工業(yè)互聯(lián)網(wǎng) 危險分析和風(fēng)險評估規(guī)范 征求意見稿

1GB/TXXXXX—XXXX工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估規(guī)范本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估的范圍、總體原則、總體要求、安全目標(biāo)的確定、風(fēng)險要素識別以及邊緣層、網(wǎng)絡(luò)層、平臺層、工業(yè)應(yīng)用層的危險分析和風(fēng)險評估技術(shù)要求。本文件適用于基于工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)設(shè)計、實施、運行、變更、廢棄等生命周期各階段開展的危險分析和風(fēng)險評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T20986信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南GB/T35320危險與可操作性分析（HAZOP）應(yīng)用指南3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1安全safety不存在不可容忍的風(fēng)險。[來源：GB/T21109.1—2022，3.2.64]3.2安全功能safetyfunction針對特定的危險事件，為達到或保持過程的安全狀態(tài)，由一個或多個保護層實現(xiàn)的功能。[來源：GB/T21109.1—2022，3.2.65]3.3殘余風(fēng)險residualrisk采取防護措施以后仍存在的風(fēng)險。[來源：GB/T20438.4—2017，3.1.8]3.4風(fēng)險risk傷害發(fā)生可能性與該傷害嚴(yán)重性的組合。注：發(fā)生可能性包括暴露于危險情況的概率、危險事件的發(fā)生概率和避免或限制傷害的可能性。[來源：GB/T21109.1—2022，3.2.61]3.5工業(yè)系統(tǒng)industrialsystemGB/TXXXXX—XXXX2一個由各種相互關(guān)聯(lián)的元素組成的復(fù)雜系統(tǒng)，包括人力資源、物資、設(shè)備、技術(shù)和環(huán)境等多個方面，用以生產(chǎn)和提供產(chǎn)品或服務(wù)。3.6工業(yè)互聯(lián)網(wǎng)industrialinternet新一代信息通信技術(shù)與工業(yè)經(jīng)濟深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，通過對人、機、物、系統(tǒng)等的全面連接，構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價值鏈的全新制造和服務(wù)體系。[來源：GB/T42021—2022，3.1]3.7后果consequence某一特定事件的結(jié)果。通常包括人員傷亡、財產(chǎn)損失、環(huán)境污染、聲譽影響等。[來源：GB/T32857—2016，3.1.8]3.8可容忍風(fēng)險torlerablerisk根據(jù)當(dāng)前社會發(fā)展水平，在給定的范圍內(nèi)能夠接受的風(fēng)險。[來源：GB/T20438.4—2017，3.1.7]3.9危險分析和風(fēng)險評估hazardanalysisandriskassessment系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險。3.10危險事件hazardousevent可能導(dǎo)致傷害的事件。注：危險事件是否導(dǎo)致傷害取決于人、財產(chǎn)或環(huán)境是否遭受危險情況的后果，以及事件發(fā)生后,如果會對人產(chǎn)生傷[來源：GB/T20438.4—2017，3.1.4]3.11威脅threat可能對資產(chǎn)或組織造成損害的潛在原因。威脅可以通過威脅主體、資源、動機、途徑等多種屬性來刻畫。[來源：GB/T26333—2010，3.13]3.12信息安全security一種描述系統(tǒng)特性的術(shù)語，滿足：a)保護系統(tǒng)所采取的措施；b)由建立和維護保護系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；c)能夠免于非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失的系統(tǒng)資源的狀態(tài)；d)基于計算機系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)能力，卻保證授權(quán)人員和系統(tǒng)不被阻止；e)防止對工業(yè)自動化和控制系統(tǒng)的非法或有害的入侵，或者干擾其正確和計劃的操作。注：措施可以是與物理安全(控制物理訪問計算機的資產(chǎn))或者邏輯安全(登錄給定系統(tǒng)和應(yīng)用的能力)相關(guān)的控制[來源：GB/T41260—2022，3.1.6]3.13信息安全措施securitymeasureGB/TXXXXX—XXXX3保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。[來源：GB/T26333—2010，3.11，有修改]3.14信息安全事件securityevent指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或未預(yù)知的不安全狀況。[來源：GB/T26333—2010，3.9，有修改]3.15資產(chǎn)asset對組織具有價值的信息資源，是工業(yè)安全策略保護的對象。[來源：GB/T26333—2010，3.3]4縮略語下列縮略語適用于本文件。AGV：自動導(dǎo)向車（AutomatedGuidedVehicle）ARP：地址解析協(xié)議（AddressResolutionProtocol）Bot：僵尸程序（BotProcess）DCS：分散控制系統(tǒng)（DistributedControlSystem）DDOS：分布式拒絕服務(wù)攻擊（DistributedDenialofServiceAttack）HMI：人機界面（HumanMachineInterface）MAC：媒體存取控制位址（MediaAccessControlAddress）PLC：可編程邏輯控制器（ProgrammableLogicController）RTU：遠程終端系統(tǒng)（RemoteTerminalUnit）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）USB：通用串行總線（UniversalSerialBus）5概述5.1分析和評估的范圍工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估的范圍如圖1所示，應(yīng)覆蓋工業(yè)互聯(lián)網(wǎng)邊緣層、網(wǎng)絡(luò)層、平臺層、工業(yè)應(yīng)用層四個邏輯層級及其各種應(yīng)用組合：——邊緣層是通過各類通信方式接入不同設(shè)備和系統(tǒng)，采集海量數(shù)據(jù)，利用邊緣計算設(shè)備實現(xiàn)底層數(shù)據(jù)的匯聚處理，并實現(xiàn)數(shù)據(jù)向云端平臺的集成；注：接入邊緣層的典型設(shè)備和系統(tǒng)示例包括：制造/生產(chǎn)裝備、數(shù)據(jù)采集設(shè)備、工業(yè)通信設(shè)備、工業(yè)控制設(shè)備、工——網(wǎng)絡(luò)層是支持工業(yè)互聯(lián)網(wǎng)平臺運行的網(wǎng)絡(luò)基礎(chǔ)設(shè)施；——平臺層提供通用的數(shù)據(jù)分析管理、工業(yè)模型開發(fā)與管理等服務(wù)，支撐工業(yè)應(yīng)用層開展工業(yè)應(yīng)——工業(yè)應(yīng)用層提供不同行業(yè)、不同場景的工業(yè)應(yīng)用。GB/TXXXXX—XXXX4圖1工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估的范圍5.2總體原則工業(yè)控制設(shè)備及系統(tǒng)一般設(shè)有功能安全系統(tǒng)作為風(fēng)險降低措施。為應(yīng)對工業(yè)互聯(lián)網(wǎng)技術(shù)引入的信息安全威脅，應(yīng)在工業(yè)互聯(lián)網(wǎng)各層級設(shè)置信息安全設(shè)施作為風(fēng)險降低措施，保障各層設(shè)施和系統(tǒng)的可用性、完整性和保密性。在工業(yè)互聯(lián)網(wǎng)各層危險分析和風(fēng)險評估過程中應(yīng)考慮功能安全和信息安全：——邊緣層危險分析和風(fēng)險評估中應(yīng)綜合考慮功能安全措施和信息安全措施的降險能力，以及信息安全措施對功能安全措施的影響；——網(wǎng)絡(luò)層、平臺層和工業(yè)應(yīng)用層危險分析和風(fēng)險評估中應(yīng)考慮信息安全措施對降低危險事件發(fā)生可能性的預(yù)防能力，以及各層設(shè)備的可靠性、可用性等問題產(chǎn)生的危險事件。在危險事件會影響到邊緣層接入的現(xiàn)場設(shè)備和控制系統(tǒng)時，還應(yīng)考慮功能安全等措施對后果嚴(yán)重性的減輕能力。6總體要求6.1評估時機應(yīng)在以下節(jié)點開展危險分析和風(fēng)險評估：——設(shè)計階段至少開展一次危險分析和風(fēng)險評估；——運行階段宜定期開展危險分析和風(fēng)險評估，在同領(lǐng)域發(fā)生重大危險事件后宜開展針對性的危險分析和風(fēng)險評估；注：時間間隔可根據(jù)具體情況確定，一般3~5年?！诎l(fā)生重大變更后應(yīng)進行危險分析和風(fēng)險評估；——廢棄階段應(yīng)進行危險分析和風(fēng)險評估。注：在廢棄階段需確保敏感數(shù)據(jù)徹底消除、其他仍在用的關(guān)聯(lián)裝置風(fēng)險可控。6.2人員要求GB/TXXXXX—XXXX56.2.1危險分析和風(fēng)險評估工作組成員應(yīng)是獨立的（相對于項目設(shè)計和運行），項目設(shè)計的人員或項目組其他相關(guān)人員應(yīng)配合分析工作組參與危險分析和風(fēng)險評估活動。6.2.2工作組成員應(yīng)包括具備工業(yè)互聯(lián)網(wǎng)相關(guān)經(jīng)驗及相關(guān)法律法規(guī)知識的人員，以確保危險分析和風(fēng)險評估結(jié)果的合理可信。6.2.3工作組應(yīng)包括參加過功能安全和信息安全技術(shù)培訓(xùn)并具有相應(yīng)的知識及經(jīng)驗?zāi)芰Φ娜藛T。6.2.4工作組應(yīng)至少包括一名待評估工業(yè)系統(tǒng)（如工業(yè)控制設(shè)備、工藝流程等）相關(guān)專業(yè)的人員。6.3管理要求6.3.1危險分析和風(fēng)險評估組織方應(yīng)成立危險分析和風(fēng)險評估工作組，并明確各成員的職責(zé)和獨立性要求。注：組織方可以是工業(yè)系統(tǒng)的設(shè)計方、建設(shè)方、用戶等。6.3.2執(zhí)行危險分析和風(fēng)險評估的人員應(yīng)滿足6.2的要求。6.3.3工作組應(yīng)編制危險分析和風(fēng)險評估計劃，計劃應(yīng)包括：——危險分析和風(fēng)險評估對象、工作范圍；——在危險分析和風(fēng)險評估各階段要求執(zhí)行的活動；——參與危險分析和風(fēng)險評估活動的人員、部門、組織或其他單位；——為完成危險分析和風(fēng)險評估活動需要的所有資源；——擬采用的工具和記錄表；——完成危險分析和風(fēng)險評估活動應(yīng)得到的輸出；——危險分析和風(fēng)險評估過程中可能存在的人員風(fēng)險、業(yè)務(wù)影響風(fēng)險和數(shù)據(jù)泄漏風(fēng)險的識別和控制；——進度規(guī)劃。6.3.4在進行危險分析和風(fēng)險評估之前，危險分析和風(fēng)險評估計劃應(yīng)得到評估組織方的同意。6.3.5工作組應(yīng)根據(jù)危險分析和風(fēng)險評估計劃進行危險分析和風(fēng)險評估管理和開展危險分析和風(fēng)險評估活動。6.3.6應(yīng)確定人員進行溝通交流的機制，如功能安全人員和信息安全人員之間的溝通，應(yīng)建立專用的溝通渠道來實施兩方人員的溝通。6.3.7應(yīng)組織人員對于功能安全危險和信息安全威脅進行綜合培訓(xùn)和學(xué)習(xí)，以便幫助他們了解相關(guān)的危險、威脅及對安全的影響。6.3.8組織方應(yīng)向工作組提供危險分析和風(fēng)險評估對象的所有相關(guān)信息，包括先前執(zhí)行的危險分析和風(fēng)險評估的結(jié)果、通過該分析提出的建議以及相應(yīng)的整改報告。6.3.9危險分析和風(fēng)險評估結(jié)束后，工作組應(yīng)提供分析報告，組織方應(yīng)對此報告進行審查。6.3.10組織方應(yīng)對危險分析和風(fēng)險評估建議的實現(xiàn)進程進行跟蹤。在建議整改完成后，應(yīng)進行確認。6.4程序要求6.4.1開展工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估的前期準(zhǔn)備工作應(yīng)包括：——組建危險分析和風(fēng)險評估工作組，人員應(yīng)符合6.2的要求；——制定危險分析和風(fēng)險評估工作計劃，工作計劃應(yīng)符合6.3.3的要求；——資料收集與會議準(zhǔn)備，危險分析和風(fēng)險評估輸入資料宜包括但不限于：.系統(tǒng)運行的環(huán)境；.業(yè)務(wù)戰(zhàn)略及管理制度；.主要的業(yè)務(wù)功能和要求；.網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；GB/TXXXXX—XXXX6.主要的硬件、軟件；.系統(tǒng)和數(shù)據(jù)的敏感性；.資產(chǎn)清單；.網(wǎng)絡(luò)安全管理規(guī)程；.網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；.邊緣層接入的工控設(shè)備及系統(tǒng)相關(guān)設(shè)計文件，至少包括設(shè)計要求和描述，流程圖（過程工業(yè)領(lǐng)域一般為管道和儀表流程圖，可編程電子系統(tǒng)一般為數(shù)據(jù)流程圖），工程數(shù)據(jù)表，布置圖，公用工程規(guī)格，操作和維修要求；.事故事件案例集；.以往的評估報告、被評估單位的歷史事故事件分析報告；.其他相關(guān)文件。6.4.2應(yīng)按照圖2開展工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估。圖2工業(yè)互聯(lián)網(wǎng)危險分析和風(fēng)險評估的步驟6.4.3記錄和工具GB/TXXXXX—XXXX7危險分析和風(fēng)險評估記錄宜采用記錄表形式。工業(yè)互聯(lián)網(wǎng)企業(yè)可采用數(shù)字化、智能化手段實現(xiàn)危險分析和風(fēng)險評估的記錄和評級，建立歷史數(shù)據(jù)庫并借助大數(shù)據(jù)等手段實現(xiàn)風(fēng)險頻率和后果嚴(yán)重性取值的校正。有條件的工業(yè)互聯(lián)網(wǎng)企業(yè)可開發(fā)實時的動態(tài)危險分析和風(fēng)險評估工具，對信息安全入侵檢測、現(xiàn)場儀表設(shè)備故障、人員動態(tài)、火氣監(jiān)測等風(fēng)險關(guān)鍵要素進行實時監(jiān)測，結(jié)合危險分析和風(fēng)險評估算法，實現(xiàn)實時危險分析和風(fēng)險評估和管控。6.5文檔要求6.5.1所有的危險分析和風(fēng)險評估活動都應(yīng)實現(xiàn)文檔化。6.5.2文檔應(yīng)結(jié)構(gòu)清晰、表述準(zhǔn)確、無歧義，具有解釋性并可追溯。6.5.3危險分析和風(fēng)險評估報告宜包括：項目背景、分析依據(jù)、分析目的、分析范圍和內(nèi)容、分析評估方法、分析評估過程、分析結(jié)論與建議、危險分析和風(fēng)險評估工作表、分析評估工具的使用以及分析所依據(jù)的必要資料，如分析圖紙、評估準(zhǔn)則來源、分析評估假設(shè)及來源等。7安全目標(biāo)的確定7.1通用要求7.1.1在針對工業(yè)互聯(lián)網(wǎng)邊緣層、網(wǎng)絡(luò)層、平臺層、應(yīng)用層開展危險分析和風(fēng)險評估時，應(yīng)首先確定安全目標(biāo)。7.1.2安全目標(biāo)的確定一般包括確定適用的風(fēng)險矩陣和可容忍風(fēng)險。注：殘余風(fēng)險小于或等于可容忍風(fēng)險時，說明風(fēng)險已達到可接受水平7.2確定適用的風(fēng)險矩陣7.2.1工業(yè)互聯(lián)網(wǎng)各層級的危險分析和風(fēng)險評估應(yīng)按照適用的風(fēng)險矩陣分別評估其風(fēng)險等級，并做好相應(yīng)記錄。風(fēng)險等級評估過程包括原始危險分析與風(fēng)險評估和殘余危險分析與風(fēng)險評估。7.2.2風(fēng)險矩陣有兩大參數(shù)，一是事件發(fā)生可能性，二是后果嚴(yán)重性。7.2.3事件發(fā)生可能性應(yīng)根據(jù)行業(yè)經(jīng)驗或行業(yè)標(biāo)準(zhǔn)、公司文件進行分級，示例見表1。表1事件發(fā)生可能性分級（示例）12-43-3預(yù)期不會發(fā)生，但在特殊情況下有可能發(fā)生（4-2在特定的分析對象生命周期里不太可能發(fā)生，但有多個5-16>10-1GB/TXXXXX—XXXX87.2.4后果分類應(yīng)包括工業(yè)互聯(lián)網(wǎng)后果影響到的因素，如人員傷害、經(jīng)濟損失、業(yè)務(wù)連續(xù)性影響、環(huán)境影響、資產(chǎn)及聲譽影響等。后果嚴(yán)重性分級需根據(jù)國家法律法規(guī)或行業(yè)標(biāo)準(zhǔn)、公司文件進行分級，示例見表2。表2后果嚴(yán)重性分級（示例）響傷GB/TXXXXX—XXXX9響7.2.5風(fēng)險矩陣應(yīng)結(jié)合事件發(fā)生可能性和后果嚴(yán)重性等級，示例見表3。表3風(fēng)險矩陣示例6ⅡⅢⅣⅣⅣ5ⅠⅢⅣⅣⅣ4ⅠⅡⅢⅣⅣ3ⅠⅡⅡⅢⅣ2ⅠⅠⅡⅡⅢ1ⅠⅠⅠⅠⅡ7.3確定可容忍風(fēng)險7.3.1可容忍風(fēng)險應(yīng)滿足國家法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、公司可容忍風(fēng)險準(zhǔn)則的規(guī)定。定義一個相對的或可以接受的風(fēng)險目標(biāo)，對于可容忍風(fēng)險可以參考的一個原則是ALARP（A7.3.2應(yīng)針對各類別的后果及其各后果嚴(yán)重性等級，分別定義其對應(yīng)的可容忍風(fēng)險頻率。相關(guān)示例見表4人員傷害后果的可容忍風(fēng)險（示例）≤10-1≤10-2≤10-5≤10-6≤10-7GB/TXXXXX—XXXX表5經(jīng)濟損失后果的可容忍風(fēng)險（示例）≤10-1≤10-2≤10-3≤10-4≤10-5表6業(yè)務(wù)連續(xù)性影響后果的可容忍風(fēng)險（示例）≤10-1≤10-2≤10-3≤10-4≤10-57.3.3可容忍風(fēng)險取決于許多因素，如傷害的嚴(yán)重程度、暴露在危險中的人數(shù)、一人/多人暴露在危險中的頻率和暴露持續(xù)時間。對于一個特定應(yīng)用，可容忍風(fēng)險的構(gòu)成，需考慮以下一系列決定因素：——國際和國家標(biāo)準(zhǔn)；——國家和地方政策、法規(guī)；——企業(yè)政策、體系文件和標(biāo)準(zhǔn)；——對有關(guān)各方如社團、當(dāng)?shù)厮痉ú块T和有良好的工程實踐支持的保險公司的投入。8風(fēng)險要素識別及可能性分析8.1工業(yè)現(xiàn)場傳統(tǒng)風(fēng)險要素識別與分析工業(yè)現(xiàn)場傳統(tǒng)風(fēng)險要素識別與分析過程宜按照GB/T35320執(zhí)行。工業(yè)現(xiàn)場傳統(tǒng)風(fēng)險要素識別和分析包括：——人員誤操作危險識別及可能性分析；——設(shè)備故障危險識別及可能性分析；——外部影響危險識別及可能性分析。注：在流程行業(yè)，傳統(tǒng)風(fēng)險要素主要指工藝安全風(fēng)險；在離散行業(yè)，8.2信息安全風(fēng)險要素識別與分析8.2.1信息安全風(fēng)險要素識別與分析過程宜按照GB/T20984、GB/T20986執(zhí)行。信息安全風(fēng)險要素識別與分析包括：——資產(chǎn)識別；——安全威脅識別及可能性分析；——漏洞識別及嚴(yán)重程度分析；——信息安全風(fēng)險識別及可能性與影響范圍分析。GB/TXXXXX—XXXX8.2.2工業(yè)系統(tǒng)的安全威脅一般包括：信息泄露、惡意篡改（如惡意篡改控制指令）、非授權(quán)訪問、身份冒用、抵賴行為、拒絕服務(wù)、非法提升權(quán)限、病毒感染、非法物理存取、災(zāi)難、停電等。8.2.3應(yīng)識別邊緣層安全威脅，包括：——通過終端入侵造成的終端“僵尸化”風(fēng)險或控制邏輯篡改；注：此類威脅典型例子，如終端主機感染Bot程——工業(yè)控制網(wǎng)絡(luò)互聯(lián)互通，上層管理網(wǎng)絡(luò)受到的安全威脅與攻擊可能滲透擴展到控制網(wǎng)絡(luò)；注：針對工業(yè)控制系統(tǒng)開展安全防護面臨的困難包括：工業(yè)控制系統(tǒng)對——工業(yè)控制系統(tǒng)及設(shè)備未及時升級軟硬件導(dǎo)致的安全漏洞；注：工業(yè)控制系統(tǒng)及設(shè)備一般運行幾十年，受各種因——工業(yè)控制系統(tǒng)遠程維護缺少有效管控手段，可能會造成生產(chǎn)數(shù)據(jù)的信息泄密或者破壞；——USB設(shè)備、移動硬盤等使用無有效管控手段；——利用工控協(xié)議漏洞；——工控設(shè)備、主機可能遭受惡意代碼及病毒攻擊，未對操作站主機或者工控設(shè)備進行必要的安全配置，一旦能接觸訪問到被攻擊的成功機會很大；——對關(guān)鍵生產(chǎn)工藝數(shù)據(jù)、工藝配方進行竊取或破壞。8.2.4應(yīng)識別網(wǎng)絡(luò)層、平臺層和工業(yè)應(yīng)用層的安全威脅。典型的安全威脅包括但不限于勒索軟件、釣魚攻擊、DDOS攻擊、SQL注入攻擊、跨站腳本攻擊等。9邊緣層危險分析和風(fēng)險評估9.1對象邊緣層危險分析和風(fēng)險評估對象包括但不限于：——受控設(shè)備（如壓縮機、儲罐等設(shè)備）；——工藝過程（如加壓、催化等過程）；——工控系統(tǒng)（如PLC、SIS、RTU、DCS、HMI）；——工控網(wǎng)絡(luò)設(shè)施（如交換機、路由器）；——其他邊緣設(shè)備（如邊緣數(shù)據(jù)服務(wù)器、邊緣計算節(jié)點）。9.2內(nèi)容和要求9.2.1應(yīng)辨識工業(yè)互聯(lián)網(wǎng)邊緣層所有可能引發(fā)風(fēng)險的危險事件及其起因（包括人為錯誤、設(shè)備故障、網(wǎng)絡(luò)故障、網(wǎng)絡(luò)安全威脅等并應(yīng)在不考慮工業(yè)過程安全保護措施和信息安全防護設(shè)施的作用下，分析該危險事件發(fā)生可能性。在工業(yè)互聯(lián)網(wǎng)邊緣層危險分析和風(fēng)險評估中，應(yīng)考慮以下內(nèi)容：——針對工業(yè)互聯(lián)網(wǎng)邊緣層使用的新技術(shù)、新方法，從技術(shù)成熟度、人員能力等維度對其可能產(chǎn)生的新危險/威脅進行分析；——人工智能可能產(chǎn)生的新危險/威脅（如：數(shù)據(jù)投毒、算法錯誤、策略錯誤、算力崩潰等），應(yīng)考慮應(yīng)急事件中是否有專用措施切換到傳統(tǒng)控制方式，應(yīng)考慮是否直接應(yīng)用于安全功能回路；——網(wǎng)絡(luò)連接可能產(chǎn)生的新危險/威脅（如：連接丟失、認證失敗、數(shù)據(jù)傳輸錯誤、同步錯誤、非法接入、惡意重復(fù)等），應(yīng)考慮是否有專用措施預(yù)防和控制這些潛在故障；GB/TXXXXX—XXXX——遠程訪問可能產(chǎn)生的新危險/威脅（如：遠程權(quán)限篡改、非法接入、身份偽裝、訪問時延、木馬植入等），應(yīng)考慮是否有專用措施切斷、阻止遠程訪問，或切換到備用本地功能；——工控設(shè)備因自身安全性設(shè)計方面存在不足，導(dǎo)致其具有可自主修改權(quán)限低、安全性差；——工控設(shè)備所使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用軟件存在漏洞等；——工控網(wǎng)絡(luò)系統(tǒng)設(shè)計、配置存在缺陷；——工控網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交換設(shè)備的鏈路層安全策略配置不全、防護機制簡單，會導(dǎo)致通過網(wǎng)絡(luò)進行惡意攻擊如MAC洪泛攻擊、ARP欺騙；注：攻擊、生成樹攻擊等成功率很大。——外部接口的安全性：外部通信的認證和授權(quán)策略不當(dāng)時，導(dǎo)致的非授權(quán)訪問、數(shù)據(jù)泄露以及系統(tǒng)被惡意控制；——邊緣層的物理安全：物理訪問控制、防入侵措施或設(shè)備的運行環(huán)境管理不當(dāng)時，導(dǎo)致的設(shè)備損壞、數(shù)據(jù)泄露和系統(tǒng)中斷；——供應(yīng)鏈安全性：供應(yīng)商提供的設(shè)備、軟件或服務(wù)被預(yù)留后門或被投毒，導(dǎo)致的存在攻擊入口和信息泄露。9.2.2對于由信息安全事件引發(fā)的危險事件，應(yīng)結(jié)合信息安全威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致信息安全事件發(fā)生的可能性和由該信息安全事件引起危險事件發(fā)生的概率，并綜合計算出危險事件的發(fā)生可能性。注：針對脆弱性影響程度，也可進行分級，不同的等級分別代表脆弱——等級1：如果被威脅利用，將對資產(chǎn)造成的損害可以忽——等級2：如果被威脅利用，將對資產(chǎn)造成較小損害；——等級3：如果被威脅利用，將對資產(chǎn)造成一般損害；——等級4：如果被威脅利用，將對資產(chǎn)造成重大損害；——等級5：如果被威脅利用，將對資產(chǎn)造成完全損害。9.2.3應(yīng)考慮移動式智能設(shè)備（AGV小車、無人天車、智能倉庫等）的安全問題，應(yīng)考慮是否有準(zhǔn)確的位置檢測和避障能力，分析其是否存在危險源，以及人員設(shè)備與移動危險源之間可能產(chǎn)生的交互（例如故障重啟、維修檢查等）。9.2.4分析工業(yè)互聯(lián)網(wǎng)邊緣層危險事件后果時應(yīng)不考慮工業(yè)過程安全保護措施和信息安全防護設(shè)施的作用，并應(yīng)梳理從事件起因至后果發(fā)生過程的事件鏈，確定最終后果的嚴(yán)重性等級。9.2.5應(yīng)依據(jù)風(fēng)險矩陣確定每項危險事件的原始風(fēng)險。9.2.6針對工業(yè)互聯(lián)網(wǎng)邊緣層每項危險事件分析當(dāng)前已采取的預(yù)防和減緩措施，包括功能安全措施和信息安全措施。9.2.7應(yīng)考慮所有可能的信息安全威脅對于邊緣層功能安全所造成的影響。最終都將取決于功能安全系統(tǒng)是否能夠正常的執(zhí)行安全功能或?qū)氚踩珷顟B(tài)。本文件考慮將信息安全威脅作為安全功能失效的誘因之一，在危險、威脅與危險分析和風(fēng)險評估過程中將全面的分析威脅對于安全功能可.拒動，即導(dǎo)致安全功能失效且無法通過診斷測試發(fā)現(xiàn)；.誤動，安全功能直接動作，影響生產(chǎn)連續(xù)性；.要求率增加，通過攻擊基本過程控制系統(tǒng)制造危險事件導(dǎo)致安全系統(tǒng)頻繁動作。GB/TXXXXX—XXXX信息安全措施對防護措施生效防護措施生效攻擊對象是執(zhí)行層攻擊對象是執(zhí)行層防護措施防護無效/無防攻擊對象是其它圖3信息安全威脅對功能安全所造成的影響9.2.8應(yīng)考慮工業(yè)互聯(lián)網(wǎng)邊緣層復(fù)雜系統(tǒng)的可信性保障要求，還應(yīng)考慮信息安全降險措施對功能安全系統(tǒng)可能造成的影響。9.2.9應(yīng)根據(jù)當(dāng)前已采取的預(yù)防和減緩措施，包括功能安全措施和信息安全措施，確定殘余風(fēng)險。9.2.10確定為將風(fēng)險降至可容忍范圍內(nèi)還需采取的行動及其責(zé)任方。9.2.11應(yīng)考慮邊緣層與其他層級的交互，分析依賴關(guān)系及關(guān)聯(lián)風(fēng)險。10網(wǎng)絡(luò)層危險分析和風(fēng)險評估10.1對象網(wǎng)絡(luò)層危險分析和風(fēng)險評估的對象包括但不限于：——網(wǎng)絡(luò)層的設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等的自身失效或錯誤行為；——網(wǎng)絡(luò)層的設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等遭受外部攻擊、不期望人員干預(yù)等引起的失效或錯誤行——網(wǎng)絡(luò)層與其他層級之間的數(shù)據(jù)流、控制流交互可能引入的復(fù)合型安全風(fēng)險（如接口協(xié)議漏洞、數(shù)據(jù)篡改等）。10.2內(nèi)容和要求10.2.1應(yīng)基于安全威脅識別，辨識所有可能引發(fā)網(wǎng)絡(luò)層風(fēng)險的危險事件及其起因，并應(yīng)在不考慮工業(yè)過程安全保護措施和信息安全防護設(shè)施的作用下，分析危險事件發(fā)生可能性。10.2.2應(yīng)不考慮工業(yè)過程安全保護措施和信息安全防護設(shè)施的作用，辨識網(wǎng)絡(luò)層設(shè)施可能存在的自身失效、錯誤行為以及不期望人員干預(yù)，分析發(fā)生可能性。10.2.3應(yīng)計算由信息安全事件引起危險事件發(fā)生的概率，分析對工業(yè)系統(tǒng)的后果影響，梳理從事件起因至后果發(fā)生過程的事件鏈，確定最終后果的嚴(yán)重性等級。10.2.4應(yīng)依據(jù)風(fēng)險矩陣確定每項危險事件的原始風(fēng)險。GB/TXXXXX—XXXX10.2.5應(yīng)確定相關(guān)信息安全風(fēng)險降低措施和工業(yè)過程安全保護措施（如涉及）的降險能力。10.2.6應(yīng)根據(jù)當(dāng)前已采取的預(yù)防和減緩措施，包括功能安全措施和信息安全措施，確定殘余風(fēng)險。10.2.7確定為將風(fēng)險降至可接受范圍內(nèi)還需采取的行動及其責(zé)任方。11平臺層危險分析和風(fēng)險評估11.1對象平臺層危險分析和風(fēng)險評估對象包括但不限于：——平臺層的設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等的自身失效或錯誤行為；——平臺層的設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等遭受外部攻擊、不期望人員干預(yù)等引起的失效或錯誤行——平臺層與其他層級之間的數(shù)據(jù)流、控制流交互可能引入的復(fù)合型安全風(fēng)險。11.2內(nèi)容和要求11.2.1應(yīng)基于安全威脅識別，辨識設(shè)備管理、資源管理、運維管理、工業(yè)大數(shù)據(jù)系統(tǒng)等設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等可能存在的危險事件，并應(yīng)在不考慮信息安全防護設(shè)施的作用下，分析危險事件發(fā)生可能性。注：工業(yè)互聯(lián)網(wǎng)平臺層典型的危險事件包括：大數(shù)據(jù)引入敏感數(shù)據(jù)的11.2.2應(yīng)不考慮信息安全防護設(shè)施的作用，辨識平臺層設(shè)施、系統(tǒng)、存儲、網(wǎng)絡(luò)等可能存在的自身失效、錯誤行為以及不期望人員干預(yù)，分析發(fā)生可能性。11.2.3針對11.2.1和11.2.2識別出的各項危險