国家标准 GB/T37933一2019 信息安全技术工业控制系统专用防火墙技术要求 nformationseeuritytechnoogy一Techniealrequirementsofindustrialcontrol systemdedicatedfirewall 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布国家标准化管理委员会国家标准
GB/T37933一2019 次目前言引言范围规范性引用文件术语和定义缩略语产品描述安全技术要求 6.1基本级安全技术要求 6.1.1安全功能要求 6.1.2自身安全要求 G.1.3性能要求 6.1.4安全保障要求 6.2增强级安全技术要求安全功能要求 6.2.1 自身安全要求 6.2.2 6.2.3性能要求 6.2.4安全保障要求 14 附录A(资料性附录)工控防火墙的应用 18 附录B(规范性附录环境适应性要求 20 附录c资料性附录典型工控协议应用层控制要求 28 参考文献 30
GB/37933一2019 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:公安部第三研究所、北京和利时系统工程有限公司、浙江中控技术股份有限公司、北京神州绿盟信息安全科技股份有限公司、信息安全研究院有限公司、电子技术标准化研究院、北京天融信网络安全技术有限公司、电子科技网络信息安全有限公司、网神信息技术(北京)股份有限公司济南华汉电气科技有限公司、北京天地和兴科技有限公司、烽台科技(北京)有限公司、上海电力学院、北京工业大学本标准主要起草人邹春明、田原、沈清泓、陆臻、俞优、赵婷、,严益鑫、顾健、刘盈、王覆、朱毅明、范科峰、王勇、姚相振、李琳、周睿康、叶晓虎、王晓鹏、杨晨、周文奇、金光宇、雷晓锋、兰昆、黄文君、龚亮华、杨震、王刚、吴云坤
GB/T37933一2019 引言随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用防火墙在面对工业控制系统的安全防护时显得力不从心,因此急需要一种能应用于工业控制环境的防火墙对工业控制系统进行安全防护应用于工业控制环境的防火墙与通用防火墙的主要差异体现在 -通用防火墙除了需具备基本的五元组过滤外,还需要具备一定的应用层过滤防护能力用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外,还具有对工业控制协议应用层的过滤能力用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力 -工业控制环境中,通常流量相对较小,但对控制命令的执行要求具有实时性因此,工业控制防火墙的吞吐量性能要求可相对低一些,而对实时性要求较高 I业控制环境下的防火墙比通用防火墙具有更高的可靠性.稳定性等要求
GB/37933一2019 信息安全技术工业控制系统专用防火墙技术要求范围本标准规定了工业控制系统专用防火墙(以下简称工控防火墙)的安全功能要求.自身安全要求.性能要求和安全保障要求本标准适用于工控防火墙的设计,开发和测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件电工电子产品环境试验第2部分试验方法试验Ea和导则冲击 GB/T2423.5一1995 GB/T2423.8一1995电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落 GB/T2423.102008电工电子产品环境试验第2部分;试验方法试验Fe:振动正弦) GB/T42082017外壳防护等级(IP代码 GB4824一2013工业、科学和医疗(ISM)射频设备骚扰特性限值和测量方法 GB/T9254一2008信息技术设备的无线电骚扰限值和测量方法 GB/T137292002远动终端设备 GBy/T15153.1一1998远动设备及系统第2部分;工作条件第1篇;电源和电磁兼容性 GB 17214.42005 工业过程测量和控制装置的工作条件第4部分;腐蚀和侵蚀影响 GB 17626.22018 电磁兼容试验和测量技术静电放电抗扰度试验 17626,.3一2016电磁兼容试验和测量技术射频电磁场辐射抗扰度试验 GB 电快速瞬变脉冲群抗扰度试验 GB/T17626.4一2018 电磁兼容试验和测量技术 GB/T17626.52008 电磁兼容试验和测量技术浪涌冲击)抗扰度试验 GB/T17626.62017 电磁兼容试验和测量技术射频场感应的传导骚扰抗扰度 GB/T17626.82006 电磁兼容试验和测量技术工频磁场抗扰度试验 GB/T17626.10-2017电磁兼容试验和测量技术阻尼振荡磁场抗扰度试验 GB/T17626.112008 电磁兼容试验和测量技术电压暂降、短时中断和电压变化的抗扰度试验 GB/T17626.12一2013 电磁兼容试验和测量技术振铃波抗扰度试验 GB/T17626.162007 电磁兼容试验和测量技术0Hz150kHz共模传导骚扰抗扰度试验 GB/T17626.17一2005电磁兼容试验和测量技术直流电源输人端口纹波抗扰度试验 GB/T17626.18一2016电磁兼容试验和测量技术阻尼振荡波抗扰度试验 GB/T17626.29-2006电磁兼容试验和测量技术直流电源输人端口电压暂降、短时中断和电压变化的抗扰度试验 GB/T20281一2015信息安全技术防火墙安全技术要求和测试评价方法 GB/T20438.3一2017电气/电子/可编程电子安全相关系统的功能安全第3部分;软件要求
GB/37933一2019 安全技术要求 6.1基本级安全技术要求 6.1.1安全功能要求 6.1.1.1 网络层控制 6.1.1.1.1包过滤工控防火墙的包过滤要求如下安全策略应使用默认禁止原则,即除非明确允许,否则就禁止; a b) 安全策略应包含基于源IP地址、目的IP地址的访问控制安全策略应包含基于源端口、目的端口的访问控制; c d安全策略应包含基于协议类型的访问控制 e 安全策略应包含基于MAC地址的访问控制; f 应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口的部分或全部组合 6.1.1.1.2NAT 部署域间的工控防火墙应具备NAT功能,具体技术要求如下应支持双向NAT:SNAT和DNAT; a bSNAT应至少可实现“多对一"地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换 6.1.1.1.3状态检测工控防火墙应具备状态检测功能,支持基于状态检测技术的访问控制 6.1.1.1.4动态开放端口工控防火墙应具备动态开放端口功能,应至少支持OPC,FTP协议 6.1.1.1.5IP/NIAC地址绑定工控防火墙应支持自动或手动绑定IP/MAC地址;应能够检测P地址盗用事件,拦截盗用P地址的主机经过工控防火墙的各种访问 6.1.1.1.6抗拒绝服务攻击工控防火墙应具有抗拒绝服务攻击的能力,具体技术要求如下(包括,但不限于) CMPFlood攻击 a b UDPFlood攻击; c sYNFlood攻击 dTearDrop攻击; e Land攻击; 超大ICMP数据攻击 fD 6.1.1.1.7网络扫描防护工控防火墙应能够检测和记录扫描行为,包括对受保护网络的扫描
GB/T37933一2019 6.1.1.2应用层控制 6.1.1.2.1应用协议控制工控防火墙应能识别并控制各种应用类型,具体技术要求如下支持HTTP,FTPTelnet等通用应用层协议; a D)支持常用工业控制协议,如OPC,ModbusTCP,Profinet,BACnet,DNP3,IEC104等 6.1.1.2.2工业协议深度内容检测工控防火墙应能对主流工业协议进行深度内容检测,具体技术要求如下工控协议格式规约检查,禁止不符合协议规约的通信; aa b》对工业协议的操作类型、操作对象、操作范围等参数进行控制 c 至少支持一种主流工控协议注:具体工控协议检测深度参见附录C 6.1.2自身安全要求 6.1.2.1运维管理 6.1.2.1.1管理安全工控防火墙应具备管理安全功能,具体技术要求如下支持对授权管理员的口令鉴别方式,且口令设置满足安全要求 a 应在所有授权管理员请求执行任何操作之前,对每个授权管理员进行唯一的身份鉴别 b c 应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后，工控防火墙应终止管理主机或用户建立的会话 d 工控防火墙应为每一位规定的授权管理员提供一套唯一的为执行安全策略所必需的安全属性 6.1.2.1.2管理方式工控防火墙应具备多种管理方式,具体技术要求如下 a)应支持进行本地管理工控防火墙; b)应支持通过网络接口进行远程管理,并可限定可进行远程管理的网络接口远程管理过程中,管理端与工控防火墙之间的所有通信数据应加密传输 c 6.1.2.1.3管理能力工控防火墙应具备相应的管理能力,具体技术要求如下向授权管理员提供设置和修改安全管理相关的数据参数的功能 a b)向授权管理员提供设置、查询和修改各种安全策略的功能向授权管理员提供管理审计日志的功能 c 6.1.2.2安全审计 6.1.2.2.1记录事件类型工控防火墙应具备安全审计功能,记录事件类型要求如下工控防火墙访问控制策略匹配的访问请求; a
GB/37933一2019 访问控制策略默认禁止的访问请求,包括试图穿越或到达工控防火墙的访问请求 b 检测到的攻击行为; c d 试图登录工控防火墙管理端口和管理身份鉴别请求; 对工控防火墙系统重要管理配置操作,如增加/删除/修改管理员、保存/删除审计日志,更改安全策略和配置参数等; 其他应记录的事件类型 6.1.2.2.2日志内容工控防火墙应具备安全审计功能,日志内容要求如下事件发生的日期时间,日期应包括年、月、日,时间应包括时、分、秒; a b)访问控制日志应包括数据包的协议类型,源地址、目标地址、源端口、目标端口,允许或禁止; 工控协议的深度内容检查信息 c 管理日志应包括事件主体,事件客体、事件描述 d 6.1.2.2.3日志管理工控防火墙应具备日志管理功能,具体技术要求如下应只允许授权审计员对日志进行读取、存档、导出、删除和清空等操作; a 应提供日志查阅工具,具备对审计事件以时间、日期、主体标识、客体标识等条件检索的能力 b 并且只允许授权审计员使用查阅工具; 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阔值时通知授权管理员进行处理 6.1.2.3安全管理 6.1.2.3.1安全支撑系统工控防火墙的底层支撑系统应满足以下要求不提供多余的网络服务; aa b 不含任何导致产品权限丢失,拒绝服务等的安全漏洞 6.1.2.3.2异常处理机制工控防火墙在非正常关机(比如掉电、强行关机)再重新启动后,应满足如下技术要求安全策略恢复到关机前的状态 a b 日志信息不会丢失; 管理员重新鉴别 c 6.1.2.4高可用性 6.1.2.4.1可用性保障部署在现场控制层的工控防火墙应具备Bypass功能,当工控防火墙自身出现断电故障时,应使工控防火墙内部接口与外部接口直接物理连通,保持内部网络与外部网络之间的正常通信,并及时告警 6.1.2.4.2设备自检工控防火墙应具备一定的自检功能: 在初始化或启动期间,应能对设备硬件、程序或功能模块、重要配置文件等进行检测,当发现异 a
GB/T37933一2019 常时能够及时告警; b)在运行期间,应能在授权管理员的要求下或者周期性的对提供安全功能的模块或进程进行检测,当出现异常时能够及时告警 6.1.2.4.3运行模式工控防火墙应支持多种运行模式,工控防火墙能够区分部署过程和工作过程,以实现对被防护系统的最小影响,具体技术要求如下支持学习模式，工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息,形成白名单 a 策略集 b)支持验证模式或测试模式,该模式下工控防火墙对禁止策略进行告警,但不拦截; 支持正常工作模式,工控防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护 c 6.1.2.44安全策略更新工控防火墙安全策略应用时不应影响正常的数据通信 6.1.2.4.5时间同步工控防火墙应支持与时钟服务器自动同步时间的功能 6.1.2.4.6电源冗余部署现场控制层的工控防火墙应提供双电源冗余功能 6.1.2.4.7散热方式部署现场控制层的工控防火墙应采用自然散热,无风扇方式设计 6.1.3性能要求 6.1.3.1吞吐量工控防火墙在只有一条允许规则和不丢包的情况下,一对相应速率的端口应达到的双向吞吐量指标如下部署在域间的工控防火墙 a 对64字节短包,百兆工控防火墙应不小于线速的30%,千兆工控防火墙应不小于线浊的40%; 对256字节中长包,百兆工控防火墙应不小于线速的70%,千兆工控防火墙应不小于线 22 迷的80% 对512字节长包,百兆工控防火墙应不小于线速的90%,千兆工控防火墙应不小于线速 33 的95% b 部署在现场控制层设备前的工控防火墙对4字节短包,百兆工控防火墙应不小于线速的10%,千兆工控助火墙应不小于线迷的20%; 22 对256字节中长包,百兆工控防火墙应不小于线速的30%,千兆工控防火墙应不小于线速的40%; 33 对512字节长包,百兆工控防火墙应不小于线速的50%,千兆工控防火墙应不小于线速的70%
GB/37933一2019 6.1.3.2延迟延迟视不同速率的工控防火墙有所不同,在吞吐量90%条件下,应满足如下要求部署在域间的工控防火墙 a 1 对64字节短包、256字节中长包、512字节长包，百兆工控防火墙平均延迟不应超过 lms; 对64字节短包、256字节中长包、512字节长包,千兆工控防火墙平均延迟不应超过 200 Hs b 部署在现场控制层设备前的工控防火墙对64字节短包、256字节中长包、512字节长包，百兆工控防火墙平均延迟不应超过 500丛s; 22 对64字节短包、256字节中长包、512字节长包，千兆工控防火墙平均延迟不应超过 200丛s 6.1.3.3最大并发连接数最大并发连接数视不同速率的工控防火墙有所不同,具体指标要求如下百兆工控防火墙的最大并发连接数应不小于60000个; a b)千兆工控防火墙的最大并发连接数应不小于300000个 6.1.3.4最大连接速率最大连接速率视不同速率的工控防火墙有所不同,具体指标要求如下百兆工控防火墙的最大连接速率应不小于1500个/s a b)千兆工控防火墙的最大连接速率应不小于5000个/s 6.1.4安全保障要求 6.1.4.1开发 6.1.4.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下与产品设计文档中对安全功能的描述一致:; a b) 描述与安全功能要求一致的安全域; 描述产品安全功能初始化过程及安全措施; c d)证实产品安全功能能够防止被破坏证实产品安全功能能够防止安全策略被旁路 e 6.1.4.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下: 完整描述产品的安全功能; aa b 描述所有安全功能接口的目的与使用方法; 标识和描述每个安全功能接口相关的所有参数 d 描述安全功能接口相关的安全功能实施行为描述由安全功能实施行为而引起的直接错误消息 e 证实安全功能要求到安全功能接口的追溯
GB/T37933一2019 6.1.4.1.3产品设计开发者应提供产品设计文档,技术要求如下 a 根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统 b 描述安全功能所有子系统间的相互作用 c 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口 6.1.4.2指导性文档 6.1.4.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下描述授权用户可访问的功能和特权,包含适当的警示信息 a) 描述如何以安全的方式使用产品提供的接口; c 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值 d 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性; 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系实现安全目的所应执行的安全策略 f 6.1.4.2.2准备程序开发者应提供产品及其准备程序,技术要求如下描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤; a b) 描述安全安装产品及其运行环境必需的所有步骤 6.1.4.3生命周期支持 6.1.4.3.1配置管理能力开发者的配置管理能力应满足以下要求: 为产品的不同版本提供唯一的标识; a b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项; 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法 c 6.1.4.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者配置项列表至少包括产品、安全保障要求的评估证据和产品的组成部分 6.1.4.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化在给用户方交付产品的各版本时交付文档应描述为维护安全所必需的所有程序 6.1.4.3.4支撑系统安全保障开发者应明确产品支撑系统的安全保障措施,技术要求如下
GB/37933一2019 若产品以软件形态提交,应在交付文档中详细描述支撑操作系统的兼容性、可靠性、安全性 a 要求; b 若产品以硬件形态提交,应选取和采用安全可靠的支撑操作系统以最小化原则选取必要的系统组件,并采取一定的加固措施 6.1.4.3.5硬件安全保障若产品以硬件形态提交,开发者应采取措施保障硬件安全,技术要求如下产品应采用具有高可靠性、满足性能指标要求的硬件平台 a b)若硬件平台为外购,应制定相应程序对硬件提供商进行管理,对采购的硬件平台或部件进行验证测试并要求硬件提供商提供合格证明及必要的第三方环境适用性测试报告 6.1.4.4测试 6.1.4.4.1测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性 6.1.4.4.2功能测试开发者应测试产品安全功能将结果文档化并提供测试文档测试文档应包括以下内容测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 a 的任何顺序依赖性; 预期的测试结果,表明测试成功后的预期输出; b 实际测试结果和预期的测试结果一致 6.1.4.4.3性能测试开发者应测试产品性能,将结果文档化并提供测试文档测试文档应包括以下内容测试计划,标识要执行的性能测试指标,并描述执行每个测试的方案,这些方案包括产品的安 a 全参数及安全策略条件,测试工具仪表及其配置参数等测试结果,记录各条件下测试的性能指标值 b 6.1.4.4.4独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试 6.1.4.5脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗基本的攻击 6.2增强级安全技术要求 6.2.1安全功能要求 6.2.1.1网络层控制 6.2.1.1.1包过滤工控防火墙的包过滤要求如下安全策略应使用默认禁止原则,即除非明确允许,否则就禁止; a
GB/T37933一2019 b 安全策略应包含基于源IP地址、目的IP地址的访问控制 e 安全策略应包含基于源端口、目的端口的访问控制; 安全策略应包含基于协议类型的访问控制; d 安全策略可包含基于MAC地址的访问控制 e fD 安全策略可包含基于时间的访问控制应支持用户自定义的安全策略,安全策略可以是MAC地址、,IP地址、端口,协议类型和时间的 8 部分或全部组合 6.2.1.1.2NAT 部署域间的工控防火墙应具备NAT功能,具体技术要求如下应支持双向NAT:SNAT和DNAT; a -”地址转换,使得内部网络主机访问外部网络时,其源IP地址被 bSNAT应至少可实现“多对转换 DNAT应至少可实现“一对多”地址转换,将DMIz的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问 6.2.1.13状态检测工控防火墙应具备状态检测功能,支持基于状态检测技术的访问控制 6.2.1.1.4动态开放端口工控防火墙应具备动态开放端口功能,应至少支持OPC、FTP协议 6.2.1.1.5IP/MAC地址绑定工控防火墙应支持自动或手动绑定IP/MAC地址;应能够检测IP地址盗用事件,拦截盗用IP地址的主机经过工控防火墙的各种访问 6.2.1.1.6流量监测部署域间的工控防火墙应具备流量统计功能能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合对流量进行正确的统计 a 能够实时或者以报表形式输出流量统计结果 b) 能够对流量超过预警值的行为进行告警 c 6.2.1.1.7带宽管理部署域间的工控防火墙应具备带宽保障功能,使得在带宽出现拥堵时,能够保障重要终端的网络通信 6.2.1.1.8抗拒绝服务攻击工控防火墙具有抗拒绝服务攻击的能力,具体技术要求如下(包括,但不限于): ICMPFlood攻击 a UDPFlood攻击 b SYNFlood攻击 c d TearDrop攻击; Land攻击 e 10
GB/37933一2019 fD 超大ICMP数据攻击 6.2.1.1.9网络扫描防护工控防火墙应能够检测和记录扫描行为,包括对工控防火墙自身和受保护网络的扫描 6.2.1.2应用层控制 6.2.1.2.1应用协议控制工控防火墙应能识别并控制各种应用类型,具体技术要求如下支持HTTP,FTPTelnet等通用应用层协议 a b 支持常用工业控制协议,如OPC、ModbusTCP,Profinet,BACnet,DNP3,IEC104等; 自定义应用类型 6.2.1.2.2工业协议深度内容检测工控防火墙应能对主流工业协议进行深度内容检测,具体技术要求如下工控协议格式规约检查,禁止不符合协议规约的通信; b 对工业协议的操作类型、操作对象,操作范围等参数进行控制至少支持三种主流工控协议 c 注具体工控协议检测深度参见附录c 自身安全要求 6.2.2 6.2.2.1 运维管理 6.2.2.1.1管理安全工控防火墙应具备相应措施保证管理安全,具体技术要求如下支持对授权管理员的口令鉴别方式,且口令设置满足安全要求 a 应在所有授权管理员请求执行任何操作之前,对每个授权管理员进行唯一的身份鉴别 b 应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别; c d 应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,工控防火墙应终止管理主机或用户建立的会话工控防火墙应为每一个规定的授权管理员提供一套唯一的为执行安全策略所必需的安全属性 6.2.2.1.2管理方式工控防火墙应具备多种管理方式,具体技术要求如下: 应支持进行本地管理工控防火墙 a b 应支持通过安全管理平台方式对工控防火墙进行集中管理应支持通过网络接口进行远程管理,并可限定可进行远程管理的网络接口; 应支持对可远程管理的主机地址(IP或MAC)进行限制: d 应支持通过标准协议(如SNMP)对工控防火墙的状态进行监测,如CPU,内存使用率,接口状态等; 远程管理过程中,管理主机与工控防火墙之间的所有通信数据应加密传输 11
GB/T37933一2019 6.2.2.1.3管理能力工控防火墙应具备相应的管理能力,具体技术要求如下向授权管理员提供设置和修改安全管理相关的数据参数的功能" a b 向授权管理员提供设置、查询和修改各种安全策略的功能" 向授权管理员提供管理审计日志的功能; c d 工控防火墙应支持将管理用户权限进行分离 6.2.2.2 安全审计 6.2.2.2.1记录事件类型工控防火墙应具备安全审计功能,记录事件类型要求如下工控防火墙访问控制策略匹配的访问请求; a 访问控制策略默认禁止的访问请求,包括试图穿越或到达工控防火墙的访问请求 b 检测到的攻击行为 d 试图登录工控防火墙管理端口和管理身份鉴别请求; 对工控防火墙系统重要管理配置操作,如增加/删除/修改管理员、保存/删除审计日志,更改安全策略和配置参数等; 其他应记录的事件类型 6.2.2.2.2日志内容工控防火墙应具备安全审计功能,日志内容要求如下事件发生的日期时间,日期应包括年、月、日,时间应包括时、分,秒; a b 访问控制日志应包括数据包的协议类型、源地址、目标地址、源端口、目标端口,允许或禁止; c 工控协议的深度内容检查信息; d 管理日志应包括事件主体、事件客体、事件描述应根据日志内容设置日志级别,包括但不限于调试、信息、警告、错误等多个级别 e 6.2.2.2.3日志管理工控防火墙应支持日志管理功能,具体技术要求如下应只允许授权审计员对日志进行读取、存档、导出、删除和清空等操作; a b 应提供日志查阅工具,具备对审计事件以时间.日期,主体标识.客体标识等条件检索的能力并且只允许授权管理员使用查阅工具审计事件应存储于掉电非易失性存储介质中,且在存储空间达到闵值时通知授权管理员进行处理应支持第三方日志管理系统对工控防火墙日志信息进行集中收集、存储 d 6.2.2.3安全管理安全支撑系统 6.2.2.3.1 工控防火墙的底层支撑系统应满足以下要求不提供多余的网络服务; a b) 不含任何导致产品权限丢失、拒绝服务等中高风险的安全漏洞 12
GB/37933一2019 6.2.2.3.2异常处理机制工控防火墙在非正常关机(比如掉电、强行关机)再重新启动后,应满足如下技术要求: 安全策略恢复到关机前的状态 a b)日志信息不会丢失; 管理员重新鉴别 c 6.2.2.4高可用性 6.2.2.4.1可用性保障部署在现场控制层的工控防火墙应具备Bypass功能,当工控防火墙自身出现断电或其他软硬件故障时,应使工控防火墙内部接口与外部接口直接物理连通,保持内部网络与外部网络之间的正常通信，并及时告警 6.2.2.4.2设备自检工控防火墙应具备一定的自检功能: 在初始化或启动期间,应能对设备硬件、程序或功能模块、重要配置文件等进行检测,当发现异常时能够及时告警,并对程序文件或者配置文件的异常提供一定的恢复功能 b)在运行期间,应能在授权管理员的要求下或者周期性的对提供安全功能的模块或进程进行检测,当出现异常时能够及时告警,并自动恢复功能模块或者进程的运行 6.2.2.4.3运行模式工控防火墙应支持多种运行模式,工控防火墙能够区分部署过程和工作过程,以实现对被防护系统的最小影响,具体技术要求如下: a 支持学习模式,工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息,形成白名单策略集 b 应支持工控协议的深度内容检测策略学习,学习深度与工业协议深度内容检测深度一致支持验证模式或测试模式,该模式下工控防火墙对禁止策略进行告警,但不拦截 c 支持正常工作模式,工控防火墙的正常工作模式,严格按照防护策略进行过滤等动作保护 6.2.2.4.4安全策略更新工控防火墙安全策略应用时不应影响正常的数据通信 6.2.2.4.5时间同步工控防火墙应支持与时钟服务器自动同步时间功能 6.2.2.4.6电源冗余部署现场控制层的工控防火墙应提供双电源冗余功能 6.2.2.4.7散热方式部署现场控制层的工控防火墙应采用自然散热,无风扇方式设计 6.2.2.4.8双机热备部署域间的工控防火墙应具备双机热备的能力,当主防火墙自身出现断电或其他软硬件故障时,备 13
GB/T37933一2019 防火墙应及时发现并接管主防火墙进行工作 6.2.3性能要求见6.1.3 6.2.4安全保障要求 6.2.4.1 开发 6.2.4.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下与产品设计文档中对安全功能的描述一致:; aa b) 描述与安全功能要求一致的安全域; 描述产品安全功能初始化过程及安全措施; c d 证实产品安全功能能够防止被破坏证实产品安全功能能够防止安全策略被旁路 e 6.2.4.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下完整描述产品的安全功能; a b 描述所有安全功能接口的目的与使用方法; 标识和描述每个安全功能接口相关的所有参数; c 描述安全功能接口相关的安全功能实施行为 d 描述由安全功能实施行为而引起的直接错误消息 f 证实安全功能要求到安全功能接口的追溯描述安全功能实施过程中,与安全功能接口相关的所有行为日 h 描述可能由安全功能接口的调用而引起的所有错误消息 6.2.4.1.3实现表示开发者应提供全部安全功能的实现表示,技术要求如下提供产品设计描述与实现表示实例之间的映射,并证明其一致性 a b)详细定义产品安全功能,达到无须进一步设计就能生成安全功能的程度; 实现表示以开发人员使用的形式提供 6.2.4.1.4产品设计开发者应提供产品设计文档,技术要求如下根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统 a b 描述安全功能所有子系统间的相互作用提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口根据模块措述安全功能,并提供安全功能子系统到模块间的映射关系， d 描述所有安全功能实现模块,包括其目的及与其他模块间的相互关系， fD 描述所有模块的安全功能要求相关接口与其他相邻接口的调用参数及返回值描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用 8 14
GB/37933一2019 6.2.4.2指导性文档 6.2.4.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下描述授权用户可访问的功能和特权,包含适当的警示信息 a 描述如何以安全的方式使用产品提供的接口; b 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值; c d 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性; 标识产品运行的所有可能状态包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系; 实现安全目的所应执行的安全策略 6.2.4.2.2准备程序开发者应提供产品及其准备程序,技术要求如下描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤 a b描述安全安装产品及其运行环境必需的所有步骤 6.2.4.3生命周期支持 6.2.43.1配置管理能力开发者的配置管理能力应满足以下要求: 为产品的不同版本提供唯一的标识 a b 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项; 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; c 配置管理系统提供一种自动方式来支持产品的生成,并确保只能对配置项进行已授权的变更 d 配置管理文档包括配置管理计划,计划中需描述如何使用配置管理系统,并依据该计划实施配置管理; 配置管理计划描述配置项的变更(包括新建、修改,删除)控制程序 6.2.4.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者,技术要求如下产品,安全保障要求的评估证据和产品的组成部分; a 实现表示、安全缺陷报告及其解决状态 b 6.2.4.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序 6.2.4.3.4开发安全开发者应提供开发安全文档开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施 15
GB/T37933一2019 6.2.4.3.5生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型 6.2.4.3.6工具和技术开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义的定义实现中所有语句的含义和所有依赖选项的含义 6.2.4.3.7支撑系统安全保障开发者应明确产品支撑系统的安全保障措施,技术要求如下若产品以软件形态提交,应在交付文档中详细描述支撑操作系统的兼容性、可靠性、安全性 a 要求 b)若产品以硬件形态提交,应选取和采用安全可靠的支撑操作系统,以最小化原则选取必要的系统组件,并采取一定的加固措施 6.2.4.3.8硬件安全保障若产品以硬件形态提交,开发者应采取措施保障硬件安全,技术要求如下 aa 产品应采用具有高可靠性、满足性能指标要求的硬件平台; D)若硬件平台为外购,应制定相应程序对硬件提供商进行管理,对采购的硬件平台或部件进行验证测试并要求硬件提供商提供合格证明及必要的第三方环境适用性测试报告 6.2.4.4测试 6.2.4.4.1测试覆盖开发者应提供测试覆盖文档,技术要求如下: 证实测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性 a b证实功能规范中的所有安全功能接口都进行了测试 6.2.4.4.2测试深度开发者应提供测试深度的分析,技术要求如下: 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性 a b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试 6.2.4.4.3功能测试开发者应测试产品安全功能,将结果文档化并提供测试文档测试文档应包括以下内容 a 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性; b)预期的测试结果,表明测试成功后的预期输出实际测试结果和预期的测试结果一致 c 6.2.4.4.4功能安全测试开发者应按照GB/T20438.3一2017中7.9的要求进行产品软件功能安全测试 16
GB/37933一2019 6.2.4.4.5性能测试开发者应测试产品性能,将结果文档化并提供测试文档测试文档应包括以下内容测试计划,标识要执行的性能测试指标,并描述执行每个测试的方案,这些方案包括产品的安全参数及安全策略条件,测试工具仪表及其配置参数等 b 测试结果,记录各条件下测试的性能指标值 6.2.4.4.6独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试 6.2.4.5脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗较强的攻击 17
GB/T37933一2019 录附 A 资料性附录工控防火墙的应用工控防火墙是应用于工业控制系统的一类特殊防火墙,其既要满足通用防火墙的基本要求,还要满足工业控制环境下的特殊要求，工控防火墙主要应用在工业控制层级间防护以及各层区域间防护参考GB/T20720的层次结构模型划分,工业控制系统主要分为三层架构;生产管理层、过程监控层、现场控制层生产管理层!;将生产过程控制,生产过程管理和经营管理活动中产生的诸多信息进行转换、加工、传递,是生产过程控制与管理信息集成的重要桥梁和纽带,完成生产计划的调度与统计、生产过程成本控制、产品质量控制与管理、设备控制与管理、生产数据采集与处理等功能,负责生产管理和调度执行过程控制层;以操作监视为主要任务,兼有部分管理功能级是面向操作员和控制系统工程师这的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示器和键盘,以及需要较大存储容量的硬盘或软盘支持， "功能强的软件支持,确保工程师和操作员对系统进行 ,另外还需要组态、监视和操作,对生产过程实行高级控制策略,故障诊断质量评估现场控制层;现场控制层的主要功能包括;采集过程数据,进行数据转换与处理;对生产过程进行监测和控制,输出控制信号,实现反馈控制,逻辑控制、顺序控制和批量控制功能;对现场设备及1/o卡件进行自诊断;与过程监控层进行数据通信工控防火墙常见应用如下工业控制系统网络各层级间的安全防护,如图A.1在生产管理层网络与过程控制层网络之间 a 安全防护; b 同层级网络不同控制域间的安全防护,如图A.2在区域间安全防护; 对现场控制层设备进行安全防护,如图A.3对现场控制层设备安全防护注图A.3的部署方式不适合对通信实时性有要求的场合应用服务器生产管理数据服务器 WEB服务器调度管理设备管那生产管理层数据数据通信操作站服务工程师站服务器操作站过程控制层控制网络图A.1生产管理层网络与过程控制层网络之间安全防护 18
GB/37933一2019 数据操作站工程师站服务器工程师站操作站工控防火墙控制网络保护网络保护系统域控制系统域图A.2区域间安全防护操作站操作站工程师站数拟服务器控制网络工控防火墙控制系统图A.3现场控制层设备安全防护 19
GB/T37933一2019 附录 B 规范性附录) 环境适应性要求 B.1概述本附录的环境适应性要求包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护应根据设备实际部署环境的不同,由用户和设备制造商确定具体应满足的要求注:本附录环境适应性的编写主要参考了GB/T30094,其参考的相关标准主要为GB/T2423,GB/T17626等 B.2环境适应性 B.2.1温度表B.1规定了设备工作、贮存和运输温度条件设备在规定的工作温度范围内工作时,其功能和性能应满足本附录的规定在规定的温度范围内贮存和运输时,不应发生裂痕、老化或其他损坏;当经受该温度范围后再恢复到工作温度范围时,设备应能正常工作应用于温度快速变化场合的设备、在经受不超过5c/min的温度变化时应能正常工作表B.1温度条件工作温度/" 贮存和运输温度/ "C 等级低温高温低温高温 60 一40 70 40 70 40 85 X" 特定是一个开放等级,具体温度要求范围可根据设备实际应用环境与客户协商确定 B.2.2相对湿度设备在表B.2规定的相对湿度环境条件下应能正常工作表B.2相对湿度条件(无凝结等级低相对湿度/ /9% 高相对湿度/% 95 特定 X是一个开放等级,具体相对湿度要求范围可根据设备实际应用环境与客户协商确定 B.2.3大气压力设备工作大气压力条件见表B.3. 20
GB/37933一2019 表B.3大气压力条件等级低气压/kPa 高气压/kPa 80 106 70 06 特定 X是一个开放等级,具体大气压力要求范围可根据设备实际应用环境与客户协商确定 B.2.4防腐烛设备工作在盐雾环境条件下或存在其他化学活性物质,应提供工业环境中抗腐蚀和侵蚀的能力,保证设备在表B.4、表B.5规定的环境条件下能够长期使用表B.4盐雾等级最大盐雾浓度/mg/m 特定是一个开放等级,具体抗盐雾要求范围可根据设备实际应用环境与客户协商确定表B.5化学活性物质条件等级化学活性物质依据标准工业清洁空气中等污染 I GB/T17214.4 4.42005 严重污染特定是一个开放等级,具体抗腐蚀性要求范围可根据设备实际应用环境与客户协商确定 B.2.5抗霉变设备工作在潮湿多雨地区和霉菌滋生环境下不应发生霉变,并能够正常工作 B.3 电磁兼容性设备应满足工业环境中的电磁兼容性要求,具体技术指标见表B,7一表B.26 其中,电磁兼容辐射和传导发射限值按GEB4824一2013为A类,电磁兼容抗扰度的性能判据要求见表B.6 21
GB/T37933一2019 表B.6性能判据性能评价判据说明试验期间和试验后受试设备均应按预期要求继续运行,无功能丧失或性能下降试验期间,受试设备允许出现暂时的性能下降或功能丧失但设备可以自我恢复,试验后设备应按预期要求继续运行不能出现系统死机,复位或重启试验期间,允许受试设备出现暂时的性能下降或功能丧失,但需要人工干预或系统复位才能恢复表B.7辐射发射及传导发射要求测试项测试端口依据标准测试频段限值牺射发射整机 30MHz~1GHz A类 GB48242013、 GB/T92542008 传导发射电源口、信号口 150kHz~30MH2 A类表B.8外壳端口静电放电抗扰度要求等级依据标准严酷等级判扮 3(接触放电士6kV,空气放电士8kV GB/T17626.2一2018 4(接触放电士8kV,空气放电士15kV 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.9整机射频电磁场辐射抗扰度要求等级依据标准严酷等级试验频段判据 2(3V/m,80%AM 80MHHz1GHz GB/T17626.3一2016 3(10V/m,80%AM A 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.10电源端口及信号端口电快瞬变脉冲群抗扰度要求等级严酷等级依据标准判据 3(电源口土2kV,信号口士1kV GB/T17626.4一2018 4(电源口士4kV,信号口士2kV 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定 22
GB/37933一2019 表B.11信号端口浪涌(冲击)抗扰度要求等级依据标准严酷等级判据线-地 GB/T17626.52008 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.12直流电源输入端口浪涌冲击)抗扰度要求等级依据标准严酷等级判据线-地线-线 GB/T17626.5一2008 特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定，表B.13交流电源输入端口浪涌冲击)抗扰度要求等级依据标准严酷等级判据线-地线-线 GB/T17626.52008 X" 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.14电源端口及信号端口射频场感应的传导骚扰抗扰度要求等级依据标准严酷等级试验频段判据 2(3V,80%AMD 150kHz80MHHz GB/T17626.6一20127 3(10V,80%AM 特定 Y是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.15整机工频磁场抗扰度要求等级依据标准严酷等级判掘稳定持续磁场;4级;短时作用磁场:4级 (GB/T17626.8一2006 稳定持续磁场;5级;短时作用磁场;5级特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定 23
GB/T37933一2019 表B.16整机阻尼振荡磁场抗扰度要求等级依据标准严酷等级判据 GB/T17626.10-2017 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.17电源端口阻尼振荡波抗扰度要求等级依据标准严酷等级判据 GB/T17626.18一2016 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.18振铃波抗扰度要求依据标准严酷等级判据等级 GB/T17626.122013中的表1 特定】是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.19电源口0HHz~150z共模传导骚扰抗扰度要求等级依据标准严酷等级判据 GB/T17626,16一2007 特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.20交流电源输入端口电压暂降抗扰度要求等级依据标准严酷等级判据 2类 GB/T17626.11一2008 3类 X" 特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定 24
GB/37933一2019 表B.21交流电源输入端口短时中断抗扰度要求严酷等级等级依据标准判据 2类 GB/T17626.l12008 3类特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.22交流电源输入端口电压变化抗扰度要求试验参数等级依据标准电压实验等级电压降低所需时间降低后电压维持时间电压增加所需时间判据 70% 突变 1周期 25周期 GB/T17626.112008 特定特定特定特定特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.23直流电源输入端口纹波抗扰度等级依据标准严酷等级判据 GB/T17626.17一2005 特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.24直流电源输入端口电压暂降抗扰度等级依据标准酷等级判据试验等级;40%U和70%Ur;持续时间1 GB/T17626.29一2006 特定是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定表B.25直流电源输入端口短时中断抗扰度等级依据标准严酷等级判据试验等级:0%Ur;持续时间;ls GB/T17626.29一2006 X 特定 X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定 25
GB/T37933一2019 表B.26直流电源输入端口电压变化抗扰度等级依据标准严酷等级判据试验等级;80%U和120%Ur;持续时间:l0s GB/T17626.29一2006 特定 ”X是一个开放等级,具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定 B.4绝缘性能 B.4.1绝缘电阻设备的绝缘电阻要求见表B.27 表B.27绝缘电阻要求依据标准名称 -般环境绝缘电阻 GB/T13729一2002中的表13 湿热环境绝缘电阻 GB/T137292002中的表14 B.4.2绝缘耐压设备的绝缘耐压要求见表B.28. 表B.28绝缘耐压要求名称依据标准严酷等级额定绝缘电压小于或等于60V的回路 VW2 GB/T15153.11998 额定绝缘电压大于或等于60V的回路 VW3 注高海拔地区空气密度小同等电压下,空气更容易产生电离现象,使设备的绝缘性能下降在高海拨地区使用的设备可通过合理设计,保证其绝缘性能 B4.3泄漏电流 N 设备工作时对保护接地端的泄漏电流应不大于5 m B.5接地设备应具有接地端子及标记,标记应具耐久性且易识别,接地直流电阻不大于10mQ. B,6机械适应性设备应提供工业环境中的机械适应性能力,具体技术要求见表B.29 26
GB/37933一2019 表B.29机械适应性要求依据标准名称等级备注 5HzGB/T37933一2019 录附资料性附录) 典型工控协议应用层控制要求典型工控协议应用层深度内容检测见表C.1 表c.1典型工控协议深度内容检测要求工控协议名称控制深度要求备注按寄存器起始地址读写控制按寄存器长度读写控制与“按寄存器结束地址读写控制”相结合,二选 ModbusTCP协议按寄存器结束地址读写控制与“按寄存器长度读写控制”相结合,二选寄存器值的读写控制值的大小范围功能码检查支持动态开放端口支持TAG控制点的全局读写控制支持TAG控制点名称的读写控制 OPC协议支持TAG控制点数据类型的控制支持TAG控制点值的读写控制值的大小范围支持文件导人TAG控制点功能码检查按数据空间类型读写控制与“按数据结束地址读写控制”相结合，二选 S7协议按数据地址长度读写控制按数据结束地址读写控制与“按数据长度读写控制”相结合,二选数据值的读写控制值的大小范围支持ITEM控制点名称的读写控制 Ethernet/IP 支持ITEM控制点值的读写控制值的大小范围命令类型检查 FINS 按数据空间类型读写控制按源、目的网络地址,源,目的节点地址源、目的单元地址控制 FINS 按数据地址长度读写控制与“按数据结束地址读写控制”相结合，二选按数据结束地址读写控制与“按数据长度读写控制”相结合，二选一支持S、I赖、U赖格式检查支持遥控、遥调、总召,突变上传等操作码控制 IEC104协议 I顿支持功能码检查、点号地址控制,值范围有则适用控制 I畅支持信息体地址范围检查信息体元素值检查公共地址范围检查,传送原因检查有则适用 28
GB/37933一2019 表c.1(续》工控协议名称控制深度要求备注支持畸形数据包检查 IEC61850/GO0OSE 按点位值的范围控制支持按照数据集进行点位值检查支持畸形数据包检查 IEC61850/SV 支持多ASDU检查支持svID,数据集,版本号的检查支持mmsPDU类型控制支持mm、服务类型控制与mms服务类型有关 IEC61850/MMS 支持按逻辑节点名控制支持对应逻辑节点的数据类型,值检测支持主站、从站地址控制支持链路层、应用层功能码检查 DNP3协议支持对象组和变体的控制变体对象与应用层功能码有关支持对应变体对象的限定词,变体值控制支持是否允许广播控制变体对象与应用层功能码有关支持FF消息类型控制支持参数下标,参数次标,设备号位控制下标、次标,设备号位与FF消息类型有关 FF协议支持对应下标、参数次标的数据类型及数据控制 29
GB/T37933一2019 参考文献 [1]GB/T2423(所有部分环境试验 [2]GB/T17626(所有部分电磁兼容试验和测量技术 [3]GB/T20720(所有部分企业控制系统集成 [4]GB/T30094一2013工业以太网交换机技术规范 [[5]GB/T35673一2017 工业通信网络网络和系统安全系统安全要求和安全等级 30

GB/T37933-2019信息安全技术工业控制系统专用防火墙技术要求

随着工业控制系统的广泛应用和网络化程度的提高，信息安全问题愈加突出。为了保障工业控制系统的安全，防火墙技术被越来越多地应用于工业场景中。

GB/T37933-2019标准列举了工业控制系统专用防火墙的技术要求，主要包括以下几个方面：

1. 功能要求

工业控制系统专用防火墙需要具备基本的安全功能，包括但不限于：

防范拒绝服务攻击（DoS）
防范网络钓鱼（Phishing）
防范网络蠕虫（Worm）攻击
控制网络数据包的转发、拒绝或丢弃，保障网络通信的可靠性和及时性
支持多种认证方式，如用户名/密码认证、数字证书认证等
支持黑白名单、访问控制、端口过滤等功能

2. 性能要求

工业控制系统专用防火墙需要具备良好的性能表现，包括但不限于：

支持高速数据处理，保障网络通信的实时性和稳定性
支持多种网络协议，包括TCP/IP、UDP等
支持多种接口类型，包括RS232、RS485、以太网等
支持重试机制、断线重连等功能，保障网络通信的可靠性
支持在线升级、配置备份等功能，方便用户管理

3. 安全性要求

工业控制系统专用防火墙需要具备较高的安全性，包括但不限于：

支持安全审计、日志记录等功能，方便用户追溯历史网络活动
支持防止恶意代码（如病毒、木马等）的攻击、传播和扩散
支持数据加密、隧道保护等功能，保障网络通信的机密性
支持安全策略、安全配置等功能，方便用户自主管理安全

4. 可靠性要求

工业控制系统专用防火墙需要具备较高的可靠性，包括但不限于：

支持双机热备、集群等功能，保障网络通信的连续性
支持温度、湿度、电压等环境参数的监测和报警，保障设备稳定性运行
支持自动故障排除、错误纠正等功能，提高设备的可靠性
支持远程监控、报警等功能，方便用户进行远程管理

综上所述，GB/T37933-2019标准中列举了工业控制系统专用防火墙的技术要求，包括功能要求、性能要求、安全性要求和可靠性要求。只有满足这些要求的防火墙才能够真正地保障工业控制系统的安全。