1 范圍

      本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)專用防火墻（以下簡稱工控防火墻）的安全功能要求、自身安全要求、性能要求和安全保障要求。

      本標(biāo)準(zhǔn)適用于工控防火墻的設(shè)計(jì)、開發(fā)和測(cè)試。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ea和導(dǎo)則：沖擊

      GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ed：自由跌落

      GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Fc：振動(dòng)（正弦）

      GB/T 4208-2017 外殼防護(hù)等級(jí)（IP代碼）

      GB 4824-2013 工業(yè)、科學(xué)和醫(yī)療（ISM）射頻設(shè)備 騷擾特性 限值和測(cè)量方法

      GB/T 9254-2008 信息技術(shù)設(shè)備的無線電騷擾限值和測(cè)量方法

      GB/T 13729-2002 遠(yuǎn)動(dòng)終端設(shè)備

      GB/T 15153.1-1998 遠(yuǎn)動(dòng)設(shè)備及系統(tǒng) 第2部分：工作條件 第1篇：電源和電磁兼容性

      GB/T 17214.4-2005 工業(yè)過程測(cè)量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 17626.2-2018 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 靜電放電抗擾度試驗(yàn)

      GB/T 17626.3-2016 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 射頻電磁場(chǎng)輻射抗擾度試驗(yàn)

      GB/T 17626.4-2018 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 電快速瞬變脈沖群抗擾度試驗(yàn)

      GB/T 17626.5-2008 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 浪涌（沖擊）抗擾度試驗(yàn)

      GB/T 17626.6-2017 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 射頻場(chǎng)感應(yīng)的傳導(dǎo)騷擾抗擾度

      GB/T 17626.8-2006 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 工頻磁場(chǎng)抗擾度試驗(yàn)

      GB/T 17626.10-2017 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 阻尼振蕩磁場(chǎng)抗擾度試驗(yàn)

      GB/T 17626.11-2008 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 電壓暫降、短時(shí)中斷和電壓變化的抗擾度試驗(yàn)

      GB/T 17626.12-2013 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 振鈴波抗擾度試驗(yàn)

      GB/T 17626.16-2007 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 0 Hz～150kHz共模傳導(dǎo)騷擾抗擾度試驗(yàn)

      GB/T 17626.17-2005 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 直流電源輸入端口紋波抗擾度試驗(yàn)

      GB/T 17626.18-2016 電磁兼容 試驗(yàn)和測(cè)量技術(shù) 阻尼振蕩波抗擾度試驗(yàn)

      GB/T 17626.29-2006 試驗(yàn)和測(cè)量技術(shù) 直流電源輸入端口電壓暫降、短時(shí)中斷和電壓變化的抗擾度試驗(yàn)

      GB/T 20281-2015 信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

      GB/T 20438.3-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分：軟件要求

      GB/T 20438.4-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分：定義和縮略語

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB/T 20281-2015、GB/T 20438.4-2017、GB/T 25069-2010和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件。

3.1

      工業(yè)控制協(xié)議 industrial control protocol

      工業(yè)控制系統(tǒng)中，上位機(jī)與控制設(shè)備之間以及控制設(shè)備與控制設(shè)備之間的通信報(bào)文規(guī)約。通常包括模擬量和數(shù)字量的讀寫控制。

3.2

      工業(yè)控制系統(tǒng)專用防火墻 industrial control system dedicated firewall

      部署于工業(yè)控制系統(tǒng)中不同的安全域之間，或者控制器之前，具備網(wǎng)絡(luò)層訪問控制及過濾功能，工業(yè)控制協(xié)議規(guī)約檢查和過濾功能，并具備高可用性，能夠適用于工業(yè)控制環(huán)境的安全網(wǎng)關(guān)類產(chǎn)品。

4 縮略語

      下列縮略語適用于本文件。

      DMZ：非軍事區(qū)（Demilitarized Zone）

      DNAT：目的地址轉(zhuǎn)換（Destination Network Address Translation）

      ICMP：網(wǎng)絡(luò)控制報(bào)文協(xié)議（Internet Control Message Protocol）

      MAC：介質(zhì)訪問控制（Media Access Control）

      NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation）

      OPC：用于過程控制的對(duì)象鏈接與嵌入（Object Linking and Embedding for Process Control）

      SNAT：源地址轉(zhuǎn)換（Source Network Address Translation）

      SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      SYN：同步序列編號(hào)（Synchronize Sequence Numbers）

      UDP：用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol）

5 產(chǎn)品描述

      工控防火墻是應(yīng)用于工業(yè)控制系統(tǒng)的一類特殊防火墻，其既要滿足通用防火墻的基本要求，還要滿足工業(yè)控制環(huán)境下的特殊要求，工控防火墻主要應(yīng)用在工業(yè)控制層級(jí)間防護(hù)以及各層區(qū)域間防護(hù)。工控防火墻的典型部署場(chǎng)景參見附錄A。

      本標(biāo)準(zhǔn)將工控防火墻安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個(gè)大類。本標(biāo)準(zhǔn)將安全功能要求、自身安全要求和安全保障要求分為基本級(jí)和增強(qiáng)級(jí)，與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通過“黑體”表示。若工控防火墻部署在工業(yè)控制現(xiàn)場(chǎng)，應(yīng)根據(jù)實(shí)際需求滿足附錄B環(huán)境適應(yīng)性要求。

6 安全技術(shù)要求

6.1 基本級(jí)安全技術(shù)要求

6.1.1 安全功能要求

6.1.1.1 網(wǎng)絡(luò)層控制

6.1.1.1.1 包過濾

      工控防火墻的包過濾要求如下：

      a）安全策略應(yīng)使用默認(rèn)禁止原則，即除非明確允許，否則就禁止；

      b）安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問控制；

      c）安全策略應(yīng)包含基于源端口、目的端口的訪問控制；

      d）安全策略應(yīng)包含基于協(xié)議類型的訪問控制；

      e）安全策略應(yīng)包含基于MAC地址的訪問控制；

      f）應(yīng)支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部組合。

6.1.1.1.2 NAT

      部署域間的工控防火墻應(yīng)具備NAT功能，具體技術(shù)要求如下：

      a）應(yīng)支持雙向 NAT：SNAT和DNAT；

      b）SNAT應(yīng)至少可實(shí)現(xiàn)“多對(duì)一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問外部網(wǎng)絡(luò)時(shí)，其源IP地址被轉(zhuǎn)換。

6.1.1.1.3 狀態(tài)檢測(cè)

      工控防火墻應(yīng)具備狀態(tài)檢測(cè)功能，支持基于狀態(tài)檢測(cè)技術(shù)的訪問控制。

6.1.1.1.4 動(dòng)態(tài)開放端口

      工控防火墻應(yīng)具備動(dòng)態(tài)開放端口功能，應(yīng)至少支持 ）PC、FTP協(xié)議。

6.1.1.1.5 IP/MAC地址綁定

      工控防火墻應(yīng)支持自動(dòng)或手動(dòng)綁定IIP/MAC 地址；應(yīng)能夠檢測(cè)IP地址盜用事件，攔截盜用IP地址的主機(jī)經(jīng)過工控防火墻的各種訪問。

6.1.1.1.6 抗拒絕服務(wù)攻擊

      工控防火墻應(yīng)具有抗拒絕服務(wù)攻擊的能力，具體技術(shù)要求如下（包括，但不限于）：

      a）ICMP Flood攻擊；

      b）UDP Flood攻擊；

      c) SYN Flood攻擊；

      d) TearDrop攻擊；

      e) Land攻擊；

      f) 超大ICMP數(shù)據(jù)攻擊。

6.1.1.1.7 網(wǎng)絡(luò)掃描防護(hù)

      工控防火墻應(yīng)能夠檢測(cè)和記錄掃描行為，包括對(duì)受保護(hù)網(wǎng)絡(luò)的掃描。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。