《信息安全技術工業(yè)控制系統(tǒng)專用防火墻技術要求》

GB/TXXXXX—XXXX

信息安全技術工業(yè)控制系統(tǒng)專用防火墻技術要求

1范圍

本標準規(guī)定了工業(yè)控制系統(tǒng)專用防火墻（以下簡稱工控防火墻）的安全技術要求。

本標準適用于工控防火墻的設計、開發(fā)與測試。

本標準適用于工程設計方、設備生產(chǎn)商、系統(tǒng)集成商、用戶以及評估認證機構等。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20281信息安全技術防火墻安全技術要求和測試評價方法

GB/T25069信息安全技術術語

GB/T18336.1信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型

GB/T18336.2信息技術安全技術信息技術安全性評估準則第2部分:安全功能要求

GB/T18336.3信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求

GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分評估規(guī)范

GB/T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分驗收規(guī)范

GB/Txxxxx集散控制系統(tǒng)（DCS）安全防護標準

3術語和定義

GB/T25069界定的以及下列術語和定義適用于本文件。

3.1

工業(yè)控制系統(tǒng)專用防火墻industrialfirewall

可應用于工業(yè)控制環(huán)境，對工業(yè)控制系統(tǒng)邊界以及工業(yè)控制系統(tǒng)內(nèi)部不同控制域之間進行邊界保

護，并滿足特定工業(yè)環(huán)境和功能要求的防火墻。

根據(jù)工控防火墻在工控系統(tǒng)中保護對象的不同，又可細分為部署域間工控防火墻和部署現(xiàn)場控制層

工控防火墻，附錄C為工控防火墻典型應用。圖C.1，C.2為部署域間的工控防火墻，圖C.3為部署現(xiàn)場控

制層工控防火墻。

3.2

深度包檢測deeppacketinspection

基于應用層的流量檢測和控制技術，通過讀取IP包載荷的內(nèi)容并對應用層信息進行重組，從而得到

整個應用程序的內(nèi)容，然后按照系統(tǒng)定義的策略對內(nèi)容進行相應處置。

（GB/T20281-2015，定義3.2）

1

GB/TXXXXX—XXXX

3.3

深度內(nèi)容檢測deepcontentinspection

能夠?qū)脜f(xié)議的深入解析，識別出協(xié)議中的各種要素（如http協(xié)議，可具體解析到如cookie、Get

參數(shù)、Post表單等）以及協(xié)議所承載的業(yè)務內(nèi)容（如業(yè)務系統(tǒng)交互中包含在協(xié)議或文件中的數(shù)據(jù)內(nèi)容），

并對這些數(shù)據(jù)進行快速的解析，以還原其原始通信的信息。根據(jù)這些解析后的原始信息，可以檢測其是

否包含威脅以及敏感內(nèi)容。

（GB/T20281-2015，定義3.3）

4縮略語

下列縮略語適用于本文件。

DMZ：非軍事區(qū)（DemilitarizedZone）

DNAT：目的網(wǎng)絡地址轉換（DestinationNAT）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

ICMP：互聯(lián)網(wǎng)控制報文協(xié)議（InternetControlMessagesProtocol）

IP：網(wǎng)際協(xié)議（InternetProtocol）

MAC：介質(zhì)訪問控制（MediaAccessControl）

NAT：網(wǎng)絡地址轉換（NetworkAddressTranslation）

OPC：用于過程控制的OLE（ObjectLinkingandEmbedding（OLE）forProcessControl）

SNAT：源網(wǎng)絡地址轉換（SourceIPNAT）

TCP：傳輸控制協(xié)議（TransportControlProtocol）

UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

5安全技術要求

5.1總體說明

本標準參考GB/T20281關于IT防火墻技術分類和安全功能的強度劃分方式，從安全技術要求方面將

工控防火墻分為安全功能、安全保證兩個大類，從安全功能的強度方面將工控防火墻分為基礎級和增強

級。其中安全功能要求在GB/T20281的基礎上進行增、減等修改，以滿足工業(yè)應用的特殊要求。安全保

證要求則仍然采用GB/T20281的相關規(guī)定。GB/T20281中關于IT防火墻安全功能強度等級的適用性仍適

用于本標準。表1為工控防火墻安全功能要求表，表中“加粗字體”為工控防火墻相對于IT防火墻新增

安全功能要求。在具體技術要求部分，與基本級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文

中通過“字體加粗”表示。

2

GB/TXXXXX—XXXX

表1工控防火墻安全功能要求

基本級增強級

安全功能要求

部署域間部署現(xiàn)場控制層部署域間部署現(xiàn)場控制層

包過濾******

網(wǎng)絡

NAT————*——

層控

狀態(tài)檢測****

制

動態(tài)開放端口*——*——

表1（續(xù))

基本級增強級

安全功能要求

部署域間部署現(xiàn)場控制層部署域間部署現(xiàn)場控制層

IP/MAC地址綁定****

連接數(shù)控制****

*

網(wǎng)絡流量會話管會話管理————*

層控理流量監(jiān)測————*——

制帶寬監(jiān)測————*——

抗拒絕服務攻擊****

網(wǎng)絡掃描防護****

應用應用協(xié)議控制******

層控

工業(yè)協(xié)議深度內(nèi)容檢測————**

制

運維管理******

安全審計******

日志管理******

安全安全支撐系統(tǒng)****

管理異常處理機制****

安全

旁路保護****

運維

多工作模式******

管理

安全策略無擾下裝****

高可

時鐘同步****

用性

電源冗余------*

散熱方式------*

雙機熱備----*--

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

3

GB/TXXXXX—XXXX

5.2基本級安全要求

5.2.1安全功能要求

網(wǎng)絡層控制

.1包過濾

工控防火墻的包過濾要求如下：

a)安全策略應使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應包含基于源IP地址、目的IP地址的訪問控制；

c)安全策略應包含基于源端口、目的端口的訪問控制；

d)安全策略應包含基于協(xié)議類型的訪問控制；

e)安全策略可包含基于MAC地址的訪問控制；

f)應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部組合。

.2狀態(tài)檢測

工控防火墻應具備狀態(tài)檢測功能，支持基于狀態(tài)檢測技術的訪問控制。

.3動態(tài)端口開放

工控防火墻應具備動態(tài)開放端口功能，應至少支持OPC、FTP。

.4IP/MAC地址綁定

工控防火墻應支持自動或管理員手工綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜用IP地址的

主機經(jīng)過工控防火墻的各種訪問。

.5流量會話管理

工控防火墻應能夠設置單IP的最大會話數(shù)，防止大量非合規(guī)連接產(chǎn)生時影響網(wǎng)絡的性能。

.6抗拒絕服務攻擊

工控防火墻應具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：

a)ICMPFlood攻擊；

b)UDPFlood攻擊；

c)SYNFlood攻擊；

d)TearDrop攻擊；

e)Land攻擊；

f)超大ICMP數(shù)據(jù)攻擊。

.7網(wǎng)絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網(wǎng)絡的掃描。

應用層控制

工控防火墻應能識別并控制各種通用應用層協(xié)議及常用工業(yè)控制協(xié)議，具體技術要求如下：

4

GB/TXXXXX—XXXX

a)支持HTTP、FTP、Telnet等常見通用應用層協(xié)議；

b)支持至少一種工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet等。

安全運維管理

.1運維管理

工控防火墻應具備管理功能，具體技術要求如下：

a)支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求；

b)應在所有授權管理員、可信主機、主機和用戶請求執(zhí)行任何操作之前，對每個授權管理員、可

信主機、主機和用戶進行唯一的身份鑒別；

c)應具有登錄失敗處理功能，身份鑒別在經(jīng)過一個可設定的鑒別失敗最大次數(shù)后，工控防火墻應

終止可信主機或用戶建立的會話；

d)工控防火墻應為每一位規(guī)定的授權管理員、可信主機、主機和用戶提供一套唯一的為執(zhí)行安全

策略所必需的安全屬性；

e)應支持進行本地管理工控防火墻；

f)應支持通過網(wǎng)絡接口進行遠程管理，并可限定可進行遠程管理的網(wǎng)絡接口；

g)遠程管理過程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應非明文傳輸；

h)對于數(shù)據(jù)加密或者非明文的傳輸、存儲要求，需遵守國家密碼局的相關規(guī)定；

i)向授權管理員提供設置和修改安全管理相關的數(shù)據(jù)參數(shù)的功能；

j)向授權管理員提供設置、查詢和修改各種安全策略的功能；

k)向授權管理員提供管理審計日志的功能。

.2安全審計

工控防火墻應具備安全審計功能，具體技術要求如下：

a)記錄事件類型

1)試圖登錄工控防火墻管理端口和管理身份鑒別請求；

2)對工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設置，路由設置，管理用戶的增

加、刪除、修改，安全策略的配置等；

3)日志信息的備份、刪除、查找等；

4)從內(nèi)部網(wǎng)絡、外部網(wǎng)絡發(fā)起的試圖穿越或到達工控防火墻的違反安全策略的訪問請求；

5)被訪問控制策略允許、禁止的訪問請求；

6)檢測到的攻擊行為；

7)其他應該記錄的事件信息。

b)日志內(nèi)容

1)數(shù)據(jù)包的協(xié)議類型、源地址、目標地址、源端口和目標端口；

2)訪問控制發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒；

3)產(chǎn)生日志記錄的訪問控制策略執(zhí)行結果；

4)攻擊事件其他需要描述的信息；

5)工控防火墻操作事件發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒；

6)執(zhí)行操作的用戶、執(zhí)行操作的結果；

7)應根據(jù)日志內(nèi)容設置日志級別，包括但不限于調(diào)試、信息、警告、錯誤等多個級別。

.3日志管理

5

GB/TXXXXX—XXXX

工控防火墻應具備日志管理功能，具體技術要求如下

a)應只允許授權審計員能夠?qū)θ罩具M行讀取、存檔、導出、刪除和清空等操作；

b)應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等條件檢索的

能力，并且只允許授權審計員使用查閱工具；

c)審計事件應存儲于掉電非易失性存儲介質(zhì)中，且在存儲空間達到閾值時至少能夠通知授權審計

員。

.4安全管理

.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應滿足以下要求：

a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡服務；

b)不含任何導致產(chǎn)品權限丟失、拒絕服務等的安全漏洞。

.4.2異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術要求：

a)安全策略恢復到關機前的狀態(tài)；

b)日志信息不會丟失；

c)管理員重新鑒別。

.5高可用性

.5.1Bypass功能

部署在現(xiàn)場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現(xiàn)斷電或其他軟硬件故障

時，應使工控防火墻內(nèi)部接口與外部接口直接物理連通，保持內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的正常通信。

.5.2多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護系統(tǒng)的最小

影響，具體技術要求如下：

a)支持學習模式，工控防火墻記錄運行過程中經(jīng)過防火墻的所有策略、資產(chǎn)等信息，形成白名單

策略集；

b)支持驗證模式或測試模式，該模式下工控防火墻對白名單策略外的行為做告警，但不攔截；

c)支持工作模式，工控防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保護。

.5.3安全策略無擾下裝

進行工控防火墻安全策略應用時不應該影響正常的數(shù)據(jù)通信。

.5.4時鐘同步

工控防火墻應支持與時鐘服務器自動同步時鐘的功能。

5.2.2安全保證要求

工控防火墻基本級安全保證要求，按照IT防火墻標準GB/T20281中關于IT防火墻基本級安全保證要

求的規(guī)定執(zhí)行。

6

GB/TXXXXX—XXXX

5.3增強級安全要求

5.3.1安全功能要求

網(wǎng)絡層控制

.1包過濾

工控防火墻的包過濾要求如下：

a)安全策略應使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應包含基于源IP地址、目的IP地址的訪問控制；

c)安全策略應包含基于源端口、目的端口的訪問控制；

d)安全策略應包含基于協(xié)議類型的訪問控制；

e)安全策略可包含基于MAC地址的訪問控制；

f)安全策略可包含基于時間的訪問控制；

g)應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議類型和時間

的部分或全部組合。

.2NAT

部署域間的工控防火墻應具備NAT功能，具體技術要求如下：

a)應支持雙向NAT：SNAT和DNAT；

b)SNAT應至少可實現(xiàn)“多對一”地址轉換，使得內(nèi)部網(wǎng)絡主機訪問外部網(wǎng)絡時，其源IP地址被

轉換；

c)DNAT應至少可實現(xiàn)“一對多”地址轉換，將DMZ的IP地址/端口映射為外部網(wǎng)絡合法IP地址

/端口，使外部網(wǎng)絡主機通過訪問映射地址和端口實現(xiàn)對DMZ服務器的訪問。

.3狀態(tài)檢測

工控防火墻應具備狀態(tài)檢測功能，支持基于狀態(tài)檢測技術的訪問控制。

.4動態(tài)端口開放

工控防火墻應具備動態(tài)開放端口功能，應至少支持OPC、FTP。

.5IP/MAC地址綁定

工控防火墻應支持自動或管理員手工綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜用IP地址的

主機經(jīng)過工控防火墻的各種訪問。

.6流量會話管理

.6.1連接數(shù)控制

工控防火墻應能夠設置單IP的最大會話數(shù)，防止大量非合規(guī)連接產(chǎn)生時影響網(wǎng)絡的性能。

.6.2會話管理

工控防火墻應能夠在會話處于非活躍一定時間或會話結束后，終止網(wǎng)絡連接。

.6.3流量監(jiān)測

7

GB/TXXXXX—XXXX

部署域間的工控防火墻應具備流量統(tǒng)計功能：

a)能夠通過IP地址、網(wǎng)絡服務、時間和協(xié)議類型等參數(shù)或它們的組合對流量進行正確的統(tǒng)計；

b)能夠?qū)崟r或者以報表形式輸出流量統(tǒng)計結果；

c)能夠?qū)α髁砍^預警值的行為進行告警。

.6.4帶寬監(jiān)測

部署域間的工控防火墻應具備對客戶端占用帶寬進行監(jiān)測的功能。

.7抗拒絕服務攻擊

工控防火墻具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：

a)ICMPFlood攻擊；

b)UDPFlood攻擊；

c)SYNFlood攻擊；

d)TearDrop攻擊；

e)Land攻擊；

f)超大ICMP數(shù)據(jù)攻擊。

.8網(wǎng)絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網(wǎng)絡的掃描。

應用層控制

.1應用協(xié)議控制

工控防火墻應能識別并控制各種應用類型，具體技術要求如下：

a)支持HTTP、FTP、Telnet等常見通用應用層協(xié)議；

b)支持目前常用工業(yè)控制協(xié)議，例如OPC、ModBusTCP、Profinet、BACnet、DNP3、IEC104等

（僅對部署域間的工控防火墻適用）；

c)自定義應用類型。

.2工業(yè)協(xié)議深度內(nèi)容檢測

工控防火墻應能對主流工業(yè)協(xié)議進行深度內(nèi)容檢測，具體技術要求如下：

a)應至少支持對一種工業(yè)協(xié)議的深度內(nèi)容檢測；

b)協(xié)議格式檢查；

c)支持對工業(yè)協(xié)議的操作類型、操作對象、操作范圍等參數(shù)進行控制；

d)其他類型的應用內(nèi)容。

具體工控協(xié)議檢測深度見附錄D

安全運維管理

.1運維管理

工控防火墻應具備管理功能，具體技術要求如下：

a)支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求；

8

GB/TXXXXX—XXXX

b)應在所有授權管理員、可信主機、主機請求執(zhí)行任何操作之前，對每個授權管理員、可信主機、

主機進行唯一的身份鑒別；

c)應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別；

d)應具有登錄失敗處理功能，身份鑒別在經(jīng)過一個可設定的鑒別失敗最大次數(shù)后，工控防火墻應

終止可信主機或用戶建立的會話；

e)工控防火墻應為每一個規(guī)定的授權管理員、可信主機、主機提供一套唯一的為執(zhí)行安全策略所

必需的安全屬性；

f)應支持進行本地管理工控防火墻；

g)應支持通過安全管理平臺方式對工控防火墻進行集中管理；

h)應支持通過網(wǎng)絡接口進行遠程管理，并可限定可進行遠程管理的網(wǎng)絡接口；

i)遠程管理過程中，管理端與工控防火墻之間的所有通訊數(shù)據(jù)應非明文傳輸；

j)對于數(shù)據(jù)加密或者非明文的傳輸、存儲要求，需遵守國家密碼局的相關規(guī)定；

k)向授權管理員提供設置和修改安全管理相關的數(shù)據(jù)參數(shù)的功能；

l)向授權管理員提供設置、查詢和修改各種安全策略的功能；

m)向授權管理員提供管理審計日志的功能；

n)工控防火墻應支持將管理用戶分為系統(tǒng)管理員、審計員和安全管理員，實現(xiàn)工控防火墻設備

的三權分離。

.2安全審計

工控防火墻應具備安全審計功能，具體技術要求如下：

a)記錄事件類型

1)試圖登錄工控防火墻管理端口和管理身份鑒別請求；

2)對工控防火墻系統(tǒng)所有配置操作，包括但不限于IP地址設置，路由設置，管理用戶的增

加、刪除、修改，安全策略的配置等；

3)日志信息的備份、刪除、查找等；

4)從內(nèi)部網(wǎng)絡、外部網(wǎng)絡發(fā)起的試圖穿越或到達工控防火墻的違反安全策略的訪問請求；

5)被訪問控制策略允許、禁止的訪問請求；

6)檢測到的攻擊行為；

7)其他應該記錄的事件信息。

b)日志內(nèi)容

1)數(shù)據(jù)包的協(xié)議類型、源地址、目標地址、源端口和目標端口；

2)訪問控制發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒；

3)產(chǎn)生日志記錄的訪問控制策略執(zhí)行結果；

4)攻擊事件其他需要描述的信息；

5)工控防火墻操作事件發(fā)生的時間，日期必須包括年、月、日，時間必須包括時、分、秒；

6)執(zhí)行操作的用戶、執(zhí)行操作的結果；

7)應根據(jù)日志內(nèi)容設置日志級別，包括但不限于調(diào)試、信息、警告、錯誤等多個級別；

8)應至少支持一種以上工業(yè)協(xié)議深度內(nèi)容審計，審計深度與工業(yè)協(xié)議深度內(nèi)容檢測深度一

致。

.3日志管理

工控防火墻應支持日志管理功能，具體技術要求如下：

a)應只允許授權審計員能夠?qū)θ罩具M行讀取、存檔、導出、刪除和清空等操作；

9

GB/TXXXXX—XXXX

b)應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等條件檢索的

能力，并且只允許授權管理員使用查閱工具；

c)審計事件應存儲于掉電非易失性存儲介質(zhì)中，且在存儲空間達到閾值時至少能夠通知授權審計

員；

d)應支持第三方日志管理系統(tǒng)對工控防火墻日志信息進行集中收集、存儲。

.4安全管理

.4.1安全支撐系統(tǒng)

工控防火墻的底層支撐系統(tǒng)應滿足以下要求：

a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡服務；

b)不含任何導致產(chǎn)品權限丟失、拒絕服務等的安全漏洞。

.4.2異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術要求：

a)安全策略恢復到關機前的狀態(tài)；

b)日志信息不會丟失；

c)管理員重新鑒別。

.5高可用性

.5.1Bypass功能

部署在現(xiàn)場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現(xiàn)斷電或其他軟硬件故障

時，應使工控防火墻內(nèi)部接口與外部接口直接物理連通，保持內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的正常通信。

.5.2多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區(qū)分部署和工作過程以實現(xiàn)對被防護系統(tǒng)的最小

影響，具體技術要求如下：

a)支持學習模式，工控防火墻記錄運行過程中經(jīng)過防火墻的所有策略、資產(chǎn)等信息，形成白名單

策略集；

b)應至少支持一種工控協(xié)議的深度策略學習，學習深度與工業(yè)協(xié)議深度內(nèi)容檢測深度一致；

c)支持驗證模式或測試模式，該模式下工控防火墻對白名單策略外的行為做告警，但不攔截；

d)支持工作模式，工控防火墻的正常工作模式，嚴格按照防護策略進行過濾等動作保護。

.5.3安全策略無擾下裝

進行工控防火墻安全策略應用時不應該影響正常的數(shù)據(jù)通信。

.5.4時鐘同步

工控防火墻應支持與時鐘服務器自動同步時鐘功能。

.5.5電源冗余

部署現(xiàn)場控制層的工控防火墻應提供雙電源冗余功能

.5.6散熱方式

10

GB/TXXXXX—XXXX

部署現(xiàn)場控制層的工控防火墻應采用自然散熱，無風扇方式設計。

.5.7雙機熱備

部署域間的工控防火墻應具備雙機熱備的能力，當主防火墻自身出現(xiàn)斷電或其他故障時，備防火

墻應及時發(fā)現(xiàn)并接管主防火墻進行工作

5.3.2安全保證要求

工控防火墻增強級安全保證要求，按照IT防火墻標準GB/T20281中關于IT防火墻增強級安全保

證要求的規(guī)定執(zhí)行。

11

GB/TXXXXX—XXXX

AA

附錄A

附錄B（資料性附錄）

附錄C環(huán)境適應性要求

本標準的環(huán)境適應性要求包括氣候、電磁兼容、絕緣、接地、機械適應性、外殼防護。每一項又有

各自的具體要求。應根據(jù)設備實際部署環(huán)境的不同，由用戶和設備制造商確定具體應滿足的要求。

本標準環(huán)境適應性要求章節(jié)的編寫主要參考了GB/T30094-2013工業(yè)以太網(wǎng)交換機技術規(guī)范，其參

考的相關標準主要為GB/T2423系列電工電子產(chǎn)品環(huán)境試驗，GB/T17626系列電磁兼容試驗和測量

技術，其余詳見下文。

本章節(jié)所涉及的標準，凡是未注明日期的，應參考該標準最新版本。

A.1氣候

A.1.1溫度

表A.1規(guī)定了設備工作、貯存和運輸溫度條件。設備在規(guī)定的工作溫度范圍內(nèi)工作時，其功能和性

能應滿足本標準的規(guī)定。在規(guī)定的溫度范圍內(nèi)貯存和運輸時，不應發(fā)生裂痕、老化或其他損壞；當經(jīng)受

該溫度范圍后再恢復到工作溫度范圍時，設備應能正常工作。

應用于溫度快速變化場合的設備、在經(jīng)受不超過50C/min的溫度變化時應能正常工作。

表A.1溫度條件

工作溫度/0C貯存和運輸溫度/0C

等級

低溫高溫低溫高溫

Ⅰ060-4070

Ⅱ-4070-4085

Ⅹ特定

注：Ⅹ是一個開放等級，具體溫度要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

A.1.2相對濕度

設備在表A.2規(guī)定的相對濕度環(huán)境條件下應能正常工作：

表A.2相對濕度條件（無凝結）

等級低相對濕度（%）高相對濕度（%）

Ⅰ595

12

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個開放等級，具體相對濕度要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

A.1.3大氣壓力

設備工作大氣壓力條件見表A.3

表A.3大氣壓力條件

等級低氣壓/kPa高氣壓/kPa

Ⅰ80106

Ⅱ70106

Ⅹ特定

注：Ⅹ是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

A.1.4防腐蝕

設備工作在鹽霧環(huán)境條件下或存在其他化學活性物質(zhì)，應提供工業(yè)環(huán)境中抗腐蝕和侵蝕的能力，保

證設備在表A.4、A.5規(guī)定的環(huán)境條件下能夠長期使用。

表A.4鹽霧

等級最大鹽霧濃度（mg/m3）

Ⅰ≤5

Ⅹ特定

注：Ⅹ是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.5化學活性物質(zhì)條件

等級依據(jù)標準化學活性物質(zhì)

Ⅰ工業(yè)清潔空氣

ⅡGB/T17214.4中等污染

Ⅲ嚴重污染

13

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個開放等級，具體抗腐蝕性要求范圍可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

A.1.5抗霉變

設備工作在潮濕多雨地區(qū)和霉菌滋生環(huán)境下不應發(fā)生霉變，并能夠正常工作。

A.2電磁兼容性

設備應滿足工業(yè)環(huán)境中的電磁兼容性要求，具體技術指標見下列表A.7～表A.26。

其中，電磁兼容輻射和傳導發(fā)射限值按GB4824為CLASSA，電磁兼容抗擾度的性能判據(jù)要求詳見表

A.6。

表A.6性能判據(jù)

性能評價判據(jù)說明

A試驗期間和試驗后受試設備均應按預期要求繼續(xù)運行，無功能喪失或性能下降

B試驗期間，受試設備允許出現(xiàn)暫時的性能下降或功能喪失,但設備可以自我恢復，

試驗后設備應按預期要求繼續(xù)運行。不能出現(xiàn)系統(tǒng)死機、復位或重啟。

C試驗期間，允許受試設備出現(xiàn)暫時的性能下降或功能喪失，但需要人工干預或系

統(tǒng)復位才能恢復

表A.7輻射發(fā)射及傳導發(fā)射要求

測試項測試端口參考標準測試頻段限值

輻射發(fā)射整機GB4824、30MHz～1GHzA類

GB9254

傳導發(fā)射電源口、信號口150KHz～30MHzA類

表A.8外殼端口靜電放電抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ3（接觸放電±6KV，空氣放電±8KV）A

ⅡGB/T17626.24（接觸放電±8KV，空氣放電±15KV）A

Ⅹ特定

14

GB/TXXXXX—XXXX

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.9整機射頻電磁場輻射抗擾度要求

等級依據(jù)標準嚴酷等級試驗頻段判據(jù)

Ⅰ2（3V/m,80%AM）A

80MHz～1GHz

ⅡGB/T17626.33（10V/m,80%AM）A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.10電源端口及信號端口電快瞬變脈沖群抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ3（電源口±2KV，信號口±1KV）A

ⅡGB/T17626.44（電源口±4KV，信號口±2KV）A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.11信號端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ2A

ⅡGB/T17626.5線-地3A

Ⅲ4A

15

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.12直流電源輸入端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ33A

線-地線-線

ⅡGB/T17626.544A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.13交流電源輸入端口浪涌（沖擊）抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ33A

線-地線-線

ⅡGB/T17626.544A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.14電源端口及信號端口射頻場感應的傳導騷擾抗擾度要求

等級依據(jù)標準嚴酷等級試驗頻段判據(jù)

Ⅰ2（3V,80%AM）A

ⅡGB/T17626.63（10V,80%AM）150KHz～80MHzA

Ⅹ特定

16

GB/TXXXXX—XXXX

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.15整機工頻磁場抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ穩(wěn)定持續(xù)磁場：4級A

短時作用磁場：4級

ⅡGB/T17626.8穩(wěn)定持續(xù)磁場：5級A

短時作用磁場：5級

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.16整機阻尼振蕩磁場抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ4A

ⅡGB/T17626.105A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.17電源端口阻尼振蕩波抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

ⅠGB/T17626.12-1998表22A

17

GB/TXXXXX—XXXX

Ⅱ3A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.18振鈴波抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ3A

ⅡGB/T17626.12表14A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.19電源口0Hz～150Hz共模傳導騷擾抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ3A

ⅡGB/T17626.164A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.20交流電源輸入端口電壓暫降抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ2類B

GB/T17626.11

Ⅱ3類B

18

GB/TXXXXX—XXXX

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.21交流電源輸入端口短時中斷抗擾度要求

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ2類C

ⅡGB/T17626.113類C

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.22交流電源輸入端口電壓變化抗擾度要求

試驗參數(shù)

等

依據(jù)標準

級電壓實驗等電壓降低所需時降低后電壓維持時電壓增加所需時

判據(jù)

級間間間

Ⅰ70%突變1周期25周期A

GB/T17626.11

Ⅹ特定特定特定特定特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.23直流電源輸入端口紋波抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

ⅠGB/T17626.172A

19

GB/TXXXXX—XXXX

Ⅱ3A

Ⅲ4A

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.24直流電源輸入端口電壓暫降抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ試驗等級：40%和70%UT；持續(xù)時間：1sA

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.25直流電源輸入端口短時中斷抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ試驗等級：0%UT；持續(xù)時間：1sB

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

表A.26直流電源輸入端口電壓變化抗擾度

等級依據(jù)標準嚴酷等級判據(jù)

Ⅰ試驗等級：80%和120%UT；持續(xù)時間：10sA

GB/T17626.29

Ⅹ特定

注：Ⅹ是一個開放等級，具體電磁兼容性能力要求可根據(jù)設備實際應用環(huán)境與客戶協(xié)商確定。

20

GB/TXXXXX—XXXX

A.3絕緣性能

A.3.1絕緣電阻

設備的絕緣電阻要求見表A.27。

表A.27絕緣電阻要求

名稱依據(jù)標準

一般環(huán)境絕緣電阻GB/T13729-2002表13

濕熱環(huán)境絕緣電阻GB/T13729-2002表14

A.3.2絕緣耐壓

設備應絕緣耐壓要求見表A.28。

表A.28絕緣耐壓要求

名稱依據(jù)標準