《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求-編制說明》

1工作簡況

1.1任務(wù)來源

2013年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

（SAC/TC260）主任辦公會討論通過，研究編制《信息安全技術(shù)工業(yè)

控制系統(tǒng)專用防火墻技術(shù)要求》國家標(biāo)準(zhǔn)。該項(xiàng)目由全國信息安全標(biāo)

準(zhǔn)化技術(shù)委員會提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，由北京

和利時(shí)系統(tǒng)工程有限公司負(fù)責(zé)主辦。

國家發(fā)改委頒布了發(fā)改辦高技[2012]288號文《國家發(fā)展改革委

辦公廳關(guān)于組織實(shí)施2012年國家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)有關(guān)試

點(diǎn)和標(biāo)準(zhǔn)工作事項(xiàng)的通知》，開展實(shí)施一系列共81個(gè)下一代互聯(lián)網(wǎng)信

息安全標(biāo)準(zhǔn)的“下一代互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)專項(xiàng)項(xiàng)目”。工控防火墻

作為發(fā)改委重點(diǎn)扶持發(fā)展的十類下一代信息安全產(chǎn)品之一，表明了工

控防火墻在下一代互聯(lián)網(wǎng)信息安全產(chǎn)品中的地位，其標(biāo)準(zhǔn)的建設(shè)工作

至關(guān)重要。因此本標(biāo)準(zhǔn)項(xiàng)目建設(shè)工作主要是為配合國家下一代互聯(lián)網(wǎng)

產(chǎn)業(yè)中信息安全產(chǎn)品層面的推廣和落地。

1.2協(xié)作單位

在接到《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》標(biāo)

準(zhǔn)的任務(wù)后，北京和利時(shí)工程有限公司立即與信息安全產(chǎn)品檢測機(jī)

構(gòu)、各生產(chǎn)工控防火墻的廠商進(jìn)行溝通，并得到了多家業(yè)內(nèi)知名廠商

的積極參與和反饋。經(jīng)過層層篩選之后，最后確定由公安部第三研究

1

所、網(wǎng)神信息技術(shù)（北京）股份有限公司、浙江中控技術(shù)股份有限公

司等單位作為標(biāo)準(zhǔn)編制協(xié)作單位。

1.3主要工作過程

1.3.1成立編制組

2013年10月接到標(biāo)準(zhǔn)編制任務(wù)，組建標(biāo)準(zhǔn)編制組，由本公司、

公安三所、網(wǎng)神、浙江中控聯(lián)合編制。編制組由具有資深的工業(yè)控制

系統(tǒng)專業(yè)人員、資深的防火墻產(chǎn)品檢測經(jīng)驗(yàn)人員以及熟悉CC參并與

多項(xiàng)信息安全標(biāo)準(zhǔn)編制的人員組成。和利時(shí)人員包括朱毅明、王弢、

劉太洪等；公安三所包括顧健、鄒春明等。

1.3.2制定工作計(jì)劃

編制組首先制定了編制工作計(jì)劃，并確定了編制組人員例會安排

以便及時(shí)溝通交流工作情況。

1.3.3參考資料

該標(biāo)準(zhǔn)編制過程中，主要參考了：

?GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則

?GB/T20281信息安全技術(shù)防火墻安全技術(shù)要求和測試評

價(jià)方法

?GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則

?GB/T17214.1工業(yè)過程測量和控制裝置的工作條件第1部分：

氣候條件

2

?GB/T17214.3工業(yè)過程測量和控制裝置的工作條件第3部分：

機(jī)械影響

?GB/T17214.4工業(yè)過程測量和控制裝置的工作條件第4部分：

腐蝕和侵蝕影響

?GB/T2423.1電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)A：低溫

?GB/T2423.2電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)B：高溫

?GB/T2423.3電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Cab：恒定濕熱試驗(yàn)

?GB/T2423.4電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Db：交變濕熱試驗(yàn)（12h+12h循環(huán)）

?GB/T2423.5電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Ea和導(dǎo)則：沖擊

?GB/T2423.8電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Ed：自由跌落

?GB/T2423.10電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Fc：振動（正弦）

?GB/T2423.16電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)J及導(dǎo)則：長霉

?GB/T2423.18電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Kb：鹽霧，交變（氯化鈉溶液）

3

?GB/T2423.21電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)M：低氣壓

?GB/T2423.22電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)N：溫度變化

?GB/T2423.51電工電子產(chǎn)品環(huán)境試驗(yàn)第2部分：試驗(yàn)方法試

驗(yàn)Ke：流動混合氣體腐蝕試驗(yàn)

?GB/T14598.3-2006電氣繼電器第5部分：量度繼電器和

保護(hù)裝置的絕緣配合要求和試驗(yàn)

?GB/T17799.2-2003電磁兼容通用標(biāo)準(zhǔn)工業(yè)環(huán)境中的抗擾度

試驗(yàn)

?GB/T17799.4-2012電磁兼容通用標(biāo)準(zhǔn)工業(yè)環(huán)境中的發(fā)射標(biāo)

準(zhǔn)

?GB/T18268-2000測量、控制和實(shí)驗(yàn)室用的電設(shè)備電磁兼容

性要求

?GB17625.1-2012電磁兼容限值諧波電流發(fā)射限值（設(shè)備

每相輸入電流≤16A）

?GB17625.1-2012電磁兼容限值對每項(xiàng)額定電流≤16A且

無條件接入的設(shè)備在公用低壓供電系統(tǒng)中產(chǎn)生的電壓變化、電

壓波動和閃爍的限值

?GB/T17626.2-2006電磁兼容試驗(yàn)和測量技術(shù)靜電放電抗

擾度試驗(yàn)

?GB/T17626.3-2003電磁兼容試驗(yàn)和測量技術(shù)射頻電磁場

4

輻射抗擾度試驗(yàn)

?GB/T17626.4-2008電磁兼容試驗(yàn)和測量技術(shù)電快速瞬變

脈沖群抗擾度試驗(yàn)

?GB/T17626.5-2008電磁兼容試驗(yàn)和測量技術(shù)浪涌(沖擊)

抗擾度試驗(yàn)

?GB/T17626.6-2008電磁兼容試驗(yàn)和測量技術(shù)射頻場感應(yīng)

的傳導(dǎo)騷擾抗擾度

?GB/T17626.8-1998電磁兼容試驗(yàn)和測量技術(shù)工頻磁場抗

擾度試驗(yàn)

?GB/T17626.11-2008電磁兼容試驗(yàn)和測量技術(shù)電壓暫降、短

時(shí)中斷和電壓變化抗擾度試驗(yàn)

?GB/T17626.29-2006電磁兼容試驗(yàn)和測量技術(shù)直流電源輸

入端口電壓暫降、短時(shí)中斷和電壓變化抗擾度試驗(yàn)

?GB/T25931網(wǎng)絡(luò)測量和控制系統(tǒng)的精確時(shí)鐘同步協(xié)議

?GB4208-2008外殼防護(hù)等級（IP代碼）

?GB9254-2008信息技術(shù)設(shè)備的無線電騷擾限制和測量方法

?GB4793.1-2007測量、控制和實(shí)驗(yàn)室用電設(shè)備的安全要求第

1部分：通用要求

?GB4943.1-2011信息技術(shù)設(shè)備安全第1部分：通用要求

?GB/T30094-2013工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范

?IEC62443-1-1工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第1-1術(shù)語、概述和模型

5

?IEC62443-1-3工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第1-3系統(tǒng)的安全性符合指標(biāo)

?IEC62443-2-1工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第2-1建立工業(yè)自動化和PLC系統(tǒng)（IACS）安全程序

?IEC62443-3-2工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第3-2用于區(qū)域和管道的安全保證等級（SAL）

?IEC62443-4-1工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第4-1用于工業(yè)自動化和PLC系統(tǒng)的產(chǎn)品開發(fā)要求

?IEC62443-4-2工業(yè)過程測量和控制安全-網(wǎng)絡(luò)和系統(tǒng)安全

第4-2用于工業(yè)自動化和PLC系統(tǒng)組件的技術(shù)的安全要求

?DL/T1241-2013電力工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范

?近幾年和利時(shí)工業(yè)控制系統(tǒng)實(shí)施資料

?近幾年到公安三所送檢的相關(guān)防火墻產(chǎn)品及其技術(shù)資料

1.3.4確定編制內(nèi)容

經(jīng)標(biāo)準(zhǔn)編制組研究決定，以原IT防火墻國標(biāo)（GB/T20281）內(nèi)容

和發(fā)改委專項(xiàng)測試要求為理論基礎(chǔ)，以現(xiàn)有工控防火墻的發(fā)展動向?yàn)?/p>

研究目標(biāo)，以GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)

則》和GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估

準(zhǔn)則》為主要參考依據(jù)，完成《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防

火墻技術(shù)要求》標(biāo)準(zhǔn)的編制工作。

1.3.5編制工作簡要過程

6

按照項(xiàng)目進(jìn)度要求，編制組人員首先對所參閱的產(chǎn)品、文檔以及

標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫標(biāo)準(zhǔn)編制提綱，在完

成對提綱進(jìn)行交流和修改的基礎(chǔ)上，開始具體的編制工作。

2014年2月，完成了對工控防火墻的相關(guān)技術(shù)文檔和有關(guān)標(biāo)準(zhǔn)的

前期基礎(chǔ)調(diào)研。在調(diào)研期間，主要對和利時(shí)多年來工控系統(tǒng)相關(guān)技術(shù)

資料，公安三所歷年防火墻產(chǎn)品的記錄、報(bào)告以及技術(shù)文檔材料進(jìn)行

了篩選、匯總、分析，對國內(nèi)外相關(guān)產(chǎn)品的發(fā)展動向進(jìn)行了研究，對

相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)進(jìn)行了分析理解。

2014年12月完成了標(biāo)準(zhǔn)草稿的編制工作。以編制組人員收集的

資料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)

草案（初稿）。

2015年4月，編制組在公安三所對標(biāo)準(zhǔn)草案（第一稿）進(jìn)行了討

論。并根據(jù)討論意見進(jìn)行修改。

2016年6月，編制組以意見征求會形式邀請綠盟、啟明星辰、威

努特等廠商代表以及鐵科院、沈自所、解放軍信安中心等行業(yè)專家進(jìn)

行現(xiàn)場征求意見，根據(jù)反饋意見，會后根據(jù)相關(guān)意見對標(biāo)準(zhǔn)草案進(jìn)行

了修改，形成草案（第二稿）。

2016年8月11日，編制組以標(biāo)準(zhǔn)推進(jìn)會形式邀請中國電子技術(shù)

標(biāo)準(zhǔn)化研究院、國家信息安全技術(shù)研究中心、電子四院、啟明星辰、

中國網(wǎng)安等組織的20多位相關(guān)行業(yè)專家進(jìn)行現(xiàn)場征求意見，根據(jù)反

饋意見，會后根據(jù)相關(guān)意見對標(biāo)準(zhǔn)草案進(jìn)行了修改，形成草案（第三

稿）。

7

2016年8月15日，TC260/WG5對本標(biāo)準(zhǔn)草案進(jìn)行了成員單位征

求意見，收到南京中新賽克、啟明星辰、山西天地三家成員單位11

條修改意見，編制組根據(jù)修改意見對草案進(jìn)行修改，形成草案（第四

稿）。

2016年8月24日，收到成員單位補(bǔ)充征求意見5條修改意見，

編制組根據(jù)修改意見對草案進(jìn)行修改，形成草案（第五稿）。

2016年8月25日，TC260/WG5在北京以推進(jìn)會的形式對連同本

標(biāo)準(zhǔn)在內(nèi)的多個(gè)標(biāo)準(zhǔn)進(jìn)行討論，本次討論會上，參會專家未對本標(biāo)準(zhǔn)

提出相關(guān)修改意見。

2016年8月29日提交本草案進(jìn)行WG5組內(nèi)專家評審，并通過專

家評審，評審專家未提出相關(guān)修改意見。

2016年9月6日本草案發(fā)起WG5組內(nèi)投票，本草案最終投票結(jié)果

是114個(gè)參與投票的成員單位全部贊成，標(biāo)準(zhǔn)無需修改轉(zhuǎn)為征求意見

稿。

1.3.6起草人及其工作

標(biāo)準(zhǔn)編制組具體由朱毅明、王弢、劉太洪、鄒春明、顧健等人組

成。王弢全面負(fù)責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作計(jì)劃、確定編制內(nèi)容

和整體進(jìn)度、人員的安排；劉太洪主要負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀分

析、標(biāo)準(zhǔn)各版本的編制、意見匯總的討論處理、編制說明的編寫等工

作；鄒春明負(fù)責(zé)標(biāo)準(zhǔn)校對審核工作，朱毅明、顧健主要負(fù)責(zé)標(biāo)準(zhǔn)編制

過程中的各項(xiàng)技術(shù)支持和整體指導(dǎo)。

8

2標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

為了使工控防火墻標(biāo)準(zhǔn)的內(nèi)容從一開始就與國家標(biāo)準(zhǔn)保持一致，

本標(biāo)準(zhǔn)的編寫參考了其他國家有關(guān)標(biāo)準(zhǔn)，主要有GB/T17859-1999、

GB/T20271-2006和GB/T18336-2008。

本標(biāo)準(zhǔn)符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。

具體原則與要求如下：

1）先進(jìn)性

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢。目前，我國

工控防火墻產(chǎn)品種類較多，功能良莠不齊，要制定出先進(jìn)的產(chǎn)品國家

標(biāo)準(zhǔn)，必須參考國內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具

有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

2）實(shí)用性

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，因此本標(biāo)準(zhǔn)的編寫是在對國

內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國的實(shí)際情況，

廣泛了解了市場上主流產(chǎn)品的功能，吸收其精華，制定出符合我國國

情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。

3）兼容性

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、

規(guī)范等相一致。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容

符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

9

2.2編制思路

目前，我國開展信息安全管理的綱領(lǐng)性文件有兩個(gè)，一個(gè)

GB17859，另一個(gè)是GB/T18336。這兩個(gè)國家標(biāo)準(zhǔn)從提綱挈領(lǐng)的角度

規(guī)定了我國開展信息安全管理和信息安全產(chǎn)品標(biāo)準(zhǔn)編制的基本原則。

具體理由闡述如下：

從20世紀(jì)80年代開始，世界各國相繼制定了多個(gè)信息技術(shù)安全

評價(jià)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)中美國國防部發(fā)布的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則

（TCSEC）是這方面最早的標(biāo)準(zhǔn)。

在TCSEC發(fā)布后的十多年里，美國政府和機(jī)構(gòu)的信息系統(tǒng)安全性

有了較大程度的提高，特別是在操作系統(tǒng)和數(shù)據(jù)庫方面，開創(chuàng)了安全

標(biāo)準(zhǔn)的先河。根據(jù)TCSEC而進(jìn)行的評估項(xiàng)目已經(jīng)向一百多種商業(yè)安

全產(chǎn)品頒發(fā)了證書，達(dá)到C2級的操作系統(tǒng)安全已得到世界上廣泛的

承認(rèn)。并隨后引發(fā)了加拿大和歐洲等國進(jìn)行相似標(biāo)準(zhǔn)的研發(fā)。

隨著信息安全的不斷向前推進(jìn)，人們發(fā)現(xiàn)TCSEC的一些要求太

嚴(yán)格，以致限制了其應(yīng)用范圍，需要新的評估準(zhǔn)則來完成TCSEC所

不能完成的使命。同時(shí)，信息安全產(chǎn)品的廠商迫切需要一種國際性的

評估準(zhǔn)則，而不是各國各自的不同準(zhǔn)則來評估其產(chǎn)品，這樣產(chǎn)品的國

際市場將大大拓寬。因此，1996年，CC作為時(shí)代發(fā)展的產(chǎn)物被推上

了歷史的舞臺。

為了更好的實(shí)現(xiàn)由TCSEC向CC的平穩(wěn)過渡，美國國防部下屬

機(jī)構(gòu)，“國家安全電信與信息系統(tǒng)安全委員會”（簡稱NSTISSC,現(xiàn)已

更名為“國家系統(tǒng)安全委員會”簡稱CNSS）于1999年3月發(fā)布了“關(guān)

10

于可信計(jì)算機(jī)評估準(zhǔn)則向國際信息技術(shù)安全評估通用準(zhǔn)則過渡的咨

詢備忘錄”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC準(zhǔn)則進(jìn)行評估的安全項(xiàng)目仍可進(jìn)行，但自1999

年2月1日起，任何新的安全產(chǎn)品必須采用CC來評估。截止到2001

年12月31日，之前所有采用TCSEC進(jìn)行評估的產(chǎn)品要么廢止，要

么將TCSEC級別相應(yīng)轉(zhuǎn)換為CC的保證級別，否則所有TCSEC級別

將被視為無效?！?/p>

目前，NSA根據(jù)CC已將TCSEC中的C2、B1、B2、B3級操作

系統(tǒng)形成了各自的PP，各類防火墻的PP已經(jīng)完成。

根據(jù)此備忘錄的精神，國家計(jì)算機(jī)安全處（NCSC）出版的包括

TCSEC在內(nèi)的彩虹系列在之后的時(shí)間里分別根據(jù)CC的需求進(jìn)行相

應(yīng)的分類，要么不再采用，要么修改采用以滿足CC的需求。

CC根據(jù)“安全保證要求”不斷遞增而分為7個(gè)保證級，但實(shí)際上

除了這7個(gè)保證級外，“保護(hù)輪廓”（PP）根據(jù)數(shù)據(jù)的敏感性、信息所

面對的威脅級別等要求也分為三種強(qiáng)健性級別：基本、中等、高級。

因此，即使是同種產(chǎn)品，由于應(yīng)用于不同強(qiáng)健級別的環(huán)境中，對其安

全功能要求不同，故PP的級別不同。這一點(diǎn)在本質(zhì)上與TCSEC的

按安全功能要求分為5級是相似的，也是CC在理論上承繼TCSEC

的具體體現(xiàn)。

上述資料表明，TCSEC與CC兩者雖然在不同的歷史時(shí)期出現(xiàn)，

但在本質(zhì)上它們是一脈相承，互相融合的。由于信息技術(shù)及市場需求

的發(fā)展，TCSEC準(zhǔn)則在過渡到CC的時(shí)候，將自身有價(jià)值的方面融

11

入新出現(xiàn)的CC準(zhǔn)則中，讓其不斷發(fā)揚(yáng)光大。

另一方面，TCSEC進(jìn)入中國以后，也結(jié)合中國的特點(diǎn)進(jìn)行了修

改與完善，并形成了強(qiáng)制性國家標(biāo)準(zhǔn)GB17859。

GB17859首先對計(jì)算機(jī)信息系統(tǒng)及其可信計(jì)算基（TCB）作了規(guī)

范性說明，指出：“計(jì)算機(jī)信息系統(tǒng)”是由計(jì)算機(jī)及其相關(guān)的配套設(shè)

備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)格對信息進(jìn)行

采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)，而“可信計(jì)算基”

則是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)

行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境，并提供一個(gè)可

信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。

GB17859在系統(tǒng)、科學(xué)地分析計(jì)算機(jī)信息系統(tǒng)安全問題的基礎(chǔ)

上，結(jié)合我國信息系統(tǒng)建設(shè)的實(shí)際情況，從技術(shù)角度將計(jì)算機(jī)信息系

統(tǒng)安全保護(hù)等級劃分為五個(gè)級別，即：用戶自主保護(hù)級、系統(tǒng)審計(jì)保

護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。這五個(gè)級

別定義了不同強(qiáng)度的信息系統(tǒng)保護(hù)能力，包含有不同要素和不同強(qiáng)度

的安全控制。安全保護(hù)能力從第一級到第五級逐級增強(qiáng)。

從某種意義上說，GB17859代表了中國信息安全的實(shí)際需求，

GB/T18336則代表了與國際接軌的需求。

所以，基于TCSEC的GB17859與翻譯自ISO/IEC15408的

GB/T18336共同組成了我國信息安全標(biāo)準(zhǔn)體系的兩大基礎(chǔ)。

作為單一的信息安全產(chǎn)品標(biāo)準(zhǔn)，必須同時(shí)兼顧GB17859與

GB/T18336的要求，才能做到既有特色與又能兼容，滿足國家主管部

12

門、廠商與用戶對工控防火墻標(biāo)準(zhǔn)的實(shí)際需求。所以，本標(biāo)準(zhǔn)的編制

將主要基于GB17859和GB/T18336進(jìn)行。

2.3標(biāo)準(zhǔn)內(nèi)容

2.3.1標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則

第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語和定義

4.縮略語

5.安全技術(shù)要求

6.附錄A.環(huán)境適應(yīng)性要求

7.附錄B.性能要求

8.附錄C.工控防火墻的應(yīng)用

9.附錄D.典型工控協(xié)議應(yīng)用層控制要求

2.3.2主要內(nèi)容

2.3.2.1范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語

該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以

何種方式引用，術(shù)語和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。

在術(shù)語中明確了“工業(yè)控制系統(tǒng)專用防火墻”、“深度包檢測”、

13

“深度內(nèi)容檢測”、“外部網(wǎng)絡(luò)”和“內(nèi)部網(wǎng)絡(luò)”等重要概念。

縮略語部分主要列出本標(biāo)準(zhǔn)中用的縮略語全稱及中文解釋。

2.3.2.3安全技術(shù)要求

標(biāo)準(zhǔn)將工控防火墻技術(shù)要求分為安全功能要求、安全保證要求兩

個(gè)大類。其中，安全功能要求是對工控防火墻應(yīng)具備的安全功能提出

具體要求，包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理；安全保證

要求針對工控防火墻的開發(fā)和使用文檔的內(nèi)容提出具體的要求，由于

工控防火墻的開發(fā)過程與傳統(tǒng)IT防火墻開發(fā)過程并無區(qū)別，因此安

全保證要求具體條款完全采用傳統(tǒng)IT防火墻標(biāo)準(zhǔn)（GB/T20281）最新

版的相關(guān)條款；

按照工控防火墻安全功能要求強(qiáng)度，以及參照GB/T18336.3-

2008，對工控防火墻安全等級進(jìn)行劃分。安全等級分為基本級和增強(qiáng)

級，安全功能強(qiáng)弱和安全保證要求高低是等級劃分的具體依據(jù)，安全

等級突出安全特性。此外根據(jù)工控防火墻應(yīng)用環(huán)境的差異，又可將工

控防火墻細(xì)分為部署在域間的工控防火墻和部署在現(xiàn)場控制層的工

控防火墻。

一、安全功能要求

產(chǎn)品安全功能要求主要對產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括

網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理三部分。

其中網(wǎng)絡(luò)層控制包括：包過濾、NAT、狀態(tài)檢測、動態(tài)端口開放、

IP/MAC綁定、流量會話管理、抗拒絕服務(wù)攻擊以及網(wǎng)絡(luò)掃描防護(hù)等；

應(yīng)用層控制包括：應(yīng)用協(xié)議控制、工業(yè)協(xié)議深度內(nèi)容檢測；安全運(yùn)

14

維管理包括：運(yùn)維管理、業(yè)務(wù)審計(jì)、安全審計(jì)、日志管理、安全管理

和高可用性。

表1安全功能要求分級說明

基本級增強(qiáng)級

安全功能要求

部署域間部署現(xiàn)場控制層部署域間部署現(xiàn)場控制層

包過濾******

NAT————*——

狀態(tài)檢測****

動態(tài)開放端口*——*——

網(wǎng)絡(luò)IP/MAC地址綁定****

層控連接數(shù)控制****

流量

制會話管理————**

會話

流量監(jiān)測————*——

管理

帶寬監(jiān)測————*——

抗拒絕服務(wù)攻擊****

網(wǎng)絡(luò)掃描防護(hù)****

應(yīng)用應(yīng)用協(xié)議控制******

層控

工業(yè)協(xié)議深度內(nèi)容檢測————**

制

運(yùn)維管理******

業(yè)務(wù)審計(jì)******

安全審計(jì)****

日志管理******

安全管理口獨(dú)立****

管理安全支撐系統(tǒng)****

安全

旁路保護(hù)****

運(yùn)維

管理多工作模式******

安全策略無擾**

**

高可下裝

用性時(shí)鐘同步****

電源冗余------*

散熱方式------*

雙機(jī)熱備----*--

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。

15

二、安全保證要求

該部分對產(chǎn)品的開發(fā)和使用文檔的內(nèi)容進(jìn)行了要求，包括配置管

理、交付與運(yùn)行、開發(fā)、指導(dǎo)性文檔、生命周期支持、測試保證和脆

弱性分析保證，該部分要求完全采用傳統(tǒng)IT防火墻標(biāo)準(zhǔn)GB/T20281

最新版條款。

16

四、性能要求

該部分對工控防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連

接速率和最大事務(wù)數(shù)等性能指標(biāo)進(jìn)行了要求。

2.3.2.4安全功能基本原理

本部分資料用以說明工控防火墻安全功能要求產(chǎn)生的過程。下述

內(nèi)容詳細(xì)描述了與工控防火墻安全需求相關(guān)的使用環(huán)境、安全風(fēng)險(xiǎn)和

組織策略，定義了工控防火墻及其支撐環(huán)境的安全目的，并通過對應(yīng)

關(guān)系論證了安全功能要求能夠追溯并覆蓋產(chǎn)品安全目的，安全目的能

夠追溯并覆蓋安全需求相關(guān)的使用環(huán)境、安全風(fēng)險(xiǎn)和組織策略。

一、安全需求

1、使用環(huán)境

工控防火墻安全需求相關(guān)的使用環(huán)境如表2所示。

表2使用環(huán)境

使用環(huán)境名稱使用環(huán)境描述

所有實(shí)施工控防火墻安全策略相關(guān)的硬件和軟件應(yīng)受

物理訪問

到保護(hù)，以免受非授權(quán)的物理更改

只用授權(quán)的管理員才能直接訪問或遠(yuǎn)程訪問工控防火

人員能力墻；授權(quán)管理員是無惡意的，訓(xùn)練有素的，并遵循管

理員指南

連接性工控防火墻是被分隔的安全域網(wǎng)絡(luò)之間的唯一連接點(diǎn)

當(dāng)工控防火墻的應(yīng)用環(huán)境發(fā)生變化時(shí)，應(yīng)立即反映在

安全維護(hù)

產(chǎn)品的安全策略中并保持其安全功能有效

2、安全風(fēng)險(xiǎn)

工控防火墻安全需求相關(guān)的安全風(fēng)險(xiǎn)如表3所示。

表3安全風(fēng)險(xiǎn)

17

安全風(fēng)險(xiǎn)名稱安全風(fēng)險(xiǎn)描述

非授權(quán)用戶可能試圖訪問和使用工控防火墻提供的安

未授權(quán)訪問全功能；未授權(quán)用戶是指除工控防火墻授權(quán)用戶之外

所有已經(jīng)或可能企圖訪問的人

未授權(quán)信息流未授權(quán)的信息流的流入\流出，可能導(dǎo)致外網(wǎng)非法信息

入、流出的入侵或內(nèi)網(wǎng)信息的泄露

網(wǎng)絡(luò)地址欺騙外部網(wǎng)絡(luò)的用戶可能嘗試偽裝利用內(nèi)網(wǎng)網(wǎng)絡(luò)地址，訪

攻擊問內(nèi)部資源

攻擊者可能對內(nèi)部受保護(hù)的網(wǎng)絡(luò)或主機(jī)進(jìn)行攻擊，這

網(wǎng)絡(luò)惡意攻擊

類攻擊可能已拒絕服務(wù)和穿透主機(jī)或網(wǎng)絡(luò)節(jié)點(diǎn)為目的

攻擊者可能對內(nèi)部受保護(hù)的服務(wù)資源進(jìn)行攻擊，這類

應(yīng)用惡意攻擊攻擊可能以惡意代碼的形式進(jìn)入網(wǎng)絡(luò)，導(dǎo)致服務(wù)資源

的信息泄露或崩潰

攻擊者可能繞過或欺騙身份鑒別機(jī)制，假冒授權(quán)管理

繞開鑒別機(jī)制

員或侵入已建立的會話連接。例如，攔截鑒別信息、

攻擊

重放有效地鑒別數(shù)據(jù)以及截取會話連接等攻擊

非授權(quán)用戶可能通過反復(fù)猜測鑒別數(shù)據(jù)的方法，進(jìn)一

持續(xù)鑒別攻擊

步獲取管理員權(quán)限

審計(jì)記錄丟失攻擊者可能采取耗盡審計(jì)存儲空間的方法導(dǎo)致審計(jì)記

或破壞錄丟失或破壞

設(shè)備脆弱性攻攻擊者可能通過工控防火墻的自身缺陷進(jìn)行攻擊，導(dǎo)

擊致產(chǎn)品權(quán)限丟失或功能故障

工控防火墻可能出現(xiàn)超負(fù)載、斷電故障等異常情況，

設(shè)備狀態(tài)異常

導(dǎo)致工控防火墻無法提供正常服務(wù)

3、組織策略

工控防火墻安全需求相關(guān)的組織策略如表4所示。

表4組織策略

組織策略名稱組織策略描述

為追蹤與安全相關(guān)活動的責(zé)任，工控防火墻應(yīng)對與安

安全審計(jì)全相關(guān)的事件進(jìn)行記錄、保存和審查，并提供一種可

理解方式供管理員讀取

工控防火墻應(yīng)為授權(quán)管理員提供管理手段，使其以安

安全管理

全的方式進(jìn)行管理

二、安全目的基本原理

1、產(chǎn)品安全目的

表5定義了工控防火墻的安全目的。這些安全目的旨在對應(yīng)

18

已標(biāo)識的安全風(fēng)險(xiǎn)或組織策略。

表5產(chǎn)品安全目的

產(chǎn)品安全目的對應(yīng)的安全風(fēng)險(xiǎn)

產(chǎn)品安全目的描述

名稱或組織策略

在允許用戶訪問產(chǎn)品功能之前，產(chǎn)

身份認(rèn)證品必須對用戶身份進(jìn)行唯一的標(biāo)識未授權(quán)訪問

和鑒別

工控防火墻應(yīng)控制流入\流出工控

防火墻的信息流，除了一般的協(xié)議未授權(quán)信息流

信息流控制

控制之外，還應(yīng)包括對工業(yè)控制信入、流出

息的深度檢測并控制

網(wǎng)絡(luò)地址欺騙攻

工控防火墻應(yīng)能抵抗地址欺騙、拒

擊

抗攻擊滲透絕服務(wù)、網(wǎng)絡(luò)掃描、工控應(yīng)用漏洞

網(wǎng)絡(luò)惡意攻擊

等常見攻擊

應(yīng)用惡意攻擊

工控防火墻應(yīng)具備安全機(jī)制防止惡

鑒別失敗處理持續(xù)鑒別攻擊

意用戶反復(fù)猜測鑒別數(shù)據(jù)

審計(jì)記錄應(yīng)受到充分保護(hù)，工控防

審計(jì)記錄丟失或

審計(jì)記錄保護(hù)火墻應(yīng)具備防止事件記錄丟失的措

破壞

施

為更好地防范工控防火墻自身的漏

繞開鑒別機(jī)制攻

洞，應(yīng)確保底層支撐系統(tǒng)的可靠性

自身保護(hù)擊

和穩(wěn)定性；此外工控防火墻還應(yīng)保

設(shè)備脆弱性攻擊

護(hù)授權(quán)管理員的通信會話連接

工控防火墻應(yīng)具備旁路保護(hù)、雙機(jī)

失效處理熱備、電源冗余等高可用性保證措設(shè)備狀態(tài)異常

施

未授權(quán)信息流

產(chǎn)品應(yīng)記錄業(yè)務(wù)、管理維護(hù)安全相入、流出

關(guān)的事件，以便追蹤安全相關(guān)行為網(wǎng)絡(luò)惡意攻擊

安全審計(jì)

的責(zé)任，并應(yīng)提供方法審查所記錄審計(jì)記錄丟失或

的數(shù)據(jù)破壞

審計(jì)

產(chǎn)品應(yīng)向授權(quán)管理員提供以安全方

安全管理管理

式進(jìn)行管理的有效手段

2、環(huán)境安全目的

表6定義了非技術(shù)或程序方法進(jìn)行處理的安全目的。該部分確定

的使用環(huán)境被包含在環(huán)境安全目的中。

19

表6環(huán)境安全目的

環(huán)境安全目的

環(huán)境安全目的描述對應(yīng)的使用環(huán)境

名稱

所有實(shí)施工控防火墻安全策略相

物理訪問關(guān)的硬件和軟件應(yīng)受到保護(hù)，以物理訪問

免受非授權(quán)的物理更改

只用授權(quán)的管理員才能直接訪問

或遠(yuǎn)程訪問工控防火墻；授權(quán)管

人員能力人員能力

理員是無惡意的，訓(xùn)練有素的，

并遵循管理員指南

工控防火墻是被分隔的安全域網(wǎng)

連接性連接性

絡(luò)之間的唯一連接點(diǎn)

當(dāng)工控防火墻的應(yīng)用環(huán)境發(fā)生變

安全維護(hù)化時(shí)，應(yīng)立即反映在產(chǎn)品的安全安全維護(hù)

策略中并保持其安全功能有效

三、安全功能要求基本原理

表7說明了安全功能要求的充分必要性的基本原理，即每個(gè)產(chǎn)品

安全目的都至少有一個(gè)安全功能要求與其對應(yīng)，每個(gè)安全功能要求都

至少解決了一個(gè)產(chǎn)品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明對應(yīng)關(guān)系。

表7安全功能要求基本原理

產(chǎn)品安

信息抗攻鑒別審計(jì)

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護(hù)處理審計(jì)管理

制透處理保護(hù)

產(chǎn)品功能要求

包過濾

NAT

狀態(tài)檢測

動態(tài)開放端口

網(wǎng)絡(luò)

IP/MAC地址綁

層控

定

制

流量會話管理

抗拒絕服務(wù)攻

擊

網(wǎng)絡(luò)掃描防護(hù)

應(yīng)用應(yīng)用協(xié)議控制

層控

制工業(yè)協(xié)議深度

20

產(chǎn)品安

信息抗攻鑒別審計(jì)

全目的身份自身失效安全安全

流控?fù)魸B失敗記錄

認(rèn)證保護(hù)處理審計(jì)管理

制透處理保護(hù)

產(chǎn)品功能要求

內(nèi)容檢測

運(yùn)維管理

業(yè)務(wù)審計(jì)

安全

安全審計(jì)

運(yùn)維

安全管理

管理

日志管理

高可用性

2.3.2.5環(huán)境適應(yīng)性要求

環(huán)境適應(yīng)性要求是對工控防火墻的部署應(yīng)用環(huán)境提出具體的要

求，主要包括工作溫度、相對濕度、大氣壓力、防腐蝕、電磁兼容性、

絕緣性能、機(jī)械適應(yīng)性等。該部分不做強(qiáng)制性要求，只作為資料性附

錄提出要求。

2.3.2.6性能要求

性能要求則是對工控防火墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定，包括吞

吐量、延遲、最大并發(fā)連接數(shù)和最大連接速率，該部分不做強(qiáng)制性要

求，只作為資料性附錄提出要求。

2.3.2.7工控防火墻的應(yīng)用

工控防火墻的目的是在不同的安全域之間建立安全控制點(diǎn)，根據(jù)

預(yù)先定義的訪問控制策略和安全防護(hù)策略，解析和過濾經(jīng)過工控防火

墻的數(shù)據(jù)流，實(shí)現(xiàn)向被保護(hù)的安全域提供訪問可控的服務(wù)請求。

工控防火墻保護(hù)的資產(chǎn)是受安全策略保護(hù)的網(wǎng)絡(luò)服務(wù)和資源等，

此外，工控防火墻本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的資產(chǎn)。工控

21

防火墻通常以路由模式或透明模式運(yùn)行，且一般將網(wǎng)絡(luò)劃分為若干個(gè)

安全域，通過安全策略實(shí)現(xiàn)對不同安全域間服務(wù)和訪問的審計(jì)和控

制。

下圖是工控防火墻的一個(gè)典型運(yùn)行環(huán)境。圖1在運(yùn)營管理層網(wǎng)絡(luò)

與監(jiān)督控制層網(wǎng)絡(luò)之間安全隔離。同層級網(wǎng)絡(luò)不同控制域間的安全邏

輯隔離，圖2在控制網(wǎng)絡(luò)與功能安全保護(hù)網(wǎng)絡(luò)之間安全隔離。圖3對

現(xiàn)場控制層設(shè)備進(jìn)行安全隔離。

圖1運(yùn)營管理層網(wǎng)絡(luò)與監(jiān)督控制層網(wǎng)絡(luò)之間安全隔離

22

圖2控制網(wǎng)絡(luò)與功能安全保護(hù)網(wǎng)絡(luò)之間安全隔離

圖3對現(xiàn)場控制層設(shè)備進(jìn)行安全隔離

環(huán)境適應(yīng)性要求是對工控防火墻的部署模式和應(yīng)用環(huán)境提出具

23

體的要求；性能要求則是對工控防火墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定，

包括吞吐量、延遲、最大并發(fā)連接數(shù)和最大連接速率。

，環(huán)境適應(yīng)性要求和性能要求不作為等級劃分依據(jù)

四、性能要求

該部分對工控防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連

接速率和最大事務(wù)數(shù)等性能指標(biāo)進(jìn)行了要求。

2.3.2.8典型工控協(xié)議應(yīng)用層控制要求

該部分主要對典型工業(yè)協(xié)議深度內(nèi)容檢測提出要求，主要包括以

下常用工業(yè)協(xié)議：ModbusTCP協(xié)議、OPC協(xié)議、S7協(xié)議、Ethernet/IP、

FINS、Profinet/IO、ProfiBusDP協(xié)議、IEC104協(xié)議、IEC61850/GOOSE、

IEC61850/SV、IEC61850/MMS、DNP3協(xié)議、FF協(xié)議。

2.4編制的背景和意義

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS），是由各種自動

化控制組件以及對實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)

成的確保工業(yè)基礎(chǔ)設(shè)施自動化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控

系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)視控制（SupervisoryControlAnd

DataAcquisition，SCADA）系統(tǒng)、過程控制系統(tǒng)（ProcessControl

System，PCS）、分布式控制系統(tǒng)（DistributedControlSystem，DCS）、

可編程邏輯控制器（ProgrammableLogicController，PLC）、遠(yuǎn)程終端

24

（RemoteTerminalUnit，RTU）、智能電子設(shè)備（IntelligentElectronic

Device，IED），以及確保各組件通信的接口技術(shù)。

過去十多年間，世界范圍內(nèi)的各類工業(yè)控制系統(tǒng)（DCS/PLC/PCS

等）及SCADA系統(tǒng)廣泛采用信息技術(shù)（InformationTechnology，IT），

微軟視窗操作系統(tǒng)Windows?,以太網(wǎng)Ethernet?及傳輸控制協(xié)議/因

特網(wǎng)互聯(lián)協(xié)議（TransmissionControlProtocol/InternetProtocol，

TCP/IP），現(xiàn)場總線(Fieldbus)技術(shù)，用于過程控制的對象連接與嵌入

（ObjectLinkingandEmbedding，OLE；OLEforProcessControl，

OPC）等技術(shù)的應(yīng)用使工業(yè)設(shè)備接口越來越開放，減弱了控制系統(tǒng)及

SCADA系統(tǒng)等與外界的隔離。但是，越來越多的案例表明，來自商

業(yè)網(wǎng)絡(luò)、因特網(wǎng)以及其它因素導(dǎo)致的網(wǎng)絡(luò)安全問題正逐漸在控制系統(tǒng)

及SCADA系統(tǒng)中擴(kuò)散，直接影響了工業(yè)穩(wěn)定生產(chǎn)及人身安全。

2003年1月，Slammer蠕蟲病毒入侵大量工廠網(wǎng)絡(luò)，直到防火墻

將其截獲，人們依然認(rèn)為系統(tǒng)是安全的。

2005年8月13日美國佳士拿汽車工廠的控制系統(tǒng)通過維修人員

的筆記本電腦感染病毒，雖然已安裝了IT防火墻，病毒就在幾秒鐘

之內(nèi)從一個(gè)車間感染到另一個(gè)車間，從而最終導(dǎo)致停工。

2006年10月一部被感染的維修用的筆記本電腦,讓黑客入侵訪問

了在美國賓夕法尼亞州的哈里斯堡水處理廠的計(jì)算機(jī)系統(tǒng)。

2007年，加拿大水利SCADA系統(tǒng)，通過安裝惡意軟件破壞了

用于取水調(diào)度的控制計(jì)算機(jī)。

2008年，波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳

25

道器，導(dǎo)致4節(jié)車廂脫軌；

2010年10月，肆虐伊朗國內(nèi)的“超級工廠病毒，Stuxnet蠕蟲病

毒”已經(jīng)造成伊朗布什爾核電站推遲發(fā)電，并對伊朗國內(nèi)工業(yè)造成大

面積影響。

2011年，美國伊利諾伊州城市供水系統(tǒng)，黑客入侵SCADA系統(tǒng)，

使得供水泵遭到破壞。

目前工業(yè)控制系統(tǒng)已廣泛應(yīng)用于我國電力、水利、石化、交通運(yùn)

輸、制藥以及大型制造行業(yè)，工控系統(tǒng)已是國家安全戰(zhàn)略的重要組成

部分，一旦工控系統(tǒng)中的數(shù)據(jù)信息及控制指令被攻擊者竊取篡改破

壞，將對工業(yè)生產(chǎn)和國家經(jīng)濟(jì)安全帶來重大安全風(fēng)險(xiǎn)。

我國工控系統(tǒng)起步于上世紀(jì)50年代，相比于國外晚了近半個(gè)世

紀(jì)，產(chǎn)業(yè)技術(shù)水平存在著一定的差距，目前工控系統(tǒng)復(fù)雜化、IT化

和通用化的趨勢在逐步增加而形成“管控一體化”趨勢，使得工控系

統(tǒng)與管理系統(tǒng)及互聯(lián)網(wǎng)相連通，內(nèi)部也越來越