01.
信息安全事件分类分级目的
随着信息化技术的不断发展,工业控制系统的安全问题越来越引人关注。为了有效处置工业控制系统信息安全事件,保障工业生产安全和国家安全,需要建立完善的应急管理机制。在GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》事件处置活动环节中明确提出“应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档”。
信息安全事件的分类分级是工业企业特别是关基企业开展应急响应工作的基础,因此快速准确地对信息安全事件进行分类分级可以帮助企业进行风险评估和管理、确定优先级和紧急响应、制定安全防护策略、指导事件响应和恢复计划,以及满足合规性和法规要求。通过分类和分级,可以更好地管理和应对信息安全事件,提高系统的安全性和可靠性。
02.
如何依据标准快速分类分级
工业控制系统安全问题日益凸现,信息安全事件时常发生,而且还没有一劳永逸的解决方案能够完全消除所有的信息安全风险。参照GB/Z 20986—2007《信息安全事件分类分级指南》规定的信息安全事件分类分级规范,可用于快速地进行信息安全事件的防范与处置;当工业企业突发信息安全事件后,第一时间确认发生的信息安全事件种类;并根据当前事件造成的后果以及影响程度进行安全事件的分级;使工业企业用户可以根据不同的级别,制定并启动相应的事件处理流程。
2.1
信息安全事件分类
信息安全事件分类分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件。
常见的信息安全事件包括如下:
表2-1 信息安全事件分类说明
2.2
信息安全事件分级
根据信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,将信息系统的重要程度划分为特别重要信息系统、重要信息系统和一般信息系统。
且考虑对社会所造成影响的范围和程度,根据其对国家安全、社会秩序、经济建设和公众利益等方面的影响将信息系统划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。
根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:
表2-2 信息安全事件分级说明
2.3
快速进行分类分级
为了迅速响应、优先处理、合理分配资源、支持决策以及有效沟通和报告,需要有一套快速完成信息安全事件的分类和分级的方法和依据,下图为实践过程中总结出来的判断依据和要点,基于该判定路线可以提高组织对安全事件的管理和应对能力,并降低潜在损害的风险。
图2-1 信息安全事件分类分级判定依据
在对信息安全事件进行分类分级时应该本着先分类后分级的原则完成快速判定,首先根据信息安全事件的起因、表现以及影响组合关系首先完成信息安全事件的类型明确,其次根据事件作用对象的重要程度、损失程度及社会影响程度综合判定事件的等级。最后根据分类定级的结果采取有针对性的措施,组织开展事件应急响应。
03.
信息安全事件分类分级实践
3.1
乌克兰电网的事件分类分级示例
2015年12月某日下午,乌克兰首都基辅部分地区和乌克兰西部的140多万居民突然发现家中停电。这次停电不是因为电力短缺,而是遭到了黑客攻击。
黑客利用欺骗手段让电力公司员工安装了一款恶意软件(计算机病毒事件)。将电力公司的主控电脑与变电站断连,随后又在系统中植入病毒,让电脑全体瘫痪。于此同时,黑客还对电力公司的电话通讯进行了干扰,导致受到停电影响的居民无法和电力公司联系。
图3-1乌克兰电力系统被攻击事件全程示意图
1)事件分类
攻击者利用漏洞侵⼊员⼯办公电脑继而下载恶意组件,以此擦除电脑数据破坏HMI软件监视管理系统,这种恶意行为属于 人为故意导致;该事件发生后破坏了业务系统 可用性;最终带来了较大的 经济影响。
2)事件分级
此次攻击的作用对象为当地发电厂电力监控系统,属于 特别重要系统;攻击导致了业务系统主控电脑大面积瘫痪,使变电站失去控制,系统损失 特别严重;当地居民和企业用电一度陷入长时间瘫痪,社会影响 特别重大。
基于上述内容综合研判此次信息安全事件为有害程序事件(MI)中的特别重大事件(Ⅰ级)。
3.2
针对信息安全事件的处置流程
对安全事件的分类分级之后,应按照事件处置流程、应急预案进行事件处理,恢复关键业务和信息系统到已知的状态;并进行信息通报,同时应根据检测评估、监测处置结果,并结合安全威胁和风险变化情况开展评估,必要时重新展开业务、资产和风险的识别,并更新安全策略。
根据不同级别安全事件应急响应流程针对本次确认类别的安全事件(有害程序事件)进行隔离相关染毒终端等 先期处置,并组织相关部门进行处置方案提出、增派专家小组,调动资源支援等 应急指挥、应急支援工作,第一时间对事件进行动态监测、评估等 信息处理及时做好 信息发布工作;防止 应急扩大;经应急处置后使安全事件得到有效控制,随后 结束应急;在应急处置工作结束后,迅速采取 善后处理措施,抓紧组织抢修受损的基础设施以减少损失,并尽快恢复正常工作。
图3-2工控系统网络信息安全突发事件应急响应基本流程图
04.
总结
快速针对信息安全事件进行准确分类分级在工控安全领域具有重要的意义。首先,分类和分级有助于全面评估和理解工控系统面临的安全威胁,通过分类和分级,我们能够识别和理解这些威胁,从而更好地采取相应的安全措施和防护策略。
其次,分类和分级有助于确定信息安全事件的优先级和紧急程度。我们需要将事件按照严重程度和潜在影响分级,以便优先处理和响应最重要的事件。这有助于保护关键信息基础设施,减少潜在的业务中断和损失。此外,分类和分级还为关键信息基础设施的安全防护提供指导和支持。根据事件的分类和级别,我们可以制定不同的防护层次和应对措施,帮助我们确保安全措施的针对性和有效性。
最后,分类和分级对于合规性和法规要求的满足也至关重要。通过对信息安全事件进行分类和分级,我们可以确保系统符合相关的合规性要求,并遵守适用的法规。
威努特凭借多年来在工控领域的持续耕耘和技术积累,在工控信息安全事件分类分级及事件处置方面具有显著的能力优势。基于深厚的专业知识,能准确识别和理解工控安全事件;结合先进的检测与防护工具、丰富的安全应急服务能力,能快速响应和恢复,最大限度降低系统中断和损失,帮助企业组织建立健全的安全应急管理体系。
威努特简介
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需99元,全站资源免费下载 点击查看详情
站 长 微 信: hs105011
