⑴ 工业控制系统信息安全风险评估涉及哪些方面,需要掌握哪些知识有相关网站或者书籍推荐最好!谢谢了。
摘要 《工业控制系统的安全风险评估》
⑵ 信息网络安全评估的方法
信息网络安全发展的时间是比较短的,所以,存在的问题还是比较多的、下面一起来看看信息网络安全风险评估的方法。
方法/步骤
1/6 分步阅读
定制适合的评估方法
在之前会有很多的评估方法,当我们需要评估的时候,应该将那些案例作为参考。然后,根据自己产品的特点,制定出适合的评估方法。
2/6
制定完整的框架
在做信息网络安全风险评估的时候,不只是要评估存在的风险,也是需要为管理提供一个基础的依据,整理出相关的数据。应该为产品设计一个1到2年的设计框架,这样才有一个基础的保证。
3/6
对用户的需求进行评估
不同的用户会有不用的需求,同时就会存在不同的风险,想要查找出风险,就需要和用户进行必要的沟通。多与用户沟通,对风险的评估有很大的帮助。
4/6
细致的分析
现在大多数的企业的系统都是比较复杂的,同时风险也是越来越隐蔽,越来越多的。所以,有必要对此进行一个细致深度的评估。找出了风险了以后,还需要找出为什么会存在风险,并找到解决方法。
5/6
系统的管理
对于评估信息网络安全风险并不是一个人就可以完成的,需要拥有一个专业的团队才可以及时有效的应对。拥有专业知识的团队是评估风险的一个保障、
6/6
计划好评估过程
在评估的时候一般是有前期,中期,后期这三个评估的过程的。在每一个过程都需要做不同的事情。同时也需要对风险评估有一个重要的认识,才可以准确的评估出风险。
⑶ 简述网络安全的相关评估标准.
1 我国评价标准
1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级(GB1安全级):它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级(GB2安全级):除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级(GB3安全级):除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
l 第4级为结构化保护级(GB4安全级):在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
l 第5级为访问验证保护级(GB5安全级):这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。
2 国际评价标准
根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性,安全标识
B
B1
标识的安全保护
强制存取控制,安全标识
B2
结构化保护
面向安全的体系结构,较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种:
(1)UNIX系统;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3级,又叫做安全域(Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。
⑷ 假如你是某个IT公司的网络管理员,公司需要你对本公司的网络安全状况做一个评估。你认为自己该如何做
实事求是,找出安全问题,并提出解决方案。
或者可以找专业的IT顾问公司来评估,花费也不会很高。
建议对企业IT安全和稳定要求较高的企业都去做一个标准的IT架构评估。
有问题可到我空间留言:)
⑸ 如何进行企业网络的安全风险评估
安全风险评估,也称为网络评估、风险评估、网络安全评估、网络安全风险评估,它是指对网络中已知或潜在的安全风险、安全隐患,进行探测、识别、控制、消除的全过程,是企业网络安全管理工作的必备措施之一。
安全风险评估的对象可以是整个网络,也可以是针对网络的某一部分,如网络架构、重要业务系统。通过评估,可以全面梳理网络资产,了解网络存在的安全风险和安全隐患,并有针对性地进行安全加固,从而保障网络的安全运行。
一般情况下,安全风险评估服务,将从IT资产、网络架构、网络脆弱性、数据流、应用系统、终端主机、物理安全、管理安全共8个方面,对网络进行全面的风险评估,并根据评估的实际情况,提供详细的网络安全风险评估报告。
成都优创信安,专业的网络安全服务、网站安全检测、IT外包服务提供商。我们提供了专业的网络安全风险评估服务,详细信息可查看我们网站。
⑹ 工业控制系统安全有哪些测评设备及系统
力控华康是国内最早从事工业控制系统信息安全技术研发的厂商之一,是中国领先的工业控制系统信息安全产品及服务提供商。
力控华康主要产品及服务:
pSafetyLink系列工业网络安全防护网关:实现控制网与管理网之间有效的边界隔离,在确保控制网与管理网之间数据有效通信的前提下,有效地保护控制网免受病毒及黑客的攻击。
ISG系列工业防火墙:通过白名单机制,实现工业协议的有效过滤和控制网的深度防御,提高控制网抵御网络风暴、DDOS攻击及其他恶意攻击的能力。
pFieldComm系列通信转换协议:实现不同工业控制系统数据通信协议向标准通信协议的转换。对于主流的组态软件或实时数据库,如:ForceControl 、InTouch 、IP21、iFix 、PI 、PHD、INSQL等上位机软件,网关支持此类软件的数据断线缓存,以解决由于网络断开或信息阻塞,造成的数据丢失和历史数据不完整问题。
ICG系列工业安全通信网关:实现不同工业控制系统数据通信协议向标准通信协议的转换,同时具备工业防火墙功能。能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统进行信息安全防护。
工业控制系统信息安全评估:根据用户的具体系统配置,利用力控华康的专用分析工具,提出用户控制系统信息安全的脆弱性评估报告,并有针对性地给出提高系统信息安全级别的整体方案。
工业控制系统信息安全实验室建设:根据用户的行业特点,为用户搭建工业控制系统信息安全实验室,并搭建真实的攻防环境,为用户提供场景搭建、人才培训等服务平台。
力控华康的主要用户:大庆石化、大庆炼化、乌鲁木齐石化、榆林化工、延长石油靖边能源化工、中海油海上平台、中海油惠州炼化、胜利油田、昆仑燃气、新奥燃气、中国化工集团、潞安集团、鞍钢集团、昆明钢铁、承德钢铁、德龙钢铁、宣化钢铁、青岛钢铁、日照钢铁、宁夏能源化工...
⑺ 网络安全评估主要有哪些项目
网络安全评估,也称为网络评估、风险评估、网络风险评估、安全风险评估。一般情况下,它包括以下几个方面:
网络资产评估、网络架构评估、网络脆弱性评估、数据流评估、应用系统评估、终端主机评估、物理安全评估、管理安全评估,一共8个方面。
成都优创信安,专业的网络和信息安全服务提供商。