6.3　威脅評估

6.3.1　威脅評估概述

威脅是指可能導致危害系統或組織的不希望事故的潛在起因。威脅是客觀存在的，不同的資產面臨威脅不同，同一個資產不同威脅發生的可能性和造成的影響也不同。全面、準確的識別威脅有利于做好防范措施。威脅評估要識別出威脅源、威脅途徑及可能性和威脅影響，并對威脅進行分析賦值。

6.3.2　威脅分類

威脅源是產生威脅的主體。不同的威脅源具有不同的攻擊能力，在進行威脅調查時，首要應識別存在哪些威脅源，同時分析這些威脅源的動機和能力。攻擊者的能力越強，攻擊成功的可能性就越大。衡量攻擊能力主要包括：施展攻擊的知識、技能、經驗和必要的資金、人力和技術資源等。工業控制系統表4列出了工業控制系統通常面臨的威脅來源。

6.3.3 威脅調查

6.3.3.1 威脅調查概述

工業控制系統網絡化、系統化、自動化、集成化的不斷提高，尤其是互聯網技術進入工業控制領域，

信息系統與工業控制系統的集成，其面臨的安全威脅日益增長。威脅調查就是要識別組織和工業控制系

統中可能發生并造成影響的威脅，進而分析哪些威脅發生可能性較大、可能造成重大影響，如圖11所示。

工業控制系統大多部署網閘設備，在工業控制網絡和外部網絡之間進行網絡隔離。威脅調查中要著 重識別針對網閘等網絡隔離設備的威脅。 評估組將被評估的工業控制系統所處的自然環境、相關管理制定策略、資產清單、網絡拓撲圖、故 障記錄文件進行匯總，對系統相關人員訪談，識別工業控制系統威脅，如圖10所示。
實施指南如下：
a） 評估方通過查看系統日志，分析系統面臨的威脅；
b） 評估方可參考組織內其他工業控制系統面臨的威脅來分析本系統所面臨威脅；
c） 評估方可收集一些第三方組織發布的安全態勢方面的數據；

6.3.3.2 威脅途徑及可能性

威脅途徑是指威脅源對組織或信息系統造成破壞的手段和路徑。威脅源對威脅客體造成破壞，有時

候并不是直接的，而是通過中間若干媒介的傳遞，形成一條威脅路徑。在風險評估工作中，調查威脅路

徑有利于分析各個環節威脅發生的可能性和造成的破壞。

威脅是客觀存在的，但對于不同的組織和工業控制系統，威脅發生的可能性不盡相同。威脅發生的

可能性與威脅途徑、攻擊能力、動機、工業控制系統的脆弱性、保障能力是密切相關的。例如，當威脅

需要物理接觸設備時，其可能性會大大降低。

實施指南如下：

a)評估方統計以往安全事件報告中出現過的威脅及其頻率；

b)評估方統計現場工業控制系統中通過檢測工具以及各種日志發現的威脅及其頻率；

c)統計國際組織發布的關于該工業控制系統及其組件面臨的威脅及其頻率；

d)確定不同威脅的頻率值；

e)非人為威脅途徑表現為發生自然災難、出現惡劣的物理環境、出現軟硬件故障或性能降低等；

f)人為的威脅途徑表現為包括：嗅探、重放、拒絕服務、誤操作等；

g)調查威脅攻擊路徑，要明確威脅發生的起點、威脅發生的中間點以及威脅發生的終點，并明確

威脅在不同環節的特點，確定威脅路徑；

h)根據威脅途徑、攻擊能力等判斷威脅發生的可能性。

6.3.3.3 威脅的影響

威脅出現的頻率是衡量威脅嚴重程度的重要要素,因此威脅識別后需要對發生頻率進行賦值，以代入最后的風險計算中。

威脅客體是威脅發生時受到影響的對象，威脅影響跟威脅客體密切相關。當一個威脅發生時，會影響到多個對象。威脅客體有層次之分，通常威脅直接影響的對象是資產，間接影響到工業控制系統和組織。

實施指南如下：

a)識別那些直接受影響的客體，再逐層分析間接受影響的客體；

b)確定威脅客體的價值，其價值越重要，威脅發生的影響越大；

c)確定客體范圍，其范圍越廣泛，威脅發生的影響越大；

d)受影響客體的可補救性也是威脅影響的一個重要方面。遭到威脅破壞的客體，有的可以補救且補救代價可以接受，威脅發生的影響較小。有的不能補救或補救代價難以接受，威脅發生的影響較大。

6.3.4 威脅分析

在威脅調查基礎上，識別威脅發生的概率、威脅影響，分析并確定計算威脅值的方法并對其進行賦值。評估方可參考GB/T 31509-2015進行威脅分析。