操作技术风险评估和网络安全原则

评估和监控操作技术(OT)系统的安全性可以通过进行安全评估OT网络安全威胁风险评估(TRA)．该过程是保护OT/关键基础设施(CI)和关键资源免受勒索软件等恶意网络安全威胁的基础。

OT网络安全TRA应基于行业公认的安全评估原则，并分三个阶段进行:

• OT网络独立技术漏洞评估
• 结合阶段1的结果，对OT网络支持的业务功能进行威胁和风险评估
• 提供持续的网络安全支持。

系统的TRA过程应该遵循一个八步过程。

1.为系统建立业务上下文:

• 提供对业务运营概念的洞察，包括TRA范围内涉及的特定程序或服务
• 确定系统/程序的主要特征，并理解它将如何实现其目标
• 建立对系统的技术体系结构、服务、功能和连接性的理解
• 识别适用于系统的信息安全管理实践和相关安全控制，如防火墙、入侵检测和防御系统。

2.进行OT资产识别、评估和影响，根据关键资产的保密性、完整性和可用性识别和分配价值。机密性、完整性和/或可用性的丧失决定了不利条件下的潜在影响。该过程的输出在风险分析中使用，并形成风险计算分析的关键元素。

3.进行评估以确定威胁。评估应包括:

• 与系统相关的威胁的列表和描述
• 有关发生威胁或威胁事件的可能性以及由此产生的潜在影响的信息
• 针对每个已识别的威胁或威胁事件的总体级别评级。

4.对系统中的资产进行漏洞评估，包括以下内容:确定现有或计划的安全控制，确定漏洞，并建立总体漏洞评级。在评估现有或计划的控制之后，可以根据结果的严重程度确定妥协的可能性。

5.进行风险分析，考虑到资产的价值、它们对威胁行为者的暴露程度以及在事件期间可能被利用的漏洞。然后为每个漏洞/威胁组合确定风险评级，作为可能性和影响的函数。在风险评估/分析中所采取的详细程度在很大程度上取决于风险资产的价值、资产或组织对各种威胁场景的脆弱性程度以及威胁环境的当前状态。这些问题可能会因组织之前所暴露的安全事件而加剧。

6.准备TRA报告/风险处理计划，其中包括如下所示的介绍、描述、总结/结论和补充信息。

7.应用TRA报告/风险处理计划中建议的安全控制

8.监控风险，并根据需要，通过另一个威胁风险评估重新评估。

OT TRA(和报告)提供了安全风险的风险评估和总结，以及对未来活动的结论和建议。遵循这里描述的TRA流程步骤将使OT所有者和管理员能够评估和监控针对其OT/CI系统的风险，并实施安全控制以对抗恶意活动。

-这最初出现在天祥集团的网站．天祥集团是CFE媒体和技术内容合作伙伴。由Chris Vavra编辑，web内容经理，CFE媒体和技术，cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。