风险评估是保证工业控制系统安全的重要机制,当前,信息安全和功能安全的耦合越来越紧密,考虑到不同组织的业务目标和运营环境多样化程度高,工控系统信息安全风险评估应紧密结合业务目标。基于目标-问题-度量(GQM)模型,从目标确定、问题描述、度量指标定义工控系统风险评估流程,以工控系统所承载的业务目标为指引,基于风险场景模型提出问题,围绕提出的问题收集信息,根据收集的信息和数据对度量指标进行关联分析和评价。最后,以PLC风险评估为实例,具体说明和验证了基于GQM模型的工业控制系统风险评估方法的有效性。

• 单位
  无锡职业技术学院