【技術實現步驟摘要】
本專利技術涉及工控網絡安全,特別涉及一種油氣生產工控系統漏洞風險評估方法及裝置。
技術介紹
1、工業控制系統在保障工業生產自動化方面發揮著關鍵作用,隨著數字化、智能化的持續推進,在網絡安全形勢與挑戰日益嚴峻、復雜的環境下,控制系統網絡安全風險不斷攀升。針對工業控制系統的攻擊多為高隱蔽、未知類攻擊,攻擊者通過工控設備漏洞、tcp/ip協議(transmission?control?protocol?/internet?protocol,傳輸控制協議/網際協議)缺陷和工業軟件漏洞等構建更加隱蔽的攻擊方法,攻擊方法難以預測。控制系統網絡攻擊與物理設備風險疊加演化發展,從信息域滲透至物理域的攻擊事件逐漸成為安全生產的重大風險源。以功能安全為核心的控制策略面臨嚴峻挑戰,設備財產與人身安全面臨重大威脅,功能-信息安全一體化的工控漏洞風險評估難題已刻不容緩。
2、現有的漏洞評估方法可根據評估方式分為定性評估方法和定量評估方法。其中定性評估方法使用分級的方式來進行定性評估,通常分為四級評分:嚴重、高、中、低。定量評估方法給定漏洞分數范圍,如加權影響漏洞評分系統(wivss,weighted?impactvulnerability?scoring?system)、通用漏洞評分系統(cvss,common?vulnerabilityscoring?system),為軟件漏洞提供了數字化評分,衡量漏洞自身特征和特定用戶環境中的影響,對漏洞進行更精準的量化評估。但現有的漏洞評分方法特別關注機密性、完整性和可用性,適用于信息技術網絡,并且未考
3、因此,如何提供一種解決上述技術問題的方案是本領域技術人員目前需要解決的問題。
技術實現思路
1、有鑒于此,本專利技術的目的在于提供一種油氣生產工控系統漏洞風險評估方法及裝置,能夠針對工業控制系統高隱蔽攻擊從信息域滲透至物理域的情況,提高工控漏洞風險評估準確性。其具體方案如下:
2、第一方面,本申請公開了一種油氣生產工控系統漏洞風險評估方法,包括:
3、確定待評估目標,并為所述待評估目標構建工控漏洞評估指標,以便根據所述工控漏洞評估指標確定所述待評估目標的工控漏洞總評分;
4、根據所述待評估目標的系統結構與預設漏洞風險信息,構建相應的攻擊圖模型,并基于所述攻擊圖模型,利用所述工控漏洞總評分確定所述待評估目標的工控漏洞風險概率值;
5、基于所述攻擊圖模型,根據所述待評估目標在工業過程中的漏洞實際被利用情況,并利用所述工控漏洞風險概率值,確定所述待評估目標的工控漏洞動態風險概率值。
6、可選的,所述為所述待評估目標構建工控漏洞評估指標,以便根據所述工控漏洞評估指標確定所述待評估目標的工控漏洞總評分,包括:
7、為所述待評估目標構建工控漏洞評估指標,并基于所述工控漏洞評估指標中的第一指標和第二指標分別確定所述待評估目標的工控漏洞基礎評分和工控漏洞環境影響評分;
8、利用所述工控漏洞基礎評分和所述工控漏洞環境影響評分確定所述待評估目標的工控漏洞總評分。
9、可選的,基于所述工控漏洞評估指標中的第一指標確定所述待評估目標的工控漏洞基礎評分,包括:
10、利用第一預設計算公式確定所述待評估目標的基本嚴重性評分;所述第一預設計算公式為:;其中,bs為所述基本嚴重性評分,ec為事件復雜度指標值,rc為來源可信度指標值,bc為漏洞產生的后果類型指標值,rl為修復方案指標值;
11、利用第二預設計算公式確定所述待評估目標的基礎可利用性評分;所述第二預設計算公式為:;其中,bex為所述基礎可利用性評分,ec為事件復雜度指標值,ex為漏洞成熟度指標值,au為所需權限級別指標值,ui為用戶交互需求指標值;
12、基于所述基本嚴重性評分和所述基礎可利用性評分,利用第三預設計算公式確定所述待評估目標的工控漏洞基礎評分;所述第三預設計算公式為:;其中,cn為所述工控漏洞基礎評分,av為威脅向量需求指標值。
13、可選的,基于所述工控漏洞評估指標中的第二指標確定所述待評估目標的工控漏洞環境影響評分,包括:
14、利用第四預設計算公式確定所述待評估目標的工控漏洞環境影響初始評分;所述工控漏洞環境影響初始評分包括:本地可訪問性評分、過程后果評分和系統影響評分;所述第四預設計算公式包括:、;其中,con為所述過程后果評分,vi為過程可見性后果指標值,mi為過程監控后果指標值,ci為過程控制后果指標值;imp為所述系統影響評分,cd為財務損失影響指標值,pi為系統產生影響指標值,ri為系統可靠性影響指標值,si為系統安全影響指標值;
15、基于所述工控漏洞環境影響初始評分,利用第五預設計算公式確定所述待評估目標的工控漏洞環境影響評分;所述工控漏洞環境影響評分包括調整后可訪問性評分和調整后系統影響評分;所述第五預設計算公式包括:、;其中,adjacc為所述調整后可訪問性評分,la為資產訪問指標值,adjimp為所述調整后系統影響評分。
16、可選的,所述利用所述工控漏洞基礎評分和所述工控漏洞環境影響評分確定所述待評估目標的工控漏洞總評分,包括:
17、基于所述工控漏洞基礎評分和所述工控漏洞環境影響評分,利用第六預設計算公式確定所述待評估目標的工控漏洞總評分;所述第六預設計算公式為:;其中,fs為所述待評估目標的工控漏洞總評分,cn為所述工控漏洞基礎評分,adjimp為所述工控漏洞環境影響評分中的調整后系統影響評分,adjacc為所述工控漏洞環境影響評分中的調整后可訪問性評分。
18、可選的,所述根據所述待評估目標的系統結構與預設漏洞風險信息,構建相應的攻擊圖模型,并基于所述攻擊圖模型,利用所述工控漏洞總評分確定所述待評估目標的工控漏洞風險概率值,包括:
19、根據所述預設漏洞風險信息確定攻擊節點,以及根據所述待評估目標的系統結構與所述預設漏洞風險信息確定所述攻擊節點之間的節點關系;
20、根據所述攻擊節點和所述節點關系構建所述待評估目標的攻擊圖模型;
21、利用所述工控漏洞總評分確定所述攻擊圖模型中每個所述攻擊節點的基礎概率值,并基于所述基礎概率值以及根據所述攻擊圖模型中的所述節點關系,確定所述待評估目標的工控漏洞風險概率值。
22、可選的,基于所述攻擊圖模型,根據所述待評估目標在工業過程中的漏洞實際被利用情況,并利用所述工控漏洞風險概率值,確定所述待評估目標的工控漏洞動態風險概率值,包括:
23、在所述攻擊圖模型中確定所述待評估目標在工業過程中被攻擊者成功利用漏洞時對應的目標攻擊節點;
24、根據所述目標攻擊節點更新所述攻擊圖模型中其他攻擊節點的基礎概率值,以確定所述攻擊圖模型中所述其他攻擊節點的更新概率值;<本文檔來自技高網...
【技術保護點】
1.一種油氣生產工控系統漏洞風險評估方法,其特征在于,包括:
2.根據權利要求1所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所述為所述待評估目標構建工控漏洞評估指標,以便根據所述工控漏洞評估指標確定所述待評估目標的工控漏洞總評分,包括:
3.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,基于所述工控漏洞評估指標中的第一指標確定所述待評估目標的工控漏洞基礎評分,包括:
4.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,基于所述工控漏洞評估指標中的第二指標確定所述待評估目標的工控漏洞環境影響評分,包括:
5.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所述利用所述工控漏洞基礎評分和所述工控漏洞環境影響評分確定所述待評估目標的工控漏洞總評分,包括:
6.根據權利要求1至5任一項所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所述根據所述待評估目標的系統結構與預設漏洞風險信息,構建相應的攻擊圖模型,并基于所述攻擊圖模型,利用所述工控漏洞總評分確定所述待評估
7.根據權利要求6所述的油氣生產工控系統漏洞風險評估方法,其特征在于,基于所述攻擊圖模型,根據所述待評估目標在工業過程中的漏洞實際被利用情況,并利用所述工控漏洞風險概率值,確定所述待評估目標的工控漏洞動態風險概率值,包括:
8.一種油氣生產工控系統漏洞風險評估裝置,其特征在于,包括:
9.一種電子設備,其特征在于,所述電子設備包括處理器和存儲器;其中,所述存儲器用于存儲計算機程序,所述計算機程序由所述處理器加載并執行以實現如權利要求1至7任一項所述的油氣生產工控系統漏洞風險評估方法。
10.一種計算機可讀存儲介質,其特征在于,用于存儲計算機程序;其中所述計算機程序被處理器執行時實現如權利要求1至7任一項所述的油氣生產工控系統漏洞風險評估方法。
...【技術特征摘要】
1.一種油氣生產工控系統漏洞風險評估方法,其特征在于,包括:
2.根據權利要求1所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所述為所述待評估目標構建工控漏洞評估指標,以便根據所述工控漏洞評估指標確定所述待評估目標的工控漏洞總評分,包括:
3.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,基于所述工控漏洞評估指標中的第一指標確定所述待評估目標的工控漏洞基礎評分,包括:
4.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,基于所述工控漏洞評估指標中的第二指標確定所述待評估目標的工控漏洞環境影響評分,包括:
5.根據權利要求2所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所述利用所述工控漏洞基礎評分和所述工控漏洞環境影響評分確定所述待評估目標的工控漏洞總評分,包括:
6.根據權利要求1至5任一項所述的油氣生產工控系統漏洞風險評估方法,其特征在于,所...
【專利技術屬性】
技術研發人員:王金江,汪征,宋偉航,張來斌,
申請(專利權)人:中國石油大學北京,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。