GT 42456-2023 工業(yè)自動(dòng)化和控制系統(tǒng)信息安全 IACS組件的安全技術(shù)要求

工業(yè)自動(dòng)化和控制系統(tǒng)信息安全I(xiàn)ACS組件的安全技術(shù)要求2023-03-17發(fā)布IGB/T42456—2023/IEC62443-4-2:2019 V V 12規(guī)范性引用文件 1 23.1術(shù)語和定義 23.2縮略語 73.3慣例 94通用原則 4.1概述 4.2CCSC1:基本功能的支持 4.3CCSC2:補(bǔ)償性對(duì)抗措施 4.5CCSC4:軟件開發(fā)過程 5FR1——標(biāo)識(shí)和鑒別控制 5.1目的和SL-C(IAC)描述 5.2原由 5.3CR1.1——人員標(biāo)識(shí)和鑒別 5.4CR1.2——軟件進(jìn)程以及設(shè)備標(biāo)識(shí)和鑒別 5.5CR1.3——賬戶管理 5.6CR1.4——標(biāo)識(shí)符管理 5.7CR1.5——鑒別器管理 5.8CR1.6——無線訪問管理 5.9CR1.7——基于口令的鑒別強(qiáng)度 5.10CR1.8——公鑰基礎(chǔ)設(shè)施(PKI)證書 5.11CR1.9——基于公鑰鑒別的強(qiáng)度 5.12CR1.10——鑒別器反饋 5.13CR1.11——失敗的登錄嘗試 5.14CR1.12——系統(tǒng)使用提示 5.15CR1.13——通過不受信任網(wǎng)絡(luò)的訪問 5.16CR1.14——基于對(duì)稱密鑰鑒別的強(qiáng)度 6FR2——使用控制 6.1目的和SL-C(UC)描述 20ⅡGB/T42456—2023/IEC62443-4-6.2原由和附加指南 6.3CR2.1——授權(quán)執(zhí)行 6.4CR2.2——無線使用控制 6.5CR2.3——便攜式和移動(dòng)設(shè)備使用控制 226.6CR2.4——移動(dòng)代碼 6.7CR2.5——會(huì)話鎖定 6.8CR2.6——遠(yuǎn)程會(huì)話終止 6.9CR2.7——并發(fā)會(huì)話控制 236.10CR2.8——審計(jì)事件 236.11CR2.9——審計(jì)存儲(chǔ)容量 246.12CR2.10——審計(jì)處理失敗的響應(yīng) 6.13CR2.11——時(shí)間戳 6.14CR2.12——抗抵賴性 266.15CR2.13——物理診斷和測(cè)試接口的使用 267FR3——系統(tǒng)完整性 26 7.2基本原理 7.3CR3.1——通信完整性 7.4CR3.2——惡意代碼防護(hù) 7.5CR3.3——信息安全功能驗(yàn)證 7.6CR3.4——軟件和信息完整性 297.7CR3.5——輸入檢驗(yàn) 7.8CR3.6——確定性輸出 7.9CR3.7——出錯(cuò)處理 7.10CR3.8——會(huì)話完整性 7.11CR3.9——審計(jì)信息保護(hù) 7.12CR3.10——支持更新 7.13CR3.11——物理防破壞和檢測(cè) 327.14CR3.12——提供產(chǎn)品供應(yīng)商的信任根 7.15CR3.13——提供資產(chǎn)所有者的信任根 7.16CR3.14——啟動(dòng)過程完整性 8FR4——數(shù)據(jù)保密性 338.1目的和SL-C(DC)描述 8.2基本原理 8.3CR4.1——信息保密性 8.4CR4.2——剩余信息 8.5CR4.3——加密的使用 34ⅢGB/T42456—2023/IEC62443-4-2:20199FR5——受限的數(shù)據(jù)流 9.1目的和SL-C(RDF)描述 359.2基本原理 9.3CR5.1——網(wǎng)絡(luò)分段 9.4CR5.2——區(qū)域邊界保護(hù) 9.5CR5.3——普通目的的個(gè)人間通信限制 10FR6——對(duì)事件的及時(shí)響應(yīng) 10.1目的和SL-C(TRE)描述 10.2原由和附加指南 10.3CR6.1——審計(jì)日志可訪問性 10.4CR6.2——連續(xù)監(jiān)控 11FR7——資源可用性 11.1目的和SL-C(RA)描述 11.3CR7.1——拒絕服務(wù)保護(hù) 11.4CR7.2——資源管理 3911.5CR7.3——控制系統(tǒng)備份 11.6CR7.4——控制系統(tǒng)恢復(fù)和重構(gòu) 4011.7CR7.5——應(yīng)急電源 11.8CR7.6——網(wǎng)絡(luò)和安全配置設(shè)置 11.9CR7.7——最小功能 11.10CR7.8——控制系統(tǒng)組件詳細(xì)目錄 4112軟件應(yīng)用要求 42 4212.3SAR3.2——惡意代碼防護(hù) 4313嵌入式設(shè)備要求 43 4313.3EDR2.13——使用物理診斷和測(cè)試接口 4413.4EDR3.2——惡意代碼防護(hù) 45 13.6EDR3.11——物理防破壞和檢測(cè) 4613.7EDR3.12——置備產(chǎn)品供應(yīng)商信任根 4613.8EDR3.13——置備資產(chǎn)所有者的信任根 4713.9EDR3.14——啟動(dòng)過程完整性 4814主機(jī)設(shè)備要求 48GB/T42456—2023/IEC62443-4- 14.2HDR2.4——移動(dòng)代碼 14.3HDR2.13——使用物理診斷和測(cè)試接口 4914.4HDR3.2——惡意代碼防護(hù) 14.6HDR3.11——物理防破壞和檢測(cè) 14.7HDR3.12——置備產(chǎn)品供應(yīng)商信任根 14.8HDR3.13——置備資產(chǎn)所有者的信任根 14.9HDR3.14——啟動(dòng)過程完整性 15網(wǎng)絡(luò)設(shè)備要求 15.2NDR1.6——無線訪問管理 15.3NDR1.13——通過不受信任網(wǎng)絡(luò)的訪問 15.4NDR2.4——移動(dòng)代碼 15.5NDR2.13——使用物理診斷和測(cè)試接口 15.6NDR3.2——惡意代碼防護(hù) 15.8NDR3.11——物理防破壞和檢測(cè) 15.9NDR3.12——置備產(chǎn)品供應(yīng)商信任根 15.10NDR3.13——置備資產(chǎn)所有者的信任根 15.11NDR3.14——啟動(dòng)過程完整性 15.13NDR5.3——普通目的個(gè)人間通信限制 附錄A(資料性)設(shè)備分類 A.1概述 A.4設(shè)備分類：主機(jī)設(shè)備/應(yīng)用 附錄B(資料性)CR和RE與FRSL1～4的映射 B.2SL映射表 參考文獻(xiàn) 1工業(yè)自動(dòng)化和控制系統(tǒng)信息安全I(xiàn)ACS組件的安全技術(shù)要求本文件提供了與IECTS62443-1-1中描述的七個(gè)基本要求(FR)相關(guān)的詳細(xì)的技術(shù)控制系統(tǒng)組件要求(CR),包括定義控制系統(tǒng)能力安全等級(jí)和其組件SL-C(組件)的要求。a)標(biāo)識(shí)和鑒別控制(IAC),b)使用控制(UC),c)系統(tǒng)完整性(SI),d)數(shù)據(jù)保密性(DC),e)受限數(shù)據(jù)流(RDF),f)事件的及時(shí)響應(yīng)(TRE),g)資源可用性(RA)。這七個(gè)要求(FR)是定義控制系統(tǒng)安全能力級(jí)別的基礎(chǔ)。本文件的主要目標(biāo)是定義控制系統(tǒng)組件的安全能力水平，而SL(SL-T)或如何實(shí)現(xiàn)SL(SL-A),不在本文件規(guī)定的范圍。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T35673—2017工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)(IEC62443-3-IECTS62443-1-1工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語、概念和模型(Industrialcommunicationnetworks—NetworkandsyIEC62443-3-3工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第3-3部分：系統(tǒng)安全要求和安全等級(jí)(Indus-trialcommunicaitonnetworks—Networkandsystemsecurity—PartIEC62443-4-1工業(yè)自動(dòng)化和控制系統(tǒng)信息安全產(chǎn)品安全開發(fā)生命周期要求(Securityforin-dustrialautomationandcontrolsystems—Part4-1:Se23.1術(shù)語和定義IECTS62443-1-1,IEC62443-3-3,IEC62443-4-1界定的以及下列術(shù)語和定義適用于本文件。資產(chǎn)asset對(duì)IACS具有潛在或?qū)嶋H價(jià)值的物理或邏輯對(duì)象。資產(chǎn)所有者assetowner負(fù)責(zé)一個(gè)或多個(gè)IACS的個(gè)體或公司。注2:包括IACS中的部件。來自智能威脅，未經(jīng)授權(quán)試圖破壞IACS的保密性、完整性或可用性的行為。對(duì)實(shí)體所聲稱身份的驗(yàn)證。確認(rèn)實(shí)體身份的手段。真實(shí)性authenticity實(shí)體通過鑒別符合最初聲明并且能驗(yàn)證其完整性的特性。3可用性availability確保及時(shí)地、可靠地訪問和使用控制系統(tǒng)信息和功能的特性。通信信道communicationch資產(chǎn)間的特定邏輯或物理通信鏈路。補(bǔ)償對(duì)抗措施compensatingcountermeasure代替或補(bǔ)充固有的安全能力以滿足一個(gè)或多個(gè)安全要求所采取的對(duì)策。組件component用來展示主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、軟件應(yīng)用或嵌入式設(shè)備的一個(gè)或多個(gè)特征的IACS實(shí)體。連接兩個(gè)或更多個(gè)區(qū)域，以共享安全要求的通信信道的邏輯分組。保密性confidentiality信息不會(huì)泄露給未經(jīng)授權(quán)的個(gè)人、流程或設(shè)備的保證。連接connection建立會(huì)話的兩個(gè)或多個(gè)端點(diǎn)之間的關(guān)聯(lián)?？刂葡到y(tǒng)controlsystemIACS中的硬件和軟件組件。對(duì)抗措施countermeasure對(duì)能夠造成或發(fā)現(xiàn)和報(bào)告的攻擊，通過最小化其危害來減少威脅、降低脆弱性或者緩解攻擊后果，從而能夠采取正確行為的行動(dòng)、設(shè)備、程序或技術(shù)。降級(jí)模式degradedmode在控制系統(tǒng)設(shè)計(jì)中已經(jīng)預(yù)見到故障出現(xiàn)情況下的操作模式。4提供所需能力的離散的物理資產(chǎn)。嵌入式設(shè)備embeddeddevice直接監(jiān)視和控制工業(yè)過程的專用設(shè)備?？赡苡绊慖ACS行為和/或可能被IACS影響的周圍物體、區(qū)域或環(huán)境。針對(duì)特定環(huán)境集合的發(fā)生或改變。緊急情況時(shí)接入安全控制系統(tǒng)的方法。能夠運(yùn)行操作系統(tǒng)(例如，MicrosoftWindowsOS或Linux)來裝載一個(gè)或多個(gè)供應(yīng)商提供的一個(gè)或多個(gè)軟件應(yīng)用、數(shù)據(jù)存儲(chǔ)或功能的通用設(shè)備。用于識(shí)別、指示或者命名一個(gè)實(shí)體所聲稱的或者標(biāo)識(shí)聲明的其安全域具有唯一性的符號(hào)模式。導(dǎo)致或可能導(dǎo)致控制系統(tǒng)提供的服務(wù)質(zhì)量中斷或降低，不屬于系統(tǒng)或服務(wù)預(yù)期運(yùn)行的一部分的5事件。保護(hù)資產(chǎn)精確和完備的屬性。用戶(人員、軟件進(jìn)程或設(shè)備)在其職責(zé)和功能之內(nèi)宜被授予最低權(quán)限的基本原則。能夠在資產(chǎn)間傳輸并不會(huì)被接收方顯示安裝的程序。傳輸時(shí)能夠使用的智能電子設(shè)備。能夠促進(jìn)設(shè)備之間的數(shù)據(jù)流，或限制數(shù)據(jù)流，但是不會(huì)直接與控制過程交互的設(shè)備?？沟仲噉on-repudiation證明已聲明事件或行動(dòng)和其原始實(shí)體發(fā)生的能力硬件和/或軟件產(chǎn)品的制造商。遠(yuǎn)程訪問remoteaccess任何用戶(人員、軟件進(jìn)程或設(shè)備)從區(qū)域邊界外部對(duì)組件的訪問。安全儀表系統(tǒng)safetyinstrumentedsystem實(shí)現(xiàn)一個(gè)或多個(gè)安全相關(guān)功能的系統(tǒng)。6根據(jù)區(qū)域或管道的風(fēng)險(xiǎn)評(píng)估，與區(qū)域或管道的設(shè)備和系統(tǒng)的所需對(duì)抗措施和固有安全屬性相對(duì)應(yīng)在兩個(gè)或者多個(gè)通信部件之間的半永久性、狀態(tài)性或者交互式的信息互換。表示特定會(huì)話的標(biāo)識(shí)符。確定的控制該系統(tǒng)內(nèi)一個(gè)或多個(gè)動(dòng)作的目標(biāo)值。用于與進(jìn)程或控制系統(tǒng)本身(例如，配置軟件和歷史記錄)進(jìn)行交互的一個(gè)或多個(gè)軟件程序及其依系統(tǒng)集成商systemintegrator能夠?qū)⒉考酉到y(tǒng)組合成一個(gè)整體并用確保那些子系統(tǒng)根據(jù)項(xiàng)目規(guī)范執(zhí)行的服務(wù)提供商。通過非授權(quán)訪問、破壞、披露、數(shù)據(jù)修改和/或拒絕服務(wù)方式，對(duì)運(yùn)行(包括任務(wù)譽(yù))、資產(chǎn)、控制系統(tǒng)或者個(gè)人具有潛在不利影響的環(huán)境或者相關(guān)序列事件的集合。操作、數(shù)據(jù)交易源、網(wǎng)絡(luò)或軟件進(jìn)程的行為符合預(yù)保證信息不能被用于跟蹤特定用戶的時(shí)間或地點(diǎn)的保證。不滿足預(yù)先定義的可信要求。7ACL訪問控制列表(accesscontrollAES增強(qiáng)加密標(biāo)準(zhǔn)(advanceencryptionstandard)ANSI美國國家標(biāo)準(zhǔn)研究所(AmericanNationalStandardsInstitute)API應(yīng)用編程界面(applicationprogramminginterface)ASLR地址空間格局隨機(jī)化(addressspacelayoutrandoCA證書機(jī)構(gòu)(certificationauthority)CCSC通用組件安全約束(commoncomponentssecurityconstraint)CMAC基于口令的消息鑒別碼(cipher-basedMessageCOTS商業(yè)現(xiàn)貨(commercialofftheshelf)CR組件要求(componentreqCRL證書吊銷列表(certificaterevocationlist)DC數(shù)據(jù)保密性(dataconfidentiality)DEP數(shù)據(jù)執(zhí)行預(yù)防(dataexecutiDMZ非軍事區(qū)(demilitarizedzone)DoS拒絕服務(wù)(denialofservice)EDR嵌入式設(shè)備要求(embeddeddevicerequirement)EICAR歐洲計(jì)算機(jī)防病毒研究協(xié)會(huì)(EuropeanInstituteforEMI電磁干擾(electromagneticinterference)FDA(美國)食品和藥品管理局([US]FoodandDrugAdministration)FIPS(美國NIST)聯(lián)邦信息處理標(biāo)準(zhǔn)([USNIST]FederalInformationProcessingStandard)FR基本要求(foundationalrequirement)FTP文件傳輸協(xié)議(filetransferprotocol)GCMGalois計(jì)數(shù)器模式(Galois/Countermode)GUID全球唯一標(biāo)識(shí)符(globallyuniqueidentifieHDR主機(jī)設(shè)備要求(hostdevicerequirement)HMI人機(jī)接口(human-machineinterface)8HTTP超文本傳輸協(xié)議(hypertexttransferprotocol)ID標(biāo)識(shí)符(identifier)IDS入侵檢測(cè)系統(tǒng)(intrusiondetectionsystem)IED智能電子設(shè)備(intelligentelectIEC國際電工委員會(huì)(InternationalElectrotechnicalCommission)IEEE電氣和電子工程師協(xié)會(huì)(InstituteofElectricalandElectronicsEIP互聯(lián)網(wǎng)協(xié)議(Internetprotocol)IPS入侵防范系統(tǒng)(intrusionpreventionsystem)ISA國際自動(dòng)化學(xué)會(huì)(InternationalSocietyoISO國際標(biāo)準(zhǔn)化組織(InternationalOrganIT信息技術(shù)(informationtechnologLDAP輕量目錄訪問協(xié)議(lightweightdirectoryaccessprotocol)NDR網(wǎng)絡(luò)設(shè)備要求(networkdevicerequirement)NIST美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(U.S.NationalInstituteofStandardsandTechnology)NX不執(zhí)行(NoExecute)OCSP在線證書狀態(tài)協(xié)議(onlinecertOWASP開放網(wǎng)頁應(yīng)用安全項(xiàng)目(OpenWebApplicationSecurityProject)PC個(gè)人計(jì)算機(jī)(personalcomputer)PDF便攜式文件格式(portabledocumentformat)PKI公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure)PLC可編程邏輯控制器(programmablelogiccontroller)RA資源可用性(resourceavailability)RAM隨機(jī)存取存儲(chǔ)器(randomRDF受限數(shù)據(jù)流(restricteddataflow)RE增強(qiáng)要求(requirementenhancement)RTOS實(shí)時(shí)操作系統(tǒng)(real-timeoperatiRTU遠(yuǎn)程終端裝置(remoteterminalunit)SAR軟件應(yīng)用要求(softwareapplicationrequirements)SHA安全哈希算法(securehashalgorithm)SI系統(tǒng)完整性(systemintegrity)SIF(功能)安全儀表功能(safetyinstrument9SL-C安全等級(jí)能力(capabilSP(美國NIST)特別出版物([USNIST]SpecialPublication)SuC待評(píng)估系統(tǒng)(systemunderconsiTCP傳輸控制協(xié)議(transmissioncontrolprotocol)TPM可信平臺(tái)模塊(trustedplatformmodule)TRE對(duì)事件的及時(shí)響應(yīng)(timelyresponseUC使用控制(usecontrol)USB通用串行總線(universalserialbVPN虛擬專用網(wǎng)絡(luò)(virtualprivatenetwork)基本需求和RE(如果存在)映射到組件能力安全等級(jí)SL-C(FR,組件)1到4組件能力安全等級(jí)，IECTS62443-1-1中定義的7個(gè)FR都有一組定義好了的四個(gè)安全等級(jí)(SL)。這些SL是根據(jù)IEC62443-3-3中定義的系統(tǒng)安全等級(jí)得出的。每個(gè)組件的安全等級(jí)通過每個(gè)FR來描述，使用公式SL-C(FR,組件),其對(duì)應(yīng)的值從0到4。特定FR的控制系統(tǒng)能力等級(jí)0被隱含地定義為沒有要求。對(duì)于FR的基本需求和RE,如果存在，映射到組件能力安全等級(jí)SL-C(FR,組件)1到4組件能力安全●SL2——防止未經(jīng)授權(quán)地將信息泄露給通在本文件中使用的SL-C(組件)表示滿足給定CR的給定SL等級(jí)所需的能力。SL向量概念的完在解讀、確定和實(shí)現(xiàn)第5章至第15章中的組件CR時(shí)，需要在實(shí)現(xiàn)本文件描述的要求時(shí)應(yīng)用下文系統(tǒng)組件應(yīng)遵守GB/T35673—2017中第4章所描述的特定約束。執(zhí)行最小權(quán)限原則的能力。單個(gè)系統(tǒng)組件應(yīng)提供權(quán)限的粒度和將這些權(quán)限映射到不同角色的靈活SL3——通過標(biāo)識(shí)和鑒別所有使用者(人員、軟件進(jìn)程和設(shè)備)機(jī)制，防止實(shí)體采用中度資源、SL4——通過標(biāo)識(shí)和鑒別所有使用者(人員、軟件進(jìn)程和設(shè)備)機(jī)制，防止實(shí)體采用大量資源、用戶標(biāo)識(shí)用于與授權(quán)機(jī)制一起實(shí)現(xiàn)對(duì)組件的訪問控制。驗(yàn)證要求訪問的用戶的標(biāo)識(shí)對(duì)于防止未授權(quán)用戶獲得對(duì)組件的訪問是必需的。建議和指南宜包括混合模式下運(yùn)行的機(jī)制。例如，通信通道上的某些組件需加強(qiáng)的訪問控制，如加強(qiáng)的鑒別機(jī)制，而其他組件則不需要。此外，將訪問控制要求擴(kuò)展到靜止的數(shù)據(jù)。宜將單個(gè)區(qū)域內(nèi)的身份標(biāo)識(shí)和鑒別機(jī)制的數(shù)量最小化，使用多重標(biāo)識(shí)和鑒別機(jī)制使得鑒別和標(biāo)識(shí)管理的任務(wù)更難以管理。根據(jù)IEC62443-3-3SR1.1的規(guī)定，組件應(yīng)對(duì)所有人員可訪問的接口都提供標(biāo)識(shí)和鑒別所有人員的能力。這一能力應(yīng)對(duì)提供人員用戶訪問組件的所有接口執(zhí)行這種標(biāo)識(shí)和鑒別，從而根據(jù)合適的安全策略和規(guī)程，支持任務(wù)分工和最小權(quán)限。該能力可由本地組件或由集成到一個(gè)系統(tǒng)級(jí)的標(biāo)識(shí)和鑒別系所有人員用戶對(duì)組件的所有訪問都需要被標(biāo)識(shí)和鑒別。這些用戶身份的鑒別宜使用口令、令牌、生物特征或物理的帶鎖的蓋等方法來完成，或上述方法的組合的多因子鑒別。人員的地理位置也可以用作鑒別過程的一部分。本要求宜適用于組件的本地和遠(yuǎn)程訪問。本要求是在系統(tǒng)級(jí)上進(jìn)行這樣的鑒別和標(biāo)識(shí)之外的附加要求。人員能夠訪問的接口是本地用戶接口，例如觸摸屏、按鈕、鍵盤以及為人員交互而設(shè)計(jì)的網(wǎng)絡(luò)協(xié)于設(shè)備配置工具的協(xié)議(有時(shí)是專有協(xié)議，有時(shí)使用開放協(xié)議)。用戶標(biāo)識(shí)和鑒別可以是基于角色的或基于組的(例如，對(duì)于一些組件接口，多個(gè)用戶可以共享相同的標(biāo)識(shí))。用戶標(biāo)識(shí)和鑒別不宜妨礙快速的本地緊急動(dòng)作。為了支持根據(jù)IEC62443-2-1定義的IAC策略，組件宜第一步驗(yàn)證所有人員的身份，第二步對(duì)已標(biāo)識(shí)人員分配的權(quán)限宜強(qiáng)制執(zhí)行(見6.3)。(1)唯一標(biāo)識(shí)和鑒別組件應(yīng)提供唯一標(biāo)識(shí)和鑒別所有人員用戶的能力。(2)對(duì)所有接口的多因子鑒別組件應(yīng)提供對(duì)所有接入組件的人員用戶進(jìn)行多因子鑒別的能力。與CR1.1有關(guān)的四個(gè)安全等級(jí)的要求是：●SL-C(IAC,組件)1:CR1.1;●SL-C(IAC,組件)3:CR1.1(1)(2);●SL-C(IAC,組件)4:CR標(biāo)識(shí)和鑒別的功能是在允許任何數(shù)據(jù)交換之前，將一個(gè)已知身份映射到或邏輯)等方法來完成對(duì)這些實(shí)體身份的鑒別。該要求應(yīng)適用于對(duì)控制系統(tǒng)的本地和遠(yuǎn)程訪問。然作以及控制系統(tǒng)的基本功能不能因標(biāo)識(shí)或鑒別要求而受到阻礙(更多的討論見第4章)。例如，在通常(1)唯一標(biāo)識(shí)和鑒別●SL-C(IAC,組件)1:不選擇；●SL-C(IAC,組件)3:CR●SL-C(IAC,組件)4:CR滿足這一要求的常用方法是將鑒別評(píng)估委托給目錄服務(wù)器的組件(例如LDAP或Active當(dāng)一個(gè)組件集成到一個(gè)更高級(jí)別的系統(tǒng)中來●SL-C(IAC,組件)1:CR1.3;●SL-C(IAC,組件)4:CR1.3。該組件應(yīng)提供集成到支持管理標(biāo)識(shí)符的系統(tǒng)的能力和/或提供直接根據(jù)IEC62443-3-3SR1.4支在CR1.3——賬戶管理(見5.5)下創(chuàng)建的賬戶要求使用一個(gè)或多個(gè)標(biāo)識(shí)符來清晰標(biāo)識(shí)每個(gè)賬戶。這些標(biāo)識(shí)符對(duì)于它們所關(guān)聯(lián)的賬戶應(yīng)是唯一的和明確的。常見使用的標(biāo)識(shí)符示例有賬戶名稱、UNIX用戶ID、微軟賬戶全球唯一標(biāo)識(shí)符(GUID)和X.509證書。組件可提供本地關(guān)聯(lián)賬戶標(biāo)識(shí)符的能力?！馭L-C(IAC,組件)1:CR1.4;●SL-C(IAC,組件)2:CR1.4;●SL-C(IAC,組件)3:CR1.4;●SL-C(IAC,組件)4:CR1.4。c)在周期性對(duì)鑒別器進(jìn)行更新/改變操作時(shí)功能正常；除了一個(gè)標(biāo)識(shí)符(見5.6),還需要鑒別器來證明猜測(cè)或破壞在傳輸或存儲(chǔ)過程中口令的密碼保護(hù)?？梢酝ㄟ^定期更改/刷新口令來減少此類機(jī)會(huì)。類似的考慮也適用于基于加密密鑰的鑒別系統(tǒng)。通過使用硬件機(jī)制[如可信平臺(tái)模塊(TPM)]可以實(shí)現(xiàn)對(duì)某些操作使用組件可能會(huì)受到限制，需要額外的身份驗(yàn)證(如令牌、密鑰和證書)以執(zhí)行某些●SL-C(IAC,組件)1:CR1.5;●SL-C(IAC,組件)4:CR1.5(1)。該組件應(yīng)提供或集成到提供該功能的系統(tǒng)中防止任何給定的人員賬戶重復(fù)使用可配置的生成口令。此外，組件應(yīng)提供對(duì)人員用戶執(zhí)行口令最小和最大生命期限制的能力。●SL-C(IAC,組件)1:CR1.7;●SL-C(IAC,組件)2:CR1.7;●SL-C(IAC,組件)3:CR1.7(1);●SL-C(IAC,組件)4:CR1.7(1)(2)。當(dāng)使用PKI時(shí)，組件應(yīng)提供或集成到系統(tǒng)中以提供按照IEC62443-3-3選擇合適的PKI宜考慮組織的證書策略，該策略宜基于與違反受保護(hù)信息的機(jī)密性相關(guān)的風(fēng)險(xiǎn)。關(guān)于策略定義的指南可以在通用的標(biāo)準(zhǔn)和指南中找到，如互聯(lián)網(wǎng)工程任務(wù)組(IETF)RFC基于X.509的PKI的指導(dǎo)。例如，證書頒發(fā)機(jī)構(gòu)(CA)的適當(dāng)位置(不管是在控制系統(tǒng)還是在互聯(lián)網(wǎng)●SL-C(IAC,組件)3:CR1.8;c)通過檢查給定證書的撤銷狀態(tài)來驗(yàn)證證書；f)確保用于公鑰鑒別的算法和密鑰符合8.5加密的使用。為了滿足5.11.1的要求，不一定需要實(shí)時(shí)連接證書鑒別機(jī)構(gòu)?？梢允褂锰娲膸夥椒▉頋M足公鑰/私鑰的加密在很大程度上依賴于給定主體私鑰的保密性以及對(duì)信任關(guān)系的正確處理。在基有對(duì)等方的配置)來驗(yàn)證它們的所有對(duì)等方來補(bǔ)償?？尚抛C書需要通過安全渠道分發(fā)給對(duì)等方。在驗(yàn)列表(CRL)或運(yùn)行在線證書狀態(tài)協(xié)議(OCSP)服務(wù)器來完成。當(dāng)由于控制系統(tǒng)限制而無法進(jìn)行吊銷檢預(yù)計(jì)大多數(shù)組件將被整合到IACS中并由IACS提供密鑰鑒別機(jī)制。在IACS的組件層面執(zhí)行公●SL-C(IAC,組件)1:不選擇；●SL-C(IAC,組件)2:CR1.9;●SL-C(IAC,組件)3:CR1.9(1●SL-C(IAC,組件)4:CR1.9(1)。●SL-C(IAC,組件)1:CR1.10;●SL-C(IAC,組件)2:CR1.10;●SL-C(IAC,組件)3:CR1.10;●SL-C(IAC,組件)4:CR1.b)在指定的時(shí)間段內(nèi)拒絕訪問，或直到當(dāng)該限制已經(jīng)到期后由管理員解鎖為止。管理員可以在以在由適用的安全策略和規(guī)程確定的預(yù)定時(shí)間段之后自動(dòng)將訪問嘗試的次數(shù)重置為0。將嘗試訪問重需要立即作出響應(yīng)時(shí)，不宜使用控制系統(tǒng)操作員工作●SL-C(IAC,組件)1:CR1.11;●SL-C(IAC,組件)3:CR1.11;●SL-C(IAC,組件)1:CR1.12;●SL-C(IAC,組件)2:CR1.通過不受信任網(wǎng)絡(luò)訪問的要求是組件特定的，對(duì)每種特定組件類型的要求見第12章至第15章。宜定義用于將密鑰安裝到組件中的方法。這可能包括使用帶外方戰(zhàn)),該方證明他們所聲稱的身份。審查員具有相同的秘密(也是在過去通過新人配置學(xué)習(xí)到)的知●SL-C(IAC,控制系統(tǒng))1:不選擇；●SL-C(IAC,控制系統(tǒng))2:CR1.14;●SL-C(IAC,控制系統(tǒng))3:CR1.14(1);●SL-C(IAC,控制系統(tǒng))4:CR1.14(1)。一旦用戶被標(biāo)識(shí)和鑒別，組件宜限制允許的對(duì)該組件的授權(quán)使用行行機(jī)制(例如，訪問控制列表、訪問控制矩陣和密碼)來控制用戶(人員、軟件進(jìn)程和設(shè)備)和資產(chǎn)(例些角色被分配給經(jīng)過驗(yàn)證的用戶或資產(chǎn)以及哪些權(quán)限被分配給這些角色。如果請(qǐng)求的操作經(jīng)過許對(duì)控制系統(tǒng)組件的計(jì)劃內(nèi)或計(jì)劃外更改可能對(duì)控制系統(tǒng)的整體安全性產(chǎn)生重組件應(yīng)直接或通過補(bǔ)償性安全機(jī)制提供授權(quán)角色來定義和修改所有人需要雙重確認(rèn)的一個(gè)例子就是改變一個(gè)關(guān)鍵工業(yè)流程的設(shè)定點(diǎn)。如果需要立即采取措施來保障HSE●SL-C(UC,組件)1:CR2.1;●SL-C(UC,組件)2:CR2.1(1)(2);●SL-C(UC,組件)3:CR2.1(1)(2)(3);●SL-C(UC,組件)4:CR2.1(1)(2)(3)(4)。無線使用控制可以在構(gòu)成系統(tǒng)的不同設(shè)備中實(shí)現(xiàn)。網(wǎng)絡(luò)設(shè)備可以是通過控制協(xié)助UC的設(shè)備之一。對(duì)于利用無線網(wǎng)絡(luò)的設(shè)備和應(yīng)用，這些設(shè)備等無線網(wǎng)絡(luò)保護(hù)。組件也可以根據(jù)訪問是來自無線設(shè)備還是有線設(shè)備來實(shí)現(xiàn)●SL-C(UC,組件)1:CR2.2;●SL-C(UC,組件)2:CR2.2;移動(dòng)代碼的使用控制要求是組件特定的，每一個(gè)特定組件類型的要求見第12章至第15章。a)通過在可配置的非活動(dòng)時(shí)間段后啟動(dòng)會(huì)話鎖定或由用戶(人員、軟件進(jìn)程或設(shè)備)手動(dòng)啟動(dòng)來b)會(huì)話鎖定在擁有會(huì)話的用戶之前保持有效，或者其他授權(quán)的用戶使用適當(dāng)?shù)臉?biāo)識(shí)和鑒別程序會(huì)話鎖定用于防止訪問指定的工作站或節(jié)點(diǎn)。組件應(yīng)在可配置的時(shí)間段后自動(dòng)激活會(huì)話鎖定機(jī)●SL-C(UC,組件)1:CR2.5;●SL-C(UC,組件)2:CR2.5;●SL-C(UC,組件)3:CR2.5;●SL-C(UC,組件)4:CR2.5。●SL-C(UC,組件)1:不選擇；●SL-C(UC,組件)2:CR2.6;●SL-C(UC,組件)3:CR2.6;●SL-C(UC,組件)4:CR2.6。不足而導(dǎo)致鎖定所有用戶和服務(wù)之間存在一種權(quán)衡。產(chǎn)品供應(yīng)商和/或系統(tǒng)集成商的指南可能需要提●SL-C(UC,組件)1:不選擇；●SL-C(UC,組件)2:不選擇；●SL-C(UC,組件)3:CR2.7;●SL-C(UC,組件)4:CR2.7。c)控制系統(tǒng)事件設(shè)備可能包含嵌入式固件或運(yùn)行操作系統(tǒng)。而該要求意圖覆蓋事件的類別，至少包含固件或●SL-C(UC,組件)1:CR2.8;●SL-C(UC,組件)2:CR2.8;●SL-C(UC,組件)3:CR2.8;●SL-C(UC,組件)4:CR2.8。b)提供機(jī)制以防止組件到達(dá)或超過審計(jì)存儲(chǔ)容量時(shí)發(fā)生故障。要考慮的指南可能包括NISTspecificpublication(SP)800-92[19]。根據(jù)適用的政策法規(guī)或業(yè)務(wù)需●SL-C(UC,組件)2:CR2.9;●SL-C(UC,組件)3:CR2.9(1);●SL-C(UC,組件)4:CR2.9(a)在發(fā)生審計(jì)處理失敗事件時(shí)提供防止失去基本服務(wù)和功能的能力；審計(jì)的生成通常發(fā)生在事件源頭。審計(jì)處理涉及傳輸錄的持久存儲(chǔ)。審計(jì)處理失敗包括軟件或硬件錯(cuò)誤、審計(jì)捕獲機(jī)制中的失敗●SL-C(UC,組件)1:CR2.10;●SL-C(UC,組件)3:CR2.10;●SL-C(UC,組件)4:CR2.10?！馭L-C(UC,組件)1:CR2.11;●SL-C(UC,組件)2:CR2.11(1);●SL-C(UC,組件)3:CR2.11(1);●SL-C(UC,組件)4:CR2.11(1)(2)。物理診斷和測(cè)試接口要求的使用是基于組件特定的，每種組件特定類型的要求見第12章到第15章。一旦運(yùn)行，資產(chǎn)所有者將負(fù)責(zé)維護(hù)組件的完整性。資IACS中為不同的系統(tǒng)、通信通道和信息分配不同級(jí)別的完整性保護(hù)。物理資產(chǎn)的完整性宜在運(yùn)行和根據(jù)上下文(例如，本地網(wǎng)段內(nèi)的傳輸與經(jīng)由不受信任網(wǎng)絡(luò)的傳輸)以及傳具有直接鏈接(點(diǎn)對(duì)點(diǎn))的小型網(wǎng)絡(luò)中，如果端點(diǎn)的完整性也受到保護(hù)(見7理訪問保護(hù)保持在較低SL上可能就足夠了。分布在經(jīng)常有人員出現(xiàn)或廣域網(wǎng)絡(luò)地區(qū)的網(wǎng)絡(luò)上，物理訪問可能無法強(qiáng)制執(zhí)行。如果商業(yè)服務(wù)用于提供作為商品項(xiàng)目的通信服務(wù)而不是完全專用的服務(wù)(例如，租用線路與T1鏈路),則可能更難獲得關(guān)于保護(hù)通信完整性所需安全控制措施的必要保證(例設(shè)施的設(shè)計(jì)宜盡量減少對(duì)通信完整性的物理和/或環(huán)境影響。例如，當(dāng)微時(shí)，可能需要使用密封的45注冊(cè)插孔(RJ-45)或M12連接器來代替電線上的商用用M12連接器，以防止RJ-45連接器上的彈簧插針在使用過程中斷開連接。在輻射和/或EMI成為問題的情況下，可能需要使用屏蔽雙絞線或光纖電纜來防止其對(duì)通信信號(hào)的影響●SL-C(SI,組件)1:CR3.1;●SL-C(SI,組件)2:CR3.1(1);●SL-C(SI,組件)3:CR3.1(1);●SL-C(SI,組件)4:CR3.1(1)。對(duì)惡意代碼防護(hù)的要求是基于特定組件的，每種特定組件類型的要求見第12章到第15章。產(chǎn)品供應(yīng)商或系統(tǒng)集成商宜就如何測(cè)試所設(shè)計(jì)安全控制措施提供指導(dǎo)。資正常運(yùn)行期間執(zhí)行這些驗(yàn)證測(cè)試的可能后果。執(zhí)行這些驗(yàn)證的細(xì)節(jié)需要仔細(xì)考慮連續(xù)操作的要求(例●SL-C(SI,組件)1:CR3.3;●SL-C(SI,組件)2:CR3.3;●SL-C(SI,組件)4:CR3.3(1)。告和防止可能發(fā)生的軟件和信息篡改。組件宜采用正式或推薦的完整性機(jī)制(例如密碼哈希)。例組件應(yīng)檢驗(yàn)用于工業(yè)過程控制輸入或直接影響組件動(dòng)作的外部接口輸入的任何輸入數(shù)據(jù)的語法、站腳本或畸形數(shù)據(jù)包(通常由協(xié)議模糊器生成)。要考慮的指南宜包括眾所周如果物理或邏輯上連接到自動(dòng)化過程的組件無法維持組件供應(yīng)商規(guī)產(chǎn)品供應(yīng)商或系統(tǒng)集成商宜仔細(xì)考慮錯(cuò)誤消息的內(nèi)容和結(jié)構(gòu)。由組件生成而有用的信息，而不會(huì)潛在地泄露可能被攻擊者利用IACS的有害信息。宜通過及時(shí)解決錯(cuò)誤條件的可以幫助攻擊者攻擊IACS的錯(cuò)誤消息的示例是提供為什么系統(tǒng)鑒別失敗的細(xì)節(jié)。例如，在反饋●SL-C(SI,組件)1:CR3.7;●SL-C(SI,組件)2:CR3.7;●SL-C(SI,組件)3:CR3.7;●SL-C(SI,組件)4:CR3.7。a)在用戶注銷或因其他會(huì)話終止時(shí)(包括瀏覽器會(huì)話),使會(huì)話標(biāo)識(shí)符失效c)能夠利用普遍接受的方式隨機(jī)性生成唯一會(huì)話標(biāo)識(shí)符。這個(gè)控制側(cè)重于會(huì)話的通信保護(hù)，而不是數(shù)據(jù)包保護(hù)。這種控制的目的插入會(huì)話或重放攻擊等中間人攻擊。會(huì)話完整性機(jī)制的使用可能具有相當(dāng)大的開會(huì)話劫持和其他中間人攻擊或注入虛假信息通常會(huì)利用易于猜測(cè)的會(huì)話ID(密鑰或其他共享秘密)或使用在會(huì)話終止后未被正確經(jīng)過無效處理的會(huì)話ID。因此，會(huì)話鑒別者的有效性應(yīng)與會(huì)話的生命周期密切相關(guān)。在隨機(jī)生成唯一的會(huì)話ID時(shí)采用隨機(jī)性有助于防止用暴力攻擊確定未來的會(huì)話ID。安全等級(jí)四個(gè)SL等級(jí)的要求與CR3.8的關(guān)系：●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:CR3.8;●SL-C(SI,組件)3:CR3.8;●SL-C(SI,組件)4:CR3.8。GB/T42456—2023/IEC62443-4●SL-C(SI,組件)2:CR3.9;●SL-C(SI,組件)3:CR3.9;●SL-C(SI,組件)4:CR3.9(1)。對(duì)更新要求的支持是與設(shè)備相關(guān)的，對(duì)每種特定設(shè)備類型的要求見第12章至第15章。物理防破壞性和檢測(cè)要求是與設(shè)備相關(guān)的，對(duì)每種特定設(shè)備類型的要求見第12章到第15章。提供產(chǎn)品供應(yīng)商信任要求的根源是與設(shè)備相關(guān)的，對(duì)每種特定設(shè)備類型的要求見第12章到第15章。提供資產(chǎn)所有者信任要求的根源是與設(shè)備相關(guān)的，對(duì)每種特定設(shè)備類型的要求見第12章到第15章。啟動(dòng)過程要求的完整性是與設(shè)備相關(guān)的，對(duì)每種特定設(shè)備類型的要求見第12章到第15章。a)提供保護(hù)靜止中且支持顯式讀取授權(quán)信息的保密性的能力；●SL-C(DC,組件)1:CR4.1;●SL-C(DC,組件)2:CR4.1;●SL-C(DC,組件)3:CR4.1;●SL-C(DC,組件)4:CR4.1。GB/T42456—2023/IEC62443-4易失性存儲(chǔ)器資源是在釋放到內(nèi)存管理后通常不保留信息的資源。但是，對(duì)于隨機(jī)存取存儲(chǔ)器●SL-C(DC,組件)1:不選擇；●SL-C(DC,組件)3:CR4.2(1)(●SL-C(DC,組件)4:CR4.2(1)級(jí)加密標(biāo)準(zhǔn)(AES)和安全哈希算法(SHA)系列和基于指定標(biāo)準(zhǔn)的密鑰大小。密鑰生成需要使用有效鑰銷毀、密鑰分發(fā)和加密密鑰備份。公認(rèn)的實(shí)踐和建議可以在NISTSP800-57《密鑰管理建此CR與5.10,CR1.8——公共密鑰基礎(chǔ)設(shè)施證書一起可能適用于滿足本文件中定義的許多其他●SL-C(DC,組件)1:CR4.3;●SL-C(DC,組件)2:CR4.3;●SL-C(DC,組件)3:CR4.3;組件應(yīng)通過對(duì)分段網(wǎng)絡(luò)的支持來實(shí)現(xiàn)對(duì)區(qū)域和管道的支持，以便根據(jù)組織使用網(wǎng)絡(luò)分段是出于多種目的的，其中包括網(wǎng)絡(luò)安全在內(nèi)。網(wǎng)絡(luò)服務(wù)器。這也可能意味著一些關(guān)鍵控制系統(tǒng)和安全相關(guān)系統(tǒng)從一開始就被設(shè)計(jì)成與其他網(wǎng)絡(luò)完全●SL-C(RDF,組件)2:CR5.1;●SL-C(RDF,組件)3:CR5.1;●SL-C(RDF,組件)4:CR通過通知適當(dāng)?shù)臋?quán)威機(jī)構(gòu)、報(bào)告違規(guī)行為所需的證據(jù)和在發(fā)現(xiàn)事件時(shí)及時(shí)宜建立應(yīng)對(duì)安全違規(guī)所需的相關(guān)安全政策和程序以及適當(dāng)?shù)耐ㄐ藕涂貞?yīng)用程序和設(shè)備可以生成關(guān)于在其中發(fā)生的事件的審計(jì)記錄(見6.10)。訪言，減少審計(jì)和報(bào)告編制應(yīng)在單獨(dú)的信息系統(tǒng)上進(jìn)行。手動(dòng)足以滿足基本要求，但不足以滿足更高的SL要求。編程式訪問通常用于將審計(jì)●SL-C(TRE,組件)1:CR●SL-C(TRE,組件)2:CR6.1;●SL-C(TRE,組件)3:CR6.1(1);●SL-C(TRE,組件)4:CR6.1(1)。宜在控制系統(tǒng)內(nèi)策略性地部署監(jiān)測(cè)設(shè)備(例如，在選定的周邊地點(diǎn)和支持關(guān)鍵應(yīng)用的服務(wù)器群附監(jiān)視宜包括適當(dāng)?shù)膱?bào)告機(jī)制以便及時(shí)回應(yīng)事件。為了保持報(bào)告的聚焦和●SL-C(TRE,組件)1:不選擇；●SL-C(TRE,組件)4:CR6.2。●SL1——確保組件在正常生產(chǎn)條件下可靠運(yùn)行，并防止●SL3——確保組件在正常、異常和極端生產(chǎn)條件下可靠運(yùn)行，并防止由實(shí)體使用中等資源、IACS特殊技能和中等動(dòng)機(jī)的復(fù)雜手段導(dǎo)致的DoS狀況?！馭L4——確保組件在正常、異常和極端生產(chǎn)條件下可靠運(yùn)行，并防止由實(shí)體使用擴(kuò)展資源、在不同級(jí)別上的不可用性。特別是，控制系統(tǒng)中的安全事故不宜組件可能會(huì)受到不同形式的DoS情況的影響。當(dāng)發(fā)生這些情況時(shí)，組件的設(shè)●SL-C(RA,組件)1:CR7.1;●SL-C(RA,組件)2:CR7.1(1);●SL-C(RA,組件)3:CR7.1(1);●SL-C(RA,組件)4:CR7.1(1)。資源管理(例如，網(wǎng)絡(luò)分段或優(yōu)先級(jí)方案)防止較低優(yōu)●SL-C(RA,組件)1:CR7.2;●SL-C(RA,組件)2:CR7.2;●SL-C(RA,組件)3:CR7.2;●SL-C(RA,組件)4:CR7.2。最新備份的可用性對(duì)于從控制系統(tǒng)故障和/或錯(cuò)誤配置中恢復(fù)至關(guān)重要。自動(dòng)執(zhí)行此功能可確保制措施來保護(hù)它。因此，組件備份能力需要包括支持備份中包含的信息的必要保護(hù)機(jī)制。這可能包括加密備份，加密敏感數(shù)據(jù)作為備份過程的一部分，或者不包括敏感信息作為備份的一部分。如果備份是加密的，重要的是不要將加密密鑰作為備份的一部分，而是作為單獨(dú)的更安全的備份過程的一部分備份加密密鑰。(1)備份完整性驗(yàn)證在啟動(dòng)恢復(fù)信息之前，組件應(yīng)提供驗(yàn)證備份信息完整性的能力。與CR7.3有關(guān)的四個(gè)安全等級(jí)的要求是：●SL-C(RA,組件)1:CR●SL-C(RA,組件)2:CR●SL-C(RA,組件)3:CR11.6CR7.4——控制系統(tǒng)恢復(fù)和重構(gòu)在中斷或失敗后，組件應(yīng)提供恢復(fù)和重構(gòu)為已知安全狀態(tài)的能力。組件恢復(fù)和重構(gòu)到已知的安全狀態(tài)意味著所有的系統(tǒng)參數(shù)(默認(rèn)或可配置)被設(shè)置為安全值，重新安裝關(guān)鍵的安全補(bǔ)丁程序，重新建立安全相關(guān)的配置設(shè)置，系統(tǒng)文檔和操作程序可用，組件被重新安裝并配置了已建立的設(shè)置，加載來自最新的已知安全備份的信息，并且系統(tǒng)已經(jīng)過全面測(cè)試和功能驗(yàn)證。無。與CR7.4有關(guān)的四個(gè)安全等級(jí)的要求是：●SL-C(RA,組件)1:CR7.4;●SL-C(RA,組件)2:CR7.4;●SL-C(RA,組件)3:CR7.4;●SL-C(RA,組件)4:CR7.4。沒有與IEC62443-3-3SR7.5相關(guān)的組件級(jí)別要求。11.8CR7.6——網(wǎng)絡(luò)和安全配置設(shè)置組件應(yīng)提供這樣的能力，根據(jù)控制系統(tǒng)供應(yīng)商提供的指南中推薦的網(wǎng)絡(luò)和安全配置進(jìn)行系統(tǒng)設(shè)置?！馭L-C(RA,組件)1:CR7.6;●SL-C(RA,組件)2:CR7.6;●SL-C(RA,組件)3:CR7.6(1);●SL-C(RA,組件)4:CR7.6(1)。組件能夠提供各種各樣的功能和服務(wù)。所提供的一些功能和服務(wù)可能并不是支持IACS功能所必●SL-C(RA,組件)1:CR7.7;●SL-C(RA,組件)3:CR7.7;●SL-C(RA,組件)4:CR7.7。組件可能會(huì)將他們自己的一組組件集成到整體控制系統(tǒng)中。在這種情●SL-C(RA,組件)1:不選擇；●SL-C(RA,組件)2:CR7.8;●SL-C(RA,組件)3:CR7.8;●SL-C(RA,組件)4:CR7.8。c)根據(jù)代碼執(zhí)行之前的完整性校驗(yàn)●SL-C(UC,組件)1:SAR2.4;●SL-C(UC,組件)2:SAR2.4(1);●SL-C(UC,組件)3:SAR2.4(1);●SL-C(UC,組件)4:SAR2.4(1)。應(yīng)用程序產(chǎn)品供應(yīng)商應(yīng)認(rèn)定和文檔化哪些惡意代碼防護(hù)機(jī)制與應(yīng)用程序兼●SL-C(SI,組件)1:SAR3.2;●SL-C(SI,組件)2:SAR3.2;●SL-C(SI,組件)3:SAR3.2;●SL-C(SI,組件)4:SAR3.2。c)根據(jù)代碼執(zhí)行之前的完整性校驗(yàn)結(jié)果控制移動(dòng)代碼的執(zhí)行。的移動(dòng)代碼。控制程序宜防止在組件所在的控制系統(tǒng)內(nèi)開發(fā)、獲取或引入不可接受的移動(dòng)代碼。例嵌入式設(shè)備應(yīng)提供實(shí)施安全策略的能力，該安全策略允許設(shè)備根據(jù)代●SL-C(UC,組件)1:EDR2.4;●SL-C(UC,組件)2:EDR2.4(1);●SL-C(UC,組件)3:EDR2.4(1);●SL-C(UC,組件)4:EDR2.4(1)。嵌入式設(shè)備應(yīng)防止未經(jīng)授權(quán)使用工廠診斷和測(cè)試的物理接口(如JTAG調(diào)試)。工廠診斷和測(cè)試接口是在嵌入式設(shè)備內(nèi)的不同位置創(chuàng)建的，以幫助嵌如果診斷和測(cè)試接口不提供控制嵌入式設(shè)備或訪問非公共信息的能應(yīng)通過威脅和風(fēng)險(xiǎn)評(píng)估來確定。例如：JTAG調(diào)試，JTAG是用于控制處理器并執(zhí)行任意命令；而嵌入式設(shè)備應(yīng)提供對(duì)設(shè)備診斷和測(cè)試接口的主動(dòng)監(jiān)視，并在檢測(cè)到對(duì)●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:EDR2.13;●SL-C(SI,組件)3:EDR2.13(1);●SL-C(SI,組件)3:EDR2.13(1)?！馭L-C(SI,組件)1:EDR3.2;●SL-C(SI,組件)3:EDR3.2;●SL-C(SI,組件)4:EDR3.2。嵌入式設(shè)備在其被安裝后的整個(gè)生命周期中可能需要更新和升級(jí)。存●SL-C(SI,組件)1:EDR3.10;●SL-C(SI,組件)4:EDR3.10(1)。防破壞機(jī)制的目的是防止攻擊者對(duì)IACS設(shè)備執(zhí)行未經(jīng)授權(quán)的物理操作嘗試。若破壞事件發(fā)破壞留證的目的是確保在發(fā)生破壞事件時(shí)保留可見的或電子的證據(jù)。許多簡(jiǎn)在發(fā)現(xiàn)有未經(jīng)授權(quán)的物理訪問嘗試時(shí)，嵌入式設(shè)備應(yīng)能夠向可配置的一組接收人自動(dòng)提供通知。●SL-C(SI,組件)2:EDR3.11;●SL-C(SI,組件)4:EDR3.11(1)?！馭L-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:EDR●SL-C(SI,組件)3:EDR●SL-C(SI,組件)3:EDR3.12。b)支持在不依賴設(shè)備安全域之外組件的情況下進(jìn)行置備產(chǎn)品供應(yīng)商建立機(jī)制來確保其組件上的軟件和固件是真實(shí)的，并且該軟件商還提供了資產(chǎn)所有者通過使用移動(dòng)代碼、用戶程序或其他類似手段無效來源列表各不相同，并且產(chǎn)品供應(yīng)商不可能在制造時(shí)就擁有每個(gè)可能的CR4.1——信息機(jī)密性(見8.3)中的諸如EDR2.4——移動(dòng)代碼(見13.2)要求組件在執(zhí)行移動(dòng)代碼之前完成對(duì)移動(dòng)代碼的真實(shí)性檢查。由此要求提供的信任根提供了驗(yàn)證移動(dòng)代碼的來源和完整性所必需的●SL-C(SI,組件)3:EDR3.13;●SL-C(SI,組件)4:EDR3.13。為了向資產(chǎn)所有者保證組件的安全功能沒有受到損害，有必要確保組件的軟件和固件沒有被篡改，并且軟件和固件對(duì)組件的執(zhí)行是有效的。因此，組件宜執(zhí)行以在引導(dǎo)過程之前驗(yàn)證組件的固件●SL-C(SI,組件)4:EDR3.14(1)。c)根據(jù)代碼執(zhí)行之前的完整性校驗(yàn)結(jié)果控制移動(dòng)代碼的執(zhí)畫和VBScript。使用約束適用于安裝在服務(wù)器上的移動(dòng)代碼的選擇和使用，及每個(gè)工作站上下載和執(zhí)主機(jī)設(shè)備應(yīng)提供實(shí)施安全策略的能力，該安全策略允許設(shè)備基于代碼執(zhí)●SL-C(UC,組件)1:HDR2.4;●SL-C(UC,組件)2:HDR2.4(1);●SL-C(UC,組件)3:HDR2.4(1);●SL-C(UC,組件)4:HDR2.4(1)。主機(jī)設(shè)備應(yīng)防止未經(jīng)授權(quán)使用工廠診斷和測(cè)試的物理接口(如JTAG調(diào)試)。工廠診斷和測(cè)試接口是在主機(jī)設(shè)備內(nèi)的不同位置創(chuàng)建的，以幫助主機(jī)可能存在工廠診斷和測(cè)試接口會(huì)使用網(wǎng)絡(luò)與設(shè)備通信的情況。在這種情如果診斷和測(cè)試接口不提供控制主機(jī)設(shè)備或訪問非公共信息的能力通過威脅和風(fēng)險(xiǎn)評(píng)估來確定。例如：JTAG調(diào)試，JTAG是用于控制處理器并執(zhí)行任意命令；而主機(jī)設(shè)備應(yīng)提供對(duì)設(shè)備診斷和測(cè)試接口的主動(dòng)監(jiān)視，并在檢測(cè)到對(duì)這些接口的訪問時(shí)生成審計(jì)●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)3:HDR2.13(1);主機(jī)設(shè)備上應(yīng)有經(jīng)IACS產(chǎn)品供應(yīng)商認(rèn)定的惡意代碼防護(hù)機(jī)制。IACS產(chǎn)品供應(yīng)商應(yīng)將與惡意代主機(jī)設(shè)備應(yīng)自動(dòng)報(bào)告使用中的防護(hù)惡意代碼的軟件和文件版本(作為整體日志記錄功能的一部●SL-C(SI,組件)2:HDR3.10(1);●SL-C(SI,組件)3:HDR3.10(1);●SL-C(SI,組件)4:HDR3.10(1)。防破壞機(jī)制的目的是防止攻擊者企圖對(duì)IACS設(shè)備執(zhí)行未經(jīng)授權(quán)的物理操作。若破壞事件發(fā)最有效的防破壞機(jī)制是使用組合手段防止對(duì)關(guān)鍵組件的訪問。防破壞在發(fā)現(xiàn)有未經(jīng)授權(quán)的物理訪問嘗試時(shí)，主機(jī)設(shè)備應(yīng)能夠向可配置的一組接收●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:HDR3.11;●SL-C(SI,組件)3:HDR3.11(1);●SL-C(SI,組件)4:HDR3.●SL-C(SI,組件)1:不選擇；b)支持在不依賴設(shè)備安全區(qū)域之外的組件的情況下進(jìn)行置為了執(zhí)行這些驗(yàn)證，組件宜包含提供區(qū)分有效和無效源的方法的數(shù)據(jù)諸如HDR2.4——移動(dòng)代碼(見14.2)中要求的組件在執(zhí)行移動(dòng)代碼之前完成對(duì)移動(dòng)代碼的真實(shí)CR4.1——信息機(jī)密性(見8.3)中的●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:HDR●SL-C(SI,組件)3:HDR●SL-C(SI,組件)4:HDR3為了向資產(chǎn)所有者保證組件的安全功能沒有受到損害，有必要確保組件的軟件和固件沒有被篡改，并且軟件和固件對(duì)組件的執(zhí)行是有效的。因此，組件宜執(zhí)行以在啟動(dòng)過程之前驗(yàn)證組件的固件●SL-C(SI,組件)1:HDR●SL-C(SI,組件)2:HDR3.14(1);●SL-C(SI,組件)3:HDR●SL-C(SI,組件)4:HDR3.14支持無線訪問管理的網(wǎng)絡(luò)設(shè)備應(yīng)提供標(biāo)識(shí)和鑒別從事無線通信的所有用戶(人員、軟件進(jìn)程或設(shè)任何無線技術(shù)都可以在大多數(shù)情況下被認(rèn)為是另一種通信協(xié)議選項(xiàng)。因此，宜遵循與IACS使用●SL-C(UC,組件)2:NDR1.6(1●SL-C(UC,組件)3:NDR1.6●SL-C(UC,組件)4:NDR1.6(1)。網(wǎng)絡(luò)設(shè)備支持設(shè)備訪問網(wǎng)絡(luò)時(shí)應(yīng)提供監(jiān)視和控制所有經(jīng)由不受信任網(wǎng)絡(luò)訪問網(wǎng)絡(luò)設(shè)備方法的通過不可信網(wǎng)絡(luò)訪問網(wǎng)絡(luò)設(shè)備的示例通常包括遠(yuǎn)程訪問方法(如撥號(hào)、寬帶b)VLAN?！馭L-C(UC,組件)1:NDR1.13;●SL-C(UC,組件)2:NDR1.13;●SL-C(UC,組件)3:NDR1.13(1);●SL-C(UC,組件)4:NDR1.13(1)。c)根據(jù)代碼執(zhí)行之前的完整性校驗(yàn)結(jié)果控制移動(dòng)代碼的執(zhí)畫和VBScript。使用限制適用于服務(wù)器上安裝行的移動(dòng)代碼?？刂埔?guī)程應(yīng)防止在組件所在的控制系統(tǒng)內(nèi)開發(fā)、獲取或(1)移動(dòng)代碼真實(shí)性檢查●SL-C(UC,組件)1:NDR2.4;●SL-C(UC,組件)2:NDR2.4(1);●SL-C(UC,組件)3:NDR2.4(1);●SL-C(UC,組件)4:NDR2.4(1)。工廠診斷和測(cè)試接口是在組件內(nèi)的不同位置創(chuàng)建的，以幫助組件內(nèi)的通過威脅和風(fēng)險(xiǎn)評(píng)估來確定。例如：JTAG調(diào)試，JTAG是用于控制處理器并執(zhí)行任意命令；而網(wǎng)絡(luò)設(shè)備應(yīng)提供對(duì)設(shè)備診斷和測(cè)試接口的主動(dòng)監(jiān)視并在檢測(cè)到訪問這些接口的嘗試時(shí)生成審計(jì)●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)3:NDR2.13(1);●SL-C(SI,組件)3:NDR2.13(1)?！馭L-C(SI,組件)1:NDR3.2;●SL-C(SI,組件)2:NDR3.2;●SL-C(SI,組件)3:NDR3.2;●SL-C(SI,組件)4:NDR3.2。與NDR3.10有關(guān)的四個(gè)安全等級(jí)的要求●SL-C(SI,組件)1:NDR3.10;●SL-C(SI,組件)2:NDR3.1●SL-C(SI,組件)3:NDR3.10(1);●SL-C(SI,組件)4:NDR3.10(1)。防破壞機(jī)制的目的是防止攻擊者對(duì)IACS設(shè)備執(zhí)行未經(jīng)授權(quán)的物理操作嘗試。若破壞事件發(fā)GB/T42456—2023/IEC62443-4●SL-C(SI,組件)3:NDR3.11(1);●SL-C(SI,組件)4:NDR3.11(1)?！馭L-C(SI,組件)1:不選擇；●SL-C(SI,組件)3:NDR3.12;●SL-C(SI,組件)3:NDR諸如NDR2.4——移動(dòng)代碼(見15.4)要求組件在執(zhí)行移動(dòng)代碼之前完成對(duì)移動(dòng)代碼的真實(shí)性檢●SL-C(SI,組件)1:不選擇；●SL-C(SI,組件)2:NDR3.13;●SL-C(SI,組件)3:NDR3.13;●SL-C(SI,組件)4:NDR3.13。為了向資產(chǎn)所有者保證組件的安全功能沒有受到損害，有必要確保組件的軟件和固件沒有被篡改，并且軟件和固件對(duì)組件的執(zhí)行是有效的。因此，組件宜執(zhí)行以在引導(dǎo)過程之前驗(yàn)證組件的固件在組件啟動(dòng)過程所需的固件、軟件和配置數(shù)據(jù)使用之前，網(wǎng)絡(luò)設(shè)備應(yīng)使用組件的產(chǎn)品供應(yīng)商信任根來驗(yàn)證組件啟動(dòng)過程所需的固件、軟件和配置數(shù)據(jù)的真實(shí)性。與NDR3.14有關(guān)的四個(gè)安全等級(jí)的要求是：●SL-C(SI,組件)1:NDR●SL-C(SI,組件)2:NDR●SL-C(SI,組件)3:NDR●SL-C(SI,組件)4:NDR在區(qū)域邊界的網(wǎng)絡(luò)設(shè)備應(yīng)提供在區(qū)域邊界監(jiān)視和控制通信的能力，來實(shí)施基于風(fēng)險(xiǎn)的區(qū)域和管道模型中定義好的劃分。與每個(gè)安全域之外的任何連接都應(yīng)通過被管理的接口進(jìn)行，這些接口由有效架構(gòu)(例如，防火墻防護(hù)部署在DMZ中的應(yīng)用網(wǎng)關(guān))中部署的合適的邊界防護(hù)設(shè)備(例如代理、網(wǎng)關(guān)、路由器、防火墻、單向網(wǎng)關(guān)、防護(hù)裝置和加密隧道)組成。任何指定的備用處理站點(diǎn)的控制系統(tǒng)邊界防護(hù)宜與主站點(diǎn)提供相同的防護(hù)級(jí)別。網(wǎng)絡(luò)組件應(yīng)提供除允許例外外，拒絕默認(rèn)網(wǎng)絡(luò)流量(也被稱為拒絕所有，允許例外)的能力。(2)孤島模式網(wǎng)絡(luò)組件應(yīng)提供防止通過控制系統(tǒng)邊界進(jìn)行任何通信的能力(也稱為孤島模式)。(3)失效關(guān)閉當(dāng)邊界防護(hù)機(jī)制出現(xiàn)運(yùn)行故障(也稱為失效關(guān)閉)時(shí)，網(wǎng)絡(luò)組件應(yīng)提供防止通過控制系統(tǒng)邊界進(jìn)行任何通信的能力。與NDR5.2有關(guān)的四個(gè)安全等級(jí)的要求是：●SL-C(SI,組件)1:NDR●SL-C(SI,組件)2:NDR●SL-C(SI,組件)4:NDR15.13NDR5.3——普通目的個(gè)人間通信限制區(qū)域邊界處的網(wǎng)絡(luò)設(shè)備應(yīng)提供防止從控制系統(tǒng)外部的用戶或系統(tǒng)接收到普通目的個(gè)人間消息的等)或任何允許傳輸任何類型的可執(zhí)行文件的消息系統(tǒng)。這些系統(tǒng)通常用于與控制系統(tǒng)操作無關(guān)的私●SL-C(SI,組件)1:NDR5.3;●SL-C(SI,組件)2:NDR5.3;●SL-C(SI,組件)3:NDR5.3;●SL-C(SI,組件)4:NDR5.3。(資料性)設(shè)備分類A.1概述附錄中描述的設(shè)備旨在作為每個(gè)分類中的代表性設(shè)備，而不是詳盡的清單。A.2.1可編程邏輯控制器(PLC)術(shù)語“可編程邏輯控制器”從IEC60050-351:2013,351-47-22擴(kuò)展而來[11],并且常用于過程和離散制造業(yè)。PLC是位于自動(dòng)化系統(tǒng)較低層級(jí)的典型設(shè)備[例如ANSI/ISA-95.00.01[15]中的Purdue企業(yè)參考架構(gòu)1級(jí)和2級(jí)]。PLC通常使用加固硬件以保證其在工業(yè)環(huán)境中運(yùn)行，并且通?；谏虡I(yè)實(shí)時(shí)操作系統(tǒng)(RTOS)運(yùn)行。越來越多的智能傳感器和執(zhí)行器也獲得了過程控制的能力?；谶^程輸入(從傳統(tǒng)的溫度傳感器、壓力傳感器和振動(dòng)傳感器等儀器獲得),可以對(duì)PLC和智能傳感器/執(zhí)行器進(jìn)行編程來執(zhí)行控制邏輯。控制邏輯輸出通常用于控制工業(yè)過程(通過閥、泵等執(zhí)行機(jī)構(gòu))。編程通常在主機(jī)設(shè)備(例如筆記本電腦或PC工作站)上使用工程軟件完成?？刂七壿嫷耐ㄓ镁幊陶Z言見IEC61131-3[13]。在大型系統(tǒng)中，PLC通常也將傳感器采集的過程狀態(tài)發(fā)送給更高層級(jí)的服務(wù)器和/或操作員工作站，并將更高級(jí)別控制功能或操作員工作站的指令編譯或轉(zhuǎn)發(fā)給執(zhí)行機(jī)構(gòu)。現(xiàn)代PLC使用以太網(wǎng)和基于TCP/IP的協(xié)議實(shí)現(xiàn)與更高級(jí)別功能(如控制服務(wù)器或操作員工作站)的通信，并通過行業(yè)標(biāo)準(zhǔn)現(xiàn)場(chǎng)總線(其中一些也可以使用以太網(wǎng)，但是通常不使用TCP/IP協(xié)議棧)實(shí)現(xiàn)與現(xiàn)場(chǎng)儀表的通信。特殊PLC用于執(zhí)行功能安全功能，從而確保了受控過程時(shí)刻都處在安全運(yùn)行的范圍內(nèi)。PLC(特別是執(zhí)行功能安全功能)宜滿足高實(shí)時(shí)性、高完整性和高可用性要求。A.2.2智能電子設(shè)備(IED)此術(shù)語更多地用于電力系統(tǒng)(特別是變電站自動(dòng)化)。IED裝置從電力設(shè)備(例如變壓器、開關(guān)和電路斷路器)接收測(cè)量值，并執(zhí)行控制邏輯或保護(hù)功能。與PLC類似，IED通常在主機(jī)設(shè)備(例如筆記本電腦或PC工作站)上使用工程軟件實(shí)現(xiàn)編程和參數(shù)配置。一種描述IED的配置及其功能的現(xiàn)代標(biāo)準(zhǔn)方法在IECTR61850-1中定義。IED的邏輯輸出由IED執(zhí)行傳送到執(zhí)行機(jī)構(gòu)(開關(guān)、電流斷路器等)。與PLC不同的是，IED通常還帶有HMI,以便允許人類用戶在IED前使用其功能(通常是支持基本功能所必需的子集)。此外，變電站及其使用的IED宜能夠在完全隔離的條件(例如無法與變電站外的高層級(jí)系統(tǒng)進(jìn)行任何通信，甚至無法與其他IED裝置或站級(jí)工作站、服務(wù)器進(jìn)行任何通信)下運(yùn)行?，F(xiàn)代IED通常使用以太網(wǎng)和基于TCP/IP的協(xié)議實(shí)現(xiàn)與更高級(jí)別組件的通信，而與其他IED的通信可以通過基于以太網(wǎng)的協(xié)議(在某些情況下基于TCP/IP,通常直接通過以太網(wǎng))或現(xiàn)場(chǎng)總線(其中一些也可在以太網(wǎng)上使用，但不使用TCP/IP協(xié)議棧)完成。與PLC類似，IED宜滿足高實(shí)時(shí)性、高完整性和高可用性要求。A.3.1交換機(jī)術(shù)語“交換機(jī)”從IEC60050-732:2010,732-01-22[12]擴(kuò)