注：将监控层以下的现场控制层网络进行细分，其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O 模块等，现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表

4.1.2DCS运行安全总体要求

4.1.2.1实时性要求

DCS应具备实时响应能力，不允许存在不可接受的延迟和抖动。

电梯标准规范范本4.1.2.2可用性要求

DCS具有高可用性需求，一般不允许重启系统，所以部署前需要详尽的测试，在生产过程中的中断 操作需要提前计划

4.1.2.3安全性要求

DCS具有安全性要求。DCS一般部署在重要的生产领域，系统不允许出现安全事故

4.1.2.4完整性要求

整性要求，不允许未授权用户或者恶意程序对信

4.1.2.5稳定性要求

DCS具有稳定性要求。DCS一且工作不稳定，将存在严重的威胁，导致大批的不合格产品流出， 剧设备的损耗等，

4.1.2.6高可靠性要求

DCS具有可靠性要求。DCS能够在规定的条件下，长期正常执行其设定的控制功能，期I 发生停车，且具有很好的耐久性和可维修性，

4.2DCS安全风险评估流程框架与流程

.2.1安全要素及其关系

OCS安全要素的关系如图2所示。

图2安全风险评估要素关系图

图2中矩形框部分是安全风险评 基本要素相关的属性。DCS系统安

GB/T 33009.32016

程中需要充分考虑业务的复杂性、重要性、可用性、安全事件、残余风险、安全需求等与基本要素相关的 属性。 图2中基本要素及属性之间主要存在以下关系： a 生产业务最终靠工业控制系统及设备实现，依赖程度越高，要求控制系统风险越小； b）生产业务的复杂性会影响控制系统的脆弱性，工艺控制环节越复杂，工业控制系统存在的脆弱 性越多，脆弱性之间潜在的关联性越强； ） 生产业务的重要性会影响控制系统的所受到的威胁，负责的工艺流程越重要，其受到的威胁 最大； d 控制系统自身的脆弱性直接影响控制系统所存在的风险，脆弱性越多，其面临的风险越多； e） 威胁利用脆弱性，演变为安全事件，损坏控制系统或设备，破坏生产业务的可用性要求； 通过控制系统所面临的风险可以获得系统的安全需求，以满足安全需求为目标，可以确定系统 采用的安全措施，采用安全措施可以降低风险，而未能被安全措施控制的残余风险，仍然有可 能诱发安全事件，破坏系统正常运行； g 控制系统遭受的威胁越多，其可能面临的风险也越大； h）生产业务的可用性要求越高，控制系统可采用的安全措施越少

中需要充分考虑业务的复杂性、重要性、可用性、安全事件、残余风险、安全需求等与基本要素相关的 性。 图2中基本要素及属性之间主要存在以下关系： a 生产业务最终靠工业控制系统及设备实现，依赖程度越高，要求控制系统风险越小； b）生产业务的复杂性会影响控制系统的脆弱性，工艺控制环节越复杂，工业控制系统存在的脆弱 性越多，脆弱性之间潜在的关联性越强； ） 生产业务的重要性会影响控制系统的所受到的威胁，负责的工艺流程越重要，其受到的威胁 最大； d） 控制系统自身的脆弱性直接影响控制系统所存在的风险，脆弱性越多，其面临的风险越多； e） 威胁利用脆弱性，演变为安全事件，损坏控制系统或设备，破坏生产业务的可用性要求； 通过控制系统所面临的风险可以获得系统的安全需求，以满足安全需求为目标，可以确定系统 D 采用的安全措施，采用安全措施可以降低风险，而未能被安全措施控制的残余风险，仍然有可 能诱发安全事件，破坏系统正常运行； g 控制系统遭受的威胁越多，其可能面临的风险也越大； h）生产业务的可用性要求越高，控制系统可采用的安全措施越少

4.2.2DCS安全分析的原理

DCS风险分析涉及DCS资产（软硬件等）、工艺特征、DCS的脆弱性与DCS的威胁四大要素，如 图3所示。风险分析的主要内容包括： a）对DCS资产进行识别，确认与识别DCS的系统范围、系统结构、网络结构、采用的通信协议、 关键部位的安全防护系统，列举构成DCS的设备清单，并对设备进行分组，分析设备间的关联 关系、通信协议、设备开放的端口和服务等，以确定DCS评估的对象和范围、并整理通信设备 的运行和安全特征； b）对DCS所处生产环境的工艺流程的特征进行识别，分析确定生产工艺流程各产品生产环节中 的重要性和复杂度，该工业过程中可能发生的危险事件（爆炸、漏液、释放有毒气体等），及其可 能造成的影响以及影响范围； C 对DCS的脆弱性进行识别，综合考虑DCS在控制方案、防护措施等技术与管理上的脆弱性进 行脆弱性梳理，并对其被利用的可能性和严重性、存在的原因进行深人分析； d 对DCS威胁进行识别，列举系统面临的潜在威胁和威胁的来源，以及发生过的历史安全事件， 在此基础上对各种潜在威胁发生的可能性、影响及其后果进行定性或定量评价； e） 根据威胁及利用脆弱性的难易程度判断安全事件发生的可能性； f 根据脆弱性的严重程度及安全事件所作用的DCS部位来计算安全事件造成的影响和损失； g 根据安全事件发生的可能性以及安全事件出现后的损失，评估安全事件对企业的风险等级； h 参照风险等级定义、国家的法律法规及相关标准和公司安全需求，确定DCS应具备的管理等 级和系统安全能力等级，然后依据DCS安全实施流程对系统进行评估，并确定评估结果，

4.2.3DCS安全风险评估实施流程

图3风险分析原理示意图

DCS安全风险评估实施的具体流程如图4所示。首先对DCS系统的设备、工艺特征、脆弱性和面 临的威胁进行识别并形成评估过程文档，然后识别系统当前安全措施，并结合上述已识别的系统特征对 当前安全措施进行有效性验证，形成评估过程文档，然后对系统的风险进行计算和验证，如果评估得到 的风险无法被评估系统接受，需增加安全措施，然后重新评估安全措施的有效性，直至系统风险可以被 系统接受为止。

GB/T 33009.3—2016

4.3.1风险可接受程度

图4DCS安全风险评估实施流程

根据工业控制系统的组织机构管理以及系统（技术）能力评估系统的风险，针对风险产生的结果采 用网络安全等级（securitylevel，SL）来表示风险管理过程中的不同风险，这样的结果比较直观，根据 SL来确定组织机构的整体安全策略和相应的技术防御措施。同时，组织机构应当综合考虑风险控制成 本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风险计算值在可接受的范 围内，则该风险是可接受的，即残余风险在系统允许风险之内说明系统是健壮的，应保持已经有的安全 措施；如果风险评估值在可接受的范围外，但是低于不可接受范围的下限值，则该风险需要采取安全措 施降低、并控制风险到可接受的程度；如果评估的风险从经济，健康，安全和环境方面进行评估后发现风 险是不可以接受的，那么就要对现有的系统重新设计网络安全程序。见图5。其中的风险评估的工具 和方法参见附录B。

图5风险可接受的程度

当综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风 验计算值在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险评估值在可 接受的范围外，即风险计算值高于可接受范围的上限值，是不可接受的风险，需要采取安全措施以降低 控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果，设定可接受风险值的基准，达 到相应等级的风险都进行处理。 注1：DCS利用可供选用的各种配置的功能和元件执行要求的任务，系统的该特征难以仅通过评定每一个单独功 能和元件的特征来综合评估一个系统的网络安全能力； 注2：DCS网络安全风险评估的深度在很大程度上取决于系统的复杂程度、生产工艺过程复杂度以及边界影响条 件以及评估的目的； 注3：评估的范围可以采用汇总统计表的形式，在一个轴线上列出系统的特性，另一轴线上列出需考虑的安全影响 条件。统计表的方格可用于记录对于每一种系统特性哪一种安全影响条件需要加以考虑

4.3.2风险评估结果

评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为 级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度 提供了一种风险等级划分方法

表1DCS风险等级的划分

DCS系统安全风险评估是对DCS所处的系统网络层级结构、数据采集与传输协议、DCS硬件设备 及模块、DCS监控软件、OPC软件、网络层级间的防护措施、安全防护设备、安全管理措施及执行情况、 生产工艺及流程、人员及场地特征、安全应急响应组织结构等进行全面的安全分析。同时，结合不同行 业的具体工业安全需求对DCS中的高危性业务（可能存在爆炸、有毒、高腐蚀性气体或严重污染环境液 泄漏的业务)关键流程或关键业务的关联性业务、关键业务或控制站进行独立评估。风险评估的准备是 整个风险评估过程有效性的基础。组织实施风险评估是一种全面的系统工作，其结果将受到生产行业、 业务流程、安全需求、系统规模、系统配置、管理制度等方面的影响。因此，在风险评估实施前，应： a） 确定DCS风险评估的目标； b） 确定DCS风险评估的范围； 组建评估管理与实施团队； d）进行系统调研； 确定评估依据和方法； 获得最高管理者对风险评估工作的支持

5.2确定DCS评估目标

识别与记录组织所应用的DCS在技术与管理上的潜在不足，以及可能造成的安全风险（包括人员、 环境、社会以及国家安全方面的影响），维护与保证组织在业务持续性发展上的特定安全需要。 评估的目标，由被评估方给出基本要求，评估方进行调研后，提出具体评估子目标，双方协商后确定 具体评估目标

拟采用问卷调查、现场面谈相结合的方式进行调研，调研内容应至少包括： a）企业主要生产业务类型、原料、加工或生产工艺过程、产品及其质量要求； b） 企业网络架构和网络连接情况（包括外网、内网）； c） 企业的DCS应用情况（主要的控制器、智能设备、传感器、执行器、应用软件、网络设备的型号、 安装时间）；

d）DCS以往安全事故； e）DCS网络安全管理制度、责任或管理部门； f）关键生产业务部门或部位的运行过程及其相关人员、管理制度、接口情况； g）企业组织已经实施的工业控制网络安全措施与规程； h）其他企业组织已实施的工业控制网络安全措施与规程的经验； 以往DCS的安全风险评估记录与结果； i）其他

5.6确定评估依据与方法

DCS安全风险评估依据包括（但不限于）： a）现行标准； b）行业主管机关的业务系统要求和制度； c） 系统互联单位的安全要求； d）控制系统本身的高实时性、高可靠性与高可用性等要求； e）企业自定义的安全需求和要求。 在DCS评估方法的选取上，应考虑DCS的特殊安全特性，包括网络安全事件发生的不规律、安全 事件历史数据的缺乏、脆弱性一且公开所带来的激增式威胁等；在技术手段的选择中，要充分考虑DCS 不可停车、实时性和稳定性的运行要求，保证不因评估检测影响当前系统的正常运行。同时根据组织长 期的业务经验，确定可用的安全风险评估计算方法（定量或定性、基于场景或基于资产等），必要时可开 展评估依据和评估方法的评审。

制定评估方案的目的是为后续评估活动的实施提供一个总体计划，用于指导实施方开展后续工作， 平估方案的内容一般包括（但不仅限于）： a）组织架构：包括评估团队成员、组织结构、角色、责任等内容； b）工作计划：评估各阶段的工作计划，包括工作内容、工作形式、以及希望获得的支持、预期工作 成果等内容； c）时间进度安排：项目实施的时间进度安排。

上述所有内容确定后，应形成较为完整的安全风险评估实施方案，得到组织最高管理部门的支 ；对管理层和技术人员进行传达，在组织架构范围内就风险评估相关内容进行培训，以明确有关 评估中的任务

6.1.1建立资产清单与分组

物处理设施等。表2是根据功能的不同对DCS设备进行的一种分类

GB/T33009.3—2016

在对资产进行识别时需要对其工作原理、基本配置和技术参数进行了解、记录和测试。测试可 我下、近似或在模拟控制系统的环境下进行，一旦影响正常的DCS运行的实时性、可靠性和安全性 不允许继续测试，

6.1.2分析检查网络拓折

在对被评估系统进行详细评估前，应对待评估系统的范围或边界、设备的互联互通关系、设备 的方式、通信协议、通信端口进行清晰的了解

6.1.3DCS设备安全属性赋值

可用性、完整性、保密性是评价DCS设备的三个安全属性。风险评估中DCS设备的价值不是以 DCS设备的经济价值来衡量，而是由DCS设备在这三个安全属性上的达成程度或者其安全属性未达成 时所造成的影响程度来决定的。安全属性达成程度的不同将使DCS设备具有不同的价值，而DCS设 备面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。 具体可用性、完整性、保密性赋值细节见GB20984一2007中的5.2.2。

6.2.1DCS 脆弱性内容

DCS脆骑性是指 有意的设计，也可能来源于错误理 环境变化、技术变化、系统部件的故 生替换、人员流动或更高威胁事件的发生，可能触发系统中的弱点，使得包含脆弱性的工业自动化

要了解物理（包括人员）和电子脆弱性之间的相互作用，熟悉企业对DCS系统的相关管理制度和流程也 至关重要。 DCS脆弱性的数据应来自于资产的所有者、DCS操作者，以及相关业务领域和DCS软硬件方面的 专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、人工测试等。 脆弱性识别主要从技术和管理两个方面进行，具体的脆弱性识别对象和实施过程参见集散控制系 统（DCS）风险与脆弱性检测要求，

6.2.2DCS脆弱性赋值

可以根据对工艺的影响程度、技术实现的难易程度、脆弱性的流 脆弱性的严重程度进行赋值。对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。 因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数 值越大，脆弱性严重程度越高。表3提供了脆弱性严重程度的一种赋值方法

表3脆弱性严重程度赋值示例

6.3. 1 威胁分类

威胁可能来源于组织内部或组织外部，表现为不同形式，但最为常见的三种形式是： 疏忽或误操作：某人对正确的系统控制流程、工艺过程和安全策略不熟悉，或由于无意疏忽导 致偶然风险。也可能是由于组织不了解所有风险，在运行复杂的工业自动化和控制系统时，偶 然的事故使这些风险呈现出来； b）未经确认的修改：对控制系统、工业应用软件、工艺过程、控制参数、配置、连接和设备进行升 级、修改或其他改变，可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全 威胁； 蓄意的破坏和攻击：个人或组织通过网络或内部人员对控制系统进行破坏或窃取信息或数据 可以给工业自动化和控制系统或对应的生产过程带来没有预料到的安全威胁

判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判 断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率： a）以往安全事件报告中出现过的威胁及其频率的统计； 6 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；近年来相关组织发布的 对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警； 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数

值越大，威胁出现的频率越高。 表4提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断依据应在评估准备 阶段根据历史统计或行业判断予以确定

工艺重要性应依据该工艺环节遭受破坏后，对整个工业生产或企业经营的影响程度进行综合评定 得出。综合评定的方法可以根据组织自身的特点，以对生产和经营过程影响的严重等级作为工艺重要 性的最终赋值结果。本部分中，工艺重要性分为四级，级别越高表示工艺对生产过程和企业经营影响越 严重，如表5所示。组织也可以根据自身实际情况确定工艺重要性的赋值依据和取值。生产业务工艺 重要性越高，受到的威胁频率会越高

表 5 系统工艺重要性定义示例

工艺影响性应依据该工艺环节遭受破坏后，对人员、环境、地区公共财产和国家安全等可能造成的 影响进行评定得出。评定的方法可以根据生产工艺过程中各环节的高温、高压、有毒原料生产等特点， 以其实际遭受攻击后对外部造成后果的严重程度作为最终赋值结果。本部分中，工艺影响性分为四级， 级别越高表示工艺环节遭受破坏后，对外界的影响越严重，如表6所示。组织也可以根据自身实际情况 确定工艺影响性的赋值依据和取值。生产业务工艺影响性越高，设备价值就越高

表6DCS系统工艺影响性定义示例

工艺复杂度由工业生产过程的复杂程度和控制系统的复杂程度来综合评定得出。评定的方法可以 根据生产工艺过程中工艺环节复杂度、工序数、系统及子系统复合状态、系统的阶段和层次等属性建模 进行综合描述。本部分对工艺复杂度给出一个示例，以工艺环节、工序数量、系统层次和系统节点数为 衡量依据，将工艺复杂度分为四级，级别越高表示工艺过程及其实现系统越复杂，存在潜在脆弱性可能 性越高，如表7所示。组织也可以根据自身所处工业行业的工艺特点，建模确定工艺复杂度的评估依据 和取值。生产业务工艺的复杂性会影响控制系统的脆弱性，工艺控制环节越复杂，工业控制系统存在的 脆弱性越多，脆弱性之间潜在的关联性越强

表7DCS系统工艺复杂度定义示例

DCS安全风险由威胁利用控制系统的脆弱性导致安全事件发生的可能性与后果影响程度来共同 决定。综合安全事件发生的可能性与安全事件的后果影响程度，判断安全事件对组织的影响。风险计 算原理以下面的形式加以说明： 风险值=R(A,P,T,V)或风险值=W[L(PsXT,PcXV)XPiXF(la,Va)] 其中，R和W表示安全风险计算函数；A表示DCS设备；P表示DCS工艺特征（Pc表示工艺特征 的复杂性，Ps表示工艺特征的重要性，Pi表示工艺特征的影响性）：T表示威胁V表示脆弱性：Ia表示

GB/T3300932016

安全事件所作用的DCS设备价值；Va表示脆弱性严重程度；L表示威胁利用DCS脆弱性导致安全事 件发生的可能性；F表示安全事件发生所产生的损失。有以下三个关键计算环节： a）计算安全事件发生的可能性 根据威胁出现频率及脆弱性情况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件发生的可能性=L(威胁出现频率，脆弱性）=L(PsXT，PcXV) b）计算安全发生后的损失 根据发生安全事件的DCS设备价值、脆弱性严重程度以及工艺特征影响性系数，计算安全事件发 生后的损失，即： 安全事件的损失=PiXF(DCS设备价值，脆弱性严重程度）=PiXF(Ia，Va） c）计算风险值 根据计算出的安全事件发生的可能性以及安全事件的影响后果，计算风险值，即： 风险值=W（安全事件发生的可能性，安全事件造成的损失）=W[L(Ps×T，Pc×V）×PiXF（Ia Va） 评估者可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通过构 造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系；相乘法通过构造经验 函数，将安全事件发生的可能性与安全事件的损失进行运算得到风险值。 附录B中列举了矩阵法和相乘法的风险计算示例

对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的 你补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两 个方面考虑。安全措施的选择与实施应参照网络安全的相关标准进行。 对于不可接受的风险在选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实 施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本部分提出的风险 评估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能 性为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后， 再次计算风险值的大小。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受 的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施

8安全风险评估文档记录

8.1评估文档记录要求

记录安全风险评估过程的相关文档，可参照GB20984一2007中的文档要求，应符合以下要求（但 不仅限于此）： 确保文档发布前是得到批准的； b） 确保文档的更改和现行修订状态是可识别的； ） 确保文档的分发得到适当的控制，并确保在使用时可获得有关版本的适用文档； d 防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的 标识。 对于安全风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置 所需的控制， 相关文档是否需要以及详略程度由组织的管理者来决定。

评估文档是指在整个DCS安全风险评估过程中产生的评估过程文档和评估结果文档，包括（但不 于此）： a）安全风险评估方案：阐述评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等； b）安全风险评估程序：明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要 的各种资产、威胁、脆弱性识别和判断依据； c） DCS设备识别清单：根据组织在评估程序文件中所确定的分类方法进行DCS设备识别，形成 DCS设备识别清单，明确资产的责任人/部门，并对关键部位标注名称、描述、类型、重要程度； d）工艺特征识别文件，根据组织在评估程序文件中所确定的分类方法对生产工艺的重要性、影响 性和复杂性进行识别赋值，形成DCS系统的生产工艺特征识别文件，其中要包括生产工艺过 程、工艺环节和工序进行具体说明，明确工艺特征赋值的判断依据； DCS威胁列表：根据威胁识别结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的 频率等； f DCS脆弱性列表：根据脆弱性识别结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及 严重程度等； g） DCS已有安全措施确认表：根据对已采取的安全措施确认的结果，形成已有安全措施确认表， 包括已有安全措施名称、类型、功能描述及实施效果等； h DCS风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方 法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容； 1 DCS风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择确定适当的控制 目标，选择适当的安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安 全措施的有效性； DCS风险评估记录：根据风险评估程序，要求风险评估过程中的各种现场记录可复现评估过 程，并作为产生歧义后解决问题的依据。

线材标准附录A （规范性附录） DCS生命周期各阶段的安全风险评估

安全风险评估应贯穿于DCS系统生命周期的各阶段中。DCS系统生命周期各阶段中涉及的安全 风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得安全风险评估的 对象、目的、要求等各方面也有所不同。具体而言，在规划设计阶段，通过风险评估以确定系统的安全目 标；在建设验收阶段，通过安全风险评估以确定系统的安全目标达成与否；在运行维护阶段，要不断地实 施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得 以实现。因此，每个阶段安全风险评估的具体实施应根据该阶段的特点有所侧重地进行。有条件时，应 采用安全风险评估工具开展评估活动。 图A.1描述了网络安全等级生命周期。在安全生命周期的评估阶段给区域分配SL（目标）。在实 施阶段执行对抗措施以满足区域要求的SL（目标）。一个区域的SL(达到的)依赖于多种因素。为了确 保区域的SL(达到的)始终优于或等于SL（目标），必要时，在安全生命周期的维护阶段应审计和/或测 试并升级对抗措施

图A.1网络安全等级生命周期

DCS安全生命周期的评估阶段包括图A.2所示的活动。在给区域分配安全目标前，应建立以下 内容： a） 区域边界； b）组织的风险容忍准则。

GB/T 33009.32016

图A.2网络安全等级生命周期—评估阶段

暖通空调管理图A.3网络安全等级生命周期——实施阶段

设备和系统的 者当发块 新脆弱性时进行审计和/或测 目标的达成度始终大于或等于设定的安全目标。与

GB/T 33009.32016