《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》

GB/TXXXXX—XXXX

信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)專用防火墻（以下簡(jiǎn)稱工控防火墻）的安全技術(shù)要求。

本標(biāo)準(zhǔn)適用于工控防火墻的設(shè)計(jì)、開(kāi)發(fā)與測(cè)試。

本標(biāo)準(zhǔn)適用于工程設(shè)計(jì)方、設(shè)備生產(chǎn)商、系統(tǒng)集成商、用戶以及評(píng)估認(rèn)證機(jī)構(gòu)等。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20281信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T18336.1信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型

GB/T18336.2信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分:安全功能要求

GB/T18336.3信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分評(píng)估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分驗(yàn)收規(guī)范

GB/Txxxxx集散控制系統(tǒng)（DCS）安全防護(hù)標(biāo)準(zhǔn)

3術(shù)語(yǔ)和定義

GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

工業(yè)控制系統(tǒng)專用防火墻industrialfirewall

可應(yīng)用于工業(yè)控制環(huán)境，對(duì)工業(yè)控制系統(tǒng)邊界以及工業(yè)控制系統(tǒng)內(nèi)部不同控制域之間進(jìn)行邊界保

護(hù)，并滿足特定工業(yè)環(huán)境和功能要求的防火墻。

根據(jù)工控防火墻在工控系統(tǒng)中保護(hù)對(duì)象的不同，又可細(xì)分為部署域間工控防火墻和部署現(xiàn)場(chǎng)控制層

工控防火墻，附錄C為工控防火墻典型應(yīng)用。圖C.1，C.2為部署域間的工控防火墻，圖C.3為部署現(xiàn)場(chǎng)控

制層工控防火墻。

3.2

深度包檢測(cè)deeppacketinspection

基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，通過(guò)讀取IP包載荷的內(nèi)容并對(duì)應(yīng)用層信息進(jìn)行重組，從而得到

整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的策略對(duì)內(nèi)容進(jìn)行相應(yīng)處置。

（GB/T20281-2015，定義3.2）

1

GB/TXXXXX—XXXX

3.3

深度內(nèi)容檢測(cè)deepcontentinspection

能夠?qū)?yīng)用協(xié)議的深入解析，識(shí)別出協(xié)議中的各種要素（如http協(xié)議，可具體解析到如cookie、Get

參數(shù)、Post表單等）以及協(xié)議所承載的業(yè)務(wù)內(nèi)容（如業(yè)務(wù)系統(tǒng)交互中包含在協(xié)議或文件中的數(shù)據(jù)內(nèi)容），

并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息。根據(jù)這些解析后的原始信息，可以檢測(cè)其是

否包含威脅以及敏感內(nèi)容。

（GB/T20281-2015，定義3.3）

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

DMZ：非軍事區(qū)（DemilitarizedZone）

DNAT：目的網(wǎng)絡(luò)地址轉(zhuǎn)換（DestinationNAT）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

ICMP：互聯(lián)網(wǎng)控制報(bào)文協(xié)議（InternetControlMessagesProtocol）

IP：網(wǎng)際協(xié)議（InternetProtocol）

MAC：介質(zhì)訪問(wèn)控制（MediaAccessControl）

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

OPC：用于過(guò)程控制的OLE（ObjectLinkingandEmbedding（OLE）forProcessControl）

SNAT：源網(wǎng)絡(luò)地址轉(zhuǎn)換（SourceIPNAT）

TCP：傳輸控制協(xié)議（TransportControlProtocol）

UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

5安全技術(shù)要求

5.1總體說(shuō)明

本標(biāo)準(zhǔn)參考GB/T20281關(guān)于IT防火墻技術(shù)分類和安全功能的強(qiáng)度劃分方式，從安全技術(shù)要求方面將

工控防火墻分為安全功能、安全保證兩個(gè)大類，從安全功能的強(qiáng)度方面將工控防火墻分為基礎(chǔ)級(jí)和增強(qiáng)

級(jí)。其中安全功能要求在GB/T20281的基礎(chǔ)上進(jìn)行增、減等修改，以滿足工業(yè)應(yīng)用的特殊要求。安全保

證要求則仍然采用GB/T20281的相關(guān)規(guī)定。GB/T20281中關(guān)于IT防火墻安全功能強(qiáng)度等級(jí)的適用性仍適

用于本標(biāo)準(zhǔn)。表1為工控防火墻安全功能要求表，表中“加粗字體”為工控防火墻相對(duì)于IT防火墻新增

安全功能要求。在具體技術(shù)要求部分，與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文

中通過(guò)“字體加粗”表示。

2

GB/TXXXXX—XXXX

表1工控防火墻安全功能要求

基本級(jí)增強(qiáng)級(jí)

安全功能要求

部署域間部署現(xiàn)場(chǎng)控制層部署域間部署現(xiàn)場(chǎng)控制層

包過(guò)濾******

網(wǎng)絡(luò)

NAT————*——

層控

狀態(tài)檢測(cè)****

制

動(dòng)態(tài)開(kāi)放端口*——*——

表1（續(xù))

基本級(jí)增強(qiáng)級(jí)

安全功能要求

部署域間部署現(xiàn)場(chǎng)控制層部署域間部署現(xiàn)場(chǎng)控制層

IP/MAC地址綁定****

連接數(shù)控制****

*

網(wǎng)絡(luò)流量會(huì)話管會(huì)話管理————*

層控理流量監(jiān)測(cè)————*——

制帶寬監(jiān)測(cè)————*——

抗拒絕服務(wù)攻擊****

網(wǎng)絡(luò)掃描防護(hù)****

應(yīng)用應(yīng)用協(xié)議控制******

層控

工業(yè)協(xié)議深度內(nèi)容檢測(cè)————**

制

運(yùn)維管理******

安全審計(jì)******

日志管理******

安全安全支撐系統(tǒng)****

管理異常處理機(jī)制****

安全

旁路保護(hù)****

運(yùn)維

多工作模式******

管理

安全策略無(wú)擾下裝****

高可

時(shí)鐘同步****

用性

電源冗余------*

散熱方式------*

雙機(jī)熱備----*--

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

3

GB/TXXXXX—XXXX

5.2基本級(jí)安全要求

5.2.1安全功能要求

網(wǎng)絡(luò)層控制

.1包過(guò)濾

工控防火墻的包過(guò)濾要求如下：

a)安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問(wèn)控制；

c)安全策略應(yīng)包含基于源端口、目的端口的訪問(wèn)控制；

d)安全策略應(yīng)包含基于協(xié)議類型的訪問(wèn)控制；

e)安全策略可包含基于MAC地址的訪問(wèn)控制；

f)應(yīng)支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部組合。

.2狀態(tài)檢測(cè)

工控防火墻應(yīng)具備狀態(tài)檢測(cè)功能，支持基于狀態(tài)檢測(cè)技術(shù)的訪問(wèn)控制。

.3動(dòng)態(tài)端口開(kāi)放

工控防火墻應(yīng)具備動(dòng)態(tài)開(kāi)放端口功能，應(yīng)至少支持OPC、FTP。

.4IP/MAC地址綁定

工控防火墻應(yīng)支持自動(dòng)或管理員手工綁定IP/MAC地址；應(yīng)能夠檢測(cè)IP地址盜用，攔截盜用IP地址的

主機(jī)經(jīng)過(guò)工控防火墻的各種訪問(wèn)。

.5流量會(huì)話管理

工控防火墻應(yīng)能夠設(shè)置單IP的最大會(huì)話數(shù)，防止大量非合規(guī)連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)的性能。

.6抗拒絕服務(wù)攻擊

工控防火墻應(yīng)具有抗拒絕服務(wù)攻擊的能力，具體技術(shù)要求如下（包括，但不限于）：

a)ICMPFlood攻擊；

b)UDPFlood攻擊；

c)SYNFlood攻擊；

d)TearDrop攻擊；

e)Land攻擊；

f)超大ICMP數(shù)據(jù)攻擊。

.7網(wǎng)絡(luò)掃描防護(hù)

工控防火墻應(yīng)能夠檢測(cè)和記錄掃描行為，包括對(duì)受保護(hù)網(wǎng)絡(luò)的掃描。

應(yīng)用層控制

工控防火墻應(yīng)能識(shí)別并控制各種通用應(yīng)用層協(xié)議及常用工業(yè)控制協(xié)議，具體技術(shù)要求如下：

4

GB/TXXXXX—XXXX

a)支持HTTP、FTP、Telnet等常見(jiàn)通用應(yīng)用層協(xié)議；

b)支持至少一種工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet等。

安全運(yùn)維管理

.1運(yùn)維管理

工控防火墻應(yīng)具備管理功能，具體技術(shù)要求如下：

a)支持對(duì)授權(quán)管理員的口令鑒別方式，且口令設(shè)置滿足安全要求；

b)應(yīng)在所有授權(quán)管理員、可信主機(jī)、主機(jī)和用戶請(qǐng)求執(zhí)行任何操作之前，對(duì)每個(gè)授權(quán)管理員、可

信主機(jī)、主機(jī)和用戶進(jìn)行唯一的身份鑒別；

c)應(yīng)具有登錄失敗處理功能，身份鑒別在經(jīng)過(guò)一個(gè)可設(shè)定的鑒別失敗最大次數(shù)后，工控防火墻應(yīng)

終止可信主機(jī)或用戶建立的會(huì)話；

d)工控防火墻應(yīng)為每一位規(guī)定的授權(quán)管理員、可信主機(jī)、主機(jī)和用戶提供一套唯一的為執(zhí)行安全

策略所必需的安全屬性；

e)應(yīng)支持進(jìn)行本地管理工控防火墻；

f)應(yīng)支持通過(guò)網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并可限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口；

g)遠(yuǎn)程管理過(guò)程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應(yīng)非明文傳輸；

h)對(duì)于數(shù)據(jù)加密或者非明文的傳輸、存儲(chǔ)要求，需遵守國(guó)家密碼局的相關(guān)規(guī)定；

i)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能；

j)向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能；

k)向授權(quán)管理員提供管理審計(jì)日志的功能。

.2安全審計(jì)

工控防火墻應(yīng)具備安全審計(jì)功能，具體技術(shù)要求如下：

a)記錄事件類型

1)試圖登錄工控防火墻管理端口和管理身份鑒別請(qǐng)求；

2)對(duì)工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設(shè)置，路由設(shè)置，管理用戶的增

加、刪除、修改，安全策略的配置等；

3)日志信息的備份、刪除、查找等；

4)從內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)發(fā)起的試圖穿越或到達(dá)工控防火墻的違反安全策略的訪問(wèn)請(qǐng)求；

5)被訪問(wèn)控制策略允許、禁止的訪問(wèn)請(qǐng)求；

6)檢測(cè)到的攻擊行為；

7)其他應(yīng)該記錄的事件信息。

b)日志內(nèi)容

1)數(shù)據(jù)包的協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口；

2)訪問(wèn)控制發(fā)生的時(shí)間，日期必須包括年、月、日，時(shí)間必須包括時(shí)、分、秒；

3)產(chǎn)生日志記錄的訪問(wèn)控制策略執(zhí)行結(jié)果；

4)攻擊事件其他需要描述的信息；

5)工控防火墻操作事件發(fā)生的時(shí)間，日期必須包括年、月、日，時(shí)間必須包括時(shí)、分、秒；

6)執(zhí)行操作的用戶、執(zhí)行操作的結(jié)果；

7)應(yīng)根據(jù)日志內(nèi)容設(shè)置日志級(jí)別，包括但不限于調(diào)試、信息、警告、錯(cuò)誤等多個(gè)級(jí)別。

.3日志管理

5

GB/TXXXXX—XXXX

工控防火墻應(yīng)具備日志管理功能，具體技術(shù)要求如下

a)應(yīng)只允許授權(quán)審計(jì)員能夠?qū)θ罩具M(jìn)行讀取、存檔、導(dǎo)出、刪除和清空等操作；

b)應(yīng)提供能查閱日志的工具，具備對(duì)審計(jì)事件以時(shí)間、日期、主體標(biāo)識(shí)、客體標(biāo)識(shí)等條件檢索的

能力，并且只允許授權(quán)審計(jì)員使用查閱工具；

c)審計(jì)事件應(yīng)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)至少能夠通知授權(quán)審計(jì)

員。

.4安全管理

.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應(yīng)滿足以下要求：

a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)；

b)不含任何導(dǎo)致產(chǎn)品權(quán)限丟失、拒絕服務(wù)等的安全漏洞。

.4.2異常處理機(jī)制

工控防火墻在非正常條件（比如掉電、強(qiáng)行關(guān)機(jī)）關(guān)機(jī)再重新啟動(dòng)后，應(yīng)滿足如下技術(shù)要求：

a)安全策略恢復(fù)到關(guān)機(jī)前的狀態(tài)；

b)日志信息不會(huì)丟失；

c)管理員重新鑒別。

.5高可用性

.5.1Bypass功能

部署在現(xiàn)場(chǎng)控制層的工控防火墻應(yīng)具備Bypass功能，當(dāng)工控防火墻自身出現(xiàn)斷電或其他軟硬件故障

時(shí)，應(yīng)使工控防火墻內(nèi)部接口與外部接口直接物理連通，保持內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的正常通信。

.5.2多工作模式

工控防火墻應(yīng)支持多種工作模式，保證工控防火墻區(qū)分部署和工作過(guò)程以實(shí)現(xiàn)對(duì)被防護(hù)系統(tǒng)的最小

影響，具體技術(shù)要求如下：

a)支持學(xué)習(xí)模式，工控防火墻記錄運(yùn)行過(guò)程中經(jīng)過(guò)防火墻的所有策略、資產(chǎn)等信息，形成白名單

策略集；

b)支持驗(yàn)證模式或測(cè)試模式，該模式下工控防火墻對(duì)白名單策略外的行為做告警，但不攔截；

c)支持工作模式，工控防火墻的正常工作模式，嚴(yán)格按照防護(hù)策略進(jìn)行過(guò)濾等動(dòng)作保護(hù)。

.5.3安全策略無(wú)擾下裝

進(jìn)行工控防火墻安全策略應(yīng)用時(shí)不應(yīng)該影響正常的數(shù)據(jù)通信。

.5.4時(shí)鐘同步

工控防火墻應(yīng)支持與時(shí)鐘服務(wù)器自動(dòng)同步時(shí)鐘的功能。

5.2.2安全保證要求

工控防火墻基本級(jí)安全保證要求，按照IT防火墻標(biāo)準(zhǔn)GB/T20281中關(guān)于IT防火墻基本級(jí)安全保證要

求的規(guī)定執(zhí)行。

6

GB/TXXXXX—XXXX

5.3增強(qiáng)級(jí)安全要求

5.3.1安全功能要求

網(wǎng)絡(luò)層控制

.1包過(guò)濾

工控防火墻的包過(guò)濾要求如下：

a)安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問(wèn)控制；

c)安全策略應(yīng)包含基于源端口、目的端口的訪問(wèn)控制；

d)安全策略應(yīng)包含基于協(xié)議類型的訪問(wèn)控制；

e)安全策略可包含基于MAC地址的訪問(wèn)控制；

f)安全策略可包含基于時(shí)間的訪問(wèn)控制；

g)應(yīng)支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議類型和時(shí)間

的部分或全部組合。

.2NAT

部署域間的工控防火墻應(yīng)具備NAT功能，具體技術(shù)要求如下：

a)應(yīng)支持雙向NAT：SNAT和DNAT；

b)SNAT應(yīng)至少可實(shí)現(xiàn)“多對(duì)一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，其源IP地址被

轉(zhuǎn)換；

c)DNAT應(yīng)至少可實(shí)現(xiàn)“一對(duì)多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址

/端口，使外部網(wǎng)絡(luò)主機(jī)通過(guò)訪問(wèn)映射地址和端口實(shí)現(xiàn)對(duì)DMZ服務(wù)器的訪問(wèn)。

.3狀態(tài)檢測(cè)

工控防火墻應(yīng)具備狀態(tài)檢測(cè)功能，支持基于狀態(tài)檢測(cè)技術(shù)的訪問(wèn)控制。

.4動(dòng)態(tài)端口開(kāi)放

工控防火墻應(yīng)具備動(dòng)態(tài)開(kāi)放端口功能，應(yīng)至少支持OPC、FTP。

.5IP/MAC地址綁定

工控防火墻應(yīng)支持自動(dòng)或管理員手工綁定IP/MAC地址；應(yīng)能夠檢測(cè)IP地址盜用，攔截盜用IP地址的

主機(jī)經(jīng)過(guò)工控防火墻的各種訪問(wèn)。

.6流量會(huì)話管理

.6.1連接數(shù)控制

工控防火墻應(yīng)能夠設(shè)置單IP的最大會(huì)話數(shù)，防止大量非合規(guī)連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)的性能。

.6.2會(huì)話管理

工控防火墻應(yīng)能夠在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后，終止網(wǎng)絡(luò)連接。

.6.3流量監(jiān)測(cè)

7

GB/TXXXXX—XXXX

部署域間的工控防火墻應(yīng)具備流量統(tǒng)計(jì)功能：

a)能夠通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、時(shí)間和協(xié)議類型等參數(shù)或它們的組合對(duì)流量進(jìn)行正確的統(tǒng)計(jì)；

b)能夠?qū)崟r(shí)或者以報(bào)表形式輸出流量統(tǒng)計(jì)結(jié)果；

c)能夠?qū)α髁砍^(guò)預(yù)警值的行為進(jìn)行告警。

.6.4帶寬監(jiān)測(cè)

部署域間的工控防火墻應(yīng)具備對(duì)客戶端占用帶寬進(jìn)行監(jiān)測(cè)的功能。

.7抗拒絕服務(wù)攻擊

工控防火墻具有抗拒絕服務(wù)攻擊的能力，具體技術(shù)要求如下（包括，但不限于）：

a)ICMPFlood攻擊；

b)UDPFlood攻擊；

c)SYNFlood攻擊；

d)TearDrop攻擊；

e)Land攻擊；

f)超大ICMP數(shù)據(jù)攻擊。

.8網(wǎng)絡(luò)掃描防護(hù)

工控防火墻應(yīng)能夠檢測(cè)和記錄掃描行為，包括對(duì)受保護(hù)網(wǎng)絡(luò)的掃描。

應(yīng)用層控制

.1應(yīng)用協(xié)議控制

工控防火墻應(yīng)能識(shí)別并控制各種應(yīng)用類型，具體技術(shù)要求如下：

a)支持HTTP、FTP、Telnet等常見(jiàn)通用應(yīng)用層協(xié)議；

b)支持目前常用工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet、DNP3、IEC104等

（僅對(duì)部署域間的工控防火墻適用）；

c)自定義應(yīng)用類型。

.2工業(yè)協(xié)議深度內(nèi)容檢測(cè)

工控防火墻應(yīng)能對(duì)主流工業(yè)協(xié)議進(jìn)行深度內(nèi)容檢測(cè)，具體技術(shù)要求如下：

a)應(yīng)至少支持對(duì)一種工業(yè)協(xié)議的深度內(nèi)容檢測(cè)；

b)協(xié)議格式檢查；

c)支持對(duì)工業(yè)協(xié)議的操作類型、操作對(duì)象、操作范圍等參數(shù)進(jìn)行控制；

d)其他類型的應(yīng)用內(nèi)容。

具體工控協(xié)議檢測(cè)深度見(jiàn)附錄D

安全運(yùn)維管理

.1運(yùn)維管理

工控防火墻應(yīng)具備管理功能，具體技術(shù)要求如下：

a)支持對(duì)授權(quán)管理員的口令鑒別方式，且口令設(shè)置滿足安全要求；

8

GB/TXXXXX—XXXX

b)應(yīng)在所有授權(quán)管理員、可信主機(jī)、主機(jī)請(qǐng)求執(zhí)行任何操作之前，對(duì)每個(gè)授權(quán)管理員、可信主機(jī)、

主機(jī)進(jìn)行唯一的身份鑒別；

c)應(yīng)對(duì)授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別；

d)應(yīng)具有登錄失敗處理功能，身份鑒別在經(jīng)過(guò)一個(gè)可設(shè)定的鑒別失敗最大次數(shù)后，工控防火墻應(yīng)

終止可信主機(jī)或用戶建立的會(huì)話；

e)工控防火墻應(yīng)為每一個(gè)規(guī)定的授權(quán)管理員、可信主機(jī)、主機(jī)提供一套唯一的為執(zhí)行安全策略所

必需的安全屬性；

f)應(yīng)支持進(jìn)行本地管理工控防火墻；

g)應(yīng)支持通過(guò)安全管理平臺(tái)方式對(duì)工控防火墻進(jìn)行集中管理；

h)應(yīng)支持通過(guò)網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并可限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口；

i)遠(yuǎn)程管理過(guò)程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應(yīng)非明文傳輸；

j)對(duì)于數(shù)據(jù)加密或者非明文的傳輸、存儲(chǔ)要求，需遵守國(guó)家密碼局的相關(guān)規(guī)定；

k)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能；

l)向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能；

m)向授權(quán)管理員提供管理審計(jì)日志的功能；

n)工控防火墻應(yīng)支持將管理用戶分為系統(tǒng)管理員、審計(jì)員和安全管理員，實(shí)現(xiàn)工控防火墻設(shè)備

的三權(quán)分離。

.2安全審計(jì)

工控防火墻應(yīng)具備安全審計(jì)功能，具體技術(shù)要求如下：

a)記錄事件類型

1)試圖登錄工控防火墻管理端口和管理身份鑒別請(qǐng)求；

2)對(duì)工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設(shè)置，路由設(shè)置，管理用戶的增

加、刪除、修改，安全策略的配置等；

3)日志信息的備份、刪除、查找等；

4)從內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)發(fā)起的試圖穿越或到達(dá)工控防火墻的違反安全策略的訪問(wèn)請(qǐng)求；

5)被訪問(wèn)控制策略允許、禁止的訪問(wèn)請(qǐng)求；

6)檢測(cè)到的攻擊行為；

7)其他應(yīng)該記錄的事件信息。

b)日志內(nèi)容

1)數(shù)據(jù)包的協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口；

2)訪問(wèn)控制發(fā)生的時(shí)間，日期必須包括年、月、日，時(shí)間必須包括時(shí)、分、秒；

3)產(chǎn)生日志記錄的訪問(wèn)控制策略執(zhí)行結(jié)果；

4)攻擊事件其他需要描述的信息；

5)工控防火墻操作事件發(fā)生的時(shí)間，日期必須包括年、月、日，時(shí)間必須包括時(shí)、分、秒；

6)執(zhí)行操作的用戶、執(zhí)行操作的結(jié)果；

7)應(yīng)根據(jù)日志內(nèi)容設(shè)置日志級(jí)別，包括但不限于調(diào)試、信息、警告、錯(cuò)誤等多個(gè)級(jí)別；

8)應(yīng)至少支持一種以上工業(yè)協(xié)議深度內(nèi)容審計(jì)，審計(jì)深度與工業(yè)協(xié)議深度內(nèi)容檢測(cè)深度一

致。

.3日志管理

工控防火墻應(yīng)支持日志管理功能，具體技術(shù)要求如下：

a)應(yīng)只允許授權(quán)審計(jì)員能夠?qū)θ罩具M(jìn)行讀取、存檔、導(dǎo)出、刪除和清空等操作；

9

GB/TXXXXX—XXXX

b)應(yīng)提供能查閱日志的工具，具備對(duì)審計(jì)事件以時(shí)間、日期、主體標(biāo)識(shí)、客體標(biāo)識(shí)等條件檢索的

能力，并且只允許授權(quán)管理員使用查閱工具；

c)審計(jì)事件應(yīng)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)至少能夠通知授權(quán)審計(jì)

員；

d)應(yīng)支持第三方日志管理系統(tǒng)對(duì)工控防火墻日志信息進(jìn)行集中收集、存儲(chǔ)。

.4安全管理

.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應(yīng)滿足以下要求：

a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)；

b)不含任何導(dǎo)致產(chǎn)品權(quán)限丟失、拒絕服務(wù)等的安全漏洞。

.4.2異常處理機(jī)制

工控防火墻在非正常條件（比如掉電、強(qiáng)行關(guān)機(jī)）關(guān)機(jī)再重新啟動(dòng)后，應(yīng)滿足如下技術(shù)要求：

a)安全策略恢復(fù)到關(guān)機(jī)前的狀態(tài)；

b)日志信息不會(huì)丟失；

c)管理員重新鑒別。

.5高可用性

.5.1Bypass功能

部署在現(xiàn)場(chǎng)控制層的工控防火墻應(yīng)具備Bypass功能，當(dāng)工控防火墻自身出現(xiàn)斷電或其他軟硬件故障

時(shí)，應(yīng)使工控防火墻內(nèi)部接口與外部接口直接物理連通，保持內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的正常通信。

.5.2多工作模式

工控防火墻應(yīng)支持多種工作模式，保證工控防火墻區(qū)分部署和工作過(guò)程以實(shí)現(xiàn)對(duì)被防護(hù)系統(tǒng)的最小

影響，具體技術(shù)要求如下：

a)支持學(xué)習(xí)模式，工控防火墻記錄運(yùn)行過(guò)程中經(jīng)過(guò)防火墻的所有策略、資產(chǎn)等信息，形成白名單

策略集；

b)應(yīng)至少支持一種工控協(xié)議的深度策略學(xué)習(xí)，學(xué)習(xí)深度與工業(yè)協(xié)議深度內(nèi)容檢測(cè)深度一致；

c)支持驗(yàn)證模式或測(cè)試模式，該模式下工控防火墻對(duì)白名單策略外的行為做告警，但不攔截；

d)支持工作模式，工控防火墻的正常工作模式，嚴(yán)格按照防護(hù)策略進(jìn)行過(guò)濾等動(dòng)作保護(hù)。

.5.3安全策略無(wú)擾下裝

進(jìn)行工控防火墻安全策略應(yīng)用時(shí)不應(yīng)該影響正常的數(shù)據(jù)通信。

.5.4時(shí)鐘同步

工控防火墻應(yīng)支持與時(shí)鐘服務(wù)器自動(dòng)同步時(shí)鐘功能。

.5.5電源冗余

部署現(xiàn)場(chǎng)控制層的工控防火墻應(yīng)提供雙電源冗余功能

.5.6散熱方式

10

GB/TXXXXX—XXXX

部署現(xiàn)場(chǎng)控制層的工控防火墻應(yīng)采用自然散熱，無(wú)風(fēng)扇方式設(shè)計(jì)。

.5.7雙機(jī)熱備

部署域間的工控防火墻應(yīng)具備雙機(jī)熱備的能力，當(dāng)主防火墻自身出現(xiàn)斷電或其他故障時(shí)，備防火

墻應(yīng)及時(shí)發(fā)現(xiàn)并接管主防火墻進(jìn)行工作

5.3.2安全保證要求

工控防火墻增強(qiáng)級(jí)安全保證要求，按照IT防火墻標(biāo)準(zhǔn)GB/T20281中關(guān)于IT防火墻增強(qiáng)級(jí)安全保

證要求的規(guī)定執(zhí)行。

11

GB/TXXXXX—XXXX

AA

附錄A

附錄B（資料性附錄）

附錄C環(huán)境適應(yīng)性要求

本標(biāo)準(zhǔn)的環(huán)境適應(yīng)性要求包括氣候、電磁兼容、絕緣、接地、機(jī)械適應(yīng)性、外殼防護(hù)。每一項(xiàng)又有

各自的具體要求。應(yīng)根據(jù)設(shè)備實(shí)際部署環(huán)境的不同，由用戶和設(shè)備制造商確定具體應(yīng)滿足的要求。

本標(biāo)準(zhǔn)環(huán)境適應(yīng)性要求章節(jié)的編寫(xiě)主要參考了GB/T30094-2013工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范，其參

考的相關(guān)標(biāo)準(zhǔn)主要為GB/T2423系列電工電子產(chǎn)品環(huán)境試驗(yàn)，GB/T17626系列電磁兼容試驗(yàn)和測(cè)量

技術(shù)，其余詳見(jiàn)下文。

本章節(jié)所涉及的標(biāo)準(zhǔn)，凡是未注明日期的，應(yīng)參考該標(biāo)準(zhǔn)最新版本。

A.1氣候

A.1.1溫度

表A.1規(guī)定了設(shè)備工作、貯存和運(yùn)輸溫度條件。設(shè)備在規(guī)定的工作溫度范圍內(nèi)工作時(shí)，其功能和性

能應(yīng)滿足本標(biāo)準(zhǔn)的規(guī)定。在規(guī)定的溫度范圍內(nèi)貯存和運(yùn)輸時(shí)，不應(yīng)發(fā)生裂痕、老化或其他損壞；當(dāng)經(jīng)受

該溫度范圍后再恢復(fù)到工作溫度范圍時(shí)，設(shè)備應(yīng)能正常工作。

應(yīng)用于溫度快速變化場(chǎng)合的設(shè)備、在經(jīng)受不超過(guò)50C/min的溫度變化時(shí)應(yīng)能正常工作。

表A.1溫度條件

工作溫度/0C貯存和運(yùn)輸溫度/0C

等級(jí)

低溫高溫低溫高溫

Ⅰ060-4070

Ⅱ-4070-4085

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體溫度要求范圍可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

A.1.2相對(duì)濕度

設(shè)備在表A.2規(guī)定的相對(duì)濕度環(huán)境條件下應(yīng)能正常工作：

表A.2相對(duì)濕度條件（無(wú)凝結(jié)）

等級(jí)低相對(duì)濕度（%）高相對(duì)濕度（%）

Ⅰ595

12

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體相對(duì)濕度要求范圍可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

A.1.3大氣壓力

設(shè)備工作大氣壓力條件見(jiàn)表A.3

表A.3大氣壓力條件

等級(jí)低氣壓/kPa高氣壓/kPa

Ⅰ80106

Ⅱ70106

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體抗腐蝕性要求范圍可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

A.1.4防腐蝕

設(shè)備工作在鹽霧環(huán)境條件下或存在其他化學(xué)活性物質(zhì)，應(yīng)提供工業(yè)環(huán)境中抗腐蝕和侵蝕的能力，保

證設(shè)備在表A.4、A.5規(guī)定的環(huán)境條件下能夠長(zhǎng)期使用。

表A.4鹽霧

等級(jí)最大鹽霧濃度（mg/m3）

Ⅰ≤5

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體抗腐蝕性要求范圍可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.5化學(xué)活性物質(zhì)條件

等級(jí)依據(jù)標(biāo)準(zhǔn)化學(xué)活性物質(zhì)

Ⅰ工業(yè)清潔空氣

ⅡGB/T17214.4中等污染

Ⅲ嚴(yán)重污染

13

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體抗腐蝕性要求范圍可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

A.1.5抗霉變

設(shè)備工作在潮濕多雨地區(qū)和霉菌滋生環(huán)境下不應(yīng)發(fā)生霉變，并能夠正常工作。

A.2電磁兼容性

設(shè)備應(yīng)滿足工業(yè)環(huán)境中的電磁兼容性要求，具體技術(shù)指標(biāo)見(jiàn)下列表A.7～表A.26。

其中，電磁兼容輻射和傳導(dǎo)發(fā)射限值按GB4824為CLASSA，電磁兼容抗擾度的性能判據(jù)要求詳見(jiàn)表

A.6。

表A.6性能判據(jù)

性能評(píng)價(jià)判據(jù)說(shuō)明

A試驗(yàn)期間和試驗(yàn)后受試設(shè)備均應(yīng)按預(yù)期要求繼續(xù)運(yùn)行，無(wú)功能喪失或性能下降

B試驗(yàn)期間，受試設(shè)備允許出現(xiàn)暫時(shí)的性能下降或功能喪失,但設(shè)備可以自我恢復(fù)，

試驗(yàn)后設(shè)備應(yīng)按預(yù)期要求繼續(xù)運(yùn)行。不能出現(xiàn)系統(tǒng)死機(jī)、復(fù)位或重啟。

C試驗(yàn)期間，允許受試設(shè)備出現(xiàn)暫時(shí)的性能下降或功能喪失，但需要人工干預(yù)或系

統(tǒng)復(fù)位才能恢復(fù)

表A.7輻射發(fā)射及傳導(dǎo)發(fā)射要求

測(cè)試項(xiàng)測(cè)試端口參考標(biāo)準(zhǔn)測(cè)試頻段限值

輻射發(fā)射整機(jī)GB4824、30MHz～1GHzA類

GB9254

傳導(dǎo)發(fā)射電源口、信號(hào)口150KHz～30MHzA類

表A.8外殼端口靜電放電抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ3（接觸放電±6KV，空氣放電±8KV）A

ⅡGB/T17626.24（接觸放電±8KV，空氣放電±15KV）A

Ⅹ特定

14

GB/TXXXXX—XXXX

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.9整機(jī)射頻電磁場(chǎng)輻射抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)試驗(yàn)頻段判據(jù)

Ⅰ2（3V/m,80%AM）A

80MHz～1GHz

ⅡGB/T17626.33（10V/m,80%AM）A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.10電源端口及信號(hào)端口電快瞬變脈沖群抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ3（電源口±2KV，信號(hào)口±1KV）A

ⅡGB/T17626.44（電源口±4KV，信號(hào)口±2KV）A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.11信號(hào)端口浪涌（沖擊）抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ2A

ⅡGB/T17626.5線-地3A

Ⅲ4A

15

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.12直流電源輸入端口浪涌（沖擊）抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ33A

線-地線-線

ⅡGB/T17626.544A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.13交流電源輸入端口浪涌（沖擊）抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ33A

線-地線-線

ⅡGB/T17626.544A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.14電源端口及信號(hào)端口射頻場(chǎng)感應(yīng)的傳導(dǎo)騷擾抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)試驗(yàn)頻段判據(jù)

Ⅰ2（3V,80%AM）A

ⅡGB/T17626.63（10V,80%AM）150KHz～80MHzA

Ⅹ特定

16

GB/TXXXXX—XXXX

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.15整機(jī)工頻磁場(chǎng)抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ穩(wěn)定持續(xù)磁場(chǎng)：4級(jí)A

短時(shí)作用磁場(chǎng)：4級(jí)

ⅡGB/T17626.8穩(wěn)定持續(xù)磁場(chǎng)：5級(jí)A

短時(shí)作用磁場(chǎng)：5級(jí)

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.16整機(jī)阻尼振蕩磁場(chǎng)抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ4A

ⅡGB/T17626.105A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.17電源端口阻尼振蕩波抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

ⅠGB/T17626.12-1998表22A

17

GB/TXXXXX—XXXX

Ⅱ3A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.18振鈴波抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ3A

ⅡGB/T17626.12表14A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.19電源口0Hz～150Hz共模傳導(dǎo)騷擾抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ3A

ⅡGB/T17626.164A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.20交流電源輸入端口電壓暫降抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ2類B

GB/T17626.11

Ⅱ3類B

18

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.21交流電源輸入端口短時(shí)中斷抗擾度要求

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ2類C

ⅡGB/T17626.113類C

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.22交流電源輸入端口電壓變化抗擾度要求

試驗(yàn)參數(shù)

等

依據(jù)標(biāo)準(zhǔn)

級(jí)電壓實(shí)驗(yàn)等電壓降低所需時(shí)降低后電壓維持時(shí)電壓增加所需時(shí)

判據(jù)

級(jí)間間間

Ⅰ70%突變1周期25周期A

GB/T17626.11

Ⅹ特定特定特定特定特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.23直流電源輸入端口紋波抗擾度

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

ⅠGB/T17626.172A

19

GB/TXXXXX—XXXX

Ⅱ3A

Ⅲ4A

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.24直流電源輸入端口電壓暫降抗擾度

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ試驗(yàn)等級(jí)：40%和70%UT；持續(xù)時(shí)間：1sA

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.25直流電源輸入端口短時(shí)中斷抗擾度

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ試驗(yàn)等級(jí)：0%UT；持續(xù)時(shí)間：1sB

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

表A.26直流電源輸入端口電壓變化抗擾度

等級(jí)依據(jù)標(biāo)準(zhǔn)嚴(yán)酷等級(jí)判據(jù)

Ⅰ試驗(yàn)等級(jí)：80%和120%UT；持續(xù)時(shí)間：10sA

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個(gè)開(kāi)放等級(jí)，具體電磁兼容性能力要求可根據(jù)設(shè)備實(shí)際應(yīng)用環(huán)境與客戶協(xié)商確定。

20

GB/TXXXXX—XXXX

A.3絕緣性能

A.3.1絕緣電阻

設(shè)備的絕緣電阻要求見(jiàn)表A.27。

表A.27絕緣電阻要求

名稱依據(jù)標(biāo)準(zhǔn)

一般環(huán)境絕緣電阻GB/T13729-2002表13

濕熱環(huán)境絕緣電阻GB/T13729-2002表14

A.3.2絕緣耐壓

設(shè)備應(yīng)絕緣耐壓要求見(jiàn)表A.28。

表A.28絕緣耐壓要求

名稱依據(jù)標(biāo)準(zhǔn)