網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器(PLC) 征求意見(jiàn)稿_第1頁(yè)
網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器(PLC) 征求意見(jiàn)稿_第2頁(yè)
網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器(PLC) 征求意見(jiàn)稿_第3頁(yè)
網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器(PLC) 征求意見(jiàn)稿_第4頁(yè)
網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器(PLC) 征求意見(jiàn)稿_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2GB/TXXXXX—XXXX網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器(PLC)本文件規(guī)定了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的可編程邏輯控制器(PLC)在設(shè)備標(biāo)識(shí)安全、冗余、備份恢復(fù)與異常檢測(cè)、漏洞和惡意程序防范、預(yù)裝軟件啟動(dòng)及更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問(wèn)控制安全、日志審計(jì)安全、通信安全和數(shù)據(jù)安全等方面的安全功能要求以及安全保障要求。本文件適用于網(wǎng)絡(luò)關(guān)鍵設(shè)備可編程邏輯控制器(PLC)的研發(fā)、測(cè)試等工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T15969.1—2007可編程序控制器第1部分:通用信息GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB40050—2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求3術(shù)語(yǔ)和定義GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件??删幊踢壿嬁刂破鱬rogrammablelogiccontroller;PLC用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。系統(tǒng)用可編程的存儲(chǔ)器作為面向用戶指令的內(nèi)部寄存器,完成規(guī)定的功能,如邏輯、順序、定時(shí)、計(jì)數(shù)、運(yùn)算等,通過(guò)數(shù)字或模擬的I/O,控制各種類型的機(jī)械或過(guò)程。[來(lái)源:GB/T15969.1—2007,3.5,有修改]3.2預(yù)裝軟件pre-installedsoftware設(shè)備出廠時(shí)安裝或提供的、保障設(shè)備正常使用必需的軟件。[來(lái)源:GB40050—2021,3.10,有修改]3.3讀取read將PLC中的預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)上傳。3.43GB/TXXXXX—XXXX寫入write將預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)下傳至PLC中。3.5漏洞vulnerability可能被威脅利用的資產(chǎn)或控制的弱點(diǎn)。[來(lái)源:GB40050—2021,3.3]3.6健壯性robustness描述一個(gè)系統(tǒng)或者一個(gè)組件在無(wú)效數(shù)據(jù)輸入或者高強(qiáng)度輸入等環(huán)境下,其各項(xiàng)功能可保持正確運(yùn)行的程度。[來(lái)源:GB40050—2021,3.5]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CPU:中央處理器(CentralProcessingUnit)I/O:輸入/輸出(Input/Output)IP:網(wǎng)際互聯(lián)協(xié)議(InternetProtocol)UID:用戶標(biāo)識(shí)(UserIdentification)MD5:信息摘要算法-5(Message-DigestAlgorithm5)SHA-1:安全散列算法-1(SecureHashAlgorithm1)DES:數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard)5概述PLC基本結(jié)構(gòu)示意圖見(jiàn)圖1。PLC通常包括CPU模塊、I/O模塊、通信模塊和電源模塊,PLC還可包含其專用功能模塊(如高速計(jì)數(shù)模塊、運(yùn)動(dòng)控制模塊、密碼功能模塊等)。圖1PLC基本結(jié)構(gòu)示意圖6安全功能要求6.1設(shè)備標(biāo)識(shí)安全本項(xiàng)要求如下:4GB/TXXXXX—XXXXa)應(yīng)符合GB40050-2021中第5.1b)的規(guī)定;b)整體式PLC應(yīng)具備唯一性標(biāo)識(shí);c)模塊式PLC的CPU模塊、I/O模塊、通信模塊等主要部件模塊應(yīng)具備唯一性標(biāo)識(shí);6.2冗余、備份恢復(fù)與異常檢測(cè)本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.2b),c)的規(guī)定;b)PLC整機(jī)應(yīng)支持主備切換功能或關(guān)鍵部件(CPU模塊、通信模塊等)應(yīng)支持冗余功能,主備或冗余切換時(shí)應(yīng)不影響正常的工作狀態(tài);c)PLC整機(jī)或關(guān)鍵部件運(yùn)行狀態(tài)異常時(shí),應(yīng)支持切換到安全運(yùn)行狀態(tài)確保PLC控制功能正常。6.3漏洞和惡意程序防范本項(xiàng)要求如下:a)PLC整機(jī)、關(guān)鍵部件不應(yīng)存在已公布的漏洞,或具備補(bǔ)救措施防范漏洞安全風(fēng)險(xiǎn);b)PLC整機(jī)、關(guān)鍵部件預(yù)裝軟件、補(bǔ)丁包/升級(jí)包不應(yīng)存在惡意程序;c)PLC整機(jī)、關(guān)鍵部件不應(yīng)存在未聲明的功能和訪問(wèn)接口(含遠(yuǎn)程調(diào)試接口)。6.4預(yù)裝軟件啟動(dòng)及更新安全本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.4e)的規(guī)定;b)PLC整機(jī)、關(guān)鍵部件啟動(dòng)時(shí)應(yīng)支持對(duì)預(yù)裝軟件進(jìn)行完整性校驗(yàn)的功能,確保預(yù)裝軟件不被篡改;c)PLC整機(jī)、關(guān)鍵部件應(yīng)支持預(yù)裝軟件更新功能;d)PLC整機(jī)、關(guān)鍵部件應(yīng)具備保障軟件更新操作安全的功能,如僅限于授權(quán)用戶實(shí)施預(yù)裝軟件更新操作,支持用戶選擇或確認(rèn)是否進(jìn)行更新等;e)PLC整機(jī)、關(guān)鍵部件應(yīng)具備防范預(yù)裝軟件在更新過(guò)程中被篡改的安全功能,如采用非明文的信道傳輸更新數(shù)據(jù)、支持軟件包完整性校驗(yàn)等。6.5用戶身份標(biāo)識(shí)與鑒別本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.5c),d),e),f)的規(guī)定;b)應(yīng)具備唯一標(biāo)識(shí)用戶的能力,對(duì)PLC執(zhí)行配置文件讀取及寫入、預(yù)裝軟件更新等管理操作前,應(yīng)對(duì)用戶進(jìn)行身份鑒別;c)使用口令鑒別方式時(shí),應(yīng)支持首次管理設(shè)備時(shí)強(qiáng)制修改默認(rèn)口令或設(shè)置口令,或支持隨機(jī)的初始口令;d)應(yīng)支持設(shè)置口令生存周期;e)用戶輸入口令時(shí),不應(yīng)明文回顯口令。6.6訪問(wèn)控制安全本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.6c),d)的規(guī)定;5GB/TXXXXX—XXXXb)默認(rèn)狀態(tài)下應(yīng)僅開(kāi)啟必要的服務(wù)和對(duì)應(yīng)的端口,應(yīng)明示所有默認(rèn)開(kāi)啟的服務(wù)、對(duì)應(yīng)的端口及用途,應(yīng)支持用戶關(guān)閉除廠商聲明的保持PLC基本功能運(yùn)行的服務(wù)和端口之外,默認(rèn)開(kāi)啟的服務(wù)和對(duì)應(yīng)的端口;c)應(yīng)提供默認(rèn)狀態(tài)下保持PLC基本控制功能和通信功能的端口和服務(wù)配置,非默認(rèn)開(kāi)放的端口和服務(wù),應(yīng)在用戶知曉且同意后才可啟用。6.7日志審計(jì)安全本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.7d)的規(guī)定;b)應(yīng)支持對(duì)重要管理操作(用戶登錄等)和配置變更(項(xiàng)目文件寫入、項(xiàng)目文件讀取、預(yù)裝軟件更新等)事件進(jìn)行記錄,記錄信息應(yīng)至少包括事件的日期和時(shí)間、事件的來(lái)源(UID、設(shè)備IP地址等)、事件的結(jié)果(成功或失?。┑?;c)應(yīng)提供日志信息本地存儲(chǔ)功能,當(dāng)日志記錄存儲(chǔ)達(dá)到設(shè)定極限時(shí),應(yīng)采取告警、循環(huán)覆蓋等措施進(jìn)行日志存儲(chǔ)空間耗盡處理;d)應(yīng)支持日志信息輸出功能;e)不應(yīng)在日志中明文或采用不安全的密碼算法加密記錄口令、身份鑒別信息等敏感數(shù)據(jù)。6.8通信安全本項(xiàng)要求如下:a)應(yīng)符合GB40050-2021中第5.8a),d)的規(guī)定;b)應(yīng)滿足通信協(xié)議健壯性要求,在遭受異常報(bào)文攻擊時(shí),應(yīng)能保證控制功能正常;c)應(yīng)支持PLC與上位機(jī)、PLC之間的時(shí)間同步功能;d)應(yīng)具備抵御通信過(guò)程中身份鑒別信息重放攻擊、設(shè)備控制數(shù)據(jù)重放等常見(jiàn)重放類攻擊的能力。6.9數(shù)據(jù)安全本項(xiàng)要求如下:a)應(yīng)具備防止數(shù)據(jù)泄露、數(shù)據(jù)非授權(quán)讀取和修改的安全功能,對(duì)存儲(chǔ)在PLC整機(jī)、關(guān)鍵部件中的配置信息、項(xiàng)目工程文件、用戶口令等敏感數(shù)據(jù)信息進(jìn)行保護(hù);b)應(yīng)具備對(duì)用戶產(chǎn)生且存儲(chǔ)在PLC整機(jī)、關(guān)鍵部件中的日志、項(xiàng)目工程文件等數(shù)據(jù)進(jìn)行授權(quán)刪除的功能,支持在刪除前對(duì)該操作進(jìn)行確認(rèn)。6.10密碼要求本項(xiàng)要求應(yīng)符合GB40050-2021中5.10的規(guī)定。7安全保障要求PLC安全保障要求應(yīng)符合GB40050—2021中第6章的規(guī)定。6GB/TXXXXX—XXXX參考文獻(xiàn)[1]GB/T18

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論