@Luminary
3年前 提问
1个回答

工业控制系统信息安全等级,安全风险划分的要素

007bug
3年前

工业控制系统信息安全等级是基于工业控制系统存在的信息安全风险划分的,由工业控制系统资产重要程度、受侵害后潜在影响程度 、需抵御的信息安全威胁程度等三个定级要素决定。

  • 工业控制系统资产重要程度:根据工业控制系统所在工业生产行业领域重要性划分为一般领域、重点领域和关键领域(常规熟知的如钢铁、化工、电力、天然气、城市轨道交通、城市供水供气供热等均属于重点领域)。资产的作用价值一般是根据工控资产对象在工业企业生产过程中承担的业务重要性进行评价。资产的获取价值则是指资产自身原始成本、更换或再造成本。从分级规范给出的重要程度特征值表中可以看出资产作用价值是影响资产重要性的关键指标,这一点也符合工业生产企业特别是连续型生产企业优先保障生产业务可靠性的特点。

  • 受侵害后潜在影响程度:反映了工业控制系统信息安全受到侵害后产生的直接损失和间接损失,包括对工业控制系统及其相关生产装置的影响,对工业生产运行安全的影响,以及对其他受侵害对象(如公民、企业、其他组织的合法权益及重要财产安全,环境安全、社会秩序、公共利益和人员生命安全,国家安全、国家经济安全)的影响。

图片

说明:潜在影响程度特征值取值范围从1到5,特征值越高表示受侵害后潜在影响程度越高。

  • 需抵御的信息安全威胁程度:在工业控制系统在面临客观存在的众多威胁中,依据工业控制系统、相关生产装置以及所属企业或行业共同固有脆弱性及其可利用性,信息安全事件发生的可能性,所确定的实际需要抵御的信息安全威胁。需要抵御的信息安全威胁等级范围为1-5,5为最高。