工业互联网安全 课件 任务2 风险评估报告编写.pptx

任务2工业互联网安全风险评估报告的编写

工业互联网目前已经广泛应用于电力、交通、石油、取暖、制造业等关键信息基础设施领域，一旦发生安全事件，往往会造成巨大的损失和广泛的影响。由于工业互联网环境的特殊性，传统的IT信息安全技术并不能完全有效的保护工业系统的安全，甚至很多常用的安全技术都不能直接应用于工业网络的安全防护。对于工业互联网安全的分析与防护，需要使用一些专门的方法和专用的技术。任务描述本任务从安全风险计算分析、安全风险结果判定、安全风险评估处置等多个方面讲解工业互联网安全风险评估的内容与方法，并通过工业互联网安全风险评估报告的编写，使同学们掌握工业互联网安全风险评估的方法和报告的编写。

安全风险计算分析1（1）发展战略识别发展战略识别是风险评估的重要环节，可以通过发展战略推导出各业务的发展情况，也可以将各项业务作为核心，针对各项业务的定位和情况确定整体发展战略。业务具有关联性，以业务为核心进行战略识别时可根据业务间的关联性进行综合分析，也可参考机构的发展战略规划。知识导入

安全风险计算分析1（2）业务识别业务识别是指分析发展战略依赖的业务，将战略与实现该战略的业务进行拆解，并对该业务在战略中的地位等因素进行赋值。首先对业务流程进行识别。业务流程是指按照一定规则、业务关系及其先后顺序实现的一系列业务活动，通过对业务流程的管理、审批和控制，可实现业务数据之间的交换和集成。知识导入

业务重要性赋值表知识导入赋值标识定义5很高业务或业务流程在战略中极其重要，在战略的属性及职能定位层面具有重大影响，在短期目标或长期目标中占据极其重要的地位，在业务规划层面与较多业务有很强的交叉性，是多个业务流程的重要环节。4高业务或业务流程在战略中较为重要，在战略的属性及职能定位层面具有较大影响，在短期目标或长期目标中占据极其重要的地位，在业务规划层面与较多业务存在交叉性。3中等业务或业务流程在战略中具有一定的重要性，在战略的属性及职能定位层面具有一定影响，在短期目标或长期目标中占据重要的地位，在业务规划层面与其他业务存在一定的交叉性。2低业务或业务流程在战略中具有一定的重要性，在战略的属性及职能定位层面具有较低影响，在短期目标或长期目标中占据一定的地位，在业务规划层面与其他业务存的交叉性较小。1很低业务或业务流程在战略中具有一定的重要性，在战略的属性及职能定位层面具有较低影响，在短期目标或长期目标中占据较低的地位，在业务规划层面相对独立。

安全风险计算分析1（3）资产识别资产识别是指对工业互联网信息资产进行识别，主要目标是得到有价值的资产明细，脆弱性及威胁识别都是以资产识别为基础的。a）资产识别的内容根据工业互联网资产的表现形式，可将资产分为设备、控制、网络、应用以及数据五个类别。在实际工作中，资产的分类方法可以根据评估对象和要求，由评估方灵活把握。知识导入

一种基于表现形式的资产分类方法知识导入类别资产设备单点智能器件：智能传感器成套智能终端：智能仪表智能产品：工业机器人涉及操作系统/应用软件与硬件控制控制协议/控制软件/控制平台网络工厂内部网络/工厂外部网络/标识解析系统应用工业互联网平台：边缘层、平台LaaS层、平台PaaS层工业应用程序数据采集、传输、存储、处理等各个环节的数据，主要有生产管理数据、生产操作数据以及工厂外部数据，如用户信息。

安全风险计算分析1b）资产赋值资产在安全属性上的赋值可以采取分级思路。根据资产在五个安全属性上的不同要求，可将其分为五个不同的等级，分别对应资产在安全属性上应达成的程度或者安全属性缺失时对整个组织的影响。资产重要性应依据资产在安全属性上的赋值等级，以及与业务的关联分析结果，经过综合评定得出。组织可以根据自身的特点，对资产安全属性和业务流程重要性进行加权计算，得到资产的最终赋值结果。可根据组织的业务特点确定加权方法。知识导入

知识导入资产重要性赋值表等级标识定义5很高非常重要，其安全属性被破坏后可能给组织造成非常严重的损失。4高重要，其安全属性被破坏后可能给组织造成比较严重的损失。3中等比较重要，其安全属性被破坏后可能给组织造成中等程度的损失。2低不太重要，其安全属性被破环后可能给组织造成较低的损失。1很低不重要，其安全属性被破坏后会给组织造成很小的损失，甚至可以忽略不计。

安全风险计算分析1（4）战略、业务和资产的分析发展战略、业务和资产的组织形式自上而下分别是战略、业务、信息系统、平台、基础设施。关联分析的重点是分析战略对业务的依赖性、业务对资产的依赖性和资产安全属性丧失对业务/战略的影响。知识导入资产安全属性丧失会对业务产生不同程度的影响，进而对战略产生不同程度的影响。

安全风险计算分析1（5）威胁识别工业互联网的发展使得现场设备由机械化