GB/T33008.1-2016
工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求
Industrialautomationandcontrolsystemsecurity—Programmablelogiccontroller(PLC)—Part1:Systemrequirements
- 中国标准分类号(CCS)N10
- 国际标准分类号(ICS)25.040
- 实施日期2017-05-01
- 文件格式PDF
- 文本页数34页
- 文件大小643.08KB
以图片形式预览工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求
工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求
国家标准 GB/T33008.1一2016 工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分:系统要求 Industrialautommatioandcontrolsystemsecurity" Programmablelogiceontroler(PLC)一Part1:Systemrequirements 2016-10-13发布 2017-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T33008.1一2016 前 言 GB/T33009(工业自动化和控制系统网络安全集散控制系统(CS)》和GB/T33008《工业自动 化和控制系统网络安全可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列 标准
GB/T33008《工业自动化和控制系统网络安全可编程序控制器(PLC)》计划发布如下部分 -第1部分:系统要求; -第2部分;系统评测实施指南; 本部分为GB/T33008的第1部分
本部分按期GB/T1.1一3o9给出的规则起散
本部分由机械工业联合会提出
本部分由全国工业过程渊量控制和自动化标准化技术委员会(sAc/Tc121)相全国信息安全标准 化技术委员会(SAc/Te 260)归口
本部分起草单位;北京和利时系统工程有限公司、机械工业仪器仪表综合技术经济研究所、电 子技术标准化研究院、国网智能电网研究院、核电工程有限公司、上海自动化仪表股份有限公司、清 华大学,西门子()有限公司,施耐德电气()有限公司、北京钢铁设计研究总院,华中科技大学、 北京奥斯汀科技有限公司、罗克韦尔自动化()有限公司仪器仪表学会、工业和信息化部电子 第五研究所、东土科技股份有限公司、北京海泰方圆科技有限公司、青岛多芬诺信息安全技术有限公司、 北京国电智深控制技术有限公司、北京力控华康科技有限公司、重庆邮电大学、科学院沈阳自动化 研究所,西南大学,石油天然气管道有限公司北京国恩网络科技有限责任公司、,西南电力设计院、 北京启明星辰信息安全技术有限公司、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华 为技术有限公司、电子科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机() 有限公司北京研发中心
本部分主要起草人;王、王玉敏、范科峰、梁潇、孙静、冯冬芹,朱毅明、梅恪、王浩、徐皑冬、刘枫、 王亦君、张建军、薛百华、许斌、陈小襟、华斧、高昆仑,王雪、周纯杰,张莉,刘杰,刘安正,田雨聪,魏钦志、 马欣欣、王勇、杜佳琳、陈日罡、丁露、李锐,刘文龙、孟雅辉、刘利民、胡伯良、孔勇、黄敏,朱镜灵、张智、 张建勋、兰昆、张晋宾,成继勋,尚文利、钟诚,梁猛,陈小枫、卜志军,李琳、杨应良、杨磊
GB/T33008.1一2016 工业自动化和控制系统网络安全 可编程序控制器(PIC 第1部分:系统要求 范围 GB/T33008的本部分规定了可编程序控制器(PI.c)系统的网络安全要求,包括PIC直接或间接 与其他系统通信的网络安全要求
本部分适用于工程设计方,设备生产商、系统集成商,用户以及评估认证机构等
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T30976.l一2014工业控制系统信息安全第1部分;评估规范 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件 3.1.1 可编程序(逻辑)控制器 programmablelogiceontroller;PLC -种用于工业环境的数字式操作的电子系统
这种系统用可编程的存储器作面向用户指令的内部 寄存器,完成规定的功能,如逻辑、顺序、定时、计数,运算等,通过数字或模拟的输人/输出,控制各种类 型的机械或过程
可编程序控制器及其相关外围设备的设计,使它能够非常方便地集成到工业控制系 统中,并能很容易地达到所期望的所有功能
注:在本部分中使用缩写词PIc代表可编程序控制器(programmablecontrollers),这在自动化行业中已形成共识
原来曾用C作为可编程序控制器的缩略语,它容易与个人计算机所使用的缩略语C相混消 [GB/T15969.12007,定义3.5 3.1.2 可编程序控制器(PLc)系统 prugrammablecomtrolerystemrPLC-ystem 用户根据所要完成的自动化系统要求而建立的由可编程序控制器及其相关外围设备组成的配置
其组成是一些由连接永久设施的电缆或插人部件,以及由连接便携式或可搬运外围设备的电缆或其他 连接方式互连的单元
[GB/15969.12007,定义3.6 3.1.3 脆弱性 vulnerability 系统设计,实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安全策略
[GB/T30976.1一2014,定义3.1.1]
GB/T33008.1一2016 3.1.4 识别identify 对某一评估要素进行标识与辨别的过程
[GB/T30976.1一2014,定义3.1.2] 3.1.5 验收 acceptance 风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织机构,对评估活动进行逐项检 验,以是否达到评估目标为接受标准
[GB/T30976.1一2014,定义3.1.4] 3.1.6 风险处置risktreatment 选择并且执行措施来更改风险的过程 [GB/T30976.1一2014,定义3.1.5] 3.1.7 残余风险residwalrisk 经过风险处置后遗留的风险 [GB/T30976.1一2014,定义3.1.6] 3.1.8 风险分析 riskanalysis 系统地使用信息来识别风险来源和估计风险
[GB/T30976.1一2014,定义3.1.8] 3.1.9 风险评估 riskassessment 风险分析和风险评价的整个过程
[GB/T30976.1一2014,定义3.1.9] 3.1.10 风险管理 riskmanagement 指导和控制一个组织机构相关风险的协调活动
[GB/T30976.1一2014,定义3.1.10] 3.1.11 网络)安全seeurity a)保护系统所采取的措施; b) 由建立和维护保护系统的措施而产生的系统状态; e)能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态 d)基于PLC系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也 无法访问系统功能,同时保证授权人员和系统不被阻止 防止对PLC系统的非法或有害的人侵,或者干扰其正确和计划的操作
注1,措施可以是与物理(网络)安全(控制物理访问计算机的资产)或者逻辑(网络)安全(登录给定系统和应用的能 力)相关的控制手段
注2,改写GBy/T30976.1一2014,定义 3.1.14 3.2缩略语 下列缩略语适用于本文件
GB/T33008.1一2016 nableLcd PLC;可编程序控制器[Programmal Controller] Logic FR:基本要求(FoundationalRequirement) SR;系统要求(SystemRequirement) nmentEnhancement RE;增强要求(Requirem PKI:公钥基础设施(PublicKeyInfr rastructure CA;数字证书认证中心(CertifieateAuthority CL;能力等级(CapabilityL.evel) USB;通用串行总线(UniversalSerialBus) ID;身份标识号码(Identifieation) API:应用程序编程接口(A \pplieation lnterface) Programming PLC网络安全概述 4.1 总则 本部分只针对PLcC系统的网络安全要求,主要描述风险内容及安全要求,安全管理、检测与验收几 个环节,为PLC网络安全提供依据和守则
PLC网络安全与工程设计,管理和环境条件等各种因素相 关
PLc系统网络安全应包括在系统生命周期内的设计开发,安装、运行维护,退出使用等各阶段与系 统相关的所有活动
应认识到系统面临的风险在整个生命周期内会发生变化,应该通过技术和管理两 个方面,把PLc系统网络安全风险降低到最低或可接受的范围内
4.2网络安全相关内容概述 4.2.1危险源 危险源主要包括非安全设备、系统和网络的接人点
危险源可能来自PILC系统外部,也可能来自 PLcC系统内部
安全威胁通过危险引人点并利用传播途径可能对受体造成伤害
危险引人点归结为 以下几类,但不限于 a)网络通信的连接点: 例如;开放的PLC系统网络连接、与PLC系统专网互联的其他网络连接、远程技术支持和访问点、 无线接人点、因特网或物联网连接; 移动媒体 b 例如:USB设备,光盘、移动硬盘等; e)不当操作 例如:恶意攻击、无意识误操作等; d) 第三方设备 例如;受感染的工业控制系统以及其他现场设备 4.2.2传播途径 危险源可能通过传播途径对受体造成伤害
通常,可识别单一的传播途径,但在多数情况下,一个 完整的传播途径是由若干单一类型的传播途径组合而成
传播途径一般分为以下几类,但不限于 外部公共网络,如因特网、无线 a b)局域网络(环网点对点、,无线通信) 移动存储装置
GB/T33008.1一2016 4.2.3环境条件 PLC系统网络安全应考虑环境条件的制约因素,特别是针对在用工业自化控制系统,应考虑现场 测试和引人安全技术措施对正常生产过程的影响
4.2.4系统能力等级(cL) 系统能力等级如下 a)能力等级cL1;提供机制保护控制系统防范偶然的、轻度的攻击
b)能力等级CL.2;提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可 能达到较小破坏后果的攻击
能力等级CL3;提供机制保护控制系统防范恶意的、利用中等资源,PLcC特殊技术的复杂手段 可能达到较大破坏后果的攻击
能力等级CL4;提供机制保护控制系统防范恶意的、使用扩展资源,PLC特殊技术的复杂手段 dD 与工具可能达到重大破坏后果的攻击
4.3PLc系统典型结构 PLC系统典型结构如图1所示
第3层运营管理层 运营管理 第2层监督控刺层 监督控制 PLc系统 基本控刨 第1层现场控制层 安全和保护 过程 第0层现场设备层 现场设备 图1PLC系统典型结构 第3层运营管理层 包括管理生产所要求的最终产品的工作流程的功能
例子包括生产调度、详细生产计划,可靠性 保证和生产全现场控制优化 第2层监督控制层 包括监督和控制物理过程的功能
典型功能包括;操作员界面、工程师组态下装,历史数据存储、报警等
第1层现场控制层 包括感知和操作物理过程的功能
典型设备为PL.C控制器及输人输出模块,安全和保护系统等
此层设备从传感器读取数据,必要时执行算法,并维护过程历史记录
安全和保护系统监视过程,并在 超出安全限值时将过程自动返回安全状态
第0层现场设备层 包括直接连接到过程和过程设备的传感器和执行器
4.4PLC系统网络安全总体要求 4.4.1概述 工程设计方、设备生产商、系统集成商、用户以及评估认证机构(以下简称“组织”)宜识别,分析、评
GB/T33008.1一2016 价、管理、监视和评审组织所面临安全风险,建立并维护网络安全管理的要求,建立网络安全管理职责, 分配和管理资源,运用过程方法实现PLC系统的正常运行,并采取有效的措施测量、分析和改进,以满 足PLC系统网络安全管理的要求
4.4.2建立PLc系统网络安全管理要求 4.4.2.1网络安全管理方针 依据业务要求和相关法律法规提供管理指导并支持网络安全
网络安全管理要求由管理者组织,制定、批准,发布并传达给所有员工和外部相关方;网络安全方针 文件应说明管理承诺,并提出组织机构的管理网络安全的方法
方针文件建议包括以下声明 网络安全 整体目标和道的定义.,以及在允许信息共享机制下发全的重要性, a b管理者意图的声明,以支持符合业务策略和目标的网络安全目标和原则 设置控制目标和控制措施的框架,包括风险评估和风险管理的结构 c 对组织机构特别重要的安全方针策略、原则、标准和符合性要求的简要说明,包括 符合法律法规要求; 安全教育,培训和意识要求; 业务连续性管理, 违反网络安全方针的后果
4.4.2.2识别、分析和评价安全风险 组织应建立、维护PLC系统网络安全风险的识别,分析和评价的方法 确定风险评估方法 识别适合PLC系统网络安全、已识别的业务网络安全和法律法规要求的风险评估方法 制定接受风险的准则,识别可接受的风险级别 选择的风险评估方法应确保风险评估产生可比较的和可再现的结果
定期识别风险,包括 识别PLC系统网络安全管理范围内的资产及其责任人; 识别资产所面临的威胁; 识别可能被威胁利用的脆弱性; 识别丧失保密性,完整性和可用性可能对资产造成的影响
定期分析和评价风险,应: 在考虑丧失资产的保密性,完整性和可用性所造成的后果的情况下,评估安全失效可能造 成的对组织的影响; 根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效发生 的可能性; 估计风险的级别 确定风险是否可接受,或者是否需要使用接受风险的准则进行处理
识别和评价风险处置的可选措施,可能的措施包括 采取适当的控制措施; 在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险 避免风险; 将相关业务风险转移到其他方,如;保险,供应商等
GB/T33008.1一2016 4.4.2.3确定安全管理目标 控制目标和控制措施应加以选择和实施,以满足风险评估和风险处置过程中所识别的要求
这种 选择应考虑接受风险的准则以及法律法规的要求
从GB/T220802008附录A中选择控制目标和控制措施成为此过程的一部分,但并不是所有的 控制目标和控制措施,组织宜按照设计,集成或应用的PLc系统网络安全技术等级要求,在其整体业务 活动中且在所面临风险的环境下确定控制目标和控制措施
获得管理者对建议的残余风险的批准
4.4.3实施和运行网络安全管理 4.4.3.1管理职责 4.4.3.1.1 管理承诺 应通过清晰的说明、可证实的承诺、明确的网络安全职责分配及确认,来积极支持组织机构内的 安全 制定网络安全管理方针; 确保网络安全控制目标和计划得以制定; 建立网络安全的角色和职责, 为安全启动提供明确的方向和支持; 为网络安全提供所需的资源 启动计划和程序来保持网络安全意识; 决定接受风险的准则和风险的可接受级别 4.4.3.1.2资源提供 应确定并提供所需的资源,以: 确保网络安全规程支持PLC系统业务要求; 通过正确实施所有的控制措施保持适当的安全 必要时,进行评审,并适当响应评审的结果; 在需要时,改进网络安全管理的有效性
4.4.3.1.3培训、意识和能力 通过以下方式,确保所有被赋予网络安全管理职责的人员具有执行所要求的任务的能力. 确定从事影响PLC系统网络安全管理工作的人员所必要的能力; 提供培训或采取其他措施(如聘用有能力的人员)以满足这些需求, 评价所采取措施的有效性; 保持教育、培训,技能、经理和资格的记录
确保所有相关人员意识到他们网络安全活动的相关性和重要性,以及如何为达到网络安全目标做 出贡献
4.4.3.2风险处置计划、实施 组织应: 为管理PLC系统网络安全风险制定处置计划,该计划应包含;适当的管理措施、资源职责和 优先顺序
GB/T33008.1一2016 实施风险处置计划以达到已识别的控制目标,包括资金安排,角色和职责的分配; b 实施所选择的控制措施,以满足控制目标; c d 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用这些测量措施来评估 控制措施的有效性,以产生可比较的和可再现的结果; 管理PLC系统网络安全相关的资源 实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施
f 4.4.4监视和评审网络安全管理的有效性 组织应: a)执行监视评审规程和其他控制措施,以 迅速检测过程运行结果中的错误 迅速识别试图的和得逞的安全违规和事件; 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望 执行: 通过使用指示器,帮助检测安全事态并预防安全事件; 确定解决安全违规的措施是否有效
在考虑安全事件、有效性测量结果,所有相关方的建议和反馈的基础上,进行网络安全管理有 b 效性的定期评审(包括满足网络安全管理方针和目标,以及安全控制措施的评审) 测量控制措施的有效性已验证安全要求是否被满足 按照计划时间间隔进行风险评估的评审,以及对残余风险和以确定的可接受的风险及级别进 行评审,应考虑以下方面的变化 组织 PLC系统升级或更新 业务目标和过程;已识别的威胁; 已实施的控制措施的有效性; 外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更 考虑监视评审活动的结果,以更新安全计划
记录可能影响PLC系统网络安全的有效性或执行情况的措施和事态
4.4.5保持和改进 组织应经常 实能易识别的网络安全管理改进 a 采取纠正和预防措施,从其他组织和组织自身的安全经验中吸取教训; b e)向所有相关方沟通措施和改进情况,其详细程度与环境相适应,需要时,商定如何进行; d 确保改进达到了预期目标
PLC系统网络安全技术要求 5.1网络安全技术要求说明 本部分关注从第2层到第1层的网络安全技术要求
PLC系统安全要求包括基本要求(FR),系统要求(SR)和系统增强要求(RE),每一项基本要求分 为若干个系统要求(SR),其中有些系统要求还包含了增强要求(RE)
其与能力等级(CL)的映射见附 录A
GB/T33008.1一2016 本部分引用GB/T30976.1一2014的部分内容,并针对PLC系统进行了裁剪和细化
为方便对照 和使用,本部分FR,SR,RE的编号与GB/T30976.1一2014保持一致 5.2对第2层和第1层的总体要求 5.2.1FR5;限制的数据流 5.2.1.1sR5.1;网络分区 应将PLC系统网络与非PLC系统网络进行逻辑分区,将关键PLC系统网络和其他PLC系统网络 进行逻辑分区
5.2.1.2sR5.1RE(1):物理网络分区 应将PLC系统网络与非PLC系统网络进行物理分区,将关键PLC系统网络和其他PLC系统网络 进行物理分区
5.2.1.3SR5.1RE2)与非PLC系统网络的独立性 PLC系统网络服务可独立运行,不依靠非PLC系统设备网络连接
5.2.1.4sR5.1RE(3);关键网络的逻辑或物理隔离 关键PLc系统网络与其他PLc系统网络进行逻辑或物理隔离 5.2.1.5SR5.2区域边界防护 PLC系统应提供监视和控制区城边界通信的能力: a)能监视区域边界的通信; b)能控制区域边界的通信
5.2.1.6SR5.2RE(1);默认拒绝,例外允许 PLC系统应提供默认拒绝所有网络流量、例外允许网络流量(也称为拒绝所有,允许例外)的能力 5.2.1.7sR5.2RE(2),孤岛模型 PLcC系统应提供能力防止任何通过PI.C系统边界的通信也称为孤岛模型)
5.2.1.8SR5.2RE(3);故障关闭 当边界防护机制出现操作故障时,PLC系统应提供阻止所有PLC系统边界通信也称为故障关 闭)的能力
故障关闭功能的设计应不干扰功能安全系统或其他功能安全相关功能的运行
5.2.1.9sR5.3;一般目的的内部节点间通信限制 PLC系统应提供能力防止一般目的的内部节点间通信消息被PLC系统外部的用户或系统接 收到 5.2.1.10sR5.4,应用分离 PI.C系统应基于实现分区模型的关键程度提供对数据,应用和服务进行分离的能力
5.2.1.11sR5.5网络分层 应将PLC系统根据实际应用场景进行逻辑分层
GB/T33008.1一2016 5.2.1.12SR5.5RE1):层间边界防护 PLC系统应提供监视和控制第2层与第1层通信的能力
5.3对第2层的要求 5.3.1FR1:标识和认证控制 5.3.1.1sR1.1;用户(人)的标识和认证 PIC系统应提供标识和认证所有用户(人)的能力
这一能力应在访问PIC系统的所有访问接口 上实施,以支持符合相应安全策略和规程的职责分离和最小特权原则
PLc系统应使
用户标识符能在所有访问接口上被认证
a b)无效用户标识符在所有访间接口上被拒绝
5.3.1.2SR1.1RE(1);唯一标识和认证 PLC系统应对所有用户(人)提供唯一标识和认证的能力
5.3.1.3sR1.1RE(2);非可信网络的多因子认证 当人通过非可信网络访问(例如远程访问)PLc系统时,PLc系统应为其提供多因子认证的能力
对于经由非可信网络的远程访问的认证方法要求多于一种 5.3.1.4SR1.2:软件进程的标识和认证 PLC系统宜提供标识和认证所有软件进程的能力
这一能力应在访问PLC系统的所有访问接口 上实施,以支持符合相应安全策略和规程的职责分离和最小特权原则
5.3.1.5sR1.2RE(1);唯一标识和认证 PIC系统应对所有合法软件进程拥有唯一标识认证的能力
5.3.1.6sR1.3;账号管理 PLC系统应提供对所有账号的管理,包括创建、激活、修改、禁用和移除账号的能力,当一个或多个 账号被修改或移除时,未被修改的账号保持激活和账号权限不变
5.3.1.7SR1.3RE(1:统一的账号管理 PIC系统应提供能力支持统一的账号管理
5.3.1.8SR1.4;标识符管理 PLC系统应提供按照用户、组,角色和/或PLC系统接口管理标识符(例如用户ID)的能力
5.3.1.9sR1.5;认证码管理 PIC系统应保护认证码存储和传输时不被未经授权的泄露和更改 5.3.1.10sR1.5RE1);软件进程标识凭证的硬件安全 对于软件进程和设备用户,PLC系统应提供使用硬件机制保护相关认证码的能力
GB/T33008.1一2016 5.3.1.11SR1.6:无线访问管理 对参与无线通信的所有的用户,PL.C系统应提供标识和认证的能力
PLC系统应使 合法用户标识符能在无线访问接口上被认证; a b无效用户标识符在无线访问接口上被拒绝
5.3.1.12sR1.6RE(1);唯一标识和认证 对参与无线通信的所有的用户,PLC系统应提供唯一标识和认证的能力
5.3.1.13sR1.7;口令认证 对于使用口令认证的LC系统,PLc系统应提供能力,实施可配置的基于最小长度和不同字符类 型的口令强度
PLC系统应 提供实施口令的最小长度的能力
验证小于最小长度的口令被拒绝用于认证
a 提供能力实能口令中除学胖学符外至少还要包含最小数目的特床字符
验证不符合最小学 b 符集的口令被拒绝用于认证
5.3.1.14sR1.7RE(1);对用户(人)的口令生成和口令有效期的限制 PLcC系统应为用户(人)提供口令重用次数,口令有效期可配置的能力,这些能力符合普遍接受的 安全工业实践
5.3.1.15sR1.8;公钥基础设施证书 当使用公钥基础设施PKI时,PLC系统应提供能力按照普遍接受的最佳实践运行PKI或从现有 PKI中获取公钥证书
5.3.1.16sR1.9;公钥认证的加强 对于使用公钥认证的PLC系统,PLC系统应提供以下能力 a)通过检查给定证书的签名的有效性来证实证书; 通过可接受的证书认证机构(CA)证实证书,或在自签名证书情况下,以某种事先定义的方式 b) 证实证书 e)通过给定证书的撤销状态证实证书 建立用户对相应私钥的控制 d) 将已认证的标识映射为用户 e 5.3.1.17SR1.9RE1):公钥认证的硬件安全 PLC系统应提供能力,按照普遍接受的安全工业实践和推荐,通过硬件机制保护相关的私钥
5.3.1.18SR1.10;认证反馈 PLC系统将认证信息的反馈模糊化,使得当一个或多个凭证无效时,失败的认证尝试不提供任何 合法凭证有效性的信息(例如用户名和口令) 5.3.1.19SR1.11失败的登录尝试 PLC系统应: 对任何用户在可配置的时间周期内连续无效访问尝试的次数限制为一个可配置的数目; a 10o
GB/T33008.1一2016 策略和规程
包括 a)PLC系统提供在授权连接之前对便携和移动设备进行扫描; b PLC系统监视和记录扫描结果; e)PLC系统安全手册提供对移动设备合规扫描进行配置的指示
5.3.2.6SR2.4:移动代码 基于移动代码破坏控制系统的潜在可能性,控制系统应提供以下能力;对编辑、修改移动代码的人 员进行权限管理和身份认证
5.3.2.7SR2.4RE(1);移动代码的完整性检查 控制系统应提供能力,在允许代码执行之前验证移动代码的完整性
5.3.2.8sR2.4RE(2);移动代码的使用限制 PI.C系统应 预防移动代码的执行 a b 对代码源要求适当的认证和授权, 限制移动代码传人/传出控制系统; c d 监视移动代码的使用
5.3.2.9sR2.7;并发连接控制 对任意给定用户,PIC系统应提供将每个接口的并发连接的数目限制为一个可配置的数目的 能力
5.3.2.10SR2.8可审计的事件 PLC系统应提供为以下类别生成审计记录的能力;访问控制请求错误、系统事件、备份和存储事 件,配置变更、潜在的侦查行为和审计日志事件
5.3.2.11SR2.8RE(1)中央管理的、系统范围的审计跟踪 PLC系统应提供能力,对审计事件进行中央管理,并将来自整个PLC系统内多个部件的审计记录 汇聚为系统范围的,时间相关的审计跟踪
PI.c系统应提供按照工业标准格式输出审计记录的能力, 以便标准的商业日志分析工具对其分析
5.3.2.12sR2.9;审计存储容量 PLC系统应根据日志管理和系统配置普遍认可的推荐值来分配足够的审计记录存储容量
PLC 系统应提供审计机制减少超出该容量的可能性
当分配的审计记录存储量达到最大审计记录存储容量的某个可配置比例时,PLC系统应提供发出 警告的能力
5.3.2.13sR2.10;对审计流程失败时的响应 PIC系统应 a 在审计流程失败时,提供向人员告警并防止技术服务和功能丢失的能力; b当审计流程失败时,提供以下响应的能力:覆盖最老的审计记录、停止生成审计记录
12
GB/T33008.1一2016 5.3.2.14SR2.11:时间戳 PLC系统应提供时间戳用于生成审计记录
5.3.2.15sR2.11RE(1);内部时间同步 PLC系统应提供以可配置的频率同步内部系统时钟的能力
5.3.2.16sR2.11RE(2);时间源的完整性的保护 时间源应被保护不受未授权的变更,其变更应触发审计事件
5.3.2.17SR2.12:不可否认性 PLC系统应提供对给定用户(人)是否实施了某个特定行为进行判定的能力
5.3.2.18sR2.12RE(1)所有用户的不可否认性 PL.c系统应提供对所有用户是否执行了某个行为进行判定的能力
5.3.3FR3;系统完整性 5.3.3.1sR3.1;通信完整性 PLC系统应保护通信信道上传输的信息的完整性
5.3.3.2sR3.1RE(1);基于密码技术的完整性保护 PLcC系统应提供能力采用密码学机制识别信息在通信过程中的变更,除非信息已被其他可替换的 物理措施保护
5.3.3.3SR3.2;恶意代码的防护 PIC系统应提供能力,采用防护机制来防止、检测、报告和消减恶意代码或非授权软件的影响
PLcC系统应: a)采用一定的防护机制以防护恶意代码, b) 配置、启用防护产品; e)更新防护产品到软件最新版本; d)提供防护产品防护的恶意代码类型的列表或说明
5.3.3.4SR3.2RE(1);在入口和出口点防护恶意代码 PLC系统应提供在所有人口和出口点上采用恶意代码防护机制的能力
PLC系统应: a)在区域边界提供恶意代码的防护; b配置和启用防护产品; c 更新防护产品到软件最新的版本; d)提供防护产品防护的恶意代码类型的列表或说明
5.3.3.5SR3.2RE(2):恶意代码防护的集中管理和报告 PLC系统应提供集中管理恶意代码防护机制的能力
13
GB/T33008.1一2016 5.3.3.6SR3.4;软件和信息完整性 PLC系统应提供能力检测、记录和保护软件和信息不受未经授权的变更
5.3.3.7sR3.4RE(1);对破坏完整性进行自动通知 PIC系统应提供能力,使用自动化工具在完整性验证期间发现不符时通知人员
5.3.3.8sR3.5:输入验证 PLC系统应验证任何输人的语法和内容,这些输人是作为工业过程控制输人或直接影响PLC系 统行为的输人
5.3.3.9sR3.6确定性的输出 控制系统提供能力,在遭受攻击无法保持正常运行时能够将输出设为预先定义的状态
这些状态包括 a) 本上电状态; b)可知的最后的好值; 由资产属主或应用确定的固定值
C 5.3.3.10SR3.7:错误处理 PLC系统识别和处理错误条件的方式应能够实施有效的补救,这一方式不能提供可能被敌人利用 来攻击工业PLC系统的信息,除非泄露这一信息对于及时发现并修理问题是必须的
PLC系统能规定错误信息的适当的结构和内容,以提供及时有用的信息而不暴露潜在的有害 信息
5.3.3.11SR3.8:会话完整性 PLc系统应提供保护通信会话完整性的机制,能为通信会话的每一端提供端对端身份和传输信息 正确性的信任 5.3.3.12sR3.8RE1)会话终止后会话ID的失效 在用户登出或会话终止(包括浏览器会话)后,系统应提供使其会话标识失效的能力
5.3.3.13sR3.8RE(2);唯一会话ID的产生和承认 系统应提供能力,为每个会话生成唯一的会话标识ID,并且只认可系统生成的会话标识
5.3.3.14SR3.8RE(3);会话ID的随机性 控制系统应提供使用普遍接受的随机源生成唯一的会话标识的能力
5.3.3.15sR3.9;审计信息的保护 PIC系统应保护审计信息和审计工具不被未授权地访问、修改和删除
5.3.3.16sR3.9RE(1);一次性写入介质上的审计记录 PLC系统应提供在基于硬件的、一次性写人介质上生成审计记录的能力
14
GB/T33008.1一2016 5.3.4FR4数据保密性 5.3.4.1sR4.1信息保密性 PLC系统应提供能力,对有读授权的信息在静态和传输中进行保密性保护
PLC系统应: 通过维护具有可控物理访问的可信网络来保护敏感信息的保密性(认证信息,例如用户名和口 a 令应考虑保密); b 识别敏感信息; 对敏感信息的访问和传输进行控制,以防止窃听和篡改
c 5.3.4.2SR4.1RE(1):静态和经由不可信网络传输的数据的保密性保护 PLC系统应: 提供能力保护静态信息和穿越不可信网络的远程访问连接的保密性 a 加密敏感的LC系统信息,例如口令,在存储和穿过外部网络传输时是加密的
b 5.3.4.3sR4.1RE(2);区域边界的机密性保护 PLc系统应提供能力保护穿越所有区域边界的信息的机密性,敏感的PLC系统数据例如口令在 存储和穿越区域边界时是加密的
5.3.4.4sR4.2:信息存留 PI.C系统应提供退役能力,清除被在用服务所释放的部件中所有与安全相关的资料
5.3.4.5sR4.2RE(1);共享内存资源的清除 PLC系统应防止借助易失性存储资源进行的未经授权的和无意的信息传输,当易失性共享存储释 放回PI.C系统供不同用户使用时,所有的特有数据及特有数据的关联都应从资源中清除,从而使新用 户对其不可见和不可访问
5.3.4.6sR4.3;密码的使用 如果需要密码,PILC系统应根据普遍接受的工业实践和推荐来使用密码算法、密钥长度以及密钥 创建和管理机制
5.3.5FR6;对事件的及时响应 5.3.5.1SR6.1;审计日志的可访问性 PLC系统应为已授权的人和/或工具提供访问审计日志的能力
5.3.5.2SR6.1RE(1):对审计日志的编程式访问 PLC系统应使用应用编程接口API提供对审计记录的访问
5.3.5.3SR6.2;持续监视 PLC系统应使用普遍接受的安全工业实践和推荐来提供持续监视所有安全机制的性能的能力,以 及时检测、特征化、削减和报告对安全的违背
15
GB/T33008.1一2016 5.3.6FR7;资源可用性 5.3.6.1SR7.1;拒绝服务的防护 PLC系统应对拒绝服务攻击有一定的防护能力
5.3.6.2SR7.1RE(1)管理通信负荷 PLC系统应提供管理通信负荷的能力例如使用限速)来消减信息泛洪类的拒绝服务攻击事件 5.3.6.3sR7.1RE(2)限制拒绝服务攻击对其他系统和网络的影响 PLC系统应提供能力限制所有用户引发拒绝服务攻击事件的能力,这些事件可能影响其他PLc 系统和网络
5.3.6.4SR7.2资源管理 PIC系统应对资源的使用提供安全功能,防止资源耗尽
5.3.6.5SR7.3:数据备份 系统应在不影响工厂正常运行情况下,支持识别和定位关键文件,并有能力执行用户级和系统级备 份(包含系统状态信息)
控制系统应提供以可配置的频率自动实现上述功能的能力 5.3.6.6sR7.3RE1);备份验证 控制系统应提供验证备份机制的可靠性的能力
5.3.6.7SR7.3RE(2):备份自动化 控制系统应提供按照可配置的频率自动备份的能力
5.3.6.8SR7.4;PLC系统恢复和重构 当遭受攻击而造成系统中断或故障,PLC系统应提供恢复和重构到已知的安全状态的能力
5.3.6.9sR7.5;紧急电源 PIC系统应在不影响现有安全状态条件下提供与紧急电源之间进行切换的能力
5.3.6.10sR7.6;网络和安全配置设置 PI.C系统应提供能力,按照PLC系统提供商规定的指南中描述的推荐网络和安全配置进行配置
PLC系统应提供与现有部署网络和安全配置设置之间的一个接口
PLC系统应 能为配置设置提供可调节的参数; a 能根据安全策略和规程对配置变更进行监视和控制
b 5.3.6.11SR7.7:最小功能化 PLC系统应提供必要的能力,明确禁止和/或限制对非必要的功能、端口协议和/或服务的使用
5.3.6.12sR7.8;C系统部件清单 PLC系统应提供报告当前已安装的部件及其关联属性的列表的能力
PLC系统应 16
GB/T33008.1一2016 a)提供报告已安装部件及其关联属性的方法; b)确保已安装部件在系统部件清单目录中是正确的 在部件增加、移除或部件属性变更时,正确更新系统部件清单目录 c) 5.4对第1层的要求 5.4.1FR1:标识和认证控制 5.4.1.1sR1.1.用户(人)的标识和认证 PLC系统应提供标识和认证所有用户(人)的能力
这一能力应在访问控制器的所有访问接口上 实施,以支持符合相应安全策略和规程的职责分离和最小特权原则
5.4.1.2SR1.6:无线访问管理 对参与无线通信的所有的用户,控制器应提供标识和认证的能力
PLC系统应 a)能在无线访问接口上验证合法用户标识符,认证为正确; b)能在无线访问接口上验证无效用户标识符,无效用户被拒绝
5.4.1.3SR1.13:经由非可信网络的访问 PLC系统应提供能力控制所有经由不可信网络对控制器的访问方法,例如可限制未授权的IP地 址接人
5.4.2FR2;使用控制 5.4.2.1SR2.1:授权的执行 在所有逻辑接口上,控制器应提供能力执行分配给所有用户(人)的授权,按照职责分离和最小特权 来控制对控制系统的使用
5.4.2.2SR2.2:无线使用控制 PLC系统应提供能力,对控制系统的无线连接应依据普遍接受的安全工业实践进行授权、监视和 限制使用
5.4.2.3SR2.3;对便携和移动设备的使用控制 控制器应提供限制使用便携和移动存储介质的能力,包括 防止使用便携和移动存储介质; a 要求上下文特定的授权 b e)限制代码、数据传人传出便携和移动存储介质
5.4.2.4SR2.4,用户工程代码 PIC系统应提供能力,限制用户工程代码传人/传出
5.4.2.5SR2.7:连接过程要求 对任意给定用户,控制器应提供将每个接口的并发连接的数目限制为一个数目的能力
5.4.2.6SR2.8;诊断能力 控制器应提供错误诊断能力
17
GB/T33008.1一2016 5.4.2.7SR2.11时间戳 控制器或对控制器的审计设备应提供时间戳用于生成审计记录 5.4.2.8SR2.11RE(1);内部时间同步 PLC系统具备同步内部系统时钟的能力 5.4.3rFR3;系统完整性 5.4.3.1sR3.1;通信信息完整性 PI.C系统应保护传输的信息的完整性
5.4.3.2sR3.5;输入验证 PI.c系统应验证任何影响关键输出的输人,这些输人有可能来自上位机或其他控制器
5.4.3.3SR3.6确定性的输出 PLc应提供能力,在遭受攻击无法保持正常运行时能够将输出设为预先定义的状态 这些状态包括 未上电状态; a b 可知的最后的好值; 由资产所有者或应用确定的固定值
5.4.3.4SR3.7;错误处理 PLC应提供基本的错误处理的标识 5.4.3.5sR3.8;连接完整性 PLC系统应提供保护通信连接完整性的机制
5.4.4FR4;数据保密性 5.4.4.1sR4.1;信息保密性 控制器应提供能力,对有读授权的信息在静态和传输中进行保密性保护,对敏感信息的访问和传输 进行控制,以防止窃听和篡改
5.4.4.2sR4.3;密码的使用 如果层间通信需要密码,控制器应采用符合国家和行业的相关法律、法规要求的密码算法、密钥长 度以及密钥创建和管理机制
5.4.5FR6:对事件的及时响应 5.4.5.1SR6.1;诊断记录的可访问性 控制器应提供访问错误诊断记录的能力. 18
GB/T33008.1一2016 5.4.6FR7;资源可用性 5.4.6.1sR7.1;管理通信负荷 控制器应提供管理通信负荷的能力(例如使用限速)来消减信息泛洪类的拒绝服务攻击事件 5.4.6.2SR7.2:资源管理 控制器应提供对资源的使用的安全能力,防止资源耗尽
5.4.6.3sR7.4;PLC系统恢复和重构 当道受攻击而造成系统中断或放隙,系统应具有根据工艺要求,采用技术和管理手段维持已知安全 状态的能力
5.4.6.4SR7.5:紧急电源 应在不影响现有安全状态条件下提供与紧急电源之间进行切换的能力
5.4.6.5sR7.6;网络和安全配置设置 控制系统应提供能力,按照控制系统提供商规定的指南中描述的推荐网络和安全配置进行配置
控制系统应提供与现有部署网络和安全配置设置之间的一个接口
5.4.6.6sR7.7;最小功能化 控制器应明确禁止和/或限制对非必要的功能、端口,协议和/或服务的使用
PIc系统网络安全管理要求 总体要求 6.1 组织宜在其整体业务活动中按照GB/T30976.1一2014,本部分的附录B以及6.2要求执行,以满 足PIC系统网络安全管理的要求
6.2PLC系统设计、开发过程网络安全管理补充要求 组织宜针对拟提供的PLC系统的网络安全技术要求,建立管理职责,分配和管理资源,运用过程方 法实现PLC系统的设计、开发、生产及交付,对产品实现过程予以测量、分析和改进,以满足PLC系统 的网络安全要求
对于PLC系统的设计、开发过程应满足系统网络安全管理要求,包括但不限于 a)在进行设计和开发策划时,组织应当针对PLC网络安全技术要求,研究安全性设计、可维护性 设计等设计理念,并在适合时加以应用 b产品应用后的网络安全风险应当作为设计和开发的输人; 设计和开发的输出应包含满足PLC系统网络安全技术要求的内容 d)应证明对所有已识别的网络安全风险进行了设计和开发的验证及确认 对设计和开发更改的评审应包含网络安全风险的再确认
19
GB/T33008.1一2016 附 录A 规范性附录 系统要求和增强要求与安全等级的映射 系统要求和增强要求与安全等级的映射关系见表A.1. 表A.1系统要求和增强要求与安全等级的映射 SR和RE CIl CL2 CL3 CI4 对第2层到第1层的总体要求 FR5;限制的数据流 SR5.l;网络分区 RE(1):物理网络分区 RE2);与非PIC系统网络的独立性 RE3);关键网络的逻辑或物理隔离 SR5.2:区域边界防护 RE(1);默认拒绝,例外允许 RE(2);孤岛模型 RE(3);故障关闭 SR5.3:一般目的的内部节点间通信限制 SR5,4;应用分离 SR5.5:网络分层 RE(1):层间边界防护 对第2层的要求 FRl:标识和认证控制 SR1.l用户(人)的标识和认证 RE(1);唯一标识和认证 RE(2);非可信网络的多因子认证 SR1.2;软件进程的标识和认证 RE(1):;唯一标识和认证 sR1.3,账号管理 RE( );统一的账号管理 SR1.4;标识符管理 SR1.5;认证码管理 RE(1);软件进程身份凭证的硬件安全 SR1.6;无线访问管理 RE(1);唯一标识和认证 SR1.7;口令认证 心
GB/T33008.1一2016 表A.1(续 CI3 SR和RE CIl CI2 CI4 RE(1)用户(人)的口令生成和口令有效期限制 SR1.8 ;公钥基础设施证书 SR1.9;公钥认证的加强 RE(1);公钥认证的硬件安全 SR1.10:认证反馈 SR1.ll:;失败的登录尝试 sR1.13;经由非可信网络的访间 RE(1);明确的对访问请求的批准 FR2使用控制 sR2.1;授权的执行 SR2.2:无线使用控制 RE1);对未授权的无线设备进行识别和报告 SR2.3:对便携和移动设备的使用控制 RE(1);便携和移动设备的安全状态的实施 2.4;移动代码 SR RE(1)移动代码的完整性检直 RE(2):移动代码的使用限制 R2.7:并发连接控制 SR2.8;可审计的事件 RE(1):中央管理的、系统范围的审计跟踪 sR2.9,市计存储容量 sR2.10,对审计流程失败时的响应 sR2.11;时间戳 RE(1);内部时间同步 RE(2);时间源的完整性保护 SR2.12;不可否认性 RE1);所有用户的不可否认性 FR3:系统完整性 3.1;通信完整性 SR RE(1);基于密码技术的完整性保护 sR3.2;恶意代码的防护 RE(1);在人口和出口点防护恶意代码 RE2);恶意代码防护的集中管理和报告 SR3.4:软件和信息完整性 21
GB/T33008.1一2016 表A.1(续 SR和RE CIl CI2 CI3 CI4 RE(1);对破坏完整性进行自动通知 SR 3.5;输人确认 SR3.6;确定性的输出 SR3.7;错误处理 SR3.8;会话完整性 RE(1):会话终止后会话ID的失效 RE2);唯一会话ID的产生和承认 RE(3);会话D的随机性 SR3.9. 审计信息的保护 RE(1);一次性写人介质上的审计记录 FR4;数据保密性 SR4.l;信息保密性 RE(1):静止和经由不可信网络传输的数据的保密性保护 RE(2);区域边界的保密性保护 4.2;信息存留 SR RE(I);共享内存资源的清除 SR4.3;密码的使用 FR6;对事件的及时响应 SR6.l:审计日志的可访问性 RE(1);对审计日志的编程式访问 sR6.2;持续监视 FR7;资源可用性 sR7.1;拒绝服务的防护 RE(1);管理通信负荷 RE(2);限制拒绝服务攻击对其他系统和网络的影响 SR7.2;资源管理 SR7.3:数据备份 RE(1):备份验证 RE(2);备份自动化 SR ;PLC系统恢复和重构 1.A sR7.5;紧急电源 SR7.6;网络和安全配置设置 SR7.7;最小功能化 SR7.8:PLC系统部件清单 22
GB/T33008.1一2016 表A.1(续 CI1 CI3 SR和RE CI2 CI4 对第1层的要求 FR1;标识和认证控制 SR1.l:用户(人)的标识和认证 SR1.6;无线访问管理 SR1.13;经由非可信网络的访问 FR2;使用控制 sR2.1:授权的执行 sR2.2;无线使用控制 SR2.3;对便携和移动设备的使用控制 SR2.4;用户工程代码 SR2.7;连接过程要求 SR2.8;诊断能力 SR2.1ll:时间戳 RE1):内部时间同步 FR3;系统完整性 SR3.1 通信信息完整性 SR3.5:输人验证 SR3.6;确定性的输出 SR3.7;错误处理 SR3.8;连接完整性 FR4:数据保密性 sR4.l;信息保密性 SR4.3;密码的使用 FR6;对事件的及时响应 SR6.l;诊断记录的可访问性 FR7;资源可用性 SR7.l:管理通信负荷 sR7.2;资源管理 sR7.4;PLc系统恢复和重构 SR7.5紧急电源 sR7.6;,网络和安全配置设置 SR7.7;最小功能化 注:如果以上技术要求存在互斥,同等级采用其中一种要求即可
23
GB/T33008.1一2016 附 录B 规范性附录 网络安全管理评估列表 以下要求引用自GB/T30976.1一2014附录A,针对产品供应商、系统集成商、用户的特点与评估 规范进行了对应
具体内容详见评估规范
针对PIC系统的网络安全管理评估列表见表B.1
表B.1网络安全评估列表 安全管理要素 产品供应商 系统集成商 用户 安全方针 5.1 5.1.1网络安全方针 要求;依据业务要求和相关法律法规提供管理指导并支持网络安全 5.1.1.1网络安全方针文件 5.1.1.2网络安全方针的评审 5.2网络安全组织机构 5.2.1内部组织机构 要求;管理组织机构范围内网络安全 5.2.1.1网络安全的承诺 5.2.1.2网络安全协调 5,2,1.3网络安全职责的分配 5.2.l.4信息处理设施的授权过程 5.2.1.5保密性协议 5.2.1.6与政府部门的联系 5.2.1.7网络安全的独立评审 5.2.2外部方 要求;保持组织机构的被外部方访问、处理、管理或外部进行通信和信息处理设施的安全 5.2.2.1与外部方相关风险的识别 5.2.2.2处理与顾客有关的安全问题 5,2.2.,3处理第三方协议中的安全问题 5,.》资产管理 5.3.1对资产负责 要求;实现和保持对组织机构资产的适当保护 5.3.1l.1资产清单 5.3.1.2资产责任人 5.3.1.3资产的可接受使用 5.3.2资产信息分类 要求;确保信息受到适当级别的保护 2
GB/T33008.1一2016 表B.1(续 安全管理要素 产品供应商 系统集成商 用户 5.3.2.1分类指南 5.3. 3.2.2资产信息的标记和处理 5.4人力资源安全 5.4.1任用之前 要求;确保雇员,承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃取,欺诈 和误用的风险 5.4.1.1角色和职责 5.4.1.2审查 5.A.l.3任用条款和条件 5.4.2任用中 要求确保所有的雇员、承包方人员和第三方人员知悉网络安全威胁和利害关系他们的职责和义务,并准备好 在其正常工作过程中支持组织机构的安全方针,以减少人为出错的风险 5.4.2.1管理职责 5.4.2.2网络安全意识、教育和培训 5.4.2.3纪律处理过程 5.4.3任用的终止或变更 要求:确保所有的雇员、承包方人员和第三方人员以一个规范的方式退出一个组织机构或改变其任用关系 5.4.3.1终止职责 5.4.3.2资产的归还 5.4.3.3撤销访问同权 5.5物理和环境安全 5.5.1安全区域 要求:;防止对组织机构场所和信息的未授权物理访问、损坏和干扰 5.5.1.1物理安全周边 5.5.1.2物理人口控制 5.5.l.3办公室,房间和设施的安全保护 5.5.1.4外部和环境的安全防护 5.5.1.5在安全区域工作 5.5,1.6公共访问,交换区安全 5.5.2设备安全 要求;防止资产的丢失、损坏,失窃或危及资产安全以及组织机构活动的中断 5.5.2.l设备安置和保护 5.5.2.2支持性设施 3布缆安全 5.5.2.3 25
GB/T33008.1一2016 表B.1(续 安全管理要素 产品供应商 系统集成商 用户 5.5.2.4设备维护 5.5
.2.5组织机构场所外的设备安全 5.5.2.6设备的安全处置或再利用 5.5.2.7资产的移动 5.6通信和操作管理 5.6.1操作规程和职责 要求;确保正确、安全的操作信息处理设施 5.6.1.1文件化的操作规程 5.6.1.2变更管理 5.6.1.3责任分刚 5.6.1.4测试和运行分离 5.6.2第三方服务交付管理 要求;实施和保持符合第三方服务交付协议的网络安全和服务交付的适当水准 5.6.2.1服务交付 5.6.2.2第三方服务的监视和评审 5.6.2." 3第三方服务的变更管理 5.6.3系统规划和验收 要求;将系统失效的风险降至最小 5.6.3.1容量管理 5.6.3.2系统验收 5.6.4防范恶意和移动代吗 要求保护软件和信息的完整性 5.6.4.1控制恶意代码 5,.6.5备份 要求;保持信息和信息处理设施的完整性及可用性 5.6.5.1信息备份 5.6.6网络安全管理 要求;确保网络中信息的安全性并保护支持性的基础设施 5.6.6.1网络控制 5.6.6.2网络服务安全 5.6.7介质处置 要求:防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断 5.6.7.1可移动介质的管理 5.6.7.2介质的处置 26
GB/T33008.1一2016 表B.1(续 安全管理要素 产品供应商 系统集成商 用户 5.6.7.3信息处理规程 5,.6.7.4系统文件(文档)安全 5.6.8信息的交换(传输 要求;保持组织机构内以及与组织机构外信息和软件交换的安全 5.6.8.1信息交换策略和规程 5.6.8.2交换协议 5.6.8.3运输中的物理介质 5.6.8.1电子消息发送 5.6.8.5业务信息系统 5.6.9监视 要求:检测未经授权的信息处理活动 5.6.9.1审计记录 5.6.9.2监视系统的使用 5.6.9.3日志信息的保护 5.6.9.4管理员和操作日志 5.6.9.5故障日志 5,6,9,6时钟同步 5.7访问控制 5.7.1访问控制的业务要求 要求;控制对信息的访问 5.7.l.l访问控制策略 5.7.2用户访问控制 要求;确保授权用户访问信息系统,并防止未授权的访间 5.7.2.1用户注册 5,7.2.2特殊权限管理 5,.7.2.3用户口令管理 5.7.2.4用户访问权的复查 5.7.3用户职责 要求;防止未授权用户对信息和信息处理设施的访问,损害和窃取 E73日令使用 5,.7.3.2无人职守的用户设备 5.7.3.3清空桌面和屏幕策略 5.7.4网络访问控制 要求:防止对网络服务的未授权访问
工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求GB/T33008.1-2016
随着工业自动化与信息技术的不断融合,计算机网络在工业控制领域中得到广泛应用。然而,网络的开放性和复杂性给工业控制系统带来了新的安全挑战。 为了保证工业自动化系统的稳定、可靠和安全运行,国家标准GB/T33008.1-2016《工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求》对PLC在网络安全方面做出了详细规定。 该标准包括了PLC的安全功能要求、网络接口及其安全性要求、PLC软件及其安全性要求等方面的内容。其中,针对PLC的安全功能要求涉及到PLC的身份认证、访问控制、数据完整性、保密性等方面,可以有效防止恶意攻击和非法访问。 而对于网络接口及其安全性要求,该标准则规定了PLC网络接口的物理安全、逻辑安全、通信安全等方面的具体要求。其中,逻辑安全要求PLC在网络传输过程中数据不受篡改和截获,通信安全要求PLC支持加密机制,确保数据传输的安全可靠。 此外,标准还规定了PLC软件及其安全性要求,包括软件设计、开发、测试、部署、更新等方面的内容。特别是针对软件漏洞的处理和修复,标准做出了相应的规范和流程要求。 总之,国家标准GB/T33008.1-2016为工业自动化系统提供了全面的安全技术规范和指导,对于确保工业控制系统的安全运行具有重要意义。