工業(yè)控制系統(tǒng)功能安全與信息安全的需求分析及融合方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及工業(yè)控制系統(tǒng)安全控制領(lǐng)域，更具體地，涉及一種針對(duì)工業(yè)控制系統(tǒng) 的功能安全與信息安全的需求分析及融合方法。
【背景技術(shù)】
[0002] 工業(yè)控制系統(tǒng)屬于生產(chǎn)運(yùn)行系統(tǒng)，是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)的大腦和 中樞神經(jīng)，保障其安全運(yùn)行至關(guān)重要。工業(yè)控制系統(tǒng)安全防護(hù)需求分析是是保障系統(tǒng)安全 運(yùn)tx的如提和基礎(chǔ)。
[0003] 在工業(yè)控制系統(tǒng)中，功能安全是安全控制的一個(gè)重要方面，在IEC61508標(biāo)準(zhǔn)中， 功能安全主要是針對(duì)與E/E/PE相關(guān)的設(shè)備及控制系統(tǒng)，避免在系統(tǒng)故障或失效時(shí)，被控對(duì) 象/過程或其他相關(guān)系統(tǒng)導(dǎo)致不可接受的風(fēng)險(xiǎn)，導(dǎo)致經(jīng)濟(jì)損失、人員傷亡或環(huán)境污染。信息 通信技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用極大的降低了系統(tǒng)的設(shè)計(jì)維護(hù)成本提高了系統(tǒng)的 性能，但同時(shí)也將信息安全問題引入到了工業(yè)控制系統(tǒng)中，信息安全業(yè)已成為工業(yè)控制系 統(tǒng)安全控制的另一個(gè)重要的方面。這兩種安全并不是相互獨(dú)立、毫無關(guān)系的，而是相互影 響、密切聯(lián)系的。從安全防護(hù)的視角來看，信息安全防護(hù)策略有可能會(huì)增大系統(tǒng)功能安全方 面的風(fēng)險(xiǎn)，功能安全保障措施也有可能給系統(tǒng)引入新的信息安全漏洞；同時(shí)，在某些時(shí)刻二 者也會(huì)體現(xiàn)出相互促進(jìn)的一面?？傮w來說，功能安全保障與信息安全防護(hù)在總體目標(biāo)上是 一致的，都是為了保證系統(tǒng)安全穩(wěn)定運(yùn)行，但是其具體的側(cè)重點(diǎn)又有不同。功能安全強(qiáng)調(diào)的 是系統(tǒng)運(yùn)行過程中不導(dǎo)致資產(chǎn)損失、人員傷亡或環(huán)境污染，考慮的是系統(tǒng)隨機(jī)的故障與失 效對(duì)外界產(chǎn)生的風(fēng)險(xiǎn)。信息安全強(qiáng)調(diào)的是惡意攻擊不干擾系統(tǒng)的正常運(yùn)行，考慮的是惡意 的入侵攻擊對(duì)系統(tǒng)內(nèi)產(chǎn)生的風(fēng)險(xiǎn)。
[0004] 功能安全標(biāo)準(zhǔn)IEC61508中規(guī)定了工業(yè)控制系統(tǒng)功能安全防護(hù)步驟，現(xiàn)在已經(jīng)制 定的IEC62443部分標(biāo)準(zhǔn)也大致明晰了工業(yè)控制系統(tǒng)信息安全防護(hù)的流程。但是這些標(biāo)準(zhǔn) 大多是從一個(gè)方面的安全出發(fā)進(jìn)行考慮，且涉及的安全相關(guān)知識(shí)較為專業(yè)、門檻過高。而目 前，關(guān)于綜合工業(yè)控制系統(tǒng)功能安全與信息安全方面的研究，多是集中于區(qū)分二者的概念 與關(guān)系，對(duì)于其綜合安全需求分析與融合尚未提出有效的解決方案。
[0005] 發(fā)明專利申請(qǐng)（CN201210186363.X)公開了一種"基于系統(tǒng)資產(chǎn)的軟件安全需求 分析方法"，在確定系統(tǒng)資產(chǎn)后，通過建成的系統(tǒng)資產(chǎn)庫半自動(dòng)地獲得具有系統(tǒng)性、權(quán)威性 的分析結(jié)果（包括資產(chǎn)所對(duì)應(yīng)的威脅、攻擊模式和用于緩和威脅的CC標(biāo)準(zhǔn)安全功能組件）， 最終根據(jù)結(jié)果完成安全概要規(guī)范。發(fā)明授權(quán)專利（CN201110208744. 9)，公開了一種"一種 等級(jí)驅(qū)動(dòng)的安全需求分析方法"，根據(jù)用戶對(duì)系統(tǒng)提出的安全需求等級(jí)要求，對(duì)根據(jù)威脅選 擇的安全功能組件進(jìn)行篩選，再由安全需求分析人員考慮具體技術(shù)和安全策略，將最終選 定的安全功能組件描述成安全概要規(guī)范。這些專利都是屬于IT領(lǐng)域，且僅考慮的是信息安 全。
[0006] 功能安全與信息安全的這些異同點(diǎn)在分析系統(tǒng)安全需求時(shí)就使得存在一些相互 冗余或矛盾的安全需求，需要進(jìn)行融合以獲得具有一致性的系統(tǒng)安全需求。目前，國(guó)內(nèi)外尚 未有一套工業(yè)控制系統(tǒng)的綜合功能安全與信息安全的需求分析與融合方法。

【發(fā)明內(nèi)容】

[0007] 本發(fā)明的目的在于提供一種用于工業(yè)控制系統(tǒng)的功能安全和信息安全需求分析 及融合的方法，該方法能夠?yàn)楣I(yè)控制系統(tǒng)安全控制及防護(hù)（綜合功能安全和信息安全） 提供一套快速、完整獲取安全需求的流程，減小安全需求開發(fā)難度、降低安全需求開發(fā)成 本，提尚系統(tǒng)綜合安全能力。
[0008] 本發(fā)明提供了工業(yè)控制系統(tǒng)中功能安全與信息安全的需求分析及融合方法，包括 下述步驟；
[0009] 步驟（1)分析系統(tǒng)中的資產(chǎn)，明確其相關(guān)屬性，形成系統(tǒng)資產(chǎn)清單。其具體過程 為：
[0010] (1. 1)搜集、分析及整理系統(tǒng)的設(shè)計(jì)文檔、說明文檔以及用例圖；
[0011] (1. 2)分析系統(tǒng)中的功能、數(shù)據(jù)信息、軟硬件資源以及系統(tǒng)運(yùn)行涉及的人員，將系 統(tǒng)的資產(chǎn)進(jìn)行分類，分為信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、服務(wù)、人員以及無形資產(chǎn)，確定資 產(chǎn)的屬性，包括：資產(chǎn)名稱、數(shù)量、位置、隨機(jī)失效概率、資產(chǎn)失效后可能引發(fā)的危害事故、資 產(chǎn)的重要性以及資產(chǎn)的固有漏洞。其中資產(chǎn)的重要性可以分為非常重要（VI)、重要（I)、一 般（GI)、不重要（UI)、非常不重要（VUI)五個(gè)等級(jí)。最后形成系統(tǒng)的資產(chǎn)清單。
[0012] 步驟（2)依據(jù)系統(tǒng)的資產(chǎn)清單，分析系統(tǒng)資產(chǎn)失效可能引發(fā)的危害事故，評(píng)估其 后果，根據(jù)系統(tǒng)資產(chǎn)與危害事件之間的關(guān)聯(lián)性確定危害事故發(fā)生的可能性，其具體過程 為：
[0013] (2. 1)根據(jù)系統(tǒng)資產(chǎn)清單及各資產(chǎn)可能引發(fā)的危害事故，確定系統(tǒng)中可能發(fā)生的 危害事故集合。
[0014] (2. 2)對(duì)危害事故集合中的每種危害事故根據(jù)專家評(píng)估結(jié)果采用模糊綜合評(píng)估方 法評(píng)估其發(fā)生后產(chǎn)生的后果。
[0015] (2. 3)依據(jù)系統(tǒng)資產(chǎn)間的依賴關(guān)系，結(jié)合資產(chǎn)的失效概率，確定危害事故集合中的 每種危害可能發(fā)生的概率。
[0016] 步驟（3)根據(jù)危害事故的分析結(jié)果，評(píng)估其功能安全方面的潛在風(fēng)險(xiǎn)，結(jié)合行業(yè) 對(duì)系統(tǒng)的風(fēng)險(xiǎn)承受能力，確定哪些危害事件需要進(jìn)一步采取功能安全保障措施，進(jìn)而確定 對(duì)系統(tǒng)中功能安全保護(hù)需求（即功能安全需求），其具體過程為：
[0017] (3. 1)結(jié)合危害事故發(fā)生造成的后果和可能發(fā)生的概率，評(píng)估各類危險(xiǎn)事件的功 能安全風(fēng)險(xiǎn)；
[0018] (3. 2)結(jié)合各類危險(xiǎn)事件的應(yīng)對(duì)措施，根據(jù)各類危險(xiǎn)事件功能安全風(fēng)險(xiǎn)等級(jí)，判斷 是否需要施加對(duì)應(yīng)的功能安全保障措施來降低或消除風(fēng)險(xiǎn)；
[0019] (3. 3)將整個(gè)系統(tǒng)所需的功能安全保障綜合起來，形成系統(tǒng)的功能安全需求集 Rsafety 0
[0020] 步驟⑷根據(jù)系統(tǒng)的資產(chǎn)，分析資產(chǎn)的固有漏洞及其可能面臨的信息安全威脅及 對(duì)應(yīng)的防護(hù)措施，具體過程為：
[0021] (4. 1)針對(duì)資產(chǎn)清單中的各種資產(chǎn)，依據(jù)其固有的漏洞，分析可能面臨的威脅列 表、以及所有可用的保護(hù)措施。
[0022] (4. 2)分析資產(chǎn)的固有漏洞和可能面臨的信息安全威脅，依據(jù)行業(yè)的歷史數(shù)據(jù)，利 用專家評(píng)估的數(shù)據(jù)通過模糊評(píng)估方法判斷各種漏洞可能被威脅所利用的概率。
[0023] 步驟（5)，根據(jù)資產(chǎn)的重要性等級(jí)、其漏洞被利用的可能性，采用模糊評(píng)估的方法 評(píng)估資產(chǎn)的信息安全風(fēng)險(xiǎn)等級(jí)，結(jié)合系統(tǒng)能夠承受的信息安全風(fēng)險(xiǎn)等級(jí)，判斷需要加強(qiáng)保 護(hù)的系統(tǒng)資產(chǎn)，進(jìn)而確定資產(chǎn)的信息安全防護(hù)措施，所有資產(chǎn)需要的保護(hù)措施就形成了系 統(tǒng)的信息安全防護(hù)需求（即信息安全需求集），其具體過程為：
[0024] (5. 1)將資產(chǎn)對(duì)應(yīng)的漏洞列表中的每個(gè)漏洞可能被利用的概率進(jìn)行模糊化得到對(duì) 應(yīng)的模糊向量。
[0025] (5. 2)根據(jù)系統(tǒng)的資產(chǎn)列表獲得其在系統(tǒng)中的重要性程度（如表1所示，分為三個(gè) 等級(jí)），并同樣將其進(jìn)行模糊化，得到對(duì)應(yīng)的模糊向量。
[0026] (5.3)將信息安全風(fēng)險(xiǎn)按照行業(yè)或系統(tǒng)要求劃分等級(jí)，例如劃分"高（HR)、中 (MR)、低（LR) "三個(gè)等級(jí)。
[0027] (5. 4)設(shè)計(jì)系統(tǒng)的信息安全風(fēng)險(xiǎn)模糊評(píng)估的隸屬度矩陣。然后，結(jié)合資產(chǎn)重要性的 模糊向量和對(duì)應(yīng)漏洞被利用可能性的模糊向量，計(jì)算出該漏洞的風(fēng)險(xiǎn)模糊向量。并通過模 糊向量的方模糊化得到該漏洞的風(fēng)險(xiǎn)等級(jí)。
[0028] (5. 5)根據(jù)系統(tǒng)中資產(chǎn)對(duì)信息安全風(fēng)險(xiǎn)的承受能力，判斷該漏洞是否需要進(jìn)行防 護(hù)，若是則給出防護(hù)措施。
[0029] (5. 6)依據(jù)上述（5. 1)-(5. 5)完成所有資產(chǎn)的所有漏洞的評(píng)估與防護(hù)。將整個(gè)系 統(tǒng)的將系統(tǒng)的信息安全防護(hù)措施綜合起來，形成系統(tǒng)的信息安全需求集Rs_? ty。
[0030] 步驟（6)，將上述步驟（3)中得到的功能安全需求集Rsafety與步驟（5)中信息安全 需求集R s_"ty進(jìn)行沖突協(xié)調(diào)，通過定性的方法對(duì)兩種安全需求進(jìn)行融合得到系統(tǒng)整體的安 全需求集R systeni，其具體過程為：
[0031] (6. 1)分別將功能安全需求集和信息安全需求集，按照"預(yù)防類"、"檢測(cè)類"、"響應(yīng) 類"進(jìn)行分類。預(yù)防類需求是指在功能安全保障或信息安全防護(hù)中起預(yù)防作用的措施對(duì)應(yīng) 的需求；檢測(cè)類需求是指在功能安全保障或信息安全防護(hù)中進(jìn)行實(shí)時(shí)檢測(cè)（故障檢測(cè)及入 侵檢測(cè)）對(duì)應(yīng)的需求；響應(yīng)類需求是指在功能安全保障或信息安全防護(hù)中在檢測(cè)到問題后 (故障或入侵）系統(tǒng)有針對(duì)性的進(jìn)行響應(yīng)對(duì)應(yīng)的需求。
[0032] (6. 2)對(duì)于功能安全需求集和信息安全需求集中的預(yù)防類需求，沒有交叉的，則直 接添加進(jìn)系統(tǒng)整體安全需求集Rsysteni中；有交叉的，針對(duì)上層的預(yù)防類需求以信息安全需求 為準(zhǔn)，針對(duì)下層的預(yù)