GB/T 43342-2023帶有遠程操作功能的家用和類似用途電器自動控制器的安全要求（正式版）

GB/T43342—2023帶有遠程操作功能的家用和類似用途國家標準化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標準化管理委員會GB/T43342—2023 I Ⅱ 25通用要求 2 IGB/T43342—2023本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中國電器工業(yè)協(xié)會提出。本文件由全國家用自動控制器標準化技術(shù)委員會(SAC/TC212)歸口。本文件起草單位：青島海爾智能技術(shù)研發(fā)有限公司、中國電器科學(xué)研究院股份有限公司、美的集團華電器(江蘇)有限公司、青島海爾空調(diào)器有限總公司、湖北美的電冰箱有限公司、威凱檢測技術(shù)有限公司、廣東中創(chuàng)智家科學(xué)研究有限公司、廣州朗國電子科技股份有限公司、廣州市威士丹利智能科技有限寶電器股份有限公司、深圳和而泰智能控制股份有限公司、浙江哈爾斯真空器皿股份有限公司、杭州螢石軟件有限公司、青島海信日立空調(diào)系統(tǒng)有限公司、廣東歐曼科技股份有限公司、青島博芬智能科技股份有限公司、佛山市順德區(qū)本立電器科技有限公司、深圳市彩斕光電科技有限公司、中家院(北京)檢測認證有限公司、廣東華南家電研宄院、施耐德電氣(中國)有限公司深圳分公司、杭州鴻雁電器有限公司、代傲電子控制(南京)有限公司、廣東合捷電器股份有限公司、浙江偉江電器股份有限公司、浙江東信電市至拓智能控制系統(tǒng)有限公司、廈門華聯(lián)電子股份有限公司、深圳拓邦股份有限公司、廣東瑞德智能科市雅潔源科技股份有限公司、寧波恒達高智能科技股份有限公司、中山市海寶電器有限公司、澳柯瑪股份有限公司、寧波微科光電股份有限公司、廣東智科電子股份有限公司、箭牌家居集團股份有限公司、寧波歐知電器科技有限公司、廣東當家人智能電器有限公司、西安旭邁智能家電科技有限公司、廣東飛成新材料有限公司、寧波亞輝智能科技有限公司、廣東特華科技有限公司、浙江華叢數(shù)字科技有限公司、陜西碩恩大數(shù)據(jù)科技有限公司、寧波卡特馬克智能廚具股份有限公司、寧波思朗智能科技發(fā)展有限公ⅡGB/T43342—2023帶有遠程操作功能的家用和類似用途電器自動控制器相對于傳統(tǒng)自動控制器有安全要求的變——外部通信網(wǎng)絡(luò)引入信息安全以及功能安全的變化；——原有人值守轉(zhuǎn)變?yōu)闊o人值守的工作狀態(tài)引入安全變化；——嵌入式操作系統(tǒng)引入安全變化；-—人機交互方式的多樣性增加相應(yīng)的安全要求；——增加對過程數(shù)據(jù)的安全考慮，根據(jù)數(shù)據(jù)的重要性以及應(yīng)用分類需進行分類管控；因此，為了解決家用和類似用途電器自動控制器由于具有了遠程操作功能可能出現(xiàn)的各種安全風險問題，需要一份安全文件來進行總體規(guī)范。1GB/T43342—2023帶有遠程操作功能的家用和類似用途電器自動控制器的安全要求本文件適用于家用和類似用途電器中以及公共場頻及信息類產(chǎn)品自動控制器。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T14536.1電自動控制器第1部分：通用要求GB/T25069信息安全技術(shù)術(shù)語GB/T32915信息安全技術(shù)二元序列隨機性檢測方法GB/T35273信息安全技術(shù)個人信息安全規(guī)范ISO/IEC15408(所有部分)信息安全、網(wǎng)絡(luò)安全和隱私保護信息技術(shù)安全的評估標準(Infor-mationsecurity,cybersecurityandprivacyprotection—EvaluationcriteriaforITsecurity)GB/T14536.1、GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1通過屏幕、語音、手勢等交互方式，對連接網(wǎng)絡(luò)(包括無線和有線方式)的自動控制器本體發(fā)出指令，對自動控制器進行操作或者自動控制器通過網(wǎng)絡(luò)(包括無線和有線方式)向遠程操作機構(gòu)的管理者注3:自身的紅外線控制或者點對點的近距離無線通信不能稱為遠程操作。3.2無論是可見的位置還是不可見的位置，用于在人離開自動控制器的位置(包括可見的位置)對自動a)遠程操作控制器(通過網(wǎng)絡(luò)使用指令控制自動控制器的設(shè)備);2GB/T43342—2023c)智能音箱。注：遠程操作機構(gòu)既能與被遠程操作的自動控制器在同一個空間(房間)位置，也能處于同一個家庭空間的不同房3.3在沒有人看管和操作的狀態(tài)下運行。ADB:安卓調(diào)試橋(AndroidDebugBridge)AES:高級加密標準(AdvancedEncryptionStandard)API:應(yīng)用程序接口(ApplicationProgrammingInterface)DHCP:動態(tài)主機設(shè)置協(xié)議(DynamicHostConfigurationProtocol)DNS:域名系統(tǒng)(DomainNameSystem)ECC:誤差校正碼(ErrorCorrectingCode)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)ICMP:Internet控制報文協(xié)議(InternetControlMessageProtocol)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)MMU:內(nèi)存管理單元(MemoryManagementUnit)MPU:內(nèi)存保護單元(MemoryProtectionUnit)NTP:網(wǎng)絡(luò)時間協(xié)議(NetworkTimeProtocol)OTA:空中下載技術(shù)(Over-the-AirTechnology)PCB:印制電路板(PrintedCircuitBoard)PSK:預(yù)共享密鑰(Pre-SharedKey)SSH:安全外殼協(xié)議(SecureShell)URL:統(tǒng)一資源定位系統(tǒng)(UniformResourceLocator)WEB:萬維網(wǎng)(WorldWideWeb)5通用要求自動控制器應(yīng)滿足GB/T14536.1和GB/T35273要求。3GB/T43342—2023失效或故障的問題擴散，維持基本的安全運行模式；b)切換到獨立的備用系統(tǒng)。6技術(shù)要求6.1不同電源供應(yīng)方式要求自動控制器如采用電源供應(yīng)方式為電池或?qū)﹄娫垂?yīng)有限制的方式時，其設(shè)計的基本功能不應(yīng)依賴于遠程操作。對于通信方式支持睡眠模式的自動控制器，在狀態(tài)發(fā)生變化或報警時應(yīng)能被喚醒，保證信息的及時6.2長時間通電可靠運行在無人監(jiān)控狀態(tài)下，自動控制器應(yīng)能與產(chǎn)品要求相適應(yīng)，實現(xiàn)長時間通電可靠運行。6.3遠程操作功能的禁止和開啟自動控制器滿足以下要求：a)有打開或關(guān)閉網(wǎng)絡(luò)通信的功能；b)在正確安裝配置后根據(jù)用戶需求方可開啟遠程操作；c)有相應(yīng)的指示，顯示其是否開啟了遠程操作功能；d)允許遠程操作功能時，能對網(wǎng)絡(luò)通信狀態(tài)進行監(jiān)控，在網(wǎng)絡(luò)通信狀態(tài)不好時應(yīng)保證相應(yīng)的安全。6.4芯片安全如自動控制器使用安全芯片，則該安全芯片應(yīng)滿足ISO/IEC15408(所有部分)中EAL4+的全部保證組件要求。6.5接口安全自動控制器采取措施減少暴露的受攻擊面要求如下。a)在出廠前應(yīng)關(guān)閉不必要的硬件端口，不預(yù)留后門，對于可物理接入的調(diào)試接口，滿足以下要求的一種：1)自動控制器的調(diào)試功能應(yīng)具備認證機制，保證僅已授權(quán)用戶可以訪問；2)自動控制器的調(diào)試接口和調(diào)試功能應(yīng)被加密處理或被禁用，以保證信息不被非授權(quán)用戶讀取或篡改。b)應(yīng)具備打開和關(guān)閉外部通信接口的功能，自動控制器在出廠時默認外部通信接口為關(guān)閉。c)端口開放應(yīng)遵循最小化原則，默認關(guān)閉非必需使用的端口，如：遠程登錄協(xié)議(Telnet)、安全外d)應(yīng)為用戶分配最小必要的接口訪問權(quán)限，默認關(guān)閉可直接進入自動控制器系統(tǒng)的特權(quán)能力或e)在初始化狀態(tài)下，自動控制器網(wǎng)絡(luò)接口應(yīng)防止向未經(jīng)身份驗證的用戶泄露非必要的安全相關(guān)GB/T43342—2023f)自動控制器應(yīng)避免非必要地暴露物理接口，防止受到攻擊。g)應(yīng)保證無法通過內(nèi)部和/或外部暴露的物理走線、引腳或接口等媒介獲取敏感信息。h)自動控制器的PCB與信息安全相關(guān)的關(guān)鍵器件，不應(yīng)存在用以標注芯片端口、接插件管腳、通信線路信號、測試和調(diào)試功能的可讀絲印。6.6網(wǎng)絡(luò)通信安全6.6.1網(wǎng)絡(luò)通信部件的安全要求設(shè)計自動控制器的軟硬件時，宜采用模塊化設(shè)計，網(wǎng)絡(luò)通信部件采用接口方式與自動控制器主控部分進行軟硬件分離。自動控制器應(yīng)能隨時監(jiān)控其網(wǎng)絡(luò)通信的情況并取得相關(guān)網(wǎng)絡(luò)數(shù)據(jù)。通過網(wǎng)絡(luò)通信方式對自動控制器進行遠程操作，使用的網(wǎng)絡(luò)通信協(xié)議應(yīng)保證所傳輸數(shù)據(jù)的保密性、完整性、可用性，且自動控制器對于錯誤的指令應(yīng)具有辨別的能力，對于不符合自動控制器運行邏輯的指令不予以執(zhí)行。自動控制器的訪問控制要求如下。a)對遠程登錄的用戶具有認證功能，確保只有合法用戶才能登錄；自動控制器通信時應(yīng)在數(shù)據(jù)傳輸之前進行雙向認證，驗證雙方真實身份是否合法，檢查控制權(quán)限是否與身份匹配，以防止越權(quán)或非授權(quán)控制。b)對遠程登錄的用戶服務(wù)能力應(yīng)覆蓋高峰時期的用戶訪問數(shù)量。c)應(yīng)對遠程用戶的訪問進行訪問控制管理，嚴格管理不同用戶所能訪問的數(shù)據(jù)、訪問權(quán)限(讀、d)自動控制器應(yīng)根據(jù)產(chǎn)品類型支持不同遠程操作功能，不同的遠程操作功能對應(yīng)不同的用戶權(quán)限。自動控制器的抗數(shù)據(jù)重放要求如下：a)應(yīng)能鑒別數(shù)據(jù)的新鮮性，避免歷史數(shù)據(jù)的重放攻擊；b)應(yīng)能鑒別對歷史數(shù)據(jù)的非正常修改，避免數(shù)據(jù)的修改重放攻擊。自動控制器應(yīng)能檢測重要數(shù)據(jù)在生成、傳輸、存儲過程中完整性是否受到破壞。自動控制器的通信安全要求如下：a)關(guān)鍵安全參數(shù)和重要數(shù)據(jù)應(yīng)采用非明文方式傳輸，保障通過遠程接入網(wǎng)絡(luò)訪問時的關(guān)鍵安全參數(shù)的保密性；c)在遠程通信時應(yīng)在數(shù)據(jù)傳輸之前進行雙向認證，驗證雙方真實身份是否合法，檢查控制權(quán)限是45GB/T43342—2023否與身份匹配，防止越權(quán)或非授權(quán)控制，才能通過網(wǎng)絡(luò)接口訪問自動控制器；d)應(yīng)進行用戶身份認證后，才能通過網(wǎng)絡(luò)接口修改安全相關(guān)配置參數(shù)(如權(quán)限管理、網(wǎng)絡(luò)密鑰配e)網(wǎng)絡(luò)通信時應(yīng)加密，并在會話結(jié)束時及時銷毀會話密鑰；f)遠程操作會話時長應(yīng)不超過一定數(shù)值，如超過時長需重新建立會話以及密鑰協(xié)商；g)網(wǎng)絡(luò)通信可使用滾動碼或計數(shù)器機制，當請求操作計數(shù)大于其計數(shù)才準許自動控制器執(zhí)行該操作指令，以防止他人通過抓包重放控制請求來對自動控制器進行非授權(quán)的控制；h)應(yīng)默認關(guān)閉FTP、SSH、Telnet、HTTP、ADB等高風險管理服務(wù)或信息數(shù)據(jù)服務(wù)。自動控制器上的軟件應(yīng)驗證輸入數(shù)據(jù)，如：通過用戶界面輸入的數(shù)據(jù)、API輸入的數(shù)據(jù)或網(wǎng)絡(luò)接口輸入的數(shù)據(jù)。自動控制器應(yīng)嚴格控制關(guān)鍵安全參數(shù)的存在時間和使用次數(shù)，關(guān)鍵安全參數(shù)及其過程信息使用完畢或超時后應(yīng)立即從內(nèi)存中清除。6.7不同工作狀態(tài)的安全要求自動控制器不同的工作狀態(tài)有不同的安全要求。自動控制器在初始化時至少具備以下自檢功能：a)檢查安全相關(guān)自動控制器自身元器件或部件是否正常運行；b)檢查安全相關(guān)傳感元件是否正常運行；c)檢查固件、安全機制以及安全狀態(tài)，自檢時發(fā)現(xiàn)故障，自動控制器相應(yīng)功能應(yīng)以安全的方式失e)檢查固件的完整性和真實性；f)檢查固件是否有針對篡改跡象的安全機制。自動控制器只有在進行正確的配置后(包括但不限于網(wǎng)絡(luò)配置、用戶綁定)方可正確的實現(xiàn)相關(guān)功能。自動控制器的配置狀態(tài)只能在某種特定時間窗口或進行特定操作取得相應(yīng)權(quán)限后方可進入，配置完成后應(yīng)能自動轉(zhuǎn)入正常工作狀態(tài)。自動控制器恢復(fù)出廠設(shè)置要求如下：a)恢復(fù)出廠設(shè)置后應(yīng)完全清除自動控制器中的網(wǎng)絡(luò)數(shù)據(jù)、配置數(shù)據(jù)和個人信息，保證存儲空間被6GB/T43342—2023釋放或重新進行配置前得到完全清除；b)應(yīng)對不再使用的敏感個人信息和數(shù)據(jù)信息及其所有副本銷毀，如因網(wǎng)絡(luò)問題，導(dǎo)致信息無法同步，相關(guān)信息需在網(wǎng)絡(luò)恢復(fù)后進行數(shù)據(jù)清除。注：恢復(fù)出廠設(shè)置指由用戶對自動控制器進行重置操作，使其恢復(fù)出廠設(shè)置。自動控制器固件更新要求如下。a)具備固件更新機制，更新前應(yīng)取得相應(yīng)的權(quán)限并確認。b)應(yīng)對遠程下載的固件更新文件的來源進行合法性認證，認證操作完成后需要建立安全通道，密文傳輸更新指令。c)應(yīng)提供固件下載傳輸通道安全機制。d)應(yīng)具有硬件版本對比、軟件版本對比功能，以確認升級前后的版本信息符合預(yù)期。e)提供對固件升級文件完整性校驗機制，驗證更新固件的完整性和真實性。如果未確認其完整性和真實性，自動控制器應(yīng)拒絕進行固件更新。f)應(yīng)具備更新過程相關(guān)信息提示功能，含更新正常及異常相關(guān)信息提示。g)應(yīng)確保固件升級失敗后，需要有效的機制保證自動控制器處于安全狀態(tài)，如自動恢復(fù)到未更新時系統(tǒng)版本且能正常使用，保持原有固件的可用性。h)應(yīng)確保固件不能通過串口讀取等手段被非授權(quán)用戶提取出來。i)應(yīng)具備對固件中的關(guān)鍵代碼及重要數(shù)據(jù)進行防篡改和防逆向的功能。j)不應(yīng)將登錄用戶名、口令等登錄憑證明文存儲在自動控制器固件中。k)應(yīng)采用防止系統(tǒng)版本被降級的措施，防止原來有安全漏洞的版本被重新燒寫回自動控制器。1)如果是電池供電，應(yīng)具備在固件升級前檢測設(shè)備剩余電量是否滿足完成固件更新，如果剩余電量不足則應(yīng)停止固件更新，并提示用戶。m)在固件更新過程中，若自動控制器意外斷電，則重新恢復(fù)供電時，應(yīng)能自動恢復(fù)到固件更新前的版本并且功能正?？捎谩．斪詣涌刂破髟谶\行過程中出現(xiàn)故障時，自動控制器宜根據(jù)故障等級進行故障信息的傳送和提示，并對相應(yīng)的故障進行基礎(chǔ)的安全保護，必要時恢復(fù)到安全模式。當自動控制器出現(xiàn)故障時，需經(jīng)用戶權(quán)限許可后，自動控制器維修管理者可通過網(wǎng)絡(luò)遠程接入自動控制器并對其進行遠程操作，維修管理者通過遠程對自動控制器進行操作前需停止自動控制器常規(guī)操作，使自動控制器轉(zhuǎn)入到維修狀態(tài)方可操作。維修替換下來的故障自動控制器，制造商應(yīng)將自動控制器進行恢復(fù)出廠設(shè)置，并將其在運行期間的所有網(wǎng)絡(luò)和數(shù)據(jù)信息以及自動控制器本體上的設(shè)置和運行數(shù)據(jù)刪除。自動控制器進入報廢階段后，制造商應(yīng)向用戶提供刪除相應(yīng)數(shù)據(jù)的功能和方法，將運行期間的所有網(wǎng)絡(luò)和數(shù)據(jù)信息以及自動控制器本體上的設(shè)置和運行數(shù)據(jù)刪除。7GB/T43342—20236.8在運行之前和運行過程中對可預(yù)見的安全風險進行預(yù)判和保護自動控制器應(yīng)對可預(yù)見的安全風險具有預(yù)判和保護的能力。自動控制器對于正確的指令應(yīng)能正常工作和應(yīng)答，當接收到無效命令(包括錯誤順序的命令、未知命令、錯誤模式下的命令、錯誤的命令參數(shù))時，應(yīng)能根據(jù)自動控制器目前的運行參數(shù)和運行邏輯判斷其是否是有效指令，如為無效指令則自動控制器不予執(zhí)行，并向遠程操作者進行無效指令的反饋。6.8.3對系統(tǒng)感知數(shù)據(jù)的檢查當自動控制器使用和測量相關(guān)傳感器件或外部的感知數(shù)據(jù)時，自動控制器應(yīng)檢查是否存在安全異常。6.8.4對操作中斷的處理自動控制器啟動、再啟動或停止等動作不應(yīng)對其造成影響。自動控制器不會由于重新啟動或意外動作的停止而對其自身造成損壞，也不會產(chǎn)生危害。電磁干擾原因造成的自動控制器誤動作，自動控制器即使發(fā)生誤動作也不應(yīng)引起安全問題。自動控制器在無人監(jiān)控狀態(tài)下出現(xiàn)故障或緊急情況時，應(yīng)能采取相應(yīng)的安全保護措施，進行緊急處置和干預(yù)，不會對其自身造成損壞，也不會產(chǎn)生危害。自動控制器在發(fā)生可修復(fù)性故障時，會進入到故障保護模式，但相關(guān)人機交互、網(wǎng)絡(luò)通信和其他一些基本的安全功能應(yīng)保持。自動控制器運行出現(xiàn)故障和異常時，應(yīng)能進行相應(yīng)處理，以避免安全問題。6.8.5對通信中斷的處理自動控制器的運行不依賴于外部網(wǎng)絡(luò)，如斷網(wǎng)或網(wǎng)絡(luò)狀況不佳時，其設(shè)計的基本功能可正常使用。當家庭網(wǎng)絡(luò)通信線路中斷后，自動控制器應(yīng)能檢測到網(wǎng)絡(luò)中斷，應(yīng)將當前的運行信息和未發(fā)出的數(shù)據(jù)信息及時保存，如需存儲的數(shù)據(jù)信息超出自動控制器的存儲容量，應(yīng)保留最新的信息數(shù)據(jù)，待網(wǎng)絡(luò)恢復(fù)正常后將相關(guān)信息數(shù)據(jù)傳送出去，且該數(shù)據(jù)信息帶有時間信息。正在運轉(zhuǎn)的自動控制器不會因為外部通信線路中斷或故障引起安全問題，如：a)自動控制器需要從服務(wù)平臺上獲取所需的數(shù)據(jù)，并進行綜合計算后方可進行對自動控制器的正確管控，但由于網(wǎng)絡(luò)的故障導(dǎo)致數(shù)據(jù)無法獲取，則自動控制器自身的算法應(yīng)能保證其正常運行而不出現(xiàn)基本的安全問題；b)當自動控制器需要遠程關(guān)閉操作，在外部通信線路中斷時，在電源無法關(guān)閉的情況下仍可保持自動控制器安全。6.8.6對多來源操作指令的處理當自動控制器接收來自兩處及兩處以上來源遠程操作指令時，不應(yīng)引起安全問題，可采取以下措施：a)檢查源地址是否合法；b)指令的優(yōu)先級和先后順序；c)應(yīng)用先進先出的規(guī)則；8GB/T43342—2023d)最后一條指令獲勝的原則；e)檢查指令運行邏輯的正確性；f)通過在新信息可能改變行為前完成來保護過程；g)通過停止和重啟線程來保護線程；h)通過禁止和使能線程來保護線程。6.8.7人機交互的安全要求使用語音、手勢、屏幕等人機交互方式對自動控制器進行操作時，人機交互部件會有一定的交互錯誤率，自動控制器對于錯誤的指令有辨別能力，對于不符合自動控制器運行邏輯的指令不予以執(zhí)行并給出警告提示。自動控制器狀態(tài)改變時，應(yīng)支持本地指示或遠程指示方式，指示方式應(yīng)采用光學(xué)、聲學(xué)或其他人體生物學(xué)中的至少一種方式。自動控制器發(fā)生故障時，應(yīng)支持本地指示或遠程指示方式，指示方式應(yīng)采用光學(xué)、聲學(xué)或其他人體生物學(xué)中的至少一種方式，信息指示應(yīng)明顯。多種人機交互方式可同時對自動控制器進行操作，自動控制器按照指令接收順序，按照制造商規(guī)定的運行邏輯執(zhí)行，如后面指令與之前指令的運行邏輯相悖，可能會造成安全風險，則自動控制器不予執(zhí)行，并宜給予操作者以相應(yīng)警告提示。6.8.8降低誤操作帶來的安全風險自動控制器控制系統(tǒng)應(yīng)在控制邏輯的設(shè)計上采取措施防止因增加遠程操作引起的各種誤操作，降低誤操作帶來的安全風險。當自動控制器在運行過程中，短時間內(nèi)可能會接收到多次相反的操作，如：ON和OFF,自動控制器不應(yīng)出現(xiàn)操作邏輯上的混亂，且應(yīng)根據(jù)當前狀態(tài)判斷是否符合操作邏輯，符合操作邏輯的才予以執(zhí)行，不符合操作邏輯的不予以執(zhí)行，并進行錯誤信息的傳送和提示。6.9操作系統(tǒng)對于具備操作系統(tǒng)的自動控制器在進行操作系統(tǒng)服務(wù)裁剪時，應(yīng)符合模塊最小化原則，僅保留必需的模塊。具備操作系統(tǒng)的自動控制器要求如下。a)對于支持多個用戶賬號的系統(tǒng)，用戶權(quán)限分配應(yīng)遵循最小權(quán)限原則，普通用戶只擁有系統(tǒng)賦予b)系統(tǒng)應(yīng)具備遠程控制請求的身份鑒別機制，防止非授權(quán)用戶或非授權(quán)應(yīng)用控制系統(tǒng)。c)系統(tǒng)不應(yīng)預(yù)留任何未公開賬號，所有賬號應(yīng)可被操作系統(tǒng)管理。URL等。e)自動控制器在進行遠程訪問或遠程應(yīng)用時應(yīng)設(shè)置安全的用戶密碼，提醒用戶定期進行密碼修改，密碼需要有一定的復(fù)雜性、強度或長度的要求，密碼最小字符長度應(yīng)為8個字符，由大小寫9GB/T43342—2023f)用戶在1h內(nèi)每10次連續(xù)輸入密碼不成功的，應(yīng)有“禁止輸入或在30min后方可再輸入密6.9.3操作系統(tǒng)安全啟動認證具備操作系統(tǒng)的自動控制器在進行操作系統(tǒng)啟動時，應(yīng)提供安全啟動機制進行系統(tǒng)的完整性保6.9.4操作系統(tǒng)配置安全對于具備調(diào)試功能的自動控制器，應(yīng)限制調(diào)試進程在操作系統(tǒng)中的訪問權(quán)限和操作權(quán)限，防止權(quán)限設(shè)置過高導(dǎo)致權(quán)限被濫用。對于具備操作系統(tǒng)的自動控制器要求如下。a)對于能安裝外部應(yīng)用的系統(tǒng)，應(yīng)提供對系統(tǒng)API的訪問控制功能機制，防止應(yīng)用對系統(tǒng)接口的非授權(quán)調(diào)用。b)對于支持遠程連接的自動控制器，其操作系統(tǒng)應(yīng)使用安全的通信協(xié)議保障通道安全，包括具備建立通道時的身份鑒別和傳輸數(shù)據(jù)的機密性與完整性保護機制。c)對于通過WEB進行遠程管理的自動控制器，對其進行管理和配置的行為應(yīng)經(jīng)過登錄認證，其登錄和退出過程需有日志記錄。記錄內(nèi)容應(yīng)至少包括登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄發(fā)起方的IP地址等信息。6.9.6內(nèi)存的硬件級訪問控制機制自動控制器可具備有用于內(nèi)存的硬件級訪問控制機制，防止因內(nèi)存缺乏訪問控制而引起軟件攻6.10密碼功能自動控制器不應(yīng)將用于傳輸加密或鑒權(quán)的密鑰硬編碼寫在程序代碼中，應(yīng)采用PSK或通過PSK導(dǎo)出等方式生成密鑰。自動控制器的密鑰生成功能要求如下：a)產(chǎn)生的非對稱密鑰，應(yīng)滿足參數(shù)的合法性檢查，密鑰長度等要求；b)產(chǎn)生的對稱密鑰，應(yīng)采用多級密鑰體系進行管理；c)產(chǎn)生的會話密鑰，應(yīng)保證每次會話的密鑰不可預(yù)期，且具有對應(yīng)的密鑰更新機制；d)密鑰生成后，除了非對稱密鑰的公鑰之外其他密鑰不可導(dǎo)出；e)如未采用硬件方式存儲的非關(guān)鍵或臨時性密鑰，則應(yīng)以加密、混淆、白盒密鑰等邏輯防護措施進行存儲。自動控制器的密鑰生成功能可采用硬件安全模塊、安全芯片保證密鑰的機密性與完整性。自動控制器的密碼運算功能要求如下：GB/T43342—2023a)密碼運算應(yīng)在隔離的安全環(huán)境里執(zhí)行，密鑰明文不出安全環(huán)境；b)在進行密碼運算的過程中，應(yīng)用進程中不應(yīng)出現(xiàn)任何密鑰數(shù)據(jù)；c)應(yīng)采用具有足夠強度的公開算法進行密碼