2024智能工廠安全一體化平臺(tái)

智能工廠安全一體化——第1部分：一般要求——第2部分：風(fēng)險(xiǎn)評(píng)估要求——第3部分：系統(tǒng)協(xié)同設(shè)計(jì)要求——第4部分：系統(tǒng)評(píng)測要求1目次目次PAGE\*ROMANPAGE\*ROMANI前言 III引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 4安全一體化的對(duì)象 4安全一體化生命周期 5安全一體化管理 6一般要求 6安全方針和策略 7組織要求 7人員 7變更管理 7安全集中管理 8概念和目標(biāo)確定 8概念確定 8安全目標(biāo)的確定和實(shí)現(xiàn) 8安全一體化風(fēng)險(xiǎn)評(píng)估 10安全一體化要求分配和設(shè)計(jì) 11安全一體化確認(rèn) 12安全一體化運(yùn)行維護(hù) 13修改和變更 14退役和停用 14附錄A（資料性） 功能安全和信息安全的異同 15附錄B（資料性） 風(fēng)險(xiǎn)降低過程及補(bǔ)償措施示例 17風(fēng)險(xiǎn)降低過程 17補(bǔ)償措施 19附錄C（資料性） 安全協(xié)同的考慮和建議 21參考文獻(xiàn) 24圖B.1 風(fēng)險(xiǎn)降低過程示例（功能安全） 17圖B.2 風(fēng)險(xiǎn)降低過程的示例（功能安全和信息安全） 18PAGE\*ROMANPAGE\*ROMANII圖B.3 風(fēng)險(xiǎn)降低過程的示例（安全一體化） 19圖C.1 功能安全和信息安全交互影響模型 22表A.1 功能安全和信息安全異同 15表C.1 功能安全和信息安全交互影響狀態(tài) 21引言引言IVIV傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實(shí)現(xiàn)GB/T35673施（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險(xiǎn)等GB/T——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實(shí)現(xiàn)安全一體化的基本原則?！?部分：風(fēng)險(xiǎn)評(píng)估要求。目的在于提出開展安全一體化風(fēng)險(xiǎn)評(píng)估的流程和要求。——第3部分：系統(tǒng)協(xié)同設(shè)計(jì)要求。目的在于針對(duì)智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計(jì)的要求?！?部分：系統(tǒng)評(píng)測要求。目的在于提出開展安全一體化完善度評(píng)測的方法和要求。GB/TXXXXX.1PAGEPAGE111 范圍本文件適用于智能工廠安全一體化的風(fēng)險(xiǎn)評(píng)估、設(shè)計(jì)和實(shí)施。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438（所有部分）電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全GB/T21109.1過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1部分：框架、定義、系統(tǒng)、硬件和軟件的要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T30976.1工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范GB/T33007工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序GB/T35673工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)\hGB/T41257數(shù)字化車間功能安全要求\hGB/T41260數(shù)字化車間信息安全要求GB/TXXXXX.2智能工廠安全一體化第2部分：風(fēng)險(xiǎn)評(píng)估要求GB/TXXXXX.3智能工廠安全一體化第3部分：系統(tǒng)協(xié)同設(shè)計(jì)要求GB/TXXXXX.4智能工廠安全一體化第4部分：系統(tǒng)評(píng)測要求術(shù)語和定義下列術(shù)語和定義適用于本文件。智能工廠 SmartFactory安全一體化 safety and securityintegrationPAGEPAGE2安全完整性等級(jí) safety integrity level（四個(gè)可能等級(jí)之一4是最高的，安全完整性等級(jí)1是最低的。注1：四個(gè)安全完整性等級(jí)對(duì)應(yīng)的目標(biāo)失效量（見3.5.17）在GB/T20438.1的表2和表3中規(guī)定。注2：安全完整性等級(jí)用于規(guī)定分配給E/E/PE安全相關(guān)系統(tǒng)安全功能的安全完整性要求。注3：安全完整性等級(jí)(SILSILn234）的正確解釋是系統(tǒng)具有支持安全功能的安全完整性等級(jí)達(dá)到n的潛在能力。[來源：GB/T20438.4—2017,3.5.8]安全一體化完善度 safety and security integration level表征智能工廠功能安全和信息安全沖突消減能力程度的一種離散等級(jí)。注：按照離散的區(qū)間分為3個(gè)級(jí)別，安全一體化完善度越高，智能工廠的整體安全協(xié)調(diào)能力越強(qiáng)，安全沖突發(fā)生的可能性越小。安全一體化生命周期 safety and security integration lifecycle功能安全相關(guān)系統(tǒng) Functional Safety related System所指的系統(tǒng)應(yīng)滿足以下兩項(xiàng)要求：——執(zhí)行要求的安全功能足以實(shí)現(xiàn)或保持EUC的安全狀態(tài)；并且——自身或與其他安全相關(guān)系統(tǒng)、其他風(fēng)險(xiǎn)降低措施一起, 能夠?qū)崿F(xiàn)要求的安全功能所需的安完整性。注1：由于security和safety的中文都是安全，因此安全相關(guān)系統(tǒng)（safetyrelatedsystem）的概念可能會(huì)產(chǎn)生混淆，因此本文件將原有的定義改為功能安全相關(guān)系統(tǒng)。注2：功能安全相關(guān)系統(tǒng)可：用于防止危險(xiǎn)事件發(fā)生（即安全相關(guān)系統(tǒng)一旦執(zhí)行其安全功能則避免傷害事件發(fā)生）。用于減輕傷害事件的影響，即通過減輕后果的辦法來降低風(fēng)險(xiǎn)。ab)的功能組合。注3：人也可作為功能安全相關(guān)系統(tǒng)的一部分。例如，人可以接收來自可編程電子裝置的信息，并根據(jù)接收信息執(zhí)行安全動(dòng)作，或通過可編程電子裝置執(zhí)行安全動(dòng)作。注4：功能安全相關(guān)系統(tǒng)包括執(zhí)行規(guī)定安全功能所需的全部硬件、軟件以及支持服務(wù)（如電源）[因此，傳感器，其他輸入裝置，最終元件（執(zhí)行器）和其他輸出裝置都包括在安全相關(guān)系統(tǒng)中]。注5：功能安全相關(guān)系統(tǒng)可基于廣泛的技術(shù)基礎(chǔ)，包括電氣、電子、可編程電子、液壓和氣動(dòng)等。[來源：GB/T20438.4—2017,3.4.1,有修改]功能安全functionalsafety整體安全中與EUC和EUCE/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正確執(zhí)行其功能。[來源：GB/T20438.4—2017,3.1.12]安全狀態(tài)safestate達(dá)到安全時(shí)EUC的狀態(tài)。從潛在的危險(xiǎn)條件到最終的安全狀態(tài)，EUC可能必須經(jīng)過幾個(gè)中間的安全狀態(tài)。有時(shí)，僅當(dāng)EUC處于連續(xù)控制下才存在一個(gè)安全狀態(tài)。這樣的連續(xù)控制可能是短時(shí)間的或是不確定的一段時(shí)間。[來源：GB/T20438.4—2017,3.1.13]隨機(jī)硬件失效randomhardwarefailure在硬件中，由一種或幾種可能的退化機(jī)理而產(chǎn)生的，在隨機(jī)時(shí)間出現(xiàn)的失效。1：在各種元件中，存在以不同速率發(fā)生的許多退化機(jī)理，在這些元件工作不同的時(shí)間之后，這些機(jī)理可使制造公差引起元件發(fā)生故障，從而使包含許多元件的設(shè)備將以可預(yù)見的速率，但在不可預(yù)見的時(shí)間(即隨機(jī)時(shí)間)發(fā)生失效。2：（（或其他合適的度量可以用合理的精度來量化，但系統(tǒng)性失效無法精確預(yù)計(jì)，因此系統(tǒng)性失效引起的系統(tǒng)失效率則不能精確地用統(tǒng)計(jì)法量化。也就是說，由隨機(jī)硬件失效引起的系統(tǒng)失效率可以用合理的精度來量化，但是由系統(tǒng)性失效引起的系統(tǒng)失效率不能精確地用統(tǒng)計(jì)法量化，因?yàn)閷?dǎo)致系統(tǒng)性失效的這些事件無法簡單預(yù)測。[來源：GB/T20438.4—2017,3.6.5]系統(tǒng)性失效systematicfailure注1：僅修正性維護(hù)而不加修改，通常無法消除失效原因。注2：通過模擬失效原因可以引出系統(tǒng)失效。注3：系統(tǒng)性失效的原因可包括以下情況中的人為錯(cuò)誤：安全要求規(guī)范：c)軟件的設(shè)計(jì)和實(shí)現(xiàn)等。注4：在本文件中，安全相關(guān)系統(tǒng)的失效被分為隨機(jī)硬件失效（見3.4.5）和系統(tǒng)性失效。[來源：GB/T20438.4—2017,3.6.6]危險(xiǎn)失效dangerousfailure對(duì)執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：在要求時(shí)阻止安全功能的執(zhí)行（要求模式），或?qū)е掳踩δ苁ВㄟB續(xù)模式）EUC降低在要求時(shí)安全功能正確執(zhí)行的概率。[來源：GB/T20438.4—2017,3.6.7]安全失效safefailure對(duì)于執(zhí)行安全功能有影響的組件和/或子系統(tǒng)和/或系統(tǒng)的失效，其：EUC（或其一部分）進(jìn)入或保持安全狀態(tài)；或EUC（或其一部分）進(jìn)入或保持安全狀態(tài)的概率。PAGEPAGE10[來源：GB/T20438.4—2017,3.6.8]診斷diagnostic通過自動(dòng)在線自測試檢測失效的一種安全機(jī)制。信息安全區(qū)域securityzone共享通用信息安全需求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注1：本文中所用的“區(qū)域”應(yīng)當(dāng)都是指信息安全區(qū)域。注2：一個(gè)區(qū)域應(yīng)當(dāng)和其他區(qū)域有明顯的邊界。一個(gè)信息安全區(qū)域的信息安全策略在其內(nèi)部和邊緣都要強(qiáng)制執(zhí)行。一個(gè)信息安全區(qū)域可以包括多個(gè)不同等級(jí)的子區(qū)域。[來源：GB/T40211—2021,3.2.117]信息安全等級(jí)securitylevel[來源：GB/T40211—2021,3.2.108]安全功能safetyfunction針對(duì)特定的危險(xiǎn)事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由功能安全相關(guān)系統(tǒng)實(shí)現(xiàn)的功能。示例：安全功能的例子包括：在要求時(shí)執(zhí)行的功能，作為一種主動(dòng)行動(dòng)以避免危險(xiǎn)狀況（如關(guān)閉電機(jī)）；和采取預(yù)防行為的功能（如防止馬達(dá)啟動(dòng)）。[來源：GB/T20438.4—2017,3.5.1,有修改]縮略語下列縮略語適用于本文件。DDoS：分布式拒絕服務(wù)（DistributedDenialofService）EUC：受控設(shè)備（EquipmentUnderControl）IACS：工業(yè)自動(dòng)化控制系統(tǒng)（IndustryAutomationControlSystem）PHA：過程危險(xiǎn)分析（ProcessHazardAnalysis）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）SL：信息安全等級(jí)（SecurityLevel）SSIL：安全一體化完善度（SafetyandSecurityIntegrationLevel）安全一體化的對(duì)象注：本文件所定義的4個(gè)層次是一種邏輯層次的概念，與GB/T20720.1的層次架構(gòu)對(duì)應(yīng)關(guān)系見圖1。各個(gè)層所包含的內(nèi)容如下：現(xiàn)場設(shè)備層：包括現(xiàn)場制造設(shè)備、感知執(zhí)行設(shè)備和實(shí)際生產(chǎn)過程等；現(xiàn)場控制層：包括操縱生產(chǎn)過程的控制組件、安全相關(guān)組件等；過程監(jiān)控層：包括監(jiān)測生產(chǎn)過程和設(shè)備狀態(tài)的組件；制造執(zhí)行層：包括生產(chǎn)過程調(diào)度（非安全一體化相關(guān)部分）和安全調(diào)度管控等；企業(yè)資源層：一般不涉及安全一體化的內(nèi)容，因此在本文件中不對(duì)其提出要求。業(yè)務(wù)計(jì)劃和物流管理業(yè)務(wù)計(jì)劃和物流管理企業(yè)資源層業(yè)務(wù)計(jì)劃和物流管理第4層第3層 （非安全一體化相關(guān)部分如生產(chǎn)過程調(diào)度）制造運(yùn)行管理（安全一體化相關(guān)部分，如安全調(diào)度管控）2層安過程監(jiān)控層1層批控制全一現(xiàn)場控制層體0層現(xiàn)場設(shè)備層化制造執(zhí)行層基于GB/T20720.1的層次架構(gòu) 本文件所定義的實(shí)現(xiàn)安全一體化的的層次架構(gòu)圖1 安全一體化對(duì)象示意圖安全一體化生命周期安全一體化生命周期模型見圖理理（見本文件第7章）概念和目標(biāo)確定（8章）安全一體化風(fēng)險(xiǎn)評(píng)估（9章）是否需要增加否風(fēng)險(xiǎn)降低措施是更（安全一體化分配和設(shè)計(jì)（10章）安全一體化確認(rèn)（11）13章）安全一體化運(yùn)行維護(hù)（12）退役和停用（14）注1：根據(jù)不同應(yīng)用，生命周期有可能增加新的相應(yīng)階段。注2：生命周期可能并非始終順序執(zhí)行，由于修改或變更可能存在一些反復(fù)或迭代，返回到生命周期的早期階段。注3：安全一體化管理貫穿生命周期的各個(gè)階段。圖2 安全一體化生命周期模型安全一體化管理一般要求智能工廠應(yīng)建立安全一體化管理體系，并貫穿于整個(gè)安全一體化生命周期過程中。GB/T20438.1、GB/T33007、GB/T222397.2-7.5注：傳統(tǒng)的功能安全和信息安全已有大量的標(biāo)準(zhǔn)和法規(guī)要求，例如在信息安全管理方面的GB/T22080等，本文件無法窮盡，這些要求也需要在特定的項(xiàng)目中適當(dāng)使用，功能安全和信息安全的區(qū)別與聯(lián)系參見附錄A。安全方針和策略應(yīng)優(yōu)先考慮最小化人員傷害，并綜合考慮財(cái)產(chǎn)損失、環(huán)境破壞、生產(chǎn)連續(xù)性影響和社會(huì)聲譽(yù)影響等，作為安全一體化實(shí)現(xiàn)的基本方針。功能安全防護(hù)措施本身應(yīng)得到適當(dāng)?shù)男畔踩雷o(hù)。應(yīng)綜合考慮功能安全、信息安全和安全協(xié)調(diào)等問題制定安全策略。當(dāng)功能安全防護(hù)要求和信息安全防護(hù)要求之間存在沖突時(shí)，應(yīng)采取可替換的防護(hù)設(shè)計(jì)手段或補(bǔ)償措施。信息安全的設(shè)計(jì)不應(yīng)對(duì)裝置功能安全目標(biāo)的實(shí)現(xiàn)有從風(fēng)險(xiǎn)角度不可接受的負(fù)面影響，應(yīng)評(píng)估以下負(fù)面影響的程度，對(duì)于導(dǎo)致不可接受風(fēng)險(xiǎn)的影響應(yīng)采取協(xié)同設(shè)計(jì)：——阻止功能安全的有效實(shí)現(xiàn)，例如由于傳輸?shù)南拗茖?dǎo)致安全控制信號(hào)被阻塞；——產(chǎn)生誤動(dòng)，導(dǎo)致生產(chǎn)過程連續(xù)性遭受影響；——響應(yīng)時(shí)間變慢；——可靠性降低；——運(yùn)行維護(hù)復(fù)雜化；——其他負(fù)面影響。.4組織要求應(yīng)建立功能安全和信息安全相關(guān)人員之間的溝通交互機(jī)制。注：協(xié)調(diào)起來。應(yīng)對(duì)從事安全一體化活動(dòng)的相關(guān)人員規(guī)定清晰的任務(wù)，進(jìn)行明確的職責(zé)分配和考核監(jiān)督。人員應(yīng)根據(jù)具體的應(yīng)用考慮執(zhí)行安全一體化人員能力的適宜性，在智能工廠設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行過程\hGB/T41260-20225.420438.1-20176宜建立具備功能安全、信息安全復(fù)合能力的人員培訓(xùn)機(jī)制。變更管理應(yīng)制定統(tǒng)一變更管理規(guī)程，其中包含功能安全和信息安全的變更要求。EUCEUC（包括組態(tài)情況、執(zhí)行狀態(tài)等），應(yīng)考慮重新執(zhí)行安全一體化風(fēng)險(xiǎn)評(píng)估，以確定變更后的風(fēng)險(xiǎn)仍然可以接受。應(yīng)制定規(guī)程以評(píng)估當(dāng)功能安全相關(guān)系統(tǒng)和信息安全防護(hù)設(shè)施發(fā)生變更時(shí)（包括組態(tài)情況、執(zhí)行狀態(tài)等），對(duì)于安全一體化造成負(fù)面影響的可能性。當(dāng)功能安全相關(guān)系統(tǒng)發(fā)生變更時(shí)，應(yīng)重新確認(rèn)其信息安全防護(hù)設(shè)施仍然有效。信息安全的變更應(yīng)考慮到對(duì)于生產(chǎn)和功能安全相關(guān)系統(tǒng)的影響，當(dāng)這種影響產(chǎn)生的風(fēng)險(xiǎn)不可容忍而不能立即執(zhí)行時(shí)，其脆弱性應(yīng)得到及時(shí)的跟蹤和管理，并在后續(xù)合適的時(shí)機(jī)補(bǔ)充執(zhí)行變更。注：必要時(shí)可開展一次專門的風(fēng)險(xiǎn)評(píng)估，以識(shí)別出不會(huì)對(duì)安全一體化完善度造成影響的補(bǔ)償措施，這些補(bǔ)償措施的執(zhí)行需要得到專門的分析和批準(zhǔn)。當(dāng)信息安全防護(hù)措施發(fā)生變更時(shí)（例如更新補(bǔ)丁），應(yīng)開展相應(yīng)的測試以確認(rèn)這些變更不會(huì)降低安全一體化完善度。應(yīng)建立完整的變更記錄和審計(jì)措施，以確保出現(xiàn)新的變更時(shí)可以進(jìn)行溯源恢復(fù)。安全集中管理宜建立覆蓋主要安全目標(biāo)的安全集中管理平臺(tái)，以實(shí)現(xiàn)生產(chǎn)現(xiàn)場全過程安全事件的動(dòng)態(tài)感知和快速響應(yīng)。安全集中管理平臺(tái)的任何功能及其組合不應(yīng)影響安全功能的正常執(zhí)行。注：考慮到平臺(tái)自動(dòng)響應(yīng)（如自動(dòng)關(guān)閉邊界）的風(fēng)險(xiǎn)，不宜利用平臺(tái)對(duì)安全事件進(jìn)行自動(dòng)響應(yīng)和自主處置。通常這種處理方式應(yīng)由功能安全控制回路實(shí)現(xiàn)。安全集中管理平臺(tái)應(yīng)作為信息安全關(guān)鍵區(qū)域進(jìn)行要求，安全集中管理平臺(tái)的信息安全防護(hù)至少應(yīng)達(dá)到與之直接關(guān)聯(lián)的安全區(qū)域同等級(jí)的信息安全防護(hù)能力。概念和目標(biāo)確定概念確定應(yīng)辨識(shí)出可能造成危險(xiǎn)的所有相關(guān)系統(tǒng)、網(wǎng)絡(luò)及其邊界范圍，包括：EUCEUC在概念確定時(shí)，應(yīng)識(shí)別并列出如下所有信息：——應(yīng)用在該廠區(qū)/車間裝置及其控制系統(tǒng)的種類、用途；——所有裝置及其控制系統(tǒng)數(shù)據(jù)的物理傳輸介質(zhì)與通道；——所有裝置及其控制系統(tǒng)與公網(wǎng)進(jìn)行數(shù)據(jù)交換的物理傳輸介質(zhì)與通信協(xié)議；——需要進(jìn)行隔離的通信網(wǎng)絡(luò)；——不同控制系統(tǒng)間數(shù)據(jù)通信方式；——各種不同虛擬網(wǎng)絡(luò)和物理區(qū)域的范圍邊界，包括典型系統(tǒng)的功能邊界等；——其他相關(guān)信息。安全目標(biāo)的確定和實(shí)現(xiàn)41EUC、EUC注1：該條意味著功能安全相關(guān)系統(tǒng)也需要滿足信息安全要求，例如功能安全相關(guān)系統(tǒng)的工程師站和控制器之間可能會(huì)被非授權(quán)的訪問或篡改，從而導(dǎo)致安全組態(tài)邏輯遭受破壞，可以采用加密或某種完整性控制措施，以識(shí)別組態(tài)數(shù)據(jù)的變化?！瓌t2：應(yīng)確保功能安全措施和信息安全措施之間相互協(xié)調(diào)，避免出現(xiàn)相互的不利影響；當(dāng)沖突難以完全避免時(shí)，應(yīng)從整個(gè)生產(chǎn)系統(tǒng)的角度權(quán)衡獲得損失風(fēng)險(xiǎn)最小的安全策略；注2：這種不利影響可能包括阻止安全功能的有效執(zhí)行、響應(yīng)時(shí)間變慢、可靠性降低、運(yùn)行維護(hù)復(fù)雜化等。例如在功能安全相關(guān)的通信過程中增加不適當(dāng)?shù)募用艽胧?，可能?huì)造成安全指令的延遲和不確定；在功能安全相關(guān)的一些具有緊急停止功能的人機(jī)界面上增加過多的訪問控制和鑒別措施，可能導(dǎo)致在緊急情況下安全功能無法有效執(zhí)行。注3：在上述注2fi-aestate），此時(shí)生產(chǎn)制造過程一般是停止的，然而對(duì)于信息安全來說，可用性是實(shí)現(xiàn)信息安全目標(biāo)的屬性之一，如果攻擊（如DDoS攻擊造成功能安全防護(hù)頻繁的fail-safe——原則3：當(dāng)某項(xiàng)信息安全措施直接參與了功能安全邏輯的執(zhí)行，則該信息安全措施應(yīng)按照功能安全所要求的安全完整性能力實(shí)現(xiàn)；注4：SIL3能力的安全PLC（如可信或加密算法）全防護(hù)機(jī)制也需要按照SIL3的要求研發(fā)設(shè)計(jì)。注5：但這并不意味所有信息安全措施都需要符合功能安全要求，例如某具有信息安全機(jī)制的交換機(jī)處于功能安全通信之中，而該部分屬于功能安全通信的黑色通道，因此該交換機(jī)無需滿足SIL的要求?！瓌t4：應(yīng)綜合考慮功能安全和信息安全措施來實(shí)現(xiàn)整體的風(fēng)險(xiǎn)降低。注6：安全一體化風(fēng)險(xiǎn)評(píng)估的具體要求見GB/TXXXXX.2。8.2.1為實(shí)現(xiàn)安全目標(biāo)，智能工廠的安全一體化應(yīng)至少滿足以下三個(gè)指標(biāo)：——應(yīng)滿足相應(yīng)的SIL要求（符合GB/T20438標(biāo)準(zhǔn)）；——應(yīng)滿足相應(yīng)的SL要求（符合GB/T35673等標(biāo)準(zhǔn)）；——對(duì)于功能安全和工控信息安全的協(xié)調(diào)應(yīng)滿足安全一體化完善度SSIL的要求。3。安全一體化完善度總體要求安全一體化完善度總體要求安全一體化風(fēng)險(xiǎn)評(píng)估（XXXXX.2）安全要求提出及分配功能安全相關(guān)信息安全防護(hù)系統(tǒng)（SIL）措施（SL）安全協(xié)同措施設(shè)計(jì)XXXXX.3）否SSIL1可接受？安全一體化完善度評(píng)GB/TXXXXX.3SSIL0是SSIL2SIL/SL/SSIL圖3 安全目標(biāo)的實(shí)現(xiàn)過程安全一體化完善度分為三個(gè)等級(jí)，各個(gè)等級(jí)的定義如下：——SSIL0——SSIL1——SSIL2SSIL1。安全一體化風(fēng)險(xiǎn)評(píng)估8應(yīng)通過對(duì)生產(chǎn)系統(tǒng)、設(shè)備和人員等可能產(chǎn)生的危險(xiǎn)、威脅的全面辨識(shí)，分析所有的危險(xiǎn)、威脅發(fā)生的可能性和導(dǎo)致的后果，確定風(fēng)險(xiǎn)等級(jí)。應(yīng)基于安全一體化風(fēng)險(xiǎn)評(píng)估的結(jié)論提出安全一體化要求。GB/TXXXXX.2。安全一體化要求分配和設(shè)計(jì)5：原始安全一體化風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)安全一體化要求必要的風(fēng)險(xiǎn)降低

信息安全防護(hù)設(shè)計(jì)

EUC和EUC控制系統(tǒng)信息安全防護(hù)

其他風(fēng)險(xiǎn)降低協(xié)同設(shè)計(jì)#1設(shè)計(jì)復(fù)審/補(bǔ)償措施可容忍風(fēng)險(xiǎn) 實(shí)施表示安全一體化分配和設(shè)計(jì)相關(guān)的活動(dòng)；圖4 安全一體化要求分配和設(shè)計(jì)流程應(yīng)基于風(fēng)險(xiǎn)評(píng)估提出以下要求，并分配給相應(yīng)的系統(tǒng)，包括：——功能安全要求（安全功能和安全完整性），將風(fēng)險(xiǎn)降低要求分配給功能安全相關(guān)系統(tǒng)（如安全儀表系統(tǒng)）GB/T20438（所有部分）等標(biāo)準(zhǔn)；——功能安全相關(guān)系統(tǒng)的工控信息安全防護(hù)要求（區(qū)域及管道界定，工控信息安全等級(jí)），將風(fēng)險(xiǎn)降低要求分配給功能安全相關(guān)系統(tǒng)上的信息安全防護(hù)措施；EUCEUCGB/T30976——其他風(fēng)險(xiǎn)降低措施。10.4-10.11。應(yīng)從以下兩個(gè)方面考慮協(xié)調(diào)性的風(fēng)險(xiǎn)：——在沒有攻擊/入侵和遭受攻擊/入侵時(shí)，信息安全措施正常運(yùn)行對(duì)功能安全造成負(fù)面影響的風(fēng)險(xiǎn)；——在沒有攻擊/入侵和遭受攻擊/入侵時(shí)，信息安全措施喪失（例如發(fā)生硬件失效或系統(tǒng)性失效）對(duì)功能安全造成負(fù)面影響的風(fēng)險(xiǎn)。注：一些具有主動(dòng)防護(hù)能力的信息安全措施(例如入侵檢測和控制)在檢測到入侵前后可能處于的狀態(tài)、行為模式以及網(wǎng)絡(luò)控制策略均不同，因此需要分別考慮沒有攻擊/入侵和遭受攻擊/入侵時(shí)的情況。10.4——不能執(zhí)行安全功能導(dǎo)致生產(chǎn)事故；注1：一種可能的情形是信息安全攻擊導(dǎo)致基本過程控制失效提出要求，同時(shí)導(dǎo)致安全功能失效（甚至包括其他的保護(hù)層失效），從而發(fā)生事故。——安全功能誤動(dòng)作導(dǎo)致生產(chǎn)連續(xù)性受損。注2：由于攻擊者不同于隨機(jī)失效或人員失誤，從概率的角度隨機(jī)失效和人員失誤的疊加發(fā)生可能性極低，但攻擊者可能會(huì)盡最大的可能造成破壞，這將導(dǎo)致可能多個(gè)安全功能誤動(dòng)作以及頻繁的、長期的發(fā)生誤動(dòng)作，從風(fēng)險(xiǎn)的角度這將導(dǎo)致更加嚴(yán)重的后果。的概念和目標(biāo)確定階段，修改系統(tǒng)和網(wǎng)絡(luò)的基本規(guī)劃和設(shè)計(jì)，并重新執(zhí)行安全一體化風(fēng)險(xiǎn)評(píng)估。注：安全協(xié)同的分析過程參考本文件的附錄C。在診斷到入侵攻擊時(shí)，應(yīng)至少采取以下措施之一：——實(shí)施有效報(bào)警；——將生產(chǎn)導(dǎo)入安全狀態(tài)；——采取隔離等措施，以防止進(jìn)一步攻擊的發(fā)生。GB/TXXXXX.3GB/TXXXXX.4SSIL——不會(huì)遭受信息攻擊可能性的其他安全控制措施，如純機(jī)電、液動(dòng)或氣動(dòng)安全控制；——對(duì)邊界防護(hù)設(shè)備進(jìn)行冗余設(shè)計(jì)；——附加的物理防護(hù)；——附加的管理要求。應(yīng)評(píng)估補(bǔ)償措施的獨(dú)立性和失效可能性等，以確保其可實(shí)現(xiàn)要求的風(fēng)險(xiǎn)降低能力。注：可參考本文件附錄B和GB/T35673-2017中補(bǔ)償措施的描述，以及GB/T21109中關(guān)于保護(hù)層（PL）和獨(dú)立保護(hù)層（IPL）的要求。安全一體化確認(rèn)10安全一體化確認(rèn)應(yīng)至少包括以下內(nèi)容：——確認(rèn)風(fēng)險(xiǎn)評(píng)估所提出的所有安全要求都完成分配并已設(shè)計(jì)相應(yīng)的風(fēng)險(xiǎn)降低措施；——確認(rèn)對(duì)所有功能安全措施都已考慮信息安全威脅的影響，并將這些影響降低到可接受水平；GB/TXXXXX.3——確認(rèn)所有附加的補(bǔ)償措施已具備足夠的風(fēng)險(xiǎn)降低能力；——確認(rèn)最終的安全一體化設(shè)計(jì)按照第8章的要求已實(shí)現(xiàn)所有的安全目標(biāo)。安全一體化運(yùn)行維護(hù)智能工廠應(yīng)統(tǒng)籌考慮安全一體化運(yùn)行維護(hù)管理規(guī)章和運(yùn)行維護(hù)管理活動(dòng)。注：企業(yè)宜建立統(tǒng)一的安全管理體系，集成企業(yè)現(xiàn)有的安全管理制度，并集中開展安全運(yùn)維活動(dòng)。GB/T20438、GB/T41260、GB/T4125712安全一體化運(yùn)行維護(hù)活動(dòng)宜在本地（就地）實(shí)施。注：某些維護(hù)活動(dòng)可能需要臨時(shí)建立遠(yuǎn)程訪問路徑，此時(shí)需考慮其附加的信息安全風(fēng)險(xiǎn)。安全一體化的運(yùn)行維護(hù)活動(dòng)不應(yīng)影響正常的生產(chǎn)過程和相關(guān)系統(tǒng)的可用性。注：通常在特定的階段（如工序維護(hù)時(shí)）實(shí)施有可能影響生產(chǎn)過程的功能性檢查活動(dòng)。13應(yīng)開展安全一體化運(yùn)行管理活動(dòng)，內(nèi)容包括但不限于：——定期進(jìn)行安全一體化風(fēng)險(xiǎn)評(píng)估；——組織相關(guān)部門進(jìn)行SIL、SL和SSIL的確認(rèn)；——組織安全一體化相關(guān)人員進(jìn)行技術(shù)培訓(xùn)；——組織制定或更新管理規(guī)定和記錄文件等。注：驗(yàn)記錄、調(diào)節(jié)閥聯(lián)校記錄、不合格品登記、安全一體化維護(hù)記錄等。應(yīng)開展安全一體化維護(hù)管理活動(dòng)，內(nèi)容包括但不限于：——功能安全相關(guān)系統(tǒng)的維護(hù)；——信息安全防護(hù)措施的維護(hù)；——安全集中管理的維護(hù)。修改和變更應(yīng)按照安全一體化管理要求（7）產(chǎn)生變更申請(qǐng)，其中應(yīng)包括下列內(nèi)容：——可能受影響的已確定的危險(xiǎn)；——建議的更改（硬件和軟件）；——變更的理由。對(duì)于信息安全防護(hù)措施的變更應(yīng)詳細(xì)分析其是否可能對(duì)功能安全相關(guān)系統(tǒng)造成負(fù)面影響。如果由于變更引起人員的職責(zé)和能力要求發(fā)生變化，應(yīng)對(duì)人員開展附加的培訓(xùn)。典型的可能會(huì)對(duì)功能安全相關(guān)系統(tǒng)造成影響的工控信息安全防護(hù)措施變更包括但不限于：——對(duì)維護(hù)/工程接口的訪問限制進(jìn)行了變更；——對(duì)正常運(yùn)行時(shí)，維護(hù)接口采取何種接入策略進(jìn)行了變更；——人員執(zhí)行寫入（工藝參數(shù)修改）權(quán)限的變更；——工程師站殺毒軟件等程序升級(jí)變更；——嵌入式軟件/固件的升級(jí)；——控制網(wǎng)絡(luò)結(jié)構(gòu)或路由設(shè)備的變更。注：宜按照具體現(xiàn)場情況選擇工控信息安全防護(hù)措施變更的實(shí)施時(shí)機(jī)，來確保這種負(fù)面影響的程度在可接受范圍。退役和停用本文件中有關(guān)功能安全、工控信息安全和安全一體化要求，執(zhí)行所有后續(xù)階段。附 錄 A（資料性）功能安全和信息安全的異同功能安全和信息安全異同見表A.1。表A.1功能安全和信息安全異同安全一體化生命周期階段功能安全信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估對(duì)象-智能化生產(chǎn)過程/受控設(shè)備(EUC)-待考慮的系統(tǒng)（SUC）失效的原因由于運(yùn)行和環(huán)境壓力的隨機(jī)失效 由于安全生命周期過程錯(cuò)誤導(dǎo)致的系統(tǒng)性失效威脅：內(nèi)部，外部或內(nèi)外部 脆弱性：組件或系統(tǒng)的設(shè)計(jì)疏漏；沒有遵循信息安全實(shí)踐和規(guī)程；威脅揭露脆弱性導(dǎo)致失效后果-對(duì)環(huán)境的影響，對(duì)人員或公眾的健康和人身傷害可用性和完整性的喪失將對(duì)功能安全產(chǎn)生直接影響機(jī)密性的喪失對(duì)功能安全將產(chǎn)生間接影響風(fēng)險(xiǎn)分類-基于原因可能性和后果嚴(yán)重性確定，風(fēng)險(xiǎn)可以是定量的 基于原因可能性和后果嚴(yán)重性確定，風(fēng)險(xiǎn)是定性的 對(duì)于每個(gè)信息安全要求進(jìn)行風(fēng)險(xiǎn)分類多維度問題為每個(gè)區(qū)域和管道分配目標(biāo)SL風(fēng)險(xiǎn)減緩措施一般采用獨(dú)立的保護(hù)層保護(hù)措施可以降低可能性和后果 可以確定完整性要求：對(duì)SIF目標(biāo)SIL 采用基于區(qū)域和管道的信息安全措施和縱深防御的概念保護(hù)措施一般僅降低可能性 對(duì)于每一個(gè)威脅向量都需要識(shí)別應(yīng)對(duì)措施的要求以確定該區(qū)域的目標(biāo)SL是否實(shí)現(xiàn)保護(hù)措施的實(shí)現(xiàn)組件的安全手冊(cè)對(duì)于安全功能的定量SIL驗(yàn)證組件的信息安全手冊(cè) 通過不同的測試方法對(duì)SL性驗(yàn)證運(yùn)行和維護(hù) 有具有資格的人員才能訪問IACS對(duì)技術(shù)措施周期性的測試 需要對(duì)要求率和組件的失效進(jìn)行監(jiān)視人員教育和培訓(xùn)只有具有資格的人員才能訪問IACS對(duì)技術(shù)措施周期性的測試頻繁的審查以發(fā)現(xiàn)新的脆弱性并采取相應(yīng)的修改人員教育和培訓(xùn)在任何軟件或硬件變更后重新開展信息風(fēng)險(xiǎn)評(píng)估管理體系審計(jì)、變更管理和文檔化要求；安全管理-定義人員能力、培訓(xùn)、驗(yàn)證、測試、審計(jì)、變更管理和文檔化要求附 錄 B（資料性）風(fēng)險(xiǎn)降低過程及補(bǔ)償措施示例風(fēng)險(xiǎn)降低過程在GB/T20438.5B.1。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)2*10-6EUC風(fēng)險(xiǎn)10-31*10-6風(fēng)險(xiǎn)增加必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險(xiǎn)施覆蓋的風(fēng)險(xiǎn)RRF1=100RRF2=10所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.1風(fēng)險(xiǎn)降低過程示例（功能安全）相關(guān)概念的含義如下：——EUCEUC、EUCGB/T20438.4-20173.1.9）；——可容忍風(fēng)險(xiǎn)：根據(jù)當(dāng)今社會(huì)水平所能接受的風(fēng)險(xiǎn)（見GB/T20438.4-2017中的3.1.7）；E/E/PEEUCEUC見GB/T2048.420173.17。RR=10RRF=1。圖B.1給出的僅是考慮功能安全時(shí)風(fēng)險(xiǎn)降低過程，如果考慮信息安全，則風(fēng)險(xiǎn)降低過程示例見圖B.2。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)（無法準(zhǔn)確量化）2*10-6EUC（威脅等情況下）10-2必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降低措被功能安全相關(guān)系統(tǒng)覆蓋的風(fēng)險(xiǎn)被信息安全防護(hù)措施覆蓋的風(fēng)險(xiǎn)RRF1=100（難以RRF2=10 量化）所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.2風(fēng)險(xiǎn)降低過程的示例（功能安全和信息安全）體化RR=10低能（EUC和EUC控制系統(tǒng)所在一片區(qū)域GB/T險(xiǎn)降RR=1B.。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可容忍風(fēng)險(xiǎn)2*10-6EUC（威脅等情況下）1*10-610-2必要的風(fēng)險(xiǎn)降低實(shí)際的風(fēng)險(xiǎn)降低被其他風(fēng)險(xiǎn)降被補(bǔ)償措施低措施覆蓋的覆蓋的風(fēng)險(xiǎn)RRF2=10RRF1=100，信息安全措施得到協(xié)同設(shè)計(jì)RRF3=10所有安全系統(tǒng)和其他風(fēng)險(xiǎn)降低措施所獲得的風(fēng)險(xiǎn)降低圖B.3風(fēng)險(xiǎn)降低過程的示例（安全一體化）補(bǔ)償措施在GB/T35673——（組件級(jí)）：使用加鎖的機(jī)柜，對(duì)沒有充分的網(wǎng)絡(luò)訪問控制措施的控制器進(jìn)行防護(hù)；——（控制系統(tǒng)/區(qū)域級(jí)）：物理出入口控制（門衛(wèi)、門閘、槍）用來保護(hù)一個(gè)控制室，只允許對(duì)IACS——（組件級(jí)）：設(shè)備供應(yīng)商提供的可編程邏輯控制器（PLC）不具備滿足終端用戶進(jìn)行訪問控制PLC一些可能需要補(bǔ)償措施的場景示例如下：——如功能安全相關(guān)系統(tǒng)上位機(jī)需要人員在緊急狀態(tài)下執(zhí)行關(guān)斷操作，則可能需要多個(gè)操作員共享賬戶從而保證任何人都可以在緊急狀態(tài)下能夠成功執(zhí)行該操作，此時(shí)需要增加相應(yīng)的補(bǔ)償措施例如：從物理上進(jìn)行限制訪問，制定響應(yīng)的組織化規(guī)程等?！谀承┣闆r下，會(huì)話鎖定可能會(huì)導(dǎo)致人員無法在緊急情況下對(duì)功能安全相關(guān)系統(tǒng)操作，從而EUCEUC此外，可以通過多種關(guān)聯(lián)設(shè)計(jì)方式，實(shí)現(xiàn)將危險(xiǎn)事件的后果限制在可容忍范圍：——電氣安全設(shè)計(jì)：如限壓限流設(shè)計(jì)可抑制負(fù)載異常造成的電氣設(shè)施整體損壞?！獧C(jī)械安全設(shè)計(jì)：如防護(hù)欄設(shè)計(jì)可將機(jī)械手等運(yùn)動(dòng)部件造成的傷害抑制在特定區(qū)域內(nèi)。附 錄 C（資料性）安全協(xié)同的考慮和建議C.1定義了5種可能存在的功能安全和信息安全交互影響狀態(tài)。表C.1功能安全和信息安全交互影響狀態(tài)狀態(tài)解釋如何揭露（證明）如何避免（實(shí)現(xiàn)）1、無影響信息安全措施得以有效實(shí)施，其對(duì)于安全功能的執(zhí)行沒有負(fù)面影響定性風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；良好的架構(gòu)設(shè)計(jì)，良好的信息安全設(shè)計(jì)，良好的功能安全設(shè)計(jì)2、沖突沖突的結(jié)果可能是造成安全相關(guān)系統(tǒng)誤動(dòng)或拒動(dòng)，而且這種誤動(dòng)的后果嚴(yán)重程度可能遠(yuǎn)遠(yuǎn)大于要求率增加，因此需盡可能避免定量風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；系統(tǒng)級(jí)安全一體化協(xié)同設(shè)計(jì)3、新的失效誘因或失效模式對(duì)于功能安全相關(guān)系統(tǒng)來說，信息安全威脅可能是一種新的潛在失效誘因，將導(dǎo)致系統(tǒng)出現(xiàn)新的失效模式，這些失效模式可能是傳統(tǒng)功能安全設(shè)計(jì)所沒有考慮到的失效模式、診斷、脆弱性與影響綜合分析；信息安全脆弱性測試：漏洞掃描等；產(chǎn)品級(jí)安全一體化協(xié)同設(shè)計(jì)4、要求率增加對(duì)于基本過程控制系統(tǒng)的攻擊可能會(huì)導(dǎo)致要求率增加定性風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；系統(tǒng)級(jí)安全一體化協(xié)同設(shè)計(jì)5、信息安全缺陷對(duì)其他系統(tǒng)的攻擊（例如業(yè)務(wù)系統(tǒng)）可能從工業(yè)控制的角度暫時(shí)沒有影響，但之后攻擊者可能會(huì)利用類似的漏洞對(duì)控制系統(tǒng)進(jìn)行攻擊定性風(fēng)險(xiǎn)分析；安全確認(rèn)：信息安全攻擊仿真或測試；良好的運(yùn)行維護(hù)：漏洞的及時(shí)處理，定期升級(jí)；影響分析；5種狀態(tài)可能產(chǎn)生的過程如圖C.12.12.1、誤動(dòng)2.2、拒動(dòng)信息安全措施對(duì)信息安全措施對(duì)安全功能無影響1攻擊防護(hù)措施生效/攻擊信息安全措施對(duì)安全功能造成負(fù)面影響2、沖突攻擊對(duì)象是功能安全相關(guān)系統(tǒng)3因或失效模式攻擊防護(hù)措施防護(hù)無效/無防護(hù)措施攻擊對(duì)象是基本過程控制系統(tǒng)4攻擊對(duì)象是其它系統(tǒng)5短期無影響圖C.1功能安全和信息安全交互影響模型當(dāng)處于相應(yīng)的狀態(tài)時(shí)，采取的安全協(xié)同措施如下：1：無影響證明信息安全措施對(duì)所有安全功能執(zhí)行無負(fù)面影響，包括：——在危險(xiǎn)、威脅和風(fēng)險(xiǎn)分析過程中，將所有的信息安全措施作為一種危險(xiǎn)源，分析其對(duì)于安全功能執(zhí)行的的影響情況；分析范圍應(yīng)涵蓋安全一體化預(yù)警層、控制層和減輕層；——在完成安全一體化設(shè)計(jì)之后正式投產(chǎn)之前，通過仿真、測試等方式確定無影響。2：沖突辨識(shí)出所有信息安全措施可能對(duì)安全功能執(zhí)行產(chǎn)生的沖突，包括導(dǎo)致功能安全相關(guān)系統(tǒng)的誤動(dòng)和拒動(dòng)。對(duì)于拒動(dòng)或無法執(zhí)行安全功能的避免主要集中在安全一體化控制層，至少考慮以下典型的信息安全防護(hù)要求對(duì)于安全功能的影響：——識(shí)別和鑒別：直接影響，可以有效阻止對(duì)于功能安全相關(guān)系統(tǒng)的非授權(quán)或惡意更改，例如通過上位機(jī)對(duì)于組態(tài)數(shù)據(jù)的更改；——使用控制：直接影響，可以有效阻止對(duì)于功能安全相關(guān)系統(tǒng)的非授權(quán)或惡意更改，例如通過產(chǎn)品自帶的配置界面進(jìn)行修改；——完整性保障：直接影響，可進(jìn)一步保障安全完整性；——數(shù)據(jù)機(jī)密性：間接影響，數(shù)據(jù)機(jī)密性對(duì)于安全完整性的間接影響；——限制數(shù)據(jù)流：直接影響，可能對(duì)于安全控制數(shù)據(jù)的傳輸造成阻礙或時(shí)間延遲；——對(duì)事件的時(shí)間響應(yīng)機(jī)制：間接影響或無影響；——資源可用性：直接影響，可進(jìn)一步保障安全完整性。（預(yù)警層——能夠?qū)σ舐蔬M(jìn)行統(tǒng)計(jì)和分析；——能夠?qū)υO(shè)備診斷信息進(jìn)行統(tǒng)計(jì)、顯示和提示；PAGEPAGE24——能夠?qū)ΜF(xiàn)場關(guān)鍵參數(shù)進(jìn)行監(jiān)視和預(yù)警。3：新的失效誘因或失效模式——軟件的質(zhì)量、健壯性和抵御攻擊的能力；——通信過程防錯(cuò)、糾錯(cuò)和檢錯(cuò)的機(jī)制；——抵御預(yù)防共因失效的設(shè)計(jì)，多樣性、異構(gòu)等；——診斷和報(bào)警設(shè)計(jì)；——發(fā)生數(shù)據(jù)丟失/破壞等軟錯(cuò)誤情況下的自恢復(fù)和自調(diào)整能力。4：要求率增加考慮到功能安全要求率異常增加也可能導(dǎo)致嚴(yán)重的后果，主要包括：——當(dāng)安全功能由低要求變?yōu)楦咭髸r(shí)，所產(chǎn)生的設(shè)計(jì)偏差可能導(dǎo)致不能實(shí)現(xiàn)有效的防護(hù)；——頻繁的要求可能被攻擊者利用，成為一種特殊的攻擊手段。5：信息安全缺陷PAGEPAGE242PAGE\*ROMANPAGE\*ROMANII目 次前 言 III引 言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 3一般要求 3評(píng)估對(duì)象 3評(píng)估原則 4風(fēng)險(xiǎn)評(píng)估相關(guān)活動(dòng) 4確定安全目標(biāo)和風(fēng)險(xiǎn)準(zhǔn)則 4確定風(fēng)險(xiǎn)評(píng)估范圍 5組建評(píng)估管理與實(shí)施工作組 5評(píng)估資料準(zhǔn)備 5選擇評(píng)估工具和方法 6制定風(fēng)險(xiǎn)評(píng)估計(jì)劃 6風(fēng)險(xiǎn)評(píng)估程序 6風(fēng)險(xiǎn)評(píng)估流程 7節(jié)點(diǎn)劃分 8偏差確定 8危險(xiǎn)識(shí)別 8威脅和脆弱性辨識(shí) 9危險(xiǎn)事件分析 11危險(xiǎn)事件發(fā)生可能性分級(jí) 11后果分析 12后果嚴(yán)重程度分級(jí) 12初始風(fēng)險(xiǎn)評(píng)估 12風(fēng)險(xiǎn)降低措施分析 13保護(hù)/護(hù)能力估 13殘余風(fēng)險(xiǎn)評(píng)估 13意見建議 13風(fēng)險(xiǎn)評(píng)估文檔記錄 14附 錄 A（資性）險(xiǎn)評(píng)估法 15附 錄 B（資性）脅示例 18附 錄 C（資性）險(xiǎn)事件生可能性評(píng)估示例 20PAGE\*ROMANPAGE\*ROMANII附 錄 D（資性）果嚴(yán)重分級(jí)示例 23附 錄 E（資性）險(xiǎn)矩陣?yán)?24IVIV引 言傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實(shí)GB/T35673各層級(jí)內(nèi)和層級(jí)間的設(shè)備/系統(tǒng)實(shí)現(xiàn)了更為深入的互聯(lián)互通，提高了工業(yè)經(jīng)營者的效率，降低了成本，（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（AI的失控危險(xiǎn)等GB/TXXXXX《智能工廠安全一體化》旨在指導(dǎo)智能工廠建立安全一體化生命周期，并針對(duì)風(fēng)險(xiǎn)評(píng)估、協(xié)同設(shè)計(jì)和評(píng)測驗(yàn)證提出要求，擬由4個(gè)部分構(gòu)成：——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實(shí)現(xiàn)安全一體化的基本原則?！?部分：風(fēng)險(xiǎn)評(píng)估要求。目的在于提出開展安全一體化風(fēng)險(xiǎn)評(píng)估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計(jì)要求。目的在于針對(duì)智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層提出系統(tǒng)協(xié)同設(shè)計(jì)的要求?！?部分：系統(tǒng)評(píng)測要求。目的在于提出開展安全一體化完善度評(píng)測的方法和要求。GB/TXXXXX.2PAGEPAGE1智能工廠安全一體化2范圍估文檔記錄的要求。本文件適用于智能工廠生產(chǎn)系統(tǒng)開展安全一體化風(fēng)險(xiǎn)評(píng)估。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438.1 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求GB/T20438.4 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略GB/T21109（所有部分） 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全GB/T35320危險(xiǎn)與可操作性分析（HAZOP分析）應(yīng)用指南GB/T41257數(shù)字化車間功能安全要求GB/T41260數(shù)字化車間信息安全要求GB/TXXXX.1智能工廠安全一體化第1部分：一般要求術(shù)語和定義GB/TXXXX.1中界定的術(shù)語以及下列術(shù)語適用于本文件。傷害harm人身損傷、人的健康損害、財(cái)產(chǎn)或環(huán)境的損害。[來源：GB/T20438.4—2017，3.1.1]危險(xiǎn)hazard傷害的潛在根源。[來源：GB/T20438.4—2017，3.1.2]注：這個(gè)術(shù)語包括短時(shí)間對(duì)人身的傷害（如著火和爆炸），以及那些對(duì)人身健康長時(shí)間的損害（如有毒物質(zhì)釋放）。危險(xiǎn)狀況hazardous situation人、財(cái)產(chǎn)或環(huán)境暴露于一個(gè)或多個(gè)危險(xiǎn)源環(huán)境的情況。[來源：GB/T20438.4—2017，3.1.3]PAGEPAGE10危險(xiǎn)事件 hazardous event可能導(dǎo)致傷害的事件。害，人是否能避免該事件的后果。[來源：GB/T20438.4—2017，3.1.4]風(fēng)險(xiǎn) risk傷害發(fā)生的概率與該傷害嚴(yán)重程度的組合。[來源：GB/T20438.4—2017，3.1.6]殘余風(fēng)險(xiǎn) residual risk[來源：GB/T20438.4—2017，3.1.8]EUC險(xiǎn) EUCrisk由EUC或由EUC與EUC控制系統(tǒng)相互作用而產(chǎn)生的風(fēng)險(xiǎn)。[來源：GB/T20438.4—2017，3.1.9]1E/E/PE低措施來提供必要的風(fēng)險(xiǎn)降低（即與功能安全相關(guān)的風(fēng)險(xiǎn)）。2：GB/T20438.5A.1EUCEUCE/E/PE注3：這個(gè)風(fēng)險(xiǎn)評(píng)估應(yīng)包括相關(guān)人的因素。功能安全風(fēng)險(xiǎn) functional safety risk與特定的危險(xiǎn)事件相伴的風(fēng)險(xiǎn)。在這種危險(xiǎn)事件中用功能安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施來提供必要的風(fēng)險(xiǎn)降低。信息安全風(fēng)險(xiǎn) information security risk[來源：GB/T20984—2022，3.1.1]目標(biāo)風(fēng)險(xiǎn) target risk針對(duì)特定的危險(xiǎn)，考慮了EUC風(fēng)險(xiǎn)，及E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施后，所要達(dá)到的風(fēng)險(xiǎn)。[來源：GB/T20438.4—2017，3.1.10]風(fēng)險(xiǎn)管理 risk management指導(dǎo)和控制組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。[來源：GB/T25069—2022，3.168]安全safety沒有不可接受的風(fēng)險(xiǎn)。[來源：GB/T20438.4—2017，3.1.11]安全功能 safety function針對(duì)特定的危險(xiǎn)事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能。[來源：GB/T20438.4—2017，3.5.1]安全完整性safety integrity[來源：GB/T20438.4—2017，3.5.4]安全完整性等級(jí)safety integrity level（四個(gè)可能等級(jí)之一4安全完整性等級(jí)1是最低的。[來源：GB/T20438.4—2017，3.5.8]威脅 threat可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在因素。[來源：GB/T25069—2022，3.628]脆弱性 vulnerability[來源：GB/T30976.1—2014，3.1.1]縮略語下列縮略語適用于本文件。E/E/PE：電氣/電子/可編程電子（Electrical/Electronic/ProgrammableElectronic）EUC：受控設(shè)備（EquipmentUnderControl）SL：信息安全等級(jí)（SecurityLevel）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）USB：通用串行總線（UniversalSerialBus）一般要求智能工廠安全一體化風(fēng)險(xiǎn)評(píng)估的對(duì)象為：按照GB/TXXXX.1中第5章確定的對(duì)象，如圖1所示。圖1 智能廠安全一體化風(fēng)險(xiǎn)評(píng)估對(duì)象示意圖宜基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果辨識(shí)出的可能導(dǎo)致生產(chǎn)安全影響的威脅。注1：信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施可參考GB/T36466-2018。注2：傳統(tǒng)生產(chǎn)安全危險(xiǎn)源一般包括：人員異常操作、設(shè)備故障、控制失效、外部環(huán)境因素等，若在安全一體化風(fēng)險(xiǎn)評(píng)估前已開展過功能安全相關(guān)風(fēng)險(xiǎn)評(píng)估，可將其輸出作為傳統(tǒng)生產(chǎn)安全危險(xiǎn)源辨識(shí)的輸入。運(yùn)行維護(hù)階段以及修改變更階段開展。風(fēng)險(xiǎn)評(píng)估相關(guān)活動(dòng)確定目標(biāo)和準(zhǔn)則定義時(shí)，應(yīng)考慮以下因素：——分析結(jié)果的使用目的；——需要進(jìn)行分析的智能工廠生產(chǎn)系統(tǒng)的生命周期階段；——可能面臨風(fēng)險(xiǎn)的人員或資產(chǎn)，例如：員工，公眾，環(huán)境和系統(tǒng)等；——可操作性問題，包括對(duì)業(yè)務(wù)連續(xù)性、產(chǎn)品質(zhì)量等的影響；——通用的法律要求，以及與特定應(yīng)用直接相關(guān)的法律要求；——相關(guān)安全監(jiān)管機(jī)構(gòu)發(fā)布的指南；——與應(yīng)用有關(guān)各方的爭議與一致意見；——工業(yè)標(biāo)準(zhǔn)和指南；——來自咨詢機(jī)構(gòu)的最佳獨(dú)立建議。風(fēng)險(xiǎn)評(píng)估范圍及顆粒度的確定，取決于以下幾個(gè)因素：——智能工廠生產(chǎn)系統(tǒng)的物理邊界；——可獲得的設(shè)計(jì)說明的詳細(xì)程度；——已經(jīng)完成的危害分析或其他相關(guān)分析活動(dòng)的范圍；——適用的法規(guī)要求。組參與風(fēng)險(xiǎn)評(píng)估活動(dòng)。/或信息安全知識(shí)，并具有相應(yīng)的經(jīng)驗(yàn)?zāi)芰?。署個(gè)人保密協(xié)議。組長、成員達(dá)成共識(shí)。和經(jīng)驗(yàn)的人員足夠的前提下應(yīng)當(dāng)盡可能的少。當(dāng)?shù)呐嘤?xùn)達(dá)到此要求。推薦的風(fēng)險(xiǎn)評(píng)估工作組成員構(gòu)成，包括：——風(fēng)險(xiǎn)評(píng)估組長；——記錄員；——項(xiàng)目設(shè)計(jì)人員；——用戶；——專家；——運(yùn)行維護(hù)人員（代表）。評(píng)估資料準(zhǔn)備在正式開始評(píng)估之前，應(yīng)保證能夠獲取最完整的可用設(shè)計(jì)資料，有紕漏或不完整的資料應(yīng)在分析開考慮以下方面：標(biāo)注：置圖，公用工程規(guī)格，操作和維修要求；——分析對(duì)象的邊界和在邊界處的界面；——系統(tǒng)運(yùn)行的環(huán)境；——操作和維修人員的資質(zhì)，技能和經(jīng)驗(yàn)；——程序和/或操作規(guī)程；——操作和維修經(jīng)驗(yàn)和對(duì)類似系統(tǒng)的危險(xiǎn)認(rèn)知；——業(yè)務(wù)戰(zhàn)略及管理制度；——主要的業(yè)務(wù)功能和要求；——網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；——主要的硬件、軟件；——數(shù)據(jù)和信息；——系統(tǒng)和數(shù)據(jù)的敏感性；——支持和使用系統(tǒng)的人員；——工廠所處環(huán)境的氣象水文材料；——分析會(huì)議文件評(píng)估記錄文件。含記錄表、適用的記錄項(xiàng)等；事故事件分析報(bào)告等；成。——其他相關(guān)文件。應(yīng)綜合考慮生命周期階段、分析目標(biāo)、所能獲得的信息等內(nèi)容，選擇風(fēng)險(xiǎn)評(píng)估工具和方法。在正式開始評(píng)估之前，應(yīng)制定并發(fā)布一份風(fēng)險(xiǎn)評(píng)估計(jì)劃，包括以下內(nèi)容：——評(píng)估組織：包括評(píng)估工作組成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；——工作計(jì)劃：風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；——時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。風(fēng)險(xiǎn)評(píng)估程序初始風(fēng)險(xiǎn)分析初始風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估流程開始節(jié)點(diǎn)劃分偏差確定危險(xiǎn)識(shí)別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險(xiǎn)源等） 識(shí)別開始節(jié)點(diǎn)劃分偏差確定危險(xiǎn)識(shí)別（包括：傳威脅和脆弱性統(tǒng)生產(chǎn)危險(xiǎn)源等） 識(shí)別信息安全風(fēng)險(xiǎn)評(píng)估危險(xiǎn)事件分析危險(xiǎn)事件發(fā)生可能性分級(jí)后果分析后果嚴(yán)重程度分級(jí)初始風(fēng)險(xiǎn)評(píng)估功能安全保護(hù)措施/信息安全防護(hù)措施分析保護(hù)/防護(hù)能力評(píng)估殘余風(fēng)險(xiǎn)評(píng)估否是否在可接受范圍之內(nèi)是結(jié)束意見建議風(fēng)險(xiǎn)識(shí)別殘余風(fēng)險(xiǎn)分析圖2 智能廠安全體化風(fēng)險(xiǎn)評(píng)估流程殘余風(fēng)險(xiǎn)分析注1：如果在開展安全一體化風(fēng)險(xiǎn)評(píng)估前，未開展信息安全風(fēng)險(xiǎn)評(píng)估，則可按照7.5開展信息安全威脅和脆弱性辨識(shí)。注2：本文件中功能安全保護(hù)措施包括：符合GB/T20438或GB/T21109的電氣/電子/可編程電子安全相關(guān)系統(tǒng)、機(jī)械式保護(hù)系統(tǒng)、外部風(fēng)險(xiǎn)降低措施等。節(jié)點(diǎn)劃分要求為便于分析，可將系統(tǒng)分成若干節(jié)點(diǎn)，各個(gè)節(jié)點(diǎn)的設(shè)計(jì)意圖應(yīng)能充分定義，應(yīng)滿足以下要求：——結(jié)合智能工廠生產(chǎn)系統(tǒng)的對(duì)象特點(diǎn)，劃分節(jié)點(diǎn)?！?jié)點(diǎn)劃分，應(yīng)考慮分析范圍內(nèi)的所有設(shè)施、設(shè)備，遵循既不重復(fù)，又不遺漏的原則?！x節(jié)點(diǎn)的大小，取決于系統(tǒng)的復(fù)雜性和危險(xiǎn)的嚴(yán)重程度。節(jié)點(diǎn)劃分不宜過大或過小。復(fù)雜度高或危險(xiǎn)性高的系統(tǒng)可劃分成若干較小的節(jié)點(diǎn)，簡單的或低危險(xiǎn)性系統(tǒng)可劃分成若干較大的節(jié)點(diǎn)，以加快分析進(jìn)程?！總€(gè)節(jié)點(diǎn)的范圍，應(yīng)包括分析對(duì)象中的一個(gè)或多個(gè)功能系統(tǒng)。節(jié)點(diǎn)描述要求節(jié)點(diǎn)應(yīng)有編號(hào)，可采取統(tǒng)一的節(jié)點(diǎn)編號(hào)方式。節(jié)點(diǎn)描述一般包括：節(jié)點(diǎn)范圍及工藝流程簡單說明、主要設(shè)備位號(hào)、管線和設(shè)備的設(shè)計(jì)參數(shù)、安全閾值等。意義的偏差及其含義。針對(duì)確定的每一個(gè)偏差，確定導(dǎo)致偏差的誘因，進(jìn)行危險(xiǎn)識(shí)別、威脅和脆弱性辨識(shí)。偏差的確定方法可參見GB/T35320。示例：對(duì)于具體工藝參數(shù)“溫度”，與引導(dǎo)詞“過量”相組合，得到偏離“溫度高”，其含義為介質(zhì)溫度高于可接受正常工藝溫度；對(duì)于概念性工藝參數(shù)“反應(yīng)”，與引導(dǎo)詞“無”相組合，得到偏離“反應(yīng)無”，其含義為沒有發(fā)生發(fā)應(yīng)；對(duì)于操作步序“輸送”，與引導(dǎo)詞“無”相組合，得到偏離“輸送無”，其含義為沒有輸送物料。時(shí)以何種方式導(dǎo)致傷害的事故場合。在進(jìn)行危險(xiǎn)識(shí)別時(shí)，應(yīng)開展：——對(duì)智能工廠生產(chǎn)系統(tǒng)生命周期階段的識(shí)別，包括：設(shè)計(jì)；運(yùn)行；修改和變更?！獙?duì)運(yùn)行模式的識(shí)別，包括但不限于：配置；測試；啟動(dòng)；停機(jī)；緊急停止；暫?；蜴i定后的恢復(fù)運(yùn)行；非計(jì)劃停機(jī)后的重新啟動(dòng)；故障查找/排除。——對(duì)工藝裝置/設(shè)備的可能的狀態(tài)的識(shí)別，包括：正常運(yùn)轉(zhuǎn)；功能失效?！獙?duì)非預(yù)期的人員行為，或合理可預(yù)見的誤操作的識(shí)別，包括：過程/異常發(fā)生時(shí)的人員條件反射行為；非專業(yè)操作人員/動(dòng)物的行為（如兒童、殘疾人、小動(dòng)物）等?！獙?duì)合理可預(yù)見的情況下，其他危險(xiǎn)的識(shí)別，包括：過程危險(xiǎn)；機(jī)械危險(xiǎn)；電氣危險(xiǎn)；熱危險(xiǎn)；噪聲危險(xiǎn)；振動(dòng)危險(xiǎn)；輻射危險(xiǎn)；物料/人機(jī)工效學(xué)危險(xiǎn)；與環(huán)境有關(guān)的危險(xiǎn)等。——其他異常運(yùn)行情況的識(shí)別。威脅辨識(shí)有潛在威脅。示例：智能工廠生產(chǎn)系統(tǒng)的威脅主體大致可分為：內(nèi)部人員、腳本小子、黑客、網(wǎng)絡(luò)犯罪分子和民族國家行為者。工廠生產(chǎn)系統(tǒng)的威脅分類，可參考相關(guān)標(biāo)準(zhǔn)或附錄B。（例——內(nèi)部無意的威脅（例如，不知不覺地插入了一個(gè)受感染的USB）；——內(nèi)部故意的威脅（例如，心懷不滿的員工）；——外部一般/非熟練人員威脅（例如，腳本小子）；——外部有目標(biāo)的/有技能的威脅（例如，網(wǎng)絡(luò)罪犯、技能展示）；——外部攻擊行為威脅（例如，高級(jí)持續(xù)威脅，民族國家）?！鐣?huì)工程威脅（如，網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚）；——通信威脅（例如，拒絕服務(wù)，以及中間信息）；——供應(yīng)鏈威脅（例如，服務(wù)提供者的破壞）；——物理訪問威脅（例如，登錄到無防護(hù)的工作站）；——軟件威脅（例如，利用一個(gè)已知的軟件漏洞）；——硬件威脅（例如，將USB連接到不安全的端口）。——威脅來源；——威脅來源的技能水平、動(dòng)機(jī)、資源等；——可能的威脅場景、途徑和載體；——潛在受影響的資產(chǎn)。智能工廠可能面臨的潛在威脅示例，見附錄B。脆弱性辨識(shí)/產(chǎn)品的脆弱性進(jìn)行分析?！I(yè)自動(dòng)化系統(tǒng)的常見脆弱性。包括：無線通信、自動(dòng)化系統(tǒng)集成導(dǎo)致的脆弱性等?！悄芄S生產(chǎn)系統(tǒng)的特定脆弱性。包括：大量移動(dòng)設(shè)備接入、聯(lián)網(wǎng)應(yīng)用程序、遺留系統(tǒng)等導(dǎo)致的脆弱性等。注：典型脆弱性如下：——人員/組織的安全意識(shí)有限(例如不受控制地使用USB驅(qū)動(dòng)器)；——資產(chǎn)管理缺陷(如現(xiàn)有資產(chǎn)和這些資產(chǎn)的版本狀態(tài)不清楚、不完整或過時(shí))；——通過更新或補(bǔ)丁向產(chǎn)品/解決方案添加新漏洞或回歸到舊漏洞(例如，補(bǔ)丁解決了一個(gè)問題，但打開了兩個(gè)新問題)；——產(chǎn)品/解決方案的缺陷(例如缺少適當(dāng)?shù)陌踩绦蚝筒呗?；——性能方面的固有設(shè)計(jì)限制(例如，簡單的拒絕服務(wù)情況會(huì)導(dǎo)致安全問題）；——故意濫用內(nèi)置功能/特性(例如，通過遠(yuǎn)程訪問維護(hù)通道注入惡意軟件)；——實(shí)際用途與預(yù)期用途不同(例如，在操作期間增加了遠(yuǎn)程訪問)；——威脅環(huán)境的變化使得現(xiàn)有的解決方案更加脆弱（例如加密方法的破壞）；——軟件錯(cuò)誤（bug）：可能是通過有意或無意的方式引入錯(cuò)誤，可以通過系統(tǒng)軟件程序或設(shè)備固件的方式引入；——硬件故障：硬件失效導(dǎo)致的潛在系統(tǒng)脆弱性；——信息安全措施效果降低：信息安全措施的有效性可能會(huì)隨著時(shí)間的推移而降低，也可能隨著新的信息安全技術(shù)或計(jì)算機(jī)技術(shù)出現(xiàn)而過時(shí)；——身份證書的重復(fù)使用：在多個(gè)位置不同的地點(diǎn)使用相同的證書；——由于錯(cuò)誤配置導(dǎo)致的系統(tǒng)性錯(cuò)誤（例如沒有修改默認(rèn)密碼）；——一般的外界病毒，可能不是為本系統(tǒng)所專門開發(fā)的，但是影響到了本系統(tǒng)的運(yùn)行；——信息安全后門，可能在系統(tǒng)設(shè)計(jì)初期植入的后門。危險(xiǎn)事件分析應(yīng)分析并明確已確定的危險(xiǎn)/一個(gè)危險(xiǎn)/表1危險(xiǎn)、危險(xiǎn)事件、危險(xiǎn)情況和傷害示例偏差危險(xiǎn)/威脅和脆弱性危險(xiǎn)事件危險(xiǎn)狀況傷害溫度高燃料氣進(jìn)料閥門故障進(jìn)料閥異常開大，燃料氣進(jìn)料過多，加熱爐溫度過高加熱爐爐膛坍塌財(cái)產(chǎn)損失、人員傷亡數(shù)據(jù)篡改：非授權(quán)人員訪問工程師站，更改控制參數(shù)進(jìn)料閥異常開大，燃料氣進(jìn)料過多，加熱爐溫度過高加熱爐爐膛坍塌財(cái)產(chǎn)損失、人員傷亡注：危險(xiǎn)導(dǎo)致危險(xiǎn)事件的分析，可參見GB/T41257、GB/T35320。威脅導(dǎo)致危險(xiǎn)事件的分析，可參見GB/T41260。危險(xiǎn)事件發(fā)生可能性可結(jié)合具體的威脅場景，基于以下方法進(jìn)行評(píng)估：——基于攻擊者的動(dòng)機(jī)、能力；——基于攻擊者的動(dòng)機(jī)、資源、知識(shí)；——基于攻擊者的動(dòng)機(jī)、能力、資源；——基于攻擊者的攻擊潛力AP；——基于資產(chǎn)暴露度與脆弱性程度。C。（/威脅（/威脅——對(duì)于在一定條件下成立的“原因（危險(xiǎn)/威脅）——危險(xiǎn)事件”對(duì)，應(yīng)做條件修正。危險(xiǎn)事件發(fā)生可能性等級(jí)劃分C。（（（（例如：數(shù)據(jù)泄露等）等后果。注：智能工廠危險(xiǎn)事件的后果，宜考慮以下方面：——業(yè)務(wù)，如業(yè)務(wù)中斷、關(guān)鍵功能無法操作等；——人員，如人員傷亡；——環(huán)境，如物料泄漏、釋放；——經(jīng)濟(jì)，如工藝設(shè)備、生產(chǎn)設(shè)施損失/損壞，政府/當(dāng)局罰款，知識(shí)產(chǎn)權(quán)損失，利潤流失等；——聲譽(yù)，如負(fù)面媒體報(bào)道，失去利益相關(guān)者的信心，喪失經(jīng)營許可證的行為等；——數(shù)據(jù)泄露等。等級(jí)。規(guī)范要求，并具有合理可信的來源。后果，需要做條件修正。初始風(fēng)險(xiǎn)評(píng)估7.117.13中要求的內(nèi)容。（7.117.13中要求的內(nèi)容。風(fēng)險(xiǎn)降低措施分析條件因素跟后果之間的關(guān)系。計(jì)算保護(hù)/防護(hù)能力時(shí)，需要根據(jù)獨(dú)立性情況做修正。保護(hù)/防護(hù)能力評(píng)估辨識(shí)每一個(gè)獨(dú)立的功能安全保護(hù)措施/低因子可通過公開文獻(xiàn)或工業(yè)數(shù)據(jù)獲得。在確定應(yīng)通過措施減少多少可能性時(shí)，可以考慮基于經(jīng)驗(yàn)法則。示例：典型的經(jīng)驗(yàn)法則如：對(duì)于不容易受到網(wǎng)絡(luò)攻擊的保護(hù)措施（例如，減壓裝置或其他機(jī)械裝置），可以將事件發(fā)生的可能性降低2個(gè)級(jí)別；增加防火墻，可以將事件發(fā)生的可能性降低1個(gè)級(jí)別。（SIL或PFD）和信息安全防護(hù)措施的防護(hù)能力（SL）。殘余風(fēng)險(xiǎn)評(píng)估-/危險(xiǎn)事件發(fā)生可能性，或者后果嚴(yán)重程度，并評(píng)估危險(xiǎn)事件的殘余風(fēng)險(xiǎn)。建議。意見建議:——增加功能安全保護(hù)措施/信息安全防護(hù)措施（例如：安全儀表系統(tǒng)、安全閥、防火堤、訪問控制措施、使用控制措施、系統(tǒng)完整性措施、系統(tǒng)保密性措施、風(fēng)險(xiǎn)監(jiān)控措施等）；——更改為更有效/更可靠的功能安全保護(hù)措施/信息安全防護(hù)措施；——通過管理的手段來彌補(bǔ)不足（例如：增加人員培訓(xùn)；供應(yīng)商管理；變更管理；定期開展風(fēng)險(xiǎn)評(píng)估，基于風(fēng)險(xiǎn)復(fù)盤，更新風(fēng)險(xiǎn)應(yīng)急預(yù)案等）；——更改工序、工藝、裝置、設(shè)備、網(wǎng)絡(luò)、控制等的原始設(shè)計(jì)，以推動(dòng)實(shí)現(xiàn)本質(zhì)安全。提出的意見建議應(yīng)被記錄，并指定責(zé)任人，追蹤執(zhí)行。措施進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估確認(rèn)其有效性。示例：某外部威脅導(dǎo)致某段管線壓力控制失效，經(jīng)過安全一體化風(fēng)險(xiǎn)評(píng)估后，認(rèn)為該風(fēng)險(xiǎn)不在可容忍范圍內(nèi)，建議增加一項(xiàng)安全聯(lián)鎖功能。如果經(jīng)分析認(rèn)為新增的安全聯(lián)鎖功能同樣會(huì)受到該威脅攻擊，則需考慮此種共因失效對(duì)其風(fēng)險(xiǎn)降低能力有效性的影響，同時(shí)還需開展補(bǔ)充的信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估文檔記錄信息安全防護(hù)措施是否可以防止事件發(fā)生或降低風(fēng)險(xiǎn)。A。附 錄 A（資料性）風(fēng)險(xiǎn)評(píng)估方法，可分為定性和定量兩大類。定性的風(fēng)險(xiǎn)評(píng)估方法示例：PHA/HAZOP、檢查表、FMEA。定量的風(fēng)險(xiǎn)評(píng)估方法示例：蝴蝶結(jié)、LOPA、定量風(fēng)險(xiǎn)分析QRA、半定量SL驗(yàn)證。其中：HAZOP是評(píng)估工業(yè)現(xiàn)場過程危害的常用技術(shù)，該技術(shù)是基于使用預(yù)先配置的引導(dǎo)詞來確定過程中斷的可能原因和最終后果。對(duì)于信息安全HAZOP，引導(dǎo)詞可被用于識(shí)別信息安全被破壞的潛在原因。表A.1為基于HAZOP的安全一體化風(fēng)險(xiǎn)示例，表A.2為所采用的風(fēng)險(xiǎn)矩陣和可容忍風(fēng)險(xiǎn)示例。表A.1HAZOP參數(shù)偏差可能原因（危險(xiǎn)/威脅導(dǎo)致危險(xiǎn)事件的描述）發(fā)生可能性后果后果嚴(yán)重性初始風(fēng)險(xiǎn)保護(hù)措施殘余風(fēng)險(xiǎn)意見建議溫度加氫反應(yīng)器溫度高控制回路故障，閥門開大，燃料氣進(jìn)料流量過多，反應(yīng)器進(jìn)料加熱爐爐膛溫度高，加氫反應(yīng)器溫度高6（10-1反應(yīng)器超壓，發(fā)生泄漏，可燃?xì)怏w與空氣混合，發(fā)生爆炸。P4；F4；R4.61、加氫反應(yīng)器設(shè)置有安全閥；2、加氫反應(yīng)器床層溫度高聯(lián)鎖（SIS）；3、反應(yīng)器進(jìn)料加熱爐設(shè)置有爐膛溫度高報(bào)警。2——第三方人員（含運(yùn)維人員）利用權(quán)限訪問工程師站，惡意修改配置參數(shù)，瓦斯氣進(jìn)料組分變重，反應(yīng)器進(jìn)料加熱爐的爐膛溫度高，加氫反應(yīng)器溫度高6（10-1反應(yīng)器超壓，發(fā)生泄漏，可燃?xì)怏w與空氣混合，發(fā)生爆炸。P4；F4；R4.61、對(duì)第三方人員實(shí)施身份認(rèn)機(jī)制；2、加氫反應(yīng)器設(shè)置有安全閥；3、加氫反應(yīng)器床層溫度高聯(lián)鎖（SIS）；4、反應(yīng)器進(jìn)料加熱爐設(shè)置有爐膛溫度高報(bào)警。1——參數(shù)偏差可能原因（危險(xiǎn)/威脅導(dǎo)致危險(xiǎn)事件的描述）發(fā)生可能性后果后果嚴(yán)重性初始風(fēng)險(xiǎn)保護(hù)措施殘余風(fēng)險(xiǎn)意見建議液位原料油緩沖罐液位過高控制回路故障，閥門開大，原料油進(jìn)料量過大6（10-1滿罐，溢流進(jìn)入火炬系統(tǒng)，經(jīng)濟(jì)損失P1；F1；R1.31、原料油緩沖罐進(jìn)料設(shè)置閉進(jìn)料。2——攻擊者通過供應(yīng)鏈攻擊在進(jìn)料泵產(chǎn)品中植入了惡意程序，篡改控制邏輯，導(dǎo)致進(jìn)料泵故障，進(jìn)料量過大6（10-1滿罐，溢流進(jìn)入火炬系統(tǒng)，經(jīng)濟(jì)損失P1；F1；R1.31、制定第三方供應(yīng)商管理息安全入網(wǎng)相關(guān)測試。2、原料油緩沖罐進(jìn)料設(shè)置閉進(jìn)料。1——表A.2所采用的風(fēng)險(xiǎn)矩陣和可容忍風(fēng)險(xiǎn)示例可能性12345678嚴(yán)重性74級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）63級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）52級(jí)（低風(fēng)險(xiǎn)）3級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）41級(jí)（可忽略風(fēng)險(xiǎn)）2級(jí)（低風(fēng)險(xiǎn)）3級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）31級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）2級(jí)（低風(fēng)險(xiǎn)）3級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）7級(jí)（極嚴(yán)重風(fēng)險(xiǎn)）21級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）2級(jí)（低風(fēng)險(xiǎn)）3級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）6級(jí)（險(xiǎn)）11級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）1級(jí)（可忽略風(fēng)險(xiǎn)）2級(jí)（低風(fēng)險(xiǎn)）3級(jí)（中風(fēng)險(xiǎn)）4級(jí)（高風(fēng)險(xiǎn)）5級(jí)（險(xiǎn)）注：該風(fēng)險(xiǎn)矩陣中1級(jí)、2級(jí)風(fēng)險(xiǎn)為可容忍風(fēng)險(xiǎn)。附 錄 B（資料性）威脅示例一種基于表現(xiàn)形式的威脅分類，見下表。表B.1種類描述威脅子類軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷系統(tǒng)本身或軟件缺陷造等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和自然災(zāi)害洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等管理不到位安全管理無法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或?yàn)E用通過采用一些措施,超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán),做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探賬戶、口令、權(quán)限等)、用戶身份偽造和欺騙用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等智能工廠生產(chǎn)系統(tǒng)可能面臨的威脅類別示例，見下表。表B.2威脅類別威脅描述物理威脅破壞；未經(jīng)授權(quán)的物理訪問/未經(jīng)授權(quán)的進(jìn)入辦公場所非故意損害錯(cuò)誤地使用或管理設(shè)備和系統(tǒng)；意外更改系統(tǒng)中的數(shù)據(jù)或銷毀記錄威脅類別威脅描述失效/故障a.b.設(shè)備或系統(tǒng)故障；通信鏈路中斷或故障中斷網(wǎng)絡(luò)中斷竊聽a.b.網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)流量操縱和信息收集中間人/會(huì)話劫持非正?；顒?dòng)a.拒絕服務(wù)；b.惡意代碼/軟件/活動(dòng)；c.身份欺詐；d.操縱硬件和軟件；e.操縱信息附 錄 C（資料性）危險(xiǎn)事件發(fā)生可能性評(píng)估示例基于攻擊潛力AP，估計(jì)危險(xiǎn)事件發(fā)生可能性APAP業(yè)知識(shí)、目標(biāo)信息、目標(biāo)訪問、設(shè)備等因素決定。具體見下表。表C.1攻擊潛力相關(guān)的因素分類因素類別描述范圍值所需時(shí)間攻擊者識(shí)別系統(tǒng)中可能存在的特定的潛在漏洞、開發(fā)攻擊方法和維持對(duì)目標(biāo)執(zhí)行攻擊所需的總時(shí)間。小時(shí)0天1周3月7專業(yè)知識(shí)對(duì)基本原則、產(chǎn)品類型或攻擊方法的通用知識(shí)水平。外行0熟練人員3專家6多領(lǐng)域?qū)＜?目標(biāo)知識(shí)執(zhí)行攻擊所需的目標(biāo)相關(guān)知識(shí)水平。公共信息0受限的信息3敏感信息7關(guān)鍵信息11目標(biāo)訪問執(zhí)行攻擊所需的對(duì)目標(biāo)系統(tǒng)的訪問等級(jí)無限制0容易地1中等地4困難地10設(shè)備標(biāo)準(zhǔn)設(shè)備0專業(yè)設(shè)備4定制設(shè)備7多重定制設(shè)備9通過估計(jì)各個(gè)類別因素的數(shù)值，來計(jì)算攻擊潛力AP，具體如下式所示。AP=AP所需時(shí)間+AP專業(yè)知識(shí)+AP目標(biāo)信息+AP目標(biāo)訪問+AP設(shè)備攻擊潛力AP的等級(jí)劃分、以及導(dǎo)致的危險(xiǎn)事件發(fā)生可能性劃分，見下表。表C.2攻擊潛力等級(jí)劃分及危險(xiǎn)事件發(fā)生可能性等級(jí)劃分APAP等級(jí)危險(xiǎn)事件發(fā)生可能性0-9基礎(chǔ)的確定10-13基礎(chǔ)增強(qiáng)的可能14-19中等的也許APAP等級(jí)危險(xiǎn)事件發(fā)生可能性20-24高不太可能的>24超高罕見的基于攻擊者的經(jīng)驗(yàn)、所需設(shè)備、機(jī)會(huì)窗口、時(shí)間，估計(jì)危險(xiǎn)事件發(fā)生可能性示例，見下表。表C.2危險(xiǎn)事件發(fā)生可能性級(jí)等級(jí)劃分示例發(fā)生可能性經(jīng)驗(yàn)所需設(shè)備機(jī)會(huì)窗口所需時(shí)間低需要多名專家定制設(shè)備短長中等專家專用設(shè)備適中的適中的高精通的專用商業(yè)現(xiàn)貨COTS長短很高外行標(biāo)準(zhǔn)設(shè)備無限的很短基于資產(chǎn)暴露度與脆弱性，估計(jì)危險(xiǎn)事件發(fā)生可能性基于資產(chǎn)暴露度與脆弱性，估計(jì)危險(xiǎn)事件發(fā)生可能性示例，見下表。表C.3危險(xiǎn)事件發(fā)生可能性級(jí)等級(jí)劃分示例發(fā)生可能性資產(chǎn)暴露度脆弱性1對(duì)攻擊者的邏輯或物理訪問的高度限制，例如：高度限制的網(wǎng)絡(luò)和物理訪問；只能很費(fèi)力地獲取。a.b.c.d.成功的攻擊只可能針對(duì)一小群具有高黑客能力（需要高能力）的攻擊者；脆弱性只能經(jīng)過高強(qiáng)度的努力才能被利用，如果能夠解決攻擊者被追蹤和起訴的機(jī)會(huì)很大。2對(duì)攻擊者的邏輯或物理訪問限制，例如：需要內(nèi)部網(wǎng)絡(luò)訪問權(quán)限；受限的物理訪問；或組件a.b.c.d.對(duì)于具有平均黑客攻擊技能（需要中等能力）的攻擊者來說，成功的攻擊是可行的；領(lǐng)域或工具知識(shí)；采取了一些安全措施來應(yīng)對(duì)威脅；攻擊者被追蹤和起訴的機(jī)會(huì)中等3對(duì)攻擊者簡單的邏輯或物理訪問。例如：互聯(lián)網(wǎng)接入足夠；公共物理訪問；或維護(hù)活動(dòng)的一部分；攻擊者可以輕松地獲取產(chǎn)品或組件。a.b.c.d.（要很少的能力）；由于不需要工具，或者自由存在合適的攻擊工具，因此可以輕松地利用脆弱性，沒有或只有薄弱的安全措施來應(yīng)對(duì)由威脅引起的攻擊，攻擊者被追蹤和起訴的機(jī)會(huì)很低?；诿磕臧l(fā)生次數(shù)，估計(jì)的危險(xiǎn)事件發(fā)生可能性等級(jí)劃分示例，見下表。表C.4危險(xiǎn)事件發(fā)生可能性等級(jí)劃分示例等級(jí)發(fā)生可能性描述1<10-6/年類似的事件沒有在行業(yè)發(fā)生過，且發(fā)生的可能性極低210-5-10-6/年類似的事件沒有在行業(yè)發(fā)生過310-4-10-5/年類似的事件在行業(yè)發(fā)生過410-3-10-4/年類似的事件在國內(nèi)同行業(yè)曾經(jīng)發(fā)生過510-2-10-3/年類似的事件發(fā)生過或者可能在多個(gè)相似的設(shè)備設(shè)施使用壽命中發(fā)生610-1-10-2/年在設(shè)備設(shè)施的使用壽命內(nèi)可能發(fā)生1次或2次71-10-1/年在設(shè)備設(shè)施的使用壽命內(nèi)可能發(fā)生多次8>=1/年在設(shè)備設(shè)施的使用壽命內(nèi)經(jīng)常發(fā)生（至少每年發(fā)生）附 錄 D（資料性）后果嚴(yán)重性分級(jí)示例智能工廠危險(xiǎn)事件后果示例，見下表。表D.1（一）嚴(yán)重性分類人員傷亡（P）財(cái)產(chǎn)損失（F）環(huán)境污染（E）7極度嚴(yán)重的＞30人死亡或永久全失能傷害＞20億發(fā)生國際污染事件6嚴(yán)重的10～30人死亡或永久全失能傷害2億～20億發(fā)生國家級(jí)污染事件5擴(kuò)大的3～10人死亡或永久全失能傷害6000萬～2億發(fā)生區(qū)域性污染事件4重大的1人死亡；或≧3人永久部份失能傷害或暫時(shí)全失能傷害600萬～6000萬未污染小區(qū)，污染局限在廠內(nèi)3高度的永久部份失能傷害≧1或暫時(shí)全失能傷害＜3；或損失工時(shí)傷害≧360萬～600萬工藝單元外泄2中度的1≦損失工時(shí)傷害＜36萬～60萬工藝區(qū)(工段)外泄1可忽略的急救傷害≧16千～6萬單一設(shè)備外泄表D.2（二）人身傷害經(jīng)濟(jì)損失環(huán)境釋放生產(chǎn)中斷公眾形象高失去生命上百萬元級(jí)別永久性破壞顯著減少，影響季度生產(chǎn)永久性破壞中需要住院治療幾十萬元級(jí)別持續(xù)性破壞臨時(shí)性減產(chǎn)，需要額外輪班或加班以滿足季度生產(chǎn)持續(xù)性破壞低傷口，瘀傷需要急救萬元級(jí)別臨時(shí)性破壞臨時(shí)性減產(chǎn)，不影響季度產(chǎn)量臨時(shí)性破壞附 錄 E（資料性）風(fēng)險(xiǎn)矩陣用于計(jì)算風(fēng)險(xiǎn)等級(jí)，并確定它是否可容忍。一個(gè)5X5的風(fēng)險(xiǎn)矩陣示例，見下表。表E.15X5（示例）嚴(yán)重程度等級(jí)12345可能性非常高Ⅰ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)高Ⅰ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)中等Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅲ級(jí)風(fēng)險(xiǎn)低Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)Ⅱ級(jí)風(fēng)險(xiǎn)非常低Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)Ⅰ級(jí)風(fēng)險(xiǎn)一個(gè)4X4的風(fēng)險(xiǎn)矩陣示例，見下表。表E.24X4（示例）嚴(yán)重程度等級(jí)1234可能性4高風(fēng)險(xiǎn)高風(fēng)險(xiǎn)非常高風(fēng)險(xiǎn)非常高風(fēng)險(xiǎn)3中風(fēng)險(xiǎn)高風(fēng)險(xiǎn)高風(fēng)險(xiǎn)非常高風(fēng)險(xiǎn)2中風(fēng)險(xiǎn)中風(fēng)險(xiǎn)高風(fēng)險(xiǎn)高風(fēng)險(xiǎn)1低風(fēng)險(xiǎn)中風(fēng)險(xiǎn)中風(fēng)險(xiǎn)高風(fēng)險(xiǎn)一個(gè)5X4的風(fēng)險(xiǎn)矩陣示例，見下表。表E.35X4（示例）嚴(yán)重程度等級(jí)不重要的中等地嚴(yán)重的災(zāi)難的可能性確定不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)可能可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)也許可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不太可能可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)罕見的可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)不可容忍的風(fēng)險(xiǎn)參 考 文 獻(xiàn)GB/T20438.1-2017電氣電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分：一般要求[2]GB/T20438.4-2017電氣電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分定義和縮略[3]GB/T20720.1-2019企業(yè)控制系統(tǒng)集成第1部分：模型和術(shù)語GB/T20984-2022GB/T21109.1-2022過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全第1件和應(yīng)用編程要求GB/T25069-2022GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全 第1分：評(píng)估規(guī)范GB/T35673-2017工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 系統(tǒng)安全要求和安全等[9]GB/T36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估施指南GB/T38129-2019IECTR63069Industrial-processmeasurement,controlandautomation-FrameworkforfunctionalsafetyandsecurityANSI/ISA-95.00.01-2010Enterprise-ControlSystemIntegration-Part1:ModelsandTerminology智能工廠安全一體化3PAGE\*ROMANPAGE\*ROMANII目 次前言 III引言 IV范圍 5規(guī)范性引用文件 5術(shù)語和定義 5縮略語 5安全一體化協(xié)同設(shè)計(jì)的架構(gòu) 6系統(tǒng)協(xié)同設(shè)計(jì)原則 7目標(biāo) 7原則 7系統(tǒng)協(xié)同設(shè)計(jì)要求 8通則 8制造執(zhí)行層協(xié)同設(shè)計(jì)要求 8過程監(jiān)控層協(xié)同設(shè)計(jì)要求 12現(xiàn)場控制層協(xié)同設(shè)計(jì)要求 17現(xiàn)場設(shè)備層協(xié)同設(shè)計(jì)要求 21附錄A（資料性） 安全一體化系統(tǒng)安全防護(hù)加強(qiáng)要求 23概述 23制造執(zhí)行層安全防護(hù)加強(qiáng)要求 23過程監(jiān)控層安全防護(hù)加強(qiáng)要求 23現(xiàn)場控制層安全防護(hù)加強(qiáng)要求 24現(xiàn)場設(shè)備層安全防護(hù)加強(qiáng)要求 25附錄B（資料性） 現(xiàn)場總線型網(wǎng)絡(luò)下現(xiàn)場設(shè)備的安全防護(hù)要求 26概述 26區(qū)域劃分基本要求 26身份鑒別與認(rèn)證 26訪問與使用控制 26資源控制 26數(shù)據(jù)安全 27入侵防御 27安全審計(jì) 27附錄C（資料性） 對(duì)安全一體化系統(tǒng)中的協(xié)調(diào)性的分析方法示例 29參考文獻(xiàn) 31圖1 安全一體化協(xié)同設(shè)計(jì)的框架 6PAGE\*ROMANPAGE\*ROMANII表C.1 用于分析安全一體化系統(tǒng)中信息安全措施對(duì)功能安全的影響的FMEA示例 30GB/TXXXX.3—XXXXGB/TXXXX.3—XXXXIVIV引 言傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實(shí)現(xiàn)GB/T35673施（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險(xiǎn)等GB/TXXXXX《智能工廠安全一體化》旨