2024網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器PLC

GB/TXXXXX.1—XXXX網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC）范圍本文件規(guī)定了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的可編程邏輯控制器（PLC）在設(shè)備標(biāo)識安全、冗余、備份恢復(fù)與異常檢測、漏洞和惡意程序防范、預(yù)裝軟件啟動及更新安全、用戶身份標(biāo)識與鑒別、訪問控制安全、日志審計安全、通信安全和數(shù)據(jù)安全等方面的安全功能要求以及安全保障要求。本文件適用于網(wǎng)絡(luò)關(guān)鍵設(shè)備可編程邏輯控制器（PLC）的研發(fā)、測試等工作。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15969.1—2007可編程序控制器第1部分：通用信息GB/T25069—2022信息安全技術(shù)術(shù)語GB40050—2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。3.1可編程邏輯控制器programmablelogiccontroller；PLC用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。系統(tǒng)用可編程的存儲器作為面向用戶指令的內(nèi)部寄存器，完成規(guī)定的功能，如邏輯、順序、定時、計數(shù)、運算等，通過數(shù)字或模擬的I/O，控制各種類型的機械或過程。[來源:GB/T15969.1—2007，3.5，有修改]3.2預(yù)裝軟件pre-installedsoftware設(shè)備出廠時安裝或提供的、保障設(shè)備正常使用必需的軟件。注：PLC預(yù)裝軟件通常為設(shè)備固件。[來源:GB40050—2021，3.10，有修改]3.3讀取read將PLC中的預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)上傳。3.4寫入write將預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)下傳至PLC中。3.5漏洞vulnerability可能被威脅利用的資產(chǎn)或控制的弱點。[來源:GB40050—2021，3.3]3.6健壯性robustness描述一個系統(tǒng)或者一個組件在無效數(shù)據(jù)輸入或者高強度輸入等環(huán)境下，其各項功能可保持正確運行的程度。[來源:GB40050—2021，3.5]縮略語下列縮略語適用于本文件。CPU：中央處理器（CentralProcessingUnit）I/O：輸入/輸出（Input/Output）IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）UID：用戶標(biāo)識（UserIdentification）MD5：信息摘要算法-5（Message-DigestAlgorithm5）SHA-1：安全散列算法-1（SecureHashAlgorithm1）DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）概述PLC基本結(jié)構(gòu)示意圖見圖1。PLC通常包括CPU模塊、I/O模塊、通信模塊和電源模塊，PLC還可包含其專用功能模塊（如高速計數(shù)模塊、運動控制模塊、密碼功能模塊等）。圖1PLC基本結(jié)構(gòu)示意圖安全功能要求設(shè)備標(biāo)識安全本項要求如下：a）應(yīng)符合GB40050-2021中第5.1b）的規(guī)定；b）整體式PLC應(yīng)具備唯一性標(biāo)識；c）模塊式PLC的CPU模塊、I/O模塊、通信模塊等主要部件模塊應(yīng)具備唯一性標(biāo)識；注：硬件唯一性標(biāo)識為序列號等，軟件唯一性標(biāo)識為版本號等。冗余、備份恢復(fù)與異常檢測本項要求如下：應(yīng)符合GB40050-2021中第5.2b），c）的規(guī)定；b）PLC整機應(yīng)支持主備切換功能或關(guān)鍵部件（CPU模塊、通信模塊等）應(yīng)支持冗余功能，主備或冗余切換時應(yīng)不影響正常的工作狀態(tài)；c）PLC整機或關(guān)鍵部件運行狀態(tài)異常時，應(yīng)支持切換到安全運行狀態(tài)確保PLC控制功能正常。漏洞和惡意程序防范本項要求如下：PLC整機、關(guān)鍵部件不應(yīng)存在已公布的漏洞，或具備補救措施防范漏洞安全風(fēng)險；PLC整機、關(guān)鍵部件預(yù)裝軟件、補丁包/升級包不應(yīng)存在惡意程序；PLC整機、關(guān)鍵部件不應(yīng)存在未聲明的功能和訪問接口（含遠程調(diào)試接口）。預(yù)裝軟件啟動及更新安全本項要求如下：應(yīng)符合GB40050-2021中第5.4e）的規(guī)定；b）PLC整機、關(guān)鍵部件啟動時應(yīng)支持對預(yù)裝軟件進行完整性校驗的功能，確保預(yù)裝軟件不被篡改；c）PLC整機、關(guān)鍵部件應(yīng)支持預(yù)裝軟件更新功能；d）PLC整機、關(guān)鍵部件應(yīng)具備保障軟件更新操作安全的功能，如僅限于授權(quán)用戶實施預(yù)裝軟件更新操作，支持用戶選擇或確認是否進行更新等；e)PLC整機、關(guān)鍵部件應(yīng)具備防范預(yù)裝軟件在更新過程中被篡改的安全功能，如采用非明文的信道傳輸更新數(shù)據(jù)、支持軟件包完整性校驗等。用戶身份標(biāo)識與鑒別本項要求如下：a）應(yīng)符合GB40050-2021中第5.5c），d），e），f）的規(guī)定；b）應(yīng)具備唯一標(biāo)識用戶的能力，對PLC執(zhí)行配置文件讀取及寫入、預(yù)裝軟件更新等管理操作前，應(yīng)對用戶進行身份鑒別；c）使用口令鑒別方式時，應(yīng)支持首次管理設(shè)備時強制修改默認口令或設(shè)置口令，或支持隨機的初始口令；d）應(yīng)支持設(shè)置口令生存周期；e）用戶輸入口令時，不應(yīng)明文回顯口令。訪問控制安全本項要求如下：應(yīng)符合GB40050-2021中第5.6c），d）的規(guī)定；b）默認狀態(tài)下應(yīng)僅開啟必要的服務(wù)和對應(yīng)的端口，應(yīng)明示所有默認開啟的服務(wù)、對應(yīng)的端口及用途，應(yīng)支持用戶關(guān)閉除廠商聲明的保持PLC基本功能運行的服務(wù)和端口之外，默認開啟的服務(wù)和對應(yīng)的端口；c）應(yīng)提供默認狀態(tài)下保持PLC基本控制功能和通信功能的端口和服務(wù)配置，非默認開放的端口和服務(wù)，應(yīng)在用戶知曉且同意后才可啟用。日志審計安全本項要求如下：應(yīng)符合GB40050-2021中第5.7d）的規(guī)定；b）應(yīng)支持對重要管理操作（用戶登錄等）和配置變更（項目文件寫入、項目文件讀取、預(yù)裝軟件更新等）事件進行記錄，記錄信息應(yīng)至少包括事件的日期和時間、事件的來源（UID、設(shè)備IP地址等）、事件的結(jié)果（成功或失?。┑龋籧）應(yīng)提供日志信息本地存儲功能，當(dāng)日志記錄存儲達到設(shè)定極限時，應(yīng)采取告警、循環(huán)覆蓋等措施進行日志存儲空間耗盡處理；d）應(yīng)支持日志信息輸出功能；e）不應(yīng)在日志中明文或采用不安全的密碼算法加密記錄口令、身份鑒別信息等敏感數(shù)據(jù)。注：不安全的密碼算法如MD5、SHA-1、DES等。通信安全本項要求如下：a）應(yīng)符合GB40050-2021中第5.8a），d）的規(guī)定；b）應(yīng)滿足通信協(xié)議健壯性要求，在遭受異常報文攻擊時，應(yīng)能保證控制功能正常；c）應(yīng)支持PLC與上位機、PLC之間的時間同步功能；d）應(yīng)具備抵御通信過程中身份鑒別信息重放攻擊、設(shè)備控制數(shù)據(jù)重放等常見重放類攻擊的能力。數(shù)據(jù)安全本項要求如下：a）應(yīng)具備防止數(shù)據(jù)泄露、數(shù)據(jù)非授權(quán)讀取和修改的安全功能，對存儲在PLC整機、關(guān)鍵部件中的配置信息、項目工程文件、用戶口令等敏感數(shù)據(jù)信息進行保護；b）應(yīng)具備對用戶產(chǎn)生且存儲在PLC整