[发明专利]一种基于分区分域的工控系统信息安全资产识别方法

说明书

技术领域

本发明涉及一种工控系统资产识别方法，具体涉及一种基于分区分域的工控系统信息安全资产识别方法。

背景技术

工业控制系统广泛应用于石化、轨交、核电、钢铁等国家关键行业及基础设施中。随着工业化和信息化进程的加快，越来越多的计算机技术以及网络通信技术应用到工业控制系统中。在这些技术提高了企业管理水平和生产效率的同时，也使得工业控制系统面临的信息安全威胁不断增多。近年来从层出不穷的工控系统信息安全事件表明，加强工控系统的信息安全保护工作已迫在眉睫，而对于工控系统的风险评估研究是信息安全工作的重要基础。

信息安全风险评估主要包括对资产、威胁、脆弱性、风险等要素的识别、分析和评估等工作，其中资产识别是信息安全风险评估过程的首要环节，资产是风险的核心要素，资产识别的正确性和准确性对后续的各风险要素及其综合评估的导向至关重要。

在当前的工控系统资产识别工作中，一般采用与传统IT系统一样的方式，将资产简单分为硬件、软件、信息等几个大类。传统IT系统采用这种分类识别方式是基于采用了相对简单的两层结构（客户机/服务器，C/S）或是三层架构（展示、业务处理、数据库）而进行的。但是，工业控制系统与传统IT系统有着很大的不同，尽管也主要采用这两种结构，但是整个工厂或一个产品线的控制系统群上，呈现出较为复杂的结构关系，即多个控制系统单元的工作集合才能完成整个产品的生产。因此在工业控制系统进行信息安全风险评估时，需要特别要重视这点，应采用更系统更完善的方式对工控系统的资产进行识别。

发明内容

本发明针对现行的工控系统信息安全资产识别方法的不足，进一步根据工控系统资产类别及数量较多、相互之间关联度也将较大的特点，提出了一种基于分区分域的工控系统信息安全资产识别方法，既通过分区分域地划分，降解整个系统的复杂度，又重构了其关联关系，保证特定系统的关联属性在最终结果中得到体现，是一种适合工控系统资产识别的方法，可以为工控系统信息安全风险评估后续工作打下坚实的基础。

为实现上述目的，本发明采用以下技术方案：

一种基于分区分域的工控系统信息安全资产识别方法，所述工控系统信息安全资产识别方法包括以下步骤：

（1）工厂的分区分域

1.1将一个工厂根据其产品划分成多个产品功能组；

1.2将每个产品功能组划分成多个单一产品生产线；

1.3将产品生产线再向下划分成多个控制系统，部分控制系统可能会服务于多个产品生产线，甚至跨越多个产品功能组，此类系统先分别计入各产品功能组或产品生产线，在最后列出的工厂区域表后进行归纳整理；

1.4将一个业务功能相对一致、处于同一网络、处于同一物理空间的所有控制系统设备的集合划分为一个区域；

（2）区域的识别

2.1罗列出一个工厂的所有区域，并列出区域中的设备；

2.2相同区域进行归纳，整理出区域清单表；

（3）管道的识别

3.1域清单表，制作区域矩阵，识别出所有的区域间管道；

3.2载管道的设备进行归纳，整理出管道清单；

（4）区域资产的识别

4.1针对每个已列出的区域，并参考相连的管道，列出所有的硬件、软件、集成配置数据和生产数据四类信息资产；

本发明所述的基于分区分域的工控系统信息安全资产识别方法的有益效果为：充分考虑了工控系统相较于传统IT系统的不同点，对于工控系统各部分关系较为复杂、相互之间关联度也将较大的特点，通过分区分域方法，既降低了整个工厂工控系统的复杂度，又保留了特定系统的关联属性。相较于传统方法，本发明的基于分区分域所展开的工控系统资产识别方法，更切合工控系统的实际情况，所得到的资产识别结果更具有系统性和条理性，适用于进一步开展对工控系统的信息安全工作。

附图说明

图1为本发明的工控系统信息安全资产识别方法的流程；

图2为工厂分区分域方法；

图3为区域和管道的对应关系。

具体实施方式

如图1所示为本发明公开的一种基于分区分域的工控系统信息安全资产识别方法包括如下步骤

（1）工厂的分区分域：

1.1将一个工厂根据其产品划分成多个产品功能组；

1.2将每个产品功能组划分成多个单一产品生产线；

1.3将产品生产线再向下划分成多个控制系统；