(高清版)GBT 42457-2023 工業(yè)自動化和控制系統(tǒng)信息安全 產(chǎn)品安全開發(fā)生命周期要求

產(chǎn)品安全開發(fā)生命周期要求國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T42457—2023/I V V 1 1 1 13.2縮略語 53.3慣例 64通用原則 64.1概念 6 75實踐1——安全管理 9 95.2SM-1:開發(fā)過程 95.3原由和附加指南 95.4SM-2:明確職責 9 5.6SM-4安全專業(yè)知識 5.8SM-6:文件完整性 5.10SM-8:私鑰控制 5.11SM-9:外部提供組件的安全需求 5.12SM-10:來自第三方供應商定制開發(fā)的組件 5.13SM-11:評估和解決與安全相關的問題 5.14SM-12:過程驗證 6實踐2——安全需求規(guī)范 6.4SR-3:產(chǎn)品安全需求 6.5SR-4:產(chǎn)品安全需求內(nèi)容 6.6SR-5:安全需求審查 7實踐3——安全設計 Ⅱ 7.3SD-2:縱深防御設計 7.4SD-3:安全設計審查 7.5SD-4:安全設計最佳實踐 8.2適用性 8.3SI-1:安全實施審查 20 21 21 22 22 10實踐6——安全相關問題管理 24 2410.2DM-1:接收安全相關問題的通知 2410.3DM-2:安全相關問題的審查 10.4DM-3:評估安全相關問題 10.5DM-4:解決安全相關的問題 10.6DM-5:披露安全相關的問題 10.7DM-6:定期審查安全缺陷管理實踐 27 27 11.4SUM-3:依賴組件或操作系統(tǒng)安全更新文檔 11.5SUM-4:安全更新交付 29 2912.2SG-1:產(chǎn)品縱深防御 12.3SG-2:環(huán)境中可預期的縱深防御措施 12.4SG-3:安全加固指南 12.5SG-4:安全廢棄指南 12.6SG-5:安全操作指南 12.7SG-6:賬戶管理指南 12.8SG-7:文檔審查 ⅢGB/T42457—2023/I附錄A(資料性)可能的指標 33附錄B(資料性)需求表 35 37V本文件等同采用IEC62443-4-1:2018《工業(yè)自動化和控制系統(tǒng)信息安全第4-1部分：產(chǎn)品安全開——為與現(xiàn)有標準協(xié)調(diào)，將標準名稱改為《工業(yè)自動化和控制系統(tǒng)信息安全產(chǎn)品安全開發(fā)生命周本文件由全國工業(yè)過程測量控制和自動化標準化技術委員會(SAC/TCMGB/T42457—2023/IEC62443-4IEC62443是應用于工業(yè)自動化和控制系統(tǒng)安全的系列國際標準。目前我國已采用該系列標準發(fā)布了GB/T33007—2016《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》(IEC62443-2-1:2010,IDT)、GB/T35673—2017《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全系統(tǒng)安全要求和安全等級》(IEC62443-3-3:2013,IDT)、GB/T40211—2021《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全術語、概述和模型》(IEC62443-1-1:2009,IDT)、GB/T40218—2021《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全工業(yè)控制系統(tǒng)網(wǎng)絡安全第2-4部分：IACS服務提供商的安全程序要求》(IEC62443-2-4:2015,IDT)和本本文件是解決工業(yè)自動化和控制系統(tǒng)(IACS)安全問題的系列標準的一部分。本文件介紹工業(yè)自動化和控制系統(tǒng)環(huán)境中使用的產(chǎn)品的信息安全相關開發(fā)生命周期要求，并就本文件大部分來自ISA安全合規(guī)研究所(ISCI)的安全開發(fā)生命周期評估(SDLA)認證要求[26]。——ISO/IEC15408-3(通用標準)[18];——開放式Web應用程序安全項目(OWASP),全面輕量級應用程序安全性過程(CLASP)[36];——IEC61508電氣/電子/可編程電子的安全相關系統(tǒng)的功能安全[24];和——RCTADO-178B機載系統(tǒng)和設備認證中的軟件考慮[28]。本文件包含的信息安全要求，可以作為任何自動化和控制產(chǎn)品的開發(fā)人圖1說明了IEC62443不同部分之間的關系。通用策略和規(guī)程系統(tǒng)組件MGB/T42457—2023/IEC62般而言，自動化解決方案是一套不依賴于產(chǎn)品包裝的硬件和軟件，用于控制資產(chǎn)所有者定義的物理過程系統(tǒng)1GB/T42457—2023/IEC62443-4-1:20產(chǎn)品安全開發(fā)生命周期要求本文件規(guī)定了用于工業(yè)自動化和控制系統(tǒng)產(chǎn)品的信息安全開發(fā)的過程要下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不IEC62443-2-4工業(yè)自動化和控制系統(tǒng)信息安全第2-4部分：IACS服務提供商信息安全程序需求(Securityforindustrialautomationandcontrolsystems-Part2-4:IECTR62443-1-2工業(yè)自動化和控制系統(tǒng)安全第1-2部分：術語和縮略語的基本詞匯———IEC:http://www.electropedia.or——ISO:/obp。IECTR62443-1-2界定的以及下列術語和定義適用于本文件。訪問控制<保護>accesscontrol<protection>訪問控制<過程>accesscontrol<process>2GB/T42457—2023/IEC62443-4-1:2018管理員administrator被授權管理產(chǎn)品或系統(tǒng)的安全策略/功能的用戶。資產(chǎn)asset物理的或邏輯的對象，由組織擁有或者在組織的監(jiān)管之下，對組織有可預見的價值或?qū)嶋H價值。資產(chǎn)所有者assetowner對一個或多個IACS負責的個人或組織。攻擊面attacksurface可能被攻擊者利用的，可被訪問的系統(tǒng)物理和功能接口。需要比典型事件日志提供更高級別的完整性保護的事件日志。鑒別authentication為一個實體聲稱的特征是正確的而提供的保障措施。控制系統(tǒng)和任何已經(jīng)安裝和配置在IACS中運行的補充硬件和軟件組件。禁用功能bannedfunction因為存在誤用傾向較小、更安全的版本，而不再推薦使用的軟件方法。最佳實踐bestpractice供應商已確定的用于安全設計、開發(fā)、測試、維護或廢棄產(chǎn)品的準則，通常由安共同推薦。組件component構成產(chǎn)品或系統(tǒng)的部件之一。3GB/T42457—2023/IEC62443-4-1:2配置管理configurationmanagement用以識別一個進化的系統(tǒng)組件的原則，以控制這些組件的變化并保持整個生命周期的連續(xù)性和可追溯性?？v深防御defenseindepth使用幾個獨立方法來防護系統(tǒng)，以抵御任何特定攻擊的方式。依賴組件dependentcomponent產(chǎn)品所依賴的外部組件。支持但不再推薦使用的軟件方法。組件包含在由外部組織開發(fā)的產(chǎn)品中，而不是專門為一個供應商開發(fā)。模糊測試fuzztesting針對測試對象創(chuàng)建格式錯誤、非預期的數(shù)據(jù)或調(diào)用序列，并驗證它們能夠被恰當處理的過程。包括人員、硬件、軟件和工業(yè)過程操作的策略，其中策略可能影響工業(yè)過程的安全、信息安全和可靠性操作。補丁管理patchmanagement涉及獲取、測試和安裝軟件補丁(代碼更改)到產(chǎn)品的系統(tǒng)管理領域。為其他產(chǎn)品的使用所制造、開發(fā)或改進的系統(tǒng)、子系統(tǒng)或組件。4GB/T42457—2023/IEC62443-4指導團隊在SDL(安全開發(fā)生命周期)過程中活動的組織角色。5GB/T42457—2023/IEC62443-4-1系統(tǒng)集成商systemintegrator專門將組件子系統(tǒng)組合成一個整體，并確保這些子系統(tǒng)按照項目規(guī)范執(zhí)行的人員或公司。第三方供應商thirdpartysupplier獨立于產(chǎn)品供應商組織之外的組織。威脅threat名譽)、資產(chǎn)、控制系統(tǒng)或者個人具有不利影響的環(huán)境或者事件。威脅建模threatmodelling識別潛在的信息安全問題的安全性設計分析技術。威脅模型的元素，描述一個需要身份驗證或者發(fā)生信任級別變化(從高到低或反之亦然)時的邊界。單元測試unittesting驗證一個單獨的計算機軟件或硬件單元是否按預期運行。以授權或未授權的方式訪問系統(tǒng)的人員、組織實體或自動化過程。區(qū)域zone基于功能、邏輯和物理(包括位置)關系，描述目標系統(tǒng)(SuC)分區(qū)的實體集合。3.2縮略語下列縮略語適用于本文件。訪問控制列表(Accesscontrollist)開發(fā)能力成熟度模型集成(Capabilitymaturitymodelintegrationfordevelopment)6STRIDE欺騙、篡改、否認、信息披露、拒絕服務、特權提升(Spoofing,Tampering,Repudiation,Informationdisclosure,Denialofservice,Elevationofprivilege)7GB/T42457—2023/IEC62443-4這些需求的第二個目標是使開發(fā)過程與工業(yè)自動化和控制系統(tǒng)產(chǎn)品用戶(例化的安全性配置管理、補丁管理策略和規(guī)程等，并提供關于產(chǎn)品中發(fā)現(xiàn)的安全脆弱性的簡潔明了的圖3說明了本文件中的安全設計原則如何支持產(chǎn)品的縱深防御策略。安全管理實踐顯示在最外安全測試貫穿本文件的一個關鍵概念是威脅建模的使用。設計和實施審驗證/確認測試)的審查用于發(fā)現(xiàn)產(chǎn)品中的安全相關問題。每個發(fā)現(xiàn)的問題的影響8GB/T42457—2023/IEC62443-4-1:2這些基準由成熟度等級定義，見表1。成熟度等級基于能力成熟度模型集成(CMMI)開發(fā)(CMMI-DEV)模型[42]。表1在描述列中顯示了與CMMI-DEV的關系。成熟度等級提供了供應商如何徹底滿足這些需求的更多細節(jié)。因此，系統(tǒng)集成商和資產(chǎn)所有者可以使用這些等級來評估開發(fā)產(chǎn)品的嚴格程度。本條描述成熟度等級的目的是為組織提供基準，以確定他們準備使用的過程和規(guī)程來設計和實施產(chǎn)品安全。使用這些基準，組織可能會發(fā)現(xiàn)其尚未準備好將所有需求落實到相同的成熟度等級。在根據(jù)本文件設計和實現(xiàn)產(chǎn)品的安全(見IEC62443-4-2和IEC62443-3-3)時，無論組織的成熟度如何，本文件中SM-5定義的所有適用需求都應在產(chǎn)品的開發(fā)生命周期中遵守和使用。SM-5為需求的適用性提供了個案例外。4級。表1成熟度等級IEC62443-4-1描述1產(chǎn)品供應商通常以臨時的方式進行產(chǎn)品開發(fā)，通常沒完整記錄)。因此，跨項目的一致性和過程的可重復性也許是不可能的2本等級的產(chǎn)品供應商有能力根據(jù)書面政策(包括目標)來管理產(chǎn)品的開發(fā)。產(chǎn)品供應商也有證據(jù)表明，執(zhí)行該過程的人員具有專業(yè)知遵循書面程序來執(zhí)行。但是在本等級，組織沒有根據(jù)所有書面原則開發(fā)產(chǎn)品的經(jīng)其程序以符合本文件時，會存在未將所有程序納入實際操作的情成熟度等級2所反映的開發(fā)原則有助于確保開發(fā)實有壓力的情況下也是如此。當落實這些實踐時，他們的注：在這一級，CMMI和IEC62443-4-1成熟度模型基本識到在定義/形式化一個過程和執(zhí)行(實踐)過程之間可能存在顯著的延遲。因此，本文件將CMMI-DEV2級相關方面的執(zhí)行推遲到3級。3已定義級已定義級(實踐的)等級3供應商的行為可以在整個供應商的組織中是可重復的。這個過程已注：在這個級別，CMMI和本文件成熟度模型基本相同，除了包含CMDEV級別2的執(zhí)行相關方面。因此，等級3的過程是供應商產(chǎn)品實施的等級2過程。4改進級在這一級別，本文件結合了CMMI-DEV第4級和第559GB/T42457—2023/IEC62443-4-1:205實踐1——安全管理安全管理實踐的目的是確保安全相關的活動在整個產(chǎn)品的生命周如果對安全相關活動的計劃和支持不夠重視，同時由于資源不足、常規(guī)產(chǎn)品開發(fā)/維護/支持過程應文檔化并被以與一般公認的產(chǎn)a)使用變更控制和審計記錄進行配置管理；這個過程需要確保產(chǎn)品供應商已完好地定義和證明產(chǎn)品開發(fā)過程可以擴求。本文件規(guī)定的所需過程假定存在成熟的產(chǎn)品開發(fā)生命周期。如果沒有這用，安全的產(chǎn)品開發(fā)生命周期就無法奏效。普遍接受的產(chǎn)品開發(fā)過程的例子包括ISO9001[13]和應使用一個過程來明確負責本文件所需求的每個過程的組這個過程是需要確保責任分配到產(chǎn)品供應商的組織單元擁有這個過程意味著本文件需求的產(chǎn)品供應商的開發(fā)、維護和產(chǎn)品支持過程分別確定了負責執(zhí)行這些需求可能適用于外部提供的組件或由第三方供應商定制開發(fā)的組件GB/T42457—2023/IEC62443-4-1:20除非政策允許，否則需要此過程來確保產(chǎn)品在[19]的策略和控制可以減少未經(jīng)授權訪問源代碼或源代碼損壞的可能性。還可以降GB/T42457—2023/IEC62443-4脆弱性被發(fā)現(xiàn)時供應商的響應能力等方面。供應鏈安全性適用于產(chǎn)品中包含的提供的第三方組件，但不符合5.12中描述的定義。這些第三方組件提供的安和縱深防御策略中的作用直接相關(見第7章)。擁有這個過程意味著產(chǎn)品供應商能夠識別下列一個或多個特征何時適用于a)組件與產(chǎn)品安全上下文的一致程度(見第6章)和縱深防御策略(見第7章);b)適用于組件實施的嚴格程度(見第8章);c)由產(chǎn)品供應商或組件供應商對組件進行安全驗證的程度(見第9章);d)如何接收和/或監(jiān)視來自組件供應商的有關安全相關問題的通知(見第10章)和補丁(見第11e)組件安全文檔的充分性(見第12章);——評估商業(yè)現(xiàn)貨(COTS)組件供應商對本文件或類似的SDL標準的符合性； 為了便于缺陷管理，建議有一個來自第三方供應商b)組件可能會影響安全性。當供應商分包第三方專門開發(fā)的組件可能有應使用一個過程來驗證產(chǎn)品或補丁在其安全相關問題解決并追蹤到關閉之前不會被發(fā)布(見a)需求(見第6章);b)設計安全(見第7章);c)實施(見第8章);d)驗證/確認(見第9章);活動使用已知的安全脆弱性數(shù)據(jù)庫來幫助改進威脅模型。例如，如果威脅模型顯示產(chǎn)品采用TLS協(xié)議實現(xiàn)傳輸安全，審查TLS實現(xiàn)中的已知脆弱性并確保這些脆弱性在活動參加外部安全/SDL會議或參與行業(yè)SDL組(如幫助產(chǎn)品供應商隨時掌握新出現(xiàn)的威脅和SDL最佳實踐掌握新出現(xiàn)的安全威脅和SDL最佳實踐析，并確定執(zhí)行糾正措施。所有的SDL實踐都宜在這個分析的范圍內(nèi)效的方法。由于安全問題是質(zhì)量問題，因此對于SDL也同樣適用價值由于脆弱性分析查找需要廣泛和不斷增長的專業(yè)知識，培GB/T42457—2023/IEC62443-4需要這個過程來確保定義了產(chǎn)品特定安全需求。這b)產(chǎn)品所需的能力安全等級(SL-C)。要將特定安全功能包括在產(chǎn)品中。注意，產(chǎn)品的能力安全等級和所需的安全能力在IEC62443-4-2a)架構師/開發(fā)工程師(實現(xiàn)需求的人員);b)測試工程師(驗證需求被滿足的人員);d)安全顧問。GB/T42457—2023/IEC62443-4-1:20擁有這個過程意味著產(chǎn)品供應商進行所有安全需求的審查，并修改/刪除那些無效的或不可測試7實踐3——安全設計本章指定的過程被用來確保產(chǎn)品采用包括縱深防御的安全設計?？v深防層來阻止安全威脅。縱深防御戰(zhàn)略的每一層都被設計成當其他所有層次都不能應使用一個過程來開發(fā)和記錄用于識別和表征產(chǎn)品每個接口的安全設計，包括物理和邏輯接口，a)指示接口是否可以從外部訪問(由其他產(chǎn)品),或者內(nèi)部可訪問(通過產(chǎn)品的其他組件),或兩者b)產(chǎn)品安全上下文(見第6章)對外部接口的安全影響；c)接口的潛在用戶和可以通過它訪問的資產(chǎn)(直接或間接);g)用于保護上述c)中定義的接口和資產(chǎn)的安全能力和/或補償機制，包括輸入驗證以及輸出和h)使用第三方產(chǎn)品來實現(xiàn)接口及其安全功能；j)設計如何緩解威脅模型中發(fā)現(xiàn)的威脅的描述。需要這個過程來確?？梢酝ㄟ^其進行攻擊的產(chǎn)品介質(zhì))。邏輯接口支持產(chǎn)品組件之間的數(shù)據(jù)控制流(例如應用程序消息傳遞),并GB/T42457—2023/IEC62443-4產(chǎn)品安全上下文的概念被擴展為包括由周圍產(chǎn)品組件提供的安全上下文。例如主體可能從何處訪問接口以及可以通過其訪問的資產(chǎn)。這樣可以盡可能減少接口和可以通過它們訪問的資產(chǎn)提供適當?shù)谋Ｗo措施。識別信任邊界也支持未來(見IEC62443-3-2[9]),因此是定義產(chǎn)品安全架構的主要組成部分。示例數(shù)據(jù)資產(chǎn)(資源)包括：d)訪問控制列表(ACL);f)網(wǎng)頁(靜態(tài)和動態(tài));i)進程間通信(IPC)、服務和遠程過程調(diào)用(的預期使用將有助于評估縱深防御策略的適當性(見7.4)。應使用一個過程，基于威脅模型并通過基于風險的方法來實施多層防御。輸入和審計日志是由于管理的變化而產(chǎn)生。每層提供一個額外的防御機制，每層a)設計中未充分滿足的安全需求(見第6章);b)威脅及其利用產(chǎn)品接口、信任邊界和資產(chǎn)的能力(需要這個過程來確保安全設計處理產(chǎn)品定義的需求和威脅(見第6章)并遵循設計最佳實踐(見7.5)。所有發(fā)現(xiàn)的與安全相關的問題都要通過7.4和10.5定義的過程進行文檔化和跟蹤。a)縱深防御策略是否沒有充分解決產(chǎn)品安全需求；b)是否存在繞過縱深防御的威脅向量(威脅的路徑)或者其他方面有能力繞過縱深防御策略。應使用一個過程來確保安全設計最佳實踐被文檔化并應用于設計過程。這a)最小特權(僅授予執(zhí)行預期操作的用戶/軟件必需的特權);b)盡可能使用經(jīng)過驗證的安全組件/設計；c)機制的經(jīng)濟性(爭取簡單的設計);d)使用安全的設計模式；f)將所有信任邊界文檔化作為設計的一部分；需要這個過程來確保向開發(fā)者提供指導，幫助他們避免設計中可能導致以后的安全問題的常見擁有這個過程意味著產(chǎn)品供應商有一個可以在產(chǎn)品安全設計的開發(fā)過程中實踐清單。這些最佳實踐應基于業(yè)界普遍接受的被開發(fā)產(chǎn)品類型的適合他們的設計實踐完全取決于供應商。隨著行業(yè)的變化和產(chǎn)品供應商對經(jīng)驗GB/T42457—2023/IEC62443-48實踐4——安全實施本實踐中的需求適用于產(chǎn)品中的所有硬件和軟件組件，但外部提供的組應使用一個過程來確保執(zhí)行實施審查以識別、表征和追蹤至關閉與實施安a)識別在實施中沒有得到充分解決的安全需求(見第6章)。c)對受支持的編程語言采用安全編碼標準對源代碼進行靜態(tài)代碼分析(SCA),以發(fā)現(xiàn)安全編碼d)審查執(zhí)行情況及其對支持安全設計(見第7章)所定義的安全能力的可追溯性。e)檢查威脅及其利用實施接口、可信任邊界和資產(chǎn)的能力(見7.2和7.3)。擁有這個過程意味著產(chǎn)品供應商對實施和設計進行全面的安全評估。通常是否將充分保護免受預期存在的威脅。另外，可以使用手動源代碼審查(見8.4),并且可以使用自動靜態(tài)源代碼分析來識別異常，包括代碼中a)避免可能被利用的實現(xiàn)結構已知具有安全弱點的實現(xiàn)設計模式；GB/T42457—2023/IEC62443-4-1:2018施的執(zhí)行。例如，如果STRIDE將身份認證確認為針對假冒威脅應使用一個過程來執(zhí)行測試，聚焦于識別和表征產(chǎn)品中的潛在安全脆弱性a)濫用情況、畸形或非預期輸入測試專注于發(fā)現(xiàn)未知安全問題。應包括針對所有外部接口和工具支持的協(xié)議進行手動或自動的濫用情況測試以及特定類型b)通過攻擊面分析確定進出系統(tǒng)的所有途徑，常見的脆弱性包括但不限于弱ACL、暴露的端口1)產(chǎn)品軟件組件中的已知脆弱性；2)到脆弱性庫的鏈接；3)與安全規(guī)則沖突；4)可能導致脆弱性的編譯器設置。應使用一個過程通過測試來識別和表征安全相關的問題，這些測試專注于GB/T42457—2023/IEC62443-4-1:20滲透測試特別專注于損害產(chǎn)品的機密性、完整性或可用性。它可能涉及需通過本過程來確保已經(jīng)為發(fā)現(xiàn)產(chǎn)品或產(chǎn)品文檔有了這個過程意味著產(chǎn)品供應商試圖通過滲透測試來破壞產(chǎn)品的安全性能力或防御深度策略中的脆弱性可以被利用，以及用于損害根據(jù)表3,應使用一個過程來確保進行測試的人員獨立于設計與實現(xiàn)產(chǎn)品的開發(fā)人員。獨立性級別獨立的部門獨立的部門獨立的人員無獨立的人員已知脆弱性掃描獨立的人員無●獨立的人員：進行測試的人員不可以是產(chǎn)●獨立的部門：進行測試的人員不能向產(chǎn)品開發(fā)人員的同一個一線管理者匯報?；蛘?，他們●獨立的組織：進行測試的人員不能與產(chǎn)品開發(fā)人員處于同一組織。一個組織可以是一個單獨與在編程團隊中工作的測試人員或作為職業(yè)程序設計人員的測試GB/T42457—2023/IEC62443-4這種實踐指定的過程用于處理產(chǎn)品安全上下文(見第6章)中已配置為采用縱深防御策略的產(chǎn)品的安全相關問題(見第6章)。應該有一個過程來對由內(nèi)部和外部來源報告的與產(chǎn)品安全相關的問題進行b)產(chǎn)品中使用的第三方組件的供應商；應使用一個過程來確保：任何組織包括產(chǎn)品供應商或外部組織(例如產(chǎn)品用報告安全相關問題的準則可以隨時被這些報告的潛在內(nèi)部和外部來源訪問。意b)如何保護所報告的信息的機密性和對該信息的訪問；d)在發(fā)布的產(chǎn)品中報告內(nèi)部發(fā)現(xiàn)的安全相關問題的時間表；b)可驗證性；GB/T42457—2023/IEC62443-4有了這個過程意味著產(chǎn)品供應商會驗證所有報告給它的安全問題。與安對于由產(chǎn)品開發(fā)人員維護的組件中與安全相關的問題，此過程可能涉及諸如弱性或檢查產(chǎn)品內(nèi)第三方嵌入式源代碼的使用等活動。對于由第三方維護的組件中與安全相關的問1)被發(fā)現(xiàn)的實際安全上下文；2)產(chǎn)品的安全上下文(見第6章);3)產(chǎn)品的縱深防御策略(見第7章)。b)由脆弱性評分系統(tǒng)(例如CVSS)定義的嚴重程度。c)識別包含安全相關問題的所有其他產(chǎn)品/產(chǎn)品版本(如果有的話)。d)識別問題的根因。這個過程需要確保安全相關設計問題的潛在影響被檢查和理解，以支持與解決這些問題有關的有了這個過程意味著產(chǎn)品供應商評估潛在的影響和每個安全相關問題的如何解決這個問題提供了基礎(見10.5),以及哪些開發(fā)生命周期過程，如重新設計活動和威脅模型更可驗證的安全相關問題在安全影響和產(chǎn)品中的分布變化很大，因此需要準化方法一樣簡單。與廣泛使用的設計模式或?qū)崿F(xiàn)方法相關的安全相關問題可能是更大問題的癥狀。應使用一個過程來解決與安全相關的問題，并根據(jù)影響評估的結果決定是否報告1)縱深防御策略或設計變更；2)增加一項或多項安全需求和/或能力；3)使用補償機制；4)禁用或移除功能。c)推遲至將來解決問題(將來在某個時候重新應用這個需求),并說明原因和相這個過程應包括定期審查與安全相關的開放問題，以確保問題得到妥善這個過程需要確保如何處理(解決)每個與安全相關的問題，并且不會無意中忽略與安全相關的有了這個過程意味著產(chǎn)品供應商審查每個安全相關問題的潛在殘余風險，并作出正確的處理(解殘余風險可以通過許多不同的方法來確定。一個例子b)由于報告實體的安全上下文和產(chǎn)品安全上下文之間的不匹配，提議的解決方案可能是不必c)提議的解決方案只能部分減少與安全相關問題的影響，由于其復雜GB/T42457—2023/IEC62443-4-1:20應使用一個過程及時通知產(chǎn)品用戶關于支持產(chǎn)品中可報告的安全相關問題(見10.5),內(nèi)容包括但b)解決方案的描述。產(chǎn)品開發(fā)商發(fā)現(xiàn)的處理第三方組件脆弱性的策略宜考慮到第三方組件供應商過早公開披露的可應使用一個過程以確保告知產(chǎn)品用戶那些被指定為可報告的已解決的安全行報告。產(chǎn)品用戶需要這些信息來對其操作進行知情的安全評估，服務理能力的一部分來處理脆弱性(見IEC62443-2-4)。擁有這個過程意味著產(chǎn)品供應商具有程序確定哪些安全問題是可報告的，報告問題的解決方案。披露過程通常包括除了脆弱性通知之外的信息提示條款。例性警告來通知產(chǎn)品用戶補償機制以響應當前的網(wǎng)絡安全活動，或者告知產(chǎn)應使用一個過程對安全相關問題管理過程進行定期審查。定期審查過程至11實踐7——安全更新管理本實踐規(guī)定的過程用于確保與產(chǎn)品相關的安全更新經(jīng)過回歸測試并及時提GB/T42457—2023/IEC62443-4-1:20a)產(chǎn)品開發(fā)商創(chuàng)建的安全更新可解決預期的安全脆弱性。1)產(chǎn)品開發(fā)商；2)產(chǎn)品中所用組件的供應商；3)產(chǎn)品所依賴的組件或平臺的供應商。擁有這個過程意味著合格的補丁(通常通過測試)被執(zhí)行，以驗證適用于產(chǎn)接(例如，通過副作用)降低產(chǎn)品的運行或縱深防御策略(見第7章)。服務提供商使用有關此程序的文檔來解決IEC62443-2-4的補丁管理需求。a)安全補丁適用的產(chǎn)品版本號；d)關于如何驗證批準的補丁已被應用的說明；e)由于資產(chǎn)所有者未批準或未部署而導致未使用補丁和措施的風險。何安裝批準的補丁、如何確定組件補丁狀態(tài)(補丁是否被應用)以及如何解決未經(jīng)批準的補丁。更多信息見IEC62443-2-4的修補管理需求。應使用一個過程來確保有關依賴組件或操作系統(tǒng)安全更新的文檔可供產(chǎn)品用戶使用，包括但不a)說明產(chǎn)品是否與依賴組件或操作系統(tǒng)安全更新兼容；最終用戶猶豫在IACS中安裝可能會擾亂運行的軟件。因此，生產(chǎn)商需要向用戶提供操作系統(tǒng)特GB/T42457—2023/IEC62443-4-1:2018應使用一個過程來確保所有支持的產(chǎn)品和產(chǎn)品版本的安全更新以一種便于應使用一個過程來確保產(chǎn)品用戶能夠及時獲得合適的產(chǎn)品安全補丁，并且性的可能性(見第11章)。擁有這一過程意味著產(chǎn)品供應商提供了一種機制或技術，允許產(chǎn)品用戶驗a)脆弱性的潛在影響；產(chǎn)品的縱深防御策略(見第6章)。IEC62443-2-4為IACS服務提供商使用該文檔定義了補充強化a)第6章中定義的與產(chǎn)品安全上下文相關的策略和規(guī)程；b)架構方面的考慮，如第7章中定義的防火墻的布置和包賬戶特權/權限);d)使用工具來幫助加固。第12章的其余部分定義了用于生成和維護本文件的開發(fā)過程的需求。支持這些需求意味著產(chǎn)品這個過程應當確保制定縱深防御策略的文檔，以支持在客戶現(xiàn)場加固產(chǎn)品。此類文檔是御措施(見第6章)。這個過程應當確保制定縱深防御策略的文檔，以支持在客戶現(xiàn)場加固產(chǎn)品。此類文檔是1)對產(chǎn)品縱深防御策略的貢獻(見第7章);3)設置/更改/刪除其值。這個過程是必需的，以確保描述如何安全地停用產(chǎn)品(退役)的說明被記錄。此類文檔是GB/T42457—2023/IEC62443-4-1:20b)產(chǎn)品使用的默認賬戶(例如服務賬戶)以及更改默認賬戶名稱和密碼的說明。擁有這個過程意味著產(chǎn)品供應商創(chuàng)建文檔，以定義文檔賬戶及其設置，包a)產(chǎn)品安全能力的覆蓋范圍；b)產(chǎn)品與其預期的環(huán)境相結合(見第6章);這個過程應當確保產(chǎn)品的安全性相關文檔是準確和完整的，并且非安全擁有這個過程意味著產(chǎn)品的安全相關文檔被審查，以判斷是否有任何產(chǎn)品(資料性)根據(jù)5.15的要求，開發(fā)組織采取步驟持續(xù)改進其過程。使用顯示開發(fā)過程定是否正在進行可度量的改進。要收集的具體指標(如果有的話)由a)信息安全功能——基于IEC62443-4-2中定義的信息安全功能NSF——IEC62443-4-2中定義的信息安全功能數(shù)量；NRM——滿足這些需求的數(shù)量。b)實施安全NSCA——已啟用并且返回警告數(shù)為0的SCA安全規(guī)則數(shù)量；NSR——安全規(guī)則的總數(shù)。P——鏈接到banned.h的項目數(shù)量；c)構建安全——基于編譯器選項和標志B——純凈的BinScope組件報告數(shù)量；C——組件數(shù)量。d)部署安全——基于對產(chǎn)品攻擊面的分析結果e)當前缺陷——基于產(chǎn)品中的關鍵或重要安全缺陷數(shù)量GB/T42457—2023/IECSI——關鍵安全問題數(shù)量；g)SDL違規(guī)——基于與SDL安全編碼指南的偏差CI——安全代碼符合項清單中符合的條目數(shù)量；(資料性)SR-5:安全需求評審SD-1:安全設計原則sVV-1:安全需求測試表B.1全部需求總結(續(xù))SUM-2:安全更新文檔SUM-3:依賴組件或操作系統(tǒng)安全更新文檔GB/T42457—2023/IEC62Part1-1:Terminnnologyterglossaryoftermsandabbrevi[5]IEC62443-2-1[7]IECTR62443-2-3Se[8]IECTR62443-3-1[10]IEC62443-3-3Industrialcommu[11]IEC62443-4-2Securityfor[12]ISO/IECDirectivesPart2,Principlesand[14]ISO/IEC10746-1Informationtechnology—O[15]ISO/IEC10746-2Informationtechnology—Op[16]ISO/IEC15408-1Informationtechnology-Security[17]ISO/IEC15408-2Informationtechnology-SecurityITsecurity—Part2:Securityf[18]ISO/IEC15408-3Informationtechnology—SecuritytITsecurity—Part3:Securityassura[19]ISO/IEC27002Inform