網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 可編程邏輯控制器（PLC） 征求意見稿

2GB/TXXXXX—XXXX網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC）本文件規(guī)定了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備的可編程邏輯控制器（PLC）在設(shè)備標(biāo)識(shí)安全、冗余、備份恢復(fù)與異常檢測、漏洞和惡意程序防范、預(yù)裝軟件啟動(dòng)及更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問控制安全、日志審計(jì)安全、通信安全和數(shù)據(jù)安全等方面的安全功能要求以及安全保障要求。本文件適用于網(wǎng)絡(luò)關(guān)鍵設(shè)備可編程邏輯控制器（PLC）的研發(fā)、測試等工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15969.1—2007可編程序控制器第1部分：通用信息GB/T25069—2022信息安全技術(shù)術(shù)語GB40050—2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求3術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。可編程邏輯控制器programmablelogiccontroller；PLC用于工業(yè)環(huán)境的數(shù)字式操作的電子系統(tǒng)。系統(tǒng)用可編程的存儲(chǔ)器作為面向用戶指令的內(nèi)部寄存器，完成規(guī)定的功能，如邏輯、順序、定時(shí)、計(jì)數(shù)、運(yùn)算等，通過數(shù)字或模擬的I/O，控制各種類型的機(jī)械或過程。[來源:GB/T15969.1—2007，3.5，有修改]3.2預(yù)裝軟件pre-installedsoftware設(shè)備出廠時(shí)安裝或提供的、保障設(shè)備正常使用必需的軟件。[來源:GB40050—2021，3.10，有修改]3.3讀取read將PLC中的預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)上傳。3.43GB/TXXXXX—XXXX寫入write將預(yù)裝軟件、程序、狀態(tài)參數(shù)等數(shù)據(jù)下傳至PLC中。3.5漏洞vulnerability可能被威脅利用的資產(chǎn)或控制的弱點(diǎn)。[來源:GB40050—2021，3.3]3.6健壯性robustness描述一個(gè)系統(tǒng)或者一個(gè)組件在無效數(shù)據(jù)輸入或者高強(qiáng)度輸入等環(huán)境下，其各項(xiàng)功能可保持正確運(yùn)行的程度。[來源:GB40050—2021，3.5]4縮略語下列縮略語適用于本文件。CPU：中央處理器（CentralProcessingUnit）I/O：輸入/輸出（Input/Output）IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）UID：用戶標(biāo)識(shí)（UserIdentification）MD5：信息摘要算法-5（Message-DigestAlgorithm5）SHA-1：安全散列算法-1（SecureHashAlgorithm1）DES：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard）5概述PLC基本結(jié)構(gòu)示意圖見圖1。PLC通常包括CPU模塊、I/O模塊、通信模塊和電源模塊，PLC還可包含其專用功能模塊（如高速計(jì)數(shù)模塊、運(yùn)動(dòng)控制模塊、密碼功能模塊等）。圖1PLC基本結(jié)構(gòu)示意圖6安全功能要求6.1設(shè)備標(biāo)識(shí)安全本項(xiàng)要求如下：4GB/TXXXXX—XXXXa）應(yīng)符合GB40050-2021中第5.1b）的規(guī)定；b）整體式PLC應(yīng)具備唯一性標(biāo)識(shí)；c）模塊式PLC的CPU模塊、I/O模塊、通信模塊等主要部件模塊應(yīng)具備唯一性標(biāo)識(shí)；6.2冗余、備份恢復(fù)與異常檢測本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.2b），c）的規(guī)定；b）PLC整機(jī)應(yīng)支持主備切換功能或關(guān)鍵部件（CPU模塊、通信模塊等）應(yīng)支持冗余功能，主備或冗余切換時(shí)應(yīng)不影響正常的工作狀態(tài)；c）PLC整機(jī)或關(guān)鍵部件運(yùn)行狀態(tài)異常時(shí)，應(yīng)支持切換到安全運(yùn)行狀態(tài)確保PLC控制功能正常。6.3漏洞和惡意程序防范本項(xiàng)要求如下：a)PLC整機(jī)、關(guān)鍵部件不應(yīng)存在已公布的漏洞，或具備補(bǔ)救措施防范漏洞安全風(fēng)險(xiǎn)；b)PLC整機(jī)、關(guān)鍵部件預(yù)裝軟件、補(bǔ)丁包/升級(jí)包不應(yīng)存在惡意程序；c)PLC整機(jī)、關(guān)鍵部件不應(yīng)存在未聲明的功能和訪問接口（含遠(yuǎn)程調(diào)試接口）。6.4預(yù)裝軟件啟動(dòng)及更新安全本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.4e）的規(guī)定；b）PLC整機(jī)、關(guān)鍵部件啟動(dòng)時(shí)應(yīng)支持對預(yù)裝軟件進(jìn)行完整性校驗(yàn)的功能，確保預(yù)裝軟件不被篡改；c）PLC整機(jī)、關(guān)鍵部件應(yīng)支持預(yù)裝軟件更新功能；d）PLC整機(jī)、關(guān)鍵部件應(yīng)具備保障軟件更新操作安全的功能，如僅限于授權(quán)用戶實(shí)施預(yù)裝軟件更新操作，支持用戶選擇或確認(rèn)是否進(jìn)行更新等；e)PLC整機(jī)、關(guān)鍵部件應(yīng)具備防范預(yù)裝軟件在更新過程中被篡改的安全功能，如采用非明文的信道傳輸更新數(shù)據(jù)、支持軟件包完整性校驗(yàn)等。6.5用戶身份標(biāo)識(shí)與鑒別本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.5c），d），e），f）的規(guī)定；b）應(yīng)具備唯一標(biāo)識(shí)用戶的能力，對PLC執(zhí)行配置文件讀取及寫入、預(yù)裝軟件更新等管理操作前，應(yīng)對用戶進(jìn)行身份鑒別；c）使用口令鑒別方式時(shí)，應(yīng)支持首次管理設(shè)備時(shí)強(qiáng)制修改默認(rèn)口令或設(shè)置口令，或支持隨機(jī)的初始口令；d）應(yīng)支持設(shè)置口令生存周期；e）用戶輸入口令時(shí)，不應(yīng)明文回顯口令。6.6訪問控制安全本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.6c），d）的規(guī)定；5GB/TXXXXX—XXXXb）默認(rèn)狀態(tài)下應(yīng)僅開啟必要的服務(wù)和對應(yīng)的端口，應(yīng)明示所有默認(rèn)開啟的服務(wù)、對應(yīng)的端口及用途，應(yīng)支持用戶關(guān)閉除廠商聲明的保持PLC基本功能運(yùn)行的服務(wù)和端口之外，默認(rèn)開啟的服務(wù)和對應(yīng)的端口；c）應(yīng)提供默認(rèn)狀態(tài)下保持PLC基本控制功能和通信功能的端口和服務(wù)配置，非默認(rèn)開放的端口和服務(wù)，應(yīng)在用戶知曉且同意后才可啟用。6.7日志審計(jì)安全本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.7d）的規(guī)定；b）應(yīng)支持對重要管理操作（用戶登錄等）和配置變更（項(xiàng)目文件寫入、項(xiàng)目文件讀取、預(yù)裝軟件更新等）事件進(jìn)行記錄，記錄信息應(yīng)至少包括事件的日期和時(shí)間、事件的來源（UID、設(shè)備IP地址等）、事件的結(jié)果（成功或失?。┑?；c）應(yīng)提供日志信息本地存儲(chǔ)功能，當(dāng)日志記錄存儲(chǔ)達(dá)到設(shè)定極限時(shí)，應(yīng)采取告警、循環(huán)覆蓋等措施進(jìn)行日志存儲(chǔ)空間耗盡處理；d）應(yīng)支持日志信息輸出功能；e）不應(yīng)在日志中明文或采用不安全的密碼算法加密記錄口令、身份鑒別信息等敏感數(shù)據(jù)。6.8通信安全本項(xiàng)要求如下：a）應(yīng)符合GB40050-2021中第5.8a），d）的規(guī)定；b）應(yīng)滿足通信協(xié)議健壯性要求，在遭受異常報(bào)文攻擊時(shí)，應(yīng)能保證控制功能正常；c）應(yīng)支持PLC與上位機(jī)、PLC之間的時(shí)間同步功能；d）應(yīng)具備抵御通信過程中身份鑒別信息重放攻擊、設(shè)備控制數(shù)據(jù)重放等常見重放類攻擊的能力。6.9數(shù)據(jù)安全本項(xiàng)要求如下：a）應(yīng)具備防止數(shù)據(jù)泄露、數(shù)據(jù)非授權(quán)讀取和修改的安全功能，對存儲(chǔ)在PLC整機(jī)、關(guān)鍵部件中的配置信息、項(xiàng)目工程文件、用戶口令等敏感數(shù)據(jù)信息進(jìn)行保護(hù)；b）應(yīng)具備對用戶產(chǎn)生且存儲(chǔ)在PLC整機(jī)、關(guān)鍵部件中的日志、項(xiàng)目工程文件等數(shù)據(jù)進(jìn)行授權(quán)刪除的功能，支持在刪除前對該操作進(jìn)行確認(rèn)。6.10密碼要求本項(xiàng)要求應(yīng)符合GB40050-2021中5.10的規(guī)定。7安全保障要求PLC安全保障要求應(yīng)符合GB40050—2021中第6章的規(guī)定。6GB/TXXXXX—XXXX參考文獻(xiàn)[1]GB/T18