网络安全的高级别风险评估

在完整的IEC 62443风险评估中，进行高水平风险评估，以确定植物/系统受网络攻击损害的情况下的潜在后果。高级风险评估有助于识别工厂内部最关键的地区，要求执行足够的缓解行动。在高级别的风险评估方面，通常通过模拟其成功来分析网络攻击，即对控制系统的潜在违反，并专注于损坏的严重程度。IEC 62443风险评估必须被理解为估计与运营技术（OT）网络安全有关的风险的手段，一旦最高管理层确定了其业务最严重的后果。这是IEC 62443标准名称业务理由的原理。

然后，通过详细的分析（低级风险评估）加深了高级风险评估，这考虑了需要分析的系统的具体漏洞，具体而言，基础设施最相当大的部分最严重的后果。

高级网络风险的计算基于以下公式：

风险=〖威胁〗潜在×〖概率](事件发生×〖后果〗事件

事件发生的概率必须通过考虑特定资产及其吸引力来确定，即如果受到攻击，资产在经济上的盈利能力如何。

在这个阶段，重要的是权衡后果以量化网络风险。高级别风险评估只是将事件视为可能的事件，而不详细介绍已经到位的对策或存在什么漏洞。换句话说，对于每个资产，我们回答这个问题：如果特定资产成功攻击，我的业务将受到困境的最糟糕后果是什么？

工业网络安全风险评估是针对最高管理层的分析，因此，从经济角度考虑后果。本分析的目的不是详细确定工业系统网络攻击造成的损害和后果，也不是必须实施何种类型的对策；高级别风险评估仅允许我们概括地量化哪些风险与OT网络安全相关，以及这些风险的权重。从这个意义上讲，最能量化损失的参数是经济参数。

高级别风险评估的技术标准

下表列出IEC 62443标准中适用于高级别风险评估的技术标准:

IEC 62443建议了解根据网络安全生命周期建立风险分析的要求和模型的指导，该寿命终止从宏观评估网络内的Cyber​​attack对工业控制系统的影响。如上所述，高级风险评估开始于商业理由的评估。

什么是商业理由

在任何组织中，发展有效的工业网络安全风险评估的道路始于最高管理层意识到遭受网络攻击所带来的技术、商业和品牌损害。业务原理是对针对最敏感企业资产的网络攻击可能产生的后果的高层次描述。从评估这类后果开始，我们将计划下一步的行动，旨在实施符合IEC 62443标准的网络安全管理系统(CSMS)。

在以下商业理由的例子中，我们研究了网络攻击的一些最受大量的后果：

• 业务连续性。对基础设施的攻击包括长期关闭与基础设施相连的工厂。电站关闭的后果可以在不同的水平上进行检查:在系统水平上或在与主系统相互作用的属于同一电站的任何其他系统的水平上。在这种情况下，必须根据生产损失来评估工厂关闭的损害。
• 安全。可能导致机器、系统或环境上存在的安全功能改变或抑制的威胁，其安全自动化通过安全PLC实现，其中通过网络连接进行信号交换。这种威胁可能导致伤害或事故。即使在这种情况下，评估也在对内部工作人员或外部工作人员的影响的几个层面上进行。
• 环境。当拟用于生产和控制危险排放物的设备受到攻击和操纵时，必须对危险环境排放物的风险进行类似于安全方面的评估（见上一点）。

业务基本原理有助于定义在高级别风险评估中要考虑的关键结果和阈值，以及每个结果对公司所代表的权重。下表展示了业务原理的一个例子。

网络安全风险评估提案

如上所述，制定OT网络安全计划的第一步是对网络攻击产生的风险进行宏观评估，该评估分为四个阶段。

1. 初步信息调查的检查/电话会议，其中我们调查网络架构的主要属性
2. 商业原理的定义;这一阶段包括讨论攻击的所有可能后果和估计损害
3. 高水平风险评估(初步)，旨在强调业务合理性的结果
4. 高级风险评估(最终)，我们通过提供管理网络安全流程所需的所有信息来完成分析。通过这种方式，内部人员将能够处理网络安全问题，如随机的网络事件(如勒索软件或DDoS)，或人为因素造成的损害(社会工程)等。

这项工作是这项工作的基础和准备出发点下一个行动，其最终目标是建立针对工业控制系统的缓解措施。

-本文最初发表于H-On Consulting的网站。H-ON咨询是CFE媒体内容合作伙伴。由Chris Vavra，Web Content Manager编辑，控制工程，CFE媒体和技术，cvavra@cfemedia.com.。