CN111587433A - 安保评价服务器和安保评价方法 - Google Patents
安保评价服务器和安保评价方法 Download PDFInfo
- Publication number
- CN111587433A CN111587433A CN201880085748.2A CN201880085748A CN111587433A CN 111587433 A CN111587433 A CN 111587433A CN 201880085748 A CN201880085748 A CN 201880085748A CN 111587433 A CN111587433 A CN 111587433A
- Authority
- CN
- China
- Prior art keywords
- evaluation
- security
- information
- hierarchy
- security function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明包括:层级生成部,其生成关于评价对象系统的多个系统层级的信息;评价部,其使用由所述层级生成部生成的关于多个系统层级的信息,计算由各系统层级所包含的安保功能要件实现的防御有效性的评价值,并计算由安保功能要件的组合实现的防御有效性的评价值;和检验部,其基于由所述评价部计算出的评价值和目标值,检验所述评价对象系统中的安保功能要件的充分/不足。
Description
技术领域
本发明涉及安保评价服务器和安保评价方法。
背景技术
为了实现功能安全而存在ISO61508和ISO26262等功能安保评价,并且为了实现网络安保(security)已知有IEC62443和ISO15408等安保评价。
在功能安全方面,因为存在硬件部件的故障发生率、和硬件部件的寿命,所以随着时间经过,与制造硬件部件时相比,功能安全的等级降低。另外,在网络安保方面,考虑不断有新的病毒产生、和持续使用同一密码导致的危险性,随着时间经过,与新构建信息系统时相比,安保等级降低。
对于硬件部件和信息系统的时间经过,在专利文献1中,公开了为了准确地得知信息系统构建时设定的多个安保功能相对于时间经过的安保等级SL的变化倾向,而按一定周期对可用性的丧失经过时间进行计时,计算出各安保功能的安保等级SL。对于该安保等级SL跨全部安保功能地进行换算而计算出信息系统整体的安保等级SLG,并对计算出的各时刻的系统安保等级SLG进行曲线图显示和输出的技术。
现有技术文献
专利文献
专利文献1:日本特开2008-176634号公报。
发明内容
发明要解决的技术问题
如果使用专利文献1中公开的技术,则能够对于硬件部件和信息系统的时间经过,评价安保等级。但是,在层级化的信息系统对硬件部件进行控制的系统中,对信息系统的各层级的网络攻击会对硬件部件的功能安全造成影响,但是专利文献1中并没有公开有评价关于这种影响的安保等级的技术。
本发明的目的在于评价由网络安保实现的功能安全。
用于解决问题的技术手段
本发明的代表性的安保评价服务器,特征在于,包括:层级生成部,其生成关于评价对象系统的多个系统层级的信息;评价部,其使用由所述层级生成部生成的关于多个系统层级的信息,计算由各系统层级所包含的安保功能要件实现的防御有效性的评价值,并计算由安保功能要件的组合实现的防御有效性的评价值;和检验部,其基于由所述评价部计算出的评价值和目标值,检验所述评价对象系统中的安保功能要件的充分/不足。
发明效果
根据本发明,能够评价由网络安保实现的功能安全。
附图说明
图1是表示安保功能安全评价装置的模块结构的例子的图。
图2是表示安保功能安全评价装置的硬件结构的例子的图。
图3A是表示系统工作环境规格书信息表的例子的图。
图3B是表示各个系统的层级信息表的例子的图。
图3C是表示系统结构规格书信息表的例子的图。
图4是表示评价运算数据表的例子的图。
图5是表示安保功能安全评价装置的序列的例子的图。
图6是表示输入处理部的流程图的例子的图。
图7是表示层级化的流程图的例子的图。
图8是表示评价运算部的流程图的例子的图。
图9是表示要件充分/不足检验部的流程图的例子的图。
图10是表示执行项目和工作环境规格书的输入画面的例子的图。
图11是表示作为目标的防御有效性的输入画面的例子的图。
图12是表示系统工作环境规格书信息和各层级定义的显示画面的例子的图。
图13A是表示层级化后的系统结构的输入画面的例子的图。
图13B是表示安保功能要件结构的输入画面的例子的图。
图14是表示系统和各安保功能要件的定量评价结果的显示画面的例子的图。
图15是表示充分/不足要件推荐结果的显示画面的例子的图。
图16是表示系统中的攻击和功能安全的例子的图。
具体实施方式
以下,使用附图对本发明的实施方式进行详细说明。
实施例1
―――系统结构―――
对于实施例1的安保功能安全评价装置1的模块结构的例子,使用图1进行说明。安保功能安全评价装置1是对具有扩展性的连接嵌入式系统中的由网络安保(security,安全保障)实现的功能安全进行定量评价用的系统。
安保功能安全评价装置1由输入部2、输出部3、输入处理部4、评价运算部5、要件充分/不足检验部6、结果处理部7、必要要件DB8、评价运算DB9、检验运算DB10和结果DB11构成。
输入部2从用户处接受评价对象系统规格和作为目标的防御有效性的信息的输入。输出部3向用户输出评价对象系统的评价结果。输入处理部4从输入部2中的被输入的评价对象系统规格中,提取用于定量评价的信息。
评价运算部5使用从评价对象系统规格中提取出的信息,来将防御有效性定量化。要件充分/不足检验部6评价被定量化后的防御有效性是否满足作为目标的防御有效性,检验满足作为目标的防御有效性的安保功能要件。结果处理部7进行用于输出防御有效性的评价结果和充分/不足检验结果的处理。
必要要件DB8是保存有评价对象系统的层级信息、用户通过输入部2输入的评价对象系统的能够与工作环境规格对应的层级化信息、和执行网络安保定量评价时所使用的安保功能要件的信息的数据库。评价运算DB9是保存有防御有效性的定量化的运算流程的数据库。
检验运算DB10是保存有用于评价是否满足作为目标的防御有效性的要件信息、和用于满足作为目标的防御有效性的要件信息的数据库。结果DB11是保存有评价对象系统的防御有效性的定量评价结果、和满足作为目标的防御有效性的安保功能要件的数据库。
―――硬件结构的例子―――
对于实施例1的安保功能安全评价装置1的硬件结构的例子,使用图2进行说明。图2中举例示出的安保功能安全评价装置1包括CPU101、存储器102、存储装置103、通信装置104、电源装置105、输入装置106和输出装置107,它们通过总线108连接。
CPU101是中央处理装置(运算装置),通过执行在存储装置103或存储器102中保存的程序,而在安保功能安全评价装置1中实现输入处理部4、评价运算部5、要件充分/不足检验部6和结果处理部7。
存储器102是在CPU101工作时载入程序和数据的主存储装置,由易失性存储元件构成。存储装置103是用于保存CPU101的输入数据、输出数据和程序的辅助存储装置,由非易失性存储元件构成。在该存储装置103中保存有必要要件DB8、评价运算DB9、检验运算DB10、结果DB11。
通信装置104与外部的网络节点通过网络进行通信。电源装置105与电源插座连接,对安保功能安全评价装置1内的各装置供给电源。
输入装置106是供用户输入信息的接口,例如是键盘、鼠标、触摸面板、读卡器或声音输入等。输出装置107是用于向用户提供反馈和运算结果等的接口,例如是画面显示装置、声音输出装置或印刷装置等。
另外,图2所示的安保功能安全评价装置1,因为是以上结构所以也可以称为安保评价服务器,是在1台硬件上构成的,但是为了应对大规模的服务而对负载进行分布式处理的情况下,或者为了提高可用性而采用冗余结构的情况下,也可以在由2台以上的硬件上构建的平台上构成。
另外,用于实现输入处理部4、评价运算部5、要件充分/不足检验部6、结果处理部7的程序或表等信息,可以保存在存储装置103或省略了图示的存储子系统、非易失性半导体存储器、HDD(Hard Disk Drive)、或SSD(Solid State Drive)等存储设备、或IC卡、SD卡、DVD等计算机可读取的非暂时性的数据存储介质中。
―――数据的例子―――
对于实施例1的安保功能安全评价装置1中所使用的数据的例子,使用图3A~图3C和图4分别进行说明。图3A~图3C是表示在必要要件DB8中保存的数据的例子的图。必要要件DB8由系统工作环境规格书信息表300、各个系统的层级信息表310和系统结构规格书信息表320。
系统工作环境规格书信息表300是关于用户109通过输入部2所指定的评价对象系统的工作环境规格书的数据。系统工作环境规格书信息表300是将规格书项目301与系统工作环境信息302配对,具有多个该对的表。
作为一例,规格书项目301包括系统类型、操作系统类型、生命周期年数和使用状况,与这些规格书项目301配对的系统工作环境信息302包含与规格书项目301对应的系统工作环境的信息。规格书项目301优选是输入处理部4中处理内容被规定的项目。
各个系统的层级信息表310是与用户109通过输入部2所指定的评价对象系统的工作环境规格书对应,用于规定对应的工作环境规格书的评价系统的层级结构的数据,是表示预先设定的构成各个系统的层级的数据。
各个系统的层级信息表310是将嵌入式系统类型311与层级结构312配对,并保持多个该对,进而使层级结构312具有多个层级各自的信息的表。嵌入式系统类型311包括可能成为评价对象系统的“机动车”、“机器人”等嵌入式系统的类别。
另外,层级结构312作为与嵌入式系统类型311相当的层级结构,用“○”和“×”的信息表示是否包括哪个层级。作为一例,图3B所示的嵌入式系统类型311中的“机动车”表示由是“○”的物理控制层、信息-控制层、信息层和云构成。另外,“机器人”中云是“×”,所以表示由物理控制层、信息控制装置和信息层构成。
系统结构规格书信息表320是用户109通过输入部2所输入的详细的系统结构规格的数据。系统结构规格书信息表320由系统规格321和安保功能要件322这2个独立的表构成,是分别具有多个项目的表。
系统规格321包括如图3C所示的网络功能规格和计算机功能规格等系统结构信息的项目,这些项目是输入处理部4中处理内容被规定的项目。
安保功能要件322由评价对象系统中应用的各安保功能要件、及其通信场所、及其通信方法等关于各安保功能要件的详细信息构成。另外,安保功能要件322也可以包括各安保功能要件在评价对象系统的哪个层级中应用的应用层级信息323。
系统工作环境规格书信息表300、各个系统的层级信息表310和系统结构规格书信息表320这3个表,基于用户109的输入地相互关联。
安保功能安全评价装置1中,输入处理部4根据系统工作环境规格书信息表300判断评价对象系统的类型,与评价对象系统的类型的判断结果和各个系统的层级信息表310的内容相应地,输入处理部4向用户109显示与评价对象系统对应的层级信息。
然后,用户109输入能够与评价对象系统对应的层级信息时,设定包括系统结构规格书信息表320的应用层级信息323的安保功能要件322。
图4是表示评价运算DB9中所保存的数据的例子的图。评价运算DB9除防御有效性的定量化的运算流程之外,还包括评价运算数据表400。如图4所示,评价运算数据表400由保存安保功能要件的信息的评价科目401、和对于各安保功能要件保存各层级的评价结果的信息的定量评价402构成。
评价科目401的安保功能要件的信息,是取得系统结构规格书信息表320的安保功能要件的列所保持的信息而设定的。另外,评价科目401的“安保功能要件1”等是说明用的表达,也可以是表示安保功能要件的其他表达。
定量评价402具有保存各安保功能要件的各层级中的评价结果的信息的列403、列404和列405、以及保存以评价对象系统为对象的评价结果的信息的列406。
图4所示的定量评价402的信息,作为关于实施例1的例子,将控制-信息层的攻击成功期间的信息分配至列403,将信息层的攻击成功期间的信息分配至列404,将云层的攻击成功期间的信息分配至列405地保存。
列403、列404和列405是从各个系统的层级信息表310的嵌入式系统类型311中对应的评价对象系统的类型的层级结构312取得信息而设定的。因此,层级的种类、层级数不限于图4所示的例子。
另外,定量评价402中保存的定量评价的指标即攻击成功期间等,可以不是1个而是多个。另外,该指标不限定于攻击成功期间和攻击成功达成率,也可以是其他指标。例如,也可以是基于过去的实际情况的攻击可能性等。
在由评价科目401的安保功能要件和定量评级402的各列的各层级决定的表的各栏中,保存用评价运算部5的图8所示的流程图的处理计算出的信息。
―――处理流程―――
对于实施例1中的安保功能安全评价装置1的序列的例子,用图5进行说明。图5所示的输入处理部4、评价运算部5、要件充分/不足检验部6和结果处理部7分别与用图1等说明的相同。
在步骤S201中,输入处理部4通过输入装置106,由用户109输入包括系统工作环境规格书信息表300的信息的工作环境规格书。关于安保功能安全评价装置1向用户109显示的输入画面的例子,用图10在后文中叙述。
在步骤S202中,输入处理部4通过输入装置106,由用户109输入评价对象系统要满足的作为目标的防御有效性。关于安保功能安全评价装置1向用户109显示的输入画面的例子,用图11在后文中叙述。
在步骤S203中,输入处理部4基于步骤S201中接收的工作环境规格书的数据,使其与必要要件DB8中保存的各个系统的层级信息表310的层级结构312对应地,对用户109提示所对应的各层级定义,对用户109询问评价对象系统的层级处理。
基于工作环境规格书的数据,从各个系统的层级信息表310取得对应的各层级定义用的输入处理部4的处理也用图6的步骤S503在后文中叙述。关于安保功能安全评价装置1向用户109显示的输出画面的例子,用图12在后文中叙述。
在步骤S204中,输入处理部4从用户109接收层级化后的结构信息,在系统结构规格书信息表320中设定信息。为此,用户109根据步骤S203中显示的基于各个系统的层级信息表310的信息,使评价对象系统的结构层级化,对输入处理部4输入层级化后的结构信息。
基于对用户109显示的各层级定义、从用户109取得对应的层级化后的结构信息用的输入处理部4的处理,也用图6的步骤S504在后文中叙述。关于安保功能安全评价装置1对用户109显示的输入画面的例子,用图13A、13B在后文中叙述。
在步骤S205中,输入处理部4根据由用户109输入的层级化后的结构信息,使用必要要件DB8,提取用于进行定量评价的要件即层级化后的安保功能要件,对评价运算部5发送提取出的层级化后的安保功能要件。
在步骤S206中,评价运算部5从输入处理部4接收层级化后的安保功能要件,使用评价运算DB9中保存的运算流程,对层级化后的安保功能要件的防御有效性进行定量评价,并向用户109显示系统评价结果。另外,系统评价结果被保存在评价运算DB9的评价运算数据表400中。定量评价的计算的例子,也用图8的步骤S604~S610在后文中叙述。
在步骤S207中,输入处理部4对要件充分/不足检验部6发送步骤S202中用户109所输入的作为目标的防御有效性。然后,步骤S208是检验层级化后的安保功能要件是否满足作为目标的防御有效性、或者检验满足作为目标的防御有效性的层级化后的安保功能要件的组合的循环。
关于层级化后的安保功能要件,存在1个层级内具有多个安保功能要件的情况,也存在多个层级分别具有安保功能要件的情况。因此,通过检验安保功能要件的组合,能够提取满足作为目标的防御有效性的必要最小限度的安保功能要件的组合。
步骤S208的循环,包括步骤S209和步骤S210,直到可检验的安保功能要件的组合被检验、或者直到满足预先设定的条件地反复进行。另外,作为步骤S208的循环的基础的要件充分/不足检验部6的处理的例子,也用图9的步骤S702和步骤S707在后文中叙述。
在步骤S209中,要件充分/不足检验部6从可检验的安保功能要件的组合中对评价运算部5发送1个组合。然后,在步骤S208的循环的下一步骤S209中,要件充分/不足检验部6从可检验的安保功能要件的组合中对评价运算部5发送另1个组合。组合的发送的处理的例子,也用图9的步骤S703在后文中叙述。
在步骤S210中,评价运算部5对从要件充分/不足检验部6接收的安保功能要件的组合的防御有效性进行定量评价,对要件充分/不足检验部6发送评价结果。要件充分/不足检验部6使用从评价运算部5接收的评价结果进行检验。
在步骤S211中,要件充分/不足检验部6对从输入处理部4接收的作为目标的防御有效性、与从评价运算部5接收的评价结果进行比较,对要件的充分/不足进行判断从而进行检验,对结果处理部7发送要件检验结果等。另外,检验的处理的例子,也用图9的步骤S705~S706在后文中叙述。
在步骤S212中,结果处理部7基于从要件充分/不足检验部6接收的要件检验结果等,对用户109显示安保功能要件检验结果和充分/不足要件推荐结果。关于输出画面的例子,用图14和图15在后文中叙述。
对于安保功能安全评价装置1的输入处理部4进行的处理的流程图的例子,用图6进行说明。在步骤S501中,输入处理部4基于由用户109输入的信息接收工作环境规格书。步骤S501相当于图5的步骤S201。
图10是表示对用户109显示的执行项目和工作环境规格书的输入画面900的例子的图。该输入画面900是在步骤S501中显示的GUI(Graphical User Interface),如图10所示,包括执行项目选择栏800和使用户109上传工作环境规格书的文件用的工作环境规格书栏801。
执行项目选择栏800是由用户109选择安保功能安全评价装置1的执行项目的栏,打勾的项目被选择。但是,因为“评价对象系统的现状安保定量评价”是必需的,所以也可以与用户109的选择无关地、总是被打勾。
对执行项目选择栏800的“要件充分/不足检验”打勾时,执行图5所示的步骤S208、S211、S212,未对“要件充分/不足检验”打勾时,步骤S208、S211、S212也可以不执行。
另外,因为“评价对象系统的现状安保定量评价”是必需的,所以对“要件充分/不足检验”打勾时,选择执行“评价对象系统的现状安保定量评价”和“要件充分/不足检验”双方。
由用户109在工作环境规格书栏801的空栏中设定工作环境规格书的文件名,并点击“参照”按钮时,输入处理部4将具有所设定的文件名的工作环境规格书的文件(数据)上传至输入处理部4。
此处,工作环境规格书的文件(数据)包括系统工作环境规格书信息表300的信息,优选是包括输入处理部4能够取得评价对象系统的类型的信息的文件。
但是,图10所示的输入画面900是一例,只要安保功能安全评价装置1能够取得工作环境的信息,就不限定输入画面的显示内容和输入的信息的种类。例如,也可以是代替取得工作环境规格书的文件地、对用户109显示要取得的信息的各个项目,用户109手动地输入各个项目的输入画面。
在步骤S502中,输入处理部4接收用户109所输入的作为目标的防御有效性。步骤S502相当于图5的步骤S202。步骤S501在执行项目选择栏800的“要件充分/不足检验”被勾选的情况下执行,在“要件充分/不足检验”未被勾选的情况下不执行,可以跳过。
图11是表示向用户109显示的作为目标的防御有效性的输入画面901的例子的图。该输入画面901是在步骤S502中显示的GUI,如图11所示,包括作为目标的防御有效性栏802、按钮803和按钮804。
作为目标的防御有效性,是对于允许安全范围、允许发生频度和允许恢复时间等安保功能要件的定量指标。具体而言,在作为目标的防御有效性栏802中,上述允许安全范围的一例是网络攻击成功期间,上述允许发生频度的一例是网络攻击成功达成率,上述允许恢复时间的一例是安全状态恢复允许时间。
按钮803是执行功能安全检验用的按钮,点击按钮803时,安保功能安全评价装置1执行所输入的评价对象系统的功能安全要件是否满足功能安全要求的检验功能。点击按钮804时,前进至安保功能要件评价,前进至步骤S503。
但是,只要能够取得作为目标的防御有效性的信息,就不限定输入画面的显示内容和输入的信息的种类。另外,也不限定按钮的种类,也不限定点击各按钮的情况下的动作。
在步骤S502中,用户109所输入的作为目标的防御有效性的信息,并不限定于图11所示的作为目标的防御有效性栏802的项目。例如,也可以包括Safety Concept NotationStudy Group(http://www.scn-sg.com/main/)发行的文献Safety Concept DescriptionLanguage(Version 1.3)中记载的项目。
根据上述文献,用户109为了导出功能安全要求,而在初始阶段对于分析对象的危险分析、作为目标的安全目标/安全状态/时间制约、要求的功能并行地输入AutomotiveSafety Integrity Level(ASIL)。
在步骤S502中,用户109所输入的作为目标的防御有效性不限定于上述文献的项目,也可以包括功能安全的故障发生频度等定量项目。
在步骤S502中,安保功能安全评价装置1中,用户109所输入的作为目标的防御有效性,基于上述文献中记载的项目或这些项目以外的项目,包括兼具有功能安全和安保双方的功能要求的项目即可。
作为其一例,作为目标的防御有效性栏802中的允许安全范围这一项目,是在1个项目中,除与上述文献同样地在允许功能故障发生范围之外,也兼具有安保上的允许网络攻击成功期间的项目。
在步骤S503中,输入处理部4根据接收的工作环境规格书,基于必要要件DB8的各个系统的层级信息表310,提取层级定义,向用户109显示提取出的层级定义,由此向用户109询问评价对象系统的层级处理。步骤S503相当于图5的步骤S203。
图12是在步骤S503中向用户109显示层级定义时的系统工作环境规格书信息和各层级定义的显示画面902的例子。如图12所示,显示画面902包括用于显示系统工作环境规格书信息表300的信息的系统工作环境规格书信息栏805、用于显示层级定义的各层级定义栏806以及按钮807和按钮808。
点击按钮807时返回步骤S501,点击按钮808时前进至步骤S504由此前进至层级处理。但是,显示画面不限定于系统工作环境规格书信息栏805和各层级定义栏806,也可以仅显示各层级定义栏806。
在步骤S504中,输入处理部4由用户109输入使系统结构信息层级化用的信息,并将输入的信息设定至系统结构规格书信息表320。步骤S504相当于图5的步骤S204,关于步骤S504用图7或图13A进一步在后文中叙述。
在步骤S505中,输入处理部4判断层级化是否已完成。关于判断的条件用图13A进一步在后文中叙述。输入处理部4在判断层级化已完成时前进至步骤S506,在判断层级化未完成时前进至步骤S510。
在步骤S506中,输入处理部4由用户109输入安保功能要件结构信息,将输入的安保功能要件结构信息保存在必要要件DB8的系统结构规格书信息表320中。步骤S506也相当于图5的步骤S204,用图13B进一步在后文中叙述。
在步骤S507中,输入处理部4判断检验项目的输入是否已完成。关于判断的条件用图13B进一步在后文中叙述。输入处理部4在判断检验项目的输入已完成时前进至步骤S508,在判断检验项目的输入未完成时前进至步骤S510。
在步骤S508中,输入处理部4将层级化后的安保功能要件结构信息发送至评价运算部5。步骤S508相当于图5的步骤S205。在步骤S509中,输入处理部4将步骤S502中输入的作为目标的防御有效性发送至要件充分/不足检验部6。
步骤S509相当于图5的步骤S207。在步骤S510中,输入处理部4对用户109显示信息不足的警告,返回步骤S501。另外,输入处理部4如以上所说明地生成关于层级的信息,所以也可以称为层级生成部。
图13A是表示对用户109显示层级化后的系统结果、由用户109输入各层级的信息的输入画面903的例子的图。输入画面903是评价对象系统的层级化后的结构的显示,但图13A的例子中,是将评价对象系统分为“系统内”和“系统外”的显示,是“系统内”和“系统外”分别包括的各层级的显示。
此处,“系统内”是嵌入式系统,“系统外”可以是连接至嵌入式系统的世界。但是,“系统内”和“系统外”并不限定于此。
“系统内”、“系统外”、“物理控制层”、“信息-控制层”、“信息层”、“云”和用于显示各层级内的结构的信息,可以包括从各个系统的层级信息表310和系统结构规格书信息表320取得的信息,也可以包括由用户109在输入画面903中输入的信息。
关于由用户109在输入画面903中输入的情况下的处理,用图7进一步在后文中叙述。另外,也可以不仅从系统结构规格书信息表320取得信息,也将用输入画面903输入的信息设定至系统结构规格书信息表320。
点击输入画面903的各层级的显示时,显示转移至用于输入关于点击的层级的安保功能要件的信息的输入画面。例如,点击显示820时,显示转移至用于输入与关于信息-控制层的安保功能要件相关的信息的图13B所示的输入画面904。
未点击输入画面903中显示的层级的情况下,可以显示消息823。另外,在输入画面903中,点击按钮821时在图6所示的步骤S505中判断层级化未完成,点击按钮822时在步骤S505中判断层级化已完成。
图13B是表示输入关于在输入画面903中点击的层级的安保功能要件的信息的输入画面904的例子的图。例如,点击输入画面903的“信息-控制层”的显示820时,显示输入画面904,能够输入信息-控制层的安保功能要件及其系统规格信息,由用户109输入“IDS”和“数据包加密”等安保功能要件。
然后,可以输入关于各安保功能要件的“软件提供者”、“当前版本”和“数量”的信息,但并不将输入画面904的显示项目和输入项目限定于此。输入画面904中输入的信息在系统结构规格书信息表320中设定。
另外,在输入画面904中,点击按钮824时在图6所示的步骤S507中判断检验项目的输入未完成,点击按钮825时在步骤S507中判断检验项目的输入已完成。也可以将步骤S504和步骤S505合并为1个步骤,在输入画面904中设置返回输入画面903的按钮。
对于图6所示的步骤S504的处理的流程图的例子,用图7进行说明。在步骤S521中,输入处理部4由用户109输入关于层级化的信息。此处输入的信息,可以是用图13A说明的信息,也可以是以下说明的作为判断的对象的信息。
在步骤S522中,输入处理部4基于图12所示的各层级定义判断步骤S521中输入的信息是否相当于距离物理控制层最近的层级的定义信息。例如,可以是通信处理是否在系统内执行的判断。
输入处理部4在判断通信处理在系统内执行时前进至步骤S523,在判断通信处理不在系统内执行时前进至步骤S524。在步骤S523中,输入处理部4将步骤S521中输入的信息分类至距离物理控制层最近的层级。
在步骤S524中,输入处理部4基于图12所示的各层级定义判断步骤S521中输入的信息是否相当于距离物理控制层第二近的层级的定义信息。例如,可以为是否作为接口的系统内外的联系的判断。
输入处理部4在判断是作为接口的系统内外的联系时前进至步骤S525,在判断并非作为接口的系统内外的联系时前进至步骤S526。在步骤S525中,输入处理部4将步骤S521中输入的信息分类至距离物理控制层第二近的层级。
在步骤S526中,输入处理部4基于图12所示的各层级定义判断步骤S521中输入的信息是否相当于距离物理控制层最远的层级的定义信息。例如,可以为是否IoT安保对策的判断。
输入处理部4在判断是IoT安保对策时前进至步骤S527,在判断并非IoT安保对策时结束处理。在步骤S527中,输入处理部4将步骤S521中输入的信息分类至距离物理控制层最远的层级。
另外,为了将评价对象系统的结构分为多个层级,步骤S521~S527也可以重复多次。另外,也可以代替步骤S522、S524、S526的判断,用图13A所示的输入画面903的GUI,从用户109处接受是哪个层级的输入。
如图16所示,具有扩展性的嵌入式系统870使用互联网等连接,与连接世界871的联系逐渐增加。实施例1中的使由网络安保实现的功能安全定量化的评价对象系统,是由嵌入式系统870和连接世界871双方中的1个以上的层级构成的系统。
图16所示的评价对象系统中的网络攻击,例如具有对信息-控制层859的网络攻击850、对信息层863的网络攻击851、或者对云865的网络攻击852,因为网络攻击从云865向物理控制层853的方向传播,所以对物理控制层853造成威胁的可能性逐渐增加。
而且,因为存在物理控制层853的异常动作引起人身伤亡的可能性,所以网络攻击导致的人身伤亡的危险性升高,在功能安全方面网络攻击也逐渐成为威胁。
实施例1的安保功能安全评价装置1向用户提示由网络安保实现的功能安全以何种程度地被保护。为此,参考图16,对于安保功能安全评价装置1的评价运算部5对防御有效性进行定量评价的处理的流程图的例子,用图8进行说明。
作为以下说明的前提,评价对象系统由除物理控制层外的N层构成,距离物理控制层最远的层是第N层。即,随着变量n接近常数N,层级距离物理控制层变远。另外,定义以下参数。
N:评价对象系统的除物理控制层外的层级数。
n:作为评价对象的层级。
i:作为评价对象的层级中的作为评价对象的安保功能要件。
x:从第n层到物理控制层的层级。
Pnix:第n层中的第i个安保功能要件对于来自第x层的攻击的防御有效性。
Pni:第n层中的第i个安保功能要件对于对评价对象系统的攻击的防御有效性。
Pn:作为评价对象的第n层的防御有效性。
Dn:从作为评价对象的第n层到物理防御层的整体防御有效性。
r、p:防御有效性的削减率0<r、p<1。
在步骤S601中,评价运算部5判断是否从输入处理部4接收安保功能要件。评价运算部5在判断从输入处理部4接收安保功能要件时前进至步骤S602,在判断没有从输入处理部4接收安保功能要件时、即判断从要件充分/不足检验部6接收安保功能要件的组合时前进至步骤S603。
在步骤S602中,评价运算部5从输入处理部4接收层级化后的安保功能要件。步骤S602相当于图5所示的步骤S205。在步骤S603中,评价运算部5从要件充分/不足检验部6接收评价对象的安保功能要件的组合。步骤S603相当于图5所示的步骤S209。
在步骤S604中,从距离物理控制层最近的第1层起顺次提取各层级(第n层)作为评价对象。图16的例子中,评价运算部5在从步骤S604到步骤S608的循环的首次执行时,将距离物理控制层853最近的信息-控制层859作为评价对象的层级。
在步骤S605中,评价运算部5对提取出的第n层中的第i个安保功能要件对于来自第x层的攻击的防御有效性Pnix进行定量评价。图16中,评价运算部5例如对信息-控制层859中的第1个安保功能要件即边缘860对于信息-控制层859的防御有效性进行定量评价。
此处,可以分别分配变量i的值和变量x的值。由变量i的值确定的安保功能要件,可以是步骤S602或步骤S603中接收的1个或多个(组合的)安保要件。
在步骤S606中,评价运算部5对提取出的第n层中的第i个安保功能要件对于对评价对象系统的攻击的防御有效性Pni进行定量评价。图16中,评价运算部5例如对信息-控制层859中的第1个安保功能要件即边缘860对于对评价对象系统的攻击的防御有效性进行定量评价。此处,可以分配变量i的值。
在步骤S607中,评价运算部5使评价对象的层级转移至第n+1层,将n+1设定为新的n。图16中,评价运算部5,例如使评价对象从信息-控制层859转移至信息层863。
在步骤S608中,评价运算部5判断评价对象是否尚未到达距离物理控制层最远的层级、即是否n<N,判断评价对象已到达距离物理控制层最远的层级时前进至步骤S609,判断评价对象尚未到达距离物理控制层最远的层级时返回步骤S604。
由此,评价运算部5在图16中,例如将从信息-控制层859到云865作为评价对象,在将云865作为评价对象之后,前进至步骤S609。
在步骤S609中,评价运算部5计算防御有效性Pn和整体防御有效性Dn。作为评价对象的第n层的防御有效性Pn,按Pn=MAX(Pnix)其中n=x来计算,从作为评价对象的第n层到物理控制层的整体防御有效性Dn,按Dn=Pn+r*P(n-1)+p*P(n-2)+……≈ΣPn计算。
评价运算部5在图16中,例如在信息-控制层859的边缘860的防御有效性、遥测通信861的防御有效性、和BPCS网络862(BPCS:Basic Process Control System)的防御有效性这3个防御有效性中,将最大的防御有效性作为信息-控制层859的防御有效性Pn。
另外,评价运算部5在图16中,将信息层863的防御有效性与信息-控制层859的防御有效性的相加结果作为从信息层863到物理控制层853的整体防御有效性Dn。
在步骤S610中,评价运算部5将从步骤S604到步骤S609中得到的各安保功能要件的定量评价结果保存在评价运算DB9的评价运算数据表400中。
在步骤S611中,评价运算部5与步骤S601同样地,判断是否为从输入处理部4接收的安保功能要件的处理。评价运算部5在判断是从输入处理部4接收的安保功能要件的处理时前进至步骤S612,在判断并非从输入处理部4接收的安保功能要件的处理时、即判断是从要件充分/不足检验部6接收的安保功能要件的组合的处理时前进至步骤S613。
在步骤S612中,评价运算部5向用户109显示步骤S610中保存的定量评价结果并结束处理。向用户109显示的信息可以是步骤S610中保存的定量评价结果的一部分。步骤S612相当于图5的步骤S206。
在步骤S613中,评价运算部5判断是否在输入画面900的执行项目选择栏800中已对“要件充分/不足检验”打勾。评价运算部5判断已对“要件充分/不足检验”打勾时前进至步骤S614,判断未对“要件充分/不足检验”打勾时结束处理。
在步骤S614中,评价运算部5将步骤S610中保存的定量评价结果发送至要件充分/不足检验部6并结束处理。步骤S614相当于图5的步骤S210。
另外,防御有效性的定量评价的处理,也可以用与安保功能安全评价装置1连接的外部装置执行,评价运算部5可以将安保功能要件等的信息发送至外部装置,并从外部装置接收定量评价的结果。另外,定量评价的项目优选与作为目标的防御有效性的项目相同。因此,评价运算部5也可以从输入处理部4接收作为目标的防御有效性。
根据以上处理流程,步骤S602和步骤S604至步骤S612相当于图5的步骤S205至步骤S206,步骤S603至步骤S611和步骤S614相当于图5的步骤S209至步骤S210。
对于安保功能安全评价装置1的要件充分/不足检验部6检验对于作为目标的防御有效性的要件充分/不足的处理的流程图的例子,用图9进行说明。用图9说明的处理,是在输入画面900的执行项目选择栏800中选择了“要件充分/不足检验”的情况下执行的。因此,是否选择了“要件充分/不足检验”可以在步骤S701之前判断。
在步骤S701中,要件充分/不足检验部6从输入处理部4接收作为目标的防御有效性。步骤S701相当于图5的步骤S207。
在步骤S702中,要件充分/不足检验部6逐个生成作为评价对象的安保功能要件的组合,反复进行步骤S702至步骤S707。此处,评价对象的安保功能要件可以是在系统结构规格书信息表320的安保功能要件322中保存了信息的安保功能要件。
另外,关于安保功能要件的组合,在设安保功能要件322中保存了信息的安保功能要件的个数为S时,可以从S个安保功能要件分别生成从2个1组到S个1组的组合。安保功能要件的组合可以使用安保功能要件的排列生成,也可以使用组合生成。
在步骤S703中,要件充分/不足检验部6将步骤S702中生成的安保功能要件的组合发送至评价运算部5。步骤S703相当于图5的步骤S209,评价运算部5在步骤S603中接收安保功能要件的组合。
在步骤S704中,要件充分/不足检验部6从评价运算部5接收定量评价结果。步骤S704相当于图5的步骤S210,要件充分/不足检验部6接收的定量评价结果是评价运算部5在步骤S614中发送的定量评价结果。
在步骤S705中,要件充分/不足检验部6对步骤S701中接收的作为目标的防御有效性、与步骤S704中接收的定量评价结果的大小进行比较。在步骤S706中,要件充分/不足检验部6根据步骤S705的比较结果,在作为目标的防御有效性为定量评价结果以上的情况下判断为充分,在作为目标的防御有效性小于定量评价结果的情况下判断为不足,并保存判断结果。
另外,在步骤S706中,要件充分/不足检验部6可以从作为被判断为充分的定量评价结果的基础的1个以上层级和1个以上安保功能要件的1个以上定量评价结果中确定最大值。
在步骤S707中,要件充分/不足检验部6在步骤S702中生成的组合中有尚未生成的组合残留的情况下,返回步骤S702,在没有尚未生成的组合残留的情况下,结束从步骤S702到步骤S707的反复并前进至步骤S708。
另外,预先设定了结束反复的条件的情况下,例如预先设定了充分的判断结果的上限个数的情况下,要件充分/不足检验部6可以无论是否有尚未生成的组合残留,都按照预先设定的条件,结束从步骤S702到步骤S707的反复并前进至步骤S708。
在步骤S708中,要件充分/不足检验部6将步骤S706中保存的判断结果作为检验结果发送至结果处理部7,将判断为充分的满足目标的安保功能要件的组合的信息发送至结果处理部7。步骤S708相当于图5的步骤S211,定量评价结果也可以发送至结果处理部7。
另外,要件充分/不足检验部6也可以将安保功能要件的组合和判断结果保存在结果DB11中。作为关于通过以上处理得到的安保功能要件的组合和判断结果(检验结果)的显示,对于充分/不足要件推荐结果的显示画面906,用图15在后文中叙述。
图14是表示评价对象系统和各安保功能要件的定量评价结果的显示的例子的图。显示画面905由系统整体评价结果栏811和各安保功能要件详细评价结果栏812构成,可以是基于步骤S708发送的信息进行的步骤S212的显示。
另外,显示画面905也可以基于从评价运算DB9中保存的评价运算数据表400取得的信息进行显示。系统整体评价结果栏811可以包括图11所示的输入画面901的作为目标的防御有效性栏802的信息。
另外,各安保功能要件详细评价结果栏812的安保要件,可以不仅是“安保功能要件1”和“安保功能要件2”,也包括“安保功能要件1”与“安保功能要件2”的组合等步骤S702中生成的安保功能要件的组合。
显示画面905并不限定于图14所示的例子,可以是仅有定量评价结果的值的显示,也可以是评价运算数据表400的信息的表形式的显示。进而,显示画面905也可以包括因检验结果是不足而对用户发出的警报信息。
图15是表示充分/不足要件推荐结果的显示的例子的图。显示画面906可以是基于步骤S708中发送的信息进行的步骤S212的显示。
在显示画面906中,例如,对于“安保功能要件1”、“安保功能要件2”和“安保功能要件4”的组合,对该组合的各项显示“○”,在“组合”中显示组合的识别符即“(1)”,为了表示该组合在步骤S706中被判断为充分,可以在“系统评价”的“充分”的列中显示。
然后,因为该组合是充分的,所以可以显示为推荐的组合。作为充分/不足要件推荐结果显示的信息并不限定于图15所示的显示画面906,也可以显示作为充分与不足的检验结果的基础的数值即步骤S705中进行比较的数值的值。
进而,对于不足的组合,如果能够计算出用于达到作为目标的防御有效性范围内的变更候选,则显示画面906也可以包括该变更候选的信息,也可以显示采用了变更候选的情况下的定量评价结果。
如图15所示,显示画面906可以包括按钮815,点击按钮815时,可以从步骤S202即步骤S502的输入作为目标的防御有效性起重新进行处理。
如以上所说明,根据实施例1,能够对由网络安保实现的功能安全进行评价。具体而言,能够对于兼具有网络安保的目标值和功能安全的目标值双方的项目的目标值,评价防御有效性。另外,能够设定对涉及功能安全的物理控制层造成影响的系统的层级。
而且,因为能够按设定的每个层级对安保功能要件的防御有效性进行评价,所以能够使评价简化,也能够使从特定层级到涉及功能安全的物理控制层的安保功能要件的防御有效性的评价简化。
另外,对于目标值,也能够判断仅被评价的安保功能要件是否充分。因此,也能够提供是否存在多余的安保功能要件的信息。
实施例2
在实施例1中,对于适合在本公司内进行由网络安保实现的功能安全系统的评价的情况的例子进行了说明。在实施例2中,对于将其他公司开发的功能安全系统连接至本公司的网络时,适合评价其他公司开发的功能安全系统对于网络攻击是否满足作为目标的防御有效性的情况的例子进行说明。
实施例2中,必要要件DB8、评价运算DB9、检验运算DB10和结果DB11这4个数据库即使保存在安保功能安全评价装置1的存储器102中,这4个数据库也可以表现为仿佛通过通信装置104保存在云中一般。
另外,图1所示的安保功能安全评价装置1的各部是独立的计算机,各部可以表现为仿佛用本公司的网络连接的云的计算机一般。
对于实施例2中的序列的一例,用图5进行说明。另外,以下说明的序列以外的说明与实施例1中的说明相同,所以省略。输入部2在步骤S201中从其他公司开发的功能安全系统接收工作环境规格书,在步骤S202中接收作为目标的防御有效性,将接收的信息通过本公司的网络发送至输入处理部4。
输入处理部4通过本公司的网络和输出部3,将步骤S203中的层级处理的询问发送至其他公司的系统,使其他公司的系统显示。输入部2在步骤S204从其他公司开发的功能安全系统接收层级化后的结构信息,将接收的信息通过本公司的网络发送至输入处理部4。
步骤S204以后的步骤S205、步骤S207至步骤S211在云中执行处理,但与实施例1中说明的安保功能安全评价装置1的处理相同。
另外,评价运算部5和结果处理部7分别在步骤S206和步骤S212中分别通过本公司的网络和输出部3,将各自的处理结果发送至其他公司的系统,使其他公司的系统显示。
实施例2中,步骤S503的处理所需的必要要件DB8中保存的各个系统的层级信息表310,是保存在云中的,所以通过与层级结构的变化相应地对云的数据直接进行反馈,能够效率良好地更新数据。
如以上所说明,根据实施例2,不仅在功能安全系统和安保功能安全评价装置1双方由本公司开发的情况下,对于由其他公司开发的功能安全系统,也能够用安保功能安全评价装置1对功能安全和安保进行评价。
实施例3
在实施例1中,对于各层级、即物理控制层、信息-控制层、信息层和云独立的例子进行了说明。即,是从用户109接收的层级化后的结构信息已充分层级化的例子,是输入处理部4在步骤S505中完成充分的层级化这一前提下的例子。
实施例3中,对于各层级存在相互影响的可能性、从用户109接收的层级化后的结构信息是尚未充分层级化的信息的情况下的例子进行说明。对实施例3中的输入处理部4追加层级检验处理部。层级检验处理部在图6所示的步骤S504与步骤S505之间追加,检验层级是否已被充分地层级化。
层级检验处理部判断是否能够将层级化后的结构信息进一步分类,或者是否能够使层级化后的结构信息成为更多的层级。然后,层级检验处理部进行各层级的相互的从属关系的分析、和各层级的独立性的分析,按照这些分析结果,使层级化后的结构信息变更,增加层级数。
图16所示的例子是4个层级,但将更巨大的系统作为评价对象时,各层级中相互干涉的可能性升高。例如,存在信息-控制层859与物理控制层853的一部分发生干涉的可能性,也存在不能将信息-控制层859与物理控制层853分别划分为独立的层级的可能性。
该状况下,层级检验处理部对信息-控制层859与物理控制层853的从属关系进行分析,图16所示的信息-控制层859仅有1个层级,但将信息-控制层859划分为多个层级,划分为与物理控制层853独立的信息-控制层859。
如以上所说明,根据实施例3,对于具有扩展性的巨大的系统,能够充分地划分层级,所以能够在各层级的定量评价中排除与其他层级的干涉,可以提高定量评价的精度。
符号说明
1 安保功能安全评价装置
2 输入部
3 输出部
4 输入处理部
5 评价运算部
6 要件充分/不足检验部
7 结果处理部
8 必要要件DB
9 评价运算DB
10 检验运算DB
11 结果DB
Claims (14)
1.一种安保评价服务器,其特征在于,包括:
层级生成部,其生成关于评价对象系统的多个系统层级的信息;
评价部,其使用由所述层级生成部生成的关于多个系统层级的信息,计算由各系统层级所包含的安保功能要件实现的防御有效性的第一评价值,并计算由安保功能要件的组合实现的防御有效性的第二评价值;和
检验部,其基于由所述评价部计算出的第一评价值和第二评价值、以及目标值,来检验所述评价对象系统中的安保功能要件的充分/不足。
2.如权利要求1所述的安保评价服务器,其特征在于:
所述层级生成部生成关于由涉及功能安全的第一系统层级、与所述第一系统层级进行数据交换的第二系统层级和按顺序与第n系统层级进行数据交换的第n+1系统层级构成的多个系统层级的信息,其中n≥2。
3.如权利要求2所述的安保评价服务器,其特征在于:
所述评价部按照从第二系统层级到第n系统层级的顺序,计算由各系统层级所包含的安保功能要件实现的各系统层级的防御有效性的第一评价值,并基于计算出的各系统层级的防御有效性的第一评价值,来计算第n系统层级的整体防御有效性的第一评价值。
4.如权利要求3所述的安保评价服务器,其特征在于:
所述检验部在由所述评价部计算出的第二评价值为目标值以上的情况下,判断为安保功能要件是充分的。
5.如权利要求3所述的安保评价服务器,其特征在于:
所述检验部在由所述评价部计算出的第二评价值小于目标值的情况下,判断为安保功能要件是不足的。
6.如权利要求4所述的安保评价服务器,其特征在于:
所述检验部在判断所述安保功能要件为充分的情况下,确定作为被判断为充分的第二评价值的计算基础的第一评价值的最大值。
7.如权利要求2所述的安保评价服务器,其特征在于:
所述层级生成部接受兼具有功能安全要件的目标值和安保功能要件的目标值的项目的目标值的输入,
所述评价部用与接受了输入的目标值的项目对应的项目,计算各系统层级的防御有效性的第一评价值。
8.如权利要求3所述的安保评价服务器,其特征在于:
所述第一系统层级是物理控制层。
9.如权利要求1所述的安保评价服务器,其特征在于:
所述层级生成部接受系统规格书,并基于接受的系统规格书中所包含的系统类型来生成关于多个系统层级的信息。
10.如权利要求1所述的安保评价服务器,其特征在于:
所述层级生成部接受指定层级的操作,并按照接受了的操作来生成关于多个系统层级的信息。
11.一种由服务器执行的安保评价方法,其特征在于:
所述服务器包括CPU和保存程序的存储装置,
执行所述存储装置所保存的程序的所述CPU执行以下步骤,即:
生成关于评价对象系统的多个系统层级的信息;
使用所生成的关于多个系统层级的信息,计算由各系统层级所包含的安保功能要件实现的防御有效性的第一评价值,并计算由安保功能要件的组合实现的防御有效性的第二评价值;
基于所计算出的第一评价值和第二评价值、以及目标值,来检验所述评价对象系统中的安保功能要件的充分/不足。
12.如权利要求11所述的安保评价方法,其特征在于:
所述CPU生成关于由涉及功能安全的第一系统层级、与所述第一系统层级进行数据交换的第二系统层级和按顺序与第n系统层级进行数据交换的第n+1系统层级构成的多个系统层级的信息,其中n≥2。
13.如权利要求12所述的安保评价方法,其特征在于:
所述CPU按照从第二系统层级到第n系统层级的顺序,计算由各系统层级所包含的安保功能要件实现的各系统层级的防御有效性的第一评价值,并基于计算出的各系统层级的防御有效性的第一评价值,来计算第n系统层级的整体防御有效性的第一评价值。
14.如权利要求12所述的安保评价方法,其特征在于:
所述CPU接受兼具有功能安全要件的目标值和安保功能要件的目标值的项目的目标值的输入,用与接受了输入的目标值的项目对应的项目,计算各系统层级的防御有效性的第一评价值。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018028887A JP6901979B2 (ja) | 2018-02-21 | 2018-02-21 | セキュリティ評価サーバおよびセキュリティ評価方法 |
| JP2018-028887 | 2018-02-21 | ||
| PCT/JP2018/045824 WO2019163266A1 (ja) | 2018-02-21 | 2018-12-13 | セキュリティ評価サーバおよびセキュリティ評価方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111587433A true CN111587433A (zh) | 2020-08-25 |
| CN111587433B CN111587433B (zh) | 2023-07-18 |
Family
ID=67687589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880085748.2A Expired - Fee Related CN111587433B (zh) | 2018-02-21 | 2018-12-13 | 安保评价服务器和安保评价方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210026970A1 (zh) |
| EP (1) | EP3757836A4 (zh) |
| JP (1) | JP6901979B2 (zh) |
| CN (1) | CN111587433B (zh) |
| WO (1) | WO2019163266A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120012098A (zh) * | 2024-12-24 | 2025-05-16 | 上海矢安科技有限公司 | 勒索病毒加密行为防护能力的无害化验证方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6901979B2 (ja) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | セキュリティ評価サーバおよびセキュリティ評価方法 |
| JP7482159B2 (ja) * | 2022-02-01 | 2024-05-13 | 株式会社日立製作所 | 計算機システム及びセキュリティリスクの影響分析方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6197753A (ja) * | 1984-10-19 | 1986-05-16 | Toshiba Corp | 計算機システムの階層性評価装置 |
| JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
| JP2007316821A (ja) * | 2006-05-24 | 2007-12-06 | Omron Corp | セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法 |
| US20130283336A1 (en) * | 2012-04-23 | 2013-10-24 | Abb Technology Ag | Cyber security analyzer |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
| WO2015025694A1 (ja) * | 2013-08-21 | 2015-02-26 | 日立オートモティブシステムズ株式会社 | セキュリティ上の脅威を評価する評価装置及びその方法 |
| WO2016126700A1 (en) * | 2015-02-06 | 2016-08-11 | Honeywell International Inc. | Rules engine for converting system-related characteristics and events into cyber-security risk assessment values |
| CN106384193A (zh) * | 2016-09-06 | 2017-02-08 | 中国电子技术标准化研究院 | 一种基于层次分析法的ics信息安全评估方法 |
| JP6901979B2 (ja) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | セキュリティ評価サーバおよびセキュリティ評価方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008176634A (ja) | 2007-01-19 | 2008-07-31 | Toshiba Corp | セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム |
| JP4469910B1 (ja) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | セキュリティ対策機能評価プログラム |
| US9294495B1 (en) * | 2013-01-06 | 2016-03-22 | Spheric Security Solutions | System and method for evaluating and enhancing the security level of a network system |
| JP6320965B2 (ja) * | 2015-04-10 | 2018-05-09 | 日本電信電話株式会社 | セキュリティ対策選定支援システムおよびセキュリティ対策選定支援方法 |
| CN104850794A (zh) * | 2015-05-28 | 2015-08-19 | 天津大学 | 基于未确知测度理论和粗糙集的软件安全等级细化方法 |
-
2018
- 2018-02-21 JP JP2018028887A patent/JP6901979B2/ja not_active Expired - Fee Related
- 2018-12-13 WO PCT/JP2018/045824 patent/WO2019163266A1/ja not_active Ceased
- 2018-12-13 US US16/969,010 patent/US20210026970A1/en not_active Abandoned
- 2018-12-13 CN CN201880085748.2A patent/CN111587433B/zh not_active Expired - Fee Related
- 2018-12-13 EP EP18906954.5A patent/EP3757836A4/en not_active Withdrawn
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6197753A (ja) * | 1984-10-19 | 1986-05-16 | Toshiba Corp | 計算機システムの階層性評価装置 |
| JP2001101135A (ja) * | 1999-09-29 | 2001-04-13 | Hitachi Ltd | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
| JP2007316821A (ja) * | 2006-05-24 | 2007-12-06 | Omron Corp | セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法 |
| US20130283336A1 (en) * | 2012-04-23 | 2013-10-24 | Abb Technology Ag | Cyber security analyzer |
| WO2015025694A1 (ja) * | 2013-08-21 | 2015-02-26 | 日立オートモティブシステムズ株式会社 | セキュリティ上の脅威を評価する評価装置及びその方法 |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
| WO2016126700A1 (en) * | 2015-02-06 | 2016-08-11 | Honeywell International Inc. | Rules engine for converting system-related characteristics and events into cyber-security risk assessment values |
| CN106384193A (zh) * | 2016-09-06 | 2017-02-08 | 中国电子技术标准化研究院 | 一种基于层次分析法的ics信息安全评估方法 |
| JP6901979B2 (ja) * | 2018-02-21 | 2021-07-14 | 株式会社日立製作所 | セキュリティ評価サーバおよびセキュリティ評価方法 |
Non-Patent Citations (4)
| Title |
|---|
| DAVID M. NICOL 等: "Model-Based Evaluation: From Dependability to Security", 《IEEE TRANSACTIONSON DEPENDABLE AND SECURE COMPUTING》, vol. 1, no. 1, pages 1 - 17 * |
| SIV HILDE HOUMB 等: "Quantifying security risk level from CVSS estimates of frequency and impact", 《THE JOURNAL OF SYSTEMS AND SOFTWARE 83 (2010) 》, pages 1622 * |
| 邢涛;叶景楼;任永昌;: "嵌入式系统性能与安全评价方法研究", 科学技术与工程, no. 01, pages 76 - 79 * |
| 鲁智勇;冯超;余辉;唐朝京;: "网络安全性定量评估模型研究", 计算机工程与科学, no. 10, pages 22 - 26 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120012098A (zh) * | 2024-12-24 | 2025-05-16 | 上海矢安科技有限公司 | 勒索病毒加密行为防护能力的无害化验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210026970A1 (en) | 2021-01-28 |
| CN111587433B (zh) | 2023-07-18 |
| EP3757836A1 (en) | 2020-12-30 |
| WO2019163266A1 (ja) | 2019-08-29 |
| EP3757836A4 (en) | 2021-11-17 |
| JP6901979B2 (ja) | 2021-07-14 |
| JP2019144881A (ja) | 2019-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3382591B1 (en) | Hierarchical temporal memory for expendable access control | |
| EP3602380B1 (en) | Hierarchical temporal memory for access control | |
| Malhotra et al. | Application of group method of data handling model for software maintainability prediction using object oriented systems | |
| US20080229262A1 (en) | Design rule management method, design rule management program, rule management apparatus and rule verification apparatus | |
| CN111587433B (zh) | 安保评价服务器和安保评价方法 | |
| CN113077185B (zh) | 工作量评估方法、装置、计算机设备和存储介质 | |
| CN105912413B (zh) | 分析系统、特别是安全关键系统的可用性的方法和装置 | |
| WO2014013603A1 (ja) | 監視システム及び監視プログラム | |
| CN102257487A (zh) | 分析事件 | |
| Stuckman et al. | Comparing and applying attack surface metrics | |
| KR20220094899A (ko) | 데이터 위변조 검증 방법 및 장치 | |
| Welzbacher et al. | A control list for the systematic identification of disturbance factors | |
| CN115309513A (zh) | 基于事件的决策方法、系统、存储介质及计算机设备 | |
| US9998495B2 (en) | Apparatus and method for verifying detection rule | |
| WO2013114911A1 (ja) | リスク評価システム、リスク評価方法、及びプログラム | |
| Canovas Izquierdo et al. | Analysis of co-authorship graphs of CORE-ranked software conferences | |
| JP5532052B2 (ja) | 評価モデル分析システム、評価モデル分析方法およびプログラム | |
| Böttcher et al. | Designing structures with polymorphic uncertainty: Enhanced decision making using information reduction measures to quantify robustness | |
| Zarghami et al. | Evaluating vulnerability of supply chain networks to capacity reduction | |
| KR101470510B1 (ko) | 웹 스크래핑을 이용한 에너지 사용 정보 관리 방법 및 시스템 | |
| CN110546616A (zh) | 随机硬件故障的概率度量 | |
| CN114925608B (zh) | 智能数据建模方法、装置、设备及介质 | |
| CN117251436A (zh) | 数据处理方法、装置及存储介质 | |
| CN105653525B (zh) | 账套之间数据导入的方法和系统 | |
| CN114331653A (zh) | 一种往来台账数据的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20230718 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |