CN116405287A - 工控系统网络安全评估方法、设备和介质 - Google Patents
工控系统网络安全评估方法、设备和介质 Download PDFInfo
- Publication number
- CN116405287A CN116405287A CN202310365467.5A CN202310365467A CN116405287A CN 116405287 A CN116405287 A CN 116405287A CN 202310365467 A CN202310365467 A CN 202310365467A CN 116405287 A CN116405287 A CN 116405287A
- Authority
- CN
- China
- Prior art keywords
- protection
- security assessment
- industrial control
- assessment model
- intrusion attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 239000010410 layer Substances 0.000 claims abstract description 68
- 239000011241 protective layer Substances 0.000 claims abstract description 25
- 230000006870 function Effects 0.000 claims description 22
- 238000012502 risk assessment Methods 0.000 claims description 18
- 206010033799 Paralysis Diseases 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000004519 manufacturing process Methods 0.000 claims description 13
- 230000001681 protective effect Effects 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 19
- 238000004445 quantitative analysis Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 238000004451 qualitative analysis Methods 0.000 description 13
- 238000013139 quantization Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 238000011161 development Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000010485 coping Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000011002 quantification Methods 0.000 description 4
- 238000011835 investigation Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013278 delphi method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000011282 treatment Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开的实施例涉及一种工控系统网络安全评估方法、设备和介质,其中所述方法包括:对工控网络系统执行安全评估建模,从而建立包括防护层的基础安全评估模型;基于所建立的基础安全评估模型中的防护层,设置对应于防护层的防护条件;获取对应于工控网络系统的入侵攻击,从而建立入侵攻击数据库;基于入侵攻击数据库,确定入侵攻击对应于基础安全评估模型的防护后果;以及基于所确定的基础安全评估模型、防护条件和防护后果,确定关于工控网络系统的防护成功的概率值。
Description
技术领域
本公开的实施例总体涉及工业控制领域,并且更具体地涉及一种工控系统网络安全评估方法、设备和介质。
背景技术
在工控风险评估过程中,可以采用多种操作方法,包括经验分析、定性分析和定量分析。无论何种方法,共同的目标都是找出工控网络系统所面临的风险及影响,以及目前安全水平与安全需求之间的差距。
在工控风险分析的过程中,需要采用风险评估工具进行风险评估,以提高风险评估效率,及时发现工控系统面临的风险。现有技术中包括经验分析法、定量分析法和定性分析法。
经验分析法又称为基于知识的分析方法,可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。经验风险法比较适合经验比较少的操作者,由经验比较丰富的操作者按照标准和惯例制订安全基线,供经验比较少的操作者借鉴使用。
基于知识的分析方法,最重要的还在于评估信息的采集。信息采集方法包括:会议讨论;对当前的信息安全策略和相关文档进行复查;制作问卷,进行调查;对相关人员进行访谈;进行实地考察等。
定量分析法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单地说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性,另一个就是威胁事件可能引起的损失。理论上讲,通过定量分析可以对安全风险进行准确地分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析方法的比较少了。
定性分析方法是目前采用最为广泛的一种方法,它具有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值、威胁的可能性、弱点被利用的容易度、现有控制措施的效力等)的大小或高低程度定性分级,例如分为“高”、“中”、“低”三级。
定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。
与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。
上述传统的经验分析法,还是定性、定量分析法的方案的核心思想都是依据威胁出现的频率、脆弱性的严重程度来确认安全事件发生的可能性,依据资产价值和脆弱性的严重程度来确认安全事件会造成的损失,最终从安全事件发生的可能性和损失来判断风险值。
综上,传统的工控系统网络安全评估方法的不足之处在于:传统系统安全风险评估重点为数据安全,而控制系统风险评估所关注重点为生产安全和物理安全,传统信息安全风险评估方法未建立控制系统信息安全与生产安全/功能安全相互联系。
发明内容
针对上述问题,本公开提供了一种工控系统网络安全评估方法、设备和介质,能够客观并准确评估工控网络系统安全。
根据本公开的第一方面,提供了一种工控系统网络安全评估方法,其中所述方法包括:对工控网络系统执行安全评估建模,从而建立包括防护层的基础安全评估模型;基于所建立的基础安全评估模型中的防护层,设置对应于防护层的防护条件;获取对应于工控网络系统的入侵攻击,从而建立入侵攻击数据库;基于入侵攻击数据库,确定入侵攻击对应于基础安全评估模型的防护后果;以及基于所确定的基础安全评估模型、防护条件和防护后果,确定关于工控网络系统的防护成功的概率值。
根据本公开的第二方面,提供了一种计算设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开的第一方面的方法。
在本公开的第三方面中,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中计算机指令用于使计算机执行本公开的第一方面的方法。
在一些实施例中,确定入侵攻击对应于基础安全评估模型的防护后果包括:基于所建立的包括防护层的基础安全评估模型,确定对应于入侵攻击和防护层的时序逻辑关系;以及基于所述时序逻辑关系以及基础安全评估模型的有效度,确定入侵攻击对应于基础安全评估模型的防护后果。
在一些实施例中,基于所确定的基础安全评估模型、防护条件和防护后果确定关于工控网络系统的防护成功的概率值包括:对防护层应对入侵攻击的有效度进行量化,量化类指标包括防护层应对入侵攻击防护成功率、对应于单个防护层的风险值和指标权重;以及基于所计算的防护成功率、对应于单个防护层的风险值和指标权重,经由预定函数,为所述量化类指标赋值风险概率。。
在一些实施例中,基于所确定的基础安全评估模型、防护条件和防护后果确定防护成功的概率值还包括:确定入侵攻击对应于基础安全评估模型的防护后果所途经的防护层的路径;基于所确定的路径,确定入侵攻击对应于各防护层的第一概率;以及基于所确定的第一概率,确定入侵攻击对应于防护后果的第二概率。
在一些实施例中,基于所确定的基础安全评估模型、防护条件和防护后果确定关于工控网络系统的防护成功的概率值还包括:基于确定的第一概率和第二概率,构建对应于入侵攻击的防护层的受攻击图;
确定受攻击图中的防护层环路以及无解的防护层节点;以及采用分层指标分析法确定工控系统网络安全评估体系,从而获取工控网络系统的风险评估结果。
在一些实施例中,所述基础安全评估模型包括以下各项中的一项或多项:物理防护层、网络防护层、自动控制层、手动控制层、应急措施层以及主机防护层。
在一些实施例中,所述防护后果包括以下各项中的一项或多项:数据安全、监控正常、操作正常、控制正常、生产正常以及物理安全。
在一些实施例中,防护条件包括以下至少一项:物理瘫痪、网络瘫痪、控制瘫痪以及系统瘫痪。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标注表示相同或相似的元素。
图1示出了用于实现根据本公开的实施例的工控系统网络安全评估方法的系统100的示意图。
图2示出了根据本公开的实施例的工控系统网络安全评估方法200的流程图。
图3示出了根据本发明实施例的包括防护层的基础安全评估模型。
图4示出了根据本发明实施例的控制系统综合风险事件树模型。
图5示出了根据本公开的实施例的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
在本文中使用的术语“包括”及其变形表示开放性包括,即“包括但不限于”。除非特别申明,术语“或”表示“和/或”。术语“基于”表示“至少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“至少一个示例实施例”。术语“另一实施例”表示“至少一个另外的实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
图1示出了用于实现根据本公开的实施例的工控系统网络安全评估方法的系统100的示意图。如图1中所示,系统100包括计算设备110和工控网络管理设备130和网络140。计算设备110、工控网络管理设备130可以通过网络140(例如,因特网)进行数据交互。
工控网络管理设备130,其例如可以执行工控系统网络安全评估等功能。工控网络管理设备130还可以将确定的工控系统网络安全评估数据发送到计算设备110。工控网络管理设备130可以具有一个或多个处理单元,包括诸如GPU、FPGA和ASIC等的专用处理单元以及诸如CPU的通用处理单元,例如而不限于:可执行中文数据读取和修改的台式计算机、膝上型计算机、上网本计算机、平板电脑、网络浏览器、电子书阅读器、个人数字助理(PDA)和可穿戴计算机(诸如智能手表和活动追踪器设备)等。
关于计算设备110,其例如用于经由网络140接收来自工控网络管理设备130的工控系统网络安全评估数据;在工控系统网络安全评估系统上实现工控系统网络安全评估。计算设备110可以具有一个或多个处理单元,包括诸如GPU、FPGA和ASIC等的专用处理单元以及诸如CPU的通用处理单元。另外,在每个计算设备110上也可以运行着一个或多个虚拟机。在一些实施例中,计算设备110与工控网络管理设备130可以集成在一起,也可以是彼此分立设置。在一些实施例中,计算设备110例如包括建模模块112、设置模块114、数据库模块116、后果确定模块118以及概率确定模块120。
建模模块112,所述建模模块112配置成对工控网络系统执行安全评估建模,从而建立包括防护层的基础安全评估模型。
设置模块114,所述设置模块114配置成基于所建立的基础安全评估模型中的防护层,设置对应于防护层的防护条件。
数据库模块116,所述数据库模块116配置成获取对应于工控网络系统的入侵攻击,从而建立入侵攻击数据库。
后果确定模块118,所述后果确定模块118配置成基于入侵攻击数据库,确定入侵攻击对应于基础安全评估模型的防护后果。
概率确定模块120,所述概率模块120配置成基于所确定的基础安全评估模型、防护条件和防护后果,确定关于工控网络系统的防护成功的概率值。
图2示出了根据本公开的实施例的工控系统网络安全评估方法200的流程图。方法200可由如图1所示的计算设备110执行,也可以在图5所示的电子设备500处执行。应当理解的是,方法200还可以包括未示出的附加框和/或可以省略所示出的框,本公开的范围在此方面不受限制。
在步骤202,计算设备110可以对工控网络系统执行安全评估建模,从而建立包括防护层的基础安全评估模型。
计算设备110可以采用综合风险分析事件树模型建模,即工控系统网络安全评估模块。模型不同于传统信息安全将系统资产逐个进行分析评估并累加的方法,而是把控制系统作为一个整体,从控制系统生产业务连续性,重点关注控制系统的控制功能,并考虑物理安全、信息安全和功能安全三者潜在的相互作用及其影响后果。
包括防护层的基础安全评估模型从控制系统的边界防护、主机防护、网络防护、控制单元防护和额外的手动控制、应急措施等方面分析对控制系统数据、监控、远程操作、自动控制、生产和安全等后果进行影响分析,依据相互依赖关系,评估各个节点脆弱性引发对整个控制系统的影响后果。
图3示出了根据本发明实施例的包括防护层的基础安全评估模型。如图3所示,模型为控制系统综合风险事件树模型,初始事件为威胁入侵,防护措施分为物理防护、网络防护、自动控制 、手动控制、应急措施、主机防护,增加网络瘫痪条件,对控制系统的后果影响分为数据安全、监控正常、操作正常、控制正常、生产正常、物理安全 。
物理防护是指针对控制系统物理空间的防护,如保安系统、门禁、机柜、各类物理锁等防护措施。
网络防护是指针对控制网络的防护,包括防火墙、交换机、网络入侵检测系统、网络审计系统等网络防护措施。
自动控制是指控制系统自动运行控制防护,包括各类控制系统防护技术、恢复技术等防护措施。
手动控制是指控制系统手动操作控制防护,包括各类机械、电气、液压等手动操作防护措施。
应急措施是指控制系统的应急保障措施,包括后备保护系统、紧急停车系统等防止由于控制系统异常控制导致被控设备物理破坏的应急保障防护措施;
主机防护是指控制系统中操作员站、工程师站、各类服务器(通信服务器、历史服务器等)等主机的防护措施,包括主机防护系统、终端安全管理系统、杀毒软件、白名单防护软件、可信计算、综合日志审计系统等针对主机的防护措施。
如上所述,在一个实施例中,防护层包括以下防护层中的一项或多项:物理防护层、网络防护层、自动控制层、手动控制层、应急措施层以及主机防护层。用户还可以根据需求添加本领域常用的其他防护层。
在步骤204,计算设备110可以基于所建立的基础安全评估模型中的防护层,设置对应于防护层的防护条件。
计算设备110可以针对防护层是否防护成功增加主机瘫痪、物理瘫痪、网络瘫痪、控制瘫痪以及系统瘫痪等条件,其中瘫痪对应于防护失败。例如,网络瘫痪是指控制系统网络遭受攻击导致网络完全无法通信。
在步骤206,计算设备110可以获取对应于工控网络系统的入侵攻击,从而建立入侵攻击数据库。
计算设备110获取对应于工控网络系统的历史各类入侵攻击的数据,也可以是针对当前被评估工控系统的网络安全配置的评估值。根据入侵攻击的类型和对工控系统的伤害程度,分类保存到入侵攻击数据库。
在步骤208,计算设备110可以基于入侵攻击数据库,确定入侵攻击对应于基础安全评估模型的防护后果。
在一个实施例中,计算设备110可以基于所建立的包括防护层的基础安全评估模型,确定对应于入侵攻击和防护层的时序逻辑关系;以及基于所述时序逻辑关系以及基础安全评估模型的有效度,确定入侵攻击对应于基础安全评估模型的防护后果。
可以使用专家函数和先验知识确定入侵对应的防护后果。专家函数可以对应于事件树模型,即,确定事件发生的树状流程,并且通过概率相乘或相加确定最后对应后果的概率。
具体来说,控制系统综合风险事件树模型以威胁入侵,即入侵攻击作为初始事件与后续事件形成时序逻辑关系而最终分析导致事故的分析模型。从初始事件开始,按事件发展过程从左至右绘制,用树枝代表事件发展途径。首先考察初始事件一旦发生时最先起作用的安全功能,发挥功能的状态画在上面的分枝,不能发挥功能的状 态画在下面的分枝,然后依次考察各个功能的两个可能状态,把发挥功能的状态(成功状态)画在上面的分枝,把不能发挥功能的状态(失败状态)画在下面的分枝,直到系统故障/事故为止。最终画出如图4的控制系统综合风险事件树模型,描绘出威胁入侵经过各类防护措施后对生产过程产生的各种后果。
图4示出了根据本发明实施例的控制系统综合风险事件树模型,即工控系统网络安全评估模块。如图4所示,控制系统综合风险事件树模型即可以定性分析也可以定量分析。定性分析在绘制控制系统综合风险事件树模型过程中已进行,根据防护措施和条件做出逻辑推理,用与事件相关的技术知识确认事件可能状态,对每一发展过程和事件发展的途径做了可能性的分析。
防护后果包括以下防护后果中的一项或多项:数据安全、监控正常、操作正常、控制正常、生产正常以及物理安全。
基于入侵攻击数据库,确定基础安全评估模型中的防护层应对入侵攻击的有效度;基于所确定的有效度,确定对应于入侵攻击和防护层的时序逻辑关系;以及基于时序逻辑关系,将入侵攻击对应于基础安全评估模型的防护后果。
在步骤210,计算设备110可以基于所确定的基础安全评估模型、防护条件和防护后果,确定关于工控网络系统的防护成功的概率值。
具体来说,第一概率和第二概率的计算采用分层指标分析法。该方法是通过对分层分析法改造而来。首先,针对工业控制系统,本发明提出了递阶层次化的风险评价指标体系结构,即给出一个综合评价值。准则层是达到最终目的所需的综合指标,包括发生概率、影响程度及不可控性。指标层是与准则层相关的底层指标。然后,本发明用逐层加权法进行综合评判。从指标层的底层指标开始,本发明依据先验知识和专家函数,为各指标赋上权重值和风险值。相关指标风险值的加权和即为准则层各指标的风险值。然后依据先验知识给各个准则层的指标赋予权重值,所有准则层指标的风险值的加权和即为工控系统的最终评价值。
本发明可以对指标进行量化。指标量化的原则是由点到面,先对攻击图、攻击树中的各个节点进行量化,再依据节点量化值对攻击路径乃至整个系统的安全性进行评价。指标量化分两步,第一步是量化指标层的指标(即底层指标),第二步是量化准则层的指标。前文已对准则层指标的量化方法进行描述,即根据底层指标的风险值和指标权重,采用加权方式计算相应的准则层指标。
量化指标层中的各个底层指标的方法是:首先判定指标类别,根据该指标是否能依据事实数据赋值,将其判定为事实量化指标或经验量化指标。对事实量化类指标,设计不同对应于树状图的函数,根据系统采集到的客观数据计算风险值和指标权重;对经验量化类指标,依据先验知识和专家函数,为各指标赋上风险值。
在底层指标中,威胁动机、途径隐蔽性、攻击能力、攻击复杂度、方式多样性、突防能力为经验量化指标,漏洞利用率、漏洞风险值、资产吸引力、利用服务的数量、对正常服务的影响度、网络带宽占用率、恢复时间为事实量化指标。
经验量化指标需要根据对具体攻击手段、防御手段等进行前期调研,由专家根据先验知识予以赋值。赋值一般站在对系统造成危害大小的角度采用九度评价法进行评分。九度评价法各个分值的含义如下。
先验知识包括确定为危害赋值。分值含义0没有危害1有轻微危害,带来的损失可忽略不计3有轻微危害,带来的损失不可忽略也无需弥补5有危害,带来的损失可弥补也可忽略7有严重的危害,带来的损失必须弥补9有非常严重的危害,带来的损失不可弥补2,4,6,8介于上述两种相邻判断的中间。
事实量化指标又分为两类,一类是可直接量化指标,另一类是不可直接量化指标。可直接量化指标如漏洞风险值可直接从通用漏洞库读取,漏洞利用率需要全世界范围内的数据支持,可从相关研究数据中读取。不可直接量化指标则需根据采集到的数据经由一定算法计算得来,不排除某些不可直接量化指标引以为依据的数据也由专家经验提供。比如,某些事实量化指标,如资产吸引力可依据PageRank算法的思想来计算。
通过以上方式,对防护层应对入侵攻击的有效度进行量化,将防护层应对入侵攻击成功确定为量化类指标。
具体包括对防护层应对入侵攻击的有效度进行量化,量化类指标包括防护层应对入侵攻击防护成功率、对应于单个防护层的风险值和指标权重;以及基于所计算的防护成功率、对应于单个防护层的风险值和指标权重,经由预定函数,为所述量化类指标赋值风险概率。
有效度即,是否能防护住入侵。基于所确定的量化类指标以及历史经验数据,计算风险值和指标权重;以及基于所计算的风险值和指标权重,依据先验知识和专家函数,为所述量化类指标赋值风险概率。
确定入侵攻击对应于基础安全评估模型的防护后果所途经的防护层的路径。基于所确定的路径,确定入侵攻击对应于各防护层的第一概率,其中第一概率为入侵对应于该路径以及最后的防护后果的概率。基于所确定的第一概率,确定入侵攻击对应于防护后果的第二概率。防护后果等于入侵通过各个不同路径均产生这一后果的概率。第一概率等于各发展途径的概率,即等于自初始事件开始的各事件发生概率的乘积。第二概率等于事故发生概率,即等于导致事故的各发展途径的概率和。
基于确定的第一概率和第二概率,构建对应于入侵攻击的防护层的受攻击图。确定受攻击图中的防护层环路以及无解的防护层节点;以及采用分层指标分析法确定工控系统网络安全评估体系,从而获取工控网络系统的风险评估结果。
基于以上技术手段,通过采用综合风险分析事件树模型,该模型不同于传统信息安全将系统资产逐个进行分析评估并累加的方法,而是把控制系统作为一个整体,从控制系统生产业务连续性,重点关注控制系统的控制功能,并考虑物理安全、信息安全和功能安全三者潜在的相互作用及其影响后果。通过建立控制系统综合风险事件树模型,将传统系统安全风险评估重点数据安全,与控制系统风险评估所关注重点为生产安全和物理安全融合,建立控制系统信息安全与生产安全/功能安全相互联系。将控制系统的防护分为物理防护、主机防护、网络防护、控制单元防护和额外的手动控制防护、应急措施等几个方面,在常规信息系统安全物理防护、主机防护、网络防护的基础上,增加了控制系统特有的控制单元防护、手动控制防护、应急措施几个纬度,更切合控制系统特点。从生产控制角度将网络安全事件对控制系统的影响后果分为数据、监视、远程操作、自动控制、生产和安全几个方面,按照严重度逐级提升,更贴近控制系统实际。控制系统综合风险分析事件树模型,既可以进行定性分析,也可以进行定量分析。
图5示出了可以用来实施本公开内容的实施例的示例电子设备500的示意性框图。例如,如图1所示的计算设备110可以由电子设备500来实施。如图所示,电子设备500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的计算机程序指令或者从存储单元508加载到随机存取存储器(RAM)503中的计算机程序指令,来执行各种适当的动作和处理。在随机存取存储器503中,还可存储电子设备500操作所需的各种程序和数据。中央处理单元501、只读存储器502以及随机存取存储器503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
电子设备500中的多个部件连接至输入/输出接口505,包括:输入单元506,例如键盘、鼠标、麦克风等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如方法200可由中央处理单元501执行。例如,在一些实施例中,方法200可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由只读存储器502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序被加载到随机存取存储器503并由中央处理单元501执行时,可以执行上文描述的方法200中的一个或多个动作。
本公开涉及方法、装置、系统、电子设备、计算机可读存储介质和/或计算机程序产品。计算机程序产品可以包括用于执行本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘计算设备。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域普通技术人员应当了解,本发明不限定于上述的实施例,本发明可以在不偏离其主旨与范围内以许多其它的形式实施。因此,所展示的示例与实施例被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。
Claims (10)
1.一种工控系统网络安全评估方法,其中所述方法包括:
对工控网络系统执行安全评估建模,从而建立包括防护层的基础安全评估模型;
基于所建立的基础安全评估模型中的防护层,设置对应于防护层的防护条件;
获取对应于工控网络系统的入侵攻击,从而建立入侵攻击数据库;
基于入侵攻击数据库,确定入侵攻击对应于基础安全评估模型的防护后果;以及
基于所确定的基础安全评估模型、防护条件和防护后果,确定关于工控网络系统的防护成功的概率值。
2. 根据权利要求1所述的方法,其中确定入侵攻击对应于基础安全评估模型的防护后果包括:
基于所建立的包括防护层的基础安全评估模型,确定对应于入侵攻击和防护层的时序逻辑关系;以及
基于所述时序逻辑关系以及基础安全评估模型的有效度,确定入侵攻击对应于基础安全评估模型的防护后果。
3. 根据权利要求2所述的方法,其中基于所确定的基础安全评估模型、防护条件和防护后果确定关于工控网络系统的防护成功的概率值包括:
对防护层应对入侵攻击的有效度进行量化,量化类指标包括防护层应对入侵攻击防护成功率、对应于单个防护层的风险值和指标权重;以及
基于所计算的防护成功率、对应于单个防护层的风险值和指标权重,经由预定函数,为所述量化类指标赋值风险概率。
4.根据权利要求3所述的方法,其中基于所确定的基础安全评估模型、防护条件和防护后果确定防护成功的概率值还包括:
确定入侵攻击对应于基础安全评估模型的防护后果所途经的防护层的路径;
基于所确定的路径,确定入侵攻击对应于各防护层的第一概率;以及
基于所确定的第一概率,确定入侵攻击对应于防护后果的第二概率。
5.根据权利要求4所述的方法,其中基于所确定的基础安全评估模型、防护条件和防护后果确定关于工控网络系统的防护成功的概率值还包括:
基于确定的第一概率和第二概率,构建对应于入侵攻击的防护层的受攻击图;
确定受攻击图中的防护层环路以及无解的防护层节点;以及
采用分层指标分析法确定工控系统网络安全评估体系,从而获取工控网络系统的风险评估结果。
6.根据权利要求1-5中任一项所述的方法,其中所述基础安全评估模型包括以下各项中的一项或多项:物理防护层、网络防护层、自动控制层、手动控制层、应急措施层以及主机防护层。
7.根据权利要求1-5中任一项所述的方法,其中所述防护后果包括以下各项中的一项或多项:数据安全、监控正常、操作正常、控制正常、生产正常以及物理安全。
8.根据权利要求1-5中任一项所述的方法,其中所述防护条件包括以下至少一项:物理瘫痪、网络瘫痪、控制瘫痪以及系统瘫痪。
9.一种计算设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其中所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310365467.5A CN116405287B (zh) | 2023-04-06 | 2023-04-06 | 工控系统网络安全评估方法、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310365467.5A CN116405287B (zh) | 2023-04-06 | 2023-04-06 | 工控系统网络安全评估方法、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116405287A true CN116405287A (zh) | 2023-07-07 |
CN116405287B CN116405287B (zh) | 2023-12-26 |
Family
ID=87008605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310365467.5A Active CN116405287B (zh) | 2023-04-06 | 2023-04-06 | 工控系统网络安全评估方法、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405287B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140324520A1 (en) * | 2005-05-20 | 2014-10-30 | Diakont Advanced Technologies, Inc. | Method for deterministic safety analysis in non-stationary high risk system, control method and control system using thereof |
CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
CN109614800A (zh) * | 2018-12-07 | 2019-04-12 | 机械工业仪器仪表综合技术经济研究所 | 一种基于数字化车间的安全一体化风险确定系统及方法 |
CN111770111A (zh) * | 2020-01-06 | 2020-10-13 | 南京林业大学 | 一种攻击防御树的定量分析方法 |
CN115361150A (zh) * | 2022-05-27 | 2022-11-18 | 南京邮电大学 | 针对网络攻击下配电网风险级联的安全风险评估方法 |
-
2023
- 2023-04-06 CN CN202310365467.5A patent/CN116405287B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140324520A1 (en) * | 2005-05-20 | 2014-10-30 | Diakont Advanced Technologies, Inc. | Method for deterministic safety analysis in non-stationary high risk system, control method and control system using thereof |
CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
CN109614800A (zh) * | 2018-12-07 | 2019-04-12 | 机械工业仪器仪表综合技术经济研究所 | 一种基于数字化车间的安全一体化风险确定系统及方法 |
CN111770111A (zh) * | 2020-01-06 | 2020-10-13 | 南京林业大学 | 一种攻击防御树的定量分析方法 |
CN115361150A (zh) * | 2022-05-27 | 2022-11-18 | 南京邮电大学 | 针对网络攻击下配电网风险级联的安全风险评估方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116405287B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
US9298538B2 (en) | Methods and systems for abnormality analysis of streamed log data | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
Elsayed et al. | PredictDeep: security analytics as a service for anomaly detection and prediction | |
CN108108624B (zh) | 基于产品和服务的信息安全质量评估方法及装置 | |
CN113542279A (zh) | 一种网络安全风险评估方法、系统及装置 | |
WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
CN116389235A (zh) | 一种应用于工业物联网的故障监测方法及系统 | |
Nkosi et al. | Insider threat detection model for the cloud | |
CN114003920A (zh) | 系统数据的安全评估方法及装置、存储介质和电子设备 | |
CN105825130B (zh) | 一种信息安全预警方法及装置 | |
CN115329338A (zh) | 基于云计算服务的信息安全风险分析方法及分析系统 | |
CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
KR102143510B1 (ko) | 정보 보안 위험 관리 시스템 | |
CN114398465A (zh) | 互联网服务平台的异常处理方法、装置和计算机设备 | |
US11314584B1 (en) | Data quality-based confidence computations for KPIs derived from time-series data | |
CN113269378A (zh) | 一种网络流量处理方法、装置、电子设备和可读存储介质 | |
CN115706669A (zh) | 网络安全态势预测方法及系统 | |
CN117692203A (zh) | 一种事件处置策略智能推荐方法及系统 | |
König et al. | Parametrization of Probabilistic Risk Models | |
CN116405287B (zh) | 工控系统网络安全评估方法、设备和介质 | |
KR102594207B1 (ko) | 보안 규제 준수 자동화 장치 | |
CN113055368B (zh) | 一种Web扫描识别方法、装置及计算机存储介质 | |
CA3036543A1 (en) | Methods and systems for implementing and monitoring process safety management | |
Kang et al. | Real-time process quality control for business activity monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |