《信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》

GB/TXXXXX—XXXX

工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)根據(jù)工業(yè)控制系統(tǒng)產(chǎn)品信息技術(shù)的特點(diǎn)擴(kuò)展了標(biāo)準(zhǔn)GB/T18336體系的安全功能組件和安全

保障組件，定義了適合于工業(yè)控制系統(tǒng)產(chǎn)品安全評估的通用安全功能組件和安全保障組件集合。

本標(biāo)準(zhǔn)適用于對工業(yè)控制系統(tǒng)產(chǎn)品的安全保障能力進(jìn)行評估，對于產(chǎn)品安全功能的設(shè)計、開發(fā)和測

試也可參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T18336.1-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第1部分：簡介和一般模型求

GB/T18336.2-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第2部分：安全功能要求

GB/T18336.3-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障要求

GB/T30270-2013信息技術(shù)安全技術(shù)信息技術(shù)安全性評估方法

3術(shù)語和定義

GB/T18336.1和GB/T32919標(biāo)準(zhǔn)界定的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

工業(yè)控制系統(tǒng)（ICS）industrialcontrolsystem

工業(yè)控制系統(tǒng)（ICS）是一個通用術(shù)語，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)

采集系統(tǒng)（SCADA），分布式控制系統(tǒng)（DCS），和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），

現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

3.2

監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）supervisorycontrolanddataacquisitionsystem

在工業(yè)生產(chǎn)控制過程中，對大規(guī)模遠(yuǎn)距離地理分布的資產(chǎn)和設(shè)備在廣域網(wǎng)環(huán)境下進(jìn)行集中式數(shù)據(jù)采

集與監(jiān)控管理的控制系統(tǒng)。它以計算機(jī)為基礎(chǔ)、對遠(yuǎn)程分布運(yùn)行設(shè)備進(jìn)行監(jiān)控調(diào)度，其主要功能包括數(shù)

據(jù)采集、參數(shù)測量和調(diào)節(jié)、信號報警等。SCADA系統(tǒng)一般由設(shè)在控制中心的主終端控制單元（MTU）、通

信線路和設(shè)備、遠(yuǎn)程終端單元（RTU）等組成。

3.3

分布式控制系統(tǒng)（DCS）distributioncontrolsystem

1

GB/TXXXXX—XXXX

以計算機(jī)為基礎(chǔ)，在系統(tǒng)內(nèi)部（單位內(nèi)部）對生產(chǎn)過程進(jìn)行分布控制、集中管理的系統(tǒng)。DCS系統(tǒng)

一般包括現(xiàn)場控制級、控制管理級兩個層次，現(xiàn)場控制級主要是對單個子過程進(jìn)行控制，控制管理級主

要是對多個分散的子過程進(jìn)行數(shù)據(jù)采集、集中顯示、統(tǒng)一調(diào)度和管理。

3.4

可編程邏輯控制器（PLC）programmablelogiccontroller

采用可編程存儲器，通過數(shù)字運(yùn)算操作對工業(yè)生產(chǎn)裝備進(jìn)行控制的電子設(shè)備。PLC主要執(zhí)行各類運(yùn)

算、順序控制、定時等指令，用于控制工業(yè)生產(chǎn)裝備的動作，是工業(yè)控制系統(tǒng)的基礎(chǔ)單元

4縮略語

GB/T18336系列標(biāo)準(zhǔn)界定的以及下列縮略語適用于本標(biāo)準(zhǔn)。

ICSIndustryControlSystem工業(yè)控制系統(tǒng)

PLCProgrammableLogicController可編程邏輯控制器

DCSDistributedControlSystem分布式控制系統(tǒng)

HMIHumanMachineInterface人機(jī)界面

RTURemoteTerminalUnit遠(yuǎn)程終端單元

ETREvaluationTechnicalReport評估技術(shù)報告

5概述

5.1評估對象（TOE）

本標(biāo)準(zhǔn)適用于具有信息技術(shù)的工業(yè)控制系統(tǒng)產(chǎn)品，產(chǎn)品類型包括但不限于：

a）ICS控制組件：可編程控制器（PLC）、分布式控制系統(tǒng)（DCS）、遠(yuǎn)程終端單元（RTU）、人機(jī)

交互應(yīng)用軟件（HMI）等；

b）ICS網(wǎng)絡(luò)組件：工業(yè)防火墻、網(wǎng)閘、主機(jī)防護(hù)設(shè)備、監(jiān)測審計設(shè)備等；

評估對象（TOE）被定義為一組可能包含指南的軟件、固件和/或硬件的集合。TOE的定義較靈活，

未局限于公共理解的工業(yè)控制系統(tǒng)產(chǎn)品，TOE可以是一個產(chǎn)品、一個產(chǎn)品的一部分、一種不可能形成產(chǎn)

品的獨(dú)特技術(shù)等。因此對于TOE的范圍確定尤為重要，對TOE只包含產(chǎn)品某部分的評估不應(yīng)該與整個產(chǎn)品

的評估相混淆。對于產(chǎn)品不涉及信息技術(shù)的部分可以不納入評估范圍，如對于未采用信息技術(shù)的工業(yè)控

制系統(tǒng)的傳感器、執(zhí)行器等產(chǎn)品是不適合作為評估對象的。

對于存在多種方法配置的產(chǎn)品，如以不同的方法安裝、使用不同的啟用或禁用選項等，應(yīng)明確TOE

的安全配置，其中每種配置必須滿足TOE的指定要求，并寫入TOE指南性文檔，TOE指南（僅允許一種配

置或者在安全相關(guān)方面沒有不同的配置）通常與產(chǎn)品指南（允許多種配置）有所不同。

5.2本標(biāo)準(zhǔn)目標(biāo)讀者及適用范圍

本標(biāo)準(zhǔn)適用于ICS產(chǎn)品的開發(fā)者和評估者。

ICS產(chǎn)品開發(fā)者在確定TOE范圍及預(yù)期應(yīng)用環(huán)境后，對TOE進(jìn)行安全問題定義，明確TOE安全目的和運(yùn)

行環(huán)境安全目的，并標(biāo)識TOE應(yīng)滿足的安全要求，這些安全要求包含在一個與實(shí)現(xiàn)相關(guān)的安全目標(biāo)（ST）

文檔中，開發(fā)者依據(jù)本標(biāo)準(zhǔn)定義的評估保障等級要求提供相關(guān)的證據(jù)給評估者。

TOE評估者依據(jù)開發(fā)者提供的ST文檔評估確定TOE和運(yùn)行環(huán)境的充分性，也即TOE安全目的和運(yùn)行環(huán)

境安全目的足以對抗威脅。評估者依據(jù)開發(fā)者提供的評估證據(jù)評估TOE的正確性，為確定TOE的正確性，

2

GB/TXXXXX—XXXX

可以執(zhí)行的評估活動包括測試（獨(dú)立性測試和穿透性測試）、檢查TOE的各種設(shè)計表示、檢查TOE開發(fā)環(huán)

境的安全等。

本標(biāo)準(zhǔn)的適用范圍包含從產(chǎn)品安全需求分析開始到產(chǎn)品生命周期中的交付處理階段（即截止到產(chǎn)品

從開發(fā)者安全交付到使用者手中）。產(chǎn)品在系統(tǒng)集成階段和運(yùn)營階段的安全屬性不在本標(biāo)準(zhǔn)的評估范圍

內(nèi)，該階段的部分安全屬性可通過運(yùn)行環(huán)境安全目的來表述。

5.3本標(biāo)準(zhǔn)與GB/T18336和GB/T30270的關(guān)系

GB/T18336標(biāo)準(zhǔn)針對安全評估中的信息技術(shù)（IT）產(chǎn)品的安全功能及其安全保障措施提供了一套通

用要求，GB/T30270標(biāo)準(zhǔn)提出了依據(jù)GB/T18336進(jìn)行信息技術(shù)安全評估時的評估方法。本標(biāo)準(zhǔn)以GB/T

18336和GB/T30270標(biāo)準(zhǔn)作為基本依據(jù)，根據(jù)ICS產(chǎn)品自身的顯著特點(diǎn)及應(yīng)用環(huán)境的特殊性對GB/T

18336.2部分的安全功能組件和GB/T18336.3部分的安全保障組件進(jìn)行了擴(kuò)展，并提出適用于ICS產(chǎn)品的

通用技術(shù)要求及評估準(zhǔn)則。

GB/T18336.1部分的一般模型、剪裁安全要求、保護(hù)輪廓（PP）和安全目標(biāo)（ST）的概念適用于本

標(biāo)準(zhǔn)，其內(nèi)容不在本標(biāo)準(zhǔn)內(nèi)累述。

GB/T18336.2部分和GB/T18336.3部分被重用的安全功能組件和安全保障組件適用于本標(biāo)準(zhǔn)，其內(nèi)

容不再本標(biāo)準(zhǔn)內(nèi)累述。

6擴(kuò)展組件定義

ICS產(chǎn)品與傳統(tǒng)IT產(chǎn)品相比，在物理環(huán)境、網(wǎng)絡(luò)環(huán)境、性能要求及防護(hù)策略等方面存在很多的差異

（參見附錄A），本部分針對既有GB/T18336.2安全功能組件和GB/T18336.3安全保障組件不能充分解

釋ICS產(chǎn)品安全目的時，對組件進(jìn)行了擴(kuò)展和重新定義，擴(kuò)展和重定義組件在組件名稱后加上“_EXT”表

示。

6.1安全組件擴(kuò)展列表

安全功能組件擴(kuò)展如表1所示：

表1安全功能擴(kuò)展組件列表

安全功能類組件標(biāo)識符組件名稱

FAU_SAA_EXT.5基本白名單策略的異常檢測

FAU類：安全審計FAU_SAA_EXT.6工業(yè)控制通信協(xié)議解析

FAU_SAR_EXT.4審計數(shù)據(jù)報送

FDP_IDP_EXT.1輸入數(shù)據(jù)驗(yàn)證

FDP_IDP_EXT.2輸入數(shù)據(jù)雙重確認(rèn)

FDP_SDI_EXT.1軟件/固件和信息完整性

FDP_SDC_EXT.1存儲數(shù)據(jù)保密性

FDP類：用戶數(shù)據(jù)保護(hù)

FDP_DTI_EXT.1TOE與外部實(shí)體傳送數(shù)據(jù)完整性

FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

FDP_DTC_EXT.1TOE與外部實(shí)體傳送數(shù)據(jù)保密性

FDP_DTC_EXT.2TOE內(nèi)部傳送數(shù)據(jù)保密性

FIA_UAU_EXT.1外部實(shí)體鑒別

FIA類：標(biāo)識和鑒別

FIA_UID_EXT.3唯一性標(biāo)識

3

GB/TXXXXX—XXXX

FPT_PHP_EXT.4物理環(huán)境要求

FPT_PHP_EXT.5物理篡改防護(hù)

FPT類：TSF保護(hù)

FPT_FLS_EXT.2確定性輸出

FPT_STM_EXT.2時間同步

FRU類：資源利用FRU_RUB_EXT.1數(shù)據(jù)備份

安全保障組件擴(kuò)展如表2所示：

表2安全保障擴(kuò)展組件列表

安全保障類組件標(biāo)識符組件名稱

ATE_TES_EXT.1測試人員

ATE類：測試

ATE_TES_EXT.2獨(dú)立的測試人員

6.2安全功能組件擴(kuò)展定義

6.2.1安全審計分析（FAU_SAA）

類別

所屬類別為GB/T18336.2中定義的FAU類：安全審計。

族行為

本族定義了一些采用自動化手段分析系統(tǒng)活動和審計數(shù)據(jù)以尋找可能的或真正的安全侵害的要求。

這種分析通過入侵檢測來實(shí)現(xiàn)，或?qū)撛诘陌踩趾ψ鞒鲎詣禹憫?yīng)。

基于檢測而采取的動作，可用FAU_ARP“安全審計自動響應(yīng)”族來規(guī)范。

ICS的基于白名單的監(jiān)視探測保護(hù)策略與原有的“基于輪廓的異常檢測”不同，其內(nèi)容不僅包含用

戶操作行為，還包括進(jìn)程、信息流等其他實(shí)體，故擴(kuò)展了組件FAU_SAA_EXE.5“基于白名單策略的異常

監(jiān)測”?；贗CS狀態(tài)數(shù)據(jù)和通信數(shù)據(jù)進(jìn)行行為分析前，需要對工業(yè)控制協(xié)議進(jìn)行解析，本族擴(kuò)展了組

件FAU_SAA_EXT.6“工業(yè)控制通信協(xié)議解析”。

組件層次

FAU_SAA_EXT.5“基于白名單策略的異常監(jiān)測”，提供基于信任列表的對異常行為進(jìn)行監(jiān)測的能力。

FAU_SAA_EXT.6“工業(yè)控制通信協(xié)議解析”，要求具備解析工業(yè)控制通信協(xié)議的能力。

FAU_SAA_EXT.5管理

FMT中的管理功能可考慮下列行為：

對信任列表的維護(hù)（添加、修改、刪除）。

FAU_SAA_EXT.6管理

尚無預(yù)見的管理活動。

FAU_SAA_EXT.5審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a）最小級：開啟和關(guān)閉任何分析機(jī)制；

b）最小級：通過工具軟件實(shí)現(xiàn)自動響應(yīng)。

4

GB/TXXXXX—XXXX

FAU_SAA_EXT.6審計

尚無預(yù)見的可審計事件。

FAU_SAA_EXT.5基于白名單策略的異常檢測

從屬于：無其他組件。

依賴關(guān)系：無

.1FAU_SAA_EXT.5.1

TSF應(yīng)能定義和維護(hù)基于[賦值：被信任的實(shí)體]的信任列表，并基于該信任列表監(jiān)測自身或被保護(hù)

對象的行為，一旦檢測到異常，應(yīng)采取[賦值：動作列表]。

應(yīng)用說明：

a)被信任的實(shí)體可以是系統(tǒng)進(jìn)程、用戶組、信息流特征等；

b)動作列表可以賦值無。

FAU_SAA_EXT.6工業(yè)控制通信協(xié)議解析

從屬于：無其他組件。

依賴關(guān)系：無。

.1FAU_SAA_EXT.6.1

TSF應(yīng)支持[賦值：工業(yè)控制通信協(xié)議名稱]的解析，解析協(xié)議的深度包括[選擇：工業(yè)控制協(xié)議的

協(xié)議名稱、指令格式、指令類型和指令參數(shù)、[賦值：其他參數(shù)]]。

應(yīng)用說明：

a)常見的工控以太網(wǎng)協(xié)議包括（但不限于）Modbus/TCP協(xié)議、OPCClassic協(xié)議、DNP3.0協(xié)議、

SIEMENSS7協(xié)議、EtherNet/IP協(xié)議等；互聯(lián)網(wǎng)協(xié)議主要包括（但不限于）HTTP、FTP、TELNET、

SNMP等協(xié)議。除上述網(wǎng)絡(luò)外，還可以支持串行總線網(wǎng)絡(luò)、工業(yè)無線網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)等與TCP/IP

網(wǎng)絡(luò)技術(shù)不同的協(xié)議；

b)賦值協(xié)議名稱可以是一種或多種；

c)選擇可以選擇一個或多個。

6.2.2安全審計查閱（FAU_SAR）

類別

所屬類別為GB/T18336.2中定義的FAU類：安全審計。

族行為

本族定義了一些有關(guān)審計工具的要求，授權(quán)用戶可使用這些審計工具查閱審計數(shù)據(jù)。

由于部分ICS產(chǎn)品存儲和處理能力有限，可采用集中審計模式，本族擴(kuò)展了FAU_SAR_EXT.4“審計

數(shù)據(jù)報送”組件。

組件層次

FAU_SAR_EXT.4“審計數(shù)據(jù)報送”，TSF可將審計發(fā)數(shù)據(jù)報送給其他設(shè)備。

FAU_SAR_EXT.4管理

5

GB/TXXXXX—XXXX

FMT中的管理功能可考慮下列行為：

a)維護(hù)（刪除、修改、添加）接受報送審計數(shù)據(jù)的設(shè)備組；

b)維護(hù)根據(jù)審計數(shù)據(jù)屬性過濾需要發(fā)送的審計數(shù)據(jù)。

FAU_SAR_EXT.4審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a)基本級：審計數(shù)據(jù)報送的失敗動作。

FAU_SAR_EXT.4審計數(shù)據(jù)報送

從屬于：無其他組件。

依賴關(guān)系：FTP_ITC.1可信信道。

.1FAU_SAR_EXT.4.1

TSF應(yīng)能夠提供以工業(yè)標(biāo)準(zhǔn)格式實(shí)時將自身審計記錄通過可信信道報送給其他設(shè)備，進(jìn)行更高級別

的審計。

應(yīng)用說明：

a)有些嵌入式設(shè)備的審計信息存儲容量是有限的，宜從系統(tǒng)層面使用工具對系統(tǒng)范圍內(nèi)所有設(shè)備

和主機(jī)的審計記錄進(jìn)行過濾和分析，設(shè)備的審計信息格式應(yīng)該是統(tǒng)一的。

6.2.3輸入數(shù)據(jù)保護(hù)（FDP_IDP_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護(hù)。

族行為

本族為擴(kuò)展的FDP_IDP族，以描述TOE關(guān)鍵數(shù)據(jù)安全功能的保護(hù)能力。要求對輸入到TOE的關(guān)鍵數(shù)據(jù)

或動作進(jìn)行輸入內(nèi)容和語法的合法性、安全性進(jìn)行驗(yàn)證，并對關(guān)鍵操作執(zhí)行雙重批準(zhǔn)確認(rèn)。

組件層次

FDP_IDP.EXT.1“輸入數(shù)據(jù)驗(yàn)證”，要求檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE

應(yīng)采取相關(guān)的動作。

FDP_IDP.EXT.2“輸入數(shù)據(jù)雙重確認(rèn)”，要求對輸入到TOE的關(guān)鍵數(shù)據(jù)或動作執(zhí)行雙重確認(rèn)操作。

FDP_IDP_EXT.1管理

FMT中的管理功能可考慮下列行為：

a)對行為的管理（添加、刪除或修改）

FDP_IDP_EXT.2管理

尚無預(yù)見的管理活動。

FDP_IDP_EXT.1審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a)最小級：檢測到錯誤后而采取的動作。

6

GB/TXXXXX—XXXX

FDP_IDP_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a)最小級：雙重確認(rèn)的成功執(zhí)行；

b)基本級：雙重確認(rèn)的未成功執(zhí)行。

FDP_IDP.EXT.1輸入數(shù)據(jù)驗(yàn)證

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_IDP_EXT.1.1

TOE應(yīng)檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE應(yīng)采取相關(guān)的動作[賦值：動作列

表]。

應(yīng)用說明：

a)輸入信息包括但不限于應(yīng)用輸入（如I/O輸入或其他傳輸設(shè)備傳輸?shù)臄?shù)據(jù)）和參數(shù)配置（如授

權(quán)人員通過配置界面/控制面板輸入的參數(shù)）；

b)系統(tǒng)輸入信息的檢測包括超出預(yù)定義字段值的范圍、無效字符、缺失或不完整的數(shù)據(jù)和緩沖區(qū)

溢出等。

FDP_IDP_EXT.2輸入數(shù)據(jù)雙重確認(rèn)

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_IDP_EXT.2.1

TOE應(yīng)對輸入到TOE的關(guān)鍵數(shù)據(jù)或動作執(zhí)行雙重確認(rèn)操作。

應(yīng)用說明：

a)當(dāng)需要很高級別可靠性和正確性執(zhí)行的操作時，限制雙重確認(rèn)是一個普遍接受的良好實(shí)踐；

b)要求雙重批準(zhǔn)強(qiáng)調(diào)正確操作失敗所導(dǎo)致后果的嚴(yán)重性。如對關(guān)鍵工業(yè)工程的設(shè)定值進(jìn)行改變或

緊急關(guān)停裝置等。

6.2.4存儲數(shù)據(jù)的完整性（FDP_SDI）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護(hù)。

族行為

本族將存儲數(shù)據(jù)的完整性擴(kuò)展到了固件、可執(zhí)行代碼等在初始啟動階段、運(yùn)行階段或更新階段的完

整性保護(hù)。

組件層次

FDP_SDI_EXT.1“軟件/固件和信息完整性”，要求TOE在初始階段、運(yùn)行階段或更新階段可以對固

件、可執(zhí)行代碼、關(guān)鍵配置數(shù)據(jù)等的完整性錯誤進(jìn)行檢測。

FDP_SDI_EXT.1管理

7

GB/TXXXXX—XXXX

尚無預(yù)見的管理活動。

FDP_SDI_EXT.1審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a）最小級：檢查數(shù)據(jù)/固件/代碼完整性的成功嘗試，包括檢測的結(jié)果；

b）基本級：檢查數(shù)據(jù)/固件/代碼的所有嘗試，如果成功的話，還包括加測的結(jié)果；

c）詳細(xì)級：出現(xiàn)的完整性錯誤的類型。

FDP_SDI_EXT.1軟件/固件和信息完整性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_DSI.EXT.1.1

TOE應(yīng)在[選擇：初始化啟動、正常運(yùn)行期間、代碼/固件更新]時，對TOE[選擇：關(guān)鍵配置數(shù)據(jù)、

可執(zhí)行代碼、固件]的未授權(quán)修改、刪除或插入等完整性錯誤進(jìn)行檢測。

.2FDP_DSI.EXT.1.2

當(dāng)檢測到完整性錯誤后，TOE應(yīng)采取相關(guān)的動作[賦值：動作列表]。

應(yīng)用說明：

a)本要求針對當(dāng)存儲數(shù)據(jù)、軟件/固件被未授權(quán)更改后的檢測和防護(hù)；

b)更新中檢測到加載的不是廠商授權(quán)版本情況應(yīng)進(jìn)行防護(hù)。

6.2.5存儲數(shù)據(jù)的保密性（FDP_SDC_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護(hù)。

族行為

本族為擴(kuò)展的FDP_SDC族，以描述TSF可保護(hù)敏感數(shù)據(jù)安全的能力。規(guī)定了存儲數(shù)據(jù)的保密性，如鑒

別數(shù)據(jù)、密鑰、證書、關(guān)鍵配置等敏感數(shù)據(jù)。

組件層次

FDP_SDC.EXT.1“存儲數(shù)據(jù)的保密性”，要求有能力保護(hù)存儲在TOE中的敏感數(shù)據(jù)不被未授權(quán)泄露。

FDP_SDC_EXT.1管理

尚無預(yù)見的管理活動。

FDP_SDC_EXT.1審計

尚無預(yù)見的審計活動。

FDP_SDC_EXT.1存儲數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

8

GB/TXXXXX—XXXX

.1FDP_SDC_EXT.1.1

TSF應(yīng)具備能力保護(hù)存儲在TSF中的敏感數(shù)據(jù)不被未授權(quán)泄露。

應(yīng)用說明：保密性機(jī)制可以采取非明文或加密存儲等。

6.2.6數(shù)據(jù)傳輸完整性（FDP_DTI_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護(hù)。

族行為

本族為擴(kuò)展的FDP_DTI族，確保數(shù)據(jù)在TOE內(nèi)部及TOE與外部實(shí)體之間傳送時不被非法篡改，數(shù)據(jù)的

錯誤傳輸對ICS系統(tǒng)基本功能的運(yùn)行會產(chǎn)生嚴(yán)重影響，TOE應(yīng)能提供數(shù)據(jù)完整性保護(hù)及驗(yàn)證數(shù)據(jù)完整性的

能力。

組件層次

FDP_DTI_EXT.1“TOE與外部實(shí)體傳送數(shù)據(jù)完整性”，TOE應(yīng)在與外部實(shí)體之間發(fā)送及接收數(shù)據(jù)時提

供數(shù)據(jù)完整性保護(hù)的能力。

FDP_DTI_EXT.2“TOE內(nèi)部傳送數(shù)據(jù)完整性”，TOE應(yīng)在內(nèi)部發(fā)送和接收數(shù)據(jù)時提供數(shù)據(jù)完整性保護(hù)

的能力。

FDP_DTI_EXT.1、FDP_DTI_EXT.2管理

尚無預(yù)見的管理活動。

FDP_DTI_EXT.1、FDP_DTI_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a）最小級：數(shù)據(jù)傳輸失敗的記錄。

FDP_DTI_EXT.1TOE與外部實(shí)體傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_DTI_EXT.1.1

當(dāng)TOE傳送[賦值：數(shù)據(jù)類型]到[賦值：外部實(shí)體]時，TOE應(yīng)能對所傳送數(shù)據(jù)進(jìn)行完整性保護(hù)（如

采用校驗(yàn)碼或密碼算法等）。

.2FDP_DTI_EXT.1.2

當(dāng)TOE接收[賦值：外部實(shí)體]傳送數(shù)據(jù)時，TOE應(yīng)能檢測所傳送數(shù)據(jù)的修改、替換、重排、重放、

刪除、延遲等完整性錯誤，當(dāng)檢測到完整性錯誤后，TOE應(yīng)采取相應(yīng)的動作[賦值：動作列表]。

應(yīng)用說明：

a)賦值數(shù)據(jù)類型，如鑒別數(shù)據(jù)、控制數(shù)據(jù)等；

b)賦值與TOE通信的外部實(shí)體，如果有多個，應(yīng)進(jìn)行識別，然后分別進(jìn)行描述；

c)賦值動作列表，如丟棄接收到的錯誤數(shù)據(jù)等。

9

GB/TXXXXX—XXXX

FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

FDP_DTI_EXT.2管理

尚無預(yù)見的管理活動。

FDP_DTI_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a）最小級：數(shù)據(jù)傳輸失敗的記錄。

0FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

0.1FDP_DTI_EXT.2

TOE應(yīng)能檢測在TOE內(nèi)部不同部分間傳送數(shù)據(jù)的[選擇：修改、替換、重排、重放、刪除、延遲]等

完整性錯誤，當(dāng)檢測到完整性錯誤后，TOE應(yīng)采取相關(guān)的動作[賦值：動作列表]。

應(yīng)用說明：

a)選擇一個或多個完整性錯誤類型，根據(jù)實(shí)體情況來定，如果TOE屬于分布式，兩個部分位于不

同的地方，應(yīng)考慮全面的完整性錯誤類型；

b)賦值動作列表，如丟棄接收到的錯誤數(shù)據(jù)等。

6.2.7數(shù)據(jù)傳輸保密性（FDP_DTC_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護(hù)。

族行為

本族規(guī)定了傳輸數(shù)據(jù)的保密性，防止未授權(quán)的通信數(shù)據(jù)竊聽，主要針對敏感數(shù)據(jù)（如鑒別數(shù)據(jù)、密

鑰、安全配置等）和系統(tǒng)重要的應(yīng)用通信數(shù)據(jù)（如控制參數(shù)等）。

組件層次

FDP_DTC_EXT.1“TOE與外部實(shí)體傳送數(shù)據(jù)保密性”，TOE應(yīng)在與外部實(shí)體之間發(fā)送及接收數(shù)據(jù)時提

供數(shù)據(jù)保密性保護(hù)的能力。

FDP_DTC_EXT.2“TOE內(nèi)部傳送數(shù)據(jù)保密性”，TOE應(yīng)在內(nèi)部發(fā)送和接收數(shù)據(jù)時提供數(shù)據(jù)保密性保護(hù)

的能力。

FDP_DTC_EXT.1、FDP_DTC_EXT.2管理

尚無預(yù)見的管理活動。

FDP_DTC_EXT.1、FDP_DTC_EXT.2審計

尚無預(yù)見的可審計事件。

10

GB/TXXXXX—XXXX

FDP_DTC_EXT.1TOE與外部實(shí)體傳送數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_DTC_EXT.1.1

當(dāng)TOE與[賦值：外部實(shí)體]傳送[賦值：數(shù)據(jù)類型]時，TOE應(yīng)具備能力保護(hù)傳送數(shù)據(jù)免遭未授權(quán)泄

露（如對傳送數(shù)據(jù)進(jìn)行加密防護(hù)等）。

應(yīng)用說明：

a)賦值與TOE通信的外部實(shí)體，如果有多個，應(yīng)進(jìn)行識別，然后分別進(jìn)行描述；

b)本要求指通信應(yīng)用層的加密防護(hù)，而FTP_ITC.1可信信道側(cè)重傳輸層的加密防護(hù)。

FDP_DTC_EXT.2TOE內(nèi)部傳送數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FDP_DTC_EXT.2.1

TOE應(yīng)保護(hù)敏感數(shù)據(jù)在TOE不同部分間傳送時不被泄露。

應(yīng)用說明：

a)TOE的不同部分物理上可以在一起或不在一起（如分布式）；

b)可以采取加密傳輸或可信信道。

6.2.8用戶標(biāo)識（FIA_UID）

類別

所屬類別為GB/T18336.2中定義的FIA類：標(biāo)識和鑒別。

族行為

本族定義了在執(zhí)行任何其他有TSF促成的、且需要用戶標(biāo)識的動作前，要求用戶標(biāo)識其身份的條件。

對于訪問TOE的外部實(shí)體標(biāo)識應(yīng)具備唯一性，本族擴(kuò)展了FIA_UID_EXT.3“唯一性標(biāo)識”組件。

組件層次

FIA_UID_EXT.3“唯一性標(biāo)識”，TOE應(yīng)在對外接口提供唯一性標(biāo)識用戶的能力。

FIA_UID_EXT.3管理

尚無預(yù)見的管理活動。

FIA_UID_EXT.3審計

尚無預(yù)見的審計活動。

FIA_UID_EXT.3唯一性標(biāo)識

從屬于：無其他組件。

依賴關(guān)系：無。

11

GB/TXXXXX—XXXX

.1FIA_UID_EXT.3.1

TSF應(yīng)在對外接口提供唯一性標(biāo)識用戶（人員、軟件進(jìn)程和設(shè)備）的能力。

用戶說明：TOE應(yīng)對外部接口用戶提供標(biāo)識，如遠(yuǎn)程網(wǎng)絡(luò)接口、上位機(jī)控制進(jìn)程等，典型的標(biāo)識方

式如設(shè)備的ID、MAC地址、用戶ID等，如有些不能進(jìn)行的標(biāo)識的實(shí)體應(yīng)進(jìn)行說明。

6.2.9用戶鑒別（FIA_UAU）

類別

所屬類別為GB/T18336.2中定義的FIA類：標(biāo)識和鑒別。

族行為

本族在既有組件的基礎(chǔ)上，重新定義了外部實(shí)體在允許訪問TOE之前需滿足的行為活動。開發(fā)者必

須制定所有外部實(shí)體列表（人員、軟件進(jìn)程或設(shè)備等），并在通信前通過對任何請求訪問TOE的外部實(shí)

體進(jìn)行身份驗(yàn)證來保護(hù)TOE，任何請求訪問TOE的外部實(shí)體，須在驗(yàn)證身份后才能激活通信。

組件層次

FIA_UAU_EXT.1“外部實(shí)體鑒別”，外部實(shí)體在被鑒別前可執(zhí)行部分由TOE促成的動作列表，但若

執(zhí)行任何其他由TOE促成的動作前，必須成功被鑒別。

FIA_UAU_EXT.1管理

尚無預(yù)見的管理活動。

FIA_UAU_EXT.1審計

尚無預(yù)見的審計活動。

FIA_UAU_EXT.1外部實(shí)體鑒別

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FIA_UAU_EXT.1.1

在外部實(shí)體[選擇：人員、軟件進(jìn)程、設(shè)備]被鑒別前，TOE應(yīng)允許執(zhí)行代表外部實(shí)體的[賦值：由

TOE促成的動作列表]。

.2FIA_UAU_EXT.1.2

在允許執(zhí)行代表該外部實(shí)體的任何其它由TOE促成的動作前，TOE應(yīng)要求每個外部實(shí)體都已被

成功鑒別。

應(yīng)用說明：

a)賦值動作列表可以填無或允許的動作列表；

b)應(yīng)分析和分類所有通過TOE外部接口與TOE進(jìn)行交互的外部實(shí)體，分別對這些外部實(shí)體的鑒別

進(jìn)行說明。

6.2.10TSF物理保護(hù)（FPT_PHP）

類別

12

GB/TXXXXX—XXXX

所屬類別為GB/T18336.2中定義的FPT類：TSF保護(hù)。

族行為

TSF物理保護(hù)組件涉及限制對TSF進(jìn)行未授權(quán)的物理訪問，以及阻止和抵抗對TSF進(jìn)行未授權(quán)的物理

修改或替換。

本族中組件的要求確保了TSF不被物理侵害和干擾。若滿足了這些組件要求，TSF就可以被封裝起來

使用，并可檢測出物理侵害或抵抗物理侵害。如果沒有這些組件，在物理性損害無法避免的環(huán)境中，TSF

的保護(hù)功能就會失效。關(guān)于TSF如何對物理侵害嘗試作出反應(yīng)，本族也提供了要求。

為實(shí)現(xiàn)適應(yīng)ICS現(xiàn)場環(huán)境對TOE的要求，擴(kuò)展了FPT_PHP_EXT.4“物理環(huán)境要求”，F(xiàn)PT_PHP_EXT.5

“物理篡改防護(hù)”。

組件層次

FPT_PHP_EXT.4“物理環(huán)境要求”，規(guī)定了TOE設(shè)備在ICS中應(yīng)滿足的物理環(huán)境指標(biāo)要求。

FPT_PHP_EXT.5“物理篡改防護(hù)”，規(guī)定了TOE設(shè)備可以通過封裝和設(shè)計使得難以進(jìn)行物理篡改。

FPT_PHP_EXT.4、FPT_PHP_EXT.5管理

尚無預(yù)見的管理活動。

FPT_PHP_EXT.4、FPT_PHP_EXT.5審計

尚無預(yù)見的可審計事件。

FPT_PHP_EXT.4物理環(huán)境要求

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FPT_PHP_EXT.4.1

TSF應(yīng)具備符合下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]中規(guī)定的[賦值：物理侵害類型]的[賦值：度量或等級]

的防護(hù)能力。

應(yīng)用說明：

a)不同行業(yè)有不同的針對物理環(huán)境的要求，應(yīng)賦值具體的標(biāo)準(zhǔn)，如標(biāo)準(zhǔn)GB/T17626等；

b)物理侵害類型可以包含電磁輻射、抗浪涌（沖擊）、高低溫、化學(xué)品侵害、IP防護(hù)等等；

c)針對每種物理侵害有些標(biāo)準(zhǔn)會規(guī)定不同的防護(hù)等級。

FPT_PHP_EXT.5物理篡改防護(hù)

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FPT_PHP_EXT.5.1

TOE應(yīng)針對未授權(quán)的物理破壞提供物理防篡改的機(jī)制。

應(yīng)用說明：防篡改機(jī)制可以防止攻擊者對TOE進(jìn)行未授權(quán)的物理訪問，防篡改機(jī)制可以通過使用特

殊材料或設(shè)計來實(shí)現(xiàn)來實(shí)現(xiàn)，如封裝、鎖閉等。

6.2.11失效保護(hù)（FPT_FLS）

13

GB/TXXXXX—XXXX

類別

所屬類別為GB/T18336.2中定義的FPT類：TSF保護(hù)。

族行為

本族要求確保當(dāng)TSF中已確定的失效類型出現(xiàn)時，該TOE總是執(zhí)行它的SFR。在ICS中，當(dāng)TOE失效后

應(yīng)當(dāng)以不影響ICS系統(tǒng)自身的功能安全為首要目標(biāo)，因此是否繼續(xù)維持執(zhí)行SFR應(yīng)當(dāng)根據(jù)具體情況進(jìn)行分

析。本族擴(kuò)展了組件FPT_FLS_EXT.2“確定性輸出”。

組件層次

FPT_FLS_EXT.2“確定性輸出”，要求在受到攻擊或TOE失效后正常操作不能保持時，設(shè)定輸出為預(yù)

定義狀態(tài)的能力。

FPT_FLS_EXT.2管理

FMT中的管理功能可考慮下列行為：

a）對預(yù)定義狀態(tài)的管理（添加、刪除或修改）。

FPT_FLS_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a)基本級：TOE失效。

FPT_FLS_EXT.2確定性輸出

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FPT_FLS_EXT.2.1

TOE在受到攻擊或失效后，如果不能維持正常操作，應(yīng)輸出預(yù)先設(shè)定的安全狀態(tài)，該狀態(tài)的輸出

應(yīng)考慮TOE在工業(yè)控制系統(tǒng)中的應(yīng)用，不應(yīng)對工業(yè)控制系統(tǒng)的安全性和可用性造成影響。

應(yīng)用說明：

a)失效類型可以包括硬件故障、軟件故障、斷電等；

b)預(yù)先設(shè)定的失敗狀態(tài)由開發(fā)者根據(jù)工業(yè)控制系統(tǒng)應(yīng)用環(huán)境定義，如輸出保持某一狀態(tài)或某一固

定值等。示例，如工業(yè)防火墻失效后輸出導(dǎo)通狀態(tài)或阻斷狀態(tài)等。

6.2.12時間戳（FPT_STM）

類別

所屬類別為GB/T18336.2中定義的FPT類：TSF保護(hù)。

族行為

本族對一個TOE內(nèi)可靠的時間戳功能提出要求，ICS系統(tǒng)的正常運(yùn)行大部分依靠時間同步服務(wù)器來同

步時間，如果時間同步失敗，會影響系統(tǒng)的正常運(yùn)行，本族擴(kuò)展了組件FPT_STM_EXT.2“時間同步”。

組件層次

FPT_STM_EXT.2“時間同步”,TOE應(yīng)提供可靠的時間戳，并可實(shí)現(xiàn)時鐘同步功能。

14

GB/TXXXXX—XXXX

FPT_STM_EXT.2管理

尚無預(yù)見的管理活動。

FPT_STM_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應(yīng)是可審計的：

a)基本級：時間同步失??；

b)基本級：時間源被篡改。

FPT_STM_EXT.2時間同步

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FPT_STM_EXT.2.1

TOE應(yīng)具備同步TOE內(nèi)部各部分系統(tǒng)時鐘的能力，并提供統(tǒng)一的時間基準(zhǔn)。

.2FPT_STM_EXT.2.2

TOE應(yīng)保護(hù)時間源防止非授權(quán)改動，一旦改動則生成審計事件。

應(yīng)用說明：ICS系統(tǒng)通常具備統(tǒng)一的時鐘源，各部分的通信需要時間同步,因此TOE應(yīng)確保時間同

步的能力。

6.2.13資源備份（FRU_RUB_EXT）

類別

所屬類別為GB/T18336.2中定義的FRU類：資源利用。

族行為

本族為擴(kuò)展的FIA_RUB族，要求TOE設(shè)備應(yīng)在不影響正常設(shè)備使用的前提下，提供關(guān)鍵文件的識別和

定位，以及信息備份（包括系統(tǒng)狀態(tài)信息）的能力。

組件層次

FRU_RUB.EXT.1“數(shù)據(jù)備份”，要求在不影響設(shè)備正常適應(yīng)的情況下，TOE設(shè)備可對信息進(jìn)行備份。

FRU_RUB_EXT.1管理

尚無預(yù)見的管理活動。

FIA_RUB_EXT.1審計

尚無預(yù)見的審計活動。

FRU_RUB.EXT.1數(shù)據(jù)備份

從屬于：無其他組件。

依賴關(guān)系：無依賴關(guān)系。

.1FRU_RUB_EXT.1.1

15

GB/TXXXXX—XXXX

TOE設(shè)備應(yīng)在不影響正常設(shè)備使用的前提下，提供關(guān)鍵文件的識別和定位，并根據(jù)可配置的頻率

進(jìn)行信息備份的能力。

6.3安全保障組件擴(kuò)展定義

6.3.1測試人員（ATE_TES）

類別

所屬類別為GB/T18336.3中定義的ATE類：測試。

目的

本族的組件涉及測試人員的組成。TOE測試人員的獨(dú)立性會影響測試結(jié)果的準(zhǔn)確性。本族的目的是

降低測試人員在TOE測試中存在的人為錯誤風(fēng)險，有助于保障未知缺陷出現(xiàn)的可能性相對較小。

組件分級

本族中的組件分級是基于測試獨(dú)立性的嚴(yán)格程度分級的。

應(yīng)用注釋

在執(zhí)行測試的過程中最好確保測試人員的獨(dú)立性，可以有效的避免因開發(fā)者和測試者來自同一人或

同一部門導(dǎo)致的測試結(jié)果異議。

ATE_TES_EXT.1測試人員

依賴關(guān)系：ATE_FUN.1功能測試。

.1目的

本組件的目的是避免開發(fā)人員對TOE進(jìn)行測試導(dǎo)致的測試結(jié)果誤差。

.2開發(fā)者行為元素

.2.1ATE_TES_EXT.1.1D

開發(fā)者應(yīng)提供測試文檔。

.3內(nèi)容和形式元素

.3.1ATE_TES_EXT.1.1C

對TOE進(jìn)行測試的測試人員與開發(fā)人員應(yīng)不是同一個人。

.4評估者行為元素

.4.1ATE_TES_EXT.1.1E

評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)內(nèi)容和形式的所有要求。

ATE_TES_EXT.2獨(dú)立的測試人員

依賴關(guān)系：ATE_FUN.1功能測試。

.1目的

16

GB/TXXXXX—XXXX

本組件的目的是通過不同部門的獨(dú)立測試確保測試的公正性。

.2開發(fā)者行為元素

.2.1ATE_TES_EXT.2.1D

開發(fā)者應(yīng)提交由獨(dú)立測試部門測試的文檔。

.3內(nèi)容和形式元素

.3.1ATE_TES_EXT.2.1C

對TOE進(jìn)行測試的測試人員與開發(fā)人員應(yīng)不屬于同一部門。

.4評估者行為元素

.4.1ATE_TES_EXT.2.1E

評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)內(nèi)容和形式的所有要求。

7ICS產(chǎn)品安全要求

本部分根據(jù)附錄B的安全問題定義，定義了適用于ICS產(chǎn)品的通用安全要求，開發(fā)者根據(jù)TOE的預(yù)期

使用環(huán)境及邊界定義，根據(jù)威脅分析結(jié)果選擇適用的安全功能要求和安全保障等級。在選擇安全功能組

件時，應(yīng)考慮到組件的依賴關(guān)系。

7.1安全功能要求

7.1.1安全審計

安全審計功能有助于監(jiān)測與安全有關(guān)的事件，并能對安全侵害起到威懾作用。與安全審計功能相關(guān)

的子功能包括安全審計事件的記錄、安全審計記錄的查閱、安全審計記錄的存儲和安全審計事件的分析。

安全審計事件記錄

與安全審計事件記錄相關(guān)的安全功能組件包括：FAU_GEN.1、FAU_GEN.2和FAU_SEL.1。

a)組件FAU_GEN.1用于定義用于審計的安全事件，對ICS系統(tǒng)重要或相關(guān)的事件應(yīng)該被審計，但

考慮到審計活動會影響到ICS的性能，因此開發(fā)者在考慮審計事件列表時，應(yīng)考慮通常公認(rèn)和

被接受的清單和配置指南。

b)組件FAU_GEN.1可被執(zhí)行反復(fù)操作，記錄網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)（如MAC、IP、端口、協(xié)議等）和數(shù)據(jù)

流等信息用于監(jiān)視異常事件的出現(xiàn)。

c)組件FAU_GEN.2僅適用于處理單個用戶身份級別上可審計事件的責(zé)任追溯，對于基于用戶角色

和用戶組的訪問方式不適用本組件。

d)組件FAU_SEL.1允許安全審計事件列表可由授權(quán)管理員進(jìn)行配置，如在某些特殊情況下（如審

計跡空間不足）僅選擇重要事件進(jìn)行審計等。如選擇本組件，需要在FMT_SMR.1中定義被授權(quán)

修改審計列表的角色或用戶。

安全審計事件查閱

與安全審計事件查閱相關(guān)的安全功能組件包括：FAU_SAR.1、FAU_SAR.2、FAU_SAR.3和

FAU_SAR_EXT.4。

17

GB/TXXXXX—XXXX

a)組件FAU_SAR.1應(yīng)授權(quán)讀取審計記錄的角色，如管理員或?qū)徲媶T，安全角色需在FMT_SMR.1

中進(jìn)行定義。

b)組件FAU_SAR.2應(yīng)除被授權(quán)角色外，默認(rèn)設(shè)置拒絕所有用戶訪問。

c)組件FAU_SAR.3可對所記錄的審計事件進(jìn)行選擇性查閱，便于對可疑事件進(jìn)行統(tǒng)計和定位。

d)組件FAU_SAR_EXT.4針對存儲容量受限的設(shè)備或ICS系統(tǒng)需要進(jìn)行集中審計時選用此組件，審

計事件在傳送到外部實(shí)體時應(yīng)確保通道的通信安全。

安全審計事件存儲

與安全審計事件存儲相關(guān)的安全功能組件包括：FAU_STG.1、FAU_STG.2、FAU_STG.3和FAU_STG.4。

a)組件FAU_STG.1和FAU_STG.2定義防止審計跡中審計記錄的未授權(quán)修改或刪除。

b)組件FAU_STG.3和FAU_STG.4定義在發(fā)生失效事件時應(yīng)確保審計記錄的可用性。開發(fā)者應(yīng)根據(jù)

實(shí)際情況對TOE進(jìn)行賦值。

安全審計事件分析

與安全審計事件分析相關(guān)的安全功能組件包括：FAU_ARP.1、FAU_SAA.1、FAU_SAA.3、FAU_SAA_EXT.5

和FAU_SAA_EXT.6。

a)組件FAU_ARP.1用于定義安全告警的方式，如聲音、屏幕提示、鎖定登錄等。

b)組件FAU_SAA.1、FAU_SAA.3和FAU_SAA_EXT.5采用了不同的規(guī)則來監(jiān)視審計事件的異常，開

發(fā)者根據(jù)實(shí)際情況進(jìn)行選擇和賦值。典型異常事件包括用戶異常登錄次數(shù)超過限值、網(wǎng)絡(luò)流量

異常、控制數(shù)據(jù)修改異常、惡意代碼或異常進(jìn)程啟動等。

c)組件FAU_SAA_EXT.6定義了對網(wǎng)絡(luò)協(xié)議（含工業(yè)控制協(xié)議）的解析能力。

7.1.2標(biāo)識和鑒別

為防止外部實(shí)體未授權(quán)的登錄\訪問TOE，對要保護(hù)的資產(chǎn)造成破壞，TOE應(yīng)具備標(biāo)識鑒別功能。開

發(fā)者應(yīng)根據(jù)TOE運(yùn)行環(huán)境和威脅分析情況，在TOE的所有外部接口上考慮標(biāo)識和鑒別機(jī)制的應(yīng)用。

外部實(shí)體標(biāo)識

TOE在對外部實(shí)體進(jìn)行鑒別前，應(yīng)首先具備對其進(jìn)行標(biāo)識的能力，尤其是需要在TOE進(jìn)行注冊的用戶，

與外部實(shí)體標(biāo)識相關(guān)的安全功能組件包括：FIA_UID.1、FIA_UID.2、FIA_UID_EXT.3和FIA_ATD.1。

a)組件FIA_UID.1和FIA_UID.2定義在TOE對外部實(shí)體執(zhí)行仲裁動作前，如允許建立通信連接前、

可執(zhí)行有效鑒別前，需要對外部實(shí)體進(jìn)行成功標(biāo)識。

b)組件FIA_UID_EXT.3要求外部實(shí)體標(biāo)識應(yīng)具備唯一性。

c)TSF應(yīng)識別所有可能訪問TOE的外部實(shí)體，并明確其標(biāo)識及對應(yīng)的安全屬性、角色等，組件

FIA_ATD.1定義用戶的安全屬性，F(xiàn)MT_MSA族“安全屬性的管理”側(cè)重管理權(quán)限和職責(zé)的明確。

外部實(shí)體鑒別

對外部實(shí)體進(jìn)行安全鑒別可防止未授權(quán)的訪問，與鑒別相關(guān)的安全功能組件包括：FIA_UAU_EXT.1、

FIA_UAU.5、FIA_UAU.6和FIA_AFL.1。

a)組件FIA_UAU_EXT.1定義了外部實(shí)體在訪問或登錄TOE前應(yīng)成功完成鑒別。外部實(shí)體可包含人

類用戶、軟件進(jìn)程或設(shè)備等，因此識別和梳理需要進(jìn)行鑒別的實(shí)體是必須的。

b)組件FIA_UAU.5定義了可實(shí)現(xiàn)多重鑒別機(jī)制，常用的鑒別機(jī)制分為基于密碼、PIN等（你所知

道的）、基于令牌、智能卡等（你所擁有的）和基本生物特征的（你所具備的），如果采取其

中兩種或三種可選擇該組件。

18

GB/TXXXXX—XXXX

c)組件FIA_UAU.6定義需要重新鑒別的條件，如在用戶長時間未活動退出或鎖屏等。

d)組件FIA_AFL.1是為防止惡意猜測鑒別數(shù)據(jù)的行為而設(shè)定的保護(hù)機(jī)制，如未成功登錄次數(shù)達(dá)到

限值時的動作，對于數(shù)值的設(shè)定等應(yīng)在FMT_SMR.1和FMT_MTD.1中定義授權(quán)角色和職責(zé)。

鑒別數(shù)據(jù)的保護(hù)

鑒別數(shù)據(jù)在TOE中屬于敏感數(shù)據(jù)，一旦被竊取利用將會對資產(chǎn)產(chǎn)生破壞，因此應(yīng)確保鑒別數(shù)據(jù)在傳

輸和存儲時的安全。與鑒別數(shù)據(jù)保護(hù)相關(guān)的安全功能組件包括：FIA_UAU.3、FIA_UAU.4、FIA_UAU.7、

FTP_TRP.1和FDP_SDC_EXT.1。

a)組件FIA_UAU.3和FIA_UAU.4防止鑒別機(jī)制被偽造和重用。

b)組件FIA_UAU.7定義用戶在輸入鑒別數(shù)據(jù)時應(yīng)被保護(hù)。

c)組件FTP_TRP.1和FDP_SDC_EXT.1確保鑒別數(shù)據(jù)在傳輸和存儲時的完整性和保密性。

鑒別數(shù)據(jù)的強(qiáng)度

與鑒別數(shù)據(jù)的強(qiáng)度相關(guān)的安全功能組件包括：FIA_SOS.1。

a)組件FIA_SOS.1可定義鑒別數(shù)據(jù)需要滿足的強(qiáng)度，如規(guī)定密碼的最小長度、最低復(fù)雜度和密鑰

的算法強(qiáng)度等。

7.1.3訪問控制

訪問控制策略包括訪問控制策略和信息流訪問控制策略，訪問控制策略控制范圍包括策略控制下的

主體、策略控制下的客體以及策略所涵蓋受控主體和受控客體間的操作。信息流控制策略控制范圍包括

策略控制下的主體、策略控制下的信息以及策略所涵蓋的引起受控信息流入、流出受控主體的操作。每

一種策略應(yīng)采用唯一的名稱，可通過組件的反復(fù)操作來實(shí)現(xiàn)多個策略的定義。相關(guān)的安全功能組件包括：

FDP_ACC.1、FDP_ACC.2、FDP_ACF.1、FDP_IFC.1、FDP_IFC.2和FDP_IFF.1。

a)組件FDP_ACC.1、FDP_ACC.2和FDP_ACF.1用來建立訪問控制策略和訪問控制功能，訪問控制

策略可以是基于用戶角色、用戶組、物理位置、時間等屬性建立，每個不同的策略應(yīng)分別命名，

用戶角色應(yīng)在FMT_SMR.1中定義，安全屬性的管理應(yīng)在FMT_MSA族中進(jìn)行定義。

b)組件FDP_IFC.1、FDP_IFC.2和FDP_IFF.1用來建立信息流訪問控制策略和訪問控制功能，訪

問控制策略可以是基于源目標(biāo)IP、源目標(biāo)MAC和網(wǎng)絡(luò)協(xié)議等屬性建立，每個不同的策略應(yīng)分

別命名。

7.1.4會話安全

建立和維護(hù)用戶會話的安全可以防止會話劫持、并發(fā)會話占用TOE資源等事件。與會話建立和管理

相關(guān)的安全功能組件包括：FTA_TSE.1、FTA_LSA.1、FTA_MCS.1、FTA_SSL.1、FTA_SSL.2、FTA_SSL.3、

FTA_SSL.4、FTA_TAB.1和FTA_TAH.1。

a)組件FTA_TSE.1和FTA_LSA.1定義建立會話連接的安全，屬于訪問控制策略的一種，建立基于

會話屬性的會話建立機(jī)制。

b)組件FTA_MCS.1限制同一用戶的并發(fā)會話數(shù)量，可防止發(fā)生資源耗盡的DoS。

c)組件FTA_SSl.1和FTA_SSl.3定義了TOE鎖定和終止會話的要求，在工業(yè)控制系統(tǒng)中不是所有

情況下都可以采用該要求，對于操作員站的監(jiān)控軟件，由于要確保業(yè)務(wù)的連續(xù)性，即使操作員

不動作也不應(yīng)對會話進(jìn)行鎖定和終止，因此TOE為了確保安全，應(yīng)假定運(yùn)行環(huán)境的安全來抵御

預(yù)期的威脅。

d)組件FTA_SSl.2和FTA_SSl.4定義了用戶鎖定和終止會話的要求。

e)組件FTA_TAB.1和FTA_TAH.1起到會話安全建立的提示和警告的作用。

19

GB/TXXXXX—XXXX

7.1.5安全通信

與TOE的通信一般包括用戶與TOE的通信、外部IT實(shí)體與TOE的通信和TOE內(nèi)部各部分間的通信。

可信路徑/信道

TOE可支持在用戶與TOE之間建立可信路徑以及TOE和外部IT實(shí)體間建立可信信道的要求，可信路徑

和信道具備通信完整性和保密性要求，且提供通信兩端端點(diǎn)身份的抗抵賴性。相關(guān)的安全功能組件包括：

FTP_ITC.1和FTP_TRP.1。

a)組件FTP_ITC.1和FTP_TRP.1定義了TOE與用戶或外部IT實(shí)體間的可信路徑和信道。如采用

HTTPS的方式，采用IPSEC的方式等。為了保護(hù)鑒別數(shù)據(jù)不被泄露和篡改，用戶鑒別應(yīng)采用可

信路徑。

通信完整性

如TOE不具備滿足可信路徑或通道的條件，應(yīng)通過TOE實(shí)現(xiàn)通信數(shù)據(jù)完整性的保護(hù)。相關(guān)的安全功能

組件包括：FDP_DTI.1和FDP_DTI.2。

a)組件FDP_DTI.1和FDP_DTI.2定義了TOE與外部IT實(shí)體或TOE內(nèi)部的一部分進(jìn)行通信時的數(shù)

據(jù)完整性保護(hù)要求。

通信保密性

如TOE不具備滿足可信路徑或通道的條件，應(yīng)通過TOE實(shí)現(xiàn)通信數(shù)據(jù)保密性的保護(hù)。相關(guān)的安全功能

組件包括：FDP_DTC.1和FDP_DTC.2。

a)組件FDP_DTC.1和FDP_DTC.2定義了TOE與外部IT實(shí)體或TOE內(nèi)部的一部分進(jìn)行通信時的數(shù)

據(jù)保密性保護(hù)要求。由于工業(yè)控制系統(tǒng)中實(shí)時性要求較高，因此可僅對關(guān)鍵和敏感數(shù)據(jù)采用保

密性保護(hù)。

重放檢測

TOE應(yīng)能對各種類型實(shí)體（如消息、服務(wù)請求、服務(wù)應(yīng)答）的重放進(jìn)行檢測，并在檢測到重放后采

取一定的措施進(jìn)行保護(hù)。與重放檢測相關(guān)的安全功能組件包括：FPT_RPL.1。

a)組件FPT_RPL.1可定義對通信數(shù)據(jù)進(jìn)行重放的檢測及糾正動作。

狀態(tài)和時間同步

分布式TOE由于存在TOE各部分間潛在的狀態(tài)差別及通信延遲等問題，因此需要在通信時實(shí)現(xiàn)狀態(tài)和

時間同步的要求。相關(guān)的安全功能組件包括：FPT_SSP.1、FPT_SSP.2和FPT_STM_EXE.2。

a)組件FPT_SSP.1和FPT_SSP.2定義TOE不同部分間通信時應(yīng)對請求進(jìn)行回執(zhí)，以確保各部分狀

態(tài)保持一致。

b)組件FPT_STM_EXE.2確保各部分間的時鐘進(jìn)行同步。

7.1.6數(shù)據(jù)/代碼保護(hù)

本部分包括了存儲數(shù)據(jù)的完整性和保密性保護(hù)，軟件/固件等的完整性保護(hù)，輸入數(shù)據(jù)的安全防護(hù)

及殘余信息的防護(hù)。

完整性保護(hù)

20

GB/TXXXXX—XXXX

要求TOE在初始階段、運(yùn)行階段或更新階段可以對固件、可執(zhí)行代碼、關(guān)鍵配置數(shù)據(jù)等的完整性錯

誤進(jìn)行檢測，相關(guān)的安全功能組件包括：FDP_SDI_EXT.1。

a)組件FDP_SDI_EXT.1定義了數(shù)據(jù)、固件、可執(zhí)行代碼等的完整性保護(hù)。

輸入數(shù)據(jù)保護(hù)

用戶在輸入數(shù)據(jù)時，應(yīng)避免數(shù)據(jù)的不合法、超限等錯誤，且必要時需要雙重確認(rèn)和動作的回退等。

相關(guān)的安全功能組件包括：FDP_IDP_EXT.1、FDP_IDP_EXT.2和FDP_ROL.1。

a)組件FDP_IDP_EXT.1可對輸入數(shù)據(jù)的合法性和安全性進(jìn)行檢測。

b)組件FDP_IDP_EXT.2要求對輸入的數(shù)據(jù)執(zhí)行雙重確認(rèn)操作。

c)組件FDP_ROL.1允許用戶從配置和其他管理錯誤中快速恢復(fù)。

殘余信息防護(hù)

要求確保當(dāng)資源從一個客體釋放并重新分配給另一個客體時，其中的任何數(shù)據(jù)均不可用。相關(guān)的安

全功能組件包括：FDP_RIP.1。

a)組件FDP_RIP.1要求確保任何資源的任何殘余信息在資源分配或釋放時不可用。

7.1.7加密

當(dāng)TOE具備加密運(yùn)算模塊及數(shù)據(jù)簽名的生成和驗(yàn)證時，應(yīng)考慮密鑰管理和密碼運(yùn)算的功能，相關(guān)的

安全功能組件包括：FCS_CKM.1、FCS_CKM.2、FCS_CKM.3、FCS_CKM.4和FCS_COP.1。

7.1.8安全管理

TOE的安全管理功能不是一個獨(dú)立的功能，管理操作與其他安全功能都相關(guān)，如安全角色的定義，

與安全審計、身份鑒別、訪問控制的功能的用戶角色都相關(guān)，安全管理功能涉及安全角色的定義，安全

管理功能的定義，安全屬性的管理、TSF數(shù)據(jù)的管理等。

a)與安全管理角色相關(guān)的安全組件FMT_SMR.1可以定義TOE設(shè)計到的安全角色，如管理員、審計

員、操作員、工程師、普通用戶等角色。

b)與安全管理功能相關(guān)的安全組件FMT_SMF.1可以定義TOE具備的安全管理功能，這些功能可能

會與之前的功能有重復(fù)，但需要利用該組件獨(dú)立定義所有與管理相關(guān)的功能，用以明確管理角

色和明確管理角色對應(yīng)的管理功能，管理功能主要包括安全功能的管理、安全屬性的管理和

TSF數(shù)據(jù)的管理等，可利用FMT_MOF、FMT_MSA、FMT_MTD等族下的組件進(jìn)行定義相關(guān)功能。

7.1.9資源可用性

TOE應(yīng)確保在受到攻擊（如DoS）或設(shè)備失效后仍能維持基本功能運(yùn)行的能力。相關(guān)的功能包括物理

防護(hù)、失效防護(hù)、TOE測試、備份與恢復(fù)及資源利用等。

物理防護(hù)

TOE應(yīng)限制未授權(quán)的物理訪問，以及阻止和抵抗對TOE進(jìn)行未授權(quán)的物理修改或替換。相關(guān)的安全功

能組件包括：FPT_PHP.1、FPT_PHP.2、FPT_PHP.3、FPT_PHP_EXT.4和FPT_PHP_EXT.5。

a)組件FPT_PHP.1、FPT_PHP.2和FPT_PHP.3定義了物理防護(hù)檢測的能力。

b)組件FPT_PHP_EXT.4定義了物理環(huán)境適應(yīng)性要求。

c)組件FPT_PHP_EXT.5定義了物理防篡改要求。

失效防護(hù)