操作技术风险评估和安全审查

保护关键资源和关键基础设施(CI)，如医疗保健、金融、交通、电信、能源和水/废水，对安全、公共卫生和安全、经济活力和我们的整体生活方式至关重要。最近的勒索软件攻击，例如针对天然气管道的攻击，说明了不安全的基础设施的影响。美国联邦调查局(FBI)局长最近将勒索软件攻击与9 / 11袭击进行了比较，并表示该机构将勒索软件攻击与恐怖主义相提并论。

保护CI和关键资源的基础是操作技术(OT)系统的安全性，即控制和保护这些基础设施的关键任务系统。OT由硬件和软件组成，通过直接监视和/或控制物理设备(如阀门、泵等)来检测或引起物理过程的变化。术语“OT系统”用于广泛描述支持工业过程的技术(包括模拟和数字)，例如:

• 监控和数据采集系统(SCADA)
• 可编程逻辑控制器(plc)经常在工业部门和关键基础设施中发现
• 流程OT系统
• 分布式控制系统(DCS)
• 其他特定于CI行业部门的OT系统

通过实施OT网络安全威胁和风险评估(TRA)，可以帮助评估OT系统的安全性。NIST网络安全框架适用于依赖技术的组织，无论其网络安全重点如何，该框架指出，最高级别的网络安全活动涉及五个高级功能:识别、保护、检测、响应和恢复。OT TRA包含所有这些高级功能。该框架还指出，组织具有具有不同威胁、漏洞和风险容忍度的独特风险。

威胁会给OT/CI资产带来风险，这取决于威胁实现的可能性以及威胁实现时对资产的影响。TRA流程是一种形式化的方法，用于处理威胁行为者或威胁事件利用漏洞对有价值的资产造成不利影响的负面后果。从本质上讲，风险可以描述为:

风险= f(资产价值、威胁、漏洞)

TRA包括资产识别和评估、威胁、脆弱性和风险评估，以及风险处理建议和剩余风险的计算。TRA过程的总体目标是为每个可利用的漏洞/威胁组合生成风险等级列表。

-这最初出现在天祥集团的网站．天祥集团是CFE媒体和技术内容合作伙伴。编辑克里斯·瓦夫拉，网络内容经理，控制工程、CFE媒体与技术、cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。