[发明专利]一种基于STPA模型的功能安全危害和信息安全威胁分析方法

权利要求书

1.一种基于STPA模型的功能安全危害和信息安全威胁分析方法，其特征在于采用STPA模型作为基础，共分为四个步骤实现了STAMP模型对信息安全影响因素处理效果的完善，步骤一：根据STPA模型建立安全约束、控制结构和过程模型；步骤二：考虑信息安全因素对控制结构和过程模型的影响；步骤三：结合述步骤一、二中对安全约束、危害事件、过程控制和信息安全影响的结果，将危害事件的发生看成是不安全控制的结果，而不仅仅是由组件或系统故障所引起，对所有可能的情况进行组合分析，识别所有不安全控制的分类；步骤四：对于每个不安全控制的指令或行为，结合步骤一、二中对安全约束、危害事件、过程控制和信息安全影响的结果，检查是否由控制回路的单个组件导致、或者由多个组件间的冲突或交互导致、又或由系统设计的不充分或不恰当所导致，以确定不安全控制的来源；步骤一中，a)安全约束用以确定控制的状态，违反安全约束将导致危害事件的发生；反之危害事件的发生一定源于某些安全约束被违反，在系统和产品设计开发过程中，安全约束被逐步精化，向下层分解；b)建立层级控制结构系统，上层的控制系统对下层进行控制，并在层级间实现安全约束的向下传递和向上反馈，通过明确控制结构可以实现对安全约束自上而下的细化并分配至控制组件、追溯控制命令的发出与执行以及相应的安全约束的传递和反馈；c)建立过程模型，描述系统的运行状态、控制规则和相应控制过程方，控制层的每一层级都需具有相应的过程模型，以便分析不安全控制来源，控制器过程模型中的可能的违背安全约束的因素包括控制指令错误、控制指令未发出、控制指令发出过早或过晚、控制指令停止过早或过晚和控制规则或过程方法错误引起的控制行为不当；步骤二中，考虑信息安全因素对控制结构和过程模型的影响，即由于信息系统通讯中受到阻断服务攻击、数据完整性攻击或外部电磁干扰造成的信号传输异常导致安全约束的违背对功能安全的影响，信息系统中受到信息安全因素影响的信息流内容包括：a)系统状态参数输入；b)控制器状态参数的输入；c)环境因素的输入；d)输出结果及输出、控制对象；e)反馈结果及反馈对象；步骤三中，不安全控制的分类包括：a)安全约束没有被正确分配，或相应的实现安全约束的控制过程方法没有被正确实现；b)安全约束被正确分配，但是控制器的执行违背了安全约束；其中在安全约束被正确分配，但是控制器执行违背了安全约束的情况包括：1)控制指令错误；2)控制指令未被发出；3)控制指令正确发出，但是指令的发出过早或过晚；4)控制指令正确发出，但是指令的停止过早或过晚；5)控制指令正确发出，但是控制规则或过程方法错误引起控制行为错误；6)控制指令正确发出，但是控制规则或过程方法错误引起控制行为未执行；步骤四中，不安全控制的来源包括：a)控制回路的单个组件；b)控制回路的多个组件间的冲突或交互；c)系统设计的不充分或不恰当；d)环境因素干扰未被排除。