智能電網(wǎng)與網(wǎng)絡安保（二）

 六、安保策略

        安保策略是定義系統(tǒng)、組織或其他實體安全意味著什么。對于一個組織，它要約束成員的行為，以及用機制約束黑客的入侵，諸如使用門、鎖、墻等設施。對于系統(tǒng)，安保策略要約束功能和數(shù)據(jù)流，約束外部系統(tǒng)和黑客的訪問，包括對人員或應用程序和數(shù)據(jù)訪問。 
 

        安保策略由組織的高級管理層或選出的委員會來定義。安保策略可以由組織按要求對特定功能或系統(tǒng)進行裁剪。安保項目應該包括安保策略、標準、指南、基線、程序、安?；A培訓、事故響應計劃和法規(guī)遵從。這些內容在ISO/IEC 27000系列標準中描述，美國能源部提供了可以實施的細節(jié)。

七、危險評估

        危險評估包括分析資產(chǎn)，確定信息和資產(chǎn)的價值, 確定漏洞和潛在危險（威脅），威脅降低方法，決定可以接受、避免或轉移的危險。這項行動由危險分析團隊執(zhí)行。危險評估過程包括執(zhí)行評估程序，分析及評定危險結果。危險評估應用于信息、通信和電力。在這個周期，應該確定關鍵資產(chǎn)。
危險評估必須考慮對安保系統(tǒng)的影響。比如在一個系統(tǒng)中的危險可能是：
       ?安全危險可能導致生命損失，人員傷害，或環(huán)境破壞。
       ?任務危險可能導致這個系統(tǒng)的癱瘓，諸如關鍵基礎設施或數(shù)據(jù)的損失。
       ?商業(yè)危險可能導致重大經(jīng)濟損失，諸如商業(yè)或聲譽的損失。
       ?安保危險可能導致敏感數(shù)據(jù)的損失。

八、建立危險分析團隊

       危險分析團隊必須包括組織關鍵區(qū)域中的人員諸如管理人員，工程人員，安保專家，過程控制工程師，信息技術（IT）規(guī)劃師，應用分析師，程序設計師。危險分析團隊成員必須是每個行業(yè)里的專家，了解過程、商業(yè)對象、工程原理、技術和法規(guī)。

九、信息和資產(chǎn)的價值

        信息的價值決定了安保的方法。在評估信息的價值時，同樣的邏輯可用于資產(chǎn)，諸如設施，系統(tǒng)，服務，資源，供給和人員。為了評估什么是危險，必須評估什么是財產(chǎn)。信息和資產(chǎn)都應該有給予它數(shù)量和質量的測量。
        實際價值由它的獲得、開發(fā)和維護的成本所決定。對于所有者，授權用戶和非授權用戶的重要性決定了資產(chǎn)的價值。資產(chǎn)可以是有形的（計算機、設備、網(wǎng)絡、系統(tǒng)、設施、供給）或者是無形的（聲譽、數(shù)據(jù)、知識產(chǎn)權）。
 

十、確定威脅

        威脅評估是一個非常具體的行為，在有些情況下，這是一項困難的任務。 
        威脅可以分成人為（有意或無意）和自然災害。很多類型的威脅來源于多種漏洞，從而導致多種特定的威脅。一旦威脅是針對某種應用、系統(tǒng)、業(yè)務單位或組織, 必須查清相關的漏洞，找到解決的辦法。

十一、確定漏洞

        漏洞是一個用來攻擊的潛在通道，是連接內部或外部代理，可能導致安保失效的系統(tǒng)屬性或環(huán)境。發(fā)現(xiàn)漏洞并不那么容易，需要一定的技能水平。當發(fā)現(xiàn)特定的漏洞時，需要找出所有針對組織的進入點，找出訪問信息（來自電子和物理）點，諸如：
       - 因特網(wǎng)連接； 
       - 遠程訪問點；
       - 與其他組織的連接；
       - 物理訪問設施；
       - 用戶訪問點；
      - 無線訪問點。
        失效模式和影響分析是一種用于決定漏洞位置以及查出路徑的方法。這種方法支持決定功能、確定功能失效、評估失效原因和對結構化過程的影響。這是一個系統(tǒng)工程方法，近來用于評估危險管理的優(yōu)先級和減輕已知漏洞的威脅。

[DividePage:NextPage]

十二、危險分析方法

        現(xiàn)在出現(xiàn)了許多用于公共ICT系統(tǒng)的評估方法和概念。安保設計者和控制系統(tǒng)的用戶需要對這些方法的適用性、收益和性價比進行評價。另外，用于控制系統(tǒng)的危險管理沒有基于危險的標準方法。
       危險分析的步驟按照NIST、ISO/IEC等的標準和方法論來定義?，F(xiàn)在常用的危險評估方法有： 
        - 基于列表的檢查；
        - 原因－結果分析； 
        - 分級全息模型；
        - 失效樹分析； 
        - 事件樹分析；
        - 攻擊樹分析；
        - 基于能力的攻擊樹； 
        - 漏洞樹分析；
        - 失效模式影響和危險程度分析。 
 

        危險分析是決定控制系統(tǒng)安全運行的基礎，包括價值性、敏感性和關鍵信息。危險評估對危險管理給出一個戰(zhàn)略方法應對一個標準案例的挑戰(zhàn)。分析和評估危險的過程是很好了解和及時執(zhí)行基礎。
       當評估系統(tǒng)的危險時，必須對通用方法進行定制，包括下面的行動： 
        - 確定系統(tǒng)特性，區(qū)分與公共ICT系統(tǒng)的不同；
       - 確定與電力系統(tǒng)相關獨特的攻擊點；
       - 確定與人員安全相關的危險；
       - 確定對電力系統(tǒng)可靠性相關危險；
       - 確定基于危險程度和生存標準（如，計算機每年折舊）的資產(chǎn)價值。
       - 當評估資產(chǎn)的價值時包括機密性、完整性和可用性。 
       - 當分析威脅事件、威脅影響或威脅頻率時，確定不可靠等級。
       - 在執(zhí)行危險分析時，平衡使用數(shù)量和質量方法，諸如這些方法的結果提供了最佳的危險評估或測量信息。
       - 指派合格的危險分析師。分析師應該具有控制系統(tǒng)開發(fā)的實踐經(jīng)驗，了解控制系統(tǒng)出現(xiàn)的各種問題。
       - 使用一種戰(zhàn)略危險管理方法，支持做出決定的關鍵信息。
       - 使用自動的和假設分析（what-if）工具，提供一套可選擇的戰(zhàn)略方法用于危險管理。 
       - 最大化地對控制系統(tǒng)進行一致和完全的漏洞分析，包括硬件、軟件、因特網(wǎng)訪問、環(huán)境和人員。
       - 使用集成模型用于危險管理，實施主動預案進行危險管理。
       - 使用過程控制模型，使用閉環(huán)加強安保，最小化危險等級。
       - 使用系統(tǒng)識別模型生成一個基于模型的系統(tǒng)識別和過程控制方法，并應用到控制系統(tǒng)。
        考慮惡意軟件在網(wǎng)絡中高速傳播特性，人們需要確定安保危險和模擬控制系統(tǒng)的動態(tài)過程，找出一個最佳解決方案監(jiān)視網(wǎng)絡攻擊。監(jiān)視方法可以使用基于專用設備和收集數(shù)據(jù)估計的參數(shù)預測模型。這種工具可以使用統(tǒng)計和機器學習方法來估算和導出最佳參數(shù)，減輕正在發(fā)生的網(wǎng)絡攻擊。安保系統(tǒng)也可以使用位置的原則最小化危險，阻止大規(guī)模網(wǎng)絡攻擊的傳播。

十三、整體危險對比剩余危險

        區(qū)分整體危險與剩余危險的觀念是非常重要的，剩余危險是指一個公司愿意承受的危險?？傆幸恍┮嬖诘奈ｋU；這也被稱為殘留危險。也要確定控制的缺口；這是控制系統(tǒng)不能保護和覆蓋的部分。下面的公式表示了整體危險和剩余危險的不同：
      - 威脅 x 漏洞 x 資產(chǎn)價值 => 整體危險
      - （威脅 x 漏洞 x 資產(chǎn)價值）x 控制缺口 => 剩余危險
      - 整體危險 – 對策 => 剩余危險

[DividePage:NextPage]

十四、實施安保
 

        在選擇－安保方法（或者安全裝置）前，確定安保機制和評估其效力是非常重要的步驟。然而，考慮和選擇適當?shù)姆椒ㄐ枰M行性價比分析。方案的成本包括很多內容，從產(chǎn)品價格、實施和維護費用到對生產(chǎn)率、與其他方法的兼容性和環(huán)境變化的影響。為了列出所有的內容，需要使用最新出版的文件。

十五、危險處理和緩解

        信息安保管理的第二個階段包括確定優(yōu)先級、預算、最終實施和適當維護危險降低方法的過程。 
        在整體危險和剩余危險的數(shù)量決定后，管理必須決定如何處理和緩解危險。危險能夠用不同方式處理：轉移、拒絕、接受或降低。
如果組織決定采取終止引入危險的行動，就是眾所周知的危險規(guī)避。例如，一臺連接到SCADA控制系統(tǒng)的計算機，如果組織允許它使用電子郵件或即時通訊，那么這些應用具有很多的危險。斷開這些服務是一個規(guī)避危險的例子。
         危險緩解是一種把危險降低到可以接受的程度、使商業(yè)行為可以繼續(xù)的方法。采用各種安保技術（防火墻，侵入檢測/保護系統(tǒng)，加密，培訓等）是降低危險的方法。
        危險接受是當成本/收益比大于1時使用的一種方法, 這意味著安保方法的成本權重超過了潛在損失的價值。當然，危險接受還要考慮其他的因素。
還有，在不同功能區(qū)域從事危險管理任務的人員應能夠交流知識。成功實現(xiàn)危險管理的一個特征是在電力網(wǎng)格內以正確方式傳播知識。
在域內的人員工作在不同的功能區(qū)域中，應共享危險管理的實踐經(jīng)驗，在網(wǎng)絡實踐中參與和協(xié)同工作會收益非淺。一種實踐網(wǎng)絡危險管理方法是水平地切割垂直的集成域。做為網(wǎng)絡的一部分，來自信息安保的人員可以獲得更多知識訪問，提高他們危險管理的能力。

（原創(chuàng)）