信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求

ICSFORMTEXT點擊此處添加ICS號FORMTEXT點擊此處添加中國標準文獻分類號中華人民共和國國家標準GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXTFORMTEXT信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備安全功能要求FORMTEXTInformationsecuritytechnology—SecurityfunctionrequirementsfordataacquisitionandcontrolfielddevicesofindustrialcontrolsystemsFORMTEXT點擊此處添加與國際標準一致性程度的標識FORMDROPDOWNFORMTEXT（本稿完成日期：2014/5/22）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施GB/TXXXXX—XXXX前言 II引言 III1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 35概述 35.1安全功能要求描述結(jié)構(gòu) 36安全功能要求 56.1FIA類：標識與認證控制 56.2FUC類：使用控制 126.3FDI類：數(shù)據(jù)完整性 196.4FDC類：數(shù)據(jù)保密性 246.5FDF類：受限的信息流 266.6FRA類：資源可用性 28附錄A（規(guī)范性附錄）安全功能要求匯總表 31附錄B（資料性附錄）工控系統(tǒng)安全級及設(shè)備安全功能要求與能力安全級對應(yīng)關(guān)系 33附錄C（資料性附錄）典型工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備功能與構(gòu)成 43附錄D（資料性附錄）重要信息安全術(shù)語和定義 45參考文獻 48前言本標準按照GB/T1.1-2009的規(guī)則起草。本標準由全國信息安全標準化技術(shù)委員會提出并歸口。本標準起草單位：中國電力科學(xué)研究院、北京和利時系統(tǒng)工程有限公司、北京四方繼保自動化股份有限公司、華北電力大學(xué)、國電南瑞科技股份有限公司、中國信息安全測評中心、中國電子技術(shù)標準化研究院、北京江南天安科技有限公司、中國電子信息產(chǎn)業(yè)集團有限公司第六研究所。本標準主要起草人：引言現(xiàn)場測控設(shè)備是工業(yè)控制系統(tǒng)的基本功能執(zhí)行設(shè)備，直接對工業(yè)生產(chǎn)過程進行監(jiān)視與控制，對于生產(chǎn)的安全穩(wěn)定運行至關(guān)重要。隨著信息通信技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用，現(xiàn)場設(shè)備的智能化程度逐漸增加，網(wǎng)絡(luò)化和處理能力的增加使得這些設(shè)備所面臨的信息安全風(fēng)險較傳統(tǒng)現(xiàn)場設(shè)備面臨的風(fēng)險種類更多，范圍更大，層次更為深入，一旦遭受攻擊，將直接導(dǎo)致設(shè)備所轄區(qū)域內(nèi)甚至連鎖性的生產(chǎn)事故，因此其信息安全不僅與生產(chǎn)安全和經(jīng)濟安全密不可分，而且電力、化工、天然氣等重要基礎(chǔ)設(shè)施的現(xiàn)場安全水平直接關(guān)系到國計民生、社會穩(wěn)定與公眾利益。為提高現(xiàn)場設(shè)備的信息安全能力，本標準提出針對現(xiàn)場測控設(shè)備的安全功能要求，用于設(shè)備的安全設(shè)計、開發(fā)、測試與評估。信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備安全功能要求范圍本標準規(guī)定了工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備的安全功能要求。本標準適用于指導(dǎo)設(shè)備的安全設(shè)計、開發(fā)、測試與評估。典型設(shè)備包括RTU、IED、DPU等。某些內(nèi)容因涉及設(shè)備功能實現(xiàn)原理、工業(yè)控制系統(tǒng)整體管理和運行或僅僅是信息安全的外圍技術(shù)，因此不在本標準范圍之內(nèi)。例如：本標準不涵蓋與設(shè)備自身安全功能與實現(xiàn)沒有直接關(guān)聯(lián)的行政性管理和運行安全要求，如組織管理和人員管理等。對于影響技術(shù)實施的口令策略和配置程序等管理措施，將包含在要求的描述中，不作關(guān)于管理和運行內(nèi)容的強調(diào)。本標準不涵蓋與設(shè)備自身信息安全功能與實現(xiàn)沒有直接關(guān)聯(lián)的電磁輻射等物理安全方面的內(nèi)容，對于影響信息安全技術(shù)防護效果的物理安全訪問控制等措施，將包含在要求的描述中，不作關(guān)于物理安全內(nèi)容的強調(diào)。本標準不對傳統(tǒng)工業(yè)控制系統(tǒng)中機電式、液壓式和氣動式等不涉及信息技術(shù)實現(xiàn)原理的設(shè)備的信息安全功能進行要求。傳統(tǒng)工業(yè)控制系統(tǒng)的信息安全防護主要通過物理、管理及運維安全措施實現(xiàn)。本標準不覆蓋傳感器、變送器、調(diào)節(jié)器、開關(guān)/斷路器等生產(chǎn)過程設(shè)備。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9387.2信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)GB/T18336.2-2008/IEC15408-2:2005信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第2部分:安全功能要求GB/T18336.3/IEC15408-3信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第3部分:安全保證要求GB/T20438.1-2006/IEC61508-1:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分:一般要求GB/T20438.3-2006/IEC61508-3:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分:軟件要求GB/T20438.4-2006/IEC61508-3:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分:定義和縮略語GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求術(shù)語和定義GB/T9387.2、GB/T18336.2-2008、GB/T18336.3/IEC15408-3、GB/T20438.1-2006/IEC61508-1:1998、GB/T20438.3-2006/IEC61508-3:1998、GB/T20438.4-2006/IEC61508-3:1998、GB/T22081-2008、GB/T22239確立的以及下列術(shù)語和定義適用于本文件。為方便工業(yè)控制相關(guān)專業(yè)人員對本標準的理解，信息技術(shù)及信息安全相關(guān)術(shù)語見附件D。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備dataacquisitionandcontrolfielddevicesofindustrialcontrolsystems工業(yè)控制系統(tǒng)中，位于現(xiàn)場，具有以下生產(chǎn)相關(guān)全部或部分功能的一種獨立實體設(shè)備：從傳感器、變送器、調(diào)節(jié)器或開關(guān)等過程設(shè)備接收采集數(shù)據(jù)；進行邏輯與控制計算；向調(diào)節(jié)器或開關(guān)等過程執(zhí)行設(shè)備發(fā)送控制指令。設(shè)備與其它同類設(shè)備、系統(tǒng)主站或應(yīng)用進行采集數(shù)據(jù)與控制指令等數(shù)字或模擬信號通信。典型工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備的功能與構(gòu)成見附錄C。下列均是典型的工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備：——RTU——IED——DPU安全級securitylevel在預(yù)期的情況下，工業(yè)控制系統(tǒng)不受脆弱性影響的信心的度量。工業(yè)控制系統(tǒng)可能由于設(shè)計不當導(dǎo)致存在脆弱性，也可能在其生命周期的任何階段被植入脆弱性，或者由于威脅的變化而出現(xiàn)脆弱性。工業(yè)控制系統(tǒng)設(shè)計時就存在的脆弱性可能在其初次安全很久后才會被發(fā)現(xiàn)，比如加密技術(shù)被破解、由于賬戶管理策略不當導(dǎo)致的過期賬戶沒有刪除。而安裝補丁或是策略的變化也可能導(dǎo)致脆弱性。[ISA-62443-3-3-WD3.1.38]能力安全級capabilitysecuritylevel正確的進行安全配置后現(xiàn)場測控設(shè)備或其他工業(yè)控制系統(tǒng)組件能夠達到的安全級，表明現(xiàn)場測控設(shè)備或其他工業(yè)控制系統(tǒng)組件滿足指定安全級需要具備的功能及其配置。[ISA-62443-3-3-WDA.2.2]目標安全級targetsecuritylevel一個具體的工業(yè)控制系統(tǒng)需要達到的安全級。目標安全級是根據(jù)具體系統(tǒng)的風(fēng)險評估結(jié)果來判定保證系統(tǒng)的正常運行需要達到的安全水平。[ISA-62443-3-3-WDA.2.2]達到的安全級achievedsecuritylevel一個具體的工業(yè)控制系統(tǒng)實際達到的安全級。具體的系統(tǒng)設(shè)計完成或上線后進行達到的安全級的測量，達到的安全級用于表明系統(tǒng)滿足目標安全級要求的內(nèi)容。[ISA-62443-3-3-WDA.2.2]縮略語下列縮略語適用于本文件。ICS：工業(yè)控制系統(tǒng)（IndustrialControlSystem）RTU：遠程終端單元（RemoteTerminalUnit）IED：智能電子裝置（IntelligentElectricDevice）PLC：可編程邏輯控制器（ProgrammableLogicController）SCADA：數(shù)據(jù)采集與監(jiān)控（SupervisoryControlAndDataAcquisition）DCS：分布式控制系統(tǒng)（DistributedControlSystem）PCS：過程控制系統(tǒng)（ProcessControlSystem）DPU：分散處理單元（DistributedProcessingUnit）SL：安全級（Securitylevel）CSL：能力安全級（CapabilitySecurityLevel）TSL：目標安全級（TargetSecurityLevel）ASL：達到的安全級（AchievedSecurityLevel）DoS：拒絕服務(wù)攻擊（DenyofService）CRC：循環(huán)冗余校驗（CyclicRedundancyCheck）MMU：內(nèi)存管理單元（MemoryManagementUnit）MAC：消息認證碼（MessageAuthenticationCode）CA：認證中心（CertificateAuthority）SIL：安全完整性等級（SafetyIntegrityLevel）HSE：健康、安全和環(huán)境（HealthSafetyandEnviroment）BPCS：基本的過程控制系統(tǒng)（BasicProcessControlSystem）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）FS：功能安全（FunctionalSafety）IAMS：儀表資產(chǎn)管理系統(tǒng)(InstrumentAssetManagementSystem)概述安全功能要求描述結(jié)構(gòu)要求類結(jié)構(gòu)圖1以框圖形式示意了要求類的結(jié)構(gòu)。每個要求類包括一個類名、類描述和一個或多個要求族。類名：提供標識和劃分不同要求類所必需的信息。每個要求類都有一個唯一的名稱，類的分類信息由三個字符的簡寫組成。類名的簡寫也用于該類中族的族名規(guī)范中。類描述：總體描述類中包含的族和該類要求的主要作用。類描述用圖來描述類中的族以及每個族中組件的層次結(jié)構(gòu)。要求類結(jié)構(gòu)族結(jié)構(gòu)圖2以框圖形式示意了要求族的結(jié)構(gòu)。每個要求族包括一個族名、族描述和一個或多個組件。族名：提供標識和劃分不同要求族所必需的信息。每個要求族都有一個唯一的名稱，族的分類信息由所屬類的簡寫和族名三個字符的簡寫組成。族描述：總體描述族和該族要求的主要作用。要求族結(jié)構(gòu)要求項結(jié)構(gòu)圖3以框圖形式示意了要求項的結(jié)構(gòu)。每個要求項包括要求名、要求的內(nèi)容、要求說明、零個或多個要求加強子項和相關(guān)要求。要求名：用于標識、分類、分族不同的要求。每個要求都有一個唯一的名稱，表明該要求的目的。用序號標識在族中的位置。要求：描述要求的內(nèi)容，表述設(shè)備為達到該項要求應(yīng)滿足的條件。要求說明：描述要求的典型實現(xiàn)機制和技術(shù)原理。要求加強：要求加強子項是對要求強度的加強或內(nèi)容的增加，用序號標識在要求內(nèi)的位置。依賴要求：當要求項需要依賴于其他要求項，或與其他要求項共同使用才能發(fā)揮作用時，這種對其它要求項的直接關(guān)聯(lián)關(guān)系在本部分中注明。設(shè)備的能力安全級與說明要求及要求加強具有對應(yīng)關(guān)系，具體見附件B。要求項結(jié)構(gòu)安全功能要求工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備安全功能要求表見附錄A。FIA類：標識與認證控制類描述標識和認證用戶（人員、進程和設(shè)備）的目的是在設(shè)備使用管理和系統(tǒng)應(yīng)用層面上對設(shè)備的訪問進行控制。標識用戶還可用于確定用戶的行為。根據(jù)設(shè)備數(shù)字與智能化程度的不同，設(shè)備具有的訪問接口不同，典型的接口包括：本地面板，查看或修改配置；本地或遠程網(wǎng)絡(luò)，設(shè)備調(diào)試、管理與業(yè)務(wù)數(shù)據(jù)傳輸；本地RS232或RS485接口，業(yè)務(wù)數(shù)據(jù)傳輸或設(shè)備調(diào)試、管理。在這些接口上對設(shè)備進行訪問的典型的用戶包括但不限于以下幾種：設(shè)備使用配置用戶系統(tǒng)上位機應(yīng)用進程FIA_IAM族：標識與認證方式族描述設(shè)備應(yīng)具備標識和認證用戶的能力。FIA_IAM.1標識及方式要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備在對外接口標識用戶（人員、進程和設(shè)備）的能力。要求說明應(yīng)至少對重要的接口或重要的用戶提供標識，如遠程網(wǎng)絡(luò)接口、配置管理用戶、上位機控制進程等。典型的標識方式包括網(wǎng)絡(luò)層面上的IP地址和MAC地址、應(yīng)用層面上的用戶ID等。要求加強FIA_IAM.1標識及方式的加強要求包括：設(shè)備在所有對外接口上具有標識用戶的能力；設(shè)備在所有對外接口上都具備唯一標識用戶的能力。依賴要求無。FIA_IAM.2認證及方式要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備在對外接口認證用戶（人員、進程和設(shè)備）的能力。要求說明設(shè)備應(yīng)對開啟的網(wǎng)絡(luò)服務(wù)接口和重要的本地訪問用戶進行認證，如配置管理用戶、遠程訪問服務(wù)等。典型的身份驗證方式包括：口令，USBkey，共享密鑰，公鑰、生物特征等。要求加強FIA_IAM.2認證及方式的加強要求包括：設(shè)備對遠程網(wǎng)絡(luò)訪問接口上的具有控制、參數(shù)和定值修改功能的用戶實施雙因素認證；設(shè)備對所有遠程網(wǎng)絡(luò)訪問接口上的用戶實施雙因素認證。依賴要求FIA_IAM.1。FIA_IDM族：標識符管理族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備管理標識符的能力。能用于標識用戶（人員、進程和設(shè)備）的標識包括網(wǎng)絡(luò)層面的IP地址、MAC地址、TCP/UDP端口和用戶ID。其中用戶ID管理的功能相當于普通IT應(yīng)用系統(tǒng)的用戶管理，而IP地址、MAC地址和端口的管理將在訪問控制中闡述。FIA_IDM.1用戶ID管理要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備向用戶分配ID的能力。要求說明用戶主要指管理員或工作人員，設(shè)備應(yīng)支持向這些具有運行參數(shù)或設(shè)備配置訪問權(quán)限的用戶分配ID的能力。要求加強FIA_IDM.1用戶ID管理的加強要求包括：設(shè)備支持管理員對用戶ID進行添加、刪除等管理；設(shè)備支持管理員對安全策略規(guī)定一段時間不使用的用戶ID進行鎖定。依賴要求FIA_IAM.1。FIA_ARM族：認證碼管理族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備管理認證碼的能力。主要包括對口令、證書等認證碼的強度和使用的管理。由于對設(shè)備的訪問方式可能包括本地面板管理訪問、串口配置軟件管理訪問、網(wǎng)絡(luò)配置軟件（私有軟件和FTP）管理訪問、上位機應(yīng)用訪問，因此認證碼的使用和管理涵蓋應(yīng)用層面的認證碼和網(wǎng)絡(luò)層面的認證碼管理。FIA_ARM.1口令修改要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)支持管理員和用戶在不影響正常操作的情況下修改他們管理范圍內(nèi)口令。要求說明主要針對管理員、配置查看用戶、配置修改用戶等應(yīng)用用戶口令進行管理。要求加強FIA_ARM.1口令修改的加強要求包括：設(shè)備應(yīng)支持并提示對出廠默認口令的修改。依賴要求FIA_IAM.2。FIA_ARM.2口令更換周期要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該提供支持安全策略要求中口令使用周期的能力。要求說明在實現(xiàn)上，成功的用戶驗證后，工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該提供必要的自動提醒能力，通知用戶距離上次修改密碼已經(jīng)超過了安全策略要求的密碼使用周期。要求加強FIA_ARM.2口令更換周期的加強要求包括：設(shè)備支持管理員對口令更換周期進行配置。依賴要求FIA_IAM.2。FIA_ARM.3口令強度控制要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該提供支持安全策略中口令強度要求的能力。要求說明在實現(xiàn)上，當用戶設(shè)定口令強度不足時，工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)自動提醒用戶口令應(yīng)滿足怎樣的安全策略。要求加強FIA_ARM.3口令強度控制的加強要求包括：設(shè)備支持管理員對口令的最小長度、最長/最短使用時間和要求字母或特殊字符數(shù)量進行配置。依賴要求FIA_IAM.2。FIA_ARM.4口令失效機制要求設(shè)備的用戶名/口令認證控制不能被攻破或繞過。要求說明包括但不限于以下機制和技術(shù)：嵌入式主口令嵌入式芯片在硬件或軟件故障時自動運行的診斷程序如跳線和開關(guān)設(shè)置等的密碼硬件旁路廠商應(yīng)說明設(shè)備具有的所有能繞過用戶創(chuàng)建的用戶名/口令防護的機制。如果廠商表示設(shè)備目前沒有這樣的機制，廠商應(yīng)證明這點。要求加強無。依賴要求FIA_IAM.2。FIA_ARM.5證書及公私鑰管理要求如果使用了公鑰和證書作為認證機制，工控系統(tǒng)現(xiàn)場測控設(shè)備（及其配置軟件）應(yīng)該提供對公鑰和證書進行管理的能力。要求說明以配置用戶USBkey為例，其中的證書和公鑰體系主要用于使用配置軟件對工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備進行配置訪問時的用戶認證。設(shè)備的配置軟件應(yīng)能夠?qū)ε渲糜脩艄€進行管理，對證書進行識別。對于通信層面上，公私鑰可用于現(xiàn)場測控設(shè)備和其它設(shè)備、遠程配置系統(tǒng)、監(jiān)控后臺或上位機的通信身份認證。設(shè)備應(yīng)能保證本地存儲私鑰的安全，同時可以對其它通信對象的證書的真實性和有效性，從而認證識別出對象的身份。要求加強FIA_ARM.5證書及公私鑰管理的加強要求包括：現(xiàn)場測控設(shè)備及其配置軟件應(yīng)該支持安全策略要求的公鑰和證書的周期更新的能力；在整個工控系統(tǒng)層面上有有效的公鑰管理架構(gòu)和CA。依賴要求FIA_IAM.2。FIA_ARM.6對稱密鑰管理要求如果使用了對稱密鑰作為認證機制或進行傳輸數(shù)據(jù)加密，工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該提供對對稱密鑰進行管理的能力。要求說明對于通信層面上，對稱密鑰可用于現(xiàn)場測控設(shè)備和其它設(shè)備、監(jiān)控后臺或上位機的通信身份認證。設(shè)備應(yīng)能保證本地存儲密鑰的安全，同時滿足密鑰管理策略。要求加強FIA_ARM.6對稱密鑰管理的加強要求包括：現(xiàn)場測控設(shè)備應(yīng)支持安全策略要求的對稱密鑰周期更新的能力；在整個工控系統(tǒng)層面上有有效的密鑰管理體系，實現(xiàn)對密鑰的分發(fā)、更新和撤銷。依賴要求FIA_IAM.2。FIA_ARM.7密碼學(xué)服務(wù)失效要求如果使用基于密碼學(xué)的認證機制，工控系統(tǒng)現(xiàn)場測控設(shè)備的重要訪問點不得依賴于外部密碼學(xué)服務(wù)。要求說明如果外部密碼學(xué)（如加密、密鑰驗證）服務(wù)不可用，可能導(dǎo)致嵌入式設(shè)備拒絕服務(wù)。訪問關(guān)鍵功能的本地優(yōu)先接入點不應(yīng)依靠外部驗證服務(wù)，因為一旦失敗無法直接處理。對于遠程訪問關(guān)鍵功能的情況，可酌情考慮使用。要求加強無。依賴要求FIA_IAM.2；FIA_ARM.5；FIA_ARM.6。FIA_LGM族：登錄管理族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備對管理員、配置查看用戶、配置修改用戶等應(yīng)用用戶登錄成功、失敗和登錄過程進行管理的能力。FIA_LGM.1登錄失敗管理要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該管理和記錄用戶自從最近的成功登錄后的登錄失敗的次數(shù)和時間。要求說明主要對管理員、配置管理用戶等實現(xiàn)認證了的重要用戶的登錄進行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強無。依賴要求FIA_IAM.2。FIA_LGM.2登錄成功記錄要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該管理和記錄用戶最后一次登錄成功的日期和時間。要求說明主要對管理員、配置管理用戶等實現(xiàn)認證了的重要用戶的登錄進行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強無。依賴要求FIA_IAM.2。FIA_LGM.3展示登錄歷史要求成功的用戶驗證后，工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)該顯示最近的登錄成功的時間，以及那之后此用戶賬號登錄失敗嘗試的次數(shù)和時間。要求說明主要對管理員、配置管理用戶等實現(xiàn)認證了的重要用戶的登錄進行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強無。依賴要求FIA_IAM.2；FIA_LGM.1。FIA_LGM.4多次登錄失敗行為要求現(xiàn)場測控設(shè)備應(yīng)支持當安全策略規(guī)定的一段時間內(nèi)失敗的登錄嘗試次數(shù)超過了安全策略中要求的值，設(shè)備執(zhí)行限制機制。要求說明限制機制包括對用戶進行鎖定、發(fā)出警報等。要求加強FIA_LGM.4多次登錄失敗行為的加強要求包括：設(shè)備支持管理員對鎖定前的登錄失敗次數(shù)和解鎖方式進行配置。依賴要求FIA_IAM.2；FIA_LGM.1。FIA_LGM.5認證反饋要求現(xiàn)場測控設(shè)備應(yīng)在認證過程中對認證的返回信息模糊化，以免非授權(quán)人員利用這些信息。要求說明反饋信息應(yīng)不包括未授權(quán)人員可以利用的危害認證機制的信息。要求加強無。依賴要求FIA_IAM.2。FUC類：使用控制類描述使用控制的目的是為了保護系統(tǒng)，在用戶發(fā)起請求之前，確定每個請求訪問設(shè)備或系統(tǒng)的用戶的標識和權(quán)限，并根據(jù)權(quán)限執(zhí)行所請求的操作，并進行監(jiān)視。FUC_ACA族：訪問控制授權(quán)族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備為不同的訪問用戶分配權(quán)限的能力。權(quán)限包括設(shè)備使用層面的運行數(shù)據(jù)查看、配置參數(shù)變更；系統(tǒng)應(yīng)用層面的控制命令下發(fā)、定值下發(fā)、數(shù)據(jù)量采集。FUC_ACA.1授權(quán)項管理要求現(xiàn)場測控設(shè)備應(yīng)支持對授權(quán)項的管理。要求說明需要授權(quán)的典型功能包括：查看數(shù)據(jù)：查看數(shù)據(jù)是指能夠查看變電站設(shè)備的運行數(shù)據(jù)（電壓，電流，功率，狀態(tài)，報警等）。查看配置設(shè)置：查看配置設(shè)置指的是查看設(shè)備的配置，如標值，通信地址，可編程的邏輯程序，固件版本號。配置變更：配置變更是指下載和上傳裝置的配置文件，和/或變更現(xiàn)有的配置。固件變更：固件變更指的是不需要變更相應(yīng)硬件的新固件加載。帳戶管理：創(chuàng)建、刪除或修改帳戶內(nèi)容。審計日志：審計日志是能夠指查看和下載審計日志?？刂泼睿嚎刂泼钪干衔粰C對設(shè)備下發(fā)控制命令。授權(quán)項管理包括對設(shè)備使用層面的權(quán)限管理，依據(jù)配置角色、查看角色、審計角色等角色分配權(quán)限。另外還包括整個工控系統(tǒng)層面上，其他Server、Client與現(xiàn)場設(shè)備實施采集或控制的權(quán)限。要求加強無。依賴要求無；FUC_ACA.2基于角色的訪問控制要求現(xiàn)場測控設(shè)備的訪問控制功能應(yīng)該提供支持基于角色的訪問控制策略的能力。要求說明基于角色的訪問控制根據(jù)具體的用戶訪問權(quán)限級別來定義用戶角色，用戶在成功認證后被授予與分配的角色對應(yīng)的權(quán)限。對于功能相對簡單的設(shè)備，現(xiàn)場測控設(shè)備的用戶角色和權(quán)限可以在出廠時便配置完成，如配置角色用戶、查看角色用戶、審計角色用戶、FTP應(yīng)用訪問角色、控制上位機角色等。設(shè)備使用層面的用戶也可能是固定的，如只有一個查看用戶、一個配置用戶、一個審計用戶和一個管理員用戶。要求加強無。依賴要求FIA_IAM.1。FUC_ACA.3管理員用戶要求現(xiàn)場測控設(shè)備訪問控制功能應(yīng)該支持管理員用戶角色，管理員主要負責(zé)用戶賬戶管理和安全功能管理。要求說明只有管理員角色權(quán)限允許建立和管理其他賬號。對于功能簡單的設(shè)備，管理員角色、配置用戶角色和審計用戶角色可以由一個用戶完成，并沒有復(fù)雜的用戶管理模式。系統(tǒng)運行中用戶和操作人員的對應(yīng)關(guān)系靠“操作票”等管理手段實現(xiàn)。要求加強無。依賴要求FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。FUC_ACA.4最小權(quán)限原則要求用戶僅具備完成任務(wù)所需的最小權(quán)限。要求說明設(shè)備使用層面上，新建的用戶ID僅具有最小的訪問控制權(quán)限，應(yīng)由管理員來根據(jù)策略提升對應(yīng)帳號的權(quán)限。系統(tǒng)應(yīng)用層面上，現(xiàn)場設(shè)備的對端設(shè)備（上位機或其他現(xiàn)場設(shè)備）對設(shè)備的訪問也應(yīng)基于最小權(quán)限，如只能訪問某一服務(wù)端口、只能進行某一類操作。要求加強無。依賴要求FIA_IAM.1；FUC_ACA.1。FUC_ACA.5分權(quán)管理要求現(xiàn)場測控設(shè)備應(yīng)支持用戶修改重要的參數(shù)或進行重要的控制操作的分權(quán)管理。要求說明分權(quán)管理的典型過程是操作用戶和審核用戶合作獲得訪問設(shè)備數(shù)據(jù)或執(zhí)行控制操作的權(quán)限。主要是針對重要操作流程的安全機制。該功能主要在系統(tǒng)層面實現(xiàn)，用于重要控制操作的執(zhí)行和確認過程。要求加強無。依賴要求FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。FUC_SEC族：會話控制族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備對設(shè)備使用用戶會話進行控制的能力，如來自配置用戶或配置應(yīng)用的訪問。主要通過終止或鎖定超時會話保證會話的安全性。FUC_SEC.1本地會話超時鎖定要求當設(shè)備使用用戶通過本機控制面板與設(shè)備的會話在策略規(guī)定的一段時間內(nèi)都不活動，設(shè)備應(yīng)鎖定會話。要求說明會話鎖定應(yīng)一直保持到用戶重新登錄。要求加強FUC_SEC.1本地會話超時鎖定的加強要求包括：設(shè)備支持管理員對會話鎖定前的不活動時間進行配置。依賴要求無。FUC_SEC.2網(wǎng)絡(luò)會話超時終止要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)在網(wǎng)絡(luò)設(shè)備使用用戶與設(shè)備的會話在策略規(guī)定的一段時間內(nèi)不活動時，對會話進行終止。要求說明用于設(shè)備的配置用戶的網(wǎng)絡(luò)訪問，尤其是遠程訪問，不對系統(tǒng)應(yīng)用用戶進行限制。如果會話通過網(wǎng)絡(luò)是具有足夠的物理訪問控制機制的可信網(wǎng)絡(luò)，也可以依照本地會話鎖定進行控制。要求加強FUC_SEC.2網(wǎng)絡(luò)會話超時終止的加強要求包括：設(shè)備支持管理員會話終止前的不活動時間進行配置。依賴要求無。FUC_ATC族：審計內(nèi)容的產(chǎn)生族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠產(chǎn)生安全性事件和重要生產(chǎn)活動的審計信息。為保證設(shè)備的應(yīng)用性能，審計行為可以通過設(shè)備的附加模塊或系統(tǒng)附加設(shè)備實現(xiàn)。FUC_ATC.1審計事件要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備審計功能，對重要的安全性事件和重要生產(chǎn)活動進行審計。要求說明管理層面上，應(yīng)根據(jù)設(shè)備和設(shè)備運行環(huán)境的風(fēng)險評估結(jié)果決定需要審計的事件。典型的重要設(shè)備使用事件包括：登錄成功：用戶成功（本地或遠程）登錄設(shè)備；非法登錄嘗試：用戶連續(xù)多次輸入口令錯誤；正常退出：用戶發(fā)起的退出；超時退出：在預(yù)先定義好的一段時間內(nèi)不活動，系統(tǒng)注銷用戶此次登陸；訪問配置：將配置文件從設(shè)備下載存儲到外部設(shè)備中（例如，計算機，記憶棒，光盤）；配置更改：在設(shè)備中傳入新配置或者通過面板輸入新配置參數(shù)，使設(shè)備的配置發(fā)生改變；固件更換：在內(nèi)存中增加新的設(shè)備運行固件；創(chuàng)建用戶名/口令或更改：創(chuàng)建新的用戶名/口令或者修改帳戶權(quán)限；刪除用戶名/口令：刪除用戶名/口令；訪問審計記錄：用戶查看日志或?qū)⑷罩颈４嬖谕獠吭O(shè)備或存儲空間（計算機、內(nèi)存條、光盤）；修改時間/日期：用戶要求修改時間和日期。典型的重要生產(chǎn)活動包括：參數(shù)修改：上位機或其它設(shè)備修改設(shè)備的開關(guān)量、檔位等參數(shù)；設(shè)備重啟：由于斷電、按下重啟按鈕、修改上電順序或配置修改導(dǎo)致的設(shè)備重啟；非法連接嘗試：不符合訪問控制策略的連接嘗試，如連接來自非法的IP、MAC或訪問的是不允許連接的端口；審計事件要與設(shè)備具備和開啟的安全功能相對應(yīng)，如不具備訪問控制功能的設(shè)備不需要記錄“非法連接嘗試”事件。要求加強FUC_ATC.1審計事件的加強要求包括：設(shè)備支持管理員對需要審計的事件清單進行配置。依賴要求FIA_LGM.2；FIA_LGM.4；FDF_NAC.2；FRA_BUC.1。FUC_ATC.2審計記錄的內(nèi)容要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件的審計記錄中應(yīng)包含足夠的可用于追蹤與分析安全事件的內(nèi)容。要求說明根據(jù)審計記錄，用戶能夠確定有哪些事件發(fā)生，事件發(fā)生時間，事件來源和事件的結(jié)果。大多數(shù)的審計記錄內(nèi)容包括：事件的日期和時間；事件來源（例如，用戶ID、設(shè)備ID、設(shè)備IP等）；事件的操作；事件的結(jié)果（成功或失?。Ｒ蠹訌奆UC_ATC.2審計記錄的內(nèi)容的加強要求包括：設(shè)備支持管理員對審計記錄的內(nèi)容進行配置。依賴要求FUC_ATC.1。FUC_ATC.3審計的時間戳要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件的審計記錄中的時間的產(chǎn)生應(yīng)基于“系統(tǒng)時間”。要求說明系統(tǒng)時間是指工控系統(tǒng)內(nèi)同步的時間，以便各種來源的事件都可以準確地和一個時間基準比對，準確地判斷事故。要求加強無。依賴要求無。FUC_ATC.4用戶關(guān)聯(lián)要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件中記錄的每個審計事件都應(yīng)與引起該事件的用戶相關(guān)聯(lián)。要求說明無。要求加強無。依賴要求FIA_IAM.1。FUC_ATS族：審計信息的存儲族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠存儲并保護安全性事件和重要生產(chǎn)活動的審計信息。FUC_ATS.1審計容量要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備審計功能，對重要的安全性事件和重要生產(chǎn)活動進行審計。要求說明如果由工控系統(tǒng)現(xiàn)場測控設(shè)備自身完成審計功能，那么設(shè)備能維護一個大小合理的審計存儲空間，在滿足審計功能的同時，保證不影響設(shè)備的可用性。要求加強FUC_ATS.1審計容量的加強要求包括：設(shè)備支持管理員對需要審計的事件清單進行配置。依賴要求無。FUC_ATS.2審計故障告警要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件應(yīng)在審計失敗時發(fā)出適當?shù)母婢?。要求說明告警的方式包括亮警示燈、鳴笛等。審計處理失敗包括軟件或硬件錯誤、生成審計記錄過程中的錯誤、審計存儲空間滿載等。要求加強FUC_ATS.2審計故障告警的加強要求包括：設(shè)備支持管理員對審計存儲空間滿載時，設(shè)備能自動執(zhí)行的操作進行配置，如覆蓋舊的審計記錄或停止生成審計記錄等。依賴要求FUC_ATS.1。FUC_ATS.3審計信息保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件應(yīng)保護審計信息和審計工具不被非授權(quán)訪問、修改和刪除。要求說明應(yīng)保證只有授權(quán)用戶可以對審計信息進行操作?？赏ㄟ^增加校驗碼實現(xiàn)審計信息的防篡改。要求加強FUC_ATS.3審計信息保護的加強要求包括：設(shè)備為審計信息提供基于密碼學(xué)的保護功能。依賴要求FUC_ACA.1。FUC_ATR族：審計信息的查閱族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)支持用戶對審計數(shù)據(jù)進行查閱。FUC_ATR.1讀取審計信息要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件應(yīng)保證以便于用戶理解的方式提供審計記錄，且只有授權(quán)用戶可以讀取審計記錄。要求說明只有授權(quán)用戶具備獲得和解釋審計信息的能力。用戶是人員用戶時，信息必須為人類可理解的方式表示；用戶為外部IT實體時，信息必須以電子方式無歧異的表示。要求加強無。依賴要求FUC_ACA.1；FUC_ATS.3。FUC_ATR.2系統(tǒng)范圍審計要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件應(yīng)具備功能，能夠?qū)⒆陨淼膶徲嬘涗洶l(fā)送給其它設(shè)備進行更高級別的審計。要求說明大多數(shù)嵌入式設(shè)備的審計信息存儲容量是有限的，最好能從系統(tǒng)層面來使用工具對系統(tǒng)范圍內(nèi)所有設(shè)備和主機的審計記錄進行過濾和分析，這同時也要求設(shè)備的審計信息格式是標準的，可以實現(xiàn)統(tǒng)一審計的。要求加強無。依賴要求無。FUC_ATR.3審計報告的生成要求工控系統(tǒng)現(xiàn)場測控設(shè)備或從事審計功能的組件應(yīng)具備審計歸納和報告功能，實現(xiàn)對審計信息的歸納、審查。報告工具支持在不改變原始審計記錄的情況下作安全事件的事后調(diào)查。要求說明一般情況下，審計信息的歸納和報告的生成會在一個獨立的信息系統(tǒng)中執(zhí)行，比如在系統(tǒng)范圍審計工具中實現(xiàn)。要求加強無。依賴要求FUC_ATR.2。FDI類：數(shù)據(jù)完整性類描述對數(shù)據(jù)的完整性進行保護的目的是防止數(shù)據(jù)被篡改，主要針對危險的開放環(huán)境中傳輸?shù)臄?shù)據(jù)或存儲的數(shù)據(jù)。FDI_DSI族：數(shù)據(jù)存儲完整性族描述在工控系統(tǒng)現(xiàn)場測控設(shè)備上對存儲數(shù)據(jù)的完整性進行保護，防止軟件和信息被未授權(quán)篡改。對存儲數(shù)據(jù)的完整性保護不僅僅是使用訪問控制手段。如果設(shè)備是放置在物理上安全的環(huán)境內(nèi)可以不在設(shè)備上進行存儲數(shù)據(jù)完整性的保護。FDI_DSI.1安全功能檢測要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制驗證安全保護功能的執(zhí)行情況，在發(fā)生異常情況時發(fā)出報告。要求說明設(shè)備如果不具備安全功能自檢，那就要具備其他補償機制或者判定風(fēng)險是可接收的。設(shè)備廠商或集成商應(yīng)提供如何測試所設(shè)計的安全措施的指南。要求加強FDI_DSI.1安全功能檢測的加強要求包括：設(shè)備提供接口并支持工控系統(tǒng)層面的整體安全功能自動驗證與報警。依賴要求FUC_ATC.1。FDI_DSI.2錯誤處理要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)識別和處理錯誤情況并迅速產(chǎn)生安全相關(guān)錯誤消息。要求說明錯誤消息中應(yīng)僅包含有能夠與定位處理某一特定問題的信息，而不應(yīng)提供可被惡意分子用來發(fā)起信息安全攻擊的信息。要求加強無。依賴要求無。FDI_DSI.3應(yīng)用特定語法驗證要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)檢查輸入信息的一致性、完整性、有效性和真實性。要求說明外部源輸入的數(shù)據(jù)主要包括兩類：應(yīng)用輸入：用來作為過程控制的輸入；程序配置：用于對設(shè)備進行狀態(tài)變更?？刹捎眉用軝C制防止代碼被篡改。通過本地控制面板或配置軟件輸入的參數(shù)應(yīng)可見，防止輸入被設(shè)備錯誤的理解為命令。要求加強無。依賴要求無。FDI_DSI.4數(shù)據(jù)的非可執(zhí)行性要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)將數(shù)據(jù)和可執(zhí)行代碼分別存儲在不同的內(nèi)存空間，并能夠阻止數(shù)據(jù)內(nèi)存空間內(nèi)的代碼執(zhí)行。要求說明可以使用支持硬件MMU的OS，或者支持分離內(nèi)存硬件設(shè)計的CPU（如68000系列芯片組）。要求加強無。依賴要求無。FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備防止對靜態(tài)數(shù)據(jù)進行非授權(quán)寫操作的保護機制（硬件和/或軟件）。要求說明可以使用支持硬件MMU的OS，或者支持分離內(nèi)存硬件設(shè)計的CPU（如68000系列芯片組）。工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備基本的對用戶應(yīng)用配置數(shù)據(jù)、可執(zhí)行代碼的未授權(quán)修改、刪除或插入的防護機制。如果工控系統(tǒng)現(xiàn)場測控設(shè)備具有操作系統(tǒng)，則應(yīng)具備基本的機制防止未授權(quán)修改產(chǎn)品操作系統(tǒng)和修改、刪除或插入運行數(shù)據(jù)的操作。 工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠自動檢測對內(nèi)存中的應(yīng)用配置數(shù)據(jù)的修改，這些數(shù)據(jù)可以被修改，但是在一般操作中并不會自動修改。工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠自動檢測對內(nèi)存中的可執(zhí)行代碼的修改與插入。這些數(shù)據(jù)可以被修改，但是在一般操作中并不會自動修改，也不會有新的代碼插入。因此防護主要針對當可執(zhí)行代碼的修改和加載不是廠商的授權(quán)版本更新的時候。工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠自動檢測對內(nèi)存中的操作系統(tǒng)配置的修改。操作系統(tǒng)配置可能被修改，但是在一般操作中并不會自動修改。因此防護主要針對當操作系統(tǒng)配置的修改不是廠商的授權(quán)版本更新的時候。典型操作包括非法修改處理系統(tǒng)異常的中斷向量表和進程調(diào)度算法。要求加強FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護的加強要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的靜態(tài)數(shù)據(jù)未授權(quán)修改的防護機制。依賴要求無。FDI_DSI.6寫入保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備防止對靜態(tài)數(shù)據(jù)進行非授權(quán)寫操作的保護機制（硬件和/或軟件）。要求說明本項要求主要用于防止對可以采用阻斷編程電壓或通過MMU進行寫操作來阻止對FLASH進行寫操作。要求加強無。依賴要求無。FDI_DTI族：數(shù)據(jù)傳輸完整性族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能保證傳輸信息的完整性，主要針對系統(tǒng)應(yīng)用通信數(shù)據(jù)的安全性，例如設(shè)備與上位機之間、設(shè)備與設(shè)備之間的通信。如果數(shù)據(jù)報文通過的網(wǎng)絡(luò)是具有足夠的物理訪問控制機制的可信網(wǎng)絡(luò)，可以不在設(shè)備上在進行傳輸數(shù)據(jù)完整性的保護。FDI_DTI.1數(shù)據(jù)包插入要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制抵御惡意攻擊者在通信數(shù)據(jù)中插入惡意或無關(guān)數(shù)據(jù)包。要求說明主要通過添加序列碼，設(shè)備對序列碼的有效性進行判斷，從而識別是否為無用或惡意的數(shù)據(jù)包。要求加強無。依賴要求無。FDI_DTI.2數(shù)據(jù)包刪除要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制抵御惡意攻擊者刪除數(shù)據(jù)包。要求說明主要通過添加序列碼，設(shè)備判斷序列碼的連續(xù)性，從而識別是否存在數(shù)據(jù)包的丟失。要求加強無。依賴要求無。FDI_DTI.3數(shù)據(jù)包過分延遲要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠處理過度延遲的數(shù)據(jù)包。要求說明可以通過在系統(tǒng)應(yīng)用層面上收方發(fā)送收包確認信息、使用時間窗或設(shè)定超時容忍時間來處理過渡延遲的數(shù)據(jù)包。要求加強無。依賴要求無。FDI_DTI.4數(shù)據(jù)包重放要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制抵御數(shù)據(jù)包的重放。要求說明主要通過添加序列碼和時間標簽，設(shè)備判斷序列碼和時間標簽是否新鮮，從而識別是否存在數(shù)據(jù)包的重放。要求加強無。依賴要求無。FDI_DTI.5數(shù)據(jù)防篡改要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制來識別對通信信息的篡改。要求說明檢測通信過程中出現(xiàn)的錯誤的典型機制為循環(huán)校驗碼（CRC），一般用于對抗隨機錯誤，比如tcp的循環(huán)校驗碼。要求加強FDI_DTI.5數(shù)據(jù)防篡改的加強要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的通信信息防篡改機制。典型機制如MAC、HASH等。依賴要求無。FDI_DTI.6會話保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制對會話過程的完整進行保護，防止中間人攻擊。要求說明主要針對協(xié)議交互過程進行安全設(shè)計，防止中間人通過對協(xié)議觀察分析從而加入或竊取通信會話。要求加強無。依賴要求無。FDC類：數(shù)據(jù)保密性類描述對數(shù)據(jù)的保密性進行保護的目的是防止數(shù)據(jù)被竊聽，主要針對危險的開放環(huán)境中傳輸或存儲的敏感數(shù)據(jù)。FDC_CRM族：加密機制族描述工控系統(tǒng)現(xiàn)場測控設(shè)備采用的加密機制應(yīng)符合國家和行業(yè)的相關(guān)法律、法規(guī)要求。FDC_CRM.1加密機制要求工控系統(tǒng)現(xiàn)場測控設(shè)備采用的加密機制應(yīng)符合國家和行業(yè)的相關(guān)法律、法規(guī)要求。要求說明保證加密機制有效的方法是直接采用國家認證的密碼模塊。工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備所使用的加密機制的說明文檔（和第三方的認證報告），用戶可以通過這些文檔判斷所采購的設(shè)備是否符合法律、規(guī)章等要求。要求加強無。依賴要求無。FDC_DSC族：存儲數(shù)據(jù)的保密性保護族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能保護存儲數(shù)據(jù)的保密性。如果設(shè)備是放置在物理上安全的環(huán)境內(nèi)可以不在設(shè)備上在進行存儲數(shù)據(jù)保密性的保護。FDC_DSC.1存儲數(shù)據(jù)的保密性保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制保護存儲數(shù)據(jù)的保密性。要求說明工控系統(tǒng)現(xiàn)場測控設(shè)備中的口令、密鑰、用戶隱私等敏感數(shù)據(jù)應(yīng)以非明文方式存儲。要求加強FDC_DSC.1存儲數(shù)據(jù)的保密性保護的加強要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的存儲數(shù)據(jù)保密性保護機制，如加密等。依賴要求FDC_CRM.1。FDC_DTC族：傳輸數(shù)據(jù)保密性族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能保證傳輸數(shù)據(jù)的保密性，防止未授權(quán)的通信數(shù)據(jù)竊聽，主要針對口令、密鑰等安全管理數(shù)據(jù)和重要的系統(tǒng)應(yīng)用通信數(shù)據(jù)。如果數(shù)據(jù)報文通過的網(wǎng)絡(luò)是具有足夠的物理訪問控制機制的可信網(wǎng)絡(luò)，可以不在設(shè)備上在進行傳輸數(shù)據(jù)保密性的保護。FDC_DTC.1傳輸數(shù)據(jù)的保密性保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制保護傳輸數(shù)據(jù)的保密性。要求說明傳輸?shù)目诹?、密鑰和用戶隱私等敏感數(shù)據(jù)應(yīng)以非明文方式傳輸。數(shù)據(jù)保密性保護機制可以在應(yīng)用層實現(xiàn)，也可以當數(shù)據(jù)在非安全域內(nèi)傳輸時，在邊界設(shè)備上實現(xiàn)。要求加強FDC_DTC.1傳輸數(shù)據(jù)的保密性保護的加強要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的傳輸數(shù)據(jù)保密性保護機制，如加密等。依賴要求FDC_CRM.1。FDF類：受限的信息流類描述在網(wǎng)絡(luò)與本地通過訪問控制和分區(qū)來限制不必要的數(shù)據(jù)流。FDF_NAC族：網(wǎng)絡(luò)訪問控制族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備網(wǎng)絡(luò)層面上的訪問控制機制，主要用于保證只有合法的上位機、配置工作站和其他現(xiàn)場設(shè)備對設(shè)備進行訪問。FDF_NAC.1禁用不使用端口要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)提供機制支持關(guān)閉不使用的或不在訪問控制范圍內(nèi)的通信服務(wù)和物理端口。要求說明設(shè)備上線后往往不需要使用FTP、HTTP等配置應(yīng)用，此時應(yīng)關(guān)閉對應(yīng)的服務(wù)端口，此外用于本地配置的固件升級物理網(wǎng)絡(luò)端口或串口平時也應(yīng)關(guān)閉。開啟的端口和服務(wù)都應(yīng)具備用戶認證機制。要求加強無。依賴要求無。FDF_NAC.2信息流控制要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備機制使用戶能夠維護流入設(shè)備的信息流的源端訪問控制信息。要求說明設(shè)備的網(wǎng)絡(luò)層面的訪問控制信息包括源IP地址、MAC地址、可以訪問的服務(wù)和服務(wù)中的內(nèi)容有效性和合理性，應(yīng)通過這些內(nèi)容實現(xiàn)對源端身份合法性的識別。在運行中，如果設(shè)備處于物理上安全的可信網(wǎng)絡(luò)中，可以不實施該條要求。該條要求也可以由其他網(wǎng)絡(luò)設(shè)備實現(xiàn)，如工業(yè)防火墻，限定源端設(shè)備地址、可以訪問的服務(wù)和可以執(zhí)行的操作。要求加強FDF_NAC.2信息流控制的加強要求包括：設(shè)備維護公鑰、對稱密鑰等基于密碼學(xué)的設(shè)備身份認證機制以證實通信對端的身份。依賴要求FIA_IAM.1。FDF_NAC.3無線訪問要求對于使用無線訪問的工控系統(tǒng)現(xiàn)場測控設(shè)備必須能夠支持在物理上關(guān)閉無線功能（如硬壓板），并且采用的無線協(xié)議必須具備安全機制。要求說明無線訪問是不受物理訪問限制和物理網(wǎng)絡(luò)的邊界設(shè)備限制的，所以對這種接入方式必須有足夠的技術(shù)保護措施。無線訪問通過物理開關(guān)關(guān)閉后不能通過交換機或軟件配置開啟。無線協(xié)議應(yīng)具備的安全機制包括認證、完整性保護和加密等。要求加強FDF_NAC.3無線訪問的加強要求包括：設(shè)備禁用無線通信方式。依賴要求無。FDF_DFP族：功能分區(qū)族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)通過分區(qū)與隔離機制實現(xiàn)不同功能的分離。FDI_DFP.1應(yīng)用分區(qū)要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)將數(shù)據(jù)獲取服務(wù)與管理功能分離。要求說明應(yīng)用分離的手段包括使用不同的處理單元、不同的操作系統(tǒng)實例、不同的網(wǎng)絡(luò)地址、不同的端口或其他方法。要求加強無。依賴要求無。FDI_DFP.2安全功能隔離要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)將安全功能與非安全功能隔離開，使用的手段包括分區(qū)分域等，比如控制安全功能的硬件、軟件和固件的完整性和對它們的訪問。要求說明設(shè)備應(yīng)為每個執(zhí)行進程維護一個獨立的執(zhí)行域（比如地址空間）。一些老舊的工控系統(tǒng)可能無法做到這一點，那么組織應(yīng)在安全計劃中將該情況記錄下來并制定風(fēng)險緩解方法。要求加強無。依賴要求無。FRA類：資源可用性類描述這一類要求的目的是確保設(shè)備靈活應(yīng)對不同類型的拒絕服務(wù)事件，并保持設(shè)備在緊急情況下能夠保持業(yè)務(wù)連續(xù)性。FRA_DSP族：拒絕服務(wù)保護族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠抵御DoS攻擊，或降低攻擊的影響。在實際防護中還要綜合考慮網(wǎng)絡(luò)上的隔離手段，例如在網(wǎng)絡(luò)邊界設(shè)備上降低DoS攻擊成功的可能性。FRA_DSP.1數(shù)據(jù)泛洪保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠抵御一定的數(shù)據(jù)泛洪攻擊或降低攻擊的影響，保證重要業(yè)務(wù)功能的通信。要求說明常用的抵御泛洪攻擊或限制其影響的機制包括現(xiàn)場設(shè)備在遭遇泛洪攻擊時，以降級模式（限速）運行直至攻擊結(jié)束；在網(wǎng)絡(luò)邊界上使用數(shù)據(jù)包過濾設(shè)備。要求加強無。依賴要求無。FRA_DSP.2協(xié)議fuzz保護要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)能夠容忍針對通信協(xié)議的fuzz攻擊。要求說明協(xié)議fuzz攻擊的防護主要依靠設(shè)備開啟的服務(wù)的開發(fā)實現(xiàn)過程的安全水平。要求加強無。依賴要求無。FRA_BUC族：業(yè)務(wù)連續(xù)性族描述工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備業(yè)務(wù)連續(xù)性保護機制。FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性要求工控系統(tǒng)現(xiàn)場測控設(shè)備即使發(fā)生故障也能保證重要的業(yè)務(wù)功能。要求說明設(shè)備應(yīng)提供自動保護功能，應(yīng)在出現(xiàn)故障或中斷時（軟件錯誤、緩沖區(qū)溢出、數(shù)據(jù)泛洪等），當故障發(fā)生時自動保護重要狀態(tài)信息和進程，保證設(shè)備能夠進行恢復(fù)。典型的機制包括看門狗進程。要求加強FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性的加強要求包括：工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備故障或中斷通知報警功能。依賴要求FUC_ATU.1。FRA_BUC.2設(shè)備備份要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)直接或依靠其他工具提供備份功能，進行應(yīng)用級和系統(tǒng)級信息（包括系統(tǒng)安全狀態(tài)信息）的備份。要求說明備份的功能和方法應(yīng)在用戶手冊中說明。要求加強FRA_BUC.2設(shè)備備份的加強要求包括：設(shè)備應(yīng)能夠驗證備份機制的可靠性和備份信息的完整性。依賴要求無。FRA_BUC.3設(shè)備恢復(fù)要求工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)具備在中斷或故障后，恢復(fù)和重構(gòu)到已知安全狀態(tài)的能力。要求說明工控系統(tǒng)現(xiàn)場測控設(shè)備應(yīng)提供恢復(fù)功能，讓用戶可以在中斷或故障后恢復(fù)并重組以前保存?zhèn)浞荨Ｒ蠹訌姛o。依賴要求無。FRA_BUC.4緊急電源要求工控系統(tǒng)現(xiàn)場測控設(shè)備或附屬組件應(yīng)支持不影響業(yè)務(wù)運行的情況下的緊急電源切換。要求說明無。要求加強無。依賴要求無。

（規(guī)范性附錄）

安全功能要求匯總表安全功能要求匯總表見表A.1。安全功能要求匯總表要求類（6）要求族（18）要求項（58）FIA類：標識與認證控制FIA_IAM族：標識與認證方式FIA_IAM.1標識及方式FIA_IAM.2認證及方式FIA_IDM族：標識符管理FIA_IDM.1用戶ID管理FIA_ARM族：認證碼管理FIA_ARM.1口令修改FIA_ARM.2口令更換周期FIA_ARM.3口令強度控制FIA_ARM.4口令失效機制FIA_ARM.5證書及公私鑰管理FIA_ARM.6對稱密鑰管理FIA_ARM.7密碼學(xué)服務(wù)失效FIA_LGM族：登錄管理FIA_LGM.1登錄失敗管理FIA_LGM.2登錄成功記錄FIA_LGM.3展示登錄歷史FIA_LGM.4多次登錄失敗行為FIA_LGM.5認證反饋FUC類：使用控制FUC_ACA族：訪問控制授權(quán)FUC_ACA.1授權(quán)項管理FUC_ACA.2基于角色的訪問控制FUC_ACA.3管理員用戶FUC_ACA.4最小權(quán)限原則FUC_ACA.5分權(quán)管理FUC_SEC族：會話控制FUC_SEC.1本地會話超時鎖定FUC_SEC.2網(wǎng)絡(luò)會話超時終止FUC_ATC族：審計內(nèi)容的產(chǎn)生FUC_ATC.1審計事件FUC_ATC.2審計記錄的內(nèi)容FUC_ATC.3審計的時間戳FUC_ATC.4用戶關(guān)聯(lián)FUC_ATS族：審計信息的存儲FUC_ATS.1審計容量FUC_ATS.2審計故障告警FUC_ATS.3審計信息保護表A.1（續(xù)）要求類（6）要求族（18）要求項（58）FUC類：使用控制FUC_ATR族：審計信息的查閱FUC_ATR.1讀取審計信息FUC_ATR.2系統(tǒng)范圍審計FUC_ATR.3審計報告的生成FDI類：數(shù)據(jù)完整性FDI_DSI族：數(shù)據(jù)存儲完整性FDI_DSI.1安全功能檢測FDI_DSI.2錯誤處理FDI_DSI.3應(yīng)用特定語法驗證FDI_DSI.4數(shù)據(jù)的非可執(zhí)行性FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護FDI_DSI.6寫入保護FDI_DTI族：數(shù)據(jù)傳輸完整性FDI_DTI.1數(shù)據(jù)包插入FDI_DTI.2數(shù)據(jù)包刪除FDI_DTI.3數(shù)據(jù)包過分延遲FDI_DTI.4數(shù)據(jù)包重放FDI_DTI.5數(shù)據(jù)防篡改FDI_DTI.6會話保護FDC類：數(shù)據(jù)保密性FDC_CRM族：加密機制FDC_CRM.1加密機制FDC_DSC族：存儲數(shù)據(jù)的保密性保護FDC_DSC.1存儲數(shù)據(jù)的保密性保護FDC_DTC族：傳輸數(shù)據(jù)保密性FDC_DTC.1傳輸數(shù)據(jù)的保密性保護FDF類：受限的信息流FDF_NAC族：網(wǎng)絡(luò)訪問控制FDF_NAC.1禁用不使用端口FDF_NAC.2信息流控制FDF_NAC.3無線訪問FDF_DFP族：功能分區(qū)FDF_DFP.1應(yīng)用分區(qū)FDF_DFP.2安全功能隔離FRA類：資源可用性FRA_DSP族：拒絕服務(wù)保護FRA_DSP.1數(shù)據(jù)泛洪保護FRA_DSP.2協(xié)議fuzz保護FRA_BUC族：業(yè)務(wù)連續(xù)性FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性FRA_BUC.2設(shè)備備份FRA_BUC.3設(shè)備恢復(fù)FRA_BUC.4緊急電源

（資料性附錄）

工控系統(tǒng)安全級及設(shè)備安全功能要求與能力安全級對應(yīng)關(guān)系此附錄的B.1、B.2和B.3主要引用自ISA-62443-3-3(99.03.03)Draft4，是用于幫助讀者更好的理解工業(yè)控制系統(tǒng)安全級的概念。此附錄是資料性附錄，將被同系列標準中分級標準的規(guī)范性內(nèi)容取代。概述安全相關(guān)系統(tǒng)使用安全完整性等級的概念(SIL)已近二十年。這使組件的安全功能完整性能力或部署系統(tǒng)的安全完整性等級可用一個數(shù)字表示，這個數(shù)字定義了基于組件或系統(tǒng)的失效概率的保證HSE的保護因數(shù)。由于隨機硬件失效引起組件或系統(tǒng)失效的可能性可以用量化，因此確定安全相關(guān)系統(tǒng)保護因數(shù)的過程雖然復(fù)雜但是可控的。整體的風(fēng)險可以根據(jù)失效對HSE的潛在影響計算出來。信息安全相關(guān)系統(tǒng)具有更廣泛的應(yīng)用，一組更廣泛的影響和一套更廣泛的可能情況會導(dǎo)致一個可能事件。信息安全相關(guān)系統(tǒng)是為了保護HSE，但同時也是為了保護工業(yè)過程本身，公司的知識產(chǎn)權(quán)信息，公眾信心和國家安全等可能并不是隨機硬件失效導(dǎo)致的情況。在某些情況下，可能是一個善意的員工犯的一個錯誤，而在其他情況下，可能是一個狡猾的攻擊者發(fā)起的攻擊并隱藏證據(jù)。相較于安全相關(guān)系統(tǒng)，信息安全系統(tǒng)的復(fù)雜性使得量化保護因素變得更加困難。工業(yè)控制系統(tǒng)安全級定義SL提供了一個定性的方法來定義一個區(qū)域的安全。作為一種定性方法，SL的定義適用于比較和管理一個組織的多個區(qū)域的安全。隨著越來越多的數(shù)據(jù)的獲得以及風(fēng)險，威脅和安全事故的數(shù)學(xué)表示方式的形成，這一概念將變成一套選擇和驗證SL的定量方法。它將不僅適用于用戶公司、還將適用于工業(yè)控制系統(tǒng)供應(yīng)商和安全產(chǎn)品。它將被用來選擇一個區(qū)域內(nèi)使用的工業(yè)控制系統(tǒng)設(shè)備和安全措施，并可用來識別和比較跨行業(yè)的不同組織的區(qū)域的安全。在標準制定的初始階段，ISA-62443系列標準傾向于使用定性的SL，使用如“低”、“中”、“高”這類內(nèi)容。資產(chǎn)所有者應(yīng)根據(jù)這種分級方式，提出他們的特定的應(yīng)用程序的分級方法的定義。ISA-62443系列的長期目標是形成盡可能多的安全級及量化的描述、需求和指標的要求，以建立起跨多個企業(yè)和行業(yè)的可重復(fù)應(yīng)用的標準。實現(xiàn)這一目標需要花一些時間，因為需要通過很多在工業(yè)安全系統(tǒng)應(yīng)用標準和數(shù)據(jù)的經(jīng)驗來驗證定量方法。當映射要求到不同的SL，標準開發(fā)人員需要一些參考框架去描述不同的SL表達了什么意義以及不同SL之間的區(qū)別。這個附錄的目的就是提出這樣的一個參考的框架。安全級類型SL分為三種不同類型：TSL、ASL和CSL。這些類型均與安全生命周期的不同方面相關(guān)。TSL是一個具體的工業(yè)控制系統(tǒng)需要達到的安全級。目標安全級是根據(jù)具體系統(tǒng)的風(fēng)險評估結(jié)果來判定保證系統(tǒng)的正常運行需要達到的安全水平。。ASL是一個具體的工業(yè)控制系統(tǒng)實際達到的安全級。具體的系統(tǒng)設(shè)計完成或上線后進行達到的安全級的測量，達到的安全級用于表明系統(tǒng)滿足目標安全級要求的內(nèi)容。CSL正確的進行安全配置后組件或系統(tǒng)能夠達到的安全級。CSL闡述了一個具體的組件或系統(tǒng)在不使用額外的補償性的措施的情況下，僅僅通過正確配置和集成能夠滿足TSL的水平。根據(jù)ISA-62443系列，TSL、ASL和CSL將用于安全生命周期的不同階段。從一個具體系統(tǒng)的目標開始，一個組織需要建立一個包括事先所需期望目標能力的設(shè)計。換句話說，設(shè)計團隊首先制定具體系統(tǒng)所必需的TSL，然后設(shè)計實現(xiàn)這些目標的系統(tǒng)，這通常是用一個迭代的過程，每次迭代后將具體系統(tǒng)的ASL與TSL進行測量和比較。作為設(shè)計過程的一部分，系統(tǒng)設(shè)計者會選擇具備必要的CSL的組件和系統(tǒng)來滿足TSL中的要求，但當無法獲得這樣的系統(tǒng)和組件時，使用補償措施對現(xiàn)有的組件和系統(tǒng)進行補充。在系統(tǒng)投入使用后，實際測量出的安全級即ASL，將用于與最初設(shè)定的TSL進行比較。氯卡車裝載站控制系統(tǒng)示例使用安全級當設(shè)計一個新系統(tǒng)或升級現(xiàn)有的系統(tǒng)的安全時，第一步是將系統(tǒng)分解成不同的區(qū)域并定義這些區(qū)域之間的必要的管道。如何完成這一過程的詳細信息在ISA-62443-3-2（99.03.02）給出。建立系統(tǒng)區(qū)域模型后，根據(jù)風(fēng)險分析結(jié)果，每個區(qū)域和管道被分配了一個描述期望安全水平的TSL。在這最初的區(qū)域和管道分析階段，沒有必要完成詳細的系統(tǒng)設(shè)計，只要描述為了滿足安全目標的區(qū)域資產(chǎn)及區(qū)域間的連接所需具備的功能就足夠了。制造廠控制系統(tǒng)示例圖B.1和圖B.2是將系統(tǒng)分解為由管道連接的不同區(qū)域的示例。圖B.1表示的是一個氯卡車裝載站控制系統(tǒng)，這張圖的完整的用例將在ISA-TR62443-1-4（TR99.01.04）討論。它由五個區(qū)域組成：基本的過程控制系統(tǒng)（BPCS）、安全儀表系統(tǒng)（SIS）、控制中心、控制區(qū)DMZ和企業(yè)信息網(wǎng)。BPCS和SIS都使用PLC，只不過操作裝載站的不同部分，SIS使用一個特殊的用于安全相關(guān)系統(tǒng)的功能安全PLC（FS-PLC）。這兩個PLC通過不可路由的串行接口或以太網(wǎng)連接，并配備了邊界防護設(shè)備。每個PLC都通過一個本地交換機連接編程工程師站和HMI操作員站。BPCS和SIS區(qū)還包含儀表資產(chǎn)管理系統(tǒng)(IAMS)用于測量和測試儀表。控制中心包含多個工作站，并與控制區(qū)DMZ連接。BPCS也與控制區(qū)DMZ連接?？刂茀^(qū)DMZ可以覆蓋各種組件和系統(tǒng)，例如歷史數(shù)據(jù)庫和圖示中的維護工作站?？刂茀^(qū)DMZ如圖連接到包含企業(yè)無線局域網(wǎng)(WLAN)和Web服務(wù)器的企業(yè)信息網(wǎng)絡(luò)。圖中所示的多個域控制器和邊界防護設(shè)備用來表示一些可能適用于改善安全的措施。圖B.2是一個制造廠的示例。它定義了四個區(qū)域：企業(yè)網(wǎng)絡(luò)、工業(yè)/企業(yè)DMZ和兩個工業(yè)網(wǎng)絡(luò)。企業(yè)網(wǎng)中有WLAN，并與互聯(lián)網(wǎng)連接。很多公司在重要的系統(tǒng)部分之間使用DMZ來隔離網(wǎng)絡(luò)流量。在這個例子中，每個工業(yè)網(wǎng)絡(luò)用他們自己的PLC、現(xiàn)場設(shè)備和HMI，彼此之間獨立運行。在確定TSL后，系統(tǒng)可被設(shè)計或重新設(shè)計以達到TSL。設(shè)計過程通常要迭代多次，因為系統(tǒng)設(shè)計要與目標進行多次比較檢查。ISA-62443系列的多個部分包含系統(tǒng)設(shè)計的不同方面的程序和技術(shù)要求的指導(dǎo)。ISA-62443-2-1(99.02.01)提供在設(shè)計過程程序方面的指導(dǎo)，而ISA-62443-3-3和ISA-62443-4-2（99.04.02）中定義了系統(tǒng)級和組件級的技術(shù)安全要求及CSL。在系統(tǒng)設(shè)計過程中，需要評估不同的組件和子系統(tǒng)的安全能力。產(chǎn)品供應(yīng)商應(yīng)提供組件或系統(tǒng)的CSL數(shù)據(jù)，這是通過與ISA-62443系列中定義的不同CSL的要求進行比較得出的。產(chǎn)品的CSL可以用來確定一個特定的組件或系統(tǒng)是否能夠滿足系統(tǒng)的TSL。產(chǎn)品供應(yīng)商或系統(tǒng)集成商還必須提供為滿足聲明的SL的組件或系統(tǒng)的配置指南。一個特定的設(shè)計的一些組件或系統(tǒng)很有可能不能完全滿足TSL。當組件或系統(tǒng)的CSL低于TSL時，為達到TSL可以考慮采用補償措施。補償措施可能包括改變組件或系統(tǒng)的設(shè)計以增強其安全能力，選擇其它組件或系統(tǒng)或添加額外的組件或系統(tǒng)。在設(shè)計過程中的每次迭代后，應(yīng)重新評估系統(tǒng)設(shè)計的ASL，判斷其與TSL的差距。一旦系統(tǒng)設(shè)計被批準和實施，系統(tǒng)需要被評估以防止或減輕系統(tǒng)安全級的降低。評估應(yīng)該發(fā)生系統(tǒng)變更期間或變更后并定期進行。ISA-62443-2-1（99.02.01）提供了運行安全程序的必要步驟和如何評估其有效性的指南。在確定ASL后，需要評估系統(tǒng)是否仍滿足最初設(shè)定的TSL（例如，使用ISA-62443-3-3（99.03.03）中的系統(tǒng)要求)。如果系統(tǒng)不滿足，則可能有多種原因，如缺少對程序的維護或重新設(shè)計部分系統(tǒng)。本質(zhì)上，控制系統(tǒng)安全能力的確定與使用場景無關(guān)，但用在給定場景中以達到系統(tǒng)架構(gòu)、區(qū)域和（/或）連接管道的TSL。級別描述概述ISA-62443系列定義了五個級別(0，1，2，3，4)的SL，安全水平逐級增加。SL的定義取決于防護逐漸復(fù)雜的威脅的能力，而且不同類型SL是有區(qū)別的。CSL是指一個具體的組件或系統(tǒng)能夠被資產(chǎn)所有者或系統(tǒng)集成商進行配置，以達到防御逐漸復(fù)雜的威脅的能力水平。TSL是指通過風(fēng)險評估，資產(chǎn)所有者或系統(tǒng)集成商確定他們需要保護的具體區(qū)域、系統(tǒng)或組件應(yīng)具備的抵御威脅的級別。ASL指資產(chǎn)所有者、系統(tǒng)集成商、產(chǎn)品供應(yīng)商和（/或）他們聯(lián)合起來在對一個具體區(qū)域、系統(tǒng)或組件進行配置后，其能夠滿足的級別。每個級別的SL的描述中特意使用的模糊的術(shù)語如巧合的、簡單的和復(fù)雜的等，是為了能夠在ISA-62443系列中所有的文檔中通用。本系列中的每一個文檔都將定義適用于特定目的的SL的具體要求。雖然不同級別的SL的要求在ISA-62443系列將有所不同，但需要形成每個級別的SL應(yīng)防護什么的普遍理解。以下章節(jié)將對如何區(qū)分不同級別的SL上提供指南。SL0:沒有具體要求或安全防護的必要取決于應(yīng)用場景，SL0有多個含義。當定義CSL時，SL0意味著組件或系統(tǒng)無法滿足某個類中SL1的一些要求，這些組件或系統(tǒng)可能是一個比較大的區(qū)域的一部分，該區(qū)域中其他組件或系統(tǒng)會提供補償措施。在定義具體區(qū)域的TSL時，SL0意味資產(chǎn)所有者根據(jù)風(fēng)險分析的結(jié)果，判定組件或系統(tǒng)上在具體的類中所必須達到的安全水平低于完整的SL1規(guī)定的要求。這更有可能發(fā)生在系統(tǒng)或區(qū)域中的對整體的安全要求實現(xiàn)沒有幫助的單個組件上。定義ASL時，SL0意味著具體區(qū)域無法滿足某個類中SL1的一些要求。SL1:防護偶然或巧合性的信息安全違規(guī)行為偶然或巧合的對信息安全的違規(guī)行為往往是安全策略執(zhí)行過于寬松導(dǎo)致的。普通員工或外部攻擊都可能導(dǎo)致這種情況。許多這樣的違規(guī)均與安全程序相關(guān)，可以通過加強的策略和章程的執(zhí)行來防止。以圖B.1中的系統(tǒng)為例，操作員通過工程師站對BPCS區(qū)域中的一個定值進行修改，并且修改為了工程師不能夠設(shè)定的范圍內(nèi)的值，這就構(gòu)成了一個偶然或巧合的信息安全違規(guī)行為。造成這一情況的原因是系統(tǒng)沒有對操作員的變更行為進行適當?shù)纳矸蒡炞C和使用控制。仍以圖B.1中的系統(tǒng)為例，口令以明文在連接BPCS區(qū)和DMZ區(qū)管道中傳輸，網(wǎng)絡(luò)工程師在對系統(tǒng)進行診斷故障時就可以看到明文的口令，系統(tǒng)沒有實施適當?shù)臄?shù)據(jù)保密來保護口令。以圖B.2中的系統(tǒng)為例，一個工程師試圖訪問工業(yè)網(wǎng)絡(luò)1中的PLC，但實際上訪問工業(yè)網(wǎng)絡(luò)2中的PLC，系統(tǒng)沒有執(zhí)行適當?shù)臄?shù)據(jù)流限制來阻止工程師訪問錯誤的系統(tǒng)。SL2:防護利用較少資源、一般技術(shù)和較低動機的簡單手段的攻擊簡單手段不需要攻擊者有太多知識儲備。攻擊者不需要知道信息安全、被攻擊的區(qū)域或具體系統(tǒng)的詳細指示。攻擊方法往往是眾所周知的，可能還有輔助性的自動化攻擊工具。這些攻擊一般是為了對大量系統(tǒng)進行攻擊而設(shè)計，并不是針對一個特定的系統(tǒng)，所以攻擊者不需要具備很強的動機或很多資源。以圖B.1中系統(tǒng)為例，病毒感染了控制系統(tǒng)DMZ中的維護工作站，并傳播到了BPCS中的工程師工作站，因為他們都使用相同的通用操作系統(tǒng)。以圖B.2中的系統(tǒng)為例，攻擊者使用從Internet上下載的攻擊工具，利用通用操作系統(tǒng)的已知公開漏洞，破壞了企業(yè)網(wǎng)絡(luò)中的web服務(wù)器。攻擊者可以利用web服務(wù)器作為跳板對企業(yè)網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)中其它系統(tǒng)發(fā)起攻擊。以圖B.2中系統(tǒng)為例，操作員使用工業(yè)網(wǎng)絡(luò)1中的HMI瀏覽一個網(wǎng)站，結(jié)果下載了木馬，導(dǎo)致Internet上的攻擊者可以直接訪問工業(yè)網(wǎng)絡(luò)1。SL3:防護利用中等資源、IACS特殊技術(shù)和中等的動機的復(fù)雜手段的攻擊復(fù)雜的手段需要對信息安全、對應(yīng)工控領(lǐng)域和目標系統(tǒng)深入的了解和知識積累。攻擊者攻擊SL3系統(tǒng)時，可能會使用為特定目標系統(tǒng)設(shè)計的攻擊方案。攻擊者可能會利用較新的操作系統(tǒng)漏洞、工業(yè)協(xié)議的缺陷，特定目標的具體信息來發(fā)起攻擊，或通過其他比SL1或SL2需要更大的動機以及需要更多知識的方式來發(fā)起攻擊。使用基于哈希表的口令或密鑰破解工具就是一個典型的使用復(fù)雜手段的攻擊的例子。這些工具可以直接從Internet上下載，但使用這些工具需要一定知識(如需要破解的口令的哈希值)。以圖B.1中系統(tǒng)為例，攻擊者通過以太網(wǎng)控制器中的一個漏洞進入控制PLC，而后通過串行接口訪問FS-PLC。以圖B.2中系統(tǒng)為例，攻擊者從企業(yè)無線網(wǎng)暴力破解工業(yè)/企業(yè)DMZ的防火墻接入歷史數(shù)據(jù)服務(wù)器。SL4:防護使用擴展資源、IACS特殊技術(shù)和較高動機的復(fù)雜手段的攻擊SL4和SL3非常相似，它們都涉及到使用復(fù)雜的手段入侵系統(tǒng)。SL4與SL3的差異在于攻擊者動機更強，而且可以支配的資源更多，比如高性能的計算資源、大量的計算機或長時期的專職攻擊時間。使用超級計算機或計算機集群，采用大的哈希表強力破解口令就是一個利用擴展資源和復(fù)雜手段的攻擊的例子。其他典型攻擊還包括同時使用多種攻擊手段形成僵尸網(wǎng)絡(luò)來攻擊一個特定系統(tǒng)、擁有大量資源和攻擊動機的犯罪組織長期對目標系統(tǒng)進行分析并開發(fā)自定義的“0day”漏洞攻擊工具。設(shè)備的能力安全級設(shè)備能力安全級與工控系統(tǒng)安全級的關(guān)系工業(yè)控制系統(tǒng)安全級通過描述抵御不同強度攻擊的信心水平來表示系統(tǒng)的安全保障水平。系統(tǒng)整體的安全保障水平的實現(xiàn)是通過系統(tǒng)安全防護的整體設(shè)計；現(xiàn)場設(shè)備、網(wǎng)絡(luò)、主機到應(yīng)用等各個組件的安全配置；防火墻和入侵檢測系統(tǒng)等安全防護設(shè)備的使用等系統(tǒng)信息安全多方面防護技術(shù)協(xié)同工作的結(jié)果?，F(xiàn)場測控設(shè)備作為工業(yè)控制系統(tǒng)的組件之一，其所具備的信息安全能力會對系統(tǒng)整體的信息安全水平產(chǎn)生影響。但根據(jù)不同設(shè)備的功能及所處位置的不同，其信息安全水平對系統(tǒng)的影響程度也不同。如220kV變電站中的220kV線路上的繼電保護裝置與同一變電站中的故障錄波裝置同屬于變電站自動化系統(tǒng)的現(xiàn)場測控設(shè)備，但是故障錄波裝置的信息安全事件（被入侵或故障）僅會影響工程師進行故障診斷工作，不會對變電站自動化系統(tǒng)的信息安全水平產(chǎn)生影響，而220kV線路上的繼電保護裝置遭遇同樣的信息安全攻擊時，可能會導(dǎo)致線路上供電中斷甚至整個系統(tǒng)的信息安全問題。因此為達到該220kV變電站的自動化系統(tǒng)的TSL，繼電保護裝置的CSL應(yīng)高于故障錄波裝置的CSL，比如繼電保護裝置應(yīng)具備嚴格的訪問控制安全功能，而故障錄波裝置只要具有一定的用戶標識功能即可。同一工業(yè)控制系統(tǒng)中所有現(xiàn)場測控設(shè)備的CSL與系統(tǒng)的TSL并不是完全相等的，而應(yīng)根據(jù)設(shè)定TSL時系統(tǒng)需要抵御的風(fēng)險、設(shè)備對于系統(tǒng)風(fēng)險的影響程度、與設(shè)備相關(guān)的安全網(wǎng)關(guān)等防護措施使用情況等因素來確定需要的設(shè)備的CSL。CSL可用于用戶對不同產(chǎn)品進行比較，也可用于測評機構(gòu)對不同產(chǎn)品進行安全能力水平評價。當用戶選購工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備時，也可以根據(jù)其所在的系統(tǒng)的實際信息安全風(fēng)險需求來對本標準中的安全功能要求項進行裁減或增加形成采購指標，并不需要完全采用各級CSL中的完整要求項。級別描述概述為與B.2中工業(yè)控制系統(tǒng)安全級相對應(yīng)，設(shè)備的能力安全級，即設(shè)備CSL，劃分為四個級別(0，1，2，3，4)。每個級別將通過描述設(shè)備具備的安全功能特點來說明設(shè)備自身抗擊攻擊的能力。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備CSL0：不具備標識與認證能力標識與認證安全功能是現(xiàn)場測控設(shè)備最基本的安全能力，如果設(shè)備不具備標識與認證的能力，通常無法完成訪問控制、審計等其他安全功能。當工業(yè)控制系統(tǒng)沒有具體要求或安全防護的必要時，系統(tǒng)的安全級為SL0。當設(shè)定系統(tǒng)TSL時，不需要某一現(xiàn)場測控設(shè)備具備安全功能，那么可以使用能力級為CSL0及以上的設(shè)備。在對設(shè)備的安全能力進行評價時，當設(shè)備所達到的安全水平低于完整的CSL1規(guī)定的要求時，設(shè)備的安全能力被判定為CSL0。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備CSL1：具備標識與認證功能，防護偶然或巧合性的信息安全違規(guī)行為CSL1要求設(shè)備具備最基本的標識與認證和權(quán)限劃分的信息安全功能，同時具備備份等可靠性機制。當設(shè)備對用戶進行了標識、劃分了權(quán)限并在用戶進行操作前進行認證，就能防止運行人員修改只有維護人員才能修改的定值等誤操作行為。在對設(shè)備的安全能力進行評價時，當設(shè)備所達到的安全水平滿足完整的CSL1規(guī)定的要求、但低于完整的CSL2規(guī)定的要求時，設(shè)備的安全能力被判定為CSL1。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備CSL2：具備訪問控制功能，防護利用較少資源、一般技術(shù)和較低動機的簡單手段的攻擊CSL2要求設(shè)備具備一定的標識與認證、訪問控制、數(shù)據(jù)完整性與保密性、資源可用性的信息安全功能。當設(shè)備具備了訪問控制與數(shù)據(jù)完整性保護功能后，攻擊者僅使用簡單的攻擊方式或利用公開的攻擊攻擊很難入侵設(shè)備或?qū)υO(shè)備的運行造成影響。如當設(shè)備具備了基于IP/MAC地址綁定的訪問控制后，攻擊者僅知道目標設(shè)備的IP地址，無法訪問設(shè)備以發(fā)氣攻擊；當設(shè)備具備了傳輸數(shù)據(jù)的完整性保護功能，攻擊者無法通過在網(wǎng)絡(luò)上篡改主站發(fā)送給設(shè)備的命令，來修改設(shè)備的定值或運行狀態(tài)。在對設(shè)備的安全能力進行評價時，當設(shè)備所達到的安全水平滿足完整的CSL2規(guī)定的要求、但低于完整的CSL3規(guī)定的要求時，設(shè)備的安全能力被判定為CSL2。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備CSL3：具備審計功能，防護利用中等資源、IACS特殊技術(shù)和中等的動機的復(fù)雜手段的攻擊CSL3要求設(shè)備具備較完備的標識與認證、訪問控制、數(shù)據(jù)完整性與保密性、資源可用性的信息安全功能，并具備審計能力。當設(shè)備具備了能夠容忍針對通信協(xié)議fuzz的能力，即使攻擊者了解設(shè)備采用的協(xié)議、并發(fā)起協(xié)議fuzz攻擊也無法對設(shè)備的運行造成影響。當設(shè)備具備了將數(shù)據(jù)和可執(zhí)行代碼分別存儲在不同的內(nèi)存空間、并限制數(shù)據(jù)內(nèi)存空間中可執(zhí)行代碼的運行，攻擊者即使了解設(shè)備的軟硬件結(jié)構(gòu)，意圖通過網(wǎng)絡(luò)向設(shè)備上傳可執(zhí)行代碼以對設(shè)備實施控制，也不無法得逞。盡管安全審計是信息系統(tǒng)應(yīng)具備的最基本的能力，但由于目前工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備的存儲和處理能力有限，具備審計對于設(shè)備存在難度，因此在CSL3才要求設(shè)備具備安全審計功能。在對設(shè)備的安全能力進行評價時，當設(shè)備所達到的安全水平滿足完整的CSL3規(guī)定的要求、但低于完整的CSL4規(guī)定的要求時，設(shè)備的安全能力被判定為CSL3。工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備CSL4：安全功能可管理，防護使用擴展資源、IACS特殊技術(shù)和較高動機的復(fù)雜手段的攻擊CSL4要求設(shè)備在具備CSL3規(guī)定的能力的基礎(chǔ)上，標識與認證的要求強度更大，管理員賬戶可以對安全功能進行配置。當設(shè)備在所有遠程網(wǎng)絡(luò)接口上都使用雙因數(shù)認證后，攻擊者除非通過社會工程攻擊獲得或偷取授權(quán)用戶的認證憑證，否則想通過網(wǎng)絡(luò)遠程接入設(shè)備的可能性大大下降。當設(shè)備具備基于密碼學(xué)的靜態(tài)數(shù)據(jù)未授權(quán)修改的防護機制時，抵御攻擊者篡改操作系統(tǒng)或配置數(shù)據(jù)的能力增強，攻擊者想發(fā)起此類攻擊，需要更多的資源和更長的攻擊時間。高動機的利用復(fù)雜手段的信息安全攻擊往往要針對系統(tǒng)的多個層面進行設(shè)計，極少會針對單一設(shè)備發(fā)起。管理員可以對安全功能管理