2024智能工厂安全一体化第2部分：风险评估要求

2目次目次PAGE\*ROMANPAGE\*ROMANI前 言 III引 言 IV范围 1规范性引用文件 1术语和定义 1缩略语 3一般要求 3评估对象 3评估原则 4风险评估相关活动 4确定安全目标和风险准则 4确定风险评估范围 5组建评估管理与实施工作组 5评估资料准备 5选择评估工具和方法 6制定风险评估计划 6风险评估程序 6风险评估流程 7节点划分 8偏差确定 8危险识别 8威胁和脆弱性辨识 9危险事件分析 11危险事件发生可能性分级 11后果分析 12后果严重程度分级 12初始风险评估 12风险降低措施分析 13保护/护能力估 13残余风险评估 13意见建议 13风险评估文档记录 14附 录 A（资性）险评估法 15附 录 B（资性）胁示例 18附 录 C（资性）险事件生可能性评估示例 20PAGE\*ROMANPAGE\*ROMANII附 录 D（资性）果严重分级示例 23附 录 E（资性）险矩阵例 24引言引言IVIV传统工厂一般采用GB/T20438和应用领域标准（例如GB/T21109，GB/T16855，GB28526）来实GB/T35673各层级内和层级间的设备/系统实现了更为深入的互联互通，提高了工业经营者的效率，降低了成本，（如安全仪表系统）面临更复杂的应用环境（AI的失控危险等GB/TXXXXX《智能工厂安全一体化》旨在指导智能工厂建立安全一体化生命周期，并针对风险评估、协同设计和评测验证提出要求，拟由4个部分构成：——第1部分：一般要求。目的在于提出安全一体化生命周期的整体要求，以及实现安全一体化的基本原则。——第2部分：风险评估要求。目的在于提出开展安全一体化风险评估的流程和要求。——第3部分：系统协同设计要求。目的在于针对智能工厂制造执行层、过程监控层、现场控制层和现场设备层提出系统协同设计的要求。——第4部分：系统评测要求。目的在于提出开展安全一体化完善度评测的方法和要求。GB/TXXXXX.2PAGEPAGE1智能工厂安全一体化2范围估文档记录的要求。本文件适用于智能工厂生产系统开展安全一体化风险评估。规范性引用文件（包括所有的修改单适用于本文件。GB/T20438.1 电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求GB/T20438.4 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略GB/T21109（所有部分） 过程工业领域安全仪表系统的功能安全GB/T35320危险与可操作性分析（HAZOP分析）应用指南GB/T41257数字化车间功能安全要求GB/T41260数字化车间信息安全要求GB/TXXXX.1智能工厂安全一体化第1部分：一般要求术语和定义GB/TXXXX.1中界定的术语以及下列术语适用于本文件。伤害harm人身损伤、人的健康损害、财产或环境的损害。[来源：GB/T20438.4—2017，3.1.1]危险hazard伤害的潜在根源。[来源：GB/T20438.4—2017，3.1.2]注：这个术语包括短时间对人身的伤害（如着火和爆炸），以及那些对人身健康长时间的损害（如有毒物质释放）。危险状况hazardous situation人、财产或环境暴露于一个或多个危险源环境的情况。[来源：GB/T20438.4—2017，3.1.3]PAGEPAGE10危险事件 hazardous event可能导致伤害的事件。害，人是否能避免该事件的后果。[来源：GB/T20438.4—2017，3.1.4]风险 risk伤害发生的概率与该伤害严重程度的组合。[来源：GB/T20438.4—2017，3.1.6]残余风险 residual risk[来源：GB/T20438.4—2017，3.1.8]EUC险 EUCrisk由EUC或由EUC与EUC控制系统相互作用而产生的风险。[来源：GB/T20438.4—2017，3.1.9]1E/E/PE低措施来提供必要的风险降低（即与功能安全相关的风险）。2：GB/T20438.5A.1EUCEUCE/E/PE注3：这个风险评估应包括相关人的因素。功能安全风险 functional safety risk与特定的危险事件相伴的风险。在这种危险事件中用功能安全相关系统和其他风险降低措施来提供必要的风险降低。信息安全风险 information security risk[来源：GB/T20984—2022，3.1.1]目标风险 target risk针对特定的危险，考虑了EUC风险，及E/E/PE安全相关系统和其他风险降低措施后，所要达到的风险。[来源：GB/T20438.4—2017，3.1.10]风险管理 risk management指导和控制组织相关风险的协调活动。[来源：GB/T25069—2022，3.168]安全safety没有不可接受的风险。[来源：GB/T20438.4—2017，3.1.11]安全功能 safety function针对特定的危险事件，为实现或保持EUC的安全状态，由E/E/PE安全相关系统或其他风险降低措施实现的功能。[来源：GB/T20438.4—2017，3.5.1]安全完整性safety integrity[来源：GB/T20438.4—2017，3.5.4]安全完整性等级safety integrity level（四个可能等级之一4安全完整性等级1是最低的。[来源：GB/T20438.4—2017，3.5.8]威胁 threat可能对系统或组织造成危害的不期望事件的潜在因素。[来源：GB/T25069—2022，3.628]脆弱性 vulnerability[来源：GB/T30976.1—2014，3.1.1]缩略语下列缩略语适用于本文件。E/E/PE：电气/电子/可编程电子（Electrical/Electronic/ProgrammableElectronic）EUC：受控设备（EquipmentUnderControl）SL：信息安全等级（SecurityLevel）SIL：安全完整性等级（SafetyIntegrityLevel）USB：通用串行总线（UniversalSerialBus）一般要求智能工厂安全一体化风险评估的对象为：按照GB/TXXXX.1中第5章确定的对象，如图1所示。图1 智能厂安全一体化风险评估对象示意图宜基于信息安全风险评估结果辨识出的可能导致生产安全影响的威胁。注1：信息安全风险评估实施可参考GB/T36466-2018。注2：传统生产安全危险源一般包括：人员异常操作、设备故障、控制失效、外部环境因素等，若在安全一体化风险评估前已开展过功能安全相关风险评估，可将其输出作为传统生产安全危险源辨识的输入。运行维护阶段以及修改变更阶段开展。风险评估相关活动确定目标和准则定义时，应考虑以下因素：——分析结果的使用目的；——需要进行分析的智能工厂生产系统的生命周期阶段；——可能面临风险的人员或资产，例如：员工，公众，环境和系统等；——可操作性问题，包括对业务连续性、产品质量等的影响；——通用的法律要求，以及与特定应用直接相关的法律要求；——相关安全监管机构发布的指南；——与应用有关各方的争议与一致意见；——工业标准和指南；——来自咨询机构的最佳独立建议。风险评估范围及颗粒度的确定，取决于以下几个因素：——智能工厂生产系统的物理边界；——可获得的设计说明的详细程度；——已经完成的危害分析或其他相关分析活动的范围；——适用的法规要求。组参与风险评估活动。/或信息安全知识，并具有相应的经验能力。署个人保密协议。组长、成员达成共识。和经验的人员足够的前提下应当尽可能的少。当的培训达到此要求。推荐的风险评估工作组成员构成，包括：——风险评估组长；——记录员；——项目设计人员；——用户；——专家；——运行维护人员（代表）。评估资料准备在正式开始评估之前，应保证能够获取最完整的可用设计资料，有纰漏或不完整的资料应在分析开考虑以下方面：标注：置图，公用工程规格，操作和维修要求；——分析对象的边界和在边界处的界面；——系统运行的环境；——操作和维修人员的资质，技能和经验；——程序和/或操作规程；——操作和维修经验和对类似系统的危险认知；——业务战略及管理制度；——主要的业务功能和要求；——网络结构与网络环境，包括内部连接和外部连接；——主要的硬件、软件；——数据和信息；——系统和数据的敏感性；——支持和使用系统的人员；——工厂所处环境的气象水文材料；——分析会议文件评估记录文件。含记录表、适用的记录项等；事故事件分析报告等；成。——其他相关文件。应综合考虑生命周期阶段、分析目标、所能获得的信息等内容，选择风险评估工具和方法。在正式开始评估之前，应制定并发布一份风险评估计划，包括以下内容：——评估组织：包括评估工作组成员、组织结构、角色、责任等内容；——工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；——时间进度安排：项目实施的时间进度安排。风险评估程序初始风险分析初始风险分析风险评估流程开始节点划分偏差确定危险识别（包括：传威胁和脆弱性统生产危险源等） 识别开始节点划分偏差确定危险识别（包括：传威胁和脆弱性统生产危险源等） 识别信息安全风险评估危险事件分析危险事件发生可能性分级后果分析后果严重程度分级初始风险评估功能安全保护措施/信息安全防护措施分析保护/防护能力评估残余风险评估否是否在可接受范围之内是结束意见建议风险识别残余风险分析图2 智能厂安全体化风险评估流程残余风险分析注1：如果在开展安全一体化风险评估前，未开展信息安全风险评估，则可按照7.5开展信息安全威胁和脆弱性辨识。注2：本文件中功能安全保护措施包括：符合GB/T20438或GB/T21109的电气/电子/可编程电子安全相关系统、机械式保护系统、外部风险降低措施等。节点划分要求为便于分析，可将系统分成若干节点，各个节点的设计意图应能充分定义，应满足以下要求：——结合智能工厂生产系统的对象特点，划分节点。——节点划分，应考虑分析范围内的所有设施、设备，遵循既不重复，又不遗漏的原则。——所选节点的大小，取决于系统的复杂性和危险的严重程度。节点划分不宜过大或过小。复杂度高或危险性高的系统可划分成若干较小的节点，简单的或低危险性系统可划分成若干较大的节点，以加快分析进程。——每个节点的范围，应包括分析对象中的一个或多个功能系统。节点描述要求节点应有编号，可采取统一的节点编号方式。节点描述一般包括：节点范围及工艺流程简单说明、主要设备位号、管线和设备的设计参数、安全阈值等。意义的偏差及其含义。针对确定的每一个偏差，确定导致偏差的诱因，进行危险识别、威胁和脆弱性辨识。偏差的确定方法可参见GB/T35320。示例：于操作步序“输送”，与引导词“无”相组合，得到偏离“输送无”，其含义为没有输送物料。时以何种方式导致伤害的事故场合。在进行危险识别时，应开展：——对智能工厂生产系统生命周期阶段的识别，包括：设计；运行；修改和变更。——对运行模式的识别，包括但不限于：配置；测试；启动；停机；紧急停止；暂停或锁定后的恢复运行；非计划停机后的重新启动；故障查找/排除。——对工艺装置/设备的可能的状态的识别，包括：正常运转；功能失效。——对非预期的人员行为，或合理可预见的误操作的识别，包括：过程/异常发生时的人员条件反射行为；非专业操作人员/动物的行为（如儿童、残疾人、小动物）等。——对合理可预见的情况下，其他危险的识别，包括：过程危险；机械危险；电气危险；热危险；噪声危险；振动危险；辐射危险；物料/人机工效学危险；与环境有关的危险等。——其他异常运行情况的识别。威胁辨识有潜在威胁。示例：智能工厂生产系统的威胁主体大致可分为：内部人员、脚本小子、黑客、网络犯罪分子和民族国家行为者。工厂生产系统的威胁分类，可参考相关标准或附录B。（例——内部无意的威胁（例如，不知不觉地插入了一个受感染的USB）；——内部故意的威胁（例如，心怀不满的员工）；——外部一般/非熟练人员威胁（例如，脚本小子）；——外部有目标的/有技能的威胁（例如，网络罪犯、技能展示）；——外部攻击行为威胁（例如，高级持续威胁，民族国家）。——社会工程威胁（如，网络钓鱼、鱼叉式网络钓鱼）；——通信威胁（例如，拒绝服务，以及中间信息）；——供应链威胁（例如，服务提供者的破坏）；——物理访问威胁（例如，登录到无防护的工作站）；——软件威胁（例如，利用一个已知的软件漏洞）；——硬件威胁（例如，将USB连接到不安全的端口）。——威胁来源；——威胁来源的技能水平、动机、资源等；——可能的威胁场景、途径和载体；——潜在受影响的资产。智能工厂可能面临的潜在威胁示例，见附录B。脆弱性辨识/产品的脆弱性进行分析。——工业自动化系统的常见脆弱性。包括：无线通信、自动化系统集成导致的脆弱性等。——智能工厂生产系统的特定脆弱性。包括：大量移动设备接入、联网应用程序、遗留系统等导致的脆弱性等。注：典型脆弱性如下：——人员/组织的安全意识有限(例如不受控制地使用USB驱动器)；——资产管理缺陷(如现有资产和这些资产的版本状态不清楚、不完整或过时)；——通过更新或补丁向产品/解决方案添加新漏洞或回归到旧漏洞(例如，补丁解决了一个问题，但打开了两个新问题)；——产品/解决方案的缺陷(例如缺少适当的安全程序和策略)；——性能方面的固有设计限制(例如，简单的拒绝服务情况会导致安全问题）；——故意滥用内置功能/特性(例如，通过远程访问维护通道注入恶意软件)；——实际用途与预期用途不同(例如，在操作期间增加了远程访问)；——威胁环境的变化使得现有的解决方案更加脆弱（例如加密方法的破坏）；——软件错误（bug）：可能是通过有意或无意的方式引入错误，可以通过系统软件程序或设备固件的方式引入；——硬件故障：硬件失效导致的潜在系统脆弱性；——信息安全措施效果降低：信息安全措施的有效性可能会随着时间的推移而降低，也可能随着新的信息安全技术或计算机技术出现而过时；——身份证书的重复使用：在多个位置不同的地点使用相同的证书；——由于错误配置导致的系统性错误（例如没有修改默认密码）；——一般的外界病毒，可能不是为本系统所专门开发的，但是影响到了本系统的运行；——信息安全后门，可能在系统设计初期植入的后门。危险事件分析应分析并明确已确定的危险/一个危险/表1危险、危险事件、危险情况和伤害示例偏差危险/威胁和脆弱性危险事件危险状况伤害温度高燃料气进料阀门故障进料阀异常开大，燃料气进料过多，加热炉温度过高加热炉炉膛坍塌财产损失、人员伤亡数据篡改：非授权人员访问工程师站，更改控制参数进料阀异常开大，燃料气进料过多，加热炉温度过高加热炉炉膛坍塌财产损失、人员伤亡注：危险导致危险事件的分析，可参见GB/T41257、GB/T35320。威胁导致危险事件的分析，可参见GB/T41260。危险事件发生可能性可结合具体的威胁场景，基于以下方法进行评估：——基于攻击者的动机、能力；——基于攻击者的动机、资源、知识；——基于攻击者的动机、能力、资源；——基于攻击者的攻击潜力AP；——基于资产暴露度与脆弱性程度。C。（/威胁（/威胁——对于在一定条件下成立的“原因（危险/威胁）——危险事件”对，应做条件修正。危险事件发生可能性等级划分C。（（（（例如：数据泄露等）等后果。注：智能工厂危险事件的后果，宜考虑以下方面：——业务，如业务中断、关键功能无法操作等；——人员，如人员伤亡；——环境，如物料泄漏、释放；——经济，如工艺设备、生产设施损失/损坏，政府/当局罚款，知识产权损失，利润流失等；——声誉，如负面媒体报道，失去利益相关者的信心，丧失经营许可证的行为等；——数据泄露等。等级。规范要求，并具有合理可信的来源。后果，需要做条件修正。初始风险评估7.117.13中要求的内容。（7.117.13中要求的内容。风险降低措施分析条件因素跟后果之间的关系。计算保护/防护能力时，需要根据独立性情况做修正。保护/防护能力评估辨识每一个独立的功能安全保护措施/低因子可通过公开文献或工业数据获得。在确定应通过措施减少多少可能性时，可以考虑基于经验法则。示例：典型的经验法则如：对于不容易受到网络攻击的保护措施（例如，减压装置或其他机械装置），可以将事件发生的可能性降低2个级别；增加防火墙，可以将事件发生的可能性降低1个级别。（SIL或PFD）和信息安全防护措施的防护能力（SL）。残余风险评估-/危险事件发生可能性，或者后果严重程度，并评估危险事件的残余风险。建议。意见建议:——增加功能安全保护措施/信息安全防护措施（例如：安全仪表系统、安全阀、防火堤、访问控制措施、使用控制措施、系统完整性措施、系统保密性措施、风险监控措施等）；——更改为更有效/更可靠的功能安全保护措施/信息安全防护措施；——通过管理的手段来弥补不足（例如：增加人员培训；供应商管理；变更管理；定期开展风险评估，基于风险复盘，更新风险应急预案等）；——更改工序、工艺、装置、设备、网络、控制等的原始设计，以推动实现本质安全。提出的意见建议应被记录，并指定责任人，追踪执行。措施进行信息安全风险评估确认其有效性。示例：力有效性的影响，同时还需开展补充的信息安全风险评估。风险评估文档记录信息安全防护措施是否可以防止事件发生或降低风险。A。附 录 A（资料性）风险评估方法，可分为定性和定量两大类。定性的风险评估方法示例：PHA/HAZOP、检查表、FMEA。定量的风险评估方法示例：蝴蝶结、LOPA、定量风险分析QRA、半定量SL验证。其中：HAZOP是评估工业现场过程危害的常用技术，该技术是基于使用预先配置的引导词来确定过程中断的可能原因和最终后果。对于信息安全HAZOP，引导词可被用于识别信息安全被破坏的潜在原因。表A.1为基于HAZOP的安全一体化风险示例，表A.2为所采用的风险矩阵和可容忍风险示例。表A.1HAZOP参数偏差可能原因（危险/威胁导致危险事件的描述）发生可能性后果后果严重性初始风险保护措施残余风险意见建议温度加氢反应器温度高控制回路故障，阀门开大，燃料气进料流量过多，反应器进料加热炉炉膛温度高，加氢反应器温度高6（10-1反应器超压，发生泄漏，可燃气体与空气混合，发生爆炸。P4；F4；R4.61、加氢反应器设置有安全阀；2、加氢反应器床层温度高联锁（SIS）；3、反应器进料加热炉设置有炉膛温度高报警。2——第三方人员（含运维人员）利用权限访问工程师站，恶意修改配置参数，瓦斯气进料组分变重，反应器进料加热炉的炉膛温度高，加氢反应器温度高6（10-1反应器超压，发生泄漏，可燃气体与空气混合，发生爆炸。P4；F4；R4.61、对第三方人员实施身份认机制；2、加氢反应器设置有安全阀；3、加氢反应器床层温度高联锁（SIS）；4、反应器进料加热炉设置有炉膛温度高报警。1——参数偏差可能原因（危险/威胁导致危险事件的描述）发生可能性后果后果严重性初始风险保护措施残余风险意见建议液位原料油缓冲罐液位过高控制回路故障，阀门开大，原料油进料量过大6（10-1满罐，溢流进入火炬系统，经济损失P1；F1；R1.31、原料油缓冲罐进料设置闭进料。2——攻击者通过供应链攻击在进料泵产品中植入了恶意程序，篡改控制逻辑，导致进料泵故障，进料量过大6（10-1满罐，溢流进入火炬系统，经济损失P1；F1；R1.31、制定第三方供应商管理息安全入网相关测试。2、原料油缓冲罐进料设置闭进料。1——表A.2所采用的风险矩阵和可容忍风险示例可能性12345678严重性74级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）63级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）7级（极严重风险）52级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）7级（极严重风险）41级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）7级（极严重风险）31级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）7级（极严重风险）21级（可忽略风险）1级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）6级（险）11级（可忽略风险）1级（可忽略风险）1级（可忽略风险）1级（可忽略风险）2级（低风险）3级（中风险）4级（高风险）5级（险）注：该风险矩阵中1级、2级风险为可容忍风险。附 录 B（资料性）威胁示例一种基于表现形式的威胁分类，见下表。表B.1种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断系统本身或软件缺陷造等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意地执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探账户、口令、权限等)、用户身份伪造和欺骗用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等智能工厂生产系统可能面临的威胁类别示例，见下表。表B.2威胁类别威胁描述物理威胁破坏；未经授权的物理访问/未经授权的进入办公场所非故意损害错误地使用或管理设备和系统；意外更改系统中的数据或销毁记录威胁类别威胁描述失效/故障a.b.设备或系统故障；通信链路中断或故障中断网络中断窃听a.b.网络侦察、网络流量操纵和信息收集中间人/会话劫持非正常活动a.拒绝服务；b.恶意代码/软件/活动；c.身份欺诈；d.操纵硬件和软件；e.操纵信息附 录 C（资料性）危险事件发生可能性评估示例基于攻击潜力AP，估计危险事件发生可能性APAP业知识、目标信息、目标访问、设备等因素决定。具体见下表。表C.1攻击潜力相关的因素分类因素类别描述范围值所需时间攻击者识别系统中可能存在的特定的潜在漏洞、开发攻击方法和维持对目标执行攻击所需的总时间。小时0天1周3月7专业知识对基本原则、产品类型或攻击方法的通用知识水平。外行0熟练人员3专家6多领域专家8目标知识执行攻击所需的目标相关知识水平。公共信息0受限的信息3敏感信息7关键信息11目标访问执行攻击所需的对目标系统的访问等级无限制0容易地1中等地4困难地10设备标准设备0专业设备4定制设备7多重定制设备9通过估计各个类别因素的数值，来计算攻击潜力AP，具体如下式所示。AP=AP所需时间+AP专业知识+AP目标信息+AP目标访问+AP设备攻击潜力AP的等级划分、以及导致的危险事件发生可能性划分，见下表。表C.2攻击潜力等级划分及危险事件发生可能性等级划分APAP等级危险事件发生可能性0-9基础的确定10-13基础增强的可能14-19中等的也许APAP等级危险事件发生可能性20-24高不太可能的>24超高罕见的基于攻击者的经验、所需设备、机会窗口、时间，估计危险事件发生可能性示例，见下表。表C.2危险事件发生可能性级等级划分示例发生可能性经验所需设备机会窗口所需时间低需要多名专家定制设备短长中等专家专用设备适中的适中的高精通的专用商业现货COTS长短很高外行标准设备无限的很短基于资产暴露度与脆弱性，估计危险事件发生可能性基于资产暴露度与脆弱性，估计危险事件发生可能性示例，见下表。表C.3危险事件发生可能性级等级划分示例发生可能性资产暴露度脆弱性1对攻击者的逻辑或物理访问的高度限制，例如：高度限制的网络和物理访问；只能很费力地获取。a.b.c.d.成功的攻击只可能针对一小群具有高黑客能力（需要高能力）的攻击者；脆弱性只能经过高强度的努力才能被利用，如果能够解决攻击者被追踪和起诉的机会很大。2对攻击者的逻辑或物理访问限制，例如：需要内部网络访问权限；受限的物理访问；或组件a.b.c.d.对于具有平均黑客攻击技能（需要中等能力）的攻击者来说，成功的攻击是可行的；领域或工具知识；采取了一些安全措施来应对威胁；攻击者被追踪和起诉的机会中等3对攻击者简单的逻辑或物理访问。例如：互联网接入足够；公共物理访问；或维护活动的一部分；攻击者可以轻松地获取产品或组件。a.b.c.d.（要很少的能力）；由于不需要工具，或者自由存在合适的攻击工具，因此可以轻松地利用脆弱性，没有或只有薄弱的安全措施来应对由威胁引起的攻击，攻击者被追踪和起诉的机会很低。基于每年发生次数，估计的危险事件发生可能性等级划分示例，见下表。表C.4危险事件发生可能性等级划分示例等级发生可