《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)設(shè)計(jì)技術(shù)要求 第5部分：工業(yè)控制安全要求》

ICS?FORMTEXT?????FORMTEXT點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號中華人民共和國國家標(biāo)準(zhǔn)GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求第5部分：工業(yè)控制安全要求FORMTEXTInformationsecuritytechnology--Technicalrequirementsofsecuritydesignforcybersecurityclassifiedprotection--Part5:SecurityrequirementsofindustrialcontrolFORMTEXT?????FORMDROPDOWNFORMTEXT（本稿完成日期：2016/12/23）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXT????FORMTEXTXXFORMTEXTXX-FORMTEXTXX-FORMTEXTXX實(shí)施GB/TXXXXX-XXXXVII信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求第5部分：工業(yè)控制安全要求范圍GB/TXXXXX的本部分依據(jù)信息系統(tǒng)等級保護(hù)設(shè)計(jì)技術(shù)要求和工業(yè)控制系統(tǒng)等級保護(hù)的基本要求，提出了工業(yè)控制系統(tǒng)等級保護(hù)信息安全設(shè)計(jì)技術(shù)要求。本部分適用于系統(tǒng)設(shè)計(jì)方、設(shè)備生產(chǎn)商、系統(tǒng)集成商、工程公司、用戶、資產(chǎn)所有人以及評估認(rèn)證機(jī)構(gòu)等對工業(yè)控制系統(tǒng)的信息安全進(jìn)行設(shè)計(jì)和評估時(shí)使用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T25070-2010信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T22239.5-XXXX信息安全技術(shù)信息安全等級保護(hù)基本要求第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求GB/T25069-2010信息安全技術(shù)術(shù)語術(shù)語、定義和縮略語術(shù)語和定義GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。工業(yè)控制系統(tǒng)industrialcontrolsystem（ICS）（IEC62443） 對工業(yè)生產(chǎn)過程安全（safety）、信息安全(security)和可靠運(yùn)行產(chǎn)生作用和影響的人員、硬件、策略和軟件的集合。系統(tǒng)包括但不限于：工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)（DCS）、監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)、可編程式邏輯控制器（PLC）、智能電子設(shè)備（IED）、運(yùn)動控制（MC）系統(tǒng)、網(wǎng)絡(luò)電子傳感和控制、監(jiān)視和診斷系統(tǒng)等；相關(guān)的信息系統(tǒng)，例如先進(jìn)控制或者多變量控制、在線優(yōu)化器、專用設(shè)備監(jiān)視器、人機(jī)界面、過程歷史記錄、制造執(zhí)行系統(tǒng)（MES）和企業(yè)資源計(jì)劃管理系統(tǒng)（ERP）；相關(guān)的部門、人員、網(wǎng)絡(luò)或機(jī)器接口，為連續(xù)的、批處理、離散的和其他過程提供控制、安全和制造操作功能。分布式（集散）控制系統(tǒng)distributedcontrolsystem（DCS）是集中監(jiān)視、操作、管理與分散控制相結(jié)合的計(jì)算機(jī)多級控制系統(tǒng)，由上位機(jī)(工程師站，操作員站)與現(xiàn)場儀表控制裝置組成，由于控制功能分散、危險(xiǎn)分散，因此系統(tǒng)可靠性得到極大提高。監(jiān)控與數(shù)據(jù)采集系統(tǒng)supervisorycontrolanddataacquisitionsystem(SCADA)SCADA系統(tǒng)是一類高分布式的工業(yè)控制系統(tǒng)，用于控制地理上分散的資產(chǎn)?？删幊淌竭壿嬁刂破鱬rogrammablelogiccontroller(PLC)一種用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。這種系統(tǒng)用可編程的存儲器作面向用戶指令的內(nèi)部寄存器，完成規(guī)定的功能，如邏輯、順序、定時(shí)、計(jì)數(shù)、運(yùn)算等，通過數(shù)字或模擬的輸入/輸出，控制各種類型的機(jī)械或過程。可編程式邏輯控制器及其相關(guān)外圍設(shè)備的設(shè)計(jì)，使它能夠非常方便地集成到工業(yè)控制系統(tǒng)中，并能很容易地達(dá)到所期望的所有功能。重要主機(jī)設(shè)備importanthostdevice工業(yè)控制系統(tǒng)中重要主機(jī)設(shè)備包括但不限于：操作員站、工程師站、歷史數(shù)據(jù)庫服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器、計(jì)劃排產(chǎn)系統(tǒng)服務(wù)器、先進(jìn)控制系統(tǒng)服務(wù)器、倉儲管理系統(tǒng)服務(wù)器等。現(xiàn)場設(shè)備FieldDevice（NISTSP800-82）是連接到ICS現(xiàn)場的設(shè)備，現(xiàn)場設(shè)備的類型包括RTU、PLC、傳感器、執(zhí)行器、人機(jī)界面以及相關(guān)的通訊設(shè)備等?，F(xiàn)場總線Fieldbus（NISTSP800-82）一種處于工業(yè)現(xiàn)場底層設(shè)備（如傳感器、執(zhí)行器、控制器和控制室設(shè)備等）之間的數(shù)字串行多點(diǎn)雙向數(shù)據(jù)總線或通信鏈路。利用現(xiàn)場總線技術(shù)不需要在控制器和每個(gè)現(xiàn)場設(shè)備之間點(diǎn)對點(diǎn)布線?？偩€協(xié)議是用來定義現(xiàn)場總線網(wǎng)絡(luò)上的消息，每個(gè)消息標(biāo)識了網(wǎng)絡(luò)上特定的傳感器。漏洞/脆弱性vulnerability信息系統(tǒng)、系統(tǒng)安全程序或內(nèi)部控制的缺陷，可以作為一個(gè)攻擊源被利用或觸發(fā)。資產(chǎn)asset所擁有的物理上的或邏輯上的財(cái)產(chǎn)，具有一定的價(jià)值。信息安全區(qū)域securityzone（IEC624431-13.2.117）共享通用信息安全需求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注1：本文中所用的“區(qū)域”應(yīng)當(dāng)都是指信息安全區(qū)域。注2：一個(gè)區(qū)域應(yīng)當(dāng)和其他區(qū)域有明顯的邊界，一個(gè)信息安全區(qū)域的信息安全策略在其內(nèi)部和邊緣都要強(qiáng)制執(zhí)行，一個(gè)信息安全區(qū)域可以包括多個(gè)不同等級的子區(qū)域。工業(yè)控制系統(tǒng)信息安全industrialcontrolsysteminformationsecurity以保護(hù)工業(yè)控制系統(tǒng)的可用性、完整性、保密性為目標(biāo)，另外也包括實(shí)時(shí)性、可靠性與穩(wěn)定性。定級系統(tǒng)classifiedsystem按照GB/T22240-2008已確定安全保護(hù)等級的信息系統(tǒng)。定級系統(tǒng)分為第一級、第二級、第三級和第四級信息系統(tǒng)。安全計(jì)算環(huán)境securecomputingenvironment對定級系統(tǒng)的信息進(jìn)行存儲、處理及實(shí)施安全策略的相關(guān)部件。安全計(jì)算環(huán)境按照保護(hù)能力劃分為第一級安全計(jì)算環(huán)境、第二級安全計(jì)算環(huán)境、第三級安全計(jì)算環(huán)境和第四級安全計(jì)算環(huán)境。安全區(qū)域邊界secureareaboundary對定級系統(tǒng)的安全計(jì)算環(huán)境邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件。安全區(qū)域邊界按照保護(hù)能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界和第四級安全區(qū)域邊界。安全通信網(wǎng)絡(luò)securecommunicationnetwork對定級系統(tǒng)安全計(jì)算環(huán)境和信息安全區(qū)域之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。安全通信網(wǎng)絡(luò)按照保護(hù)能力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、第三級安全通信網(wǎng)絡(luò)和第四級安全通信網(wǎng)絡(luò)。安全管理中心securitymanagementcenter對定級系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺。第三級及第三級以上的定級系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心，稱為第三級安全管理中心和第四級安全管理中心?？s略語下列縮略語適用于本文件。ICS——工業(yè)控制系統(tǒng)（IndustrialControlSystem）DCS——分布式（集散）控制系統(tǒng)（DistributedControlSystem）SCADA——監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SupervisoryControlAndDataAcquisitionSystem）PLC——可編程式邏輯控制器（ProgrammableLogicController）RTU——遠(yuǎn)程終端單元（RemoteTerminalUnit）MTU——主終端單元（MasterTerminalUnit）IED——智能電子設(shè)備（IntelligentElectronicDevices）HMI——人機(jī)界面（Human-MachineInterface）PPS——數(shù)據(jù)包每秒（PacketPerSecond）OLE——對象連接與嵌入（ObjectLinkingandEmbedding）OPC——用于過程控制的OLE（OLEforProcessControl）VPN——虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）工業(yè)控制系統(tǒng)的安全體系結(jié)構(gòu)保護(hù)對象工業(yè)控制系統(tǒng)可以采取按功能分層的方式對其進(jìn)行分析和安全設(shè)計(jì)，工業(yè)控制系統(tǒng)和其它的信息系統(tǒng)，分為從下到上五層架構(gòu)：第0層，現(xiàn)場設(shè)備層；第1層，現(xiàn)場控制層；第2層，過程監(jiān)控層；第3層，生產(chǎn)管理層；第4層，企業(yè)資源層，即其他的信息系統(tǒng)（本標(biāo)準(zhǔn)對第4層不做要求）。根據(jù)對工業(yè)控制系統(tǒng)架構(gòu)及安全的分析，總結(jié)出工業(yè)控制系統(tǒng)中第0～3層防護(hù)對象包含的用戶、軟硬件和數(shù)據(jù)三類，包括但不限于圖1所示的對象。圖1工業(yè)控制系統(tǒng)防護(hù)對象依據(jù)計(jì)算環(huán)境邊界防護(hù)通訊網(wǎng)絡(luò)三重防護(hù)多級互聯(lián)的技術(shù)框架對于工業(yè)控制系統(tǒng)根據(jù)被保護(hù)對象業(yè)務(wù)性質(zhì)分區(qū)，針對功能層次技術(shù)特點(diǎn)實(shí)施的信息安全等級保護(hù)設(shè)計(jì)，本節(jié)以該種方式為例進(jìn)行工業(yè)控制系統(tǒng)安全防護(hù)介紹，對保護(hù)結(jié)構(gòu)進(jìn)一步細(xì)化。工業(yè)控制系統(tǒng)推薦的等級保護(hù)防護(hù)方案設(shè)計(jì)參照GB/T17859和GB/T25070，構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系，采用分層、分區(qū)的架構(gòu)，結(jié)合工業(yè)控制系統(tǒng)總線協(xié)議復(fù)雜多樣、實(shí)時(shí)性要求強(qiáng)、節(jié)點(diǎn)計(jì)算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時(shí)間短、安全機(jī)制不能影響實(shí)時(shí)性等特點(diǎn)進(jìn)行設(shè)計(jì)，以實(shí)現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護(hù)和計(jì)算環(huán)境安全。圖2工業(yè)控制系統(tǒng)信息安全三重防御多級互聯(lián)技術(shù)框架工業(yè)控制系統(tǒng)的安全區(qū)域依據(jù)圖3工業(yè)控制系統(tǒng)分為4層，即第0～3層為工業(yè)控制系統(tǒng)等級保護(hù)的范疇，即為本防護(hù)方案覆蓋的區(qū)域；橫向上對工業(yè)控制系統(tǒng)進(jìn)行安全區(qū)域的劃分，根據(jù)工業(yè)控制系統(tǒng)中業(yè)務(wù)的重要性、實(shí)時(shí)性、業(yè)務(wù)的關(guān)聯(lián)性、對現(xiàn)場受控設(shè)備的影響程度以及功能范圍、資產(chǎn)屬性等，形成不同的安全防護(hù)區(qū)域，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)，具體分區(qū)以工業(yè)現(xiàn)場實(shí)際情況為準(zhǔn)（本防護(hù)方案的分區(qū)為示例性分區(qū)，分區(qū)方式包括但不限于：第0～2層組成一個(gè)安全區(qū)域、第0～1層組成一個(gè)安全區(qū)域、同層中有不同的安全區(qū)域等）。分區(qū)原則根據(jù)業(yè)務(wù)系統(tǒng)或其功能模塊的實(shí)時(shí)性、使用者、主要功能、設(shè)備使用場所、各業(yè)務(wù)系統(tǒng)間的相互關(guān)系、廣域網(wǎng)通信方式以及對工業(yè)控制系統(tǒng)的影響程度等。對于額外的安全性和可靠性要求，在主要的安全區(qū)還可以根據(jù)操作功能進(jìn)一步劃分成子區(qū)，將設(shè)備劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。將具備相同功能和安全要求的各系統(tǒng)的控制功能劃分成不同的安全區(qū)域，并按照方便管理和控制為原則為各安全功能區(qū)域分配網(wǎng)段地址。等級保護(hù)等級分為四級，防護(hù)方案設(shè)計(jì)逐級增強(qiáng)，但防護(hù)方案設(shè)計(jì)中的防護(hù)類別相同，只是安全保護(hù)設(shè)計(jì)的強(qiáng)度不同。防護(hù)類別包括：安全計(jì)算環(huán)境，包括工業(yè)控制系統(tǒng)0～3層中的信息進(jìn)行存儲、處理及實(shí)施安全策略的相關(guān)部件；安全區(qū)域邊界，包括安全計(jì)算環(huán)境邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件；安全通信網(wǎng)絡(luò)，包括安全計(jì)算環(huán)境和信息安全區(qū)域之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件；安全管理中心，包括對定級系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺，包括系統(tǒng)管理、安全管理和審計(jì)管理三部分。推薦的工業(yè)控制系統(tǒng)信息安全分層分區(qū)結(jié)構(gòu)如圖3所示，該圖綜合了工業(yè)控制系統(tǒng)的四層分層結(jié)構(gòu)和兩種主要的安全區(qū)域劃分方式，并結(jié)合了等級保護(hù)的防護(hù)類別。 圖3推薦的工業(yè)控制系統(tǒng)信息安全分層分區(qū)結(jié)構(gòu)示意以下章節(jié)均對各級別系統(tǒng)計(jì)算環(huán)境安全、區(qū)域邊界防護(hù)、通信網(wǎng)絡(luò)設(shè)計(jì)和（或）安全管理中心的安全設(shè)計(jì)做詳細(xì)陳述。第一級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第一級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：對第一級工業(yè)控制系統(tǒng)的信息安全保護(hù)系統(tǒng)實(shí)現(xiàn)定級系統(tǒng)的自主訪問控制，使系統(tǒng)用戶對其所屬客體具有自我保護(hù)的能力。設(shè)計(jì)策略第一級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：以身份鑒別為基礎(chǔ)，按照工業(yè)控制系統(tǒng)對象進(jìn)行訪問控制。監(jiān)控層、控制層提供按照用戶和（或）用戶組對操作員站和工程師站的文件及數(shù)據(jù)庫表的自主訪問控制，以實(shí)現(xiàn)用戶與數(shù)據(jù)的隔離，設(shè)備層按照用戶和（或）用戶組對安全和保護(hù)系統(tǒng)、基本控制系統(tǒng)的組態(tài)數(shù)據(jù)、配置文件等的自主訪問控制，使用戶具備自主安全保護(hù)的能力；以包過濾和狀態(tài)檢測的手段提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段提供數(shù)據(jù)和系統(tǒng)的完整性保護(hù)。第一級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)通過第一級的安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求身份鑒別應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份；在每次用戶登錄系統(tǒng)時(shí)，采用口令鑒別機(jī)制進(jìn)行用戶身份鑒別，并對口令數(shù)據(jù)進(jìn)行保護(hù)。用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶。訪問控制訪問控制應(yīng)符合以下要求：自主訪問控制（見GB/T25070-20105.3.1.b)）應(yīng)在安全策略控制范圍內(nèi)，使用戶/用戶組對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這權(quán)限的部分或全部授予其他用戶/用戶組。訪問控制主體的粒度為用戶/用戶組級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等；用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；應(yīng)遵循最小授權(quán)原則，限制權(quán)限的傳播，要求對不可傳播的權(quán)限進(jìn)行明確定義，由系統(tǒng)自動檢查并限制這些權(quán)限的傳播。數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)完整性保護(hù)（見GB/T25070-20105.3.1.c)）可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)在傳輸過程中采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等。惡意代碼應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以防范和清除惡意代碼。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求區(qū)域邊界包過濾區(qū)域邊界包過濾應(yīng)符合以下要求：區(qū)域邊界包過濾（見GB/T25070-20105.3.2.a)可根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界；邊界防護(hù)中的路由器設(shè)備具有可建立安全訪問路徑功能，支持在IPSecVPN隧道上實(shí)現(xiàn)動態(tài)路由選擇技術(shù)，既允許動態(tài)路由協(xié)議包通過，也同樣允許兩端所有用戶的數(shù)據(jù)通過。區(qū)域邊界惡意代碼防范區(qū)域邊界惡意代碼防范應(yīng)符合以下要求：a）區(qū)域邊界惡意代碼防范（見GB/T25070-20105.3.2.b)）可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進(jìn)行升級和更新，以防止惡意代碼入侵；b）針對不同的惡意入侵行為，設(shè)置不同的防護(hù)規(guī)則，并對傳輸內(nèi)容進(jìn)行分類、報(bào)警、存儲、分析，適時(shí)阻止攻擊并向安全管理中心報(bào)告。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)符合以下要求：通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)（見GB/T25070-20105.3.3.a)）可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其完整性被破壞；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。通信網(wǎng)絡(luò)異常監(jiān)測通信網(wǎng)絡(luò)異常監(jiān)測包括：對工業(yè)控制系統(tǒng)的通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測，如發(fā)生異?？蛇M(jìn)行報(bào)警；在有冗余現(xiàn)場總線和表決器的應(yīng)用場合，可充分利用監(jiān)測各冗余鏈路在同時(shí)刻的狀態(tài)，捕獲可能的惡意或入侵行為。第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：在第一級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的基礎(chǔ)上，增加系統(tǒng)安全審計(jì)等安全功能，并實(shí)施以用戶為基本粒度的自主訪問控制，使系統(tǒng)具有更強(qiáng)的自主安全保護(hù)能力。設(shè)計(jì)策略第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是：以身份鑒別為基礎(chǔ)，提供單個(gè)用戶和（或）用戶組對共享文件文件、數(shù)據(jù)庫表、組態(tài)數(shù)據(jù)等的自主訪問控制；以包過濾手段、狀態(tài)檢測提供區(qū)域邊界保護(hù)；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段，同時(shí)通過增加系統(tǒng)安全審計(jì)等功能，使用戶對自己的行為負(fù)責(zé)，提供用戶數(shù)據(jù)保密性和完整性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)通過第二級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求身份鑒別身份鑒別應(yīng)符合以下要求：用戶身份鑒別（見GB/T25070-20106.3.1.a)）應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受控的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；主機(jī)設(shè)備身份鑒別支持工業(yè)控制系統(tǒng)中重要主機(jī)設(shè)備的身份標(biāo)識和鑒別。重要主機(jī)設(shè)備在使用前，應(yīng)先在安全管理中心進(jìn)行設(shè)備身份的標(biāo)識；在工業(yè)控制系統(tǒng)的整個(gè)生命周期要保持設(shè)備標(biāo)識的唯一性；重要主機(jī)設(shè)備在啟動并接入工業(yè)控制系統(tǒng)時(shí)，應(yīng)該對其設(shè)備身份的真實(shí)性進(jìn)行鑒別；工控設(shè)備身份鑒別對于現(xiàn)場控制層嵌入式設(shè)備（控制器、PLC）實(shí)施唯一性的標(biāo)識，并實(shí)施鑒別與認(rèn)證。在設(shè)計(jì)中要考慮設(shè)備的鑒別認(rèn)證與功能完整性狀態(tài)隨時(shí)能得到實(shí)時(shí)驗(yàn)證與確認(rèn)。對于在控制設(shè)備（控制器上運(yùn)行的程序、相應(yīng)的數(shù)據(jù)集合）可有唯一性標(biāo)識管理，防止未經(jīng)授權(quán)的修改。訪問控制訪問控制應(yīng)符合以下要求：自主訪問控制（見GB/T25070-20106.3.1.b)）應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等；用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；應(yīng)遵循最小授權(quán)原則，限制權(quán)限的傳播，要求對不可傳播的權(quán)限進(jìn)行明確定義，由系統(tǒng)自動檢查并限制這些權(quán)限的傳播；現(xiàn)場設(shè)備收到操作命令后，對通過身份鑒別的用戶實(shí)施基于角色的訪問控制策略，現(xiàn)場設(shè)備檢驗(yàn)該用戶綁定的角色是否擁有執(zhí)行該操作的權(quán)限，如果擁有該權(quán)限則該用戶獲得授權(quán)；如果沒有該權(quán)限說明是非法用戶操作，不能獲得授權(quán)，向上層發(fā)出報(bào)警信息。安全審計(jì)安全審計(jì)應(yīng)符合以下要求：系統(tǒng)安全審計(jì)（見GB/T25070-20106.3.1.c)）應(yīng)提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。該機(jī)制應(yīng)提供審計(jì)記錄查詢、分類和存儲保護(hù)，并可由安全管理中心管理；現(xiàn)場設(shè)備安全審計(jì)現(xiàn)場設(shè)備將用戶登錄事件、時(shí)間修改事件、配置修改事件、程序修改事件和流入現(xiàn)場設(shè)備的數(shù)據(jù)流（包括數(shù)據(jù)流的發(fā)送方、應(yīng)用功能等）等帶時(shí)間戳的審計(jì)記錄通過網(wǎng)絡(luò)遠(yuǎn)程傳輸發(fā)送給上層的審計(jì)采集模塊，審計(jì)采集模塊將審計(jì)記錄發(fā)送給安全管理中心的審計(jì)分析模塊，對審計(jì)記錄進(jìn)行安全性分析，分析已存在或潛在的威脅，并能對特定安全事件進(jìn)行報(bào)警；采取遵守行業(yè)內(nèi)規(guī)范且能夠有利于現(xiàn)場人員正確識別并引導(dǎo)采取正確措施處理問題的報(bào)警方式。數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)完整性保護(hù)（見GB/T25070-20106.3.1.d)）可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)在傳輸過程中采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等；現(xiàn)場設(shè)備數(shù)據(jù)完整性保護(hù)?，F(xiàn)場設(shè)備的數(shù)據(jù)包應(yīng)校驗(yàn)其完整性，可采用加入序列號、時(shí)間戳等機(jī)制保障數(shù)據(jù)包的完整傳輸。數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)保密性保護(hù)（見GB/T25070-20106.3.1.e)）可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等；現(xiàn)場設(shè)備數(shù)據(jù)保密性保護(hù)?，F(xiàn)場設(shè)備內(nèi)存儲的有保密需要的數(shù)據(jù)、程序、配置信息采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)使用者擁有解密數(shù)據(jù)的能力。為適應(yīng)工業(yè)控制系統(tǒng)實(shí)時(shí)性要求高，報(bào)文消息短，嵌入式設(shè)備計(jì)算能力有限的特點(diǎn)，可采用如流加密算法。客體安全重用客體安全重用應(yīng)符合以下要求：應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對重要主機(jī)設(shè)備中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息、系統(tǒng)內(nèi)文件及目錄、數(shù)據(jù)庫記錄等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶鑒別信息、生產(chǎn)工藝配置文件、工藝流程控制文件、生產(chǎn)調(diào)度文件等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露。惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以防范和清除惡意代碼?？刂七^程完整性保護(hù)設(shè)計(jì)者可理解并掌握控制回路處理的原理、機(jī)制和流程，確保在規(guī)定的時(shí)間內(nèi)完成規(guī)定的任務(wù)，確保數(shù)據(jù)都以授權(quán)進(jìn)行處理，確保數(shù)據(jù)不被非法篡改，不丟失，不延誤，確保及時(shí)響應(yīng)和處理事件，保護(hù)系統(tǒng)的同步機(jī)制、校時(shí)機(jī)制、保持控制周期穩(wěn)定、保持現(xiàn)場總線輪詢周期穩(wěn)定?？刂圃O(shè)備（PLC、控制器等）、現(xiàn)場設(shè)備可能識別和防范破壞控制過程完整性的攻擊行為，尤其是能識別和防止以合法身份、合法路徑干擾PLC、控制器等設(shè)備正常工作節(jié)奏的攻擊行為，如以下但不限于所列行為：在一個(gè)控制周期內(nèi)，超過正常數(shù)量的中斷請求；超過合理包速率范圍的icmp協(xié)議請求；超過合理包速率范圍的廣播報(bào)文；破壞現(xiàn)場總線的請求-應(yīng)答機(jī)制；破壞冗余工作機(jī)制；干擾表決器等安全保護(hù)系統(tǒng)的正常工作；惡意觸發(fā)冗余系統(tǒng)切換、安全保護(hù)系統(tǒng)的停機(jī)的行為；其他干擾。當(dāng)控制系統(tǒng)遭到攻擊，無法保持正常運(yùn)行時(shí)，可有故障隔離措施，將危害控制到最小范圍，此時(shí)可使系統(tǒng)導(dǎo)向預(yù)先定義好的安全的狀態(tài)。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求區(qū)域邊界包過濾區(qū)域邊界包過濾應(yīng)符合以下要求：應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界；邊界防護(hù)中的路由器設(shè)備具有可建立安全訪問路徑功能，支持在IPSecVPN隧道上實(shí)現(xiàn)動態(tài)路由選擇技術(shù)，既允許動態(tài)路由協(xié)議包通過，也同樣允許兩端所有用戶的數(shù)據(jù)通過；邊界防護(hù)可支持端口級的會話狀態(tài)檢測功能，使用基于連接狀態(tài)的檢測機(jī)制，將通信雙方之間交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來對待。區(qū)域邊界安全審計(jì)區(qū)域邊界安全審計(jì)應(yīng)符合以下要求：應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，并由安全管理中心統(tǒng)一管理；對工業(yè)控制系統(tǒng)的相關(guān)安全事件及操作進(jìn)行記錄，并支持對審計(jì)信息的匯總。采集所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、設(shè)備接入、用戶行為等安全事件日志記錄，包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。區(qū)域邊界完整性保護(hù)區(qū)域邊界完整性保護(hù)應(yīng)符合以下要求：應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為，并及時(shí)報(bào)告安全管理中心；應(yīng)采用常規(guī)校驗(yàn)機(jī)制等數(shù)據(jù)完整性驗(yàn)證機(jī)制，對重要的控制指令和現(xiàn)場數(shù)據(jù)等關(guān)鍵性業(yè)務(wù)數(shù)據(jù)在存儲和傳輸過程中的完整性進(jìn)行驗(yàn)證，以判斷其完整性是否被破壞，以對受損數(shù)據(jù)進(jìn)行適當(dāng)?shù)奶幚?，如有必要可進(jìn)行適當(dāng)?shù)男迯?fù)、恢復(fù)等相應(yīng)處置。區(qū)域邊界惡意代碼防范區(qū)域邊界惡意代碼防范應(yīng)符合以下要求：應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理；針對主機(jī)、工控機(jī)等支持惡意代碼檢測和清除功能，通過安裝殺毒軟件和清理軟件、升級操作系統(tǒng)等對病毒、蠕蟲、木馬等惡意代碼進(jìn)行防范，建立惡意代碼庫，并定時(shí)升級和更新；針對不同的惡意入侵行為，設(shè)置不同的防護(hù)規(guī)則，并對傳輸內(nèi)容進(jìn)行分類、報(bào)警、存儲、分析，適時(shí)阻止攻擊并向安全管理中心報(bào)告。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求通信網(wǎng)絡(luò)安全審計(jì)應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心管理。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)符合以下要求：可采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；對數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，應(yīng)當(dāng)使用速度較快的加密方式，以實(shí)現(xiàn)現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)應(yīng)符合以下要求：可采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)蔫b別保護(hù)采用密碼技術(shù)，實(shí)現(xiàn)對數(shù)據(jù)來源的鑒別，從而拒絕非法的數(shù)據(jù)訪問和數(shù)據(jù)修改。通信網(wǎng)絡(luò)異常監(jiān)測通信網(wǎng)絡(luò)異常監(jiān)測應(yīng)符合以下要求：對工業(yè)控制系統(tǒng)的通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測，如發(fā)生異?？蛇M(jìn)行報(bào)警；在有冗余現(xiàn)場總線和表決器的應(yīng)用場合，可充分利用監(jiān)測各冗余鏈路在同時(shí)刻的狀態(tài)，捕獲可能的惡意或入侵行為；采用在相應(yīng)的網(wǎng)關(guān)設(shè)備上進(jìn)行流量監(jiān)測與管控，實(shí)現(xiàn)對最大PPS閾值的控制，（更進(jìn)一步可以區(qū)分正常合法數(shù)據(jù)流，異常發(fā)生后控制數(shù)據(jù)流和非法數(shù)據(jù)流）保證通訊的實(shí)時(shí)、順暢、不間斷。對通過無線網(wǎng)絡(luò)攻擊的防護(hù)設(shè)計(jì)者需要對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險(xiǎn)分析，對確實(shí)需要防護(hù)的潛在的無線設(shè)備，對其信息的發(fā)出（信息外泄）和進(jìn)入（非法操控）進(jìn)行屏蔽，可綜合采用但不限于以下方法，在可能傳播的頻譜范圍將無線信號衰減到不能有效接收的程度：電磁屏蔽方法；用微波暗室原理吸收電磁波；檢測和干擾；設(shè)計(jì)電磁屏蔽機(jī)箱、機(jī)柜、房間；物理保護(hù)，從空間上以被保護(hù)設(shè)備為參考點(diǎn)，劃出一定距離半徑的安全區(qū)，無關(guān)人員不能進(jìn)入該區(qū)，使攻擊者或攻擊源因信號衰減而無法實(shí)施鄰近攻擊。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理系統(tǒng)管理應(yīng)符合以下要求：系統(tǒng)管理（見GB/T25070-2010）可通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份和授權(quán)管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代碼防范等；應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計(jì)；安全管理中心系統(tǒng)具有自身運(yùn)行監(jiān)控與告警、系統(tǒng)日志記錄等功能。審計(jì)管理審計(jì)管理應(yīng)符合以下要求：審計(jì)管理（見GB/T25070-2010）可通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、管理和查詢等；應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，并只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作；通過安全管理員能夠?qū)I(yè)控制現(xiàn)場控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等設(shè)備中主體和客體進(jìn)行登記，并對各設(shè)備的信息安全監(jiān)控和報(bào)警、信息安全日志信息進(jìn)行集中管理。根據(jù)安全審計(jì)策略對各類信息安全信息進(jìn)行分類管理與查詢，并生成統(tǒng)一的審計(jì)報(bào)告。第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：在第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的基礎(chǔ)上，增強(qiáng)身份鑒別、審計(jì)等功能，同時(shí)增加區(qū)域邊界之間的安全通信管道。設(shè)計(jì)策略第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第二級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的基礎(chǔ)上，相應(yīng)增強(qiáng)身份鑒別、審計(jì)等功能；增加邊界之間的安全通信管道，保障邊界安全性。第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)通過第三級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求身份鑒別身份鑒別應(yīng)符合以下要求：用戶身份鑒別（見GB/T25070-20107.3.1.a)）應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受安全管理中心控制的口令、令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；工業(yè)控制系統(tǒng)用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；主機(jī)設(shè)備身份鑒別支持工業(yè)控制系統(tǒng)中重要主機(jī)設(shè)備的身份標(biāo)識和鑒別。重要主機(jī)設(shè)備在使用前，應(yīng)先在安全管理中心進(jìn)行設(shè)備身份的標(biāo)識；在工業(yè)控制系統(tǒng)的整個(gè)生命周期要保持設(shè)備標(biāo)識的唯一性；重要主機(jī)設(shè)備在啟動并接入工業(yè)控制系統(tǒng)時(shí)，應(yīng)該對其設(shè)備身份的真實(shí)性進(jìn)行鑒別，并在鑒別信息的傳輸和存儲時(shí)采用加密方法進(jìn)行安全保護(hù)；工控設(shè)備身份鑒別對于現(xiàn)場控制層嵌入式設(shè)備（控制器、PLC）以及過程監(jiān)控層設(shè)備（工程師站、操作員站等），包括現(xiàn)場控制層和過程監(jiān)控層的網(wǎng)絡(luò)連接設(shè)備，特別是無線網(wǎng)絡(luò)連接設(shè)備，實(shí)施唯一性的標(biāo)識，并實(shí)施鑒別與認(rèn)證；在設(shè)計(jì)中要考慮設(shè)備的鑒別認(rèn)證與功能完整性狀態(tài)隨時(shí)能得到實(shí)時(shí)驗(yàn)證與確認(rèn)。對于在控制設(shè)備（控制器）以及監(jiān)控設(shè)備上運(yùn)行的程序、相應(yīng)的數(shù)據(jù)集合可有唯一性標(biāo)識管理，防止未經(jīng)授權(quán)的修改。訪問控制訪問控制應(yīng)符合以下要求：自主訪問控制（見GB/T25070-20107.3.1.b)）應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。自主訪問控制包括對客體的創(chuàng)建、讀、寫、修改和刪除等；工業(yè)控制系統(tǒng)用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；應(yīng)遵循最小授權(quán)原則，限制權(quán)限的傳播，要求對不可傳播的權(quán)限進(jìn)行明確定義，由系統(tǒng)自動檢查并限制這些權(quán)限的傳播；現(xiàn)場設(shè)備訪問控制由于“GB/T25070-20107.3.1.c)標(biāo)記和強(qiáng)制訪問控制”在工業(yè)控制系統(tǒng)中不適用，因此現(xiàn)場設(shè)備采用同等強(qiáng)度的基于角色的訪問控制?，F(xiàn)場設(shè)備收到操作命令后，對通過身份鑒別的用戶實(shí)施基于角色的訪問控制策略，現(xiàn)場設(shè)備檢驗(yàn)該用戶綁定的角色是否擁有執(zhí)行該操作的權(quán)限，如果擁有該權(quán)限則該用戶獲得授權(quán)；如果沒有該權(quán)限說明是非法用戶操作，不能獲得授權(quán)，向上層發(fā)出報(bào)警信息。只有得到授權(quán)的用戶才能對現(xiàn)場設(shè)備進(jìn)行組態(tài)下裝、軟件更新、數(shù)據(jù)更新、參數(shù)設(shè)定等操作。安全審計(jì)安全審計(jì)應(yīng)符合以下要求：系統(tǒng)安全審計(jì)（見GB/T25070-20107.3.1.d)）應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲保護(hù)；能對特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口；現(xiàn)場設(shè)備安全審計(jì)現(xiàn)場設(shè)備將用戶登錄事件、時(shí)間修改事件、配置修改事件、程序修改事件和流入現(xiàn)場設(shè)備的數(shù)據(jù)流（包括數(shù)據(jù)流的發(fā)送方、應(yīng)用功能等）等帶時(shí)間戳的審計(jì)記錄通過網(wǎng)絡(luò)遠(yuǎn)程傳輸發(fā)送給上層的審計(jì)采集模塊，審計(jì)采集模塊將審計(jì)記錄發(fā)送給安全管理中心的審計(jì)分析模塊，對審計(jì)記錄進(jìn)行安全性分析，分析已存在或潛在的威脅，并能對特定安全事件進(jìn)行報(bào)警；采取遵守行業(yè)內(nèi)規(guī)范且能夠有利于現(xiàn)場人員正確識別并引導(dǎo)采取正確措施處理問題的報(bào)警方式；現(xiàn)場設(shè)備可對審計(jì)記錄采用常規(guī)校驗(yàn)機(jī)制，確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。在有冗余的重要應(yīng)用環(huán)境，設(shè)計(jì)者可采用雙重或多重控制器（如表決器）的實(shí)時(shí)審計(jì)跟蹤技術(shù)，及時(shí)捕獲信息安全事件信息并報(bào)警。數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)完整性保護(hù)（見GB/T25070-20107.3.1.e)）應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時(shí)能對重要數(shù)據(jù)進(jìn)行恢復(fù)；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)在傳輸過程中采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等；現(xiàn)場設(shè)備數(shù)據(jù)完整性保護(hù)?，F(xiàn)場設(shè)備的數(shù)據(jù)包必須校驗(yàn)其完整性，可采用加入序列號、時(shí)間戳等機(jī)制保障數(shù)據(jù)包的完整傳輸；現(xiàn)場設(shè)備點(diǎn)對點(diǎn)的通信過程需要進(jìn)行會話認(rèn)證，通過會話密鑰建立、會話失效時(shí)長設(shè)置、會話自動重連等措施保證會話完整性。數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)保密性保護(hù)（見GB/T25070-20107.3.1.f)）采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等；現(xiàn)場設(shè)備數(shù)據(jù)保密性保護(hù)?，F(xiàn)場設(shè)備內(nèi)存儲的有保密需要的數(shù)據(jù)、程序、配置信息采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)使用者擁有解密數(shù)據(jù)的能力。為適應(yīng)工業(yè)控制系統(tǒng)實(shí)時(shí)性要求高，報(bào)文消息短，嵌入式設(shè)備計(jì)算能力有限的特點(diǎn)，可采用如流加密算法?？腕w安全重用客體安全重用應(yīng)符合以下要求：客體安全重用（見GB/T25070-20107.3.1.g)）應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對重要主機(jī)設(shè)備中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息、系統(tǒng)內(nèi)文件及目錄、數(shù)據(jù)庫記錄等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶鑒別信息、生產(chǎn)工藝配置文件、工藝流程控制文件、生產(chǎn)調(diào)度文件等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露。惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以防范和清除惡意代碼?？刂七^程完整性保護(hù)設(shè)計(jì)者可理解并掌握控制回路處理的原理、機(jī)制和流程，確保在規(guī)定的時(shí)間內(nèi)完成規(guī)定的任務(wù)，確保數(shù)據(jù)都以授權(quán)進(jìn)行處理，確保數(shù)據(jù)不被非法篡改，不丟失，不延誤，確保及時(shí)響應(yīng)和處理事件，保護(hù)系統(tǒng)的同步機(jī)制、校時(shí)機(jī)制、保持控制周期穩(wěn)定、保持現(xiàn)場總線輪詢周期穩(wěn)定?？刂圃O(shè)備（PLC、控制器等）、現(xiàn)場設(shè)備可能識別和防范破壞控制過程完整性的攻擊行為，尤其是能識別和防止以合法身份、合法路徑干擾PLC、控制器等設(shè)備正常工作節(jié)奏的攻擊行為，如以下但不限于所列行為：在一個(gè)控制周期內(nèi)，超過正常數(shù)量的中斷請求；超過合理包速率范圍的icmp協(xié)議請求；超過合理包速率范圍的廣播報(bào)文；破壞現(xiàn)場總線的請求-應(yīng)答機(jī)制；破壞冗余工作機(jī)制；干擾表決器等安全保護(hù)系統(tǒng)的正常工作；惡意觸發(fā)冗余系統(tǒng)切換、安全保護(hù)系統(tǒng)的停機(jī)的行為；其他干擾。當(dāng)控制系統(tǒng)遭到攻擊，無法保持正常運(yùn)行時(shí)，可有故障隔離措施，將危害控制到最小范圍，此時(shí)可使系統(tǒng)導(dǎo)向預(yù)先定義好的安全的狀態(tài)。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求區(qū)域邊界訪問控制區(qū)域邊界訪問控制應(yīng)符合以下要求：區(qū)域邊界訪問控制（見GB/T25070-20107.3.2.a)）應(yīng)在安全區(qū)域邊界設(shè)置自主訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問；由于工業(yè)控制系統(tǒng)中強(qiáng)制訪問控制很難實(shí)現(xiàn)，因此不加入強(qiáng)制訪問控制；邊界防護(hù)可具有隔離功能，可以對數(shù)據(jù)包的源和目的端口號、IP和MAC地址是否綁定等依據(jù)進(jìn)行規(guī)則設(shè)置，包括對規(guī)則添加、刪除、修改、復(fù)制、導(dǎo)入、導(dǎo)出、保存和載入等功能；邊界防護(hù)可支持安全管道通信，可使用IPSec加密、SSL加密或RPC加密等技術(shù)來保護(hù)Web服務(wù)器和遠(yuǎn)程應(yīng)用程序服務(wù)器之間的傳輸管道安全；對消息來源、用戶、設(shè)備身份進(jìn)行鑒別，根據(jù)安全策略對接入進(jìn)行訪問控制。區(qū)域邊界包過濾區(qū)域邊界包過濾應(yīng)符合以下要求：區(qū)域邊界包過濾（見GB/T25070-20107.3.2.b)）應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界；邊界防護(hù)中的路由器設(shè)備具有可建立安全訪問路徑功能，支持在IPSecVPN隧道上實(shí)現(xiàn)動態(tài)路由選擇技術(shù)，既允許動態(tài)路由協(xié)議包通過，也同樣允許兩端所有用戶的數(shù)據(jù)通過；邊界防護(hù)可支持端口級的會話狀態(tài)檢測功能，使用基于連接狀態(tài)的檢測機(jī)制，將通信雙方之間交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來對待。區(qū)域邊界安全審計(jì)區(qū)域邊界安全審計(jì)應(yīng)符合以下要求：區(qū)域邊界安全審計(jì)（見GB/T25070-20107.3.2.c)）應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時(shí)報(bào)警；對工業(yè)控制系統(tǒng)的相關(guān)安全事件及操作進(jìn)行記錄，并支持對審計(jì)信息的匯總、關(guān)聯(lián)分析等操作；采集所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、設(shè)備接入、用戶行為等安全事件日志記錄，包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容；通過設(shè)定本地審計(jì)記錄訪問、修改、刪除等權(quán)限和支持審計(jì)日志網(wǎng)絡(luò)遠(yuǎn)程傳輸并存儲功能，確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失，同時(shí)需保護(hù)審計(jì)進(jìn)程免受未預(yù)期的中斷等破壞。區(qū)域邊界完整性保護(hù)區(qū)域邊界完整性保護(hù)應(yīng)符合以下要求：區(qū)域邊界完整性保護(hù)（見GB/T25070-20107.3.2.d)）應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)，并及時(shí)報(bào)告安全管理中心；應(yīng)采用常規(guī)校驗(yàn)機(jī)制等數(shù)據(jù)完整性驗(yàn)證機(jī)制，對重要的控制指令和現(xiàn)場數(shù)據(jù)等關(guān)鍵性業(yè)務(wù)數(shù)據(jù)在存儲和傳輸過程中的完整性進(jìn)行驗(yàn)證，以判斷其完整性是否被破壞，以對受損數(shù)據(jù)進(jìn)行適當(dāng)?shù)奶幚恚缬斜匾蛇M(jìn)行適當(dāng)?shù)男迯?fù)、恢復(fù)等相應(yīng)處置。區(qū)域邊界惡意代碼防范區(qū)域邊界惡意代碼防范應(yīng)符合以下要求：區(qū)域邊界惡意代碼防范（見GB/T25070-20106.3.2.c)）應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理；針對主機(jī)、工控機(jī)等支持惡意代碼檢測和清除功能，通過安裝殺毒軟件和清理軟件、升級操作系統(tǒng)等對病毒、蠕蟲、木馬等惡意代碼進(jìn)行防范，建立惡意代碼庫，并定時(shí)升級和更新；針對不同的惡意入侵行為，設(shè)置不同的防護(hù)規(guī)則，并對傳輸內(nèi)容進(jìn)行分類、報(bào)警、存儲、分析，適時(shí)阻止攻擊并向安全管理中心報(bào)告。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求通信網(wǎng)絡(luò)安全審計(jì)通信網(wǎng)絡(luò)安全審計(jì)應(yīng)符合以下要求：通信網(wǎng)絡(luò)安全審計(jì)（見GB/T25070-20107.3.3.a)）應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報(bào)警；總線網(wǎng)絡(luò)安全審計(jì)支持工控總線網(wǎng)絡(luò)審計(jì)，可通過工控交換機(jī)做安全審計(jì)或者提供總線審計(jì)的接口對訪問控制、請求錯(cuò)誤、系統(tǒng)事件、備份和存儲事件、配置變更、潛在的偵查行為等事件進(jìn)行審計(jì)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)符合以下要求：通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)（見GB/T25070-20107.3.3.b)）應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；對數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，應(yīng)當(dāng)使用速度較快的加密方式，以實(shí)現(xiàn)現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)應(yīng)符合以下要求：采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；對數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，應(yīng)當(dāng)使用速度較快的加密方式，如流密碼等，實(shí)現(xiàn)防重放攻擊。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)蔫b別保護(hù)采用密碼技術(shù)，實(shí)現(xiàn)對數(shù)據(jù)來源的鑒別，從而拒絕非法的數(shù)據(jù)訪問和數(shù)據(jù)修改。通信網(wǎng)絡(luò)異常監(jiān)測通信網(wǎng)絡(luò)異常監(jiān)測應(yīng)符合以下要求：對工業(yè)控制系統(tǒng)的通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測，如發(fā)生異?？蛇M(jìn)行報(bào)警；在有冗余現(xiàn)場總線和表決器的應(yīng)用場合，可充分利用監(jiān)測各冗余鏈路在同時(shí)刻的狀態(tài)，捕獲可能的惡意或入侵行為；采用在相應(yīng)的網(wǎng)關(guān)設(shè)備上進(jìn)行流量監(jiān)測與管控，實(shí)現(xiàn)對最大PPS閾值的控制，（更進(jìn)一步可以區(qū)分正常合法數(shù)據(jù)流，異常發(fā)生后控制數(shù)據(jù)流和非法數(shù)據(jù)流）保證通訊的實(shí)時(shí)、順暢、不間斷。對通過無線網(wǎng)絡(luò)攻擊的防護(hù)設(shè)計(jì)者需要對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險(xiǎn)分析，對確實(shí)需要防護(hù)的潛在的無線設(shè)備，對其信息的發(fā)出（信息外泄）和進(jìn)入（非法操控）進(jìn)行屏蔽，可綜合采用但不限于以下方法，在可能傳播的頻譜范圍將無線信號衰減到不能有效接收的程度：電磁屏蔽方法；用微波暗室原理吸收電磁波；檢測和干擾；設(shè)計(jì)電磁屏蔽機(jī)箱、機(jī)柜、房間；物理保護(hù)，從空間上以被保護(hù)設(shè)備為參考點(diǎn)，劃出一定距離半徑的安全區(qū)，無關(guān)人員不能進(jìn)入該區(qū)，使攻擊者或攻擊源因信號衰減而無法實(shí)施鄰近攻擊。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理系統(tǒng)管理應(yīng)符合以下要求：應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和（或）異地災(zāi)難備份與恢復(fù)等；應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計(jì)；安全管理中心系統(tǒng)具有自身運(yùn)行監(jiān)控與告警、系統(tǒng)日志記錄等功能。安全管理安全管理應(yīng)符合以下要求：應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行授權(quán)，配置一致的安全策略。應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)；具備與工業(yè)控制系統(tǒng)統(tǒng)一報(bào)警、日志呈現(xiàn)的功能；通過安全管理員能夠?qū)I(yè)控制系統(tǒng)設(shè)備的可用性和安全性進(jìn)行實(shí)時(shí)監(jiān)控，可以對監(jiān)控指標(biāo)設(shè)置告警閾值，觸發(fā)告警并記錄；安全管理員可實(shí)時(shí)監(jiān)控安全管理中心的詳細(xì)安全事件，并依據(jù)其源、目的IP和端口信息進(jìn)行深入的事件追蹤調(diào)查；通過安全管理員能夠建立工業(yè)控制信息安全設(shè)備的策略管理功能，實(shí)現(xiàn)對工業(yè)控制信息安全設(shè)備的安全策略的集中管理與維護(hù)；通過安全管理員能夠?qū)崿F(xiàn)對工業(yè)安全設(shè)備的安全配置現(xiàn)狀的分析，協(xié)助管理員及時(shí)對設(shè)備存在的漏洞與配置脆弱性進(jìn)行修復(fù)或加固；通過安全管理員能夠在安全管理中心呈現(xiàn)工業(yè)控制系統(tǒng)設(shè)備間的訪問關(guān)系，形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單，協(xié)助管理員及時(shí)發(fā)現(xiàn)未定義的信息通訊行為以及識別重要業(yè)務(wù)操作指令級的異常。審計(jì)管理審計(jì)管理應(yīng)符合以下要求：應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全計(jì)策略對審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、管理和查詢等。對審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理；應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作；通過安全管理員能夠?qū)I(yè)控制現(xiàn)場控制設(shè)備、信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等設(shè)備中主體和客體進(jìn)行登記，并對各設(shè)備的信息安全監(jiān)控和報(bào)警、信息安全日志信息進(jìn)行集中管理。根據(jù)安全審計(jì)策略對各類信息安全信息進(jìn)行分類管理與查詢，并生成統(tǒng)一的審計(jì)報(bào)告。系統(tǒng)對各類信息安全報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析。第四級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境設(shè)計(jì)設(shè)計(jì)目標(biāo)第四級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：在第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的基礎(chǔ)上，對于關(guān)鍵的控制回路的相關(guān)信息安全保護(hù)設(shè)計(jì)要求做了闡述，要求設(shè)計(jì)者在有安全風(fēng)險(xiǎn)的場合提供適合工控應(yīng)用特點(diǎn)的保護(hù)方法和安全策略，通過實(shí)現(xiàn)基于角色的訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制等一系列措施，使系統(tǒng)具有在統(tǒng)一安全策略管控下，提供高強(qiáng)度的保護(hù)敏感資源的能力。設(shè)計(jì)策略第四級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第三級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境設(shè)計(jì)的基礎(chǔ)上，構(gòu)造基于角色的訪問控制模型，表明主、客體的級別分類和非級別分類的組合，以此為基礎(chǔ)，按照基于角色的訪問控制規(guī)則實(shí)現(xiàn)對主體及其客體的訪問控制。第四級工業(yè)控制系統(tǒng)信息安全保護(hù)環(huán)境的設(shè)計(jì)通過第四級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。在對關(guān)鍵的控制回路的安全保護(hù)設(shè)計(jì)中，針對安全威脅及控制系統(tǒng)的脆弱性提出信息安全保護(hù)要求，考慮到功能安全和信息安全都是為保障同一個(gè)運(yùn)行安全共同目標(biāo)的基礎(chǔ)上，盡可能地在可用性、完整性、機(jī)密性、實(shí)時(shí)性諸因素間妥善平衡。為了安全考慮，盡量采用國產(chǎn)化控制器及控制系統(tǒng)。設(shè)計(jì)技術(shù)要求安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求身份鑒別身份鑒別應(yīng)符合以下要求：用戶身份鑒別（見GB/T25070-20108.3.1.a)）應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；在每次用戶登錄和重新連接系統(tǒng)時(shí)，采用受安全管理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)；用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；主機(jī)設(shè)備身份鑒別支持工業(yè)控制系統(tǒng)中所有主機(jī)設(shè)備的身份標(biāo)識和鑒別。重要主機(jī)設(shè)備在使用前，應(yīng)先在安全管理中心進(jìn)行設(shè)備身份的標(biāo)識；在工業(yè)控制系統(tǒng)的整個(gè)生命周期要保持設(shè)備標(biāo)識的唯一性；重要主機(jī)設(shè)備在啟動并接入工業(yè)控制系統(tǒng)時(shí)，應(yīng)該對其設(shè)備身份的真實(shí)性進(jìn)行鑒別，并在鑒別信息的傳輸和存儲時(shí)采用加密方法進(jìn)行安全保護(hù)；工業(yè)控制系統(tǒng)中不再使用的主機(jī)設(shè)備應(yīng)對其標(biāo)識進(jìn)行記錄，并禁止該標(biāo)識被重新分配給其他主機(jī)設(shè)備；工控設(shè)備身份鑒別對于現(xiàn)場控制層和現(xiàn)場設(shè)備層的嵌入式設(shè)備（控制器、PLC、傳感器、執(zhí)行器及與之相連的接收發(fā)送模塊），包括工業(yè)控制機(jī)柜的可插拔模塊、卡件等，以及過程監(jiān)控層的監(jiān)控設(shè)備（工程師站、操作員站等），包括現(xiàn)場控制層和過程監(jiān)控層的網(wǎng)絡(luò)連接設(shè)備，特別是無線網(wǎng)絡(luò)連接設(shè)備，都實(shí)施唯一性的標(biāo)識，并實(shí)施鑒別與認(rèn)證；對于工業(yè)現(xiàn)場不能受到物理保護(hù)的設(shè)備，要考慮到唯一性的標(biāo)識的鑒別，在關(guān)鍵設(shè)施的主體與客體間可實(shí)施雙向鑒別與認(rèn)證，以防假冒或未經(jīng)授權(quán)的替代，可用密碼學(xué)的方法結(jié)合普遍接受的最佳工程實(shí)踐保障。在設(shè)計(jì)中要考慮設(shè)備的鑒別認(rèn)證與功能完整性狀態(tài)隨時(shí)能得到實(shí)時(shí)驗(yàn)證與確認(rèn)。對于在控制設(shè)備（控制器）以及監(jiān)控設(shè)備上運(yùn)行的程序、相應(yīng)的數(shù)據(jù)集合可有唯一性標(biāo)識管理，防止未經(jīng)授權(quán)的修改。訪問控制訪問控制應(yīng)符合以下要求：自主訪問控制（見GB/T25070-20108.3.1.b)）應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄或字段級。自主訪問控制包括對客體的創(chuàng)建、讀、寫、修改和刪除等。用戶包括過程監(jiān)控層和生產(chǎn)管理層操作系統(tǒng)、數(shù)據(jù)庫、通用程序等的用戶；應(yīng)遵循最小授權(quán)原則，限制權(quán)限的傳播，要求對不可傳播的權(quán)限進(jìn)行明確定義，由系統(tǒng)自動檢查并限制這些權(quán)限的傳播；現(xiàn)場設(shè)備訪問控制由于“GB/T25070-20108.3.1.c)標(biāo)記和強(qiáng)制訪問控制”在工業(yè)控制系統(tǒng)中不適用，因此現(xiàn)場設(shè)備采用同等強(qiáng)度的基于角色的訪問控制?，F(xiàn)場設(shè)備收到操作命令后，對通過身份鑒別的用戶實(shí)施基于角色的訪問控制策略，現(xiàn)場設(shè)備檢驗(yàn)該用戶綁定的角色是否擁有執(zhí)行該操作的權(quán)限，如果擁有該權(quán)限則該用戶獲得授權(quán)；如果沒有該權(quán)限說明是非法用戶操作，不能獲得授權(quán)，向上層發(fā)出報(bào)警信息。只有得到授權(quán)的用戶才能對現(xiàn)場設(shè)備進(jìn)行組態(tài)下裝、軟件更新、數(shù)據(jù)更新、參數(shù)設(shè)定等操作。只有得到授權(quán)的用戶才能對嵌入式控制器的操作界面（操作面板、操作開關(guān)等）進(jìn)行操作；OPC的服務(wù)器和客戶機(jī)可單獨(dú)分別放置在各自的安全區(qū)內(nèi)，用訪問控制設(shè)備實(shí)行隔離保護(hù)，并對進(jìn)出安全區(qū)的信息實(shí)行訪問控制等安全策略。安全審計(jì)安全審計(jì)應(yīng)符合以下要求：系統(tǒng)安全審計(jì)（見GB/T25070-20108.3.1.d)）應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲保護(hù)；能對特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等；確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口；現(xiàn)場設(shè)備安全審計(jì)現(xiàn)場設(shè)備將用戶登錄事件、時(shí)間修改事件、配置修改事件、程序修改事件和流入現(xiàn)場設(shè)備的數(shù)據(jù)流（包括數(shù)據(jù)流的發(fā)送方、應(yīng)用功能等）等帶時(shí)間戳的審計(jì)記錄通過網(wǎng)絡(luò)遠(yuǎn)程傳輸發(fā)送給上層的審計(jì)采集模塊，審計(jì)采集模塊將審計(jì)記錄發(fā)送給安全管理中心的審計(jì)分析模塊，對審計(jì)記錄進(jìn)行安全性分析，分析已存在或潛在的威脅，并能對特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等；具備按事件嚴(yán)重程度將審計(jì)記錄劃分多種報(bào)警級別的功能，并可將不同級別的審計(jì)記錄分類存儲和顯示，對于特定級別的安全事件報(bào)警記錄要采取遵守行業(yè)內(nèi)容規(guī)范，能夠有利于現(xiàn)場人員正確識別并引導(dǎo)采取正確措施處理問題的報(bào)警方式（如持續(xù)獨(dú)占式報(bào)警：必須在警報(bào)處理完之后才能取消報(bào)警等）；現(xiàn)場設(shè)備可對審計(jì)記錄采用常規(guī)校驗(yàn)機(jī)制，確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。在有冗余的重要應(yīng)用環(huán)境，設(shè)計(jì)者可采用雙重或多重控制器（如表決器）的實(shí)時(shí)審計(jì)跟蹤技術(shù)，及時(shí)捕獲信息安全事件信息并報(bào)警；審計(jì)數(shù)據(jù)保密性保護(hù)可對審計(jì)記錄采用常規(guī)校驗(yàn)機(jī)制，確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。在有冗余的重要應(yīng)用環(huán)境，設(shè)計(jì)者可采用雙重或多重控制器（如表決器）的實(shí)時(shí)審計(jì)跟蹤技術(shù)，及時(shí)捕獲信息安全事件信息并報(bào)警。數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)完整性保護(hù)（見GB/T25070-20108.3.1.e)）應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時(shí)能對重要數(shù)據(jù)進(jìn)行恢復(fù)；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)在傳輸過程中采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等。對重要數(shù)據(jù)通信采用專用通信協(xié)議或安全通信協(xié)議服務(wù)，避免來自基于通用協(xié)議的攻擊破壞數(shù)據(jù)的完整性；現(xiàn)場設(shè)備數(shù)據(jù)完整性保護(hù)?，F(xiàn)場設(shè)備的數(shù)據(jù)包必須校驗(yàn)其完整性，可采用加入序列號、時(shí)間戳等機(jī)制保障數(shù)據(jù)包的完整傳輸；現(xiàn)場設(shè)備點(diǎn)對點(diǎn)的通信過程需要進(jìn)行會話認(rèn)證，通過會話密鑰建立、會話失效時(shí)長設(shè)置、會話自動重連等措施保證會話完整性；現(xiàn)場設(shè)備內(nèi)存中的數(shù)據(jù)采用常規(guī)校驗(yàn)方式進(jìn)行完整性保護(hù)，如采用靜態(tài)數(shù)據(jù)保護(hù)、關(guān)閉無用端口、寫保護(hù)、可執(zhí)行代碼保護(hù)、應(yīng)用程序配置保護(hù)、應(yīng)用程序語法檢查、操作系統(tǒng)配置保護(hù)、可執(zhí)行代碼注入保護(hù)等技術(shù)。數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù)應(yīng)符合以下要求：用戶數(shù)據(jù)保密性保護(hù)(見GB/T25070-20108.3.1.f)，采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；重要主機(jī)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要控制數(shù)據(jù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等；對重要通信過程可采用基于硬件的加密運(yùn)算和密鑰管理；對重要數(shù)據(jù)通信采用專用通信協(xié)議或安全通信協(xié)議服務(wù)，避免來自基于通用協(xié)議的攻擊破壞數(shù)據(jù)的完整性。重要數(shù)據(jù)在解密前應(yīng)該檢驗(yàn)其解密環(huán)境的可信性，禁止在非可信環(huán)境中解密這些數(shù)據(jù)，以避免來自環(huán)境中惡意進(jìn)程的攻擊；現(xiàn)場設(shè)備數(shù)據(jù)保密性保護(hù)?，F(xiàn)場設(shè)備內(nèi)存儲的有保密需要的數(shù)據(jù)、程序、配置信息采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)使用者擁有解密數(shù)據(jù)的能力。為適應(yīng)工業(yè)控制系統(tǒng)實(shí)時(shí)性要求高，報(bào)文消息短，嵌入式設(shè)備計(jì)算能力有限的特點(diǎn)，可采用如流加密算法?？腕w安全重用客體安全重用應(yīng)符合以下要求：客體安全重用（見GB/T25070-20108.3.1.g)）應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對重要主機(jī)設(shè)備中操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別信息、系統(tǒng)內(nèi)文件及目錄、數(shù)據(jù)庫記錄等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露；應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶鑒別信息、生產(chǎn)工藝配置文件、工藝流程控制文件、生產(chǎn)調(diào)度文件等客體資源重新分配前，對其所在的存儲空間及內(nèi)存進(jìn)行清除，以確保信息不被泄露。程序安全執(zhí)行保護(hù)程序安全執(zhí)行保護(hù)應(yīng)符合以下要求：程序安全執(zhí)行保護(hù)（見GB/T25070-20108.3.1.h)）應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算技術(shù)，安全可控計(jì)算技術(shù)等對惡意代碼有相等強(qiáng)度的防護(hù)技術(shù)；可構(gòu)建控制回路中從控制設(shè)備啟動程序，到操作系統(tǒng)（如果有的）直至到調(diào)用控制應(yīng)用程序，現(xiàn)場總線的接收-發(fā)送模塊，現(xiàn)場設(shè)備（傳感器和執(zhí)行器，含智能設(shè)備）接收-發(fā)送模塊的信任鏈或安全可控鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)；可構(gòu)建基于系統(tǒng)的整個(gè)完整鏈路的可信的或安全可控的時(shí)鐘源、可信的或安全可控的同步和校時(shí)機(jī)制，防范惡意干擾和破壞；對系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)結(jié)果采用密碼學(xué)技術(shù)進(jìn)行保護(hù)，并能夠向遠(yuǎn)程用戶或管理員證明該檢驗(yàn)結(jié)果的可信性或安全可控性。惡意代碼防范應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以防范和清除惡意代碼。控制過程完整性保護(hù)設(shè)計(jì)者可理解并掌握控制回路處理的原理、機(jī)制和流程，確保在規(guī)定的時(shí)間內(nèi)完成規(guī)定的任務(wù)，確保數(shù)據(jù)都以授權(quán)進(jìn)行處理，確保數(shù)據(jù)不被非法篡改，不丟失，不延誤，確保及時(shí)響應(yīng)和處理事件，保護(hù)系統(tǒng)的同步機(jī)制、校時(shí)機(jī)制、保持控制周期穩(wěn)定、保持現(xiàn)場總線輪詢周期穩(wěn)定。控制設(shè)備（PLC、控制器等）、現(xiàn)場設(shè)備可能識別和防范破壞控制過程完整性的攻擊行為，尤其是能識別和防止以合法身份、合法路徑干擾PLC、控制器等設(shè)備正常工作節(jié)奏的攻擊行為，如以下但不限于所列行為：在一個(gè)控制周期內(nèi)，超過正常數(shù)量的中斷請求；超過合理包速率范圍的icmp協(xié)議請求；超過合理包速率范圍的廣播報(bào)文；破壞現(xiàn)場總線的請求-應(yīng)答機(jī)制；破壞冗余工作機(jī)制；干擾表決器等安全保護(hù)系統(tǒng)的正常工作；惡意觸發(fā)冗余系統(tǒng)切換、安全保護(hù)系統(tǒng)的停機(jī)的行為；其他干擾。當(dāng)控制系統(tǒng)遭到攻擊，無法保持正常運(yùn)行時(shí)，可有故障隔離措施，將危害控制到最小范圍，此時(shí)可使系統(tǒng)導(dǎo)向預(yù)先定義好的安全的狀態(tài)?？尚怕窂讲捎谜J(rèn)證、數(shù)據(jù)加密、簽名等密碼學(xué)技術(shù)確保從用戶到可信計(jì)算基TCB或安全可控計(jì)算基礎(chǔ)組件的安全信息傳輸通道，并且構(gòu)建可信計(jì)算基TCB或安全可控計(jì)算基礎(chǔ)組件到其用戶之間的信任鏈，來確保系統(tǒng)運(yùn)行過程中實(shí)施上述密碼學(xué)技術(shù)的可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)。資源控制為了對嵌入式控制系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，數(shù)據(jù)采集模塊將嵌入式控制器系統(tǒng)的CPU、內(nèi)存、堆棧等實(shí)時(shí)數(shù)據(jù)進(jìn)行定時(shí)采集，然后對數(shù)據(jù)進(jìn)行分析，監(jiān)測控制器的安全狀態(tài)，如果發(fā)現(xiàn)異常情況則報(bào)警。對存儲于內(nèi)存中的配置信息、控制程序、數(shù)據(jù)等進(jìn)行監(jiān)控時(shí)，首先對訪問者進(jìn)行身份鑒別和訪問控制，只有通過授權(quán)的訪問者才可進(jìn)行訪問關(guān)鍵控制系統(tǒng)數(shù)據(jù)（包括控制程序代碼、組態(tài)配置信息等）。安全區(qū)域邊界設(shè)計(jì)技術(shù)要求區(qū)域邊界訪問控制區(qū)域邊界訪問控制應(yīng)符合以下要求：區(qū)域邊界訪問控制（見GB/T25070-20108.3.2.a)）應(yīng)在安全區(qū)域邊界設(shè)置自主訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問；由于工業(yè)控制系統(tǒng)中強(qiáng)制訪問控制很難實(shí)現(xiàn)，因此不加入強(qiáng)制訪問控制；邊界防護(hù)可具有隔離功能，可以對數(shù)據(jù)包的源和目的端口號、IP和MAC地址是否綁定等依據(jù)進(jìn)行規(guī)則設(shè)置，包括對規(guī)則添加、刪除、修改、復(fù)制、導(dǎo)入、導(dǎo)出、保存和載入等功能；邊界防護(hù)可支持安全管道通信，可使用IPSec加密、SSL加密或RPC加密等技術(shù)來保護(hù)Web服務(wù)器和遠(yuǎn)程應(yīng)用程序服務(wù)器之間的傳輸管道安全；對消息來源、用戶、設(shè)備身份進(jìn)行鑒別，根據(jù)安全策略對接入進(jìn)行訪問控制；現(xiàn)場控制層設(shè)備與工程師站之間使用唯一的信息交換接口，接口接收所有流經(jīng)其間的數(shù)據(jù)，并對用戶進(jìn)行合法性校驗(yàn)，為了方便數(shù)據(jù)傳輸和解析對數(shù)據(jù)進(jìn)行封裝，最后通過不影響工業(yè)控制系統(tǒng)實(shí)時(shí)性的技術(shù)將數(shù)據(jù)傳送出去。區(qū)域邊界包過濾區(qū)域邊界包過濾應(yīng)符合以下要求：區(qū)域邊界包過濾（見GB/T25070-20108.3.2.b)）應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界；邊界防護(hù)中的路由器設(shè)備具有可建立安全訪問路徑功能，支持在IPSecVPN隧道上實(shí)現(xiàn)動態(tài)路由選擇技術(shù)，既允許動態(tài)路由協(xié)議包通過，也同樣允許兩端所有用戶的數(shù)據(jù)通過；邊界防護(hù)可支持端口級的會話狀態(tài)檢測功能，使用基于連接狀態(tài)的檢測機(jī)制，將通信雙方之間交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來對待。區(qū)域邊界安全審計(jì)區(qū)域邊界安全審計(jì)應(yīng)符合以下要求：區(qū)域邊界安全審計(jì)（見GB/T25070-20108.3.2.c)）應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時(shí)報(bào)警并做出相應(yīng)處置；對工業(yè)控制系統(tǒng)的相關(guān)安全事件及操作進(jìn)行記錄，并支持對審計(jì)信息的匯總、關(guān)聯(lián)分析等操作。采集所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、設(shè)備接入、用戶行為等安全事件日志記錄，包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容；對采集到的日志首先進(jìn)行數(shù)據(jù)整理，通過剪裁、過濾、聚合等技術(shù)手段，剔除重復(fù)的、冗余的和細(xì)枝末節(jié)的數(shù)據(jù)，在確保關(guān)鍵信息不丟失的前提下，將龐雜、無序的各種日志組合成完備、緊湊的用戶行為，通過對整理后數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)挖掘，生成審計(jì)報(bào)表；通過設(shè)定本地審計(jì)記錄訪問、修改、刪除等權(quán)限和支持審計(jì)日志網(wǎng)絡(luò)遠(yuǎn)程傳輸并存儲功能，確保審計(jì)記錄不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失，同時(shí)需保護(hù)審計(jì)進(jìn)程免受未預(yù)期的中斷等破壞；監(jiān)測審計(jì)記錄存儲空間的大小，當(dāng)剩余存儲空間小于設(shè)置的剩余空間閾值時(shí)，發(fā)出審計(jì)記錄存儲剩余空間不足的報(bào)警信息。安全審計(jì)的采集、整理、分析都經(jīng)過集中的接口實(shí)現(xiàn)，審計(jì)記錄的時(shí)間定期與標(biāo)準(zhǔn)時(shí)間進(jìn)行同步，以免因記錄時(shí)間而發(fā)生審計(jì)失誤的情況。區(qū)域邊界完整性保護(hù)區(qū)域邊界完整性保護(hù)應(yīng)符合以下要求：區(qū)域邊界完整性保護(hù)（見GB/T25070-20108.3.2.d)）應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心；應(yīng)采用常規(guī)校驗(yàn)機(jī)制等數(shù)據(jù)完整性驗(yàn)證機(jī)制，對重要的控制指令和現(xiàn)場數(shù)據(jù)等關(guān)鍵性業(yè)務(wù)數(shù)據(jù)在存儲和傳輸過程中的完整性進(jìn)行驗(yàn)證，以判斷其完整性是否被破壞，以對受損數(shù)據(jù)進(jìn)行適當(dāng)?shù)奶幚?，如有必要可進(jìn)行適當(dāng)?shù)男迯?fù)、恢復(fù)等相應(yīng)處置。區(qū)域邊界惡意代碼防范區(qū)域邊界惡意代碼防范應(yīng)符合以下要求：區(qū)域邊界惡意代碼防范（見GB/T25070-20106.3.2.c)）應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理；需設(shè)置防惡意代碼的網(wǎng)關(guān)、網(wǎng)閘等防范機(jī)制，防止惡意代碼的傳播和入侵，由安全管理中心進(jìn)行策略管理；針對主機(jī)、工控機(jī)等支持惡意代碼檢測和清除功能，通過安裝殺毒軟件和清理軟件、升級操作系統(tǒng)等對病毒、蠕蟲、木馬等惡意代碼進(jìn)行防范，建立惡意代碼庫，并定時(shí)升級和更新；針對不同的惡意入侵行為，設(shè)置不同的防護(hù)規(guī)則，并對傳輸內(nèi)容進(jìn)行分類、報(bào)警、存儲、分析，適時(shí)阻止攻擊并向安全管理中心報(bào)告。安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求通信網(wǎng)絡(luò)安全審計(jì)通信網(wǎng)絡(luò)安全審計(jì)應(yīng)符合以下要求：通信網(wǎng)絡(luò)安全審計(jì)（見GB/T25070-20108.3.3.a)）應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報(bào)警，且做出相應(yīng)處置；總線網(wǎng)絡(luò)安全審計(jì)持工控總線網(wǎng)絡(luò)審計(jì)，可通過工控交換機(jī)做安全審計(jì)或者提供總線審計(jì)的接口對訪問控制、請求錯(cuò)誤、系統(tǒng)事件、備份和存儲事件、配置變更、潛在的偵查行為等事件進(jìn)行審計(jì)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)應(yīng)符合以下要求：通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)（見GB/T25070-20108.3.3.b)）應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制如國家密碼行政主管部門規(guī)定的數(shù)字摘要算法、簽名算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)；對數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，應(yīng)當(dāng)使用速度較快的加密方式，以實(shí)現(xiàn)現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)應(yīng)符合以下要求：通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)（見GB/T25070-20108.3.3.c)）采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；對于非現(xiàn)場總線網(wǎng)絡(luò)采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制如國家密碼行政主管部門規(guī)定的對稱加密算法、非對稱加密算法等，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)；對數(shù)據(jù)傳輸實(shí)時(shí)性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，應(yīng)當(dāng)使用速度較快的加密方式，如流密碼等，實(shí)現(xiàn)防重放攻擊。通信網(wǎng)絡(luò)可信接入保護(hù)通信網(wǎng)絡(luò)可信接入保護(hù)應(yīng)符合以下要求：通信網(wǎng)絡(luò)可信接入保護(hù)（見GB/T25070-20108.3.3.d)）應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入；對工控現(xiàn)場設(shè)備實(shí)現(xiàn)可信接入保護(hù)。對接入工控網(wǎng)絡(luò)的現(xiàn)場設(shè)備采用由密碼技術(shù)支持的校驗(yàn)機(jī)制進(jìn)行接入認(rèn)證，確?，F(xiàn)場設(shè)備真實(shí)可信接入。通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)蔫b別保護(hù)采用密碼技術(shù)，實(shí)現(xiàn)對數(shù)據(jù)來源的鑒別，從而拒絕非法的數(shù)據(jù)訪問和數(shù)據(jù)修改。通信網(wǎng)絡(luò)異常監(jiān)測通信網(wǎng)絡(luò)異常監(jiān)測應(yīng)符合以下要求：對工業(yè)控制系統(tǒng)的通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測，如發(fā)生異常可進(jìn)行報(bào)警；在有冗余現(xiàn)場總線和表決器的應(yīng)用場合，可充分利用監(jiān)測各冗余鏈路在同時(shí)刻的狀態(tài)，捕獲可能的惡意或入侵行為；采用在相應(yīng)的網(wǎng)關(guān)設(shè)備上進(jìn)行流量監(jiān)測與管控，實(shí)現(xiàn)對最大PPS閾值的控制，（更進(jìn)一步可以區(qū)分正常合法數(shù)據(jù)流，異常發(fā)生后控制數(shù)據(jù)流和非法數(shù)據(jù)流）保證通訊的實(shí)時(shí)、順暢、不間斷。對通過無線網(wǎng)絡(luò)攻擊的防護(hù)設(shè)計(jì)者需要對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險(xiǎn)分析，對確實(shí)需要防護(hù)的潛在的無線設(shè)備，對其信息的發(fā)出（信息外泄）和進(jìn)入（非法操控）進(jìn)行屏蔽，可綜合采用但不限于以下方法，在可能傳播的頻譜范圍將無線信號衰減到不能有效接收的程度：電磁屏蔽方法；用微波暗室原理吸收電磁波；檢測和干擾；設(shè)計(jì)電磁屏蔽機(jī)箱、機(jī)柜、房間；物理保護(hù)，從空間上以被保護(hù)設(shè)備為參考點(diǎn)，劃出一定距離半徑的安全區(qū)，無關(guān)人員不能進(jìn)入該區(qū)，使攻擊者或攻擊源因信號衰減而無法實(shí)施鄰近攻擊。安全管理中心設(shè)計(jì)技術(shù)要求系統(tǒng)管理系統(tǒng)管理應(yīng)符合以下要求：系統(tǒng)管理（見GB/T25070-2010）應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。應(yīng)對系統(tǒng)管理員進(jìn)行身