[发明专利]一种基于数字化车间的安全一体化风险确定系统及方法

摘要

本发明公开了一种基于数字化车间的安全一体化风险确定系统及方法，由2个核心模块和4个辅助模块组成。核心模块包括：信息安全概要风险确定模块和功能安全详细风险确定模块，功能安全详细风险确定模块包含4个子模块：功能安全经典PHA风险确认子模块、基于PHA的信息安全影响分析子模块、基于场景的信息安全PHA风险确认子模块和综合分析确定子模块；辅助模块包括：矩阵模型库模块、知识库模块、报表模块和人员管理模块。本系统克服了人工风险确定概念容易混淆、书写不规范等缺点；是一种集成风险确定系统，保证了所有确认结果的一致性、可追溯性，提高了安全风险确定工作效率；充分考虑了信息安全和功能安全之间的关系和相互影响，为数字化车间提供了更为全面的风险确定系统及方法。

主权项

1.一种基于数字化车间的安全一体化风险确定系统，其特征在于：包括，核心模块和辅助模块组成；所述核心模块包括：信息安全概要风险确定模块和功能安全详细风险确定模块；所述辅助模块包括：矩阵模型库模块、知识库模块、报表模块和人员管理模块。信息安全概要风险确定模块：首先进行威胁识别，找出数字化车间内的关键资产，所述关键资产即在工业生产过程中，一旦遭到破坏、丧失功能或者数据泄露，严重危害车间系统、设备及人员安全的信息或资源，列出此关键资产面临的威胁；然后再进行风险确认，得出安全等级；所述安全等级由威胁等级和影响等级两个参数决定；所述威胁等级由威胁者发起频率和系统脆弱性被利用率两个参数通过相乘法运算得出参数值，根据所述参数值进行等级划分；所述影响等级由功能安全损失、财产损失、操作性和隐私四个参数值通过加权平均法运算得出参数值，根据参数值进行等级划分；所述功能安全损失参数值由功能安全后果严重度、规避性、人员暴露率三项组成的矩阵决定，所述功能安全后果严重度指对车间内操作人员、调试人员、维修人员等涉险人员的伤害程度；人员暴露率是指人员暴露在安全相关系统失效能够造成危害的场景中的概率；规避性是指操作人员或其他涉险人员能够避免事故或伤害的可能性；所述财产损失是指相关利益方的经济损失，包括直接经济损失和间接经济损失；所述操作性是指对产线运行中的功能操作性能的影响程度；所述隐私是指对系统内数据信息的非授权访问程度；完成威胁等级和影响等级确认，由这两项的数值利用安全等级风险矩阵得出安全等级；最后，选择安全措施，并通过安全措施降低风险率，计算信息安全风险的剩余风险；本模块用于信息安全风险确定过程的记录和管理，记录了包括资产、威胁、威胁者发起频率、系统脆弱性被利用率、威胁等级、功能安全后果严重度、人员暴露率，规避性、功能安全损失、财产损失、操作性、隐私、影响等级、安全等级、安全措施、安全措施风险降低率在内的整个信息安全风险确定过程需要使用的所有要素，其中，威胁等级是通过威胁者发起频率和系统脆弱性被利用率两项计算得来的，功能安全损失是通过功能安全后果严重度、人员暴露率和规避性三项计算得来的，影响等级是通过功能安全损失、财产损失、操作性和隐私四项计算得来的，安全等级是通过威胁等级和影响等级两项计算得来的，计算过程中需要的公式和矩阵在矩阵模型库模块中定义，其余选项的内容通过下拉框来进行选择，内容的原始记录来自知识库模块，威胁项和安全措施项进行多项选择，即一个关键资产对应多个威胁，每个威胁对应多个安全保护措施；在本模块中，按安全等级对信息安全风险进行排序，或按是否产生功能安全损失对信息安全风险进行分类；功能安全详细风险确定模块，包括：功能安全经典PHA风险确认子模块、基于PHA的信息安全影响分析子模块、基于场景的信息安全PHA风险确认子模块和综合分析确定子模块；功能安全经典PHA风险确认子模块：首先，按经典HAZOP风险确认方法对数字化车间进行功能安全风险确认；然后，将所有的功能安全风险按场景的分类方式进行重新排列，针对每个场景选择安全措施和录入场景权重值；本模块记录了节点、参数、引导词、初始事件、后果、发生可能性、人员暴露率、规避性、后果严重度、安全等级、安全措施、安全措施风险降低率、场景权重值、资产在内的整个功能安全风险确认过程需要的所有要素，其中，安全等级是通过发生可能性、人员暴露率、规避性和后果严重度计算得来的，计算过程中需要的公式和矩阵在矩阵模型库模块中定义；节点、参数、初始事件、后果、场景权重值这五项是用户手工输入；其余选项的内容通过下拉框来进行选择，内容的原始记录来自知识库模块，初始事件、后果这两项进行多项选择，既一个功能安全风险对应多个初始事件和后果；在每个功能安全风险内将初始事件和后果一一结合，形成各个不同场景，针对每个场景，选择安全措施、安全措施风险降低率和场景对应的权重值；在本模块中，整体能按功能安全风险进行检索，并且能够按安全等级对功能安全风险进行排序；在每个功能安全风险中能按场景进行检索；基于PHA的信息安全影响分析子模块：按以下两步进行分析筛选，第一步，以功能安全经典PHA风险确认子模块中的场景为范围，自动比对信息安全概要风险确定模块中的功能安全损失不为无的信息安全风险对应的资产和功能安全经典PHA风险确认子模块中的资产信息，筛选出与信息安全所涉及的资产相关联的场景，再以此场景集合为范围，进行第二步筛选分析，在第二步筛选中，用户需要在初始事件和保护措施项下选择是或者否，筛选出初始事件可能由信息安全风险导致的或者信息安全风险会影响保护措施的场景；基于场景的信息安全PHA风险确认子模块：以基于PHA的信息安全影响分析子模块第二步筛选出的场景为范围，首先进行威胁识别，找出场景中涉及到的数据信息和功能，形成组件项，对信息安全属性，即真实性、完整性、机密性、可用性进行反向映射，形成属性项，由信息安全威胁的内外部来源，形成引导词；根据组件、属性和引导词构建成风险表达式；然后，针对每个风险表达式，选择安全措施；本模块记录了包括组件、属性、引导词、安全措施、安全措施风险降低率在内的整个详细信息安全风险确认过程需要的所有要素；组件项需要用户手工输入，其余选项的内容通过下拉框来进行选择，内容的原始记录来自知识库模块；综合分析确定子模块：此模块有两个功能，一是整合以上三个子模块的所有内容，给用户一个整体性的安全描述；二是计算功能安全风险的剩余风险；针对第一个功能，以功能安全经典PHA风险确认子模块中形成的功能安全风险为单元，依据基于PHA的信息安全影响分析子模块的分析结果，此功能安全风险单元中包含了受信息安全影响的场景和不受信息安全影响的场景，在受信息安全影响的场景下，包括基于场景的信息安全PHA风险确认子模块中描述的信息安全风险；在第二个功能中，以功能安全经典PHA风险确认子模块计算的安全等级为基数，通过功能安全经典PHA风险确认子模块形成的场景对应的权重值、功能安全经典PHA风险确认子模块和基于场景的信息安全PHA风险确认子模块选择的安全措施对应的降低风险率进行计算，得出功能安全风险的剩余风险，计算公式在矩阵模型库中定义；矩阵模型库模块：此模块中包含了系统中需要的所有矩阵模型及计算公式，包括信息安全概要风险确定模块中使用到的功能安全损失矩阵和安全等级矩阵，威胁等级计算公式、影响等级计算公式和剩余风险计算公式；功能安全经典PHA风险确认子模块中使用到的安全等级矩阵；综合分析确定子模块中使用到的剩余风险计算公式；知识库模块：记载了数字化车间进行安全一体化风险确认需要的资料，以条目的形式存储，用户进行增减操作，具体记录系统中所有下拉框选择的内容，包括信息安全概要风险确定模块中的资产、威胁、威胁者发起频率、系统脆弱性被利用率、功能安全后果严重度、人员暴露率，规避性、功能安全损失、财产损失、操作性、隐私、安全措施、安全措施风险降低率对应的所有选择项内容；功能安全经典PHA风险确认子模块中的引导词、发生可能性、人员暴露率、规避性、后果严重度、安全措施、安全措施风险降低率对应的所有选择项内容；基于场景的信息安全PHA风险确认子模块中的属性、引导词、安全措施、安全措施风险降低率对应的所有选择项；报表模块：根据核心模块的研究内容形成确认报告；人员管理模块：对用户进行基本信息和权限管理；在此模块中录入所有使用的用户信息，对用户的权限进行限定，对信息安全概要风险确定模块、功能安全详细风险确定模块、矩阵模型库模块、知识库模块、报表模块分别设定只读取、可修改、可删除和所有权限。