5.2 工業控制系統信息安全定級要素

5.2.1　工業控制系統資產重要性

5.2.1.1　工業控制系統資產重要程度

工業控制系統資產重要程度是工業控制系統信息安全等級的定級要素之一，由工業控制系統行業領域（5.2.1.2）和工業控制系統資產價值確定。其中，工業控制系統資產價值包括其作用價值（5.2.1.3）和獲取價值（5.2.1.4）。可反映工業控制系統在國家安全、經濟建設、社會生活中的重要程度。

工業控制系統資產重要程度特征值可按表2得出：

5.2.1.2　工業控制系統行業領域

在工業控制系統資產重要程度要素構成中的工業控制系統行業領域是指，工業控制系統所在的工業生產行業領域，可分為關鍵領域、重點領域、一般領域，具體劃分條件如下：

a) 關鍵領域的工業控制系統：是指屬于國家關鍵基礎設施中的工業控制系統，國家關鍵基礎設施是國家的重要戰略資源；

b) 重點領域的工業控制系統：是指上述關鍵領域的工業控制系統以外，與國計民生緊密相關的工業生產領域中的工業控制系統，如核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱等；

c) 一般領域的工業控制系統：是指上述關鍵領域和重點領域之外的其他工業生產領域中的工業控制系統。

5.2.1.3　工業控制系統資產作用價值

工業控制系統資產作用價值是指工業控制系統承擔的業務使命、所處生產環節、受依賴程度等情況，可劃分為資產作用價值很高、資產作用價值中等、資產作用價值一般，具體劃分條件如下：

a) 資產作用價值很高的工業控制系統應符合下列條件之一：

1) 工業控制系統控制對象承擔企業工業生產中的關鍵業務使命；

2) 當工業控制系統控制對象屬于工業生產系統的核心生產部位，該控制對象功能受到損害或喪失會對主要生產流程產生中斷或對主要生產流程產生嚴重影響；

3) 工業生產系統對該工業控制系統的依賴程度高，當該工業控制系統功能受到損害或喪失時，工業生產系統無法運行或不能正常運行，甚至會發生危險，而且無法通過手工操作使工業生產系統正常運行；

4) 工業控制系統所屬的工業生產系統的生產總值很高；

b) 資產作用價值中等的工業控制系統應符合下列條件之一：

1) 工業控制系統控制對象承擔企業工業生產中的重要業務使命；

2) 當工業控制系統控制對象屬于工業生產系統的重要生產部位，該控制對象功能受到損害或喪失會對局部生產流程產生中斷或主要生產流程產生較大影響；

3) 工業生產系統對該工業控制系統的依賴程度中等，當該工業控制系統功能受到損害或喪失時，工業生產系統部分不能正常運行但不會發生危險，而且可通過手工操作輔助工業生產系統正常運行；

4) 工業控制系統所屬的工業生產系統的生產總值中等；

c) 資產作用價值一般的工業控制系統應符合下列條件之一：

1) 工業控制系統控制對象承擔企業工業生產中的一般業務使命；

2) 當工業控制系統控制對象屬于工業生產系統的生產輔助部位，該控制對象功能受到損害或喪失不會對主要生產流程產生影響或影響較小；

3) 工業生產系統對該工業控制系統的依賴程度低，當該工業控制系統功能受到損害或喪失時，可改為手工操作替代該工業控制系統，使工業生產系統相關過程正常運行；

4) 工業控制系統所屬的工業生產系統的生產總值一般。

工業控制系統所屬的工業生產系統的生產總值評價中“很高”、“中等”、“一般”的具體數值，應依據工業生產各個行業的價值評價習慣確定。

5.2.1.4　工業控制系統資產獲取價值

工業控制系統資產獲取價值是指工業控制系統資產的原始成本、更換或再造成本，以及工業控制系統控制范圍內相關工業生產裝置設施價值等情況，可劃分為資產獲取價值很高、資產獲取價值一般，具體劃分條件如下：

a) 資產獲取價值很高的工業控制系統應符合下列條件之一：

1) 工業控制系統資產的原始成本很高，或者其控制范圍內相關工業生產裝置設施價值很高，或者其抽象價值很高（例如，組織名譽的價值），或者具有一定的稀缺性；

2) 工業控制系統設備本身更換或再造成本很高，或者因事件導致系統可用性、完整性和保密性的損失，導致生產過程喪失完整性或可用性，以及干擾了生產過程的準確順序或協調性而導致的物理資產的破壞而付出的成本很高；

b) 資產獲取價值一般的工業控制系統應符合下列條件之一：

1) 工業控制系統資產的原始成本一般，或者其控制范圍內相關工業生產裝置設施價值一般，或者其抽象價值一般；

2) 工業控制系統設備本身更換或再造成本一般，或者因事件導致系統可用性、完整性和保密性的損失，導致生產過程喪失完整性或可用性，以及干擾了生產過程的準確順序或協調性而導致的物理資產的破壞而付出的成本一般。

工業控制系統資產獲取價值評價中“一般”、“很高”的具體數值，應依據工業生產各個行業的價值評價習慣確定。

5.2.2　受侵害后的潛在影響

5.2.2.1　受侵害后潛在影響程度

受侵害后潛在影響程度是工業控制系統信息安全等級的定級要素之一，由受侵害的對象（5.2.2.2）和受侵害的程度（5.2.2.3）確定。

當工業控制系統信息安全受到侵害，因其資產喪失可用性、完整性和保密性等事件會對工業控制系統本身和其他相關受侵害的對象造成的損害或后果，可能影響到一項或多項資產和業務過程，或者資產和業務過程的一部分；后果可能是臨時性的，也可能是永久性的（當資產被毀滅時）。

工業控制系統信息安全受侵害程度用受侵害后潛在影響程度特征值表示，如表3所示：

5.2.2.2　受侵害的對象

在工業控制系統信息安全受侵害后潛在影響程度劃分條件中的受侵害的對象是指，工業控制系統信息安全受到破壞后，不僅會對工業控制系統本身造成損失，還會對相關工業生產運行安全以及其他相關受侵害對象安全造成侵害。這些受侵害的對象可劃分如下：

a) 工業控制系統及相關生產裝置安全；

b) 工業生產運行安全和公民、企業、其他組織的合法權益及重要財產安全；

c) 社會秩序、公共利益、環境安全和人員生命安全；

d) 國家安全（特別是其中的國家經濟安全^)^）。

5.2.2.3 受侵害的程度

工業控制系統信息安全受到侵害是指工業控制系統的可用性、完整性、保密性等三個安全目標受到侵害。通常，工業控制系統信息安全受到侵害時，可用性、完整性、保密性的可能影響值并非總是相同的，應以三個安全目標中受到影響最高的作為選擇依據。

在工業控制系統受侵害后潛在影響程度劃分條件中的受侵害的程度是指，工業控制系統信息安全受到破壞后，因其資產喪失可用性、完整性和保密性等事件分別會造成不同程度的損害或后果，選擇各個受侵害對象的受侵害程度中最大的，確定其受侵害程度。受侵害的程度劃分如下：

a) 造成一般損害；

b) 造成嚴重損害；

c) 造成特別嚴重損害。

5.2.3 需抵御的信息安全威脅

5.2.3.1 需抵御的信息安全威脅程度

需抵御的信息安全威脅程度是工業控制系統信息安全等級的定級要素之一，由工業控制系統面臨的信息安全威脅（5.2.3.2）和信息安全事件可能性（5.2.3.3）確定。

根據信息安全事件發生的可能性水平對初始已識別的工業控制系統面臨所有信息安全威脅（即威脅列表）進行取舍，包括：

a) 當某個初始識別的信息安全威脅造成工業控制系統信息安全事件發生的可能性為“高”時，則該信息安全威脅應保留，即確認為需要抵御的威脅；

b) 當某個初始識別的信息安全威脅造成工業控制系統信息安全事件發生的可能性為“低”時，則該信息安全威脅可舍去，即確認為不需要抵御的威脅；

c) 通過取舍后，在實際需要抵御的眾多信息安全威脅中，確定該工業控制系統的最高的信息安全威脅程度特征值。

對于信息安全威脅造成工業控制系統信息安全事件發生的可能性高低的界限，應依據各個工業生產行業對安全事件可能性的敏感程度確定。當不能依據各個工業生產行業對安全事件可能性的敏感程度確定工業控制系統信息安全事件可能性時，可將初始已識別的工業控制系統面臨所有信息安全威脅，結合以往曾發生過的信息安全事件，確定作為定級對象的工業控制系統實際需要抵御的信息安全威脅程度使用。

工業控制系統需要抵御威脅的程度特征值取值范圍從1到5, 工業控制系統需要抵御威脅的程度特征值越高表示工業控制系統需要抵御威脅的程度越高。

5.2.3.2 面臨的信息安全威脅

工業控制系統面臨信息安全威脅主要從威脅來源、威脅表現形式和威脅程度等方面進行識別，并建立定級的工業控制系統的威脅列表。對工業控制系統面臨信息安全威脅的識別，主要包括：

a) 威脅來源，是指威脅主體，可被描述為單個的實體，也可以實體類或實體群體等方式來描述，通常有：

1) 意外的威脅，是指非惡意人員可能意外地損害工業控制系統資產的所有行為和其他技術因素，如在職員工誤操作、硬件缺陷、軟件開發缺陷、能源等公共服務供應失效等；

2) 故意的威脅，是指惡意人員故意地損害工業控制系統資產的所有行為，如心懷不滿的在職員工、無特殊訴求的黑客、心懷不滿的離職人員、經濟罪犯、恐怖分子、敵對勢力或敵對國家的惡意行為等；

3) 環境的威脅，是指非人為行為的損害工業控制系統資產的所有事件，如地震、洪水、風暴等自然災害；

b) 威脅表現形式，是指威脅主體對資產執行的動作，這些動作會影響資產的一個或多個屬性，而資產正是通過這些屬性來體現價值的。常見的威脅表現形式主要有：

1) 被動信息收集：可為潛在入侵者提供有價值的信息；

2) 通信攻擊：可使工業控制系統的通信中斷；

3) 回放攻擊：可提供對工業控制系統的訪問或偽造工業控制系統的數據；

4) 惡意代碼：可采取病毒、蠕蟲、自開發代碼或木馬等形式，給工業控制系統運行帶來長期困擾，甚至嚴重損壞；

5) 特權升級：攻擊者通過獲得訪問特權及特權的增加，攻擊者可采取一些本來能夠被防御的攻擊行動；

6) 拒絕服務：可影響工業控制系統網絡操作系統或應用資源的可用性，造成重大損失；

7) 社會工程：企圖通過哄騙個人來獲取安全信息和其它數據，用來攻擊工業控制系統；

8) 物理破壞：破壞或使系統物理部件失效（如硬件、軟件存儲設備、接線、傳感器和控制器），或使得系統執行某個行動，導致部件的物理破壞、毀滅或喪失能力；

c) 根據威脅來源以及威脅表現形式，對工業控制系統面臨的信息安全威脅程度進行劃分，并給出相應的信息安全威脅程度特征值：

1) T1：是指來自占有少量資源且愿意冒少量風險的對手的故意威脅（如個人），一般的環境威脅，一般的意外威脅，以及其他相當危害程度的威脅，其威脅程度特征值為1；

2) T2：是指來自占有少量資源且愿意冒很大風險的對手的故意威脅（如個人、有組織的較小團體），一般的環境威脅，嚴重的意外威脅，以及其他相當危害程度的威脅，其威脅程度特征值為2；

3) T3：是指來占有中等程度資源且愿意冒少量風險的熟練對手的故意威脅（如有組織的團體），嚴重的環境威脅，特別嚴重的意外威脅，以及其他相當危害程度的威脅，其威脅程度特征值為3；

4) T4：是指來占有中等程度資源且愿意冒較大風險的熟練對手的故意威脅（如敵對組織）， 嚴重的環境威脅，特別嚴重的意外威脅，以及其他相當危害程度的威脅，其威脅程度特征值為4；

5) T5：是指來占有豐富程度資源的特別熟練對手的故意威脅（如敵對國家、敵對組織），特別嚴重的環境威脅，特別嚴重的意外威脅，以及其他相當危害程度的威脅，其威脅程度特征值為5。

對于戰爭威脅，包括來自國家級別暴力手段的威脅，以及毀滅性自然災難等意外威脅，不在標準考慮范圍。

5.2.3.3　信息安全事件可能性

工業控制系統需抵御的信息安全威脅等級確定條件中，信息安全事件發生的可能性是指，工業控制系統面臨特定信息安全威脅發生相應信息安全事件可能性的高低。工業控制系統某個信息安全事件可能性，應通過特定威脅發生可能性以及脆弱性利用容易度組合來評價。其中：

a) 根據5.2.3.2中建立的威脅列表，對每個威脅逐一分析其發生頻度：

b) 識別定級的工業控制系統存在的固有脆弱性及其相關因素；

c) 對威脅列表中每個威脅逐一分析定級的工業控制系統固有脆弱性被相應威脅可利用容易度；

d) 根據固有脆弱性可利用容易度和威脅發生的頻度，對威脅列表中每個威脅逐一分析信息安全事件可能性；

e) 對威脅列表的每個威脅逐一給出信息安全事件發生的可能性“高”或“低”的評價。

對于工業控制系統信息安全事件可能性的評價，應依據各工業生產行業對安全事件可能性的敏感程度確定，得出工業控制系統信息安全事件可能性為“高”或“低”的結論。