智能工廠安全一體化——第1部分：一般要求——第2部分：風(fēng)險評估要求——第3部分：系統(tǒng)協(xié)同設(shè)計要求——第4部分：系統(tǒng)評測要求1目次目次PAGE\*ROMANPAGE\*ROMANI前言 III引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 4安全一體化的對象 4安全一體化生命周期 5安全一體化管理 6一般要求 6安全方針和策略 7組織要求 7人員 7變更管理 7安全集中管理 8概念和目標(biāo)確定 8概念確定 8安全目標(biāo)的確定和實現(xiàn) 8安全一體化風(fēng)險評估 10安全一體化要求分配和設(shè)計 11安全一體化確認(rèn) 12安全一體化運行維護 13修改和變更 14退役和停用 14附錄A（資料性） 功能安全和信息安全的異同 15附錄B（資料性） 風(fēng)險降低過程及補償措施示例 17風(fēng)險降低過程 17補償措施 19附錄C（資料性） 安全協(xié)同的考慮和建議 21參考文獻 24圖B.1 風(fēng)險降低過程示例（功能安全） 17圖B.2 風(fēng)險降低過程的示例（功能安全和信息安全） 18PAGE\*ROMANPAGE\*ROMANII圖B.3 風(fēng)險降低過程的示例（安全一體化） 19圖C.1 功能安全和信息安全交互影響模型 22表A.1 功能安全和信息安全異同 15表C.1 功能安全和信息安全交互影響狀態(tài) 21引言引言IVIV傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實現(xiàn)GB/T35673施（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險等GB/T——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實現(xiàn)安全一體化的基本原則?！?部分：風(fēng)險評估要求。目的在于提出開展安全一體化風(fēng)險評估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計要求。目的在于針對智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計的要求?！?部分：系統(tǒng)評測要求。目的在于提出開展安全一體化完善度評測的方法和要求。GB/TXXXXX.1PAGEPAGE111 范圍本文件適用于智能工廠安全一體化的風(fēng)險評估、設(shè)計和實施。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109.1過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件和軟件的要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T30976.1工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范GB/T33007工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序GB/T35673工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級\hGB/T41257數(shù)字化車間功能安全要求\hGB/T41260數(shù)字化車間信息安全要求GB/TXXXXX.2智能工廠安全一體化第2部分：風(fēng)險評估要求GB/TXXXXX.3智能工廠安全一體化第3部分：系統(tǒng)協(xié)同設(shè)計要求GB/TXXXXX.4智能工廠安全一體化第4部分：系統(tǒng)評測要求術(shù)語和定義下列術(shù)語和定義適用于本文件。智能工廠 SmartFactory安全一體化 safety and securityintegrationPAGEPAGE2安全完整性等級 safety integrity level（四個可能等級之一4是最高的，安全完整性等級1是最低的。注1：四個安全完整性等級對應(yīng)的目標(biāo)失效量（見3.5.17）在GB/T20438.1的表2和表3中規(guī)定。注2：安全完整性等級用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。注3：安全完整性等級(SILSILn234）的正確解釋是系統(tǒng)具有支持安全功能的安全完整性等級達到n的潛在能力。[來源：GB/T20438.4—2017,3.5.8]安全一體化完善度 safety and security integration level表征智能工廠功能安全和信息安全沖突消減能力程度的一種離散等級。注：按照離散的區(qū)間分為3個級別，安全一體化完善度越高，智能工廠的整體安全協(xié)調(diào)能力越強，安全沖突發(fā)生的可能性越小。安全一體化生命周期 safety and security integration lifecycle功能安全相關(guān)系統(tǒng) Functional Safety related System所指的系統(tǒng)應(yīng)滿足以下兩項要求：——執(zhí)行要求的安全功能足以實現(xiàn)或保持EUC的安全狀態(tài)；并且——自身或與其他安全相關(guān)系統(tǒng)、其他風(fēng)險降低措施一起, 能夠?qū)崿F(xiàn)要求的安全功能所需的安完整性。注1：由于security和safety的中文都是安全，因此安全相關(guān)系統(tǒng)（safetyrelatedsystem）的概念可能會產(chǎn)生混淆，因此本文件將原有的定義改為功能安全相關(guān)系統(tǒng)。注2：功能安全相關(guān)系統(tǒng)可：用于防止危險事件發(fā)生（即安全相關(guān)系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生）。用于減輕傷害事件的影響，即通過減輕后果的辦法來降低風(fēng)險。ab)的功能組合。注3：人也可作為功能安全相關(guān)系統(tǒng)的一部分。例如，人可以接收來自可編程電子裝置的信息，并根據(jù)接收信息執(zhí)行安全動作，或通過可編程電子裝置執(zhí)行安全動作。注4：功能安全相關(guān)系統(tǒng)包括執(zhí)行規(guī)定安全功能所需的全部硬件、軟件以及支持服務(wù)（如電源）[因此，傳感器，其他輸入裝置，最終元件（執(zhí)行器）和其他輸出裝置都包括在安全相關(guān)系統(tǒng)中]。注5：功能安全相關(guān)系統(tǒng)可基于廣泛的技術(shù)基礎(chǔ)，包括電氣、電子、可編程電子、液壓和氣動等。[來源：GB/T20438.4—2017,3.4.1,有修改]功能安全functionalsafety整體安全中與EUC和EUCE/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施正確執(zhí)行其功能。[來源：GB/T20438.4—2017,3.1.12]安全狀態(tài)safestate達到安全時EUC的狀態(tài)。從潛在的危險條件到最終的安全狀態(tài)，EUC可能必須經(jīng)過幾個中間的安全狀態(tài)。有時，僅當(dāng)EUC處于連續(xù)控制下才存在一個安全狀態(tài)。這樣的連續(xù)控制可能是短時間的或是不確定的一段時間。[來源：GB/T20438.4—2017,3.1.13]隨機硬件失效randomhardwarefailure在硬件中，由一種或幾種可能的退化機理而產(chǎn)生的，在隨機時間出現(xiàn)的失效。1：在各種元件中，存在以不同速率發(fā)生的許多退化機理，在這些元件工作不同的時間之后，這些機理可使制造公差引起元件發(fā)生故障，從而使包含許多元件的設(shè)備將以可預(yù)見的速率，但在不可預(yù)見的時間(即隨機時間)發(fā)生失效。2：（（或其他合適的度量可以用合理的精度來量化，但系統(tǒng)性失效無法精確預(yù)計，因此系統(tǒng)性失效引起的系統(tǒng)失效率則不能精確地用統(tǒng)計法量化。也就是說，由隨機硬件失效引起的系統(tǒng)失效率可以用合理的精度來量化，但是由系統(tǒng)性失效引起的系統(tǒng)失效率不能精確地用統(tǒng)計法量化，因為導(dǎo)致系統(tǒng)性失效的這些事件無法簡單預(yù)測。[來源：GB/T20438.4—2017,3.6.5]系統(tǒng)性失效systematicfailure注1：僅修正性維護而不加修改，通常無法消除失效原因。注2：通過模擬失效原因可以引出系統(tǒng)失效。注3：系統(tǒng)性失效的原因可包括以下情況中的人為錯誤：安全要求規(guī)范：c)軟件的設(shè)計和實現(xiàn)等。注4：在本文件中，安全相關(guān)系統(tǒng)的失效被分為隨機硬件失效（見3.4.5）和系統(tǒng)性失效。[來源：GB/T20438.4—2017,3.6.6]危險失效dangerousfailure對執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：在要求時阻止安全功能的執(zhí)行（要求模式），或?qū)е掳踩δ苁ВㄟB續(xù)模式）EUC降低在要求時安全功能正確執(zhí)行的概率。[來源：GB/T20438.4—2017,3.6.7]安全失效safefailure對于執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：EUC（或其一部分）進入或保持安全狀態(tài)；或EUC（或其一部分）進入或保持安全狀態(tài)的概率。PAGEPAGE10[來源：GB/T20438.4—2017,3.6.8]診斷diagnostic通過自動在線自測試檢測失效的一種安全機制。信息安全區(qū)域securityzone共享通用信息安全需求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注1：本文中所用的“區(qū)域”應(yīng)當(dāng)都是指信息安全區(qū)域。注2：一個區(qū)域應(yīng)當(dāng)和其他區(qū)域有明顯的邊界。一個信息安全區(qū)域的信息安全策略在其內(nèi)部和邊緣都要強制執(zhí)行。一個信息安全區(qū)域可以包括多個不同等級的子區(qū)域。[來源：GB/T40211—2021,3.2.117]信息安全等級securitylevel[來源：GB/T40211—2021,3.2.108]安全功能safetyfunction針對特定的危險事件，為實現(xiàn)或保持EUC的安全狀態(tài)，由功能安全相關(guān)系統(tǒng)實現(xiàn)的功能。示例：安全功能的例子包括：在要求時執(zhí)行的功能，作為一種主動行動以避免危險狀況（如關(guān)閉電機）；和采取預(yù)防行為的功能（如防止馬達啟動）。[來源：GB/T20438.4—2017,3.5.1,有修改]縮略語下列縮略語適用于本文件。DDoS：分布式拒絕服務(wù)（DistributedDenialofService）EUC：受控設(shè)備（EquipmentUnderControl）IACS：工業(yè)自動化控制系統(tǒng)（IndustryAutomationControlSystem）PHA：過程危險分析（ProcessHazardAnalysis）SIL：安全完整性等級（SafetyIntegrityLevel）SL：信息安全等級（SecurityLevel）SSIL：安全一體化完善度（SafetyandSecurityIntegrationLevel）安全一體化的對象注：本文件所定義的4個層次是一種邏輯層次的概念，與GB/T20720.1的層次架構(gòu)對應(yīng)關(guān)系見圖1。各個層所包含的內(nèi)容如下：現(xiàn)場設(shè)備層：包括現(xiàn)場制造設(shè)備、感知執(zhí)行設(shè)備和實際生產(chǎn)過程等；現(xiàn)場控制層：包括操縱生產(chǎn)過程的控制組件、安全相關(guān)組件等；過程監(jiān)控層：包括監(jiān)測生產(chǎn)過程和設(shè)備狀態(tài)的組件；制造執(zhí)行層：包括生產(chǎn)過程調(diào)度（非安全一體化相關(guān)部分）和安全調(diào)度管控等；企業(yè)資源層：一般不涉及安全一體化的內(nèi)容，因此在本文件中不對其提出要求。業(yè)務(wù)計劃和物流管理業(yè)務(wù)計劃和物流管理企業(yè)資源層業(yè)務(wù)計劃和物流管理第4層第3層 （非安全一體化相關(guān)部分如生產(chǎn)過程調(diào)度）制造運行管理（安全一體化相關(guān)部分，如安全調(diào)度管控）2層安過程監(jiān)控層1層批控制全一現(xiàn)場控制層體0層現(xiàn)場設(shè)備層化制造執(zhí)行層基于GB/T20720.1的層次架構(gòu) 本文件所定義的實現(xiàn)安全一體化的的層次架構(gòu)圖1 安全一體化對象示意圖安全一體化生命周期安全一體化生命周期模型見圖理理（見本文件第7章）概念和目標(biāo)確定（8章）安全一體化風(fēng)險評估（9章）是否需要增加否風(fēng)險降低措施是更（安全一體化分配和設(shè)計（10章）安全一體化確認(rèn)（11）13章）安全一體化運行維護（12）退役和停用（14）注1：根據(jù)不同應(yīng)用，生命周期有可能增加新的相應(yīng)階段。注2：生命周期可能并非始終順序執(zhí)行，由于修改或變更可能存在一些反復(fù)或迭代，返回到生命周期的早期階段。注3：安全一體化管理貫穿生命周期的各個階段。圖2 安全一體化生命周期模型安全一體化管理一般要求智能工廠應(yīng)建立安全一體化管理體系，并貫穿于整個安全一體化生命周期過程中。GB/T20438.1、GB/T33007、GB/T222397.2-7.5注：傳統(tǒng)的功能安全和信息安全已有大量的標(biāo)準(zhǔn)和法規(guī)要求，例如在信息安全管理方面的GB/T22080等，本文件無法窮盡，這些要求也需要在特定的項目中適當(dāng)使用，功能安全和信息安全的區(qū)別與聯(lián)系參見附錄A。安全方針和策略應(yīng)優(yōu)先考慮最小化人員傷害，并綜合考慮財產(chǎn)損失、環(huán)境破壞、生產(chǎn)連續(xù)性影響和社會聲譽影響等，作為安全一體化實現(xiàn)的基本方針。功能安全防護措施本身應(yīng)得到適當(dāng)?shù)男畔踩雷o。應(yīng)綜合考慮功能安全、信息安全和安全協(xié)調(diào)等問題制定安全策略。當(dāng)功能安全防護要求和信息安全防護要求之間存在沖突時，應(yīng)采取可替換的防護設(shè)計手段或補償措施。信息安全的設(shè)計不應(yīng)對裝置功能安全目標(biāo)的實現(xiàn)有從風(fēng)險角度不可接受的負(fù)面影響，應(yīng)評估以下負(fù)面影響的程度，對于導(dǎo)致不可接受風(fēng)險的影響應(yīng)采取協(xié)同設(shè)計：——阻止功能安全的有效實現(xiàn)，例如由于傳輸?shù)南拗茖?dǎo)致安全控制信號被阻塞；——產(chǎn)生誤動，導(dǎo)致生產(chǎn)過程連續(xù)性遭受影響；——響應(yīng)時間變慢；——可靠性降低；——運行維護復(fù)雜化；——其他負(fù)面影響。.4組織要求應(yīng)建立功能安全和信息安全相關(guān)人員之間的溝通交互機制。注：協(xié)調(diào)起來。應(yīng)對從事安全一體化活動的相關(guān)人員規(guī)定清晰的任務(wù)，進行明確的職責(zé)分配和考核監(jiān)督。人員應(yīng)根據(jù)具體的應(yīng)用考慮執(zhí)行安全一體化人員能力的適宜性，在智能工廠設(shè)計、實現(xiàn)和運行過程\hGB/T41260-20225.420438.1-20176宜建立具備功能安全、信息安全復(fù)合能力的人員培訓(xùn)機制。變更管理應(yīng)制定統(tǒng)一變更管理規(guī)程，其中包含功能安全和信息安全的變更要求。EUCEUC（包括組態(tài)情況、執(zhí)行狀態(tài)等），應(yīng)考慮重新執(zhí)行安全一體化風(fēng)險評估，以確定變更后的風(fēng)險仍然可以接受。應(yīng)制定規(guī)程以評估當(dāng)功能安全相關(guān)系統(tǒng)和信息安全防護設(shè)施發(fā)生變更時（包括組態(tài)情況、執(zhí)行狀態(tài)等），對于安全一體化造成負(fù)面影響的可能性。當(dāng)功能安全相關(guān)系統(tǒng)發(fā)生變更時，應(yīng)重新確認(rèn)其信息安全防護設(shè)施仍然有效。信息安全的變更應(yīng)考慮到對于生產(chǎn)和功能安全相關(guān)系統(tǒng)的影響，當(dāng)這種影響產(chǎn)生的風(fēng)險不可容忍而不能立即執(zhí)行時，其脆弱性應(yīng)得到及時的跟蹤和管理，并在后續(xù)合適的時機補充執(zhí)行變更。注：必要時可開展一次專門的風(fēng)險評估，以識別出不會對安全一體化完善度造成影響的補償措施，這些補償措施的執(zhí)行需要得到專門的分析和批準(zhǔn)。當(dāng)信息安全防護措施發(fā)生變更時（例如更新補丁），應(yīng)開展相應(yīng)的測試以確認(rèn)這些變更不會降低安全一體化完善度。應(yīng)建立完整的變更記錄和審計措施，以確保出現(xiàn)新的變更時可以進行溯源恢復(fù)。安全集中管理宜建立覆蓋主要安全目標(biāo)的安全集中管理平臺，以實現(xiàn)生產(chǎn)現(xiàn)場全過程安全事件的動態(tài)感知和快速響應(yīng)。安全集中管理平臺的任何功能及其組合不應(yīng)影響安全功能的正常執(zhí)行。注：考慮到平臺自動響應(yīng)（如自動關(guān)閉邊界）的風(fēng)險，不宜利用平臺對安全事件進行自動響應(yīng)和自主處置。通常這種處理方式應(yīng)由功能安全控制回路實現(xiàn)。安全集中管理平臺應(yīng)作為信息安全關(guān)鍵區(qū)域進行要求，安全集中管理平臺的信息安全防護至少應(yīng)達到與之直接關(guān)聯(lián)的安全區(qū)域同等級的信息安全防護能力。概念和目標(biāo)確定概念確定應(yīng)辨識出可能造成危險的所有相關(guān)系統(tǒng)、網(wǎng)絡(luò)及其邊界范圍，包括：EUCEUC在概念確定時，應(yīng)識別并列出如下所有信息：——應(yīng)用在該廠區(qū)/車間裝置及其控制系統(tǒng)的種類、用途；——所有裝置及其控制系統(tǒng)數(shù)據(jù)的物理傳輸介質(zhì)與通道；——所有裝置及其控制系統(tǒng)與公網(wǎng)進行數(shù)據(jù)交換的物理傳輸介質(zhì)與通信協(xié)議；——需要進行隔離的通信網(wǎng)絡(luò)；——不同控制系統(tǒng)間數(shù)據(jù)通信方式；——各種不同虛擬網(wǎng)絡(luò)和物理區(qū)域的范圍邊界，包括典型系統(tǒng)的功能邊界等；——其他相關(guān)信息。安全目標(biāo)的確定和實現(xiàn)41EUC、EUC注1：該條意味著功能安全相關(guān)系統(tǒng)也需要滿足信息安全要求，例如功能安全相關(guān)系統(tǒng)的工程師站和控制器之間可能會被非授權(quán)的訪問或篡改，從而導(dǎo)致安全組態(tài)邏輯遭受破壞，可以采用加密或某種完整性控制措施，以識別組態(tài)數(shù)據(jù)的變化?！瓌t2：應(yīng)確保功能安全措施和信息安全措施之間相互協(xié)調(diào)，避免出現(xiàn)相互的不利影響；當(dāng)沖突難以完全避免時，應(yīng)從整個生產(chǎn)系統(tǒng)的角度權(quán)衡獲得損失風(fēng)險最小的安全策略；注2：這種不利影響可能包括阻止安全功能的有效執(zhí)行、響應(yīng)時間變慢、可靠性降低、運行維護復(fù)雜化等。例如在功能安全相關(guān)的通信過程中增加不適當(dāng)?shù)募用艽胧?，可能會造成安全指令的延遲和不確定；在功能安全相關(guān)的一些具有緊急停止功能的人機界面上增加過多的訪問控制和鑒別措施，可能導(dǎo)致在緊急情況下安全功能無法有效執(zhí)行。注3：在上述注2fi-aestate），此時生產(chǎn)制造過程一般是停止的，然而對于信息安全來說，可用性是實現(xiàn)信息安全目標(biāo)的屬性之一，如果攻擊（如DDoS攻擊造成功能安全防護頻繁的fail-safe——原則3：當(dāng)某項信息安全措施直接參與了功能安全邏輯的執(zhí)行，則該信息安全措施應(yīng)按照功能安全所要求的安全完整性能力實現(xiàn)；注4：SIL3能力的安全PLC（如可信或加密算法）全防護機制也需要按照SIL3的要求研發(fā)設(shè)計。注5：但這并不意味所有信息安全措施都需要符合功能安全要求，例如某具有信息安全機制的交換機處于功能安全通信之中，而該部分屬于功能安全通信的黑色通道，因此該交換機無需滿足SIL的要求?！瓌t4：應(yīng)綜合考慮功能安全和信息安全措施來實現(xiàn)整體的風(fēng)險降低。注6：安全一體化風(fēng)險評估的具體要求見GB/TXXXXX.2。8.2.1為實現(xiàn)安全目標(biāo)，智能工廠的安全一體化應(yīng)至少滿足以下三個指標(biāo)：——應(yīng)滿足相應(yīng)的SIL要求（符合GB/T20438標(biāo)準(zhǔn)）；——應(yīng)滿足相應(yīng)的SL要求（符合GB/T35673等標(biāo)準(zhǔn)）；——對于功能安全和工控信息安全的協(xié)調(diào)應(yīng)滿足安全一體化完善度SSIL的要求。3。安全一體化完善度總體要求安全一體化完善度總體要求安全一體化風(fēng)險評估（XXXXX.2）安全要求提出及分配功能安全相關(guān)信息安全防護系統(tǒng)（SIL）措施（SL）安全協(xié)同措施設(shè)計XXXXX.3）否SSIL1可接受？安全一體化完善度評GB/TXXXXX.3SSIL0是SSIL2SIL/SL/SSIL圖3 安全目標(biāo)的實現(xiàn)過程安全一體化完善度分為三個等級，各個等級的定義如下：——SSIL0——SSIL1——SSIL2SSIL1。安全一體化風(fēng)險評估8應(yīng)通過對生產(chǎn)系統(tǒng)、設(shè)備和人員等可能產(chǎn)生的危險、威脅的全面辨識，分析所有的危險、威脅發(fā)生的可能性和導(dǎo)致的后果，確定風(fēng)險等級。應(yīng)基于安全一體化風(fēng)險評估的結(jié)論提出安全一體化要求。GB/TXXXXX.2。安全一體化要求分配和設(shè)計5：原始安全一體化風(fēng)險評估風(fēng)險安全一體化要求必要的風(fēng)險降低

信息安全防護設(shè)計

EUC和EUC控制系統(tǒng)信息安全防護

其他風(fēng)險降低協(xié)同設(shè)計#1設(shè)計復(fù)審/補償措施可容忍風(fēng)險 實施表示安全一體化分配和設(shè)計相關(guān)的活動；圖4 安全一體化要求分配和設(shè)計流程應(yīng)基于風(fēng)險評估提出以下要求，并分配給相應(yīng)的系統(tǒng)，包括：——功能安全要求（安全功能和安全完整性），將風(fēng)險降低要求分配給功能安全相關(guān)系統(tǒng)（如安全儀表系統(tǒng)）GB/T20438（所有部分）等標(biāo)準(zhǔn)；——功能安全相關(guān)系統(tǒng)的工控信息安全防護要求（區(qū)域及管道界定，工控信息安全等級），將風(fēng)險降低要求分配給功能安全相關(guān)系統(tǒng)上的信息安全防護措施；EUCEUCGB/T30976——其他風(fēng)險降低措施。10.4-10.11。應(yīng)從以下兩個方面考慮協(xié)調(diào)性的風(fēng)險：——在沒有攻擊/入侵和遭受攻擊/入侵時，信息安全措施正常運行對功能安全造成負(fù)面影響的風(fēng)險；——在沒有攻擊/入侵和遭受攻擊/入侵時，信息安全措施喪失（例如發(fā)生硬件失效或系統(tǒng)性失效）對功能安全造成負(fù)面影響的風(fēng)險。注：一些具有主動防護能力的信息安全措施(例如入侵檢測和控制)在檢測到入侵前后可能處于的狀態(tài)、行為模式以及網(wǎng)絡(luò)控制策略均不同，因此需要分別考慮沒有攻擊/入侵和遭受攻擊/入侵時的情況。10.4——不能執(zhí)行安全功能導(dǎo)致生產(chǎn)事故；注1：一種可能的情形是信息安全攻擊導(dǎo)致基本過程控制失效提出要求，同時導(dǎo)致安全功能失效（甚至包括其他的保護層失效），從而發(fā)生事故?！踩δ苷`動作導(dǎo)致生產(chǎn)連續(xù)性受損。注2：由于攻擊者不同于隨機失效或人員失誤，從概率的角度隨機失效和人員失誤的疊加發(fā)生可能性極低，但攻擊者可能會盡最大的可能造成破壞，這將導(dǎo)致可能多個安全功能誤動作以及頻繁的、長期的發(fā)生誤動作，從風(fēng)險的角度這將導(dǎo)致更加嚴(yán)重的后果。的概念和目標(biāo)確定階段，修改系統(tǒng)和網(wǎng)絡(luò)的基本規(guī)劃和設(shè)計，并重新執(zhí)行安全一體化風(fēng)險評估。注：安全協(xié)同的分析過程參考本文件的附錄C。在診斷到入侵攻擊時，應(yīng)至少采取以下措施之一：——實施有效報警；——將生產(chǎn)導(dǎo)入安全狀態(tài)；——采取隔離等措施，以防止進一步攻擊的發(fā)生。GB/TXXXXX.3GB/TXXXXX.4SSIL——不會遭受信息攻擊可能性的其他安全控制措施，如純機電、液動或氣動安全控制；——對邊界防護設(shè)備進行冗余設(shè)計；——附加的物理防護；——附加的管理要求。應(yīng)評估補償措施的獨立性和失效可能性等，以確保其可實現(xiàn)要求的風(fēng)險降低能力。注：可參考本文件附錄B和GB/T35673-2017中補償措施的描述，以及GB/T21109中關(guān)于保護層（PL）和獨立保護層（IPL）的要求。安全一體化確認(rèn)10安全一體化確認(rèn)應(yīng)至少包括以下內(nèi)容：——確認(rèn)風(fēng)險評估所提出的所有安全要求都完成分配并已設(shè)計相應(yīng)的風(fēng)險降低措施；——確認(rèn)對所有功能安全措施都已考慮信息安全威脅的影響，并將這些影響降低到可接受水平；GB/TXXXXX.3——確認(rèn)所有附加的補償措施已具備足夠的風(fēng)險降低能力；——確認(rèn)最終的安全一體化設(shè)計按照第8章的要求已實現(xiàn)所有的安全目標(biāo)。安全一體化運行維護智能工廠應(yīng)統(tǒng)籌考慮安全一體化運行維護管理規(guī)章和運行維護管理活動。注：企業(yè)宜建立統(tǒng)一的安全管理體系，集成企業(yè)現(xiàn)有的安全管理制度，并集中開展安全運維活動。GB/T20438、GB/T41260、GB/T4125712安全一體化運行維護活動宜在本地（就地）實施。注：某些維護活動可能需要臨時建立遠(yuǎn)程訪問路徑，此時需考慮其附加的信息安全風(fēng)險。安全一體化的運行維護活動不應(yīng)影響正常的生產(chǎn)過程和相關(guān)系統(tǒng)的可用性。注：通常在特定的階段（如工序維護時）實施有可能影響生產(chǎn)過程的功能性檢查活動。13應(yīng)開展安全一體化運行管理活動，內(nèi)容包括但不限于：——定期進行安全一體化風(fēng)險評估；——組織相關(guān)部門進行SIL、SL和SSIL的確認(rèn)；——組織安全一體化相關(guān)人員進行技術(shù)培訓(xùn)；——組織制定或更新管理規(guī)定和記錄文件等。注：驗記錄、調(diào)節(jié)閥聯(lián)校記錄、不合格品登記、安全一體化維護記錄等。應(yīng)開展安全一體化維護管理活動，內(nèi)容包括但不限于：——功能安全相關(guān)系統(tǒng)的維護；——信息安全防護措施的維護；——安全集中管理的維護。修改和變更應(yīng)按照安全一體化管理要求（7）產(chǎn)生變更申請，其中應(yīng)包括下列內(nèi)容：——可能受影響的已確定的危險；——建議的更改（硬件和軟件）；——變更的理由。對于信息安全防護措施的變更應(yīng)詳細(xì)分析其是否可能對功能安全相關(guān)系統(tǒng)造成負(fù)面影響。如果由于變更引起人員的職責(zé)和能力要求發(fā)生變化，應(yīng)對人員開展附加的培訓(xùn)。典型的可能會對功能安全相關(guān)系統(tǒng)造成影響的工控信息安全防護措施變更包括但不限于：——對維護/工程接口的訪問限制進行了變更；——對正常運行時，維護接口采取何種接入策略進行了變更；——人員執(zhí)行寫入（工藝參數(shù)修改）權(quán)限的變更；——工程師站殺毒軟件等程序升級變更；——嵌入式軟件/固件的升級；——控制網(wǎng)絡(luò)結(jié)構(gòu)或路由設(shè)備的變更。注：宜按照具體現(xiàn)場情況選擇工控信息安全防護措施變更的實施時機，來確保這種負(fù)面影響的程度在可接受范圍。退役和停用本文件中有關(guān)功能安全、工控信息安全和安全一體化要求，執(zhí)行所有后續(xù)階段。附 錄 A（資料性）功能安全和信息安全的異同功能安全和信息安全異同見表A.1。表A.1功能安全和信息安全異同安全一體化生命周期階段功能安全信息安全風(fēng)險評估評估對象-智能化生產(chǎn)過程/受控設(shè)備(EUC)-待考慮的系統(tǒng)（SUC）失效的原因由于運行和環(huán)境壓力的隨機失效 由于安全生命周期過程錯誤導(dǎo)致的系統(tǒng)性失效威脅：內(nèi)部，外部或內(nèi)外部 脆弱性：組件或系統(tǒng)的設(shè)計疏漏；沒有遵循信息安全實踐和規(guī)程；威脅揭露脆弱性導(dǎo)致失效后果-對環(huán)境的影響，對人員或公眾的健康和人身傷害可用性和完整性的喪失將對功能安全產(chǎn)生直接影響機密性的喪失對功能安全將產(chǎn)生間接影響風(fēng)險分類-基于原因可能性和后果嚴(yán)重性確定，風(fēng)險可以是定量的 基于原因可能性和后果嚴(yán)重性確定，風(fēng)險是定性的 對于每個信息安全要求進行風(fēng)險分類多維度問題為每個區(qū)域和管道分配目標(biāo)SL風(fēng)險減緩措施一般采用獨立的保護層保護措施可以降低可能性和后果 可以確定完整性要求：對SIF目標(biāo)SIL 采用基于區(qū)域和管道的信息安全措施和縱深防御的概念保護措施一般僅降低可能性 對于每一個威脅向量都需要識別應(yīng)對措施的要求以確定該區(qū)域的目標(biāo)SL是否實現(xiàn)保護措施的實現(xiàn)組件的安全手冊對于安全功能的定量SIL驗證組件的信息安全手冊 通過不同的測試方法對SL性驗證運行和維護 有具有資格的人員才能訪問IACS對技術(shù)措施周期性的測試 需要對要求率和組件的失效進行監(jiān)視人員教育和培訓(xùn)只有具有資格的人員才能訪問IACS對技術(shù)措施周期性的測試頻繁的審查以發(fā)現(xiàn)新的脆弱性并采取相應(yīng)的修改人員教育和培訓(xùn)在任何軟件或硬件變更后重新開展信息風(fēng)險評估管理體系審計、變更管理和文檔化要求；安全管理-定義人員能力、培訓(xùn)、驗證、測試、審計、變更管理和文檔化要求附 錄 B（資料性）風(fēng)險降低過程及補償措施示例風(fēng)險降低過程在GB/T20438.5B.1。殘余風(fēng)險殘余風(fēng)險可容忍風(fēng)險2*10-6EUC風(fēng)險10-31*10-6風(fēng)險增加必要的風(fēng)險降低實際的風(fēng)險降低被其他風(fēng)險降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險施覆蓋的風(fēng)險RRF1=100RRF2=10所有安全系統(tǒng)和其他風(fēng)險降低措施所獲得的風(fēng)險降低圖B.1風(fēng)險降低過程示例（功能安全）相關(guān)概念的含義如下：——EUCEUC、EUCGB/T20438.4-20173.1.9）；——可容忍風(fēng)險：根據(jù)當(dāng)今社會水平所能接受的風(fēng)險（見GB/T20438.4-2017中的3.1.7）；E/E/PEEUCEUC見GB/T2048.420173.17。RR=10RRF=1。圖B.1給出的僅是考慮功能安全時風(fēng)險降低過程，如果考慮信息安全，則風(fēng)險降低過程示例見圖B.2。殘余風(fēng)險殘余風(fēng)險可容忍風(fēng)險（無法準(zhǔn)確量化）2*10-6EUC（威脅等情況下）10-2必要的風(fēng)險降低實際的風(fēng)險降低被其他風(fēng)險降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險被信息安全防護措施覆蓋的風(fēng)險RRF1=100（難以RRF2=10 量化）所有安全系統(tǒng)和其他風(fēng)險降低措施所獲得的風(fēng)險降低圖B.2風(fēng)險降低過程的示例（功能安全和信息安全）體化RR=10低能（EUC和EUC控制系統(tǒng)所在一片區(qū)域GB/T險降RR=1B.。殘余風(fēng)險殘余風(fēng)險可容忍風(fēng)險2*10-6EUC（威脅等情況下）1*10-610-2必要的風(fēng)險降低實際的風(fēng)險降低被其他風(fēng)險降被補償措施低措施覆蓋的覆蓋的風(fēng)險RRF2=10RRF1=100，信息安全措施得到協(xié)同設(shè)計RRF3=10所有安全系統(tǒng)和其他風(fēng)險降低措施所獲得的風(fēng)險降低圖B.3風(fēng)險降低過程的示例（安全一體化）補償措施在GB/T35673——（組件級）：使用加鎖的機柜，對沒有充分的網(wǎng)絡(luò)訪問控制措施的控制器進行防護；——（控制系統(tǒng)/區(qū)域級）：物理出入口控制（門衛(wèi)、門閘、槍）用來保護一個控制室，只允許對IACS——（組件級）：設(shè)備供應(yīng)商提供的可編程邏輯控制器（PLC）不具備滿足終端用戶進行訪問控制PLC一些可能需要補償措施的場景示例如下：——如功能安全相關(guān)系統(tǒng)上位機需要人員在緊急狀態(tài)下執(zhí)行關(guān)斷操作，則可能需要多個操作員共享賬戶從而保證任何人都可以在緊急狀態(tài)下能夠成功執(zhí)行該操作，此時需要增加相應(yīng)的補償措施例如：從物理上進行限制訪問，制定響應(yīng)的組織化規(guī)程等?！谀承┣闆r下，會話鎖定可能會導(dǎo)致人員無法在緊急情況下對功能安全相關(guān)系統(tǒng)操作，從而EUCEUC此外，可以通過多種關(guān)聯(lián)設(shè)計方式，實現(xiàn)將危險事件的后果限制在可容忍范圍：——電氣安全設(shè)計：如限壓限流設(shè)計可抑制負(fù)載異常造成的電氣設(shè)施整體損壞。——機械安全設(shè)計：如防護欄設(shè)計可將機械手等運動部件造成的傷害抑制在特定區(qū)域內(nèi)。附 錄 C（資料性）安全協(xié)同的考慮和建議C.1定義了5種可能存在的功能安全和信息安全交互影響狀態(tài)。表C.1功能安全和信息安全交互影響狀態(tài)狀態(tài)解釋如何揭露（證明）如何避免（實現(xiàn)）1、無影響信息安全措施得以有效實施，其對于安全功能的執(zhí)行沒有負(fù)面影響定性風(fēng)險分析；安全確認(rèn)：信息安全攻擊仿真或測試；良好的架構(gòu)設(shè)計，良好的信息安全設(shè)計，良好的功能安全設(shè)計2、沖突沖突的結(jié)果可能是造成安全相關(guān)系統(tǒng)誤動或拒動，而且這種誤動的后果嚴(yán)重程度可能遠(yuǎn)遠(yuǎn)大于要求率增加，因此需盡可能避免定量風(fēng)險分析；安全確認(rèn)：信息安全攻擊仿真或測試；系統(tǒng)級安全一體化協(xié)同設(shè)計3、新的失效誘因或失效模式對于功能安全相關(guān)系統(tǒng)來說，信息安全威脅可能是一種新的潛在失效誘因，將導(dǎo)致系統(tǒng)出現(xiàn)新的失效模式，這些失效模式可能是傳統(tǒng)功能安全設(shè)計所沒有考慮到的失效模式、診斷、脆弱性與影響綜合分析；信息安全脆弱性測試：漏洞掃描等；產(chǎn)品級安全一體化協(xié)同設(shè)計4、要求率增加對于基本過程控制系統(tǒng)的攻擊可能會導(dǎo)致要求率增加定性風(fēng)險分析；安全確認(rèn)：信息安全攻擊仿真或測試；系統(tǒng)級安全一體化協(xié)同設(shè)計5、信息安全缺陷對其他系統(tǒng)的攻擊（例如業(yè)務(wù)系統(tǒng)）可能從工業(yè)控制的角度暫時沒有影響，但之后攻擊者可能會利用類似的漏洞對控制系統(tǒng)進行攻擊定性風(fēng)險分析；安全確認(rèn)：信息安全攻擊仿真或測試；良好的運行維護：漏洞的及時處理，定期升級；影響分析；5種狀態(tài)可能產(chǎn)生的過程如圖C.12.12.1、誤動2.2、拒動信息安全措施對信息安全措施對安全功能無影響1攻擊防護措施生效/攻擊信息安全措施對安全功能造成負(fù)面影響2、沖突攻擊對象是功能安全相關(guān)系統(tǒng)3因或失效模式攻擊防護措施防護無效/無防護措施攻擊對象是基本過程控制系統(tǒng)4攻擊對象是其它系統(tǒng)5短期無影響圖C.1功能安全和信息安全交互影響模型當(dāng)處于相應(yīng)的狀態(tài)時，采取的安全協(xié)同措施如下：1：無影響證明信息安全措施對所有安全功能執(zhí)行無負(fù)面影響，包括：——在危險、威脅和風(fēng)險分析過程中，將所有的信息安全措施作為一種危險源，分析其對于安全功能執(zhí)行的的影響情況；分析范圍應(yīng)涵蓋安全一體化預(yù)警層、控制層和減輕層；——在完成安全一體化設(shè)計之后正式投產(chǎn)之前，通過仿真、測試等方式確定無影響。2：沖突辨識出所有信息安全措施可能對安全功能執(zhí)行產(chǎn)生的沖突，包括導(dǎo)致功能安全相關(guān)系統(tǒng)的誤動和拒動。對于拒動或無法執(zhí)行安全功能的避免主要集中在安全一體化控制層，至少考慮以下典型的信息安全防護要求對于安全功能的影響：——識別和鑒別：直接影響，可以有效阻止對于功能安全相關(guān)系統(tǒng)的非授權(quán)或惡意更改，例如通過上位機對于組態(tài)數(shù)據(jù)的更改；——使用控制：直接影響，可以有效阻止對于功能安全相關(guān)系統(tǒng)的非授權(quán)或惡意更改，例如通過產(chǎn)品自帶的配置界面進行修改；——完整性保障：直接影響，可進一步保障安全完整性；——數(shù)據(jù)機密性：間接影響，數(shù)據(jù)機密性對于安全完整性的間接影響；——限制數(shù)據(jù)流：直接影響，可能對于安全控制數(shù)據(jù)的傳輸造成阻礙或時間延遲；——對事件的時間響應(yīng)機制：間接影響或無影響；——資源可用性：直接影響，可進一步保障安全完整性。（預(yù)警層——能夠?qū)σ舐蔬M行統(tǒng)計和分析；——能夠?qū)υO(shè)備診斷信息進行統(tǒng)計、顯示和提示；PAGEPAGE24——能夠?qū)ΜF(xiàn)場關(guān)鍵參數(shù)進行監(jiān)視和預(yù)警。3：新的失效誘因或失效模式——軟件的質(zhì)量、健壯性和抵御攻擊的能力；——通信過程防錯、糾錯和檢錯的機制；——抵御預(yù)防共因失效的設(shè)計，多樣性、異構(gòu)等；——診斷和報警設(shè)計；——發(fā)生數(shù)據(jù)丟失/破壞等軟錯誤情況下的自恢復(fù)和自調(diào)整能力。4：要求率增加考慮到功能安全要求率異常增加也可能導(dǎo)致嚴(yán)重的后果，主要包括：——當(dāng)安全功能由低要求變?yōu)楦咭髸r，所產(chǎn)生的設(shè)計偏差可能導(dǎo)致不能實現(xiàn)有效的防護；——頻繁的要求可能被攻擊者利用，成為一種特殊的攻擊手段。5：信息安全缺陷PAGEPAGE242PAGE\*ROMANPAGE\*ROMANII目 次前 言 III引 言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 3一般要求 3評估對象 3評估原則 4風(fēng)險評估相關(guān)活動 4確定安全目標(biāo)和風(fēng)險準(zhǔn)則 4確定風(fēng)險評估范圍 5組建評估管理與實施工作組 5評估資料準(zhǔn)備 5選擇評估工具和方法 6制定風(fēng)險評估計劃 6風(fēng)險評估程序 6風(fēng)險評估流程 7節(jié)點劃分 8偏差確定 8危險識別 8威脅和脆弱性辨識 9危險事件分析 11危險事件發(fā)生可能性分級 11后果分析 12后果嚴(yán)重程度分級 12初始風(fēng)險評估 12風(fēng)險降低措施分析 13保護/護能力估 13殘余風(fēng)險評估 13意見建議 13風(fēng)險評估文檔記錄 14附 錄 A（資性）險評估法 15附 錄 B（資性）脅示例 18附 錄 C（資性）險事件生可能性評估示例 20PAGE\*ROMANPAGE\*ROMANII附 錄 D（資性）果嚴(yán)重分級示例 23附 錄 E（資性）險矩陣?yán)?24IVIV引 言傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實GB/T35673各層級內(nèi)和層級間的設(shè)備/系統(tǒng)實現(xiàn)了更為深入的互聯(lián)互通，提高了工業(yè)經(jīng)營者的效率，降低了成本，（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（AI的失控危險等GB/TXXXXX《智能工廠安全一體化》旨在指導(dǎo)智能工廠建立安全一體化生命周期，并針對風(fēng)險評估、協(xié)同設(shè)計和評測驗證提出要求，擬由4個部分構(gòu)成：——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實現(xiàn)安全一體化的基本原則。——第2部分：風(fēng)險評估要求。目的在于提出開展安全一體化風(fēng)險評估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計要求。目的在于針對智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計的要求?！?部分：系統(tǒng)評測要求。目的在于提出開展安全一體化完善度評測的方法和要求。GB/TXXXXX.2PAGEPAGE1智能工廠安全一體化2范圍估文檔記錄的要求。本文件適用于智能工廠生產(chǎn)系統(tǒng)開展安全一體化風(fēng)險評估。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438.1 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求GB/T20438.4 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略GB/T21109（所有部分） 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T35320危險與可操作性分析（HAZOP分析）應(yīng)用指南GB/T41257數(shù)字化車間功能安全要求GB/T41260數(shù)字化車間信息安全要求GB/TXXXX.1智能工廠安全一體化第1部分：一般要求術(shù)語和定義GB/TXXXX.1中界定的術(shù)語以及下列術(shù)語適用于本文件。傷害harm人身損傷、人的健康損害、財產(chǎn)或環(huán)境的損害。[來源：GB/T20438.4—2017，3.1.1]危險hazard傷害的潛在根源。[來源：GB/T20438.4—2017，3.1.2]注：這個術(shù)語包括短時間對人身的傷害（如著火和爆炸），以及那些對人身健康長時間的損害（如有毒物質(zhì)釋放）。危險狀況hazardous situation人、財產(chǎn)或環(huán)境暴露于一個或多個危險源環(huán)境的情況。[來源：GB/T20438.4—2017，3.1.3]PAGEPAGE10危險事件 hazardous event可能導(dǎo)致傷害的事件。害，人是否能避免該事件的后果。[來源：GB/T20438.4—2017，3.1.4]風(fēng)險 risk傷害發(fā)生的概率與該傷害嚴(yán)重程度的組合。[來源：GB/T20438.4—2017，3.1.6]殘余風(fēng)險 residual risk[來源：GB/T20438.4—2017，3.1.8]EUC險 EUCrisk由EUC或由EUC與EUC控制系統(tǒng)相互作用而產(chǎn)生的風(fēng)險。[來源：GB/T20438.4—2017，3.1.9]1E/E/PE低措施來提供必要的風(fēng)險降低（即與功能安全相關(guān)的風(fēng)險）。2：GB/T20438.5A.1EUCEUCE/E/PE注3：這個風(fēng)險評估應(yīng)包括相關(guān)人的因素。功能安全風(fēng)險 functional safety risk與特定的危險事件相伴的風(fēng)險。在這種危險事件中用功能安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施來提供必要的風(fēng)險降低。信息安全風(fēng)險 information security risk[來源：GB/T20984—2022，3.1.1]目標(biāo)風(fēng)險 target risk針對特定的危險，考慮了EUC風(fēng)險，及E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險降低措施后，所要達到的風(fēng)險。[來源：GB/T20438.4—2017，3.1.10]風(fēng)險管理 risk management指導(dǎo)和控制組織相關(guān)風(fēng)險的協(xié)調(diào)活動。[來源：GB/T25069—2022，3.168]安全safety沒有不可接受的風(fēng)險。[來源：GB/T20438.4—2017，3.1.11]安全功能 safety function針對特定的危險事件，為實現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險降低措施實現(xiàn)的功能。[來源：GB/T20438.4—2017，3.5.1]安全完整性safety integrity[來源：GB/T20438.4—2017，3.5.4]安全完整性等級safety integrity level（四個可能等級之一4安全完整性等級1是最低的。[來源：GB/T20438.4—2017，3.5.8]威脅 threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源：GB/T25069—2022，3.628]脆弱性 vulnerability[來源：GB/T30976.1—2014，3.1.1]縮略語下列縮略語適用于本文件。E/E/PE：電氣/電子/可編程電子（Electrical/Electronic/ProgrammableElectronic）EUC：受控設(shè)備（EquipmentUnderControl）SL：信息安全等級（SecurityLevel）SIL：安全完整性等級（SafetyIntegrityLevel）USB：通用串行總線（UniversalSerialBus）一般要求智能工廠安全一體化風(fēng)險評估的對象為：按照GB/TXXXX.1中第5章確定的對象，如圖1所示。圖1 智能廠安全一體化風(fēng)險評估對象示意圖宜基于信息安全風(fēng)險評估結(jié)果辨識出的可能導(dǎo)致生產(chǎn)安全影響的威脅。注1：信息安全風(fēng)險評估實施可參考GB/T36466-2018。注2：傳統(tǒng)生產(chǎn)安全危險源一般包括：人員異常操作、設(shè)備故障、控制失效、外部環(huán)境因素等，若在安全一體化風(fēng)險評估前已開展過功能安全相關(guān)風(fēng)險評估，可將其輸出作為傳統(tǒng)生產(chǎn)安全危險源辨識的輸入。運行維護階段以及修改變更階段開展。風(fēng)險評估相關(guān)活動確定目標(biāo)和準(zhǔn)則定義時，應(yīng)考慮以下因素：——分析結(jié)果的使用目的；——需要進行分析的智能工廠生產(chǎn)系統(tǒng)的生命周期階段；——可能面臨風(fēng)險的人員或資產(chǎn)，例如：員工，公眾，環(huán)境和系統(tǒng)等；——可操作性問題，包括對業(yè)務(wù)連續(xù)性、產(chǎn)品質(zhì)量等的影響；——通用的法律要求，以及與特定應(yīng)用直接相關(guān)的法律要求；——相關(guān)安全監(jiān)管機構(gòu)發(fā)布的指南；——與應(yīng)用有關(guān)各方的爭議與一致意見；——工業(yè)標(biāo)準(zhǔn)和指南；——來自咨詢機構(gòu)的最佳獨立建議。風(fēng)險評估范圍及顆粒度的確定，取決于以下幾個因素：——智能工廠生產(chǎn)系統(tǒng)的物理邊界；——可獲得的設(shè)計說明的詳細(xì)程度；——已經(jīng)完成的危害分析或其他相關(guān)分析活動的范圍；——適用的法規(guī)要求。組參與風(fēng)險評估活動。/或信息安全知識，并具有相應(yīng)的經(jīng)驗?zāi)芰ΑＪ饌€人保密協(xié)議。組長、成員達成共識。和經(jīng)驗的人員足夠的前提下應(yīng)當(dāng)盡可能的少。當(dāng)?shù)呐嘤?xùn)達到此要求。推薦的風(fēng)險評估工作組成員構(gòu)成，包括：——風(fēng)險評估組長；——記錄員；——項目設(shè)計人員；——用戶；——專家；——運行維護人員（代表）。評估資料準(zhǔn)備在正式開始評估之前，應(yīng)保證能夠獲取最完整的可用設(shè)計資料，有紕漏或不完整的資料應(yīng)在分析開考慮以下方面：標(biāo)注：置圖，公用工程規(guī)格，操作和維修要求；——分析對象的邊界和在邊界處的界面；——系統(tǒng)運行的環(huán)境；——操作和維修人員的資質(zhì)，技能和經(jīng)驗；——程序和/或操作規(guī)程；——操作和維修經(jīng)驗和對類似系統(tǒng)的危險認(rèn)知；——業(yè)務(wù)戰(zhàn)略及管理制度；——主要的業(yè)務(wù)功能和要求；——網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；——主要的硬件、軟件；——數(shù)據(jù)和信息；——系統(tǒng)和數(shù)據(jù)的敏感性；——支持和使用系統(tǒng)的人員；——工廠所處環(huán)境的氣象水文材料；——分析會議文件評估記錄文件。含記錄表、適用的記錄項等；事故事件分析報告等；成?！渌嚓P(guān)文件。應(yīng)綜合考慮生命周期階段、分析目標(biāo)、所能獲得的信息等內(nèi)容，選擇風(fēng)險評估工具和方法。在正式開始評估之前，應(yīng)制定并發(fā)布一份風(fēng)險評估計劃，包括以下內(nèi)容：——評估組織：包括評估工作組成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；——工作計劃：風(fēng)險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；——時間進度安排：項目實施的時間進度安排。風(fēng)險評估程序初始風(fēng)險分析初始風(fēng)險分析風(fēng)險評估流程開始節(jié)點劃分偏差確定危險識別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險源等） 識別開始節(jié)點劃分偏差確定危險識別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險源等） 識別信息安全風(fēng)險評估危險事件分析危險事件發(fā)生可能性分級后果分析后果嚴(yán)重程度分級初始風(fēng)險評估功能安全保護措施/信息安全防護措施分析保護/防護能力評估殘余風(fēng)險評估否是否在可接受范圍之內(nèi)是結(jié)束意見建議風(fēng)險識別殘余風(fēng)險分析圖2 智能廠安全體化風(fēng)險評估流程殘余風(fēng)險分析注1：如果在開展安全一體化風(fēng)險評估前，未開展信息安全風(fēng)險評估，則可按照7.5開展信息安全威脅和脆弱性辨識。注2：本文件中功能安全保護措施包括：符合GB/T20438或GB/T21109的電氣/電子/可編程電子安全相關(guān)系統(tǒng)、機械式保護系統(tǒng)、外部風(fēng)險降低措施等。節(jié)點劃分要求為便于分析，可將系統(tǒng)分成若干節(jié)點，各個節(jié)點的設(shè)計意圖應(yīng)能充分定義，應(yīng)滿足以下要求：——結(jié)合智能工廠生產(chǎn)系統(tǒng)的對象特點，劃分節(jié)點?！?jié)點劃分，應(yīng)考慮分析范圍內(nèi)的所有設(shè)施、設(shè)備，遵循既不重復(fù)，又不遺漏的原則?！x節(jié)點的大小，取決于系統(tǒng)的復(fù)雜性和危險的嚴(yán)重程度。節(jié)點劃分不宜過大或過小。復(fù)雜度高或危險性高的系統(tǒng)可劃分成若干較小的節(jié)點，簡單的或低危險性系統(tǒng)可劃分成若干較大的節(jié)點，以加快分析進程?！總€節(jié)點的范圍，應(yīng)包括分析對象中的一個或多個功能系統(tǒng)。節(jié)點描述要求節(jié)點應(yīng)有編號，可采取統(tǒng)一的節(jié)點編號方式。節(jié)點描述一般包括：節(jié)點范圍及工藝流程簡單說明、主要設(shè)備位號、管線和設(shè)備的設(shè)計參數(shù)、安全閾值等。意義的偏差及其含義。針對確定的每一個偏差，確定導(dǎo)致偏差的誘因，進行危險識別、威脅和脆弱性辨識。偏差的確定方法可參見GB/T35320。示例：對于具體工藝參數(shù)“溫度”，與引導(dǎo)詞“過量”相組合，得到偏離“溫度高”，其含義為介質(zhì)溫度高于可接受正常工藝溫度；對于概念性工藝參數(shù)“反應(yīng)”，與引導(dǎo)詞“無”相組合，得到偏離“反應(yīng)無”，其含義為沒有發(fā)生發(fā)應(yīng)；對于操作步序“輸送”，與引導(dǎo)詞“無”相組合，得到偏離“輸送無”，其含義為沒有輸送物料。時以何種方式導(dǎo)致傷害的事故場合。在進行危險識別時，應(yīng)開展：——對智能工廠生產(chǎn)系統(tǒng)生命周期階段的識別，包括：設(shè)計；運行；修改和變更?！獙\行模式的識別，包括但不限于：配置；測試；啟動；停機；緊急停止；暫?；蜴i定后的恢復(fù)運行；非計劃停機后的重新啟動；故障查找/排除?！獙に囇b置/設(shè)備的可能的狀態(tài)的識別，包括：正常運轉(zhuǎn)；功能失效?！獙Ψ穷A(yù)期的人員行為，或合理可預(yù)見的誤操作的識別，包括：過程/異常發(fā)生時的人員條件反射行為；非專業(yè)操作人員/動物的行為（如兒童、殘疾人、小動物）等?！獙侠砜深A(yù)見的情況下，其他危險的識別，包括：過程危險；機械危險；電氣危險；熱危險；噪聲危險；振動危險；輻射危險；物料/人機工效學(xué)危險；與環(huán)境有關(guān)的危險等?！渌惓＿\行情況的識別。威脅辨識有潛在威脅。示例：智能工廠生產(chǎn)系統(tǒng)的威脅主體大致可分為：內(nèi)部人員、腳本小子、黑客、網(wǎng)絡(luò)犯罪分子和民族國家行為者。工廠生產(chǎn)系統(tǒng)的威脅分類，可參考相關(guān)標(biāo)準(zhǔn)或附錄B。（例——內(nèi)部無意的威脅（例如，不知不覺地插入了一個受感染的USB）；——內(nèi)部故意的威脅（例如，心懷不滿的員工）；——外部一般/非熟練人員威脅（例如，腳本小子）；——外部有目標(biāo)的/有技能的威脅（例如，網(wǎng)絡(luò)罪犯、技能展示）；——外部攻擊行為威脅（例如，高級持續(xù)威脅，民族國家）。——社會工程威脅（如，網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚）；——通信威脅（例如，拒絕服務(wù)，以及中間信息）；——供應(yīng)鏈威脅（例如，服務(wù)提供者的破壞）；——物理訪問威脅（例如，登錄到無防護的工作站）；——軟件威脅（例如，利用一個已知的軟件漏洞）；——硬件威脅（例如，將USB連接到不安全的端口）?！{來源；——威脅來源的技能水平、動機、資源等；——可能的威脅場景、途徑和載體；——潛在受影響的資產(chǎn)。智能工廠可能面臨的潛在威脅示例，見附錄B。脆弱性辨識/產(chǎn)品的脆弱性進行分析?！I(yè)自動化系統(tǒng)的常見脆弱性。包括：無線通信、自動化系統(tǒng)集成導(dǎo)致的脆弱性等?！悄芄S生產(chǎn)系統(tǒng)的特定脆弱性。包括：大量移動設(shè)備接入、聯(lián)網(wǎng)應(yīng)用程序、遺留系統(tǒng)等導(dǎo)致的脆弱性等。注：典型脆弱性如下：——人員/組織的安全意識有限(例如不受控制地使用USB驅(qū)動器)；——資產(chǎn)管理缺陷(如現(xiàn)有資產(chǎn)和這些資產(chǎn)的版本狀態(tài)不清楚、不完整或過時)；——通過更新或補丁向產(chǎn)品/解決方案添加新漏洞或回歸到舊漏洞(例如，補丁解決了一個問題，但打開了兩個新問題)；——產(chǎn)品/解決方案的缺陷(例如缺少適當(dāng)?shù)陌踩绦蚝筒呗?；——性能方面的固有設(shè)計限制(例如，簡單的拒絕服務(wù)情況會導(dǎo)致安全問題）；——故意濫用內(nèi)置功能/特性(例如，通過遠(yuǎn)程訪問維護通道注入惡意軟件)；——實際用途與預(yù)期用途不同(例如，在操作期間增加了遠(yuǎn)程訪問)；——威脅環(huán)境的變化使得現(xiàn)有的解決方案更加脆弱（例如加密方法的破壞）；——軟件錯誤（bug）：可能是通過有意或無意的方式引入錯誤，可以通過系統(tǒng)軟件程序或設(shè)備固件的方式引入；——硬件故障：硬件失效導(dǎo)致的潛在系統(tǒng)脆弱性；——信息安全措施效果降低：信息安全措施的有效性可能會隨著時間的推移而降低，也可能隨著新的信息安全技術(shù)或計算機技術(shù)出現(xiàn)而過時；——身份證書的重復(fù)使用：在多個位置不同的地點使用相同的證書；——由于錯誤配置導(dǎo)致的系統(tǒng)性錯誤（例如沒有修改默認(rèn)密碼）；——一般的外界病毒，可能不是為本系統(tǒng)所專門開發(fā)的，但是影響到了本系統(tǒng)的運行；——信息安全后門，可能在系統(tǒng)設(shè)計初期植入的后門。危險事件分析應(yīng)分析并明確已確定的危險/一個危險/表1危險、危險事件、危險情況和傷害示例偏差危險/威脅和脆弱性危險事件危險狀況傷害溫度高燃料氣進料閥門故障進料閥異常開大，燃料氣進料過多，加熱爐溫度過高加熱爐爐膛坍塌財產(chǎn)損失、人員傷亡數(shù)據(jù)篡改：非授權(quán)人員訪問工程師站，更改控制參數(shù)進料閥異常開大，燃料氣進料過多，加熱爐溫度過高加熱爐爐膛坍塌財產(chǎn)損失、人員傷亡注：危險導(dǎo)致危險事件的分析，可參見GB/T41257、GB/T35320。威脅導(dǎo)致危險事件的分析，可參見GB/T41260。危險事件發(fā)生可能性可結(jié)合具體的威脅場景，基于以下方法進行評估：——基于攻擊者的動機、能力；——基于攻擊者的動機、資源、知識；——基于攻擊者的動機、能力、資源；——基于攻擊者的攻擊潛力AP；——基于資產(chǎn)暴露度與脆弱性程度。C。（/威脅（/威脅——對于在一定條件下成立的“原因（危險/威脅）——危險事件”對，應(yīng)做條件修正。危險事件發(fā)生可能性等級劃分C。（（（（例如：數(shù)據(jù)泄露等）等后果。注：智能工廠危險事件的后果，宜考慮以下方面：——業(yè)務(wù)，如業(yè)務(wù)中斷、關(guān)鍵功能無法操作等；——人員，如人員傷亡；——環(huán)境，如物料泄漏、釋放；——經(jīng)濟，如工藝設(shè)備、生產(chǎn)設(shè)施損失/損壞，政府/當(dāng)局罰款，知識產(chǎn)權(quán)損失，利潤流失等；——聲譽，如負(fù)面媒體報道，失去利益相關(guān)者的信心，喪失經(jīng)營許可證的行為等；——數(shù)據(jù)泄露等。等級。規(guī)范要求，并具有合理可信的來源。后果，需要做條件修正。初始風(fēng)險評估7.117.13中要求的內(nèi)容。（7.117.13中要求的內(nèi)容。風(fēng)險降低措施分析條件因素跟后果之間的關(guān)系。計算保護/防護能力時，需要根據(jù)獨立性情況做修正。保護/防護能力評估辨識每一個獨立的功能安全保護措施/低因子可通過公開文獻或工業(yè)數(shù)據(jù)獲得。在確定應(yīng)通過措施減少多少可能性時，可以考慮基于經(jīng)驗法則。示例：典型的經(jīng)驗法則如：對于不容易受到網(wǎng)絡(luò)攻擊的保護措施（例如，減壓裝置或其他機械裝置），可以將事件發(fā)生的可能性降低2個級別；增加防火墻，可以將事件發(fā)生的可能性降低1個級別。（SIL或PFD）和信息安全防護措施的防護能力（SL）。殘余風(fēng)險評估-/危險事件發(fā)生可能性，或者后果嚴(yán)重程度，并評估危險事件的殘余風(fēng)險。建議。意見建議:——增加功能安全保護措施/信息安全防護措施（例如：安全儀表系統(tǒng)、安全閥、防火堤、訪問控制措施、使用控制措施、系統(tǒng)完整性措施、系統(tǒng)保密性措施、風(fēng)險監(jiān)控措施等）；——更改為更有效/更可靠的功能安全保護措施/信息安全防護措施；——通過管理的手段來彌補不足（例如：增加人員培訓(xùn)；供應(yīng)商管理；變更管理；定期開展風(fēng)險評估，基于風(fēng)險復(fù)盤，更新風(fēng)險應(yīng)急預(yù)案等）；——更改工序、工藝、裝置、設(shè)備、網(wǎng)絡(luò)、控制等的原始設(shè)計，以推動實現(xiàn)本質(zhì)安全。提出的意見建議應(yīng)被記錄，并指定責(zé)任人，追蹤執(zhí)行。措施進行信息安全風(fēng)險評估確認(rèn)其有效性。示例：某外部威脅導(dǎo)致某段管線壓力控制失效，經(jīng)過安全一體化風(fēng)險評估后，認(rèn)為該風(fēng)險不在可容忍范圍內(nèi)，建議增加一項安全聯(lián)鎖功能。如果經(jīng)分析認(rèn)為新增的安全聯(lián)鎖功能同樣會受到該威脅攻擊，則需考慮此種共因失效對其風(fēng)險降低能力有效性的影響，同時還需開展補充的信息安全風(fēng)險評估。風(fēng)險評估文檔記錄信息安全防護措施是否可以防止事件發(fā)生或降低風(fēng)險。A。附 錄 A（資料性）風(fēng)險評估方法，可分為定性和定量兩大類。定性的風(fēng)險評估方法示例：PHA/HAZOP、檢查表、FMEA。定量的風(fēng)險評估方法示例：蝴蝶結(jié)、LOPA、定量風(fēng)險分析QRA、半定量SL驗證。其中：HAZOP是評估工業(yè)現(xiàn)場過程危害的常用技術(shù)，該技術(shù)是基于使用預(yù)先配置的引導(dǎo)詞來確定過程中斷的可能原因和最終后果。對于信息安全HAZOP，引導(dǎo)詞可被用于識別信息安全被破壞的潛在原因。表A.1為基于HAZOP的安全一體化風(fēng)險示例，表A.2為所采用的風(fēng)險矩陣和可容忍風(fēng)險示例。表A.1HAZOP參數(shù)偏差可能原因（危險/威脅導(dǎo)致危險事件的描述）發(fā)生可能性后果后果嚴(yán)重性初始風(fēng)險保護措施殘余風(fēng)險意見建議溫度加氫反應(yīng)器溫度高控制回路故障，閥門開大，燃料氣進料流量過多，反應(yīng)器進料加熱爐爐膛溫度高，加氫反應(yīng)器溫度高6（10-1反應(yīng)器超壓，發(fā)生泄漏，可燃?xì)怏w與空氣混合，發(fā)生爆炸。P4；F4；R4.61、加氫反應(yīng)器設(shè)置有安全閥；2、加氫反應(yīng)器床層溫度高聯(lián)鎖（SIS）；3、反應(yīng)器進料加熱爐設(shè)置有爐膛溫度高報警。2——第三方人員（含運維人員）利用權(quán)限訪問工程師站，惡意修改配置參數(shù)，瓦斯氣進料組分變重，反應(yīng)器進料加熱爐的爐膛溫度高，加氫反應(yīng)器溫度高6（10-1反應(yīng)器超壓，發(fā)生泄漏，可燃?xì)怏w與空氣混合，發(fā)生爆炸。P4；F4；R4.61、對第三方人員實施身份認(rèn)機制；2、加氫反應(yīng)器設(shè)置有安全閥；3、加氫反應(yīng)器床層溫度高聯(lián)鎖（SIS）；4、反應(yīng)器進料加熱爐設(shè)置有爐膛溫度高報警。1——參數(shù)偏差可能原因（危險/威脅導(dǎo)致危險事件的描述）發(fā)生可能性后果后果嚴(yán)重性初始風(fēng)險保護措施殘余風(fēng)險意見建議液位原料油緩沖罐液位過高控制回路故障，閥門開大，原料油進料量過大6（10-1滿罐，溢流進入火炬系統(tǒng)，經(jīng)濟損失P1；F1；R1.31、原料油緩沖罐進料設(shè)置閉進料。2——攻擊者通過供應(yīng)鏈攻擊在進料泵產(chǎn)品中植入了惡意程序，篡改控制邏輯，導(dǎo)致進料泵故障，進料量過大6（10-1滿罐，溢流進入火炬系統(tǒng)，經(jīng)濟損失P1；F1；R1.31、制定第三方供應(yīng)商管理息安全入網(wǎng)相關(guān)測試。2、原料油緩沖罐進料設(shè)置閉進料。1——表A.2所采用的風(fēng)險矩陣和可容忍風(fēng)險示例可能性12345678嚴(yán)重性74級（高風(fēng)險）5級（險）6級（險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）63級（中風(fēng)險）4級（高風(fēng)險）5級（險）6級（險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）52級（低風(fēng)險）3級（中風(fēng)險）4級（高風(fēng)險）5級（險）6級（險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）41級（可忽略風(fēng)險）2級（低風(fēng)險）3級（中風(fēng)險）4級（高風(fēng)險）5級（險）6級（險）7級（極嚴(yán)重風(fēng)險）7級（極嚴(yán)重風(fēng)險）31級（可忽略風(fēng)險）1級（可忽略風(fēng)險）2級（低風(fēng)險）3級（中風(fēng)險）4級（高風(fēng)險）5級（險）6級（險）7級（極嚴(yán)重風(fēng)險）21級（可忽略風(fēng)險）1級（可忽略風(fēng)險）1級（可忽略風(fēng)險）2級（低風(fēng)險）3級（中風(fēng)險）4級（高風(fēng)險）5級（險）6級（險）11級（可忽略風(fēng)險）1級（可忽略風(fēng)險）1級（可忽略風(fēng)險）1級（可忽略風(fēng)險）2級（低風(fēng)險）3級（中風(fēng)險）4級（高風(fēng)險）5級（險）注：該風(fēng)險矩陣中1級、2級風(fēng)險為可容忍風(fēng)險。附 錄 B（資料性）威脅示例一種基于表現(xiàn)形式的威脅分類，見下表。表B.1種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷系統(tǒng)本身或軟件缺陷造等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫用通過采用一些措施,超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán),做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探賬戶、口令、權(quán)限等)、用戶身份偽造和欺騙用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等智能工廠生產(chǎn)系統(tǒng)可能面臨的威脅類別示例，見下表。表B.2威脅類別威脅描述物理威脅破壞；未經(jīng)授權(quán)的物理訪問/未經(jīng)授權(quán)的進入辦公場所非故意損害錯誤地使用或管理設(shè)備和系統(tǒng)；意外更改系統(tǒng)中的數(shù)據(jù)或銷毀記錄威脅類別威脅描述失效/故障a.b.設(shè)備或系統(tǒng)故障；通信鏈路中斷或故障中斷網(wǎng)絡(luò)中斷竊聽a.b.網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)流量操縱和信息收集中間人/會話劫持非正?；顒觓.拒絕服務(wù)；b.惡意代碼/軟件/活動；c.身份欺詐；d.操縱硬件和軟件；e.操縱信息附 錄 C（資料性）危險事件發(fā)生可能性評估示例基于攻擊潛力AP，估計危險事件發(fā)生可能性APAP業(yè)知識、目標(biāo)信息、目標(biāo)訪問、設(shè)備等因素決定。具體見下表。表C.1攻擊潛力相關(guān)的因素分類因素類別描述范圍值所需時間攻擊者識別系統(tǒng)中可能存在的特定的潛在漏洞、開發(fā)攻擊方法和維持對目標(biāo)執(zhí)行攻擊所需的總時間。小時0天1周3月7專業(yè)知識對基本原則、產(chǎn)品類型或攻擊方法的通用知識水平。外行0熟練人員3專家6多領(lǐng)域?qū)＜?目標(biāo)知識執(zhí)行攻擊所需的目標(biāo)相關(guān)知識水平。公共信息0受限的信息3敏感信息7關(guān)鍵信息11目標(biāo)訪問執(zhí)行攻擊所需的對目標(biāo)系統(tǒng)的訪問等級無限制0容易地1中等地4困難地10設(shè)備標(biāo)準(zhǔn)設(shè)備0專業(yè)設(shè)備4定制設(shè)備7多重定制設(shè)備9通過估計各個類別因素的數(shù)值，來計算攻擊潛力AP，具體如下式所示。AP=AP所需時間+AP專業(yè)知識+AP目標(biāo)信息+AP目標(biāo)訪問+AP設(shè)備攻擊潛力AP的等級劃分、以及導(dǎo)致的危險事件發(fā)生可能性劃分，見下表。表C.2攻擊潛力等級劃分及危險事件發(fā)生可能性等級劃分APAP等級危險事件發(fā)生可能性0-9基礎(chǔ)的確定10-13基礎(chǔ)增強的可能14-19中等的也許APAP等級危險事件發(fā)生可能性20-24高不太可能的>24超高罕見的基于攻擊者的經(jīng)驗、所需設(shè)備、機會窗口、時間，估計危險事件發(fā)生可能性示例，見下表。表C.2危險事件發(fā)生可能性級等級劃分示例發(fā)生可能性經(jīng)驗所需設(shè)備機會窗口所需時間低需要多名專家定制設(shè)備短長中等專家專用設(shè)備適中的適中的高精通的專用商業(yè)現(xiàn)貨COTS長短很高外行標(biāo)準(zhǔn)設(shè)備無限的很短基于資產(chǎn)暴露度與脆弱性，估計危險事件發(fā)生可能性基于資產(chǎn)暴露度與脆弱性，估計危險事件發(fā)生可能性示例，見下表。表C.3危險事件發(fā)生可能性級等級劃分示例發(fā)生可能性資產(chǎn)暴露度脆弱性1對攻擊者的邏輯或物理訪問的高度限制，例如：高度限制的網(wǎng)絡(luò)和物理訪問；只能很費力地獲取。a.b.c.d.成功的攻擊只可能針對一小群具有高黑客能力（需要高能力）的攻擊者；脆弱性只能經(jīng)過高強度的努力才能被利用，如果能夠解決攻擊者被追蹤和起訴的機會很大。2對攻擊者的邏輯或物理訪問限制，例如：需要內(nèi)部網(wǎng)絡(luò)訪問權(quán)限；受限的物理訪問；或組件a.b.c.d.對于具有平均黑客攻擊技能（需要中等能力）的攻擊者來說，成功的攻擊是可行的；領(lǐng)域或工具知識；采取了一些安全措施來應(yīng)對威脅；攻擊者被追蹤和起訴的機會中等3對攻擊者簡單的邏輯或物理訪問。例如：互聯(lián)網(wǎng)接入足夠；公共物理訪問；或維護活動的一部分；攻擊者可以輕松地獲取產(chǎn)品或組件。a.b.c.d.（要很少的能力）；由于不需要工具，或者自由存在合適的攻擊工具，因此可以輕松地利用脆弱性，沒有或只有薄弱的安全措施來應(yīng)對由威脅引起的攻擊，攻擊者被追蹤和起訴的機會很低。基于每年發(fā)生次數(shù)，估計的危險事件發(fā)生可能性等級劃分示例，見下表。表C.4危險事件發(fā)生可能性等級劃分示例等級發(fā)生可能性描述1<10-6/年類似的事件沒有在行業(yè)發(fā)生過，且發(fā)生的可能性極低210-5-10-6/年類似的事件沒有在行業(yè)發(fā)生過310-4-10-5/年類似的事件在行業(yè)發(fā)生過410-3-10-4/年類似的事件在國內(nèi)同行業(yè)曾經(jīng)發(fā)生過510-2-10-3/年類似的事件發(fā)生過或者可能在多個相似的設(shè)備設(shè)施使用壽命中發(fā)生610-1-10-2/年在設(shè)備設(shè)施的使用壽命內(nèi)可能發(fā)生1次或2次71-10-1/年在設(shè)備設(shè)施的使用壽命內(nèi)可能發(fā)生多次8>=1/年在設(shè)備設(shè)施的使用壽命內(nèi)經(jīng)常發(fā)生（至少每年發(fā)生）附 錄 D（資料性）后果嚴(yán)重性分級示例智能工廠危險事件后果示例，見下表。表D.1（一）嚴(yán)重性分類人員傷亡（P）財產(chǎn)損失（F）環(huán)境污染（E）7極度嚴(yán)重的＞30人死亡或永久全失能傷害＞20億發(fā)生國際污染事件6嚴(yán)重的10～30人死亡或永久全失能傷害2億～20億發(fā)生國家級污染事件5擴大的3～10人死亡或永久全失能傷害6000萬～2億發(fā)生區(qū)域性污染事件4重大的1人死亡；或≧3人永久部份失能傷害或暫時全失能傷害600萬～6000萬未污染小區(qū)，污染局限在廠內(nèi)3高度的永久部份失能傷害≧1或暫時全失能傷害＜3；或損失工時傷害≧360萬～600萬工藝單元外泄2中度的1≦損失工時傷害＜36萬～60萬工藝區(qū)(工段)外泄1可忽略的急救傷害≧16千～6萬單一設(shè)備外泄表D.2（二）人身傷害經(jīng)濟損失環(huán)境釋放生產(chǎn)中斷公眾形象高失去生命上百萬元級別永久性破壞顯著減少，影響季度生產(chǎn)永久性破壞中需要住院治療幾十萬元級別持續(xù)性破壞臨時性減產(chǎn)，需要額外輪班或加班以滿足季度生產(chǎn)持續(xù)性破壞低傷口，瘀傷需要急救萬元級別臨時性破壞臨時性減產(chǎn)，不影響季度產(chǎn)量臨時性破壞附 錄 E（資料性）風(fēng)險矩陣用于計算風(fēng)險等級，并確定它是否可容忍。一個5X5的風(fēng)險矩陣示例，見下表。表E.15X5（示例）嚴(yán)重程度等級12345可能性非常高Ⅰ級風(fēng)險Ⅱ級風(fēng)險Ⅲ級風(fēng)險Ⅲ級風(fēng)險Ⅲ級風(fēng)險高Ⅰ級風(fēng)險Ⅱ級風(fēng)險Ⅱ級風(fēng)險Ⅲ級風(fēng)險Ⅲ級風(fēng)險中等Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅱ級風(fēng)險Ⅱ級風(fēng)險Ⅲ級風(fēng)險低Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅱ級風(fēng)險Ⅱ級風(fēng)險非常低Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅰ級風(fēng)險Ⅰ級風(fēng)險一個4X4的風(fēng)險矩陣示例，見下表。表E.24X4（示例）嚴(yán)重程度等級1234可能性4高風(fēng)險高風(fēng)險非常高風(fēng)險非常高風(fēng)險3中風(fēng)險高風(fēng)險高風(fēng)險非常高風(fēng)險2中風(fēng)險中風(fēng)險高風(fēng)險高風(fēng)險1低風(fēng)險中風(fēng)險中風(fēng)險高風(fēng)險一個5X4的風(fēng)險矩陣示例，見下表。表E.35X4（示例）嚴(yán)重程度等級不重要的中等地嚴(yán)重的災(zāi)難的可能性確定不可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險可能可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險也許可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險不太可能可容忍的風(fēng)險可容忍的風(fēng)險不可容忍的風(fēng)險不可容忍的風(fēng)險罕見的可容忍的風(fēng)險可容忍的風(fēng)險可容忍的風(fēng)險不可容忍的風(fēng)險參 考 文 獻GB/T20438.1-2017電氣電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求[2]GB/T20438.4-2017電氣電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分定義和縮略[3]GB/T20720.1-2019企業(yè)控制系統(tǒng)集成第1部分：模型和術(shù)語GB/T20984-2022GB/T21109.1-2022過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1件和應(yīng)用編程要求GB/T25069-2022GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全 第1分：評估規(guī)范GB/T35673-2017工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 系統(tǒng)安全要求和安全等[9]GB/T36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險評估施指南GB/T38129-2019IECTR63069Industrial-processmeasurement,controlandautomation-FrameworkforfunctionalsafetyandsecurityANSI/ISA-95.00.01-2010Enterprise-ControlSystemIntegration-Part1:ModelsandTerminology智能工廠安全一體化3PAGE\*ROMANPAGE\*ROMANII目 次前言 III引言 IV范圍 5規(guī)范性引用文件 5術(shù)語和定義 5縮略語 5安全一體化協(xié)同設(shè)計的架構(gòu) 6系統(tǒng)協(xié)同設(shè)計原則 7目標(biāo) 7原則 7系統(tǒng)協(xié)同設(shè)計要求 8通則 8制造執(zhí)行層協(xié)同設(shè)計要求 8過程監(jiān)控層協(xié)同設(shè)計要求 12現(xiàn)場控制層協(xié)同設(shè)計要求 17現(xiàn)場設(shè)備層協(xié)同設(shè)計要求 21附錄A（資料性） 安全一體化系統(tǒng)安全防護加強要求 23概述 23制造執(zhí)行層安全防護加強要求 23過程監(jiān)控層安全防護加強要求 23現(xiàn)場控制層安全防護加強要求 24現(xiàn)場設(shè)備層安全防護加強要求 25附錄B（資料性） 現(xiàn)場總線型網(wǎng)絡(luò)下現(xiàn)場設(shè)備的安全防護要求 26概述 26區(qū)域劃分基本要求 26身份鑒別與認(rèn)證 26訪問與使用控制 26資源控制 26數(shù)據(jù)安全 27入侵防御 27安全審計 27附錄C（資料性） 對安全一體化系統(tǒng)中的協(xié)調(diào)性的分析方法示例 29參考文獻 31圖1 安全一體化協(xié)同設(shè)計的框架 6PAGE\*ROMANPAGE\*ROMANII表C.1 用于分析安全一體化系統(tǒng)中信息安全措施對功能安全的影響的FMEA示例 30GB/TXXXX.3—XXXXGB/TXXXX.3—XXXXIVIV引 言傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實現(xiàn)GB/T35673施（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險等GB/TXXXXX《智能工廠安全一體化》旨