(高清版)GB∕T 37934-2019 信息安全技術 工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求

ICS35.040GB/T37934—2019信息安全技術工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求國家市場監(jiān)督管理總局中國國家標準化管理委員會GB/T37934—2019 I 13術語和定義 1 2 26安全技術要求 26.1基本級安全技術要求 26.1.1安全功能要求 26.1.2自身安全要求 36.1.3安全保障要求 56.2增強級安全技術要求 76.2.1安全功能要求 76.2.2自身安全要求 86.2.3安全保障要求 IGB/T37934—2019本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。ⅡGB/T37934—2019隨著工業(yè)化與信息化的深度融合，來自信息網(wǎng)絡的安全威脅正逐步對工業(yè)控制系統(tǒng)造成極大的安一種能應用于工業(yè)控制環(huán)境的網(wǎng)絡安全隔離與信息交換系統(tǒng)對工業(yè)控制系統(tǒng)進行安全防護。應用于工業(yè)控制環(huán)境的網(wǎng)絡安全隔離與信息交換系統(tǒng)與通用網(wǎng)絡安全隔離與信息交換系統(tǒng)的主要——通用網(wǎng)絡安全隔離與信息交換系統(tǒng)除了需具備基本的五元組過濾外，還需要具備一定的應用層過濾防護能力。用于工業(yè)控制環(huán)境的網(wǎng)絡安全隔離與信息交換系統(tǒng)除了具有通用網(wǎng)絡安全隔離與信息交換系統(tǒng)的部分通用協(xié)議應用層過濾能力外，還需要具有對工業(yè)控制協(xié)議應用層——結合工業(yè)控制環(huán)境中當前的信息安全防護技術水平，以及信息安全防護不得影響系統(tǒng)功能的正常運行，通用網(wǎng)絡安全隔離與信息交換系統(tǒng)所要求的強制訪問控制要求還不能夠適應于工——工業(yè)控制環(huán)境下的網(wǎng)絡安全隔離與信息交換系統(tǒng)比通用網(wǎng)絡安全隔離與信息交換系統(tǒng)具有更1GB/T37934—2019信息安全技術工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求本標準規(guī)定了工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)的安全功能要求、自身安全要求和安全保障2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T20279—2015信息安全技術網(wǎng)絡和終端隔離產(chǎn)品安全技術要求GB/T20438.3—2017電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.4—2017電氣/電子/可編程電子安全相關系統(tǒng)的功能安全第4部分：定義和縮略語GB/T25069—2010信息安全技術術語GB/T20279—2015、GB/T20438.4—2017和GB/T25069—2010界定的以及下列術語和定義適3.1工業(yè)控制系統(tǒng)industrialcontrolsyste集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng)，如可編程邏輯控制器(PLC),現(xiàn)已廣泛應用在工業(yè)部門和關鍵基礎設施中。[GB/T32919—2016,定義3.1]3.23.3工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)industrialcontrolsystemsecurityisolationand2GB/T37934—2019MAC:媒體接入控制(MediaAccessControl)OPC:用于過程控制的對象鏈接與嵌入(ObjectLinkingandEmbeddingforProcessControl)5產(chǎn)品描述工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)通常部署在工業(yè)控制網(wǎng)絡邊界，保護的資產(chǎn)為工業(yè)控制網(wǎng)絡；或者部署在生產(chǎn)管理層與過程監(jiān)控層之間，保護的資產(chǎn)為過程監(jiān)控層網(wǎng)絡及現(xiàn)場控制層網(wǎng)絡。此工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)一般以二主機加專用隔離部件的方式組成，即由內(nèi)部處理擺渡控制邏輯的專用隔離芯片構成的隔離交換板卡，也可以是經(jīng)過安全強化的運行專用信息傳輸邏輯控制程序的主機。工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)中的內(nèi)、外部處理單元通過專用隔離部件相連，專用隔離部件是兩個安全域之間唯一的可信物理信道。該內(nèi)部信道裁剪了TCP/IP等公共網(wǎng)絡協(xié)方式實現(xiàn)協(xié)議隔離和信息傳輸；二是采用一組互斥的分時切換電子開關實現(xiàn)內(nèi)部本標準將工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求分為安全功能、自身安全要求和安6安全技術要求產(chǎn)品應支持應用層的訪問控制：a)支持HTTP、FTP、TELNET等應用的識別與訪問控制；b)至少支持一種工業(yè)控制協(xié)議的訪問控制。3GB/T37934—2019產(chǎn)品應支持對工業(yè)控制協(xié)議內(nèi)容進行深度分析和訪問控制：TCP/IP的私有協(xié)議格式傳輸。在為所有內(nèi)部或外部網(wǎng)絡上的主機連接進行資源分配時，安全功能應保證其分配的資源中不提供以前連接活動中所產(chǎn)生的任何信息內(nèi)容。在與安全有關的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡主機向外部網(wǎng)絡主機傳送信息等)被允許執(zhí)絕服務攻擊能力。產(chǎn)品應保證任何用戶都具有唯一的標識。使用默認值對創(chuàng)建的每個管理員的屬性進行初始化的功能。產(chǎn)品應保證任何用戶在執(zhí)行安全功能前都要進行身份鑒別。產(chǎn)品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超4GB/T37934—2019a)業(yè)務接口和管理接口采用不同的網(wǎng)絡接口；b)管理接口及管理界面不存在中高風險安全漏洞。監(jiān)測。產(chǎn)品應支持與外部時間服務器進行時間同步。產(chǎn)品應具備一定的容錯能力：進行訪問控制安全策略應用時不應該影響正常的數(shù)據(jù)通信。產(chǎn)品應對其提供的業(yè)務功能生成審計日志：b)識別及防護的各類攻擊行為。業(yè)務日志內(nèi)容至少包括：c)攻擊事件的類型及描述。產(chǎn)品應對與自身安全相關的以下事件生成審計日志：5GB/T37934—2019b)因鑒別失敗次數(shù)超過閾值而采取的禁止進一步嘗試的措施；b)應提供能查閱日志的工具；c)審計事件應存儲于掉電非易失性存儲介質(zhì)中，且在存儲空間達到閾值時至少能夠通知授權審a)與產(chǎn)品設計文檔中對安全功能的描述一致；b)描述與安全功能要求一致的安全域；c)描述產(chǎn)品安全功能初始化過程及安全措施；d)證實產(chǎn)品安全功能能夠防止被破壞；e)證實產(chǎn)品安全功能能夠防止安全策略被旁路。a)完整描述產(chǎn)品的安全功能；b)描述所有安全功能接口的目的與使用方法；c)標識和描述每個安全功能接口相關的所有參數(shù)；d)描述安全功能接口相關的安全功能實施行為；e)描述由安全功能實施行為而引起的直接錯誤消息；f)證實安全功能要求到安全功能接口的追溯。a)根據(jù)子系統(tǒng)描述產(chǎn)品結構，并標識和b)描述安全功能所有子系統(tǒng)間的相互作用；c)提供的映射關系能夠證實設計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。6GB/T37934—2019開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一b)描述如何以安全的方式使用產(chǎn)品提供的接口；d)明確說明與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性；e)標識產(chǎn)品運行的所有可能狀態(tài)(包括操作導致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關系和聯(lián)系；f)實現(xiàn)安全目的所應執(zhí)行的安全策略。a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。開發(fā)者的配置管理能力應滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維交付文檔應描述為維護安全所必需的所有程序。a)若產(chǎn)品以軟件形態(tài)提交，應在交付文檔中詳細描述支撐操作系統(tǒng)的兼容性、可靠性、安全性7GB/T37934—2019a)產(chǎn)品應采用具有高可靠性的硬件平臺；開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應表明測試文檔中所標識的測試與功能規(guī)范中所描述c)實際測試結果和預期的測試結果一致。.3IP/MAC地址綁定產(chǎn)品應支持應用層的訪問控制：8GB/T37934—2019a)支持HTTP、FTP、TELNET等應用的識別與訪問控制；b)至少支持兩種工業(yè)控制協(xié)議的訪問控制。產(chǎn)品應支持對工業(yè)控制協(xié)議內(nèi)容進行深度分析和訪問控制：圍等要素進行控制。TCP/IP的私有協(xié)議格式傳輸。在為所有內(nèi)部或外部網(wǎng)絡上的主機連接進行資源分配時，安全功能應保證其分配的資源中不提供以前連接活動中所產(chǎn)生的任何信息內(nèi)容。在與安全有關的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡主機向外部網(wǎng)絡主機傳送信息等)被允許執(zhí)產(chǎn)品應具備一定的抗拒絕服務攻擊能力：產(chǎn)品應保證任何用戶都具有唯一的標識。9GB/T37934—2019使用默認值對創(chuàng)建的每個管理員的屬性進行初始化的功能。產(chǎn)品應為管理角色進行分級，使不同級別的管理角色具有不同的管理權限。各管理角色的權限應產(chǎn)品應保證任何用戶在執(zhí)行安全功能前都要進行身份鑒別。若其采用網(wǎng)絡遠程方式管理，還應對產(chǎn)品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超a)應支持業(yè)務接口和管理接口采用不同的網(wǎng)絡接口；b)管理接口及管理界面不存在中高風險安全漏洞。GB/T37934—2019進行訪問控制安全策略下裝及應用時不應影響正常的數(shù)據(jù)通信。產(chǎn)品應對其提供的業(yè)務功能生成審計日志：b)識別及防護的各類攻擊行為。c)攻擊事件的類型及描述。產(chǎn)品應對與自身安全相關的以下事件生成審計日志：b)因鑒別失敗次數(shù)超過閾值而采取的禁止進一步嘗試的措施；f)超過保存時限的審計記錄和自身審計日志的自動刪除；g)審計日志和審計記錄的備份與恢復；h)存儲空間達到閾值報警；GB/T37934—2019c)審計事件應存儲于掉電非易失性存儲介質(zhì)中，且在存儲空間達到閾值時至少能夠通知授權審d)應支持以標準格式將審計日志外發(fā)到專用的日志服務器。a)與產(chǎn)品設計文檔中對安全功能的描述一致；b)描述與安全功能要求一致的安全域；c)描述產(chǎn)品安全功能初始化過程及安全措施；d)證實產(chǎn)品安全功能能夠防止被破壞；e)證實產(chǎn)品安全功能能夠防止安全策略被旁路。a)完整描述產(chǎn)品的安全功能；b)描述所有安全功能接口的目的與使用方法；c)標識和描述每個安全功能接口相關的所有參數(shù)；d)描述安全功能接口相關的安全功能實施行為；e)描述由安全功能實施行為而引起的直接錯誤消息；f)證實安全功能要求到安全功能接口的追溯；a)根據(jù)子系統(tǒng)描述產(chǎn)品結構，并標識和描述產(chǎn)品安全功能的b)描述安全功能所有子系統(tǒng)間的相互作用；c)提供的映射關系能夠證實設計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；GB/T37934—2019開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一b)描述如何以安全的方式使用產(chǎn)品提供的接口；d)明確說明與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控e)標識產(chǎn)品運行的所有可能狀態(tài)(包括操作導致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關系和聯(lián)系；f)實現(xiàn)安全目的所應執(zhí)行的安全策略。a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。開發(fā)者的配置管理能力應滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識各GB/T37934—2019交付文檔應描述為維護安全所必需的所有程序。開發(fā)者應提供開發(fā)安全文檔。開發(fā)安全文檔應描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品開發(fā)者應建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要a)若產(chǎn)品以軟件形態(tài)提交，應在交付文檔中詳細描述支撐操作系統(tǒng)的兼容性、可靠性、安全性a)產(chǎn)品應采用具有高可靠性的硬件平臺；a)證實測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應性；a