6.5 確定需抵御的信息安全威脅程度

6.5.1　評價面臨的信息安全威脅

評價工業控制系統面臨的信息安全威脅，包括：

a) 分析定級的工業控制系統可能面臨的各種威脅，如：

1) 按照5.2.3.2列出的常見威脅列表；

2) 查閱企業、行業或業界已有的威脅列表和統計數據；

3) 查閱國際組織發布的關于定級的工業控制系統及其組件面臨的威脅；

4) 收集定級的工業控制系統及其組件以往安全事件報告中出現過的威脅；

5) 收集定級的工業控制系統有關現場檢測工具以及各種日志發現的威脅；

匯集上述威脅信息被綜合分析，建立定級的工業控制系統可能面臨威脅的列表；

b) 根據5.2.3.2c），對上述威脅列表中每個威脅評價其威脅程度并確定其特征值（取值范圍為1-5），形成定級的工業控制系統完整的威脅列表。

6.5.2　評價信息安全事件可能性

評價信息安全事件可能性的目的是識別威脅和估算其發生可能性，應考慮來自事件和以往威脅評估的內部經驗，關注相關威脅的持續變化，特別是當業務環境或工業控制系統發生變化時。

a) 根據6.5.1形成的威脅列表，對確定存在每一種威脅逐一分析其發生頻度：

1) 收集定級的工業控制系統以往安全事件報告中、各種日志中或現場檢測工具發現的威脅發生的頻度；

2) 收集行業（或企業）內類似工業控制系統的威脅發生的頻度；

3) 收集國際組織發布的類似工業控制系統的威脅發生的頻度；

4) 其中，威脅發生頻度分為高、中、低，對沒有發生過定為發生頻度低，發生過1次定為發生頻度中，發生過多次定為發生頻度高；

5) 選擇1)至3)中發生頻度的最高者作為定級的工業控制系統對該指定威脅發生的頻度；

b) 識別工業控制系統存在的固有脆弱性，即工業控制系統、相關生產裝置以及所屬企業或行業本身固有的，而非某個工業控制系統個體原因（如人為疏忽）造成的脆弱性，如：

1) 用于易燃易爆、強輻射、劇毒等危險品生產的工業控制系統；

2) 用于野外或難以監管的工業控制系統；

3) 受行業生產條件限制或技術水平限制，存在一定缺陷的業工業控制系統；

4) 工業控制系統所屬企業或行業固有的單個和聚集的脆弱性；

5) 對意外的威脅或環境的威脅，如地理因素、極端天氣情況的可能性、可能導致人為錯誤或設備故障的因素；

6) 應關注工業控制系統固有脆弱性可利用容易度的變化，當環境變化、技術變化、系統部件的故障，替換部件的不可用、人員流動、以及更高級的威脅出現的影響，一個最初只包含有限固有脆弱性的工業控制系統，可能會變得更易受攻擊；

c) 識別工業控制系統存在固有脆弱性的相關因素：

1) 工業控制系統資產的吸引力或可能影響較高；

2) 工業控制系統受侵害后可造成影響或獲得收益的容易度較高；

3) 工業控制系統面臨威脅發起者的技術能力和占有資源的強度較高；

4) 工業控制系統受影響客體的可補救性成本較高；

d) 根據6.5.1形成的威脅列表，對每個威脅逐一分析定級的工業控制系統固有脆弱性被相應威脅可利用容易度：

1) 當定級的工業控制系統不符合上述b）和c)的條件時，其固有脆弱性被相應威脅可利用容易度定為低：

2) 當定級的工業控制系統存在上述b）和c)的條件之一時，其固有脆弱性被相應威脅可利用容易度定為中：

3) 當定級的工業控制系統同時存在上述b）和c)的條件時，其固有脆弱性被相應威脅可利用容易度定為高：

e) 根據6.5.1形成的威脅列表，對每個威脅逐一分析信息安全事件可能性，取決于定級的工業控制系統對該指定威脅發生的頻度（6.5.2a））、定級的工業控制系統固有脆弱性被相應威脅可利用容易度（6.5.2d））兩個條件，信息安全事件可能性估算如表4所示：

表1　信息安全事件可能性估算表

f) 根據信息安全事件可能性估算表，其中特征值為1至5，一般可對特征值為1至2者定為事件可能性低，對特征值為3至5者定為事件可能性高；但由于工業控制系統所屬企業或行業通常對待安全事件可能性的敏感程度，或對安全事件發生的可接受程度進行判斷存在一定差異，甚至可以容忍一定概率的信息安全事件發生，因此確定事件發生可能性的特征值范圍可以依據行業具體情況適當調整，如特征值2至5為高，或特征值4至5為高，但同一行業類似的工業控制系統應保持一致；

g) 根據以上分析，對威脅列表的每個威脅逐一給出信息安全事件發生的可能性“高”或“低”的評價。

6.5.3　評價需抵御的信息安全威脅程度

評價工業控制系統需抵御的信息安全威脅程度，包括：

a) 根據6.5.2形成的威脅列表，選擇所有信息安全事件發生的可能性“高”的威脅作為定級的工業控制系統需抵御的信息安全威脅；

b) 比較定級的工業控制系統需抵御的所有信息安全威脅，選擇其中威脅程度特征值（取值范圍為1-5）最高者，判定為定級的工業控制系統需抵御的信息安全威脅程度特征值。