六、安保策略

        安保策略是定義系統(tǒng)、組織或其他實體安全意味著什么。對于一個組織，它要約束成員的行為，以及用機(jī)制約束黑客的入侵，諸如使用門、鎖、墻等設(shè)施。對于系統(tǒng)，安保策略要約束功能和數(shù)據(jù)流，約束外部系統(tǒng)和黑客的訪問，包括對人員或應(yīng)用程序和數(shù)據(jù)訪問。 
 

        安保策略由組織的高級管理層或選出的委員會來定義。安保策略可以由組織按要求對特定功能或系統(tǒng)進(jìn)行裁剪。安保項目應(yīng)該包括安保策略、標(biāo)準(zhǔn)、指南、基線、程序、安保基礎(chǔ)培訓(xùn)、事故響應(yīng)計劃和法規(guī)遵從。這些內(nèi)容在ISO/IEC 27000系列標(biāo)準(zhǔn)中描述，美國能源部提供了可以實施的細(xì)節(jié)。

七、危險評估

        危險評估包括分析資產(chǎn)，確定信息和資產(chǎn)的價值, 確定漏洞和潛在危險（威脅），威脅降低方法，決定可以接受、避免或轉(zhuǎn)移的危險。這項行動由危險分析團(tuán)隊執(zhí)行。危險評估過程包括執(zhí)行評估程序，分析及評定危險結(jié)果。危險評估應(yīng)用于信息、通信和電力。在這個周期，應(yīng)該確定關(guān)鍵資產(chǎn)。
危險評估必須考慮對安保系統(tǒng)的影響。比如在一個系統(tǒng)中的危險可能是：
       ?安全危險可能導(dǎo)致生命損失，人員傷害，或環(huán)境破壞。
       ?任務(wù)危險可能導(dǎo)致這個系統(tǒng)的癱瘓，諸如關(guān)鍵基礎(chǔ)設(shè)施或數(shù)據(jù)的損失。
       ?商業(yè)危險可能導(dǎo)致重大經(jīng)濟(jì)損失，諸如商業(yè)或聲譽(yù)的損失。
       ?安保危險可能導(dǎo)致敏感數(shù)據(jù)的損失。

八、建立危險分析團(tuán)隊

       危險分析團(tuán)隊必須包括組織關(guān)鍵區(qū)域中的人員諸如管理人員，工程人員，安保專家，過程控制工程師，信息技術(shù)（IT）規(guī)劃師，應(yīng)用分析師，程序設(shè)計師。危險分析團(tuán)隊成員必須是每個行業(yè)里的專家，了解過程、商業(yè)對象、工程原理、技術(shù)和法規(guī)。

九、信息和資產(chǎn)的價值

        信息的價值決定了安保的方法。在評估信息的價值時，同樣的邏輯可用于資產(chǎn)，諸如設(shè)施，系統(tǒng)，服務(wù)，資源，供給和人員。為了評估什么是危險，必須評估什么是財產(chǎn)。信息和資產(chǎn)都應(yīng)該有給予它數(shù)量和質(zhì)量的測量。
        實際價值由它的獲得、開發(fā)和維護(hù)的成本所決定。對于所有者，授權(quán)用戶和非授權(quán)用戶的重要性決定了資產(chǎn)的價值。資產(chǎn)可以是有形的（計算機(jī)、設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、設(shè)施、供給）或者是無形的（聲譽(yù)、數(shù)據(jù)、知識產(chǎn)權(quán)）。
 

十、確定威脅

        威脅評估是一個非常具體的行為，在有些情況下，這是一項困難的任務(wù)。 
        威脅可以分成人為（有意或無意）和自然災(zāi)害。很多類型的威脅來源于多種漏洞，從而導(dǎo)致多種特定的威脅。一旦威脅是針對某種應(yīng)用、系統(tǒng)、業(yè)務(wù)單位或組織, 必須查清相關(guān)的漏洞，找到解決的辦法。

十一、確定漏洞

        漏洞是一個用來攻擊的潛在通道，是連接內(nèi)部或外部代理，可能導(dǎo)致安保失效的系統(tǒng)屬性或環(huán)境。發(fā)現(xiàn)漏洞并不那么容易，需要一定的技能水平。當(dāng)發(fā)現(xiàn)特定的漏洞時，需要找出所有針對組織的進(jìn)入點，找出訪問信息（來自電子和物理）點，諸如：
       - 因特網(wǎng)連接； 
       - 遠(yuǎn)程訪問點；
       - 與其他組織的連接；
       - 物理訪問設(shè)施；
       - 用戶訪問點；
      - 無線訪問點。
        失效模式和影響分析是一種用于決定漏洞位置以及查出路徑的方法。這種方法支持決定功能、確定功能失效、評估失效原因和對結(jié)構(gòu)化過程的影響。這是一個系統(tǒng)工程方法，近來用于評估危險管理的優(yōu)先級和減輕已知漏洞的威脅。

[DividePage:NextPage]

十二、危險分析方法

        現(xiàn)在出現(xiàn)了許多用于公共ICT系統(tǒng)的評估方法和概念。安保設(shè)計者和控制系統(tǒng)的用戶需要對這些方法的適用性、收益和性價比進(jìn)行評價。另外，用于控制系統(tǒng)的危險管理沒有基于危險的標(biāo)準(zhǔn)方法。
       危險分析的步驟按照NIST、ISO/IEC等的標(biāo)準(zhǔn)和方法論來定義?，F(xiàn)在常用的危險評估方法有： 
        - 基于列表的檢查；
        - 原因－結(jié)果分析； 
        - 分級全息模型；
        - 失效樹分析； 
        - 事件樹分析；
        - 攻擊樹分析；
        - 基于能力的攻擊樹； 
        - 漏洞樹分析；
        - 失效模式影響和危險程度分析。 
 

        危險分析是決定控制系統(tǒng)安全運(yùn)行的基礎(chǔ)，包括價值性、敏感性和關(guān)鍵信息。危險評估對危險管理給出一個戰(zhàn)略方法應(yīng)對一個標(biāo)準(zhǔn)案例的挑戰(zhàn)。分析和評估危險的過程是很好了解和及時執(zhí)行基礎(chǔ)。
       當(dāng)評估系統(tǒng)的危險時，必須對通用方法進(jìn)行定制，包括下面的行動： 
        - 確定系統(tǒng)特性，區(qū)分與公共ICT系統(tǒng)的不同；
       - 確定與電力系統(tǒng)相關(guān)獨特的攻擊點；
       - 確定與人員安全相關(guān)的危險；
       - 確定對電力系統(tǒng)可靠性相關(guān)危險；
       - 確定基于危險程度和生存標(biāo)準(zhǔn)（如，計算機(jī)每年折舊）的資產(chǎn)價值。
       - 當(dāng)評估資產(chǎn)的價值時包括機(jī)密性、完整性和可用性。 
       - 當(dāng)分析威脅事件、威脅影響或威脅頻率時，確定不可靠等級。
       - 在執(zhí)行危險分析時，平衡使用數(shù)量和質(zhì)量方法，諸如這些方法的結(jié)果提供了最佳的危險評估或測量信息。
       - 指派合格的危險分析師。分析師應(yīng)該具有控制系統(tǒng)開發(fā)的實踐經(jīng)驗，了解控制系統(tǒng)出現(xiàn)的各種問題。
       - 使用一種戰(zhàn)略危險管理方法，支持做出決定的關(guān)鍵信息。
       - 使用自動的和假設(shè)分析（what-if）工具，提供一套可選擇的戰(zhàn)略方法用于危險管理。 
       - 最大化地對控制系統(tǒng)進(jìn)行一致和完全的漏洞分析，包括硬件、軟件、因特網(wǎng)訪問、環(huán)境和人員。
       - 使用集成模型用于危險管理，實施主動預(yù)案進(jìn)行危險管理。
       - 使用過程控制模型，使用閉環(huán)加強(qiáng)安保，最小化危險等級。
       - 使用系統(tǒng)識別模型生成一個基于模型的系統(tǒng)識別和過程控制方法，并應(yīng)用到控制系統(tǒng)。
        考慮惡意軟件在網(wǎng)絡(luò)中高速傳播特性，人們需要確定安保危險和模擬控制系統(tǒng)的動態(tài)過程，找出一個最佳解決方案監(jiān)視網(wǎng)絡(luò)攻擊。監(jiān)視方法可以使用基于專用設(shè)備和收集數(shù)據(jù)估計的參數(shù)預(yù)測模型。這種工具可以使用統(tǒng)計和機(jī)器學(xué)習(xí)方法來估算和導(dǎo)出最佳參數(shù)，減輕正在發(fā)生的網(wǎng)絡(luò)攻擊。安保系統(tǒng)也可以使用位置的原則最小化危險，阻止大規(guī)模網(wǎng)絡(luò)攻擊的傳播。

十三、整體危險對比剩余危險

        區(qū)分整體危險與剩余危險的觀念是非常重要的，剩余危險是指一個公司愿意承受的危險?？傆幸恍┮嬖诘奈ｋU；這也被稱為殘留危險。也要確定控制的缺口；這是控制系統(tǒng)不能保護(hù)和覆蓋的部分。下面的公式表示了整體危險和剩余危險的不同：
      - 威脅 x 漏洞 x 資產(chǎn)價值 => 整體危險
      - （威脅 x 漏洞 x 資產(chǎn)價值）x 控制缺口 => 剩余危險
      - 整體危險 – 對策 => 剩余危險

[DividePage:NextPage]

十四、實施安保
 

        在選擇－安保方法（或者安全裝置）前，確定安保機(jī)制和評估其效力是非常重要的步驟。然而，考慮和選擇適當(dāng)?shù)姆椒ㄐ枰M(jìn)行性價比分析。方案的成本包括很多內(nèi)容，從產(chǎn)品價格、實施和維護(hù)費用到對生產(chǎn)率、與其他方法的兼容性和環(huán)境變化的影響。為了列出所有的內(nèi)容，需要使用最新出版的文件。

十五、危險處理和緩解

        信息安保管理的第二個階段包括確定優(yōu)先級、預(yù)算、最終實施和適當(dāng)維護(hù)危險降低方法的過程。 
        在整體危險和剩余危險的數(shù)量決定后，管理必須決定如何處理和緩解危險。危險能夠用不同方式處理：轉(zhuǎn)移、拒絕、接受或降低。
如果組織決定采取終止引入危險的行動，就是眾所周知的危險規(guī)避。例如，一臺連接到SCADA控制系統(tǒng)的計算機(jī)，如果組織允許它使用電子郵件或即時通訊，那么這些應(yīng)用具有很多的危險。斷開這些服務(wù)是一個規(guī)避危險的例子。
         危險緩解是一種把危險降低到可以接受的程度、使商業(yè)行為可以繼續(xù)的方法。采用各種安保技術(shù)（防火墻，侵入檢測/保護(hù)系統(tǒng)，加密，培訓(xùn)等）是降低危險的方法。
        危險接受是當(dāng)成本/收益比大于1時使用的一種方法, 這意味著安保方法的成本權(quán)重超過了潛在損失的價值。當(dāng)然，危險接受還要考慮其他的因素。
還有，在不同功能區(qū)域從事危險管理任務(wù)的人員應(yīng)能夠交流知識。成功實現(xiàn)危險管理的一個特征是在電力網(wǎng)格內(nèi)以正確方式傳播知識。
在域內(nèi)的人員工作在不同的功能區(qū)域中，應(yīng)共享危險管理的實踐經(jīng)驗，在網(wǎng)絡(luò)實踐中參與和協(xié)同工作會收益非淺。一種實踐網(wǎng)絡(luò)危險管理方法是水平地切割垂直的集成域。做為網(wǎng)絡(luò)的一部分，來自信息安保的人員可以獲得更多知識訪問，提高他們危險管理的能力。

（原創(chuàng)）