,得到组织最高管理部门的支 ;对管理层和技术人员进行传达,在组织架构范围内就风险评估相关内容进行培训,以明确有关 评估中的任务
6.1.1建立资产清单与分组
物处理设施等。表2是根据功能的不同对DCS设备进行的一种分类
GB/T33009.3—2016
在对资产进行识别时需要对其工作原理、基本配置和技术参数进行了解、记录和测试。测试可 我下、近似或在模拟控制系统的环境下进行,一旦影响正常的DCS运行的实时性、可靠性和安全性 不允许继续测试,
6.1.2分析检查网络拓折
在对被评估系统进行详细评估前,应对待评估系统的范围或边界、设备的互联互通关系、设备 的方式、通信协议、通信端口进行清晰的了解
6.1.3DCS设备安全属性赋值
可用性、完整性、保密性是评价DCS设备的三个安全属性。风险评估中DCS设备的价值不是以 DCS设备的经济价值来衡量,而是由DCS设备在这三个安全属性上的达成程度或者其安全属性未达成 时所造成的影响程度来决定的。安全属性达成程度的不同将使DCS设备具有不同的价值,而DCS设 备面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。 具体可用性、完整性、保密性赋值细节见GB20984一2007中的5.2.2。
6.2.1DCS 脆弱性内容
要了解物理(包括人员)和电子脆弱性之间的相互作用,熟悉企业对DCS系统的相关管理制度和流程也 至关重要。 DCS脆弱性的数据应来自于资产的所有者、DCS操作者,以及相关业务领域和DCS软硬件方面的 专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、人工测试等。 脆弱性识别主要从技术和管理两个方面进行,具体的脆弱性识别对象和实施过程参见集散控制系 统(DCS)风险与脆弱性检测要求,
6.2.2DCS脆弱性赋值
可以根据对工艺的影响程度、技术实现的难易程度、脆弱性的流 脆弱性的严重程度进行赋值。对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。 因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数 值越大,脆弱性严重程度越高。表3提供了脆弱性严重程度的一种赋值方法
表3脆弱性严重程度赋值示例
6.3. 1 威胁分类
威胁可能来源于组织内部或组织外部,表现为不同形式,但最为常见的三种形式是: 疏忽或误操作:某人对正确的系统控制流程、工艺过程和安全策略不熟悉,或由于无意疏忽导 致偶然风险。也可能是由于组织不了解所有风险,在运行复杂的工业自动化和控制系统时,偶 然的事故使这些风险呈现出来; b)未经确认的修改:对控制系统、工业应用软件、工艺过程、控制参数、配置、连接和设备进行升 级、修改或其他改变,可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全 威胁; 蓄意的破坏和攻击:个人或组织通过网络或内部人员对控制系统进行破坏或窃取信息或数据 可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全威胁
值越大,威胁出现的频率越高。 表4提供了威胁出现频率的一种赋值方法。在实际的评估中,威胁频率的判断依据应在评估准备 阶段根据历史统计或行业判断予以确定
工艺重要性应依据该工艺环节遭受破坏后,对整个工业生产或企业经营的影响程度进行综合评定 得出。综合评定的方法可以根据组织自身的特点,以对生产和经营过程影响的严重等级作为工艺重要 性的最终赋值结果。本部分中,工艺重要性分为四级,级别越高表示工艺对生产过程和企业经营影响越 严重,如表5所示。组织也可以根据自身实际情况确定工艺重要性的赋值依据和取值。生产业务工艺 重要性越高,受到的威胁频率会越高
表 5 系统工艺重要性定义示例
工艺影响性应依据该工艺环节遭受破坏后,对人员、环境、地区公共财产和国家安全等可能造成的 影响进行评定得出。评定的方法可以根据生产工艺过程中各环节的高温、高压、有毒原料生产等特点, 以其实际遭受攻击后对外部造成后果的严重程度作为最终赋值结果。本部分中,工艺影响性分为四级, 级别越高表示工艺环节遭受破坏后,对外界的影响越严重,如表6所示。组织也可以根据自身实际情况 确定工艺影响性的赋值依据和取值。生产业务工艺影响性越高,设备价值就越高
表6DCS系统工艺影响性定义示例
工艺复杂度由工业生产过程的复杂程度和控制系统的复杂程度来综合评定得出。评定的方法可以 根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统复合状态、系统的阶段和层次等属性建模 进行综合描述。本部分对工艺复杂度给出一个示例,以工艺环节、工序数量、系统层次和系统节点数为 衡量依据,将工艺复杂度分为四级,级别越高表示工艺过程及其实现系统越复杂,存在潜在脆弱性可能 性越高,如表7所示。组织也可以根据自身所处工业行业的工艺特点,建模确定工艺复杂度的评估依据 和取值。生产业务工艺的复杂性会影响控制系统的脆弱性,工艺控制环节越复杂,工业控制系统存在的 脆弱性越多,脆弱性之间潜在的关联性越强
表7DCS系统工艺复杂度定义示例
GB/T3300932016
8安全风险评估文档记录
8.1评估文档记录要求
记录安全风险评估过程的相关文档,可参照GB20984一2007中的文档要求,应符合以下要求(但 不仅限于此): 确保文档发布前是得到批准的; b) 确保文档的更改和现行修订状态是可识别的; ) 确保文档的分发得到适当的控制,并确保在使用时可获得有关版本的适用文档; d 防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的 标识。 对于安全风险评估过程中形成的相关文档,还应规定其标识、储存、保护、检索、保存期限以及处置 所需的控制, 相关文档是否需要以及详略程度由组织的管理者来决定。
评估文档是指在整个DCS安全风险评估过程中产生的评估过程文档和评估结果文档,包括(但不 于此): a)安全风险评估方案:阐述评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等; b)安全风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要 的各种资产、威胁、脆弱性识别和判断依据; c) DCS设备识别清单:根据组织在评估程序文件中所确定的分类方法进行DCS设备识别,形成 DCS设备识别清单,明确资产的责任人/部门,并对关键部位标注名称、描述、类型、重要程度; d)工艺特征识别文件,根据组织在评估程序文件中所确定的分类方法对生产工艺的重要性、影响 性和复杂性进行识别赋值,形成DCS系统的生产工艺特征识别文件,其中要包括生产工艺过 程、工艺环节和工序进行具体说明,明确工艺特征赋值的判断依据; DCS威胁列表:根据威胁识别结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的 频率等; f DCS脆弱性列表:根据脆弱性识别结果,形成脆弱性列表,包括具体弱点的名称、描述、类型及 严重程度等; g) DCS已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表, 包括已有安全措施名称、类型、功能描述及实施效果等; h DCS风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方 法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容; 1 DCS风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择确定适当的控制 目标,选择适当的安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安 全措施的有效性; DCS风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过 程,并作为产生歧义后解决问题的依据。
GB 28365-2012 食品添加剂 4-羟基-2,5-二甲基-3(2H)呋喃酮附录A (规范性附录) DCS生命周期各阶段的安全风险评估
安全风险评估应贯穿于DCS系统生命周期的各阶段中。DCS系统生命周期各阶段中涉及的安全 风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得安全风险评估的 对象、目的、要求等各方面也有所不同。具体而言,在规划设计阶段,通过风险评估以确定系统的安全目 标;在建设验收阶段,通过安全风险评估以确定系统的安全目标达成与否;在运行维护阶段,要不断地实 施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得 以实现。因此,每个阶段安全风险评估的具体实施应根据该阶段的特点有所侧重地进行。有条件时,应 采用安全风险评估工具开展评估活动。 图A.1描述了网络安全等级生命周期。在安全生命周期的评估阶段给区域分配SL(目标)。在实 施阶段执行对抗措施以满足区域要求的SL(目标)。一个区域的SL(达到的)依赖于多种因素。为了确 保区域的SL(达到的)始终优于或等于SL(目标),必要时,在安全生命周期的维护阶段应审计和/或测 试并升级对抗措施
图A.1网络安全等级生命周期
DCS安全生命周期的评估阶段包括图A.2所示的活动。在给区域分配安全目标前,应建立以下 内容: a) 区域边界; b)组织的风险容忍准则。
GB/T 33009.32016
图A.2网络安全等级生命周期—评估阶段
QX/T 619-2021 农业气象和生态气象资料分类与编码图A.3网络安全等级生命周期——实施阶段
设备和系统的 者当发块 新脆弱性时进行审计和/或测 目标的达成度始终大于或等于设定的安全目标。与
GB/T 33009.32016