GBT 24339-2023 轨道交通 通信、信号和处理系统 传输系统中的安全相关通信

代替GB/T24339.1—2009和GB/T24339.2—2009轨道交通通信、信号和处理系统传输系统中的安全相关通信国家市场监督管理总局发布国家标准化管理委员会I Ⅲ V 12规范性引用文件 1 14参考架构 75传输系统的威胁源 96传输系统分类 7防护要求 附录A(资料性)新旧标准对比 20附录B(资料性)防护指南 22附录C(资料性)开放式传输系统面临的威胁 附录D(资料性)传输系统的分类 附录E(资料性)本文件使用指南 参考文献 47Ⅲa)更改了范围(见第1章);c)增加了术语隐含数据及其定义(见3.1.24);d)更改了术语非加密安全编码及其定义(见3.1.36,GBe)增加了术语公共网络及其定义(见3.1.38);g)增加了安全相关通信的主要危害(见第5章);h)更改了防护措施根据GB/T28809执行时的要求[见7.2.5,GB/T24339.2—m)更改了安全编码和加密技术在非安全相关传输2009的A.2);n)更改了安全编码长度的描述(o)增加了安全相关和非安全相关应用之间的通信说明(见B.5);p)更改了通信授权方和攻击者之间的关——用规范性引用的GB/T28809替换了IEC62425:2007(见第1章、第4章、第5章、7.2.5、——将IEC62280:2014中脚注1更改为第5章的注；——将IEC62280:2014中脚注6更改为3.2的注；——用资料性引用的GB/T21562替换了IEC62278(见C.、E—2009年首次发布为GB/T24339.1—2009和GB/TV安全要求取决于传输系统的特性。为简化证明系统安全性方法的复杂性，考虑了3种类型的传输——第1类是包含由安全系统设计者控制并在其生命周期内保持固定的系统；之前第1类系统的要求在GB/T24339.1—2009中规定，其他系统的要求在GB/T24339.2—2009轨道交通通信、信号和处理系统传输系统中的安全相关通信安全要求通常在根据GB/T28809设计的安全相关设备中实施。在某些情况下，只要有安全措施 通过开放式传输系统连接的安全相关设备可能受到多种不同的IT安全威胁，针对这些威胁制定GB/T28809轨道交通通信、信号和处理系统信号用安全相关电子系统(GB/T28809—2绝对时间戳absolutetimestamp参照使用同一传输网络的实体群全局时钟的时间截。为防止未经授权读取或更改信息，在用户安全相关系统内或在传输系统内设计的进程。真实性authenticity信息有效且已知该信息来自指定信息源的状态。封闭式传输系统closedtransmissionsystem特性已知且固定的，通信节点数量固定或最大数量固定的传输系统，且该系统可以忽略未经授权访问的风险。应用间信息传输。未经授权实体不能访问信息的特性。被损坏消息corruptedmessage数据被损坏的消息错误类型。使用输入数据和以密钥为参数的算法来计算输出数据的技术。循环冗余校验cyclicredundancycheck;CRC保护消息免受数据损坏影响的循环码。数据发生改变。在安全相关通信系统的设计中加入应对特定威胁的措施。3延时消息delayedmessage收到消息的时间迟于预计时间的消息错误类型。删除消息deletedmessage从消息流中移除消息的消息错误类型。双时间戳doubletimestamp两个实体交换和比较时间戳的情况。与预期设计发生偏差，可能导致非预期的系统行为或失效。与系统规定的性能发生偏差。可导致系统错误的非正常状态。反馈消息feedbackmessage接收端通过反向传输通道给发送端的回复。蓄意绕开访问保护的人。可能导致事故的条件。识别危害并分析危害原因，以及将危害的可能性和后果限制在可接受水平的需求分析过程。隐含数据implicitdata未发送但发送者和接收者已知的其他数据。以过程能够理解的形式表示过程的状态或事件。插入消息insertedmessage在消息流中插入额外消息的消息错误类型。信息完整且未被更改的状态。4操作检测码manipulationdetectioncode;MDC不含密钥的消息函数。伪装消息masqueradedmessage表面上是真实的、本质上是不真实的插入消息类型。从发送端(数据源)传输到一个或多个接收端(数据宿)的信息。消息鉴别码messageauthenticatio消息的加密函数，该函数包含密钥或公钥。对消息使用加密技术后再逐位传输，使数据难以窃取，但不提供对数据损坏的保护。所有可能导致潜在危险情况或者降低系统可用性的消息失效模式组成的集合。消息完整性messageintegrity信息完整且未被更改的消息。消息流messagestream消息的有序集合。非加密安全编码non-cryptographicsafetycode包含在安全相关消息中基于非加密功能的冗余数据，以便安全相关传输过程检测出数据损坏。公共网络publicnetwork具有未知用户的网络，特别是不受轨道交通控制的网络。在任何时候都可能发生的失效。5校验消息内部冗余数据和用户数据之间存在预定关系，以证明消息完整性的方法。通过安全相关传输功能从用户数据中推导出的附加数据。参照实体的本地时钟的时间戳。重复消息repeatedmessage不止一次地接收到同一消息的消息错误类型。消息流中的消息顺序改变的消息错误类型。安全相关设备或系统的安全状态。无不可接受等级的风险。证明产品符合规定的安全性要求的文件。包含在安全相关消息中，用于由安全相关传输功能检测消息损坏的冗余数据。安全完整性等级safetyintegritylevel在系统失效下，系统满足所规定安全功能的可信等级数值。针对某一事件(如传输系统失效)采取的可能导致设备安全降级状态的安全相关防护措施。负有安全责任。附加数据字段，包含消息到消息按预定方式变化的数字。6源和宿标识符sourceand以名字、数字或任意比特形式赋予各实体的标识符。在某些特殊输入组合下或在某些特殊环境条件下反复发生的失效。潜在的安全侵害。时间戳timestamp由发送者添加在消息上的与传输时间相关的信息。根据要求可以在正确的时间获得信息的状态。添加到非可信传输系统的安全和非安全消息中，以确保传输过程中消息完整性的冗余信息。由应用在多个节点间传输消息流的服务，这些节点可以是信息源或信息宿。被用作支持安全证明证据的特性。未经授权访问unauthorizedaccess未经授权人员或黑客访问和/或修改传输系统内部信息或用户信息。表示用户过程状态或事件的数据，不附加其他任何数据。有效消息validmessage格式完全符合用户要求的消息。有效性validity各方面满足特定用户要求的状态。下列缩略语适用于本文件。BCH-code:BCH码(Bose,Ray-Chaudhuri,HocquenghemCode)BME:基本消息错误(BasicMessageErrors)BSC:二进制对称信道(BinarySymmetricChannel)7CAN:控制器局域网络(ControllerAreaNetwork)CRC:循环冗余校验(CyclicReduECB:电子密码本模式(ElectronicCodeBookmode)EMI:电磁干扰(ElectromagneticIntGSM-R:铁路数字移动通信系统(GlobalSysteHE:危害事件(HazardousEIT:信息技术(InformationTechnLAN:局域网(LocalAreaNetwoMAC:消息认证码(MessageAuthentificatiMDC:操作检测码(ManipulationDetectioncode)MD4,MD5:消息摘要算法(MessageDigestalgorithmMVB:多功能车辆总线(MultifunctionVehicleBus)PROFIBUS:过程现场总线(ProcessFieldBuQSC:q进制对称信道(q-narySymmetSR:安全相关(SafetyRelSRS:安全需求规格书(SafetyRequirementsSpecificatiUTC:世界标准时间(UniversalCoorWAN:广域网(WideAreaNetwork)WiFi:无线保真(WirelessF主要架构的组合视图——开放式和封闭式传输系统，见图1,其中所有通信元素根据信息流链接，以在安全相关设备之间交换安全相关信息。参考架构还显示并非始终存在的非安全性相关接口。在安全相关设备之外但通过安全技术进行检查来实现，这些技术保护了第3类传输系统中的安全相关信息，在第1类或第2类传输系统中不需要；封闭式传输系统(第1类)的特点如下：开放式传输系统(第2类和/或第3类)可包含以下部分或全部。8第3类开放式传输系统可能遭受恶意的未经授权访问。应用消息依据GB/T28809在安全相关设备中实施对第3类传输系统在以下设备中实施：——依据GB/T28809的安全相关设备；——通过其他安全相关措施检查的非安全相关设备。在以下设备中实施：——非安全相关设备；28809进行评估)。——安全相关设备(安全相关设备和非安全相关设备见的接口依据28809进行评估)。9 6.1总则因此，威胁的重要性(以及由此产生的防护要求)取决于用户对传输系统的控制程度，包括以下根据这些方面可以定义3类传输系统。6.3.1第1类传输系统标准——前提条件1:可连接至传输系统的设备(安全相关或非安全相关)的数量是已知和固定的。由于安全相关的通信节点取决于此参数，因此允许一起通信的最件纳入安全需求规格书。应在安全论据中定义/嵌入系统的配置。在对该配置进行任何后续生命周期内进行维护。如果变更安全论据中使用的主要参数，应对如果传输系统满足上述所有前提条件，则可将其视为第1类封闭系统。应符合第7章给出的过程如果传输系统不满足6.3.1的前提条件1或前提条件2,但满足前提条件3,则应将其视为第2类开如果传输系统不满足6.3.1的前提条件3,则应将其视为第3类开放式系统，应采用第7章给出的第7章的适用性取决于传输系统的分类。——声称并保持符合第1类或第2类传输系统前提条件的情况；对于h),本文件的范围不包括一般信息安施，应在安全论据中证明和记录任何忽略威胁的假设。附录C列出了可能存在的威胁，可作为指南——识别每种威胁的风险等级(发生频度/如何选择当前已知技术防护威胁见附录B,在选择防护措施时宜考虑附录B提到的有效性问题。——信源和/或信宿标识符(如果有多个发送者和/防护措施及其与所有可能威胁的关系见附录B。图2消息周期性传输如果反馈通道可用，发送端可进行监督。当发送消息i时发送端启动计时器，消息i的接收端用与之相关的确认消息j响应，见图3。如果发送端没有在预定时间收到相应确认消息j,应视为错误。图3消息双向传输安全论据应证明与过程的安全完整性等级，以及与安全相关过程性质相关的以下各项的适当性：消息可包括一个唯一的源标识符或一个唯一的宿标识符或两者均包含。应根据安全相关应用选——通过对相同的算法使用不同的配置参数(例如多项式)。如果两个编码都基于CRC,则多项式—所有位都为逻辑0;——所有位都为逻辑1; 制编码的情况下，q进制对称信道(QSC)可能更合适。宜将此概率限定为通过这些模BSC非常适合EMI引起的随机错误。但是，非可信传输系统通常会排除简单的随机错误。因下采用BSC,见B.4。c)将加密编码添加到安全编码中。 7.3列出的防护措施与第5章定义的可能存在的威胁有关。每种防护措施都可以为传输系统提供表1威胁/防护矩阵防护时间戳反馈消息√√√√√√√ √√√√·只适用于源标识符，并只检测来自无效源的插入。如果因为未知用户而不能确定唯一标识符，应使用加密技术，见7.3.9,见7.4.3和B.2。(资料性)新旧标准对比本文件是对GB/T24339.1—2009和GB/T24339.2—2009进行修订和合并的结果。主要进行了纠正和改进。由于一致性的原因，内容有更新。表A.1和表A.2显示了GB/T24339.1—2009和GB/T24339.2—2009的条款和附录与本文件的条款和附录之间的对照关系。这些有助于在按照GB/T24339.1—2009和GB/T24339.2—2009对系统进行维护和/或扩展时具有追溯性，以及对本文件的进一步理解。表A.1和表A.2中的引用仅为从旧版标准对应到新版标准，而不是新标准对老标准的引用。表A.1GB/T24339.1—2资料性/规范性引言资料性引言前提条件1前提条件26.3.1的前提条件1前提条件35传输系统特征和安全规程之间的关系5.1功能完整性要求(起始至P1)未使用未使用6.2安全相关设备间的通信7.1和7.26.3安全相关设备和非安全相关设备之间的通信6.4非安全相关设备间的通信未使用资料性不变——参考文献的变更和术语的变更，以达到整个标准的一致性。编辑修改——内容不变，只是重新安排和改进。技术修改——内容移动到其他条款，或者修改。表A.2GB/T24339.2—2009与本文件的对照资料性/规范性引言资料性引言6.3具体的防护7.3.8安全编码7.3安全编码和加密技术的选择和使用7.4.3安全编码和加密技术的选择和使用资料性A.2安全编码和加密技术的选择和应用资料性应用资料性资料性资料性附录D传输系统分类资料性资料性附录D开放式传输系统的威胁资料性附录C开放式传输系统面临的威胁不变——参考文献的变更和术语的变更，以达到整个标准的一致性。编辑修改——内容不变，只是重新安排和改技术修改——内容移动到其他条款，或者修a)用于声明实体内事件的时间，该时间对接收信息的过程很重要。事件之间可以有时间关系。·如果使用绝对时间戳，实体间的时间需要同·如果时间分辨率太低，事件排序的特性可能是不确定的。在这种情况下，信息增补序d)为检查实体A的信息有效性，要求回传实体B发送给实体A的上一信息中的时间截。这样确保一个特殊的应答(身份),也检查了预定的环回时间。实体B通过创建序列号(或标签)和时尽管通信系统可能未知或在生命周期内变化，大多数情况下可以确定能A0型A0型图B.2传输系统内部消息表示模型(A0、A1型)在通过局域网(LAN)连接的安全相关计算机组通过开放式传输系统进行通信的情况下，独立的访问保护层是有用的，见图B.3。图B.3描述的模型背后的隐含假设是这些LAN可以被分类为类别2。加密硬件和软件可以集中在开放式传输系统的唯一入口点。排除开放式传输系统的其他接口。加密功能可以与网关功能组合，例如，网关功能通常在LAN连接到广域网时需要。应用过程安全相关传输过程传输系统B0或B1型消息安全相关传输安全相关传输访问保护过程安全相关传输过程访问保护层安全相关传输过程用于差错控制的大部分编码都是线性二进制码。也使用非二进制码，如理德-所罗门编码(Reed-Solomoncode)。这些编码对对抗随机错误和突发错误非常有效。编码可以设计为拥有特定的最小汉明距离d。也就是说，可以检测所有的d—1位错误。因为码字是线性的，所以也可测试码字检测系统性错误的能力。有用的模型有二进制对称信道(BSC)和q进制对称信道(QSC)。这些编码还可以用于系统传输错B.3.2.3循环分组码如果码字的每次循环移位仍是码字，则线性分组码称为循环码。循环码可以用多项式表示。编码的数学原理见参考文献[23]。这些编码对防止随机错误和突发错误非常有效，可设计为具有特定的最小汉明距离d,还可用于测试系统性错误检测能力。带有c个冗余符号的循环码可以检测到突发长度不超过c的所有突发错误。在某些应用中，可以利用编码的循环特性避免错误码字同步的危险。为此，需要扩展编码，但其最终结果优于依赖单独同步字符的系统。B.3.2.4哈希码哈希码可以是线性的或非线性的。最重要的是非线性单向功能，把输入数据压缩为“指纹”。因为是非线性的，除极少情况外无法确定最小汉明距离。然而，良好的哈希码的错误检测能力很高。通常输入数据的单一比特变化会改变哈希值的一半比特。从计算上来说，给定一个哈希值，不可能找到散列成该值的输入数据(单向特性);从计算上来说，给定一个输入数据，不可能找到哈希值相同的另一个输入数据(弱哈希函数的冲突特性)或任何两个具有相同哈希值的数据对(强哈希函数的冲突特性)。ISO/IEC10118-1定义了用于信息安全目的的哈希码，ISO/IEC10118-2定义了无密钥的n位块加密算法的哈希码。MAC也可以作为哈希码使用，但此时需要密钥。可以通过公共领域的消息摘要算法MD4和MD5(见参考文献[22])获得软件的良好性能，MD4和MD5与MDC同类。对冲突标准没有高的要求，因为恶意攻击被其他方式防护了。这意味着，使用加密分组码(例如，MAC)或对包括哈希值的整个安全相关消息进行加密保护。B.3.2.5数字签名数字签名是根据所有输入数据(用户数据和附加数据)和密钥生成的一组比特。其正确性可以通过B.3.2.6加密分组码加密分组码是基于加密算法的一种非线性哈希码，其优点是如果基于密钥，可以防止恶意攻击。消息认证码(MAC)是一种常见的编码，ISO/IEC9797-1和ISO/IEC9797-2已规范其使用方法。B.3.3应用安全编码的建议各种基本技术的评估举例见表B.1。安全编码机制的评估安全相关传输系统的分类，见图B.1见参考文献[23]RRRRR表B.1安全编码机制的评估(续)安全相关传输系统的分类，见图B.1哈希码R数字签名RRRR注1:当建议了多于一种安全编码机制时，宜采用一种或多种机制的组合。注2:HR表示该架构宜使用该技术。如果不使用这种技术，那么不使用它的理由在技术安全报告中详细说R表示该技术宜用于此架构。这是一个比“HR”更低级别的推荐。可能有其他安全方法，但此处不考虑。如果使用流加密技术，那么不适合使用CRC作为安全编码。否则，攻击者可以不破译密钥，通过给流加密消息添加一个带有有效CRC的任意消息，创建带有有效CRC的安全相关信尽管知道特殊信道的错误特征可能使一些错误类型被忽略，并获得更高的性能(黑箱通道),不能假设能预先知道这种信息。在这种情况下，理想的解决办法是随机编码。因此，不能声明安全编码未检测出错误概率Pr是多少，其性能低于随机编码的性能Pux=2-',c表示冗余比B.3.4加密技术使用加密技术时宜使用如ISO/IEC10116的标准操作模式。对于输入长度超过加密算法分组长度的情况，不宜使用电子密码本模式(ECB)。使用一些众所周知且经过良好测试的算法，见参考文献[21]。B.4安全编码长度本附录只适用于第1类，即封闭式传输系统，因为所列公式是基于对传输系统的特定假设。事实上，这里描述的模型部分依赖于传输系统的错误检测和管理机制。通常，在无故障的情况下，传输系统的错误检测机制检测并纠正所有的传输错误。在这种情况下，安全编码不会检测到任何错误。然而，传输系统本身或其错误检测机制可能会因为硬件故障而失效，或者某些传输错误过多而无法检测到。在所有这些情况下，安全编码检测这些故障。与忽略传输系统错误检测能力的模型相比，采用该模型可降低安全完整性对安全编码的要求。另一方面，传输系统是固定的，不能在未调整安全论据前更换为另一个系统。对于忽略错误检测机制或硬件故障率影响的系统，可以修改这个模型。本附录给出了计算安全编码长度的简单公式。满足给定的要求可保证达到安全目标。计算安全编码长度的基本模型见图B.6。GB/T24339—2023正常(不包括校验器故障)12传输编码校验器故障3危害图B.6基本错误模型以下3种情况可能产生危害：a)传输系统故障导致消息损坏；b)由EMI产生的误码并且设有被传输编码检测出；c)传输编码校验器出现故障，在这种情况下每一个损坏的消息都可能会从非可信传输系统传送到安全相关的设备。下面给出如下定义：R——整个传输系统的目标危害失效率；Rm——没有传输编码检查器的硬件的危害失效率；R—EMI导致的危害失效率；R——有传输编码检查器的危害失效率；Rnw——非可信传输系统的硬件失效率；Pus——安全编码性能导致的未检测出失效的概率；Pur——传输编码性能导致的未检测出失效的概率；fn——单个接收机的最大消息频率；fw——消息出错(损坏)的频率；T——时间间隔，如果这段时间内接收的损坏消息数量超过了规定数值，将进入安全降级状态；k₁——包含安全余量的硬件故障因子；k₂——硬件故障百分比因子，这些硬件故障导致传输译码无法检测；m——包括在k₁里的安全因子；n——导致进入安全降级状态的连续损坏消息的数量。根据这些定义对公式(B.1)～公式(B.3)进行评估。三种失效率的和不能超过Rn,见公式(B.4)。因为不能假设失效是随机的，所以有必要在因子k,中考虑安全裕量m。k₁因子可以按照公式 收到的错误消息多于一个，安全通信将被终止同时进入安全降级状态。可以用数学方法证Pus=2*…………在可信网络(第1类和第2类)中，非安全相关应用可以使用与安全相关应用相同的传输介质进行应用过程应用过程信息图B.7非安全相关和安全相关应用程序之间的通信获取威胁集的方法是通过树的形式(见图C.1),把危害分析分成3个独这些层遵循自上而下方法，从主危害(MH)开始。主危害定义为接收端因为消息的真实性、完整此威胁与基本消息错误的关系为1:1。将危害分析进行分层也提供了(至少)3层防护的可能性。附录C只是整体介绍所采用的方法，不会深入探讨该问题。C.2基本消息错误的导出消息是整个分析的主体，所以一直从接收方的视角来研究通信过程。消息可被定义成“由发送源产生的一个有用信息，将在从传输开始的时间段△t内被发送”。识别开放式传输系统传输安全相关消息发生的危害时主要考虑消息流的完整性。每个时间窗和接收端都是唯一的。实际接收到的消息流可能与预期的不同，原因有很多。具体进一步分为3个子集(基本危害)。——比预期接收的消息多，有1个或多个消息重复，或者有外部消息插入。因此基本消息错误就是——比预期接收的消息少，1个或多个消息被删除。因此基本消息错误是删除消息。——接收的消息和所预期的一样多，有以下几种可能性产生。·消息流的所有消息在内容上和传输时间上是正确的，但顺序是错误的：发生了重排序。消息流的一个消息花费了超过正常的时间△t到达接收端：发生了延时。·接收端认为消息的发送端不是真正的发送端：发生了伪装错误。后两种情况已考虑单个消息的完整性。基本消息错误是重新排序、延时、损坏、伪装消息。因此定义了下面一组基本消息错误：——删除消息；——插入消息；——重排序消息；——被损坏消息；——延时消息；——伪装消息，以上定义的基本消息错误并不互相排斥。在消息流的多个消息甚至是单个消息也有可能受到不只一种错误模式的影响。C.3威胁C.3.1总则作为在C.2中定义的基本消息错误，很容易推导出相应的威胁。设定A、B和C是进行安全相关消息通信的3个授权方，而X是攻击者。要注意的是威胁列表中考虑了随机和系统的硬件/软件失效；下面的解释仅是示例，不是穷举。可能的重复情况如下：——X复制一个消息(例如，最大速度250km/h),并且在不适当的情形下重放消息(当列车位于低速轨道区间);——硬件故障导致非安全传输系统重复发送旧的消息。C.3.3删除可能的删除情况如下：——X删除了一个消息(例如，X删除“紧急停车”——硬件故障导致删除了一个消息。C.3.4插入可能的插入情况如下：——X插入了一个消息(例如，最大速度250km/h);——一个授权的第三方C无意地在A发给B的信息流中插入了一个消息(或由于网络错误发生相同的情况)。C.3.5重排序可能的重排序情况如下：——X故意改变发给B的消息的次序(例如，通过强迫消息选取网络的不同路径来延迟消息);——硬件故障导致消息的顺序发生改变。可能的损坏情况如下：——消息意外被改变(如EMI)为另一个形式上正确的消息；A和/或B不能检测到修改。C.3.7延时可能的延时情况如下：——由于正常通信造成传输系统过载(例如，因为错误的设计或偶然的高流量);——X通过生成伪装消息使传输系统过载，以致服务延时或停止。C.3.8伪装消息可能的伪装消息：A和B想要传输安全相关的数据，并且X对A假装是B或X对B假装是A(或同时),以获得安全相关的数据或被认为是系统的合法用户。C.4创建安全论据的方法以下方法仅是示例，并不是可遵循的唯一方法。为进行正确的风险评估，全面的危害分析需要对相关应用有深入的认识。C.4.2识别危害事件的结构化方法下述分析从考虑所检验的案例涉及与外部环境交互的网络开始。这两个实体由一些子实体组成(图C.2中用下划线标注),这些子实体可视为引起所分析系统产生可能的危害事件的致因。网络实体可根据其生命周期的几个阶段进一步划分，而对外部环境实体的划分要注意两个可能的特征：物理特征在图C.2中，树的分支代表危害的原因，并明确了每个原因相应产生的危害事件。这样的处理方法每个原因可划分但不限于为几个可能的危害事件：在危害分析过程中，根据具体应用可以考虑其他网络调试前的活动调试时的活动操作者人为因素破坏者图C.2威胁的原因C.4.2.2网络网络生命周期的阶段可根据GB/T21562来定义。就附录C的范围(即：识别由每个阶段中的“错误”产生的危害事件),这些阶段可以通过下述方式组合在一起：阶段都与系统调试前的行为相关；——运营和维修；——停用及处置。C.调试前的活动这个阶段中的错误可能有：——硬件的系统性失效；——软件的系统性失效。这个阶段中的错误可能有：——串扰；——断线；——天线未对准；——布线错误。C.运营与维修在生命周期的这个阶段，系统组件的性能丧失以及维修和/或修改过程中的错误都可以引发危害事件： ——硬件随机失效；——硬件老化。这个阶段中的错误可能有：——使用未校准的仪器；——使用不适当的仪器；——错误的硬件替换；——错误的软件升级或替换。这个阶段中的错误可能有：——衰落效应；——人为错误。C.停用及处置认为通信错误相关的危害事件是不会在网络生命周期的这个阶段产生。C.4.2.3外部环境C.电磁场这个阶段中的错误可能有：——EMI;——串扰(与外部电缆或无线电链路)。C.机械应力这个阶段中的错误可能有：——硬件随机失效；——硬件老化。这个阶段中的错误可能有：——热噪声；——硬件老化；——硬件随机失效； 这个阶段中的错误可能有：——磁暴；——火灾；——地震；——闪电。C.操作员人为错误。C.授权用户这个阶段中的错误可能有：——人为错误；——传输系统过载。这个阶段中的错误可能有：——使用未校准的仪器；——使用不适当的仪器；——不正确的硬件替换；——人为错误；——不正确的软件升级或替换。C.破坏者这个阶段中的错误可能有：——硬件损坏或破坏或改变；——未经授权的软件修改。这个阶段中的错误可能有：——监测信道；——发送未经授权的消息。C.4.3危害事件——威胁之间的关系根据C.1所列条款，每个威胁可以看作是由一组危害事件产生的。从前文已识别的危害事件开始，下一步包括建立危害事件与在C.3中通过自下而上的方法概述的威胁之间的关系。目的是验证不会出现其他额外的威胁，以证明采取的方法有效。威胁-危害事件的关系可以表示为确定了获得针对传输系统中安全相关通信的可能威胁集的两种不同方法。第1种是自上而下的方因，第2种方法从定义所考虑系统的两个主要实体入手(网络和外部环境)。这些事件随后被引用到它√√√√√√√√√√√√串扰√√ √ 断线 √√√√√ √√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√ √ √√√ 、 √ √√√√√√热噪声√ √ √√√√√√ √ √√闪电 √√√√√窃听√√√√√√ √ √√ √√√√√√发送未经授权消息√√通道监测在这种情况下，消息从一开始就是伪造的；需要强大的防护措施，未经授权监控SR消息不被视为直接危害事件；系统安全的危害源于未经授权监控导输”。应用数据的机密性是本文件范围之外的单6.3确定了3类传输系统：上述3类系统相关的实际传输系统的进一步指导。确定特定系统是否被视为第1、2或3类系统进行分析。示例为最大通信节点数量已知和固定的系统设计。在整个生命周期内不变。近距离空气间隙传输(例如应答器发送给车载天线)。安全相关系统内部的专有串行总线(例如，PROFIBUS、CAN和完全满足并保持前提条件、在单个系统内连接不同设备(安全相关和用户组扩展的范围有限。已知用户组或组。未经授权的访问机会可忽略(网络可信)。安全相关系统内部的专有串行总线(例如，PROFI系统可能在生命周期内重新配置或由另一个传输系统替换。工业标准LAN在受控和有限的区域内连接不同的系统(安全相关和非安全相关)。连接不同位置的不同系统(安全相关和非安全相偶尔使用并且在不可预测的时间使用的公共电(例如，联锁系统的拨号远程诊断)。接入受限的无线电传输系统(例如，因为链路预算发的波导或泄漏电缆，或使用专有的调制方案，无法通过现有的商用或可负担的实验室设备产生相同信号的系统)公共电话网中的分组交换数据。互联网。电路交换无线系统(例如，GSM-R)。分组交换数据无线系统(例如，GPRS)。短程广播无线电(例如，WiFi)。D.2传输系统的分类和威胁的关系表D.2给出了6.3.1、6.3.2、6.3.3定义的3类传输系统威胁的定性评价。表D.2威胁/类型的关系++十+十+———威胁可被忽略；+——威胁存在，但是很少，采用一般对策；在这种通用的级别上，无法根据传输系统的分类以及对每种威胁需要的防护分配SIL;为了分配SIL,首先需要分析特定的应用。(资料性)本文件使用指南可以确定若干不同的步骤来执行GB/T28809所述的系统设计活动，步骤见图E.1。图E.1步骤示意图系统设计者需要理解传输系统的应用。数据流、数据类型和更新的频率及属性(例如，周期性或事件驱动)均影响在设计传输系统过程中将采取的决定。需要定义系统的整个安全指标(例如，失效率或定性参数和非功能性参数)。系统(见GB/T21562)危害的定性分析识别由发送设备、接收设备或传输链路自身失效引发的顶层危害，分析考虑可能引起系统危害的操作或者是其他外部条件。对于系统的每个威胁，在系统设计时考虑一个防护的可能性。根据系统的全局定量安全目标和定性的危害分析，系统设计者可给每个已识别的威胁分配安全指标。这种指标的分配可以是反复的，从一个简单的分配开始，再根据更详尽的分析和不同情况间的权衡进行细化。利用引起系统危害的外部条件出现的定量信息，可以确定各个防护需要的风险降低程度。E.1.5SIL分配和定量目标根据每个防护需要的风险降低程度，可以使用GB/T28809所定义的步骤分配SIL。已知SIL等级的防护，可以选择适当的设计技术。根据防护识别到的定量的危险(错误侧)失效率，可以利用GB/T28809中的表格来选择硬件设计技术，并计算由随机失效导致的危险失效的发生率。E.1.6安全需求规格书(SRS)已识别的系统安全操作所需防护，实现这些防护的SIL和量化的安全目标都记录在系统的E.2示例E.2.1总则下面的示例仅表述了过程的一些基本原理，并非旨在描述一个在所有细节上都正确的完整示例。行车许可指令以无线网络消息的方式发送到侧线上的列车。系统的全局安全目标定义为10~/h。E.2.3危害分析可以确定两个特殊的危害(其他