GB/T 37934-2019 信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求
- 發(fā)表時(shí)間:2023-03-22
- 來(lái)源:共立消防
- 人氣:
1 范圍
本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的安全功能要求、自身安全要求和安全保障要求。
本標(biāo)準(zhǔn)適用于工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的設(shè)計(jì)、開發(fā)及測(cè)試。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20279-2015 信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求
GB/T 20438.3-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分:軟件要求
GB/T 20438.4-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分:定義和縮略語(yǔ)
GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)
3 術(shù)語(yǔ)和定義
GB/T 20279-2015、GB/T 20438.4-2017和GB/T 25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。
3.1
工業(yè)控制系統(tǒng) industrial control system;ICS
工業(yè)控制系統(tǒng)(ICS)是一個(gè)通用術(shù)語(yǔ),它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng),包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng),如可編程邏輯控制器(PLC),現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。
[GB/T 32919-2016,定義3.1]
3.2
工業(yè)控制協(xié)議 industrial control protocol
工業(yè)控制系統(tǒng)中,上位機(jī)與控制設(shè)備之間,以及控制設(shè)備與控制設(shè)備之間的通信報(bào)文規(guī)約。注:通常包括模擬量和數(shù)字量的讀寫控制。
3.3
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng) industrial control system security isolation andinformation ferry system
部署于工業(yè)控制網(wǎng)絡(luò)中不同的安全域之間,采用協(xié)議隔離技術(shù)實(shí)現(xiàn)兩個(gè)安全域之間訪問控制、協(xié)議轉(zhuǎn)換、內(nèi)容過(guò)濾和信息交換等功能的產(chǎn)品。
4 縮略語(yǔ)
下列縮略語(yǔ)適用于本文件。
MAC:媒體接入控制(Media Access Control)
OPC:用于過(guò)程控制的對(duì)象鏈接與嵌入(Object Linking and Embedding for Process Control)
5 產(chǎn)品描述
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)通常部署在工業(yè)控制網(wǎng)絡(luò)邊界,保護(hù)的資產(chǎn)為工業(yè)控制網(wǎng)絡(luò);或者部署在生產(chǎn)管理層與過(guò)程監(jiān)控層之間,保護(hù)的資產(chǎn)為過(guò)程監(jiān)控層網(wǎng)絡(luò)及現(xiàn)場(chǎng)控制層網(wǎng)絡(luò)。此外,工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的資產(chǎn)。
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)一般以二主機(jī)加專用隔離部件的方式組成,即由內(nèi)部處理單元、外部處理單元和專用隔離部件組成。其中,專用隔離部件既可以是采用包含電子開關(guān)并固化信息擺渡控制邏輯的專用隔離芯片構(gòu)成的隔離交換板卡,也可以是經(jīng)過(guò)安全強(qiáng)化的運(yùn)行專用信息傳輸邏輯控制程序的主機(jī)。工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)中的內(nèi)、外部處理單元通過(guò)專用隔離部件相連,專用隔離部件是兩個(gè)安全域之間唯一的可信物理信道。該內(nèi)部信道裁剪了TCP/IP等公共網(wǎng)絡(luò)協(xié)議棧,采用私有協(xié)議實(shí)現(xiàn)公共協(xié)議隔離。專用隔離部件通常有兩種實(shí)現(xiàn)方式:一是采用私有協(xié)議以邏輯方式實(shí)現(xiàn)協(xié)議隔離和信息傳輸;二是采用一組互斥的分時(shí)切換電子開關(guān)實(shí)現(xiàn)內(nèi)部物理信道的通斷控制,以分時(shí)切換連接方式完成信息擺渡,從而在兩個(gè)安全域之間形成一個(gè)不存在實(shí)時(shí)物理連接的隔離區(qū)。
本標(biāo)準(zhǔn)將工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求分為安全功能、自身安全要求和安全保障要求三個(gè)大類。安全功能要求、自身安全要求和安全保障要求分為基本級(jí)和增強(qiáng)級(jí),與基本級(jí)內(nèi)容相比,增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通過(guò)“黑體”表示。
6 安全技術(shù)要求
6.1 基本級(jí)安全技術(shù)要求
6.1.1 安全功能要求
6.1.1.1 訪問控制
6.1.1.1.1 基于白名單的訪問控制
產(chǎn)品應(yīng)采用白名單的訪問控制策略,即非訪問控制策略明確允許的訪問,需默認(rèn)禁止。
6.1.1.1.2 網(wǎng)絡(luò)層訪問控制
產(chǎn)品應(yīng)支持基于源IP、源端口、目的IP、目的端口、傳輸層協(xié)議等要求進(jìn)行訪問控制。
6.1.1.1.3 應(yīng)用層訪問控制
產(chǎn)品應(yīng)支持應(yīng)用層的訪問控制:
a)支持HTTP、FTP、TELNET等應(yīng)用的識(shí)別與訪問控制;
b)至少支持一種工業(yè)控制協(xié)議的訪問控制。
6.1.1.1.4 工業(yè)控制協(xié)議深度檢查
產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議內(nèi)容進(jìn)行深度分析和訪問控制:
a)對(duì)所支持的工業(yè)控制協(xié)議進(jìn)行協(xié)議規(guī)約檢查,明確拒絕不符合協(xié)議規(guī)約的訪問;
b)應(yīng)支持對(duì)工業(yè)控制協(xié)議的操作類型、操作對(duì)象、操作范圍等參數(shù)進(jìn)行訪問控制;
c)若支持OPC協(xié)議:應(yīng)支持基于控制點(diǎn)名稱、讀寫操作等要素進(jìn)行控制;
d)若支持ModbusTCP協(xié)議:應(yīng)支持基于設(shè)備ID、功能碼類型、讀寫操作、寄存器地址、控制值范圍等要素進(jìn)行控制。
6.1.1.2 協(xié)議隔離
所有主客體之間發(fā)送和接收的信息流均執(zhí)行網(wǎng)絡(luò)層協(xié)議剝離,還原成應(yīng)用層數(shù)據(jù),在兩機(jī)之間以非TCP/IP的私有協(xié)議格式傳輸。
6.1.1.3 殘余信息保護(hù)
在為所有內(nèi)部或外部網(wǎng)絡(luò)上的主機(jī)連接進(jìn)行資源分配時(shí),安全功能應(yīng)保證其分配的資源中不提供以前連接活動(dòng)中所產(chǎn)生的任何信息內(nèi)容。
6.1.1.4 不可旁路
在與安全有關(guān)的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機(jī)向外部網(wǎng)絡(luò)主機(jī)傳送信息等)被允許執(zhí)行之前,安全功能應(yīng)確保其通過(guò)安全功能策略的檢查。
6.1.1.5 抗攻擊
產(chǎn)品應(yīng)具備抵御SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、Pingofdeath攻擊等典型拒絕服務(wù)攻擊能力。
6.1.2 自身安全要求
6.1.2.1 標(biāo)識(shí)和鑒別
6.1.2.1.1 唯一性標(biāo)識(shí)
產(chǎn)品應(yīng)保證任何用戶都具有唯一的標(biāo)識(shí)。
6.1.2.1.2 管理員屬性定義
產(chǎn)品應(yīng)為每個(gè)管理員規(guī)定與之相關(guān)的安全屬性,如管理員標(biāo)識(shí)、鑒別信息、隸屬組、權(quán)限等,并提供使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理員的屬性進(jìn)行初始化的功能。
6.1.2.1.3 基本鑒別
產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進(jìn)行身份鑒別。
6.1.2.1.4 鑒別失敗處理
產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值,當(dāng)管理員的不成功登錄嘗試超過(guò)閾值,系統(tǒng)應(yīng)通過(guò)技術(shù)手段阻止管理員的進(jìn)一步鑒別請(qǐng)求。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護(hù)
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機(jī)維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測(cè)和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳?xì)怏w滅火系統(tǒng)
二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無(wú)色、無(wú)味、低毒性、絕緣性好、無(wú)二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場(chǎng),在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
- 0消防維保收費(fèi)每平方多少錢
- 1GB/T 7588.1-2020 電梯制造與安裝安全規(guī)范 第1部分:乘客電梯和載貨電梯
- 2消防安全評(píng)估報(bào)告多久做一次
- 3GB 50160-2018 石油化工企業(yè)設(shè)計(jì)防火規(guī)范
- 4GB 4351.1-2005 手提式滅火器 第1部分:性能和結(jié)構(gòu)要求
- 5消防安全評(píng)估收費(fèi)標(biāo)準(zhǔn)
- 6GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
- 7消防維保多長(zhǎng)時(shí)間維保一次
- 8GB 50229-2019 火力發(fā)電廠與變電站設(shè)計(jì)防火標(biāo)準(zhǔn)
- 9消防維保是干什么的