2024智能工厂安全一体化平台

智能工厂安全一体化——第1部分：一般要求——第2部分：风险评估要求——第3部分：系统协同设计要求——第4部分：系统评测要求1目次目次PAGE\*ROMANPAGE\*ROMANI前言 III引言 IV范围 1规范性引用文件 1术语和定义 1缩略语 4安全一体化的对象 4安全一体化生命周期 5安全一体化管理 6一般要求 6安全方针和策略 7组织要求 7人员 7变更管理 7安全集中管理 8概念和目标确定 8概念确定 8安全目标的确定和实现 8安全一体化风险评估 10安全一体化要求分配和设计 11安全一体化确认 12安全一体化运行维护 13修改和变更 14退役和停用 14附录A（资料性） 功能安全和信息安全的异同 15附录B（资料性） 风险降低过程及补偿措施示例 17风险降低过程 17补偿措施 19附录C（资料性） 安全协同的考虑和建议 21参考文献 24图B.1 风险降低过程示例（功能安全） 17图B.2 风险降低过程的示例（功能安全和信息安全） 18PAGE\*ROMANPAGE\*ROMANII图B.3 风险降低过程的示例（安全一体化） 19图C.1 功能安全和信息安全交互影响模型 22表A.1 功能安全和信息安全异同 15表C.1 功能安全和信息安全交互影响状态 21引言引言IVIV传统工厂一般采用GB/T20438和应用领域标准（例如GB/T21109，GB/T16855，GB28526）来实现GB/T35673施（如安全仪表系统）面临更复杂的应用环境（如黑客攻击、恶意软件等信息安全威胁，人工智能AI的失控危险等GB/T——第1部分：一般要求。目的在于提出安全一体化生命周期的整体要求，以及实现安全一体化的基本原则。——第2部分：风险评估要求。目的在于提出开展安全一体化风险评估的流程和要求。——第3部分：系统协同设计要求。目的在于针对智能工厂制造执行层、过程监控层、现场控制层和现场设备层提出系统协同设计的要求。——第4部分：系统评测要求。目的在于提出开展安全一体化完善度评测的方法和要求。GB/TXXXXX.1PAGEPAGE111 范围本文件适用于智能工厂安全一体化的风险评估、设计和实施。规范性引用文件（包括所有的修改单适用于本文件。GB/T20438（所有部分）电气/电子/可编程电子安全相关系统的功能安全GB/T21109.1过程工业领域安全仪表系统的功能安全第1部分：框架、定义、系统、硬件和软件的要求GB/T22239信息安全技术网络安全等级保护基本要求GB/T30976.1工业控制系统信息安全第1部分：评估规范GB/T33007工业通信网络网络和系统安全建立工业自动化和控制系统安全程序GB/T35673工业通信网络网络和系统安全系统安全要求和安全等级\hGB/T41257数字化车间功能安全要求\hGB/T41260数字化车间信息安全要求GB/TXXXXX.2智能工厂安全一体化第2部分：风险评估要求GB/TXXXXX.3智能工厂安全一体化第3部分：系统协同设计要求GB/TXXXXX.4智能工厂安全一体化第4部分：系统评测要求术语和定义下列术语和定义适用于本文件。智能工厂 SmartFactory安全一体化 safety and securityintegrationPAGEPAGE2安全完整性等级 safety integrity level（四个可能等级之一4是最高的，安全完整性等级1是最低的。注1：四个安全完整性等级对应的目标失效量（见3.5.17）在GB/T20438.1的表2和表3中规定。注2：安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。注3：安全完整性等级(SILSILn234）的正确解释是系统具有支持安全功能的安全完整性等级达到n的潜在能力。[来源：GB/T20438.4—2017,3.5.8]安全一体化完善度 safety and security integration level表征智能工厂功能安全和信息安全冲突消减能力程度的一种离散等级。注：按照离散的区间分为3个级别，安全一体化完善度越高，智能工厂的整体安全协调能力越强，安全冲突发生的可能性越小。安全一体化生命周期 safety and security integration lifecycle功能安全相关系统 Functional Safety related System所指的系统应满足以下两项要求：——执行要求的安全功能足以实现或保持EUC的安全状态；并且——自身或与其他安全相关系统、其他风险降低措施一起, 能够实现要求的安全功能所需的安完整性。注1：由于security和safety的中文都是安全，因此安全相关系统（safetyrelatedsystem）的概念可能会产生混淆，因此本文件将原有的定义改为功能安全相关系统。注2：功能安全相关系统可：用于防止危险事件发生（即安全相关系统一旦执行其安全功能则避免伤害事件发生）。用于减轻伤害事件的影响，即通过减轻后果的办法来降低风险。ab)的功能组合。注3：人也可作为功能安全相关系统的一部分。例如，人可以接收来自可编程电子装置的信息，并根据接收信息执行安全动作，或通过可编程电子装置执行安全动作。注4：功能安全相关系统包括执行规定安全功能所需的全部硬件、软件以及支持服务（如电源）[因此，传感器，其他输入装置，最终元件（执行器）和其他输出装置都包括在安全相关系统中]。注5：功能安全相关系统可基于广泛的技术基础，包括电气、电子、可编程电子、液压和气动等。[来源：GB/T20438.4—2017,3.4.1,有修改]功能安全functionalsafety整体安全中与EUC和EUCE/E/PE安全相关系统和其他风险降低措施正确执行其功能。[来源：GB/T20438.4—2017,3.1.12]安全状态safestate达到安全时EUC的状态。从潜在的危险条件到最终的安全状态，EUC可能必须经过几个中间的安全状态。有时，仅当EUC处于连续控制下才存在一个安全状态。这样的连续控制可能是短时间的或是不确定的一段时间。[来源：GB/T20438.4—2017,3.1.13]随机硬件失效randomhardwarefailure在硬件中，由一种或几种可能的退化机理而产生的，在随机时间出现的失效。1：在各种元件中，存在以不同速率发生的许多退化机理，在这些元件工作不同的时间之后，这些机理可使制造公差引起元件发生故障，从而使包含许多元件的设备将以可预见的速率，但在不可预见的时间(即随机时间)发生失效。2：（（或其他合适的度量可以用合理的精度来量化，但系统性失效无法精确预计，因此系统性失效引起的系统失效率则不能精确地用统计法量化。也就是说，由随机硬件失效引起的系统失效率可以用合理的精度来量化，但是由系统性失效引起的系统失效率不能精确地用统计法量化，因为导致系统性失效的这些事件无法简单预测。[来源：GB/T20438.4—2017,3.6.5]系统性失效systematicfailure注1：仅修正性维护而不加修改，通常无法消除失效原因。注2：通过模拟失效原因可以引出系统失效。注3：系统性失效的原因可包括以下情况中的人为错误：安全要求规范：c)软件的设计和实现等。注4：在本文件中，安全相关系统的失效被分为随机硬件失效（见3.4.5）和系统性失效。[来源：GB/T20438.4—2017,3.6.6]危险失效dangerousfailure对执行安全功能有影响的组件和/或子系统和/或系统的失效，其：在要求时阻止安全功能的执行（要求模式），或导致安全功能失效（连续模式）EUC降低在要求时安全功能正确执行的概率。[来源：GB/T20438.4—2017,3.6.7]安全失效safefailure对于执行安全功能有影响的组件和/或子系统和/或系统的失效，其：EUC（或其一部分）进入或保持安全状态；或EUC（或其一部分）进入或保持安全状态的概率。PAGEPAGE10[来源：GB/T20438.4—2017,3.6.8]诊断diagnostic通过自动在线自测试检测失效的一种安全机制。信息安全区域securityzone共享通用信息安全需求的逻辑资产或物理资产的集合。注1：本文中所用的“区域”应当都是指信息安全区域。注2：一个区域应当和其他区域有明显的边界。一个信息安全区域的信息安全策略在其内部和边缘都要强制执行。一个信息安全区域可以包括多个不同等级的子区域。[来源：GB/T40211—2021,3.2.117]信息安全等级securitylevel[来源：GB/T40211—2021,3.2.108]安全功能safetyfunction针对特定的危险事件，为实现或保持EUC的安全状态，由功能安全相关系统实现的功能。示例：安全功能的例子包括：在要求时执行的功能，作为一种主动行动以避免危险状况（如关闭电机）；和采取预防行为的功能（如防止马达启动）。[来源：GB/T20438.4—2017,3.5.1,有修改]缩略语下列缩略语适用于本文件。DDoS：分布式拒绝服务（DistributedDenialofService）EUC：受控设备（EquipmentUnderControl）IACS：工业自动化控制系统（IndustryAutomationControlSystem）PHA：过程危险分析（ProcessHazardAnalysis）SIL：安全完整性等级（SafetyIntegrityLevel）SL：信息安全等级（SecurityLevel）SSIL：安全一体化完善度（SafetyandSecurityIntegrationLevel）安全一体化的对象注：本文件所定义的4个层次是一种逻辑层次的概念，与GB/T20720.1的层次架构对应关系见图1。各个层所包含的内容如下：现场设备层：包括现场制造设备、感知执行设备和实际生产过程等；现场控制层：包括操纵生产过程的控制组件、安全相关组件等；过程监控层：包括监测生产过程和设备状态的组件；制造执行层：包括生产过程调度（非安全一体化相关部分）和安全调度管控等；企业资源层：一般不涉及安全一体化的内容，因此在本文件中不对其提出要求。业务计划和物流管理业务计划和物流管理企业资源层业务计划和物流管理第4层第3层 （非安全一体化相关部分如生产过程调度）制造运行管理（安全一体化相关部分，如安全调度管控）2层安过程监控层1层批控制全一现场控制层体0层现场设备层化制造执行层基于GB/T20720.1的层次架构 本文件所定义的实现安全一体化的的层次架构图1 安全一体化对象示意图安全一体化生命周期安全一体化生命周期模型见图理理（见本文件第7章）概念和目标确定（8章）安全一体化风险评估（9章）是否需要增加否风险降低措施是更（安全一体化分配和设计（10章）安全一体化确认（11）13章）安全一体化运行维护（12）退役和停用（14）注1：根据不同应用，生命周期有可能增加新的相应阶段。注2：生命周期可能并非始终顺序执行，由于修改或变更可能存在一些反复或迭代，返回到生命周期的早期阶段。注3：安全一体化管理贯穿生命周期的各个阶段。图2 安全一体化生命周期模型安全一体化管理一般要求智能工厂应建立安全一体化管理体系，并贯穿于整个安全一体化生命周期过程中。GB/T20438.1、GB/T33007、GB/T222397.2-7.5注：传统的功能安全和信息安全已有大量的标准和法规要求，例如在信息安全管理方面的GB/T22080等，本文件无法穷尽，这些要求也需要在特定的项目中适当使用，功能安全和信息安全的区别与联系参见附录A。安全方针和策略应优先考虑最小化人员伤害，并综合考虑财产损失、环境破坏、生产连续性影响和社会声誉影响等，作为安全一体化实现的基本方针。功能安全防护措施本身应得到适当的信息安全防护。应综合考虑功能安全、信息安全和安全协调等问题制定安全策略。当功能安全防护要求和信息安全防护要求之间存在冲突时，应采取可替换的防护设计手段或补偿措施。信息安全的设计不应对装置功能安全目标的实现有从风险角度不可接受的负面影响，应评估以下负面影响的程度，对于导致不可接受风险的影响应采取协同设计：——阻止功能安全的有效实现，例如由于传输的限制导致安全控制信号被阻塞；——产生误动，导致生产过程连续性遭受影响；——响应时间变慢；——可靠性降低；——运行维护复杂化；——其他负面影响。.4组织要求应建立功能安全和信息安全相关人员之间的沟通交互机制。注：协调起来。应对从事安全一体化活动的相关人员规定清晰的任务，进行明确的职责分配和考核监督。人员应根据具体的应用考虑执行安全一体化人员能力的适宜性，在智能工厂设计、实现和运行过程\hGB/T41260-20225.420438.1-20176宜建立具备功能安全、信息安全复合能力的人员培训机制。变更管理应制定统一变更管理规程，其中包含功能安全和信息安全的变更要求。EUCEUC（包括组态情况、执行状态等），应考虑重新执行安全一体化风险评估，以确定变更后的风险仍然可以接受。应制定规程以评估当功能安全相关系统和信息安全防护设施发生变更时（包括组态情况、执行状态等），对于安全一体化造成负面影响的可能性。当功能安全相关系统发生变更时，应重新确认其信息安全防护设施仍然有效。信息安全的变更应考虑到对于生产和功能安全相关系统的影响，当这种影响产生的风险不可容忍而不能立即执行时，其脆弱性应得到及时的跟踪和管理，并在后续合适的时机补充执行变更。注：必要时可开展一次专门的风险评估，以识别出不会对安全一体化完善度造成影响的补偿措施，这些补偿措施的执行需要得到专门的分析和批准。当信息安全防护措施发生变更时（例如更新补丁），应开展相应的测试以确认这些变更不会降低安全一体化完善度。应建立完整的变更记录和审计措施，以确保出现新的变更时可以进行溯源恢复。安全集中管理宜建立覆盖主要安全目标的安全集中管理平台，以实现生产现场全过程安全事件的动态感知和快速响应。安全集中管理平台的任何功能及其组合不应影响安全功能的正常执行。注：考虑到平台自动响应（如自动关闭边界）的风险，不宜利用平台对安全事件进行自动响应和自主处置。通常这种处理方式应由功能安全控制回路实现。安全集中管理平台应作为信息安全关键区域进行要求，安全集中管理平台的信息安全防护至少应达到与之直接关联的安全区域同等级的信息安全防护能力。概念和目标确定概念确定应辨识出可能造成危险的所有相关系统、网络及其边界范围，包括：EUCEUC在概念确定时，应识别并列出如下所有信息：——应用在该厂区/车间装置及其控制系统的种类、用途；——所有装置及其控制系统数据的物理传输介质与通道；——所有装置及其控制系统与公网进行数据交换的物理传输介质与通信协议；——需要进行隔离的通信网络；——不同控制系统间数据通信方式；——各种不同虚拟网络和物理区域的范围边界，包括典型系统的功能边界等；——其他相关信息。安全目标的确定和实现41EUC、EUC注1：该条意味着功能安全相关系统也需要满足信息安全要求，例如功能安全相关系统的工程师站和控制器之间可能会被非授权的访问或篡改，从而导致安全组态逻辑遭受破坏，可以采用加密或某种完整性控制措施，以识别组态数据的变化。——原则2：应确保功能安全措施和信息安全措施之间相互协调，避免出现相互的不利影响；当冲突难以完全避免时，应从整个生产系统的角度权衡获得损失风险最小的安全策略；注2：这种不利影响可能包括阻止安全功能的有效执行、响应时间变慢、可靠性降低、运行维护复杂化等。例如在功能安全相关的通信过程中增加不适当的加密措施，可能会造成安全指令的延迟和不确定；在功能安全相关的一些具有紧急停止功能的人机界面上增加过多的访问控制和鉴别措施，可能导致在紧急情况下安全功能无法有效执行。注3：在上述注2fi-aestate），此时生产制造过程一般是停止的，然而对于信息安全来说，可用性是实现信息安全目标的属性之一，如果攻击（如DDoS攻击造成功能安全防护频繁的fail-safe——原则3：当某项信息安全措施直接参与了功能安全逻辑的执行，则该信息安全措施应按照功能安全所要求的安全完整性能力实现；注4：SIL3能力的安全PLC（如可信或加密算法）全防护机制也需要按照SIL3的要求研发设计。注5：但这并不意味所有信息安全措施都需要符合功能安全要求，例如某具有信息安全机制的交换机处于功能安全通信之中，而该部分属于功能安全通信的黑色通道，因此该交换机无需满足SIL的要求。——原则4：应综合考虑功能安全和信息安全措施来实现整体的风险降低。注6：安全一体化风险评估的具体要求见GB/TXXXXX.2。8.2.1为实现安全目标，智能工厂的安全一体化应至少满足以下三个指标：——应满足相应的SIL要求（符合GB/T20438标准）；——应满足相应的SL要求（符合GB/T35673等标准）；——对于功能安全和工控信息安全的协调应满足安全一体化完善度SSIL的要求。3。安全一体化完善度总体要求安全一体化完善度总体要求安全一体化风险评估（XXXXX.2）安全要求提出及分配功能安全相关信息安全防护系统（SIL）措施（SL）安全协同措施设计XXXXX.3）否SSIL1可接受？安全一体化完善度评GB/TXXXXX.3SSIL0是SSIL2SIL/SL/SSIL图3 安全目标的实现过程安全一体化完善度分为三个等级，各个等级的定义如下：——SSIL0——SSIL1——SSIL2SSIL1。安全一体化风险评估8应通过对生产系统、设备和人员等可能产生的危险、威胁的全面辨识，分析所有的危险、威胁发生的可能性和导致的后果，确定风险等级。应基于安全一体化风险评估的结论提出安全一体化要求。GB/TXXXXX.2。安全一体化要求分配和设计5：原始安全一体化风险评估风险安全一体化要求必要的风险降低

信息安全防护设计

EUC和EUC控制系统信息安全防护

其他风险降低协同设计#1设计复审/补偿措施可容忍风险 实施表示安全一体化分配和设计相关的活动；图4 安全一体化要求分配和设计流程应基于风险评估提出以下要求，并分配给相应的系统，包括：——功能安全要求（安全功能和安全完整性），将风险降低要求分配给功能安全相关系统（如安全仪表系统）GB/T20438（所有部分）等标准；——功能安全相关系统的工控信息安全防护要求（区域及管道界定，工控信息安全等级），将风险降低要求分配给功能安全相关系统上的信息安全防护措施；EUCEUCGB/T30976——其他风险降低措施。10.4-10.11。应从以下两个方面考虑协调性的风险：——在没有攻击/入侵和遭受攻击/入侵时，信息安全措施正常运行对功能安全造成负面影响的风险；——在没有攻击/入侵和遭受攻击/入侵时，信息安全措施丧失（例如发生硬件失效或系统性失效）对功能安全造成负面影响的风险。注：一些具有主动防护能力的信息安全措施(例如入侵检测和控制)在检测到入侵前后可能处于的状态、行为模式以及网络控制策略均不同，因此需要分别考虑没有攻击/入侵和遭受攻击/入侵时的情况。10.4——不能执行安全功能导致生产事故；注1：一种可能的情形是信息安全攻击导致基本过程控制失效提出要求，同时导致安全功能失效（甚至包括其他的保护层失效），从而发生事故。——安全功能误动作导致生产连续性受损。注2：由于攻击者不同于随机失效或人员失误，从概率的角度随机失效和人员失误的叠加发生可能性极低，但攻击者可能会尽最大的可能造成破坏，这将导致可能多个安全功能误动作以及频繁的、长期的发生误动作，从风险的角度这将导致更加严重的后果。的概念和目标确定阶段，修改系统和网络的基本规划和设计，并重新执行安全一体化风险评估。注：安全协同的分析过程参考本文件的附录C。在诊断到入侵攻击时，应至少采取以下措施之一：——实施有效报警；——将生产导入安全状态；——采取隔离等措施，以防止进一步攻击的发生。GB/TXXXXX.3GB/TXXXXX.4SSIL——不会遭受信息攻击可能性的其他安全控制措施，如纯机电、液动或气动安全控制；——对边界防护设备进行冗余设计；——附加的物理防护；——附加的管理要求。应评估补偿措施的独立性和失效可能性等，以确保其可实现要求的风险降低能力。注：可参考本文件附录B和GB/T35673-2017中补偿措施的描述，以及GB/T21109中关于保护层（PL）和独立保护层（IPL）的要求。安全一体化确认10安全一体化确认应至少包括以下内容：——确认风险评估所提出的所有安全要求都完成分配并已设计相应的风险降低措施；——确认对所有功能安全措施都已考虑信息安全威胁的影响，并将这些影响降低到可接受水平；GB/TXXXXX.3——确认所有附加的补偿措施已具备足够的风险降低能力；——确认最终的安全一体化设计按照第8章的要求已实现所有的安全目标。安全一体化运行维护智能工厂应统筹考虑安全一体化运行维护管理规章和运行维护管理活动。注：企业宜建立统一的安全管理体系，集成企业现有的安全管理制度，并集中开展安全运维活动。GB/T20438、GB/T41260、GB/T4125712安全一体化运行维护活动宜在本地（就地）实施。注：某些维护活动可能需要临时建立远程访问路径，此时需考虑其附加的信息安全风险。安全一体化的运行维护活动不应影响正常的生产过程和相关系统的可用性。注：通常在特定的阶段（如工序维护时）实施有可能影响生产过程的功能性检查活动。13应开展安全一体化运行管理活动，内容包括但不限于：——定期进行安全一体化风险评估；——组织相关部门进行SIL、SL和SSIL的确认；——组织安全一体化相关人员进行技术培训；——组织制定或更新管理规定和记录文件等。注：验记录、调节阀联校记录、不合格品登记、安全一体化维护记录等。应开展安全一体化维护管理活动，内容包括但不限于：——功能安全相关系统的维护；——信息安全防护措施的维护；——安全集中管理的维护。修改和变更应按照安全一体化管理要求（7）产生变更申请，其中应包括下列内容：——可能受影响的已确定的危险；——建议的更改（硬件和软件）；——变更的理由。对于信息安全防护措施的变更应详细分析其是否可能对功能安全相关系统造成负面影响。如果由于变更引起人员的职责和能力要求发生变化，应对人员开展附加的培训。典型的可能会对功能安全相关系统造成影响的工控信息安全防护措施变更包括但不限于：——对维护/工程接口的访问限制进行了变更；——对正常运行时，维护接口采取何种接入策略进行了变更；——人员执行写入（工艺参数修改）权限的变更；——工程师站杀毒软件等程序升级变更；——嵌入式软件/固件的升级；——控制网络结构或路由设备的变更。注：宜按照具体现场情况选择工控信息安全防护措施变更的实施时机，来确保这种负面影响的程度在可接受范围。退役和停用本文件中有关功能安全、工控信息安全和安全一体化要求，执行所有后续阶段。附 录 A（资料性）功能安全和信息安全的异同功能安全和信息安全异同见表A.1。表A.1功能安全和信息安全异同安全一体化生命周期阶段功能安全信息安全风险评估评估对象-智能化生产过程/受控设备(EUC)-待考虑的系统（SUC）失效的原因由于运行和环境压力的随机失效 由于安全生命周期过程错误导致的系统性失效威胁：内部，外部或内外部 脆弱性：组件或系统的设计疏漏；没有遵循信息安全实践和规程；威胁揭露脆弱性导致失效后果-对环境的影响，对人员或公众的健康和人身伤害可用性和完整性的丧失将对功能安全产生直接影响机密性的丧失对功能安全将产生间接影响风险分类-基于原因可能性和后果严重性确定，风险可以是定量的 基于原因可能性和后果严重性确定，风险是定性的 对于每个信息安全要求进行风险分类多维度问题为每个区域和管道分配目标SL风险减缓措施一般采用独立的保护层保护措施可以降低可能性和后果 可以确定完整性要求：对SIF目标SIL 采用基于区域和管道的信息安全措施和纵深防御的概念保护措施一般仅降低可能性 对于每一个威胁向量都需要识别应对措施的要求以确定该区域的目标SL是否实现保护措施的实现组件的安全手册对于安全功能的定量SIL验证组件的信息安全手册 通过不同的测试方法对SL性验证运行和维护 有具有资格的人员才能访问IACS对技术措施周期性的测试 需要对要求率和组件的失效进行监视人员教育和培训只有具有资格的人员才能访问IACS对技术措施周期性的测试频繁的审查以发现新的脆弱性并采取相应的修改人员教育和培训在任何软件或硬件变更后重新开展信息风险评估管理体系审计、变更管理和文档化要求；安全管理-定义人员能力、培训、验证、测试、审计、变更管理和文档化要求附 录 B（资料性）风险降低过程及补偿措施示例风险降低过程在GB/T20438.5B.1。残余风险残余风险可容忍风险2*10-6EUC风险10-31*10-6风险增加必要的风险降低实际的风险降低被其他风险降低措被功能安全相关系统覆盖的风险施覆盖的风险RRF1=100RRF2=10所有安全系统和其他风险降低措施所获得的风险降低图B.1风险降低过程示例（功能安全）相关概念的含义如下：——EUCEUC、EUCGB/T20438.4-20173.1.9）；——可容忍风险：根据当今社会水平所能接受的风险（见GB/T20438.4-2017中的3.1.7）；E/E/PEEUCEUC见GB/T2048.420173.17。RR=10RRF=1。图B.1给出的仅是考虑功能安全时风险降低过程，如果考虑信息安全，则风险降低过程示例见图B.2。残余风险残余风险可容忍风险（无法准确量化）2*10-6EUC（威胁等情况下）10-2必要的风险降低实际的风险降低被其他风险降低措被功能安全相关系统覆盖的风险被信息安全防护措施覆盖的风险RRF1=100（难以RRF2=10 量化）所有安全系统和其他风险降低措施所获得的风险降低图B.2风险降低过程的示例（功能安全和信息安全）体化RR=10低能（EUC和EUC控制系统所在一片区域GB/T险降RR=1B.。残余风险残余风险可容忍风险2*10-6EUC（威胁等情况下）1*10-610-2必要的风险降低实际的风险降低被其他风险降被补偿措施低措施覆盖的覆盖的风险RRF2=10RRF1=100，信息安全措施得到协同设计RRF3=10所有安全系统和其他风险降低措施所获得的风险降低图B.3风险降低过程的示例（安全一体化）补偿措施在GB/T35673——（组件级）：使用加锁的机柜，对没有充分的网络访问控制措施的控制器进行防护；——（控制系统/区域级）：物理出入口控制（门卫、门闸、枪）用来保护一个控制室，只允许对IACS——（组件级）：设备供应商提供的可编程逻辑控制器（PLC）不具备满足终端用户进行访问控制PLC一些可能需要补偿措施的场景示例如下：——如功能安全相关系统上位机需要人员在紧急状态下执行关断操作，则可能需要多个操作员共享账户从而保证任何人都可以在紧急状态下能够成功执行该操作，此时需要增加相应的补偿措施例如：从物理上进行限制访问，制定响应的组织化规程等。——在某些情况下，会话锁定可能会导致人员无法在紧急情况下对功能安全相关系统操作，从而EUCEUC此外，可以通过多种关联设计方式，实现将危险事件的后果限制在可容忍范围：——电气安全设计：如限压限流设计可抑制负载异常造成的电气设施整体损坏。——机械安全设计：如防护栏设计可将机械手等运动部件造成的伤害抑制在特定区域内。附 录 C（资料性）安全协同的考虑和建议C.1定义了5种可能存在的功能安全和信息安全交互影响状态。表C.1功能安全和信息安全交互影响状态状态解释如何揭露（证明）如何避免（实现）1、无影响信息安全措施得以有效实施，其对于安全功能的执行没有负面影响定性风险分析；安全确认：信息安全攻击仿真或测试；良好的架构设计，良好的信息安全设计，良好的功能安全设计2、冲突冲突的结果可能是造成安全相关系统误动或拒动，而且这种误动的后果严重程度可能远远大于要求率增加，因此需尽可能避免定量风险分析；安全确认：信息安全攻击仿真或测试；系统级安全一体化协同设计3、新的失效诱因或失效模式对于功能安全相关系统来说，信息安全威胁可能是一种新的潜在失效诱因，将导致系统出现新的失效模式，这些失效模式可能是传统功能安全设计所没有考虑到的失效模式、诊断、脆弱性与影响综合分析；信息安全脆弱性测试：漏洞扫描等；产品级安全一体化协同设计4、要求率增加对于基本过程控制系统的攻击可能会导致要求率增加定性风险分析；安全确认：信息安全攻击仿真或测试；系统级安全一体化协同设计5、信息安全缺陷对其他系统的攻击（例如业务系统）可能从工业控制的角度暂时没有影响，但之后攻击者可能会利用类似的漏洞对控制系统进行攻击定性风险分析；安全确认：信息安全攻击仿真或测试；良好的运行维护：漏洞的及时处理，定期升级；影响分析；5种状态可能产生的过程如图C.12.12.1、误动2.2、拒动信息安全措施对信息安全措施对安全功能无影响1攻击防护措施生效/攻击信息安全措施对安全功能造成负面影响2、冲突攻击对象是功能安全相关系统3因或失效模式攻击防护措施防护无效/无防护措施攻击对象是基本过程控制系统4攻击对象是其它系统5短期无影响图C.1功能安全和信息安全交互影响模型当处于相应的状态时，采取的安全协同措施如下：1：无影响证明信息安全措施对所有安全功能执行无负面影响，包括：——在危险、威胁和风险分析过程中，将所有的信息安全措施作为一种危险源，分析其对于安全功能执行的的影响情况；分析范围应涵盖安全一体化预警层、控制层和减轻层；——在完成安全一体化设计之后正式投产之前，通过仿真、测试等方式确定无影响。2：冲突辨识出所有信息安全措施可能对安全功能执行产生的冲突，包括导致功能安全相关系统的误动和拒动。对于拒动或无法执行安全功能的避免主要集中在安全一体化控制层，至少考虑以下典型的信息安全防护要求对于安全功能的影响：——识别和鉴别：直接影响，可以有效阻止对于功能安全相关系统的非授权或恶意更改，例如通过上位机对于组态数据的更改；——使用控制：直接影响，可以有效阻止对于功能安全相关系统的非授权或恶意更改，例如通过产品自带的配置界面进行修改；——完整性保障：直接影响，可进一步保障安全完整性；——数据机密性：间接影响，数据机密性对于安全完整性的间接影响；——限制数据流：直接影响，可能对于安全控制数据的传输造成阻碍或时间延迟；——对事件的时间响应机制：间接影响或无影响；——资源可用性：直接影响，可进一步保障安全完整性。（预警层——能够对要求率进行统计和分析；——能够对设备诊断信息进行统计、显示和提示；PAGEPAGE24——能够对现场关键参数进行监视和预警。3：新的失效诱因或失效模式——软件的质量、健壮性和抵御攻击的能力；——通信过程防错、纠错和检错的机制；——抵御预防共因失效的设计，多样性、异构等；——诊断和报警设计；——发生数据丢失/破坏等软错误情况下的自恢复和自调整能力。4：要求率增加考虑到功能安全要求率异常增加也可能导致严重的后果，主要包括：——当安全功能由低要求变为高要求时，所产生的设计偏差可能导致不能实现有效的防护；——频繁的要求可能被攻击者利用，成为一种特殊的攻击手段。5：信息安全缺陷PAGEPAGE242PAGE\*ROMANPAGE\*ROMANII目 次前 言 III引 言 IV范围 1规范性引用文件 1术语和定义 1缩略语 3一般要求 3评估对象 3评估原则 4风险评估相关活动 4确定安全目标和风险准则 4确定风险评估范围 5组建评估管理与实施工作组 5评估资料准备 5选择评估工具和方法 6制定风险评估计划 6风险评估程序 6风险评估流程 7节点划分 8偏差确定 8危险识别 8威胁和脆弱性辨识 9危险事件分析 11危险事件发生可能性分级 11后果分析 12后果严重程度分级 12初始风险评估 12风险降低措施分析 13保护/护能力估 13残余风险评估 13意见建议 13风险评估文档记录 14附 录 A（资性）险评估法 15附 录 B（资性）胁示例 18附 录 C（资性）险事件生可能性评估示例 20PAGE\*ROMANPAGE\*ROMANII附 录 D（资性）果严重分级示例 23附 录 E（资性）险矩阵例 24IVIV引 言传统工厂一般采用GB/T20438和应用领域标准（例如GB/T21109，GB/T16855，GB28526）来实GB/T35673各层级内和层级间的设备/系统实现了更为深入的互联互通，提高了工业经营者的效率，降低了成本，（如安全仪表系统）面临更复杂的应用环境（AI的失控危险等GB/TXXXXX《智能工厂安全一体化》旨在指导智能工厂建立安全一体化生命周期，并针对风险评估、协同设计和评测验证提出要求，拟由4个部分构成：——第1部分：一般要求。目的在于提出安全一体化生命周期的整体要求，以及实现安全一体化的基本原则。——第2部分：风险评估要求。目的在于提出开展安全一体化风险评估的流程和要求。——第3部分：系统协同设计要求。目的在于针对智能工厂制造执行层、过程监控层、现场控制层和现场设备层提出系统协同设计的要求。——第4部分：系统评测要求。目的在于提出开展安全一体化完善度评测的方法和要求。GB/TXXXXX.2PAGEPAGE1智能工厂安全一体化2范围估文档记录的要求。本文件适用于智能工厂生产系统开展安全一体化风险评估。规范性引用文件（包括所有的修改单适用于本文件。GB/T20438.1 电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求GB/T20438.4 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略GB/T21109（所有部分） 过程工业领域安全仪表系统的功能安全GB/T35320危险与可操作性分析（HAZOP分析）应用指南GB/T41257数字化车间功能安全要求GB/T41260数字化车间信息安全要求GB/TXXXX.1智能工厂安全一体化第1部分：一般要求术语和定义GB/TXXXX.1中界定的术语以及下列术语适用于本文件。伤害harm人身损伤、人的健康损害、财产或环境的损害。[来源：GB/T20438.4—2017，3.1.1]危险hazard伤害的潜在根源。[来源：GB/T20438.4—2017，3.1.2]注：这个术语包括短时间对人身的伤害（如着火和爆炸），以及那些对人身健康长时间的损害（如有毒物质释放）。危险状况hazardous situation人、财产或环境暴露于一个或多个危险源环境的情况。[来源：GB/T20438.4—2017，3.1.3]PAGEPAGE10危险事件 hazardous event可能导致伤害的事件。害，人是否能避免该事件的后果。[来源：GB/T20438.4—2017，3.1.4]风险 risk伤害发生的概率与该伤害严重程度的组合。[来源：GB/T20438.4—2017，3.1.6]残余风险 residual risk[来源：GB/T20438.4—2017，3.1.8]EUC险 EUCrisk由EUC或由EUC与EUC控制系统相互作用而产生的风险。[来源：GB/T20438.4—2017，3.1.9]1E/E/PE低措施来提供必要的风险降低（即与功能安全相关的风险）。2：GB/T20438.5A.1EUCEUCE/E/PE注3：这个风险评估应包括相关人的因素。功能安全风险 functional safety risk与特定的危险事件相伴的风险。在这种危险事件中用功能安全相关系统和其他风险降低措施来提供必要的风险降低。信息安全风险 information security risk[来源：GB/T20984—2022，3.1.1]目标风险 target risk针对特定的危险，考虑了EUC风险，及E/E/PE安全相关系统和其他风险降低措施后，所要达到的风险。[来源：GB/T20438.4—2017，3.1.10]风险管理 risk management指导和控制组织相关风险的协调活动。[来源：GB/T25069—2022，3.168]安全safety没有不可接受的风险。[来源：GB/T20438.4—2017，3.1.11]安全功能 safety function针对特定的危险事件，为实现或保持EUC的安全状态，由E/E/PE安全相关系统或其他风险降低措施实现的功能。[来源：GB/T20438.4—2017，3.5.1]安全完整性safety integrity[来源：GB/T20438.4—2017，3.5.4]安全完整性等级safety integrity level（四个可能等级之一4安全完整性等级1是最低的。[来源：GB/T20438.4—2017，3.5.8]威胁 threat可能对系统或组织造成危害的不期望事件的潜在因素。[来源：GB/T25069—2022，3.628]脆弱性 vulnerability[来源：GB/T30976.1—2014，3.1.1]缩略语下列缩略语适用于本文件。E/E/PE：电气/电子/可编程电子（Electrical/Electronic/ProgrammableElectronic）EUC：受控设备（EquipmentUnderControl）SL：信息安全等级（SecurityLevel）SIL：安全完整性等级（SafetyIntegrityLevel）USB：通用串行总线（UniversalSerialBus）一般要求智能工厂安全一体化风险评估的对象为：按照GB/TXXXX.1中第5章确定的对象，如图1所示。图1 智能厂安全一体化风险评估对象示意图宜基于信息安全风险评估结果辨识出的可能导致生产安全影响的威胁。注1：信息安全风险评估实施可参考GB/T36466-2018。注2：传统生产安全危险源一般包括：人员异常操作、设备故障、控制失效、外部环境因素等，若在安全一体化风险评估前已开展过功能安全相关风险评估，可将其输出作为传统生产安全危险源辨识的输入。运行维护阶段以及修改变更阶段开展。风险评估相关活动确定目标和准则定义时，应考虑以下因素：——分析结果的使用目的；——需要进行分析的智能工厂生产系统的生命周期阶段；——可能面临风险的人员或资产，例如：员工，公众，环境和系统等；——可操作性问题，包括对业务连续性、产品质量等的影响；——通用的法律要求，以及与特定应用直接相关的法律要求；——相关安全监管机构发布的指南；——与应用有关各方的争议与一致意见；——工业标准和指南；——来自咨询机构的最佳独立建议。风险评估范围及颗粒度的确定，取决于以下几个因素：——智能工厂生产系统的物理边界；——可获得的设计说明的详细程度；——已经完成的危害分析或其他相关分析活动的范围；——适用的法规要求。组参与风险评估活动。/或信息安全知识，并具有相应的经验能力。署个人保密协议。组长、成员达成共识。和经验的人员足够的前提下应当尽可能的少。当的培训达到此要求。推荐的风险评估工作组成员构成，包括：——风险评估组长；——记录员；——项目设计人员；——用户；——专家；——运行维护人员（代表）。评估资料准备在正式开始评估之前，应保证能够获取最完整的可用设计资料，有纰漏或不完整的资料应在分析开考虑以下方面：标注：置图，公用工程规格，操作和维修要求；——分析对象的边界和在边界处的界面；——系统运行的环境；——操作和维修人员的资质，技能和经验；——程序和/或操作规程；——操作和维修经验和对类似系统的危险认知；——业务战略及管理制度；——主要的业务功能和要求；——网络结构与网络环境，包括内部连接和外部连接；——主要的硬件、软件；——数据和信息；——系统和数据的敏感性；——支持和使用系统的人员；——工厂所处环境的气象水文材料；——分析会议文件评估记录文件。含记录表、适用的记录项等；事故事件分析报告等；成。——其他相关文件。应综合考虑生命周期阶段、分析目标、所能获得的信息等内容，选择风险评估工具和方法。在正式开始评估之前，应制定并发布一份风险评估计划，包括以下内容：——评估组织：包括评估工作组成员、组织结构、角色、责任等内容；——工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；——时间进度安排：项目实施的时间进度安排。风险评估程序初始风险分析初始风险分析风险评估流程开始节点划分偏差确定危险识别（包括：传威胁和脆弱性统生产危险源等） 识别开始节点划分偏差确定危险识别（包括：传威胁和脆弱性统生产危险源等） 识别信息安全风险评估危险事件分析危险事件发生可能性分级后果分析后果严重程度分级初始风险评估功能安全保护措施/信息安全防护措施分析保护/防护能力评估残余风险评估否是否在可接受范围之内是结束意见建议风险识别残余风险分析图2 智能厂安全体化风险评估流程残余风险分析注1：如果在开展安全一体化风险评估前，未开展信息安全风险评估，则可按照7.5开展信息安全威胁和脆弱性辨识。注2：本文件中功能安全保护措施包括：符合GB/T20438或GB/T21109的电气/电子/可编程电子安全相关系统、机械式保护系统、外部风险降低措施等。节点划分要求为便于分析，可将系统分成若干节点，各个节点的设计意图应能充分定义，应满足以下要求：——结合智能工厂生产系统的对象特点，划分节点。——节点划分，应考虑分析范围内的所有设施、设备，遵循既不重复，又不遗漏的原则。——所选节点的大小，取决于系统的复杂性和危险的严重程度。节点划分不宜过大或过小。复杂度高或危险性高的系统可划分成若干较小的节点，简单的或低危险性系统可划分成若干较大的节点，以加快分析进程。——每个节点的范围，应包括分析对象中的一个或多个功能系统。节点描述要求节点应有编号，可采取统一的节点编号方式。节点描述一般包括：节点范围及工艺流程简单说明、主要设备位号、管线和设备的设计参数、安全阈值等。意义的偏差及其含义。针对确定的每一个偏差，确定导致偏差的诱因，进行危险识别、威胁和脆弱性辨识。偏差的确定方法可参见GB/T35320。示例：对于具体工艺参数“温度”，与引导词“过量”相组合，得到偏离“温度高”，其含义为介质温度高于可接受正常工艺温度；对于概念性工艺参数“反应”，与引导词“无”相组合，得到偏离“反应无”，其含义为没有发生发应；对于操作步序“输送”，与引导词“无”相组合，得到偏离“输送无”，其含义为没有输送物料。时以何种方式导致伤害的事故场合。在进行危险识别时，应开展：——对智能工厂生产系统生命周期阶段的识别，包括：设计；运行；修改和变更。——对运行模式的识别，包括但不限于：配置；测试；启动；停机；紧急停止；暂停或锁定后的恢复运行；非计划停机后的重新启动；故障查找/排除。——对工艺装置/设备的可能的状态的识别，包括：正常运转；功能失效。——对非预期的人员行为，或合理可预见的误操作的识别，包括：过程/异常发生时的人员条件反射行为；非专业操作人员/动物的行为（如儿童、残疾人、小动物）等。——对合理可预见的情况下，其他危险的识别，包括：过程危险；机械危险；电气危险；热危险；噪声危险；振动危险；辐射危险；物料/人机工效学危险；与环境有关的危险等。——其他异常运行情况的识别。威胁辨识有潜在威胁。示例：智能工厂生产系统的威胁主体大致可分为：内部人员、脚本小子、黑客、网络犯罪分子和民族国家行为者。工厂生产系统的威胁分类，可参考相关标准或附录B。（例——内部无意的威胁（例如，不知不觉地插入了一个受感染的USB）；——内部故意的威胁（例如，心怀不满的员工）；——外部一般/非熟练人员威胁（例如，脚本小子）；——外部有目标的/有技能的威胁（例如，网络罪犯、技能展示）；——外部攻击行为威胁（例如，高级持续威胁，民族国家）。——社会工程威胁（如，网络钓鱼、鱼叉式网络钓鱼）；——通信威胁（例如，拒绝服务，以及中间信息）；——供应链威胁（例如，服务提供者的破坏）；——物理访问威胁（例如，登录到无防护的工作站）；——软件威胁（例如，利用一个已知的软件漏洞）；——硬件威胁（例如，将USB连接到不安全的端口）。——威胁来源；——威胁来源的技能水平、动机、资源等；——可能的威胁场景、途径和载体；——潜在受影响的资产。智能工厂可能面临的潜在威胁示例，见附录B。脆弱性辨识/产品的脆弱性进行分析。——工业自动化系统的常见脆弱性。包括：无线通信、自动化系统集成导致的脆弱性等。——智能工厂生产系统的特定脆弱性。包括：大量移动设备接入、联网应用程序、遗留系统等导致的脆弱性等。注：典型脆弱性如下：——人员/组织的安全意识有限(例如不受控制地使用USB驱动器)；——资产管理缺陷(如现有资产和这些资产的版本状态不清楚、不完整或过时)；——通过更新或补丁向产品/解决方案添加新漏洞或回归到旧漏洞(例如，补丁解决了一个问题，但打开了两个新问题)；——产品/解决方案的缺陷(例如缺少适当的安全程序和策略)；——性能方面的固有设计限制(例如，简单的拒绝服务情况会导致安全问题）；——故意滥用内置功能/特性(例如，通过远程访问维护通道注入恶意软件)；——实际用途与预期用途不同(例如，在操作期间增加了远程访问)；——威胁环境的变化使得现有的解决方案更加脆弱（例如加密方法的破坏）；——软件错误（bug）：可能是通过有意或无意的方式引入错误，可以通过系统软件程序或设备固件的方式引入；——硬件故障：硬件失效导致的潜在系统脆弱性；——信息安全措施效果降低：信息安全措施的有效性可能会随着时间的推移而降低，也可能随着新的信息安全技术或计算机技术出现而过时；——身份证书的重复使用：在多个位置不同的地点使用相同的证书；——由于错误配置导致的系统性错误（例如没有修改默认密码）；——一般的外界病毒，可能不是为本系统所专门开发的，但是影响到了本系统的运行；——信息安全后门，可能在系统设计初期植入的后门。危险事件分析应分析并明确已确定的危险/一个危险/表1危险、危险事件、危险情况和伤害示例偏差危险/威胁和脆弱性危险事件危险状况伤害温度高燃料气进料阀门故障进料阀异常开大，燃料气进料过多，加热炉温度过高加热炉炉膛坍塌财产损失、人员伤亡数据篡改：非授权人员访问工程师站，更改控制参数进料阀异常开大，燃料气进料过多，加热炉温度过高加热炉炉膛坍塌财产损失、人员伤亡注：危险导致危险事件的分析，可参见GB/T41257、GB/T35320。威胁导致危险事件的分析，可参见GB/T41260。危险事件发生可能性可结合具体的威胁场景，基于以下方法进行评估：——基于攻击者的动机、能力；——基于攻击者的动机、资源、知识；——基于攻击者的动机、能力、资源；——基于攻击者的攻击潜力AP；——基于资产暴露度与脆弱性程度。C。（/威胁（/威胁——对于在一定条件下成立的“原因（危险/威胁）——危险事件”对，应做条件修正。危险事件发生可能性等级划分C。（（（（例如：数据泄露等）等后果。注：智能工厂危险事件的后果，宜考虑以下方面：——业务，如业务中断、关键功能无法操作等；——人员，如人员伤亡；——环境，如物料泄漏、释放；——经济，如工艺设备、生产设施损失/损坏，政府/当局罚款，知识产权损失，利润流失等；——声誉，如负面媒体报道，失去利益相关者的信心，丧失经营许可证的行为等；——数据泄露等。等级。规范要求，并具有合理可信的来源。后果，需要做条件修正。初始风险评估7.117.13中要求的内容。（7.117.13中要求的内容。风险降低措施分析条件因素跟后果之间的关系。计算保护/防护能力时，需要根据独立性情况做修正。保护/防护能力评估辨识每一个独立的功能安全保护措施/低因子可通过公开文献或工业数据获得。在确定应通过措施减少多少可能性时，可以考虑基于经验法则。示例：典型的经验法则如：对于不容易受到网络攻击的保护措施（例如，减压装置或其他机械装置），可以将事件发生的可能性降低2个级别；增加防火墙，可以将事件发生的可能性降低1个级别。（SIL或PFD）和信息安全防护措施的防护能力（SL）。残余风险评估-/危险事件发生可能性，或者后果严重程度，并评估危险事件的残余风险。建议。意见建议:——增加功能安全保护措施/信息安全防护措施（例如：安全仪表系统、安全阀、防火堤、访问控制措施、使用控制措施、系统完整性措施、系统保密性措施、风险监控措施等）；——更改为更有效/更可靠的功能安全保护措施/信息安全防护措施；——通过管理的手段来弥补不足（例如：增加人员培训；供应商管理；变更管理；定期开展风险评估，基于风险复盘，更新风险应急预案等）；——更改工序、工艺、装置、设备、网络、控制等的原始设计，以推动实现本质安全。提出的意见建议应被记录，并指定责任人，追踪执行。措施进行信息安全风险评估确认其有效性。示例：某外部威胁导致某段管线压力控制失效，经过安全一体化风险评估后，认为该风险不在可容忍范围内，建议增加一项安全联锁功能。如果经分析认为新增的安全联锁功能同样会受到该威胁攻击，则需考虑此种共因失效对其风险降低能力有效性的影响，同时还需开展补充的信息安全风险评估。风险评估文档记录信息安全防护措施是否可以防止事件发生或降低风险。A。附 录 A（资料性）风险评估方法，可分为定性和定量两大类。定性的风险评估方法示例：PHA/HAZOP、检查表、FMEA。定量的风险评估方法示例：蝴蝶结、LOPA、定量风险分析QRA、半定量SL验证。其中：HAZOP是评估工业现场过程危害的常用技术，该技术是基于使用预先配置的引导词来确定过程中断的可能原因和最终后果。对于信息安全HAZOP，引导词可被用于识别信息安全被破坏的潜在原因。表A.1为基于HAZOP的安全一体化风险示例，表A.2为所采用的风险矩阵和可容忍风险示例。表A.1HAZOP参数偏差可能原因（危险/威胁导致危险事件的描述）发生可能性后果后果严重性初始风险保护措施残余风险意见建议温度加氢反应器温度高控制回路故障，阀门开大，燃料气进料流量过多，反应器进料加热炉炉膛温度高，加氢反应器温度高6（10-1反应器超压，发生泄漏，可燃气体与空气混合，发生爆炸。P4；F4；R4.61、加氢反应器设置有安全阀；2、加氢反应器床层温度高联锁（SIS）；3、反应器进料加热炉设置有炉膛温度高报警。2——第三方人员（含运维人员）利用权限访问工程师站，恶意修改配置参数，瓦斯气进料组分变重，反应器进料加热炉的炉膛温度高，加氢反应器温度高6（10-1反应器超压，发生泄漏，可燃气体与空气混合，发生爆炸。P4；F4；R4.61、对第三方人员实施身份认机制；2、加氢反应器设置有安全阀；3、加氢反应器床层温度高联锁（SIS）；4、反应器进料加热炉设置有炉膛温度高报警。1——参数偏差可能原因（危险/威胁导致危险事件的描述）发生可能性后果后果严重性初始风险保护措施残余风险意见建议液位原料油缓冲罐液位过高控制回路故障，阀门开大，原料油进料量过大6（10-1满罐，溢流进入火炬系统，经济损失P1；F1；R1.31、原料油缓冲罐进料设置闭进料。2——攻击者通过供应链攻击在进料泵产品中植入了恶意程序，篡改控制逻辑，导致进料泵故障，进料量过大6（10-1满罐，溢流进入火炬系统，经济损失P1；F1；R1.31、制定第三方供应商管理息安全入网相关测试。2、原料油缓冲罐进料设置闭进料。1——表A.2所采用的风险矩阵和可容忍风险示例可能性12345678严重性74级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）63级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）52级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）41级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）31级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）21级（可忽略风险）1级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）11级（可忽略风险）1级（可忽略风险）1级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）注：该风险矩阵中1级、2级风险为可容忍风险。附 录 B（资料性）威胁示例一种基于表现形式的威胁分类，见下表。表B.1种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断系统本身或软件缺陷造等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意地执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探账户、口令、权限等)、用户身份伪造和欺骗用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等智能工厂生产系统可能面临的威胁类别示例，见下表。表B.2威胁类别威胁描述物理威胁破坏；未经授权的物理访问/未经授权的进入办公场所非故意损害错误地使用或管理设备和系统；意外更改系统中的数据或销毁记录威胁类别威胁描述失效/故障a.b.设备或系统故障；通信链路中断或故障中断网络中断窃听a.b.网络侦察、网络流量操纵和信息收集中间人/会话劫持非正常活动a.拒绝服务；b.恶意代码/软件/活动；c.身份欺诈；d.操纵硬件和软件；e.操纵信息附 录 C（资料性）危险事件发生可能性评估示例基于攻击潜力AP，估计危险事件发生可能性APAP业知识、目标信息、目标访问、设备等因素决定。具体见下表。表C.1攻击潜力相关的因素分类因素类别描述范围值所需时间攻击者识别系统中可能存在的特定的潜在漏洞、开发攻击方法和维持对目标执行攻击所需的总时间。小时0天1周3月7专业知识对基本原则、产品类型或攻击方法的通用知识水平。外行0熟练人员3专家6多领域专家8目标知识执行攻击所需的目标相关知识水平。公共信息0受限的信息3敏感信息7关键信息11目标访问执行攻击所需的对目标系统的访问等级无限制0容易地1中等地4困难地10设备标准设备0专业设备4定制设备7多重定制设备9通过估计各个类别因素的数值，来计算攻击潜力AP，具体如下式所示。AP=AP所需时间+AP专业知识+AP目标信息+AP目标访问+AP设备攻击潜力AP的等级划分、以及导致的危险事件发生可能性划分，见下表。表C.2攻击潜力等级划分及危险事件发生可能性等级划分APAP等级危险事件发生可能性0-9基础的确定10-13基础增强的可能14-19中等的也许APAP等级危险事件发生可能性20-24高不太可能的>24超高罕见的基于攻击者的经验、所需设备、机会窗口、时间，估计危险事件发生可能性示例，见下表。表C.2危险事件发生可能性级等级划分示例发生可能性经验所需设备机会窗口所需时间低需要多名专家定制设备短长中等专家专用设备适中的适中的高精通的专用商业现货COTS长短很高外行标准设备无限的很短基于资产暴露度与脆弱性，估计危险事件发生可能性基于资产暴露度与脆弱性，估计危险事件发生可能性示例，见下表。表C.3危险事件发生可能性级等级划分示例发生可能性资产暴露度脆弱性1对攻击者的逻辑或物理访问的高度限制，例如：高度限制的网络和物理访问；只能很费力地获取。a.b.c.d.成功的攻击只可能针对一小群具有高黑客能力（需要高能力）的攻击者；脆弱性只能经过高强度的努力才能被利用，如果能够解决攻击者被追踪和起诉的机会很大。2对攻击者的逻辑或物理访问限制，例如：需要内部网络访问权限；受限的物理访问；或组件a.b.c.d.对于具有平均黑客攻击技能（需要中等能力）的攻击者来说，成功的攻击是可行的；领域或工具知识；采取了一些安全措施来应对威胁；攻击者被追踪和起诉的机会中等3对攻击者简单的逻辑或物理访问。例如：互联网接入足够；公共物理访问；或维护活动的一部分；攻击者可以轻松地获取产品或组件。a.b.c.d.（要很少的能力）；由于不需要工具，或者自由存在合适的攻击工具，因此可以轻松地利用脆弱性，没有或只有薄弱的安全措施来应对由威胁引起的攻击，攻击者被追踪和起诉的机会很低。基于每年发生次数，估计的危险事件发生可能性等级划分示例，见下表。表C.4危险事件发生可能性等级划分示例等级发生可能性描述1<10-6/年类似的事件没有在行业发生过，且发生的可能性极低210-5-10-6/年类似的事件没有在行业发生过310-4-10-5/年类似的事件在行业发生过410-3-10-4/年类似的事件在国内同行业曾经发生过510-2-10-3/年类似的事件发生过或者可能在多个相似的设备设施使用寿命中发生610-1-10-2/年在设备设施的使用寿命内可能发生1次或2次71-10-1/年在设备设施的使用寿命内可能发生多次8>=1/年在设备设施的使用寿命内经常发生（至少每年发生）附 录 D（资料性）后果严重性分级示例智能工厂危险事件后果示例，见下表。表D.1（一）严重性分类人员伤亡（P）财产损失（F）环境污染（E）7极度严重的＞30人死亡或永久全失能伤害＞20亿发生国际污染事件6严重的10～30人死亡或永久全失能伤害2亿～20亿发生国家级污染事件5扩大的3～10人死亡或永久全失能伤害6000万～2亿发生区域性污染事件4重大的1人死亡；或≧3人永久部份失能伤害或暂时全失能伤害600万～6000万未污染小区，污染局限在厂内3高度的永久部份失能伤害≧1或暂时全失能伤害＜3；或损失工时伤害≧360万～600万工艺单元外泄2中度的1≦损失工时伤害＜36万～60万工艺区(工段)外泄1可忽略的急救伤害≧16千～6万单一设备外泄表D.2（二）人身伤害经济损失环境释放生产中断公众形象高失去生命上百万元级别永久性破坏显著减少，影响季度生产永久性破坏中需要住院治疗几十万元级别持续性破坏临时性减产，需要额外轮班或加班以满足季度生产持续性破坏低伤口，瘀伤需要急救万元级别临时性破坏临时性减产，不影响季度产量临时性破坏附 录 E（资料性）风险矩阵用于计算风险等级，并确定它是否可容忍。一个5X5的风险矩阵示例，见下表。表E.15X5（示例）严重程度等级12345可能性非常高Ⅰ级风险Ⅱ级风险Ⅲ级风险Ⅲ级风险Ⅲ级风险高Ⅰ级风险Ⅱ级风险Ⅱ级风险Ⅲ级风险Ⅲ级风险中等Ⅰ级风险Ⅰ级风险Ⅱ级风险Ⅱ级风险Ⅲ级风险低Ⅰ级风险Ⅰ级风险Ⅰ级风险Ⅱ级风险Ⅱ级风险非常低Ⅰ级风险Ⅰ级风险Ⅰ级风险Ⅰ级风险Ⅰ级风险一个4X4的风险矩阵示例，见下表。表E.24X4（示例）严重程度等级1234可能性4高风险高风险非常高风险非常高风险3中风险高风险高风险非常高风险2中风险中风险高风险高风险1低风险中风险中风险高风险一个5X4的风险矩阵示例，见下表。表E.35X4（示例）严重程度等级不重要的中等地严重的灾难的可能性确定不可容忍的风险不可容忍的风险不可容忍的风险不可容忍的风险可能可容忍的风险不可容忍的风险不可容忍的风险不可容忍的风险也许可容忍的风险不可容忍的风险不可容忍的风险不可容忍的风险不太可能可容忍的风险可容忍的风险不可容忍的风险不可容忍的风险罕见的可容忍的风险可容忍的风险可容忍的风险不可容忍的风险参 考 文 献GB/T20438.1-2017电气电子/可编程电子安全相关系统的功能安全 第1部分：一般要求[2]GB/T20438.4-2017电气电子/可编程电子安全相关系统的功能安全第4部分定义和缩略[3]GB/T20720.1-2019企业控制系统集成第1部分：模型和术语GB/T20984-2022GB/T21109.1-2022过程工业领域安全仪表系统的功能安全第1件和应用编程要求GB/T25069-2022GB/T30976.1-2014工业控制系统信息安全 第1分：评估规范GB/T35673-2017工业通信网络 网络和系统安全 系统安全要求和安全等[9]GB/T36466-2018信息安全技术工业控制系统风险评估施指南GB/T38129-2019IECTR63069Industrial-processmeasurement,controlandautomation-FrameworkforfunctionalsafetyandsecurityANSI/ISA-95.00.01-2010Enterprise-ControlSystemIntegration-Part1:ModelsandTerminology智能工厂安全一体化3PAGE\*ROMANPAGE\*ROMANII目 次前言 III引言 IV范围 5规范性引用文件 5术语和定义 5缩略语 5安全一体化协同设计的架构 6系统协同设计原则 7目标 7原则 7系统协同设计要求 8通则 8制造执行层协同设计要求 8过程监控层协同设计要求 12现场控制层协同设计要求 17现场设备层协同设计要求 21附录A（资料性） 安全一体化系统安全防护加强要求 23概述 23制造执行层安全防护加强要求 23过程监控层安全防护加强要求 23现场控制层安全防护加强要求 24现场设备层安全防护加强要求 25附录B（资料性） 现场总线型网络下现场设备的安全防护要求 26概述 26区域划分基本要求 26身份鉴别与认证 26访问与使用控制 26资源控制 26数据安全 27入侵防御 27安全审计 27附录C（资料性） 对安全一体化系统中的协调性的分析方法示例 29参考文献 31图1 安全一体化协同设计的框架 6PAGE\*ROMANPAGE\*ROMANII表C.1 用于分析安全一体化系统中信息安全措施对功能安全的影响的FMEA示例 30GB/TXXXX.3—XXXXGB/TXXXX.3—XXXXIVIV引 言传统工厂一般采用GB/T20438和应用领域标准（例如GB/T21109，GB/T16855，GB28526）来实现GB/T35673施（如安全仪表系统）面临更复杂的应用环境（如黑客攻击、恶意软件等信息安全威胁，人工智能AI的失控危险等GB/TXXXXX《智能工厂安全一体化》旨