GB/T 37934-2019 信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求
- 發(fā)表時間:2023-03-22
- 來源:共立消防
- 人氣:
1 范圍
本標準規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的安全功能要求、自身安全要求和安全保障要求。
本標準適用于工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的設(shè)計、開發(fā)及測試。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 20279-2015 信息安全技術(shù) 網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求
GB/T 20438.3-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分:軟件要求
GB/T 20438.4-2017 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第4部分:定義和縮略語
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
3 術(shù)語和定義
GB/T 20279-2015、GB/T 20438.4-2017和GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。
3.1
工業(yè)控制系統(tǒng) industrial control system;ICS
工業(yè)控制系統(tǒng)(ICS)是一個通用術(shù)語,它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng),包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng),如可編程邏輯控制器(PLC),現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。
[GB/T 32919-2016,定義3.1]
3.2
工業(yè)控制協(xié)議 industrial control protocol
工業(yè)控制系統(tǒng)中,上位機與控制設(shè)備之間,以及控制設(shè)備與控制設(shè)備之間的通信報文規(guī)約。注:通常包括模擬量和數(shù)字量的讀寫控制。
3.3
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng) industrial control system security isolation andinformation ferry system
部署于工業(yè)控制網(wǎng)絡(luò)中不同的安全域之間,采用協(xié)議隔離技術(shù)實現(xiàn)兩個安全域之間訪問控制、協(xié)議轉(zhuǎn)換、內(nèi)容過濾和信息交換等功能的產(chǎn)品。
4 縮略語
下列縮略語適用于本文件。
MAC:媒體接入控制(Media Access Control)
OPC:用于過程控制的對象鏈接與嵌入(Object Linking and Embedding for Process Control)
5 產(chǎn)品描述
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)通常部署在工業(yè)控制網(wǎng)絡(luò)邊界,保護的資產(chǎn)為工業(yè)控制網(wǎng)絡(luò);或者部署在生產(chǎn)管理層與過程監(jiān)控層之間,保護的資產(chǎn)為過程監(jiān)控層網(wǎng)絡(luò)及現(xiàn)場控制層網(wǎng)絡(luò)。此外,工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護的資產(chǎn)。
工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)一般以二主機加專用隔離部件的方式組成,即由內(nèi)部處理單元、外部處理單元和專用隔離部件組成。其中,專用隔離部件既可以是采用包含電子開關(guān)并固化信息擺渡控制邏輯的專用隔離芯片構(gòu)成的隔離交換板卡,也可以是經(jīng)過安全強化的運行專用信息傳輸邏輯控制程序的主機。工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)中的內(nèi)、外部處理單元通過專用隔離部件相連,專用隔離部件是兩個安全域之間唯一的可信物理信道。該內(nèi)部信道裁剪了TCP/IP等公共網(wǎng)絡(luò)協(xié)議棧,采用私有協(xié)議實現(xiàn)公共協(xié)議隔離。專用隔離部件通常有兩種實現(xiàn)方式:一是采用私有協(xié)議以邏輯方式實現(xiàn)協(xié)議隔離和信息傳輸;二是采用一組互斥的分時切換電子開關(guān)實現(xiàn)內(nèi)部物理信道的通斷控制,以分時切換連接方式完成信息擺渡,從而在兩個安全域之間形成一個不存在實時物理連接的隔離區(qū)。
本標準將工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求分為安全功能、自身安全要求和安全保障要求三個大類。安全功能要求、自身安全要求和安全保障要求分為基本級和增強級,與基本級內(nèi)容相比,增強級中要求有所增加或變更的內(nèi)容在正文中通過“黑體”表示。
6 安全技術(shù)要求
6.1 基本級安全技術(shù)要求
6.1.1 安全功能要求
6.1.1.1 訪問控制
6.1.1.1.1 基于白名單的訪問控制
產(chǎn)品應(yīng)采用白名單的訪問控制策略,即非訪問控制策略明確允許的訪問,需默認禁止。
6.1.1.1.2 網(wǎng)絡(luò)層訪問控制
產(chǎn)品應(yīng)支持基于源IP、源端口、目的IP、目的端口、傳輸層協(xié)議等要求進行訪問控制。
6.1.1.1.3 應(yīng)用層訪問控制
產(chǎn)品應(yīng)支持應(yīng)用層的訪問控制:
a)支持HTTP、FTP、TELNET等應(yīng)用的識別與訪問控制;
b)至少支持一種工業(yè)控制協(xié)議的訪問控制。
6.1.1.1.4 工業(yè)控制協(xié)議深度檢查
產(chǎn)品應(yīng)支持對工業(yè)控制協(xié)議內(nèi)容進行深度分析和訪問控制:
a)對所支持的工業(yè)控制協(xié)議進行協(xié)議規(guī)約檢查,明確拒絕不符合協(xié)議規(guī)約的訪問;
b)應(yīng)支持對工業(yè)控制協(xié)議的操作類型、操作對象、操作范圍等參數(shù)進行訪問控制;
c)若支持OPC協(xié)議:應(yīng)支持基于控制點名稱、讀寫操作等要素進行控制;
d)若支持ModbusTCP協(xié)議:應(yīng)支持基于設(shè)備ID、功能碼類型、讀寫操作、寄存器地址、控制值范圍等要素進行控制。
6.1.1.2 協(xié)議隔離
所有主客體之間發(fā)送和接收的信息流均執(zhí)行網(wǎng)絡(luò)層協(xié)議剝離,還原成應(yīng)用層數(shù)據(jù),在兩機之間以非TCP/IP的私有協(xié)議格式傳輸。
6.1.1.3 殘余信息保護
在為所有內(nèi)部或外部網(wǎng)絡(luò)上的主機連接進行資源分配時,安全功能應(yīng)保證其分配的資源中不提供以前連接活動中所產(chǎn)生的任何信息內(nèi)容。
6.1.1.4 不可旁路
在與安全有關(guān)的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機向外部網(wǎng)絡(luò)主機傳送信息等)被允許執(zhí)行之前,安全功能應(yīng)確保其通過安全功能策略的檢查。
6.1.1.5 抗攻擊
產(chǎn)品應(yīng)具備抵御SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、Pingofdeath攻擊等典型拒絕服務(wù)攻擊能力。
6.1.2 自身安全要求
6.1.2.1 標識和鑒別
6.1.2.1.1 唯一性標識
產(chǎn)品應(yīng)保證任何用戶都具有唯一的標識。
6.1.2.1.2 管理員屬性定義
產(chǎn)品應(yīng)為每個管理員規(guī)定與之相關(guān)的安全屬性,如管理員標識、鑒別信息、隸屬組、權(quán)限等,并提供使用默認值對創(chuàng)建的每個管理員的屬性進行初始化的功能。
6.1.2.1.3 基本鑒別
產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進行身份鑒別。
6.1.2.1.4 鑒別失敗處理
產(chǎn)品應(yīng)為管理員登錄設(shè)定一個授權(quán)管理員可修改的鑒別嘗試閾值,當管理員的不成功登錄嘗試超過閾值,系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進一步鑒別請求。
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳氣體滅火系統(tǒng)
二氧化碳氣體滅火系統(tǒng):二氧化碳氣體滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動氣體瓶組、電磁驅(qū)動
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲氣瓶上的