freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

如何開展電力行業的安全檢查評估
2019-09-10 13:30:55

一、概述

電力關鍵信息基礎設施網絡安全直接影響金融、能源、通信、交通等其他國家關鍵基礎設施安全,關系國家安全、經濟發展和國計民生,歷來都是網絡戰和網絡攻擊的首選目標。近年來,針對電力的網絡安全攻擊事件頻發,電力工控安全已成為網絡安全斗爭的主戰場。

2010年11月伊朗核電站遭受“震網病毒”攻擊,大量設備遭到破壞。

2015年12月烏克蘭至少三個區的電力系統遭受惡意軟件攻擊,造成大規模停電事件。

2016年以色列電力供應系統遭重大網絡攻擊。

2017年6月,一款針對電網高度定制化惡意程序“Industroyer”公開。

2019年6月15日,《紐約時報》報道美國加大對俄羅斯的網絡攻擊力度。

切實做好電力工控系統安全防護,迫在眉急。

二、電力監控系統安全防護評估實施流程

電力監控系統安全檢查主要包括六大部分:評估準備、現場評估、風險分析、安全建議、安全整改、評估報告編制。

三 、評估準備

1.1第一步:成立評估工作組

人員構成

評估人員:由專業評估機構或內部人員組成的評估隊伍。

系統管理人員:待評系統的運行維護、管理人員。

1.2第二步:確定評估范圍

如何確定

通過評估組的工作會議進行確定

確定原則

應能代表待評估系統的所有關鍵資產,包括:網絡范圍、主機范圍、應用系統范圍、制度與管理范圍。

確定后配合要求

評估范圍確定后,待評系統管理人員需要根據選定的內容進行資料的準備工作,包括:網絡拓撲結構圖、電力監控系統資產清單、應用系統的說明文檔、組織機構設置說明等內容。

1.3第三步:工具準備

評估工具

通用脆弱性評估工具

表單工具

《系統威脅統計表》、《系統資產調查表》、《安全管理訪談表》

工具使用注意事項

不得對生產控制大區在線運行系統進行自動化工具評估!

1.4第四步:準備應急措施

如何準備

在被評估方的配合下制定應急預案

對在線系統進行掃描單獨提交流程

向主管領導匯報

按照管理制度履行相關操作手續進行登記

四、現場階段

1.1第一步:資產評估

資產識別

《電力監控系統資產清單列表》

資產賦值

賦值人員要求

對業務系統進行充分了解和分析的基礎上進行

賦值方法

以業務系統為主線的方法,將每一項電力監控系統資產按照所屬業務系統進行歸類,在業務系統劃分的基礎上評估系統的安全性。

《資產賦值表》

1.2第二步:威脅評估

威脅統計

《系統威脅統計表》

統計方法

通過訪談以及現場訪談和觀察的方式

資料需求

威脅列表、信息系統日志、系統環境說明

威脅賦值

《資產威脅賦值表》

1.3第三步:安全分區合理性評估

《電力監控系統分區情況記錄》

評估依據

政策依據《電力監控系統安全防護總體方案》-36號文

被評估單位提供—電力監控系統現狀說明

分區表

配電監控

變電站

1.4第四步:邊界完整性評估

評估依據

政策依據《電力監控系統安全防護總體方案》-36號文

被評估單位提供—電力監控系統現狀說明

《電力監控系統分區邊界完整性審計記錄》

1.5第五步:節點通信關系分析

分析方法

通過對電力監控系統的業務數據流和業務網絡結構的審核,對電力監控系統的節點間通信關系進行分析,以確定某一安全區中的那些業務系統功能模塊需要同其他安全區進行通信,以及這些通信間的安全需求。

《電力監控系統通信關系表》

節點

變電

配電

1.6第六步:邊界安全性評估

評估依據

政策依據《電力監控系統安全防護總體方案》-36號文

被評估單位提供—電力監控系統現狀說明

《電力監控系統邊界點審計記錄》

1.7第七步:主機安全評估

設備安全漏洞掃描

掃描目標來源

《電力監控系統資產清單》

掃描注意事項

需要得到操作許可

準備應急預案

《設備漏洞掃描結果》

設備審計

審計方法

人工登錄主機或網絡設備

審計注意事項

在審計前需要得到操作許可

審計目標來源

《電力監控系統資產清單》、《主機或網絡審計檢查列表》

《設備審計結果》

1.8第八步:網絡系統評估

包括對調度數據網、本地局域網的網絡結構、網絡設備的安全性、網絡管理情況~網絡配置評估等評估內容

《網絡安全評估記錄》

1.9第九步:安全管理評估

評估標準參照

《GB/T22080-2008信息安全管理體系要求》

《電力監控系統安全防護總體方案》

評估方法

調查問卷

人工訪談

評估內容

安全管理制度文檔分析

分析內容

已制定和采用的安全管理制度文檔以及制度的執行情況

業務系統管理分析

分析內容

對具體業務系統的管理制度、崗位職責定義文檔出發,并通過實際的觀察和訪談確認系統管理的情況。

1.10第十步:業務系統安全評估

評估內容

對業務系統軟件提供的安全功能和自身的安全配置進行審核,以確定這些業務系統軟件安全缺陷

評估方法

人工審核

《業務系統軟件安全評估記錄》

1.11第十一步:現有安全技術措施評估

評估內容

對現有安全技術措施,如安全分區情況、安全隔離裝置、防火墻和防病毒系統等部署情況、管理與運維情況等進行審核,確定防護措施是否發揮了應有作用。

《現有安全措施審計記錄》

評估方法

人工審核

五、風險分析

1.1第一步:數據整理

評估資產列表

如何整理

針對評估范圍中的資產,對資產根據業務、類型進行分類,形成具體的資產或資產組;根據資產或資產組承載的業務和數據、所處的位置進行資產賦值的調整,確定出可計算的資產價值;

威脅分析表

如何分析

針對具體的資產或資產組,根據現場識別和賦值的威脅列表判斷資產面臨的威脅情況,并對現場所賦的威脅可能性和威脅影響值進行調整;

脆弱性列表

針對具體的資產或資產組,整理脆弱性列表,并進行管理、運維和技術的分析,分析其產生原因和被利用的后果;

安全事件的損失

根據資產值和脆弱性嚴重程度,采用矩陣法或者相乘法計算安全事件的損失;

安全事件發生的可能性

根據威脅出現的頻率等級和脆弱性嚴重程度,采用矩陣法或者相乘法計算安全事件發生的可能性。

1.2第二步:風險計算

風險值

風險等級

計算方法

風險計算可采用矩陣法或者相乘法,在符合國標要求下不限定計算方法。通過安全事件損失值和安全事件發生可能性計算相應的風險值,并根據風險值確定風險等級.風險計算的原理方法參見5.2和附錄C1.5。

分析原理

1.3第三步:風險決策

對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等;

對不可接受的風險進行安全整改后的殘余風險要進行評估,確保其在可接受的范圍內。

決策基礎

風險排序

根據風險計算結果,按照給資產造成的損失大小對風險進行排序,并計算消除或降低風險所需的成本,在此基礎上決定對風險采取的處理方法:

風險決策原則

風險決策是提出安全建議的基礎,科學、合理的風險決策是提高安全建議質量、防止過度防護和防護不足的保障。

1.4第四步:選擇相關分析方法

矩陣法

風險矩陣圖,又稱風險矩陣法(Risk Matrix),是一種能夠把危險發生的可能性和傷害的嚴重程度綜合評估風險大小的定性的風險評估分析方法。它是一種風險可視化的工具,主要用于風險評估領域。

相乘法

六、安全建議

需求分析

(1)需求分析:需求分析根據風險分析的結論將電力監控系統的防護需求進行歸納和總結,并根據評估結果進行了現狀分析、可行性分析和緊迫性分析;

安全建議

(2)安全建議:裉據需求分析的結論針對不同評估節點提出安全防護措施;

實施計劃

(3)實施計劃:根據可行性分析和緊迫性分析結論提出安全建議的實施計劃。

安全建議報告

七、安全整改

被評估單位應根據安全建議方案制定整改計劃、落實整改措施,不斷提高電力監控系統安全防護能力。

八、評估報告編寫

可以參考以下的評估報告模板進行報告編制。

結尾:

雖然對于電力行業或工控行業近年來也有一些新的標準發布,但是這篇為什么選擇36號文來寫,我個人認為36號文是電力系統網絡安全檢查評估最全面,行業融合度最高的一部標準,通過這部標準,更能加深對電力系統業務及電力行業安全的認識。但是在檢查過程中要真正落地實施,還需要安全從業人員更多去研究,探討更多的安全檢查評估方法,既能真正發現隱患,又能把檢查對系統的影響程度降到最低。

附錄B電力監控系統安全防護脆弱性評估表(主要指標)

鏈接:https://pan.baidu.com/s/1Juh0Kjfu2rX6h1t4I1KdVw

提取碼:dvb1

威脅調查與賦值表

鏈接:https://pan.baidu.com/s/1ar5FsEcrfDb7rm6_imYemA

提取碼:rpxz

資產調查表

鏈接:https://pan.baidu.com/s/16Xlk0hkHLkemZSyDaPBSmA

提取碼:xbne

*本文作者:云火安全實驗室,轉載請注明來自FreeBuf.COM



本文作者:, 轉載請注明來自FreeBuf.COM

# 工控 # 安全防護 # 電力行業
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网