2024智能工廠安全一體化第2部分：風險評估要求

2目次目次PAGE\*ROMANPAGE\*ROMANI前 言 III引 言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 3一般要求 3評估對象 3評估原則 4風險評估相關(guān)活動 4確定安全目標和風險準則 4確定風險評估范圍 5組建評估管理與實施工作組 5評估資料準備 5選擇評估工具和方法 6制定風險評估計劃 6風險評估程序 6風險評估流程 7節(jié)點劃分 8偏差確定 8危險識別 8威脅和脆弱性辨識 9危險事件分析 11危險事件發(fā)生可能性分級 11后果分析 12后果嚴重程度分級 12初始風險評估 12風險降低措施分析 13保護/護能力估 13殘余風險評估 13意見建議 13風險評估文檔記錄 14附 錄 A（資性）險評估法 15附 錄 B（資性）脅示例 18附 錄 C（資性）險事件生可能性評估示例 20PAGE\*ROMANPAGE\*ROMANII附 錄 D（資性）果嚴重分級示例 23附 錄 E（資性）險矩陣例 24引言引言IVIV傳統(tǒng)工廠一般采用GB/T20438和應用領(lǐng)域標準（例如GB/T21109，GB/T16855，GB28526）來實GB/T35673各層級內(nèi)和層級間的設(shè)備/系統(tǒng)實現(xiàn)了更為深入的互聯(lián)互通，提高了工業(yè)經(jīng)營者的效率，降低了成本，（如安全儀表系統(tǒng)）面臨更復雜的應用環(huán)境（AI的失控危險等GB/TXXXXX《智能工廠安全一體化》旨在指導智能工廠建立安全一體化生命周期，并針對風險評估、協(xié)同設(shè)計和評測驗證提出要求，擬由4個部分構(gòu)成：——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實現(xiàn)安全一體化的基本原則?！?部分：風險評估要求。目的在于提出開展安全一體化風險評估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計要求。目的在于針對智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計的要求?！?部分：系統(tǒng)評測要求。目的在于提出開展安全一體化完善度評測的方法和要求。GB/TXXXXX.2PAGEPAGE1智能工廠安全一體化2范圍估文檔記錄的要求。本文件適用于智能工廠生產(chǎn)系統(tǒng)開展安全一體化風險評估。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438.1 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求GB/T20438.4 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略GB/T21109（所有部分） 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T35320危險與可操作性分析（HAZOP分析）應用指南GB/T41257數(shù)字化車間功能安全要求GB/T41260數(shù)字化車間信息安全要求GB/TXXXX.1智能工廠安全一體化第1部分：一般要求術(shù)語和定義GB/TXXXX.1中界定的術(shù)語以及下列術(shù)語適用于本文件。傷害harm人身損傷、人的健康損害、財產(chǎn)或環(huán)境的損害。[來源：GB/T20438.4—2017，3.1.1]危險hazard傷害的潛在根源。[來源：GB/T20438.4—2017，3.1.2]注：這個術(shù)語包括短時間對人身的傷害（如著火和爆炸），以及那些對人身健康長時間的損害（如有毒物質(zhì)釋放）。危險狀況hazardous situation人、財產(chǎn)或環(huán)境暴露于一個或多個危險源環(huán)境的情況。[來源：GB/T20438.4—2017，3.1.3]PAGEPAGE10危險事件 hazardous event可能導致傷害的事件。害，人是否能避免該事件的后果。[來源：GB/T20438.4—2017，3.1.4]風險 risk傷害發(fā)生的概率與該傷害嚴重程度的組合。[來源：GB/T20438.4—2017，3.1.6]殘余風險 residual risk[來源：GB/T20438.4—2017，3.1.8]EUC險 EUCrisk由EUC或由EUC與EUC控制系統(tǒng)相互作用而產(chǎn)生的風險。[來源：GB/T20438.4—2017，3.1.9]1E/E/PE低措施來提供必要的風險降低（即與功能安全相關(guān)的風險）。2：GB/T20438.5A.1EUCEUCE/E/PE注3：這個風險評估應包括相關(guān)人的因素。功能安全風險 functional safety risk與特定的危險事件相伴的風險。在這種危險事件中用功能安全相關(guān)系統(tǒng)和其他風險降低措施來提供必要的風險降低。信息安全風險 information security risk[來源：GB/T20984—2022，3.1.1]目標風險 target risk針對特定的危險，考慮了EUC風險，及E/E/PE安全相關(guān)系統(tǒng)和其他風險降低措施后，所要達到的風險。[來源：GB/T20438.4—2017，3.1.10]風險管理 risk management指導和控制組織相關(guān)風險的協(xié)調(diào)活動。[來源：GB/T25069—2022，3.168]安全safety沒有不可接受的風險。[來源：GB/T20438.4—2017，3.1.11]安全功能 safety function針對特定的危險事件，為實現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風險降低措施實現(xiàn)的功能。[來源：GB/T20438.4—2017，3.5.1]安全完整性safety integrity[來源：GB/T20438.4—2017，3.5.4]安全完整性等級safety integrity level（四個可能等級之一4安全完整性等級1是最低的。[來源：GB/T20438.4—2017，3.5.8]威脅 threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源：GB/T25069—2022，3.628]脆弱性 vulnerability[來源：GB/T30976.1—2014，3.1.1]縮略語下列縮略語適用于本文件。E/E/PE：電氣/電子/可編程電子（Electrical/Electronic/ProgrammableElectronic）EUC：受控設(shè)備（EquipmentUnderControl）SL：信息安全等級（SecurityLevel）SIL：安全完整性等級（SafetyIntegrityLevel）USB：通用串行總線（UniversalSerialBus）一般要求智能工廠安全一體化風險評估的對象為：按照GB/TXXXX.1中第5章確定的對象，如圖1所示。圖1 智能廠安全一體化風險評估對象示意圖宜基于信息安全風險評估結(jié)果辨識出的可能導致生產(chǎn)安全影響的威脅。注1：信息安全風險評估實施可參考GB/T36466-2018。注2：傳統(tǒng)生產(chǎn)安全危險源一般包括：人員異常操作、設(shè)備故障、控制失效、外部環(huán)境因素等，若在安全一體化風險評估前已開展過功能安全相關(guān)風險評估，可將其輸出作為傳統(tǒng)生產(chǎn)安全危險源辨識的輸入。運行維護階段以及修改變更階段開展。風險評估相關(guān)活動確定目標和準則定義時，應考慮以下因素：——分析結(jié)果的使用目的；——需要進行分析的智能工廠生產(chǎn)系統(tǒng)的生命周期階段；——可能面臨風險的人員或資產(chǎn)，例如：員工，公眾，環(huán)境和系統(tǒng)等；——可操作性問題，包括對業(yè)務(wù)連續(xù)性、產(chǎn)品質(zhì)量等的影響；——通用的法律要求，以及與特定應用直接相關(guān)的法律要求；——相關(guān)安全監(jiān)管機構(gòu)發(fā)布的指南；——與應用有關(guān)各方的爭議與一致意見；——工業(yè)標準和指南；——來自咨詢機構(gòu)的最佳獨立建議。風險評估范圍及顆粒度的確定，取決于以下幾個因素：——智能工廠生產(chǎn)系統(tǒng)的物理邊界；——可獲得的設(shè)計說明的詳細程度；——已經(jīng)完成的危害分析或其他相關(guān)分析活動的范圍；——適用的法規(guī)要求。組參與風險評估活動。/或信息安全知識，并具有相應的經(jīng)驗能力。署個人保密協(xié)議。組長、成員達成共識。和經(jīng)驗的人員足夠的前提下應當盡可能的少。當?shù)呐嘤栠_到此要求。推薦的風險評估工作組成員構(gòu)成，包括：——風險評估組長；——記錄員；——項目設(shè)計人員；——用戶；——專家；——運行維護人員（代表）。評估資料準備在正式開始評估之前，應保證能夠獲取最完整的可用設(shè)計資料，有紕漏或不完整的資料應在分析開考慮以下方面：標注：置圖，公用工程規(guī)格，操作和維修要求；——分析對象的邊界和在邊界處的界面；——系統(tǒng)運行的環(huán)境；——操作和維修人員的資質(zhì)，技能和經(jīng)驗；——程序和/或操作規(guī)程；——操作和維修經(jīng)驗和對類似系統(tǒng)的危險認知；——業(yè)務(wù)戰(zhàn)略及管理制度；——主要的業(yè)務(wù)功能和要求；——網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；——主要的硬件、軟件；——數(shù)據(jù)和信息；——系統(tǒng)和數(shù)據(jù)的敏感性；——支持和使用系統(tǒng)的人員；——工廠所處環(huán)境的氣象水文材料；——分析會議文件評估記錄文件。含記錄表、適用的記錄項等；事故事件分析報告等；成。——其他相關(guān)文件。應綜合考慮生命周期階段、分析目標、所能獲得的信息等內(nèi)容，選擇風險評估工具和方法。在正式開始評估之前，應制定并發(fā)布一份風險評估計劃，包括以下內(nèi)容：——評估組織：包括評估工作組成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容；——工作計劃：風險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；——時間進度安排：項目實施的時間進度安排。風險評估程序初始風險分析初始風險分析風險評估流程開始節(jié)點劃分偏差確定危險識別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險源等） 識別開始節(jié)點劃分偏差確定危險識別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險源等） 識別信息安全風險評估危險事件分析危險事件發(fā)生可能性分級后果分析后果嚴重程度分級初始風險評估功能安全保護措施/信息安全防護措施分析保護/防護能力評估殘余風險評估否是否在可接受范圍之內(nèi)是結(jié)束意見建議風險識別殘余風險分析圖2 智能廠安全體化風險評估流程殘余風險分析注1：如果在開展安全一體化風險評估前，未開展信息安全風險評估，則可按照7.5開展信息安全威脅和脆弱性辨識。注2：本文件中功能安全保護措施包括：符合GB/T20438或GB/T21109的電氣/電子/可編程電子安全相關(guān)系統(tǒng)、機械式保護系統(tǒng)、外部風險降低措施等。節(jié)點劃分要求為便于分析，可將系統(tǒng)分成若干節(jié)點，各個節(jié)點的設(shè)計意圖應能充分定義，應滿足以下要求：——結(jié)合智能工廠生產(chǎn)系統(tǒng)的對象特點，劃分節(jié)點?！?jié)點劃分，應考慮分析范圍內(nèi)的所有設(shè)施、設(shè)備，遵循既不重復，又不遺漏的原則?！x節(jié)點的大小，取決于系統(tǒng)的復雜性和危險的嚴重程度。節(jié)點劃分不宜過大或過小。復雜度高或危險性高的系統(tǒng)可劃分成若干較小的節(jié)點，簡單的或低危險性系統(tǒng)可劃分成若干較大的節(jié)點，以加快分析進程?！總€節(jié)點的范圍，應包括分析對象中的一個或多個功能系統(tǒng)。節(jié)點描述要求節(jié)點應有編號，可采取統(tǒng)一的節(jié)點編號方式。節(jié)點描述一般包括：節(jié)點范圍及工藝流程簡單說明、主要設(shè)備位號、管線和設(shè)備的設(shè)計參數(shù)、安全閾值等。意義的偏差及其含義。針對確定的每一個偏差，確定導致偏差的誘因，進行危險識別、威脅和脆弱性辨識。偏差的確定方法可參見GB/T35320。示例：于操作步序“輸送”，與引導詞“無”相組合，得到偏離“輸送無”，其含義為沒有輸送物料。時以何種方式導致傷害的事故場合。在進行危險識別時，應開展：——對智能工廠生產(chǎn)系統(tǒng)生命周期階段的識別，包括：設(shè)計；運行；修改和變更?！獙\行模式的識別，包括但不限于：配置；測試；啟動；停機；緊急停止；暫?；蜴i定后的恢復運行；非計劃停機后的重新啟動；故障查找/排除。——對工藝裝置/設(shè)備的可能的狀態(tài)的識別，包括：正常運轉(zhuǎn)；功能失效。——對非預期的人員行為，或合理可預見的誤操作的識別，包括：過程/異常發(fā)生時的人員條件反射行為；非專業(yè)操作人員/動物的行為（如兒童、殘疾人、小動物）等?！獙侠砜深A見的情況下，其他危險的識別，包括：過程危險；機械危險；電氣危險；熱危險；噪聲危險；振動危險；輻射危險；物料/人機工效學危險；與環(huán)境有關(guān)的危險等?！渌惓＿\行情況的識別。威脅辨識有潛在威脅。示例：智能工廠生產(chǎn)系統(tǒng)的威脅主體大致可分為：內(nèi)部人員、腳本小子、黑客、網(wǎng)絡(luò)犯罪分子和民族國家行為者。工廠生產(chǎn)系統(tǒng)的威脅分類，可參考相關(guān)標準或附錄B。（例——內(nèi)部無意的威脅（例如，不知不覺地插入了一個受感染的USB）；——內(nèi)部故意的威脅（例如，心懷不滿的員工）；——外部一般/非熟練人員威脅（例如，腳本小子）；——外部有目標的/有技能的威脅（例如，網(wǎng)絡(luò)罪犯、技能展示）；——外部攻擊行為威脅（例如，高級持續(xù)威脅，民族國家）。——社會工程威脅（如，網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚）；——通信威脅（例如，拒絕服務(wù)，以及中間信息）；——供應鏈威脅（例如，服務(wù)提供者的破壞）；——物理訪問威脅（例如，登錄到無防護的工作站）；——軟件威脅（例如，利用一個已知的軟件漏洞）；——硬件威脅（例如，將USB連接到不安全的端口）?！{來源；——威脅來源的技能水平、動機、資源等；——可能的威脅場景、途徑和載體；——潛在受影響的資產(chǎn)。智能工廠可能面臨的潛在威脅示例，見附錄B。脆弱性辨識/產(chǎn)品的脆弱性進行分析?！I(yè)自動化系統(tǒng)的常見脆弱性。包括：無線通信、自動化系統(tǒng)集成導致的脆弱性等?！悄芄S生產(chǎn)系統(tǒng)的特定脆弱性。包括：大量移動設(shè)備接入、聯(lián)網(wǎng)應用程序、遺留系統(tǒng)等導致的脆弱性等。注：典型脆弱性如下：——人員/組織的安全意識有限(例如不受控制地使用USB驅(qū)動器)；——資產(chǎn)管理缺陷(如現(xiàn)有資產(chǎn)和這些資產(chǎn)的版本狀態(tài)不清楚、不完整或過時)；——通過更新或補丁向產(chǎn)品/解決方案添加新漏洞或回歸到舊漏洞(例如，補丁解決了一個問題，但打開了兩個新問題)；——產(chǎn)品/解決方案的缺陷(例如缺少適當?shù)陌踩绦蚝筒呗?；——性能方面的固有設(shè)計限制(例如，簡單的拒絕服務(wù)情況會導致安全問題）；——故意濫用內(nèi)置功能/特性(例如，通過遠程訪問維護通道注入惡意軟件)；——實際用途與預期用途不同(例如，在操作期間增加了遠程訪問)；——威脅環(huán)境的變化使得現(xiàn)有的解決方案更加脆弱（例如加密方法的破壞）；——軟件錯誤（bug）：可能是通過有意或無意的方式引入錯誤，可以通過系統(tǒng)軟件程序或設(shè)備固件的方式引入；——硬件故障：硬件失效導致的潛在系統(tǒng)脆弱性；——信息安全措施效果降低：信息安全措施的有效性可能會隨著時間的推移而降低，也可能隨著新的信息安全技術(shù)或計算機技術(shù)出現(xiàn)而過時；——身份證書的重復使用：在多個位置不同的地點使用相同的證書；——由于錯誤配置導致的系統(tǒng)性錯誤（例如沒有修改默認密碼）；——一般的外界病毒，可能不是為本系統(tǒng)所專門開發(fā)的，但是影響到了本系統(tǒng)的運行；——信息安全后門，可能在系統(tǒng)設(shè)計初期植入的后門。危險事件分析應分析并明確已確定的危險/一個危險/表1危險、危險事件、危險情況和傷害示例偏差危險/威脅和脆弱性危險事件危險狀況傷害溫度高燃料氣進料閥門故障進料閥異常開大，燃料氣進料過多，加熱爐溫度過高加熱爐爐膛坍塌財產(chǎn)損失、人員傷亡數(shù)據(jù)篡改：非授權(quán)人員訪問工程師站，更改控制參數(shù)進料閥異常開大，燃料氣進料過多，加熱爐溫度過高加熱爐爐膛坍塌財產(chǎn)損失、人員傷亡注：危險導致危險事件的分析，可參見GB/T41257、GB/T35320。威脅導致危險事件的分析，可參見GB/T41260。危險事件發(fā)生可能性可結(jié)合具體的威脅場景，基于以下方法進行評估：——基于攻擊者的動機、能力；——基于攻擊者的動機、資源、知識；——基于攻擊者的動機、能力、資源；——基于攻擊者的攻擊潛力AP；——基于資產(chǎn)暴露度與脆弱性程度。C。（/威脅（/威脅——對于在一定條件下成立的“原因（危險/威脅）——危險事件”對，應做條件修正。危險事件發(fā)生可能性等級劃分C。（（（（例如：數(shù)據(jù)泄露等）等后果。注：智能工廠危險事件的后果，宜考慮以下方面：——業(yè)務(wù)，如業(yè)務(wù)中斷、關(guān)鍵功能無法操作等；——人員，如人員傷亡；——環(huán)境，如物料泄漏、釋放；——經(jīng)濟，如工藝設(shè)備、生產(chǎn)設(shè)施損失/損壞，政府/當局罰款，知識產(chǎn)權(quán)損失，利潤流失等；——聲譽，如負面媒體報道，失去利益相關(guān)者的信心，喪失經(jīng)營許可證的行為等；——數(shù)據(jù)泄露等。等級。規(guī)范要求，并具有合理可信的來源。后果，需要做條件修正。初始風險評估7.117.13中要求的內(nèi)容。（7.117.13中要求的內(nèi)容。風險降低措施分析條件因素跟后果之間的關(guān)系。計算保護/防護能力時，需要根據(jù)獨立性情況做修正。保護/防護能力評估辨識每一個獨立的功能安全保護措施/低因子可通過公開文獻或工業(yè)數(shù)據(jù)獲得。在確定應通過措施減少多少可能性時，可以考慮基于經(jīng)驗法則。示例：典型的經(jīng)驗法則如：對于不容易受到網(wǎng)絡(luò)攻擊的保護措施（例如，減壓裝置或其他機械裝置），可以將事件發(fā)生的可能性降低2個級別；增加防火墻，可以將事件發(fā)生的可能性降低1個級別。（SIL或PFD）和信息安全防護措施的防護能力（SL）。殘余風險評估-/危險事件發(fā)生可能性，或者后果嚴重程度，并評估危險事件的殘余風險。建議。意見建議:——增加功能安全保護措施/信息安全防護措施（例如：安全儀表系統(tǒng)、安全閥、防火堤、訪問控制措施、使用控制措施、系統(tǒng)完整性措施、系統(tǒng)保密性措施、風險監(jiān)控措施等）；——更改為更有效/更可靠的功能安全保護措施/信息安全防護措施；——通過管理的手段來彌補不足（例如：增加人員培訓；供應商管理；變更管理；定期開展風險評估，基于風險復盤，更新風險應急預案等）；——更改工序、工藝、裝置、設(shè)備、網(wǎng)絡(luò)、控制等的原始設(shè)計，以推動實現(xiàn)本質(zhì)安全。提出的意見建議應被記錄，并指定責任人，追蹤執(zhí)行。措施進行信息安全風險評估確認其有效性。示例：力有效性的影響，同時還需開展補充的信息安全風險評估。風險評估文檔記錄信息安全防護措施是否可以防止事件發(fā)生或降低風險。A。附 錄 A（資料性）風險評估方法，可分為定性和定量兩大類。定性的風險評估方法示例：PHA/HAZOP、檢查表、FMEA。定量的風險評估方法示例：蝴蝶結(jié)、LOPA、定量風險分析QRA、半定量SL驗證。其中：HAZOP是評估工業(yè)現(xiàn)場過程危害的常用技術(shù)，該技術(shù)是基于使用預先配置的引導詞來確定過程中斷的可能原因和最終后果。對于信息安全HAZOP，引導詞可被用于識別信息安全被破壞的潛在原因。表A.1為基于HAZOP的安全一體化風險示例，表A.2為所采用的風險矩陣和可容忍風險示例。表A.1HAZOP參數(shù)偏差可能原因（危險/威脅導致危險事件的描述）發(fā)生可能性后果后果嚴重性初始風險保護措施殘余風險意見建議溫度加氫反應器溫度高控制回路故障，閥門開大，燃料氣進料流量過多，反應器進料加熱爐爐膛溫度高，加氫反應器溫度高6（10-1反應器超壓，發(fā)生泄漏，可燃氣體與空氣混合，發(fā)生爆炸。P4；F4；R4.61、加氫反應器設(shè)置有安全閥；2、加氫反應器床層溫度高聯(lián)鎖（SIS）；3、反應器進料加熱爐設(shè)置有爐膛溫度高報警。2——第三方人員（含運維人員）利用權(quán)限訪問工程師站，惡意修改配置參數(shù)，瓦斯氣進料組分變重，反應器進料加熱爐的爐膛溫度高，加氫反應器溫度高6（10-1反應器超壓，發(fā)生泄漏，可燃氣體與空氣混合，發(fā)生爆炸。P4；F4；R4.61、對第三方人員實施身份認機制；2、加氫反應器設(shè)置有安全閥；3、加氫反應器床層溫度高聯(lián)鎖（SIS）；4、反應器進料加熱爐設(shè)置有爐膛溫度高報警。1——參數(shù)偏差可能原因（危險/威脅導致危險事件的描述）發(fā)生可能性后果后果嚴重性初始風險保護措施殘余風險意見建議液位原料油緩沖罐液位過高控制回路故障，閥門開大，原料油進料量過大6（10-1滿罐，溢流進入火炬系統(tǒng)，經(jīng)濟損失P1；F1；R1.31、原料油緩沖罐進料設(shè)置閉進料。2——攻擊者通過供應鏈攻擊在進料泵產(chǎn)品中植入了惡意程序，篡改控制邏輯，導致進料泵故障，進料量過大6（10-1滿罐，溢流進入火炬系統(tǒng)，經(jīng)濟損失P1；F1；R1.31、制定第三方供應商管理息安全入網(wǎng)相關(guān)測試。2、原料油緩沖罐進料設(shè)置閉進料。1——表A.2所采用的風險矩陣和可容忍風險示例可能性12345678嚴重性74級（高風險）5級（險）6級（險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）63級（中風險）4級（高風險）5級（險）6級（險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）52級（低風險）3級（中風險）4級（高風險）5級（險）6級（險）7級（極嚴重風險）7級（極嚴重風險）7級（極嚴重風險）41級（可忽略風險）2級（低風險）3級（中風險）4級（高風險）5級（險）6級（險）7級（極嚴重風險）7級（極嚴重風險）31級（可忽略風險）1級（可忽略風險）2級（低風險）3級（中風險）4級（高風險）5級（險）6級（險）7級（極嚴重風險）21級（可忽略風險）1級（可忽略風險）1級（可忽略風險）2級（低風險）3級（中風險）4級（高風險）5級（險）6級（險）11級（可忽略風險）1級（可忽略風險）1級（可忽略風險）1級（可忽略風險）2級（低風險）3級（中風險）4級（高風險）5級（險）注：該風險矩陣中1級、2級風險為可容忍風險。附 錄 B（資料性）威脅示例一種基于表現(xiàn)形式的威脅分類，見下表。表B.1種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷系統(tǒng)本身或軟件缺陷造等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災害洪災、火災、地震等無作為或操作失誤應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫用通過采用一些措施,超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán),做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探賬戶、口令、權(quán)限等)、用戶身份偽造和欺騙用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等智能工廠生產(chǎn)系統(tǒng)可能面臨的威脅類別示例，見下表。表B.2威脅類別威脅描述物理威脅破壞；未經(jīng)授權(quán)的物理訪問/未經(jīng)授權(quán)的進入辦公場所非故意損害錯誤地使用或管理設(shè)備和系統(tǒng)；意外更改系統(tǒng)中的數(shù)據(jù)或銷毀記錄威脅類別威脅描述失效/故障a.b.設(shè)備或系統(tǒng)故障；通信鏈路中斷或故障中斷網(wǎng)絡(luò)中斷竊聽a.b.網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)流量操縱和信息收集中間人/會話劫持非正?；顒觓.拒絕服務(wù)；b.惡意代碼/軟件/活動；c.身份欺詐；d.操縱硬件和軟件；e.操縱信息附 錄 C（資料性）危險事件發(fā)生可能性評估示例基于攻擊潛力AP，估計危險事件發(fā)生可能性APAP業(yè)知識、目標信息、目標訪問、設(shè)備等因素決定。具體見下表。表C.1攻擊潛力相關(guān)的因素分類因素類別描述范圍值所需時間攻擊者識別系統(tǒng)中可能存在的特定的潛在漏洞、開發(fā)攻擊方法和維持對目標執(zhí)行攻擊所需的總時間。小時0天1周3月7專業(yè)知識對基本原則、產(chǎn)品類型或攻擊方法的通用知識水平。外行0熟練人員3專家6多領(lǐng)域?qū)＜?目標知識執(zhí)行攻擊所需的目標相關(guān)知識水平。公共信息0受限的信息3敏感信息7關(guān)鍵信息11目標訪問執(zhí)行攻擊所需的對目標系統(tǒng)的訪問等級無限制0容易地1中等地4困難地10設(shè)備標準設(shè)備0專業(yè)設(shè)備4定制設(shè)備7多重定制設(shè)備9通過估計各個類別因素的數(shù)值，來計算攻擊潛力AP，具體如下式所示。AP=AP所需時間+AP專業(yè)知識+AP目標信息+AP目標訪問+AP設(shè)備攻擊潛力AP的等級劃分、以及導致的危險事件發(fā)生可能性劃分，見下表。表C.2攻擊潛力等級劃分及危險事件發(fā)生可能性等級劃分APAP等級危險事件發(fā)生可能性0-9基礎(chǔ)的確定10-13基礎(chǔ)增強的可能14-19中等的也許APAP等級危險事件發(fā)生可能性20-24高不太可能的>24超高罕見的基于攻擊者的經(jīng)驗、所需設(shè)備、機會窗口、時間，估計危險事件發(fā)生可能性示例，見下表。表C.2危險事件發(fā)生可能性級等級劃分示例發(fā)生可能性經(jīng)驗所需設(shè)備機會窗口所需時間低需要多名專家定制設(shè)備短長中等專家專用設(shè)備適中的適中的高精通的專用商業(yè)現(xiàn)貨COTS長短很高外行標準設(shè)備無限的很短基于資產(chǎn)暴露度與脆弱性，估計危險事件發(fā)生可能性基于資產(chǎn)暴露度與脆弱性，估計危險事件發(fā)生可能性示例，見下表。表C.3危險事件發(fā)生可能性級等級劃分示例發(fā)生可能性資產(chǎn)暴露度脆弱性1對攻擊者的邏輯或物理訪問的高度限制，例如：高度限制的網(wǎng)絡(luò)和物理訪問；只能很費力地獲取。a.b.c.d.成功的攻擊只可能針對一小群具有高黑客能力（需要高能力）的攻擊者；脆弱性只能經(jīng)過高強度的努力才能被利用，如果能夠解決攻擊者被追蹤和起訴的機會很大。2對攻擊者的邏輯或物理訪問限制，例如：需要內(nèi)部網(wǎng)絡(luò)訪問權(quán)限；受限的物理訪問；或組件a.b.c.d.對于具有平均黑客攻擊技能（需要中等能力）的攻擊者來說，成功的攻擊是可行的；領(lǐng)域或工具知識；采取了一些安全措施來應對威脅；攻擊者被追蹤和起訴的機會中等3對攻擊者簡單的邏輯或物理訪問。例如：互聯(lián)網(wǎng)接入足夠；公共物理訪問；或維護活動的一部分；攻擊者可以輕松地獲取產(chǎn)品或組件。a.b.c.d.（要很少的能力）；由于不需要工具，或者自由存在合適的攻擊工具，因此可以輕松地利用脆弱性，沒有或只有薄弱的安全措施來應對由威脅引起的攻擊，攻擊者被追蹤和起訴的機會很低。基于每年發(fā)生次數(shù)，估計的危險事件發(fā)生可能性等級劃分示例，見下表。表C.4危險事件發(fā)生可能性等級劃分示例等級發(fā)生可