(高清版)GBT 42457-2023 工業(yè)自動(dòng)化和控制系統(tǒng)信息安全 產(chǎn)品安全開(kāi)發(fā)生命周期要求

產(chǎn)品安全開(kāi)發(fā)生命周期要求國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T42457—2023/I V V 1 1 1 13.2縮略語(yǔ) 53.3慣例 64通用原則 64.1概念 6 75實(shí)踐1——安全管理 9 95.2SM-1:開(kāi)發(fā)過(guò)程 95.3原由和附加指南 95.4SM-2:明確職責(zé) 9 5.6SM-4安全專(zhuān)業(yè)知識(shí) 5.8SM-6:文件完整性 5.10SM-8:私鑰控制 5.11SM-9:外部提供組件的安全需求 5.12SM-10:來(lái)自第三方供應(yīng)商定制開(kāi)發(fā)的組件 5.13SM-11:評(píng)估和解決與安全相關(guān)的問(wèn)題 5.14SM-12:過(guò)程驗(yàn)證 6實(shí)踐2——安全需求規(guī)范 6.4SR-3:產(chǎn)品安全需求 6.5SR-4:產(chǎn)品安全需求內(nèi)容 6.6SR-5:安全需求審查 7實(shí)踐3——安全設(shè)計(jì) Ⅱ 7.3SD-2:縱深防御設(shè)計(jì) 7.4SD-3:安全設(shè)計(jì)審查 7.5SD-4:安全設(shè)計(jì)最佳實(shí)踐 8.2適用性 8.3SI-1:安全實(shí)施審查 20 21 21 22 22 10實(shí)踐6——安全相關(guān)問(wèn)題管理 24 2410.2DM-1:接收安全相關(guān)問(wèn)題的通知 2410.3DM-2:安全相關(guān)問(wèn)題的審查 10.4DM-3:評(píng)估安全相關(guān)問(wèn)題 10.5DM-4:解決安全相關(guān)的問(wèn)題 10.6DM-5:披露安全相關(guān)的問(wèn)題 10.7DM-6:定期審查安全缺陷管理實(shí)踐 27 27 11.4SUM-3:依賴(lài)組件或操作系統(tǒng)安全更新文檔 11.5SUM-4:安全更新交付 29 2912.2SG-1:產(chǎn)品縱深防御 12.3SG-2:環(huán)境中可預(yù)期的縱深防御措施 12.4SG-3:安全加固指南 12.5SG-4:安全廢棄指南 12.6SG-5:安全操作指南 12.7SG-6:賬戶(hù)管理指南 12.8SG-7:文檔審查 ⅢGB/T42457—2023/I附錄A(資料性)可能的指標(biāo) 33附錄B(資料性)需求表 35 37V本文件等同采用IEC62443-4-1:2018《工業(yè)自動(dòng)化和控制系統(tǒng)信息安全第4-1部分：產(chǎn)品安全開(kāi)——為與現(xiàn)有標(biāo)準(zhǔn)協(xié)調(diào)，將標(biāo)準(zhǔn)名稱(chēng)改為《工業(yè)自動(dòng)化和控制系統(tǒng)信息安全產(chǎn)品安全開(kāi)發(fā)生命周本文件由全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TCMGB/T42457—2023/IEC62443-4IEC62443是應(yīng)用于工業(yè)自動(dòng)化和控制系統(tǒng)安全的系列國(guó)際標(biāo)準(zhǔn)。目前我國(guó)已采用該系列標(biāo)準(zhǔn)發(fā)布了GB/T33007—2016《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序》(IEC62443-2-1:2010,IDT)、GB/T35673—2017《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)》(IEC62443-3-3:2013,IDT)、GB/T40211—2021《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語(yǔ)、概述和模型》(IEC62443-1-1:2009,IDT)、GB/T40218—2021《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全第2-4部分：IACS服務(wù)提供商的安全程序要求》(IEC62443-2-4:2015,IDT)和本本文件是解決工業(yè)自動(dòng)化和控制系統(tǒng)(IACS)安全問(wèn)題的系列標(biāo)準(zhǔn)的一部分。本文件介紹工業(yè)自動(dòng)化和控制系統(tǒng)環(huán)境中使用的產(chǎn)品的信息安全相關(guān)開(kāi)發(fā)生命周期要求，并就本文件大部分來(lái)自ISA安全合規(guī)研究所(ISCI)的安全開(kāi)發(fā)生命周期評(píng)估(SDLA)認(rèn)證要求[26]。——ISO/IEC15408-3(通用標(biāo)準(zhǔn))[18];——開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP),全面輕量級(jí)應(yīng)用程序安全性過(guò)程(CLASP)[36];——IEC61508電氣/電子/可編程電子的安全相關(guān)系統(tǒng)的功能安全[24];和——RCTADO-178B機(jī)載系統(tǒng)和設(shè)備認(rèn)證中的軟件考慮[28]。本文件包含的信息安全要求，可以作為任何自動(dòng)化和控制產(chǎn)品的開(kāi)發(fā)人圖1說(shuō)明了IEC62443不同部分之間的關(guān)系。通用策略和規(guī)程系統(tǒng)組件MGB/T42457—2023/IEC62般而言，自動(dòng)化解決方案是一套不依賴(lài)于產(chǎn)品包裝的硬件和軟件，用于控制資產(chǎn)所有者定義的物理過(guò)程系統(tǒng)1GB/T42457—2023/IEC62443-4-1:20產(chǎn)品安全開(kāi)發(fā)生命周期要求本文件規(guī)定了用于工業(yè)自動(dòng)化和控制系統(tǒng)產(chǎn)品的信息安全開(kāi)發(fā)的過(guò)程要下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不IEC62443-2-4工業(yè)自動(dòng)化和控制系統(tǒng)信息安全第2-4部分：IACS服務(wù)提供商信息安全程序需求(Securityforindustrialautomationandcontrolsystems-Part2-4:IECTR62443-1-2工業(yè)自動(dòng)化和控制系統(tǒng)安全第1-2部分：術(shù)語(yǔ)和縮略語(yǔ)的基本詞匯———IEC:http://www.electropedia.or——ISO:/obp。IECTR62443-1-2界定的以及下列術(shù)語(yǔ)和定義適用于本文件。訪(fǎng)問(wèn)控制<保護(hù)>accesscontrol<protection>訪(fǎng)問(wèn)控制<過(guò)程>accesscontrol<process>2GB/T42457—2023/IEC62443-4-1:2018管理員administrator被授權(quán)管理產(chǎn)品或系統(tǒng)的安全策略/功能的用戶(hù)。資產(chǎn)asset物理的或邏輯的對(duì)象，由組織擁有或者在組織的監(jiān)管之下，對(duì)組織有可預(yù)見(jiàn)的價(jià)值或?qū)嶋H價(jià)值。資產(chǎn)所有者assetowner對(duì)一個(gè)或多個(gè)IACS負(fù)責(zé)的個(gè)人或組織。攻擊面attacksurface可能被攻擊者利用的，可被訪(fǎng)問(wèn)的系統(tǒng)物理和功能接口。需要比典型事件日志提供更高級(jí)別的完整性保護(hù)的事件日志。鑒別authentication為一個(gè)實(shí)體聲稱(chēng)的特征是正確的而提供的保障措施。控制系統(tǒng)和任何已經(jīng)安裝和配置在IACS中運(yùn)行的補(bǔ)充硬件和軟件組件。禁用功能bannedfunction因?yàn)榇嬖谡`用傾向較小、更安全的版本，而不再推薦使用的軟件方法。最佳實(shí)踐bestpractice供應(yīng)商已確定的用于安全設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、維護(hù)或廢棄產(chǎn)品的準(zhǔn)則，通常由安共同推薦。組件component構(gòu)成產(chǎn)品或系統(tǒng)的部件之一。3GB/T42457—2023/IEC62443-4-1:2配置管理configurationmanagement用以識(shí)別一個(gè)進(jìn)化的系統(tǒng)組件的原則，以控制這些組件的變化并保持整個(gè)生命周期的連續(xù)性和可追溯性?？v深防御defenseindepth使用幾個(gè)獨(dú)立方法來(lái)防護(hù)系統(tǒng)，以抵御任何特定攻擊的方式。依賴(lài)組件dependentcomponent產(chǎn)品所依賴(lài)的外部組件。支持但不再推薦使用的軟件方法。組件包含在由外部組織開(kāi)發(fā)的產(chǎn)品中，而不是專(zhuān)門(mén)為一個(gè)供應(yīng)商開(kāi)發(fā)。模糊測(cè)試fuzztesting針對(duì)測(cè)試對(duì)象創(chuàng)建格式錯(cuò)誤、非預(yù)期的數(shù)據(jù)或調(diào)用序列，并驗(yàn)證它們能夠被恰當(dāng)處理的過(guò)程。包括人員、硬件、軟件和工業(yè)過(guò)程操作的策略，其中策略可能影響工業(yè)過(guò)程的安全、信息安全和可靠性操作。補(bǔ)丁管理patchmanagement涉及獲取、測(cè)試和安裝軟件補(bǔ)丁(代碼更改)到產(chǎn)品的系統(tǒng)管理領(lǐng)域。為其他產(chǎn)品的使用所制造、開(kāi)發(fā)或改進(jìn)的系統(tǒng)、子系統(tǒng)或組件。4GB/T42457—2023/IEC62443-4指導(dǎo)團(tuán)隊(duì)在SDL(安全開(kāi)發(fā)生命周期)過(guò)程中活動(dòng)的組織角色。5GB/T42457—2023/IEC62443-4-1系統(tǒng)集成商systemintegrator專(zhuān)門(mén)將組件子系統(tǒng)組合成一個(gè)整體，并確保這些子系統(tǒng)按照項(xiàng)目規(guī)范執(zhí)行的人員或公司。第三方供應(yīng)商thirdpartysupplier獨(dú)立于產(chǎn)品供應(yīng)商組織之外的組織。威脅threat名譽(yù))、資產(chǎn)、控制系統(tǒng)或者個(gè)人具有不利影響的環(huán)境或者事件。威脅建模threatmodelling識(shí)別潛在的信息安全問(wèn)題的安全性設(shè)計(jì)分析技術(shù)。威脅模型的元素，描述一個(gè)需要身份驗(yàn)證或者發(fā)生信任級(jí)別變化(從高到低或反之亦然)時(shí)的邊界。單元測(cè)試unittesting驗(yàn)證一個(gè)單獨(dú)的計(jì)算機(jī)軟件或硬件單元是否按預(yù)期運(yùn)行。以授權(quán)或未授權(quán)的方式訪(fǎng)問(wèn)系統(tǒng)的人員、組織實(shí)體或自動(dòng)化過(guò)程。區(qū)域zone基于功能、邏輯和物理(包括位置)關(guān)系，描述目標(biāo)系統(tǒng)(SuC)分區(qū)的實(shí)體集合。3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。訪(fǎng)問(wèn)控制列表(Accesscontrollist)開(kāi)發(fā)能力成熟度模型集成(Capabilitymaturitymodelintegrationfordevelopment)6STRIDE欺騙、篡改、否認(rèn)、信息披露、拒絕服務(wù)、特權(quán)提升(Spoofing,Tampering,Repudiation,Informationdisclosure,Denialofservice,Elevationofprivilege)7GB/T42457—2023/IEC62443-4這些需求的第二個(gè)目標(biāo)是使開(kāi)發(fā)過(guò)程與工業(yè)自動(dòng)化和控制系統(tǒng)產(chǎn)品用戶(hù)(例化的安全性配置管理、補(bǔ)丁管理策略和規(guī)程等，并提供關(guān)于產(chǎn)品中發(fā)現(xiàn)的安全脆弱性的簡(jiǎn)潔明了的圖3說(shuō)明了本文件中的安全設(shè)計(jì)原則如何支持產(chǎn)品的縱深防御策略。安全管理實(shí)踐顯示在最外安全測(cè)試貫穿本文件的一個(gè)關(guān)鍵概念是威脅建模的使用。設(shè)計(jì)和實(shí)施審驗(yàn)證/確認(rèn)測(cè)試)的審查用于發(fā)現(xiàn)產(chǎn)品中的安全相關(guān)問(wèn)題。每個(gè)發(fā)現(xiàn)的問(wèn)題的影響8GB/T42457—2023/IEC62443-4-1:2這些基準(zhǔn)由成熟度等級(jí)定義，見(jiàn)表1。成熟度等級(jí)基于能力成熟度模型集成(CMMI)開(kāi)發(fā)(CMMI-DEV)模型[42]。表1在描述列中顯示了與CMMI-DEV的關(guān)系。成熟度等級(jí)提供了供應(yīng)商如何徹底滿(mǎn)足這些需求的更多細(xì)節(jié)。因此，系統(tǒng)集成商和資產(chǎn)所有者可以使用這些等級(jí)來(lái)評(píng)估開(kāi)發(fā)產(chǎn)品的嚴(yán)格程度。本條描述成熟度等級(jí)的目的是為組織提供基準(zhǔn)，以確定他們準(zhǔn)備使用的過(guò)程和規(guī)程來(lái)設(shè)計(jì)和實(shí)施產(chǎn)品安全。使用這些基準(zhǔn)，組織可能會(huì)發(fā)現(xiàn)其尚未準(zhǔn)備好將所有需求落實(shí)到相同的成熟度等級(jí)。在根據(jù)本文件設(shè)計(jì)和實(shí)現(xiàn)產(chǎn)品的安全(見(jiàn)IEC62443-4-2和IEC62443-3-3)時(shí)，無(wú)論組織的成熟度如何，本文件中SM-5定義的所有適用需求都應(yīng)在產(chǎn)品的開(kāi)發(fā)生命周期中遵守和使用。SM-5為需求的適用性提供了個(gè)案例外。4級(jí)。表1成熟度等級(jí)IEC62443-4-1描述1產(chǎn)品供應(yīng)商通常以臨時(shí)的方式進(jìn)行產(chǎn)品開(kāi)發(fā)，通常沒(méi)完整記錄)。因此，跨項(xiàng)目的一致性和過(guò)程的可重復(fù)性也許是不可能的2本等級(jí)的產(chǎn)品供應(yīng)商有能力根據(jù)書(shū)面政策(包括目標(biāo))來(lái)管理產(chǎn)品的開(kāi)發(fā)。產(chǎn)品供應(yīng)商也有證據(jù)表明，執(zhí)行該過(guò)程的人員具有專(zhuān)業(yè)知遵循書(shū)面程序來(lái)執(zhí)行。但是在本等級(jí)，組織沒(méi)有根據(jù)所有書(shū)面原則開(kāi)發(fā)產(chǎn)品的經(jīng)其程序以符合本文件時(shí)，會(huì)存在未將所有程序納入實(shí)際操作的情成熟度等級(jí)2所反映的開(kāi)發(fā)原則有助于確保開(kāi)發(fā)實(shí)有壓力的情況下也是如此。當(dāng)落實(shí)這些實(shí)踐時(shí)，他們的注：在這一級(jí)，CMMI和IEC62443-4-1成熟度模型基本識(shí)到在定義/形式化一個(gè)過(guò)程和執(zhí)行(實(shí)踐)過(guò)程之間可能存在顯著的延遲。因此，本文件將CMMI-DEV2級(jí)相關(guān)方面的執(zhí)行推遲到3級(jí)。3已定義級(jí)已定義級(jí)(實(shí)踐的)等級(jí)3供應(yīng)商的行為可以在整個(gè)供應(yīng)商的組織中是可重復(fù)的。這個(gè)過(guò)程已注：在這個(gè)級(jí)別，CMMI和本文件成熟度模型基本相同，除了包含CMDEV級(jí)別2的執(zhí)行相關(guān)方面。因此，等級(jí)3的過(guò)程是供應(yīng)商產(chǎn)品實(shí)施的等級(jí)2過(guò)程。4改進(jìn)級(jí)在這一級(jí)別，本文件結(jié)合了CMMI-DEV第4級(jí)和第559GB/T42457—2023/IEC62443-4-1:205實(shí)踐1——安全管理安全管理實(shí)踐的目的是確保安全相關(guān)的活動(dòng)在整個(gè)產(chǎn)品的生命周如果對(duì)安全相關(guān)活動(dòng)的計(jì)劃和支持不夠重視，同時(shí)由于資源不足、常規(guī)產(chǎn)品開(kāi)發(fā)/維護(hù)/支持過(guò)程應(yīng)文檔化并被以與一般公認(rèn)的產(chǎn)a)使用變更控制和審計(jì)記錄進(jìn)行配置管理；這個(gè)過(guò)程需要確保產(chǎn)品供應(yīng)商已完好地定義和證明產(chǎn)品開(kāi)發(fā)過(guò)程可以擴(kuò)求。本文件規(guī)定的所需過(guò)程假定存在成熟的產(chǎn)品開(kāi)發(fā)生命周期。如果沒(méi)有這用，安全的產(chǎn)品開(kāi)發(fā)生命周期就無(wú)法奏效。普遍接受的產(chǎn)品開(kāi)發(fā)過(guò)程的例子包括ISO9001[13]和應(yīng)使用一個(gè)過(guò)程來(lái)明確負(fù)責(zé)本文件所需求的每個(gè)過(guò)程的組這個(gè)過(guò)程是需要確保責(zé)任分配到產(chǎn)品供應(yīng)商的組織單元擁有這個(gè)過(guò)程意味著本文件需求的產(chǎn)品供應(yīng)商的開(kāi)發(fā)、維護(hù)和產(chǎn)品支持過(guò)程分別確定了負(fù)責(zé)執(zhí)行這些需求可能適用于外部提供的組件或由第三方供應(yīng)商定制開(kāi)發(fā)的組件GB/T42457—2023/IEC62443-4-1:20除非政策允許，否則需要此過(guò)程來(lái)確保產(chǎn)品在[19]的策略和控制可以減少未經(jīng)授權(quán)訪(fǎng)問(wèn)源代碼或源代碼損壞的可能性。還可以降GB/T42457—2023/IEC62443-4脆弱性被發(fā)現(xiàn)時(shí)供應(yīng)商的響應(yīng)能力等方面。供應(yīng)鏈安全性適用于產(chǎn)品中包含的提供的第三方組件，但不符合5.12中描述的定義。這些第三方組件提供的安和縱深防御策略中的作用直接相關(guān)(見(jiàn)第7章)。擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商能夠識(shí)別下列一個(gè)或多個(gè)特征何時(shí)適用于a)組件與產(chǎn)品安全上下文的一致程度(見(jiàn)第6章)和縱深防御策略(見(jiàn)第7章);b)適用于組件實(shí)施的嚴(yán)格程度(見(jiàn)第8章);c)由產(chǎn)品供應(yīng)商或組件供應(yīng)商對(duì)組件進(jìn)行安全驗(yàn)證的程度(見(jiàn)第9章);d)如何接收和/或監(jiān)視來(lái)自組件供應(yīng)商的有關(guān)安全相關(guān)問(wèn)題的通知(見(jiàn)第10章)和補(bǔ)丁(見(jiàn)第11e)組件安全文檔的充分性(見(jiàn)第12章);——評(píng)估商業(yè)現(xiàn)貨(COTS)組件供應(yīng)商對(duì)本文件或類(lèi)似的SDL標(biāo)準(zhǔn)的符合性； 為了便于缺陷管理，建議有一個(gè)來(lái)自第三方供應(yīng)商b)組件可能會(huì)影響安全性。當(dāng)供應(yīng)商分包第三方專(zhuān)門(mén)開(kāi)發(fā)的組件可能有應(yīng)使用一個(gè)過(guò)程來(lái)驗(yàn)證產(chǎn)品或補(bǔ)丁在其安全相關(guān)問(wèn)題解決并追蹤到關(guān)閉之前不會(huì)被發(fā)布(見(jiàn)a)需求(見(jiàn)第6章);b)設(shè)計(jì)安全(見(jiàn)第7章);c)實(shí)施(見(jiàn)第8章);d)驗(yàn)證/確認(rèn)(見(jiàn)第9章);活動(dòng)使用已知的安全脆弱性數(shù)據(jù)庫(kù)來(lái)幫助改進(jìn)威脅模型。例如，如果威脅模型顯示產(chǎn)品采用TLS協(xié)議實(shí)現(xiàn)傳輸安全，審查T(mén)LS實(shí)現(xiàn)中的已知脆弱性并確保這些脆弱性在活動(dòng)參加外部安全/SDL會(huì)議或參與行業(yè)SDL組(如幫助產(chǎn)品供應(yīng)商隨時(shí)掌握新出現(xiàn)的威脅和SDL最佳實(shí)踐掌握新出現(xiàn)的安全威脅和SDL最佳實(shí)踐析，并確定執(zhí)行糾正措施。所有的SDL實(shí)踐都宜在這個(gè)分析的范圍內(nèi)效的方法。由于安全問(wèn)題是質(zhì)量問(wèn)題，因此對(duì)于SDL也同樣適用價(jià)值由于脆弱性分析查找需要廣泛和不斷增長(zhǎng)的專(zhuān)業(yè)知識(shí)，培GB/T42457—2023/IEC62443-4需要這個(gè)過(guò)程來(lái)確保定義了產(chǎn)品特定安全需求。這b)產(chǎn)品所需的能力安全等級(jí)(SL-C)。要將特定安全功能包括在產(chǎn)品中。注意，產(chǎn)品的能力安全等級(jí)和所需的安全能力在IEC62443-4-2a)架構(gòu)師/開(kāi)發(fā)工程師(實(shí)現(xiàn)需求的人員);b)測(cè)試工程師(驗(yàn)證需求被滿(mǎn)足的人員);d)安全顧問(wèn)。GB/T42457—2023/IEC62443-4-1:20擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商進(jìn)行所有安全需求的審查，并修改/刪除那些無(wú)效的或不可測(cè)試7實(shí)踐3——安全設(shè)計(jì)本章指定的過(guò)程被用來(lái)確保產(chǎn)品采用包括縱深防御的安全設(shè)計(jì)?？v深防層來(lái)阻止安全威脅?？v深防御戰(zhàn)略的每一層都被設(shè)計(jì)成當(dāng)其他所有層次都不能應(yīng)使用一個(gè)過(guò)程來(lái)開(kāi)發(fā)和記錄用于識(shí)別和表征產(chǎn)品每個(gè)接口的安全設(shè)計(jì)，包括物理和邏輯接口，a)指示接口是否可以從外部訪(fǎng)問(wèn)(由其他產(chǎn)品),或者內(nèi)部可訪(fǎng)問(wèn)(通過(guò)產(chǎn)品的其他組件),或兩者b)產(chǎn)品安全上下文(見(jiàn)第6章)對(duì)外部接口的安全影響；c)接口的潛在用戶(hù)和可以通過(guò)它訪(fǎng)問(wèn)的資產(chǎn)(直接或間接);g)用于保護(hù)上述c)中定義的接口和資產(chǎn)的安全能力和/或補(bǔ)償機(jī)制，包括輸入驗(yàn)證以及輸出和h)使用第三方產(chǎn)品來(lái)實(shí)現(xiàn)接口及其安全功能；j)設(shè)計(jì)如何緩解威脅模型中發(fā)現(xiàn)的威脅的描述。需要這個(gè)過(guò)程來(lái)確?？梢酝ㄟ^(guò)其進(jìn)行攻擊的產(chǎn)品介質(zhì))。邏輯接口支持產(chǎn)品組件之間的數(shù)據(jù)控制流(例如應(yīng)用程序消息傳遞),并GB/T42457—2023/IEC62443-4產(chǎn)品安全上下文的概念被擴(kuò)展為包括由周?chē)a(chǎn)品組件提供的安全上下文。例如主體可能從何處訪(fǎng)問(wèn)接口以及可以通過(guò)其訪(fǎng)問(wèn)的資產(chǎn)。這樣可以盡可能減少接口和可以通過(guò)它們?cè)L問(wèn)的資產(chǎn)提供適當(dāng)?shù)谋Ｗo(hù)措施。識(shí)別信任邊界也支持未來(lái)(見(jiàn)IEC62443-3-2[9]),因此是定義產(chǎn)品安全架構(gòu)的主要組成部分。示例數(shù)據(jù)資產(chǎn)(資源)包括：d)訪(fǎng)問(wèn)控制列表(ACL);f)網(wǎng)頁(yè)(靜態(tài)和動(dòng)態(tài));i)進(jìn)程間通信(IPC)、服務(wù)和遠(yuǎn)程過(guò)程調(diào)用(的預(yù)期使用將有助于評(píng)估縱深防御策略的適當(dāng)性(見(jiàn)7.4)。應(yīng)使用一個(gè)過(guò)程，基于威脅模型并通過(guò)基于風(fēng)險(xiǎn)的方法來(lái)實(shí)施多層防御。輸入和審計(jì)日志是由于管理的變化而產(chǎn)生。每層提供一個(gè)額外的防御機(jī)制，每層a)設(shè)計(jì)中未充分滿(mǎn)足的安全需求(見(jiàn)第6章);b)威脅及其利用產(chǎn)品接口、信任邊界和資產(chǎn)的能力(需要這個(gè)過(guò)程來(lái)確保安全設(shè)計(jì)處理產(chǎn)品定義的需求和威脅(見(jiàn)第6章)并遵循設(shè)計(jì)最佳實(shí)踐(見(jiàn)7.5)。所有發(fā)現(xiàn)的與安全相關(guān)的問(wèn)題都要通過(guò)7.4和10.5定義的過(guò)程進(jìn)行文檔化和跟蹤。a)縱深防御策略是否沒(méi)有充分解決產(chǎn)品安全需求；b)是否存在繞過(guò)縱深防御的威脅向量(威脅的路徑)或者其他方面有能力繞過(guò)縱深防御策略。應(yīng)使用一個(gè)過(guò)程來(lái)確保安全設(shè)計(jì)最佳實(shí)踐被文檔化并應(yīng)用于設(shè)計(jì)過(guò)程。這a)最小特權(quán)(僅授予執(zhí)行預(yù)期操作的用戶(hù)/軟件必需的特權(quán));b)盡可能使用經(jīng)過(guò)驗(yàn)證的安全組件/設(shè)計(jì)；c)機(jī)制的經(jīng)濟(jì)性(爭(zhēng)取簡(jiǎn)單的設(shè)計(jì));d)使用安全的設(shè)計(jì)模式；f)將所有信任邊界文檔化作為設(shè)計(jì)的一部分；需要這個(gè)過(guò)程來(lái)確保向開(kāi)發(fā)者提供指導(dǎo)，幫助他們避免設(shè)計(jì)中可能導(dǎo)致以后的安全問(wèn)題的常見(jiàn)擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商有一個(gè)可以在產(chǎn)品安全設(shè)計(jì)的開(kāi)發(fā)過(guò)程中實(shí)踐清單。這些最佳實(shí)踐應(yīng)基于業(yè)界普遍接受的被開(kāi)發(fā)產(chǎn)品類(lèi)型的適合他們的設(shè)計(jì)實(shí)踐完全取決于供應(yīng)商。隨著行業(yè)的變化和產(chǎn)品供應(yīng)商對(duì)經(jīng)驗(yàn)GB/T42457—2023/IEC62443-48實(shí)踐4——安全實(shí)施本實(shí)踐中的需求適用于產(chǎn)品中的所有硬件和軟件組件，但外部提供的組應(yīng)使用一個(gè)過(guò)程來(lái)確保執(zhí)行實(shí)施審查以識(shí)別、表征和追蹤至關(guān)閉與實(shí)施安a)識(shí)別在實(shí)施中沒(méi)有得到充分解決的安全需求(見(jiàn)第6章)。c)對(duì)受支持的編程語(yǔ)言采用安全編碼標(biāo)準(zhǔn)對(duì)源代碼進(jìn)行靜態(tài)代碼分析(SCA),以發(fā)現(xiàn)安全編碼d)審查執(zhí)行情況及其對(duì)支持安全設(shè)計(jì)(見(jiàn)第7章)所定義的安全能力的可追溯性。e)檢查威脅及其利用實(shí)施接口、可信任邊界和資產(chǎn)的能力(見(jiàn)7.2和7.3)。擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商對(duì)實(shí)施和設(shè)計(jì)進(jìn)行全面的安全評(píng)估。通常是否將充分保護(hù)免受預(yù)期存在的威脅。另外，可以使用手動(dòng)源代碼審查(見(jiàn)8.4),并且可以使用自動(dòng)靜態(tài)源代碼分析來(lái)識(shí)別異常，包括代碼中a)避免可能被利用的實(shí)現(xiàn)結(jié)構(gòu)已知具有安全弱點(diǎn)的實(shí)現(xiàn)設(shè)計(jì)模式；GB/T42457—2023/IEC62443-4-1:2018施的執(zhí)行。例如，如果STRIDE將身份認(rèn)證確認(rèn)為針對(duì)假冒威脅應(yīng)使用一個(gè)過(guò)程來(lái)執(zhí)行測(cè)試，聚焦于識(shí)別和表征產(chǎn)品中的潛在安全脆弱性a)濫用情況、畸形或非預(yù)期輸入測(cè)試專(zhuān)注于發(fā)現(xiàn)未知安全問(wèn)題。應(yīng)包括針對(duì)所有外部接口和工具支持的協(xié)議進(jìn)行手動(dòng)或自動(dòng)的濫用情況測(cè)試以及特定類(lèi)型b)通過(guò)攻擊面分析確定進(jìn)出系統(tǒng)的所有途徑，常見(jiàn)的脆弱性包括但不限于弱ACL、暴露的端口1)產(chǎn)品軟件組件中的已知脆弱性；2)到脆弱性庫(kù)的鏈接；3)與安全規(guī)則沖突；4)可能導(dǎo)致脆弱性的編譯器設(shè)置。應(yīng)使用一個(gè)過(guò)程通過(guò)測(cè)試來(lái)識(shí)別和表征安全相關(guān)的問(wèn)題，這些測(cè)試專(zhuān)注于GB/T42457—2023/IEC62443-4-1:20滲透測(cè)試特別專(zhuān)注于損害產(chǎn)品的機(jī)密性、完整性或可用性。它可能涉及需通過(guò)本過(guò)程來(lái)確保已經(jīng)為發(fā)現(xiàn)產(chǎn)品或產(chǎn)品文檔有了這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商試圖通過(guò)滲透測(cè)試來(lái)破壞產(chǎn)品的安全性能力或防御深度策略中的脆弱性可以被利用，以及用于損害根據(jù)表3,應(yīng)使用一個(gè)過(guò)程來(lái)確保進(jìn)行測(cè)試的人員獨(dú)立于設(shè)計(jì)與實(shí)現(xiàn)產(chǎn)品的開(kāi)發(fā)人員。獨(dú)立性級(jí)別獨(dú)立的部門(mén)獨(dú)立的部門(mén)獨(dú)立的人員無(wú)獨(dú)立的人員已知脆弱性?huà)呙瑾?dú)立的人員無(wú)●獨(dú)立的人員：進(jìn)行測(cè)試的人員不可以是產(chǎn)●獨(dú)立的部門(mén)：進(jìn)行測(cè)試的人員不能向產(chǎn)品開(kāi)發(fā)人員的同一個(gè)一線(xiàn)管理者匯報(bào)。或者，他們●獨(dú)立的組織：進(jìn)行測(cè)試的人員不能與產(chǎn)品開(kāi)發(fā)人員處于同一組織。一個(gè)組織可以是一個(gè)單獨(dú)與在編程團(tuán)隊(duì)中工作的測(cè)試人員或作為職業(yè)程序設(shè)計(jì)人員的測(cè)試GB/T42457—2023/IEC62443-4這種實(shí)踐指定的過(guò)程用于處理產(chǎn)品安全上下文(見(jiàn)第6章)中已配置為采用縱深防御策略的產(chǎn)品的安全相關(guān)問(wèn)題(見(jiàn)第6章)。應(yīng)該有一個(gè)過(guò)程來(lái)對(duì)由內(nèi)部和外部來(lái)源報(bào)告的與產(chǎn)品安全相關(guān)的問(wèn)題進(jìn)行b)產(chǎn)品中使用的第三方組件的供應(yīng)商；應(yīng)使用一個(gè)過(guò)程來(lái)確保：任何組織包括產(chǎn)品供應(yīng)商或外部組織(例如產(chǎn)品用報(bào)告安全相關(guān)問(wèn)題的準(zhǔn)則可以隨時(shí)被這些報(bào)告的潛在內(nèi)部和外部來(lái)源訪(fǎng)問(wèn)。意b)如何保護(hù)所報(bào)告的信息的機(jī)密性和對(duì)該信息的訪(fǎng)問(wèn)；d)在發(fā)布的產(chǎn)品中報(bào)告內(nèi)部發(fā)現(xiàn)的安全相關(guān)問(wèn)題的時(shí)間表；b)可驗(yàn)證性；GB/T42457—2023/IEC62443-4有了這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商會(huì)驗(yàn)證所有報(bào)告給它的安全問(wèn)題。與安對(duì)于由產(chǎn)品開(kāi)發(fā)人員維護(hù)的組件中與安全相關(guān)的問(wèn)題，此過(guò)程可能涉及諸如弱性或檢查產(chǎn)品內(nèi)第三方嵌入式源代碼的使用等活動(dòng)。對(duì)于由第三方維護(hù)的組件中與安全相關(guān)的問(wèn)1)被發(fā)現(xiàn)的實(shí)際安全上下文；2)產(chǎn)品的安全上下文(見(jiàn)第6章);3)產(chǎn)品的縱深防御策略(見(jiàn)第7章)。b)由脆弱性評(píng)分系統(tǒng)(例如CVSS)定義的嚴(yán)重程度。c)識(shí)別包含安全相關(guān)問(wèn)題的所有其他產(chǎn)品/產(chǎn)品版本(如果有的話(huà))。d)識(shí)別問(wèn)題的根因。這個(gè)過(guò)程需要確保安全相關(guān)設(shè)計(jì)問(wèn)題的潛在影響被檢查和理解，以支持與解決這些問(wèn)題有關(guān)的有了這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商評(píng)估潛在的影響和每個(gè)安全相關(guān)問(wèn)題的如何解決這個(gè)問(wèn)題提供了基礎(chǔ)(見(jiàn)10.5),以及哪些開(kāi)發(fā)生命周期過(guò)程，如重新設(shè)計(jì)活動(dòng)和威脅模型更可驗(yàn)證的安全相關(guān)問(wèn)題在安全影響和產(chǎn)品中的分布變化很大，因此需要準(zhǔn)化方法一樣簡(jiǎn)單。與廣泛使用的設(shè)計(jì)模式或?qū)崿F(xiàn)方法相關(guān)的安全相關(guān)問(wèn)題可能是更大問(wèn)題的癥狀。應(yīng)使用一個(gè)過(guò)程來(lái)解決與安全相關(guān)的問(wèn)題，并根據(jù)影響評(píng)估的結(jié)果決定是否報(bào)告1)縱深防御策略或設(shè)計(jì)變更；2)增加一項(xiàng)或多項(xiàng)安全需求和/或能力；3)使用補(bǔ)償機(jī)制；4)禁用或移除功能。c)推遲至將來(lái)解決問(wèn)題(將來(lái)在某個(gè)時(shí)候重新應(yīng)用這個(gè)需求),并說(shuō)明原因和相這個(gè)過(guò)程應(yīng)包括定期審查與安全相關(guān)的開(kāi)放問(wèn)題，以確保問(wèn)題得到妥善這個(gè)過(guò)程需要確保如何處理(解決)每個(gè)與安全相關(guān)的問(wèn)題，并且不會(huì)無(wú)意中忽略與安全相關(guān)的有了這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商審查每個(gè)安全相關(guān)問(wèn)題的潛在殘余風(fēng)險(xiǎn)，并作出正確的處理(解殘余風(fēng)險(xiǎn)可以通過(guò)許多不同的方法來(lái)確定。一個(gè)例子b)由于報(bào)告實(shí)體的安全上下文和產(chǎn)品安全上下文之間的不匹配，提議的解決方案可能是不必c)提議的解決方案只能部分減少與安全相關(guān)問(wèn)題的影響，由于其復(fù)雜GB/T42457—2023/IEC62443-4-1:20應(yīng)使用一個(gè)過(guò)程及時(shí)通知產(chǎn)品用戶(hù)關(guān)于支持產(chǎn)品中可報(bào)告的安全相關(guān)問(wèn)題(見(jiàn)10.5),內(nèi)容包括但b)解決方案的描述。產(chǎn)品開(kāi)發(fā)商發(fā)現(xiàn)的處理第三方組件脆弱性的策略宜考慮到第三方組件供應(yīng)商過(guò)早公開(kāi)披露的可應(yīng)使用一個(gè)過(guò)程以確保告知產(chǎn)品用戶(hù)那些被指定為可報(bào)告的已解決的安全行報(bào)告。產(chǎn)品用戶(hù)需要這些信息來(lái)對(duì)其操作進(jìn)行知情的安全評(píng)估，服務(wù)理能力的一部分來(lái)處理脆弱性(見(jiàn)IEC62443-2-4)。擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商具有程序確定哪些安全問(wèn)題是可報(bào)告的，報(bào)告問(wèn)題的解決方案。披露過(guò)程通常包括除了脆弱性通知之外的信息提示條款。例性警告來(lái)通知產(chǎn)品用戶(hù)補(bǔ)償機(jī)制以響應(yīng)當(dāng)前的網(wǎng)絡(luò)安全活動(dòng)，或者告知產(chǎn)應(yīng)使用一個(gè)過(guò)程對(duì)安全相關(guān)問(wèn)題管理過(guò)程進(jìn)行定期審查。定期審查過(guò)程至11實(shí)踐7——安全更新管理本實(shí)踐規(guī)定的過(guò)程用于確保與產(chǎn)品相關(guān)的安全更新經(jīng)過(guò)回歸測(cè)試并及時(shí)提GB/T42457—2023/IEC62443-4-1:20a)產(chǎn)品開(kāi)發(fā)商創(chuàng)建的安全更新可解決預(yù)期的安全脆弱性。1)產(chǎn)品開(kāi)發(fā)商；2)產(chǎn)品中所用組件的供應(yīng)商；3)產(chǎn)品所依賴(lài)的組件或平臺(tái)的供應(yīng)商。擁有這個(gè)過(guò)程意味著合格的補(bǔ)丁(通常通過(guò)測(cè)試)被執(zhí)行，以驗(yàn)證適用于產(chǎn)接(例如，通過(guò)副作用)降低產(chǎn)品的運(yùn)行或縱深防御策略(見(jiàn)第7章)。服務(wù)提供商使用有關(guān)此程序的文檔來(lái)解決IEC62443-2-4的補(bǔ)丁管理需求。a)安全補(bǔ)丁適用的產(chǎn)品版本號(hào)；d)關(guān)于如何驗(yàn)證批準(zhǔn)的補(bǔ)丁已被應(yīng)用的說(shuō)明；e)由于資產(chǎn)所有者未批準(zhǔn)或未部署而導(dǎo)致未使用補(bǔ)丁和措施的風(fēng)險(xiǎn)。何安裝批準(zhǔn)的補(bǔ)丁、如何確定組件補(bǔ)丁狀態(tài)(補(bǔ)丁是否被應(yīng)用)以及如何解決未經(jīng)批準(zhǔn)的補(bǔ)丁。更多信息見(jiàn)IEC62443-2-4的修補(bǔ)管理需求。應(yīng)使用一個(gè)過(guò)程來(lái)確保有關(guān)依賴(lài)組件或操作系統(tǒng)安全更新的文檔可供產(chǎn)品用戶(hù)使用，包括但不a)說(shuō)明產(chǎn)品是否與依賴(lài)組件或操作系統(tǒng)安全更新兼容；最終用戶(hù)猶豫在IACS中安裝可能會(huì)擾亂運(yùn)行的軟件。因此，生產(chǎn)商需要向用戶(hù)提供操作系統(tǒng)特GB/T42457—2023/IEC62443-4-1:2018應(yīng)使用一個(gè)過(guò)程來(lái)確保所有支持的產(chǎn)品和產(chǎn)品版本的安全更新以一種便于應(yīng)使用一個(gè)過(guò)程來(lái)確保產(chǎn)品用戶(hù)能夠及時(shí)獲得合適的產(chǎn)品安全補(bǔ)丁，并且性的可能性(見(jiàn)第11章)。擁有這一過(guò)程意味著產(chǎn)品供應(yīng)商提供了一種機(jī)制或技術(shù)，允許產(chǎn)品用戶(hù)驗(yàn)a)脆弱性的潛在影響；產(chǎn)品的縱深防御策略(見(jiàn)第6章)。IEC62443-2-4為IACS服務(wù)提供商使用該文檔定義了補(bǔ)充強(qiáng)化a)第6章中定義的與產(chǎn)品安全上下文相關(guān)的策略和規(guī)程；b)架構(gòu)方面的考慮，如第7章中定義的防火墻的布置和包賬戶(hù)特權(quán)/權(quán)限);d)使用工具來(lái)幫助加固。第12章的其余部分定義了用于生成和維護(hù)本文件的開(kāi)發(fā)過(guò)程的需求。支持這些需求意味著產(chǎn)品這個(gè)過(guò)程應(yīng)當(dāng)確保制定縱深防御策略的文檔，以支持在客戶(hù)現(xiàn)場(chǎng)加固產(chǎn)品。此類(lèi)文檔是御措施(見(jiàn)第6章)。這個(gè)過(guò)程應(yīng)當(dāng)確保制定縱深防御策略的文檔，以支持在客戶(hù)現(xiàn)場(chǎng)加固產(chǎn)品。此類(lèi)文檔是1)對(duì)產(chǎn)品縱深防御策略的貢獻(xiàn)(見(jiàn)第7章);3)設(shè)置/更改/刪除其值。這個(gè)過(guò)程是必需的，以確保描述如何安全地停用產(chǎn)品(退役)的說(shuō)明被記錄。此類(lèi)文檔是GB/T42457—2023/IEC62443-4-1:20b)產(chǎn)品使用的默認(rèn)賬戶(hù)(例如服務(wù)賬戶(hù))以及更改默認(rèn)賬戶(hù)名稱(chēng)和密碼的說(shuō)明。擁有這個(gè)過(guò)程意味著產(chǎn)品供應(yīng)商創(chuàng)建文檔，以定義文檔賬戶(hù)及其設(shè)置，包a)產(chǎn)品安全能力的覆蓋范圍；b)產(chǎn)品與其預(yù)期的環(huán)境相結(jié)合(見(jiàn)第6章);這個(gè)過(guò)程應(yīng)當(dāng)確保產(chǎn)品的安全性相關(guān)文檔是準(zhǔn)確和完整的，并且非安全擁有這個(gè)過(guò)程意味著產(chǎn)品的安全相關(guān)文檔被審查，以判斷是否有任何產(chǎn)品(資料性)根據(jù)5.15的要求，開(kāi)發(fā)組織采取步驟持續(xù)改進(jìn)其過(guò)程。使用顯示開(kāi)發(fā)過(guò)程定是否正在進(jìn)行可度量的改進(jìn)。要收集的具體指標(biāo)(如果有的話(huà))由a)信息安全功能——基于IEC62443-4-2中定義的信息安全功能NSF——IEC62443-4-2中定義的信息安全功能數(shù)量；NRM——滿(mǎn)足這些需求的數(shù)量。b)實(shí)施安全NSCA——已啟用并且返回警告數(shù)為0的SCA安全規(guī)則數(shù)量；NSR——安全規(guī)則的總數(shù)。P——鏈接到banned.h的項(xiàng)目數(shù)量；c)構(gòu)建安全——基于編譯器選項(xiàng)和標(biāo)志B——純凈的BinScope組件報(bào)告數(shù)量；C——組件數(shù)量。d)部署安全——基于對(duì)產(chǎn)品攻擊面的分析結(jié)果e)當(dāng)前缺陷——基于產(chǎn)品中的關(guān)鍵或重要安全缺陷數(shù)量GB/T42457—2023/IECSI——關(guān)鍵安全問(wèn)題數(shù)量；g)SDL違規(guī)——基于與SDL安全編碼指南的偏差CI——安全代碼符合項(xiàng)清單中符合的條目數(shù)量；(資料性)SR-5:安全需求評(píng)審S(chǎng)D-1:安全設(shè)計(jì)原則sVV-1:安全需求測(cè)試表B.1全部需求總結(jié)(續(xù))SUM-2:安全更新文檔SUM-3:依賴(lài)組件或操作系統(tǒng)安全更新文檔GB/T42457—2023/IEC62Part1-1:Terminnnologyterglossaryoftermsandabbrevi[5]IEC62443-2-1[7]IECTR62443-2-3Se[8]IECTR62443-3-1[10]IEC62443-3-3Industrialcommu[11]IEC62443-4-2Securityfor[12]ISO/IECDirectivesPart2,Principlesand[14]ISO/IEC10746-1Informationtechnology—O[15]ISO/IEC10746-2Informationtechnology—Op[16]ISO/IEC15408-1Informationtechnology-Security[17]ISO/IEC15408-2Informationtechnology-SecurityITsecurity—Part2:Securityf[18]ISO/IEC15408-3Informationtechnology—SecuritytITsecurity—Part3:Securityassura[19]ISO/IEC27002Inform