信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備通用安全功能要求

ICSFORMTEXT點(diǎn)擊此處添加ICS號(hào)FORMTEXT點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXTFORMTEXT信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備安全功能要求FORMTEXTInformationsecuritytechnology—SecurityfunctionrequirementsfordataacquisitionandcontrolfielddevicesofindustrialcontrolsystemsFORMTEXT點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)FORMDROPDOWNFORMTEXT（本稿完成日期：2014/5/22）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實(shí)施GB/TXXXXX—XXXX前言 II引言 III1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 35概述 35.1安全功能要求描述結(jié)構(gòu) 36安全功能要求 56.1FIA類：標(biāo)識(shí)與認(rèn)證控制 56.2FUC類：使用控制 126.3FDI類：數(shù)據(jù)完整性 196.4FDC類：數(shù)據(jù)保密性 246.5FDF類：受限的信息流 266.6FRA類：資源可用性 28附錄A（規(guī)范性附錄）安全功能要求匯總表 31附錄B（資料性附錄）工控系統(tǒng)安全級(jí)及設(shè)備安全功能要求與能力安全級(jí)對(duì)應(yīng)關(guān)系 33附錄C（資料性附錄）典型工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備功能與構(gòu)成 43附錄D（資料性附錄）重要信息安全術(shù)語(yǔ)和定義 45參考文獻(xiàn) 48前言本標(biāo)準(zhǔn)按照GB/T1.1-2009的規(guī)則起草。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)電力科學(xué)研究院、北京和利時(shí)系統(tǒng)工程有限公司、北京四方繼保自動(dòng)化股份有限公司、華北電力大學(xué)、國(guó)電南瑞科技股份有限公司、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、北京江南天安科技有限公司、中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所。本標(biāo)準(zhǔn)主要起草人：引言現(xiàn)場(chǎng)測(cè)控設(shè)備是工業(yè)控制系統(tǒng)的基本功能執(zhí)行設(shè)備，直接對(duì)工業(yè)生產(chǎn)過(guò)程進(jìn)行監(jiān)視與控制，對(duì)于生產(chǎn)的安全穩(wěn)定運(yùn)行至關(guān)重要。隨著信息通信技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用，現(xiàn)場(chǎng)設(shè)備的智能化程度逐漸增加，網(wǎng)絡(luò)化和處理能力的增加使得這些設(shè)備所面臨的信息安全風(fēng)險(xiǎn)較傳統(tǒng)現(xiàn)場(chǎng)設(shè)備面臨的風(fēng)險(xiǎn)種類更多，范圍更大，層次更為深入，一旦遭受攻擊，將直接導(dǎo)致設(shè)備所轄區(qū)域內(nèi)甚至連鎖性的生產(chǎn)事故，因此其信息安全不僅與生產(chǎn)安全和經(jīng)濟(jì)安全密不可分，而且電力、化工、天然氣等重要基礎(chǔ)設(shè)施的現(xiàn)場(chǎng)安全水平直接關(guān)系到國(guó)計(jì)民生、社會(huì)穩(wěn)定與公眾利益。為提高現(xiàn)場(chǎng)設(shè)備的信息安全能力，本標(biāo)準(zhǔn)提出針對(duì)現(xiàn)場(chǎng)測(cè)控設(shè)備的安全功能要求，用于設(shè)備的安全設(shè)計(jì)、開發(fā)、測(cè)試與評(píng)估。信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備安全功能要求范圍本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備的安全功能要求。本標(biāo)準(zhǔn)適用于指導(dǎo)設(shè)備的安全設(shè)計(jì)、開發(fā)、測(cè)試與評(píng)估。典型設(shè)備包括RTU、IED、DPU等。某些內(nèi)容因涉及設(shè)備功能實(shí)現(xiàn)原理、工業(yè)控制系統(tǒng)整體管理和運(yùn)行或僅僅是信息安全的外圍技術(shù)，因此不在本標(biāo)準(zhǔn)范圍之內(nèi)。例如：本標(biāo)準(zhǔn)不涵蓋與設(shè)備自身安全功能與實(shí)現(xiàn)沒(méi)有直接關(guān)聯(lián)的行政性管理和運(yùn)行安全要求，如組織管理和人員管理等。對(duì)于影響技術(shù)實(shí)施的口令策略和配置程序等管理措施，將包含在要求的描述中，不作關(guān)于管理和運(yùn)行內(nèi)容的強(qiáng)調(diào)。本標(biāo)準(zhǔn)不涵蓋與設(shè)備自身信息安全功能與實(shí)現(xiàn)沒(méi)有直接關(guān)聯(lián)的電磁輻射等物理安全方面的內(nèi)容，對(duì)于影響信息安全技術(shù)防護(hù)效果的物理安全訪問(wèn)控制等措施，將包含在要求的描述中，不作關(guān)于物理安全內(nèi)容的強(qiáng)調(diào)。本標(biāo)準(zhǔn)不對(duì)傳統(tǒng)工業(yè)控制系統(tǒng)中機(jī)電式、液壓式和氣動(dòng)式等不涉及信息技術(shù)實(shí)現(xiàn)原理的設(shè)備的信息安全功能進(jìn)行要求。傳統(tǒng)工業(yè)控制系統(tǒng)的信息安全防護(hù)主要通過(guò)物理、管理及運(yùn)維安全措施實(shí)現(xiàn)。本標(biāo)準(zhǔn)不覆蓋傳感器、變送器、調(diào)節(jié)器、開關(guān)/斷路器等生產(chǎn)過(guò)程設(shè)備。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9387.2信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)GB/T18336.2-2008/IEC15408-2:2005信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分:安全功能要求GB/T18336.3/IEC15408-3信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求GB/T20438.1-2006/IEC61508-1:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分:一般要求GB/T20438.3-2006/IEC61508-3:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分:軟件要求GB/T20438.4-2006/IEC61508-3:1998電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分:定義和縮略語(yǔ)GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求術(shù)語(yǔ)和定義GB/T9387.2、GB/T18336.2-2008、GB/T18336.3/IEC15408-3、GB/T20438.1-2006/IEC61508-1:1998、GB/T20438.3-2006/IEC61508-3:1998、GB/T20438.4-2006/IEC61508-3:1998、GB/T22081-2008、GB/T22239確立的以及下列術(shù)語(yǔ)和定義適用于本文件。為方便工業(yè)控制相關(guān)專業(yè)人員對(duì)本標(biāo)準(zhǔn)的理解，信息技術(shù)及信息安全相關(guān)術(shù)語(yǔ)見附件D。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備dataacquisitionandcontrolfielddevicesofindustrialcontrolsystems工業(yè)控制系統(tǒng)中，位于現(xiàn)場(chǎng)，具有以下生產(chǎn)相關(guān)全部或部分功能的一種獨(dú)立實(shí)體設(shè)備：從傳感器、變送器、調(diào)節(jié)器或開關(guān)等過(guò)程設(shè)備接收采集數(shù)據(jù)；進(jìn)行邏輯與控制計(jì)算；向調(diào)節(jié)器或開關(guān)等過(guò)程執(zhí)行設(shè)備發(fā)送控制指令。設(shè)備與其它同類設(shè)備、系統(tǒng)主站或應(yīng)用進(jìn)行采集數(shù)據(jù)與控制指令等數(shù)字或模擬信號(hào)通信。典型工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備的功能與構(gòu)成見附錄C。下列均是典型的工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備：——RTU——IED——DPU安全級(jí)securitylevel在預(yù)期的情況下，工業(yè)控制系統(tǒng)不受脆弱性影響的信心的度量。工業(yè)控制系統(tǒng)可能由于設(shè)計(jì)不當(dāng)導(dǎo)致存在脆弱性，也可能在其生命周期的任何階段被植入脆弱性，或者由于威脅的變化而出現(xiàn)脆弱性。工業(yè)控制系統(tǒng)設(shè)計(jì)時(shí)就存在的脆弱性可能在其初次安全很久后才會(huì)被發(fā)現(xiàn)，比如加密技術(shù)被破解、由于賬戶管理策略不當(dāng)導(dǎo)致的過(guò)期賬戶沒(méi)有刪除。而安裝補(bǔ)丁或是策略的變化也可能導(dǎo)致脆弱性。[ISA-62443-3-3-WD3.1.38]能力安全級(jí)capabilitysecuritylevel正確的進(jìn)行安全配置后現(xiàn)場(chǎng)測(cè)控設(shè)備或其他工業(yè)控制系統(tǒng)組件能夠達(dá)到的安全級(jí)，表明現(xiàn)場(chǎng)測(cè)控設(shè)備或其他工業(yè)控制系統(tǒng)組件滿足指定安全級(jí)需要具備的功能及其配置。[ISA-62443-3-3-WDA.2.2]目標(biāo)安全級(jí)targetsecuritylevel一個(gè)具體的工業(yè)控制系統(tǒng)需要達(dá)到的安全級(jí)。目標(biāo)安全級(jí)是根據(jù)具體系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)判定保證系統(tǒng)的正常運(yùn)行需要達(dá)到的安全水平。[ISA-62443-3-3-WDA.2.2]達(dá)到的安全級(jí)achievedsecuritylevel一個(gè)具體的工業(yè)控制系統(tǒng)實(shí)際達(dá)到的安全級(jí)。具體的系統(tǒng)設(shè)計(jì)完成或上線后進(jìn)行達(dá)到的安全級(jí)的測(cè)量，達(dá)到的安全級(jí)用于表明系統(tǒng)滿足目標(biāo)安全級(jí)要求的內(nèi)容。[ISA-62443-3-3-WDA.2.2]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。ICS：工業(yè)控制系統(tǒng)（IndustrialControlSystem）RTU：遠(yuǎn)程終端單元（RemoteTerminalUnit）IED：智能電子裝置（IntelligentElectricDevice）PLC：可編程邏輯控制器（ProgrammableLogicController）SCADA：數(shù)據(jù)采集與監(jiān)控（SupervisoryControlAndDataAcquisition）DCS：分布式控制系統(tǒng)（DistributedControlSystem）PCS：過(guò)程控制系統(tǒng)（ProcessControlSystem）DPU：分散處理單元（DistributedProcessingUnit）SL：安全級(jí)（Securitylevel）CSL：能力安全級(jí)（CapabilitySecurityLevel）TSL：目標(biāo)安全級(jí)（TargetSecurityLevel）ASL：達(dá)到的安全級(jí)（AchievedSecurityLevel）DoS：拒絕服務(wù)攻擊（DenyofService）CRC：循環(huán)冗余校驗(yàn)（CyclicRedundancyCheck）MMU：內(nèi)存管理單元（MemoryManagementUnit）MAC：消息認(rèn)證碼（MessageAuthenticationCode）CA：認(rèn)證中心（CertificateAuthority）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）HSE：健康、安全和環(huán)境（HealthSafetyandEnviroment）BPCS：基本的過(guò)程控制系統(tǒng)（BasicProcessControlSystem）SIS：安全儀表系統(tǒng)（SafetyInstrumentedSystem）FS：功能安全（FunctionalSafety）IAMS：儀表資產(chǎn)管理系統(tǒng)(InstrumentAssetManagementSystem)概述安全功能要求描述結(jié)構(gòu)要求類結(jié)構(gòu)圖1以框圖形式示意了要求類的結(jié)構(gòu)。每個(gè)要求類包括一個(gè)類名、類描述和一個(gè)或多個(gè)要求族。類名：提供標(biāo)識(shí)和劃分不同要求類所必需的信息。每個(gè)要求類都有一個(gè)唯一的名稱，類的分類信息由三個(gè)字符的簡(jiǎn)寫組成。類名的簡(jiǎn)寫也用于該類中族的族名規(guī)范中。類描述：總體描述類中包含的族和該類要求的主要作用。類描述用圖來(lái)描述類中的族以及每個(gè)族中組件的層次結(jié)構(gòu)。要求類結(jié)構(gòu)族結(jié)構(gòu)圖2以框圖形式示意了要求族的結(jié)構(gòu)。每個(gè)要求族包括一個(gè)族名、族描述和一個(gè)或多個(gè)組件。族名：提供標(biāo)識(shí)和劃分不同要求族所必需的信息。每個(gè)要求族都有一個(gè)唯一的名稱，族的分類信息由所屬類的簡(jiǎn)寫和族名三個(gè)字符的簡(jiǎn)寫組成。族描述：總體描述族和該族要求的主要作用。要求族結(jié)構(gòu)要求項(xiàng)結(jié)構(gòu)圖3以框圖形式示意了要求項(xiàng)的結(jié)構(gòu)。每個(gè)要求項(xiàng)包括要求名、要求的內(nèi)容、要求說(shuō)明、零個(gè)或多個(gè)要求加強(qiáng)子項(xiàng)和相關(guān)要求。要求名：用于標(biāo)識(shí)、分類、分族不同的要求。每個(gè)要求都有一個(gè)唯一的名稱，表明該要求的目的。用序號(hào)標(biāo)識(shí)在族中的位置。要求：描述要求的內(nèi)容，表述設(shè)備為達(dá)到該項(xiàng)要求應(yīng)滿足的條件。要求說(shuō)明：描述要求的典型實(shí)現(xiàn)機(jī)制和技術(shù)原理。要求加強(qiáng)：要求加強(qiáng)子項(xiàng)是對(duì)要求強(qiáng)度的加強(qiáng)或內(nèi)容的增加，用序號(hào)標(biāo)識(shí)在要求內(nèi)的位置。依賴要求：當(dāng)要求項(xiàng)需要依賴于其他要求項(xiàng)，或與其他要求項(xiàng)共同使用才能發(fā)揮作用時(shí)，這種對(duì)其它要求項(xiàng)的直接關(guān)聯(lián)關(guān)系在本部分中注明。設(shè)備的能力安全級(jí)與說(shuō)明要求及要求加強(qiáng)具有對(duì)應(yīng)關(guān)系，具體見附件B。要求項(xiàng)結(jié)構(gòu)安全功能要求工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備安全功能要求表見附錄A。FIA類：標(biāo)識(shí)與認(rèn)證控制類描述標(biāo)識(shí)和認(rèn)證用戶（人員、進(jìn)程和設(shè)備）的目的是在設(shè)備使用管理和系統(tǒng)應(yīng)用層面上對(duì)設(shè)備的訪問(wèn)進(jìn)行控制。標(biāo)識(shí)用戶還可用于確定用戶的行為。根據(jù)設(shè)備數(shù)字與智能化程度的不同，設(shè)備具有的訪問(wèn)接口不同，典型的接口包括：本地面板，查看或修改配置；本地或遠(yuǎn)程網(wǎng)絡(luò)，設(shè)備調(diào)試、管理與業(yè)務(wù)數(shù)據(jù)傳輸；本地RS232或RS485接口，業(yè)務(wù)數(shù)據(jù)傳輸或設(shè)備調(diào)試、管理。在這些接口上對(duì)設(shè)備進(jìn)行訪問(wèn)的典型的用戶包括但不限于以下幾種：設(shè)備使用配置用戶系統(tǒng)上位機(jī)應(yīng)用進(jìn)程FIA_IAM族：標(biāo)識(shí)與認(rèn)證方式族描述設(shè)備應(yīng)具備標(biāo)識(shí)和認(rèn)證用戶的能力。FIA_IAM.1標(biāo)識(shí)及方式要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備在對(duì)外接口標(biāo)識(shí)用戶（人員、進(jìn)程和設(shè)備）的能力。要求說(shuō)明應(yīng)至少對(duì)重要的接口或重要的用戶提供標(biāo)識(shí)，如遠(yuǎn)程網(wǎng)絡(luò)接口、配置管理用戶、上位機(jī)控制進(jìn)程等。典型的標(biāo)識(shí)方式包括網(wǎng)絡(luò)層面上的IP地址和MAC地址、應(yīng)用層面上的用戶ID等。要求加強(qiáng)FIA_IAM.1標(biāo)識(shí)及方式的加強(qiáng)要求包括：設(shè)備在所有對(duì)外接口上具有標(biāo)識(shí)用戶的能力；設(shè)備在所有對(duì)外接口上都具備唯一標(biāo)識(shí)用戶的能力。依賴要求無(wú)。FIA_IAM.2認(rèn)證及方式要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備在對(duì)外接口認(rèn)證用戶（人員、進(jìn)程和設(shè)備）的能力。要求說(shuō)明設(shè)備應(yīng)對(duì)開啟的網(wǎng)絡(luò)服務(wù)接口和重要的本地訪問(wèn)用戶進(jìn)行認(rèn)證，如配置管理用戶、遠(yuǎn)程訪問(wèn)服務(wù)等。典型的身份驗(yàn)證方式包括：口令，USBkey，共享密鑰，公鑰、生物特征等。要求加強(qiáng)FIA_IAM.2認(rèn)證及方式的加強(qiáng)要求包括：設(shè)備對(duì)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)接口上的具有控制、參數(shù)和定值修改功能的用戶實(shí)施雙因素認(rèn)證；設(shè)備對(duì)所有遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)接口上的用戶實(shí)施雙因素認(rèn)證。依賴要求FIA_IAM.1。FIA_IDM族：標(biāo)識(shí)符管理族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備管理標(biāo)識(shí)符的能力。能用于標(biāo)識(shí)用戶（人員、進(jìn)程和設(shè)備）的標(biāo)識(shí)包括網(wǎng)絡(luò)層面的IP地址、MAC地址、TCP/UDP端口和用戶ID。其中用戶ID管理的功能相當(dāng)于普通IT應(yīng)用系統(tǒng)的用戶管理，而IP地址、MAC地址和端口的管理將在訪問(wèn)控制中闡述。FIA_IDM.1用戶ID管理要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備向用戶分配ID的能力。要求說(shuō)明用戶主要指管理員或工作人員，設(shè)備應(yīng)支持向這些具有運(yùn)行參數(shù)或設(shè)備配置訪問(wèn)權(quán)限的用戶分配ID的能力。要求加強(qiáng)FIA_IDM.1用戶ID管理的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)用戶ID進(jìn)行添加、刪除等管理；設(shè)備支持管理員對(duì)安全策略規(guī)定一段時(shí)間不使用的用戶ID進(jìn)行鎖定。依賴要求FIA_IAM.1。FIA_ARM族：認(rèn)證碼管理族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備管理認(rèn)證碼的能力。主要包括對(duì)口令、證書等認(rèn)證碼的強(qiáng)度和使用的管理。由于對(duì)設(shè)備的訪問(wèn)方式可能包括本地面板管理訪問(wèn)、串口配置軟件管理訪問(wèn)、網(wǎng)絡(luò)配置軟件（私有軟件和FTP）管理訪問(wèn)、上位機(jī)應(yīng)用訪問(wèn)，因此認(rèn)證碼的使用和管理涵蓋應(yīng)用層面的認(rèn)證碼和網(wǎng)絡(luò)層面的認(rèn)證碼管理。FIA_ARM.1口令修改要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持管理員和用戶在不影響正常操作的情況下修改他們管理范圍內(nèi)口令。要求說(shuō)明主要針對(duì)管理員、配置查看用戶、配置修改用戶等應(yīng)用用戶口令進(jìn)行管理。要求加強(qiáng)FIA_ARM.1口令修改的加強(qiáng)要求包括：設(shè)備應(yīng)支持并提示對(duì)出廠默認(rèn)口令的修改。依賴要求FIA_IAM.2。FIA_ARM.2口令更換周期要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該提供支持安全策略要求中口令使用周期的能力。要求說(shuō)明在實(shí)現(xiàn)上，成功的用戶驗(yàn)證后，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該提供必要的自動(dòng)提醒能力，通知用戶距離上次修改密碼已經(jīng)超過(guò)了安全策略要求的密碼使用周期。要求加強(qiáng)FIA_ARM.2口令更換周期的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)口令更換周期進(jìn)行配置。依賴要求FIA_IAM.2。FIA_ARM.3口令強(qiáng)度控制要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該提供支持安全策略中口令強(qiáng)度要求的能力。要求說(shuō)明在實(shí)現(xiàn)上，當(dāng)用戶設(shè)定口令強(qiáng)度不足時(shí)，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)自動(dòng)提醒用戶口令應(yīng)滿足怎樣的安全策略。要求加強(qiáng)FIA_ARM.3口令強(qiáng)度控制的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)口令的最小長(zhǎng)度、最長(zhǎng)/最短使用時(shí)間和要求字母或特殊字符數(shù)量進(jìn)行配置。依賴要求FIA_IAM.2。FIA_ARM.4口令失效機(jī)制要求設(shè)備的用戶名/口令認(rèn)證控制不能被攻破或繞過(guò)。要求說(shuō)明包括但不限于以下機(jī)制和技術(shù)：嵌入式主口令嵌入式芯片在硬件或軟件故障時(shí)自動(dòng)運(yùn)行的診斷程序如跳線和開關(guān)設(shè)置等的密碼硬件旁路廠商應(yīng)說(shuō)明設(shè)備具有的所有能繞過(guò)用戶創(chuàng)建的用戶名/口令防護(hù)的機(jī)制。如果廠商表示設(shè)備目前沒(méi)有這樣的機(jī)制，廠商應(yīng)證明這點(diǎn)。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2。FIA_ARM.5證書及公私鑰管理要求如果使用了公鑰和證書作為認(rèn)證機(jī)制，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備（及其配置軟件）應(yīng)該提供對(duì)公鑰和證書進(jìn)行管理的能力。要求說(shuō)明以配置用戶USBkey為例，其中的證書和公鑰體系主要用于使用配置軟件對(duì)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備進(jìn)行配置訪問(wèn)時(shí)的用戶認(rèn)證。設(shè)備的配置軟件應(yīng)能夠?qū)ε渲糜脩艄€進(jìn)行管理，對(duì)證書進(jìn)行識(shí)別。對(duì)于通信層面上，公私鑰可用于現(xiàn)場(chǎng)測(cè)控設(shè)備和其它設(shè)備、遠(yuǎn)程配置系統(tǒng)、監(jiān)控后臺(tái)或上位機(jī)的通信身份認(rèn)證。設(shè)備應(yīng)能保證本地存儲(chǔ)私鑰的安全，同時(shí)可以對(duì)其它通信對(duì)象的證書的真實(shí)性和有效性，從而認(rèn)證識(shí)別出對(duì)象的身份。要求加強(qiáng)FIA_ARM.5證書及公私鑰管理的加強(qiáng)要求包括：現(xiàn)場(chǎng)測(cè)控設(shè)備及其配置軟件應(yīng)該支持安全策略要求的公鑰和證書的周期更新的能力；在整個(gè)工控系統(tǒng)層面上有有效的公鑰管理架構(gòu)和CA。依賴要求FIA_IAM.2。FIA_ARM.6對(duì)稱密鑰管理要求如果使用了對(duì)稱密鑰作為認(rèn)證機(jī)制或進(jìn)行傳輸數(shù)據(jù)加密，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該提供對(duì)對(duì)稱密鑰進(jìn)行管理的能力。要求說(shuō)明對(duì)于通信層面上，對(duì)稱密鑰可用于現(xiàn)場(chǎng)測(cè)控設(shè)備和其它設(shè)備、監(jiān)控后臺(tái)或上位機(jī)的通信身份認(rèn)證。設(shè)備應(yīng)能保證本地存儲(chǔ)密鑰的安全，同時(shí)滿足密鑰管理策略。要求加強(qiáng)FIA_ARM.6對(duì)稱密鑰管理的加強(qiáng)要求包括：現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持安全策略要求的對(duì)稱密鑰周期更新的能力；在整個(gè)工控系統(tǒng)層面上有有效的密鑰管理體系，實(shí)現(xiàn)對(duì)密鑰的分發(fā)、更新和撤銷。依賴要求FIA_IAM.2。FIA_ARM.7密碼學(xué)服務(wù)失效要求如果使用基于密碼學(xué)的認(rèn)證機(jī)制，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備的重要訪問(wèn)點(diǎn)不得依賴于外部密碼學(xué)服務(wù)。要求說(shuō)明如果外部密碼學(xué)（如加密、密鑰驗(yàn)證）服務(wù)不可用，可能導(dǎo)致嵌入式設(shè)備拒絕服務(wù)。訪問(wèn)關(guān)鍵功能的本地優(yōu)先接入點(diǎn)不應(yīng)依靠外部驗(yàn)證服務(wù)，因?yàn)橐坏┦o(wú)法直接處理。對(duì)于遠(yuǎn)程訪問(wèn)關(guān)鍵功能的情況，可酌情考慮使用。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2；FIA_ARM.5；FIA_ARM.6。FIA_LGM族：登錄管理族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備對(duì)管理員、配置查看用戶、配置修改用戶等應(yīng)用用戶登錄成功、失敗和登錄過(guò)程進(jìn)行管理的能力。FIA_LGM.1登錄失敗管理要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該管理和記錄用戶自從最近的成功登錄后的登錄失敗的次數(shù)和時(shí)間。要求說(shuō)明主要對(duì)管理員、配置管理用戶等實(shí)現(xiàn)認(rèn)證了的重要用戶的登錄進(jìn)行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2。FIA_LGM.2登錄成功記錄要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該管理和記錄用戶最后一次登錄成功的日期和時(shí)間。要求說(shuō)明主要對(duì)管理員、配置管理用戶等實(shí)現(xiàn)認(rèn)證了的重要用戶的登錄進(jìn)行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2。FIA_LGM.3展示登錄歷史要求成功的用戶驗(yàn)證后，工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)該顯示最近的登錄成功的時(shí)間，以及那之后此用戶賬號(hào)登錄失敗嘗試的次數(shù)和時(shí)間。要求說(shuō)明主要對(duì)管理員、配置管理用戶等實(shí)現(xiàn)認(rèn)證了的重要用戶的登錄進(jìn)行管理。登錄方式涵蓋本地液晶屏登錄、私有配置軟件登錄、FTP登錄、HTTP登錄等方式。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2；FIA_LGM.1。FIA_LGM.4多次登錄失敗行為要求現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持當(dāng)安全策略規(guī)定的一段時(shí)間內(nèi)失敗的登錄嘗試次數(shù)超過(guò)了安全策略中要求的值，設(shè)備執(zhí)行限制機(jī)制。要求說(shuō)明限制機(jī)制包括對(duì)用戶進(jìn)行鎖定、發(fā)出警報(bào)等。要求加強(qiáng)FIA_LGM.4多次登錄失敗行為的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)鎖定前的登錄失敗次數(shù)和解鎖方式進(jìn)行配置。依賴要求FIA_IAM.2；FIA_LGM.1。FIA_LGM.5認(rèn)證反饋要求現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)在認(rèn)證過(guò)程中對(duì)認(rèn)證的返回信息模糊化，以免非授權(quán)人員利用這些信息。要求說(shuō)明反饋信息應(yīng)不包括未授權(quán)人員可以利用的危害認(rèn)證機(jī)制的信息。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.2。FUC類：使用控制類描述使用控制的目的是為了保護(hù)系統(tǒng)，在用戶發(fā)起請(qǐng)求之前，確定每個(gè)請(qǐng)求訪問(wèn)設(shè)備或系統(tǒng)的用戶的標(biāo)識(shí)和權(quán)限，并根據(jù)權(quán)限執(zhí)行所請(qǐng)求的操作，并進(jìn)行監(jiān)視。FUC_ACA族：訪問(wèn)控制授權(quán)族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備為不同的訪問(wèn)用戶分配權(quán)限的能力。權(quán)限包括設(shè)備使用層面的運(yùn)行數(shù)據(jù)查看、配置參數(shù)變更；系統(tǒng)應(yīng)用層面的控制命令下發(fā)、定值下發(fā)、數(shù)據(jù)量采集。FUC_ACA.1授權(quán)項(xiàng)管理要求現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持對(duì)授權(quán)項(xiàng)的管理。要求說(shuō)明需要授權(quán)的典型功能包括：查看數(shù)據(jù)：查看數(shù)據(jù)是指能夠查看變電站設(shè)備的運(yùn)行數(shù)據(jù)（電壓，電流，功率，狀態(tài)，報(bào)警等）。查看配置設(shè)置：查看配置設(shè)置指的是查看設(shè)備的配置，如標(biāo)值，通信地址，可編程的邏輯程序，固件版本號(hào)。配置變更：配置變更是指下載和上傳裝置的配置文件，和/或變更現(xiàn)有的配置。固件變更：固件變更指的是不需要變更相應(yīng)硬件的新固件加載。帳戶管理：創(chuàng)建、刪除或修改帳戶內(nèi)容。審計(jì)日志：審計(jì)日志是能夠指查看和下載審計(jì)日志?？刂泼睿嚎刂泼钪干衔粰C(jī)對(duì)設(shè)備下發(fā)控制命令。授權(quán)項(xiàng)管理包括對(duì)設(shè)備使用層面的權(quán)限管理，依據(jù)配置角色、查看角色、審計(jì)角色等角色分配權(quán)限。另外還包括整個(gè)工控系統(tǒng)層面上，其他Server、Client與現(xiàn)場(chǎng)設(shè)備實(shí)施采集或控制的權(quán)限。要求加強(qiáng)無(wú)。依賴要求無(wú)；FUC_ACA.2基于角色的訪問(wèn)控制要求現(xiàn)場(chǎng)測(cè)控設(shè)備的訪問(wèn)控制功能應(yīng)該提供支持基于角色的訪問(wèn)控制策略的能力。要求說(shuō)明基于角色的訪問(wèn)控制根據(jù)具體的用戶訪問(wèn)權(quán)限級(jí)別來(lái)定義用戶角色，用戶在成功認(rèn)證后被授予與分配的角色對(duì)應(yīng)的權(quán)限。對(duì)于功能相對(duì)簡(jiǎn)單的設(shè)備，現(xiàn)場(chǎng)測(cè)控設(shè)備的用戶角色和權(quán)限可以在出廠時(shí)便配置完成，如配置角色用戶、查看角色用戶、審計(jì)角色用戶、FTP應(yīng)用訪問(wèn)角色、控制上位機(jī)角色等。設(shè)備使用層面的用戶也可能是固定的，如只有一個(gè)查看用戶、一個(gè)配置用戶、一個(gè)審計(jì)用戶和一個(gè)管理員用戶。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.1。FUC_ACA.3管理員用戶要求現(xiàn)場(chǎng)測(cè)控設(shè)備訪問(wèn)控制功能應(yīng)該支持管理員用戶角色，管理員主要負(fù)責(zé)用戶賬戶管理和安全功能管理。要求說(shuō)明只有管理員角色權(quán)限允許建立和管理其他賬號(hào)。對(duì)于功能簡(jiǎn)單的設(shè)備，管理員角色、配置用戶角色和審計(jì)用戶角色可以由一個(gè)用戶完成，并沒(méi)有復(fù)雜的用戶管理模式。系統(tǒng)運(yùn)行中用戶和操作人員的對(duì)應(yīng)關(guān)系靠“操作票”等管理手段實(shí)現(xiàn)。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。FUC_ACA.4最小權(quán)限原則要求用戶僅具備完成任務(wù)所需的最小權(quán)限。要求說(shuō)明設(shè)備使用層面上，新建的用戶ID僅具有最小的訪問(wèn)控制權(quán)限，應(yīng)由管理員來(lái)根據(jù)策略提升對(duì)應(yīng)帳號(hào)的權(quán)限。系統(tǒng)應(yīng)用層面上，現(xiàn)場(chǎng)設(shè)備的對(duì)端設(shè)備（上位機(jī)或其他現(xiàn)場(chǎng)設(shè)備）對(duì)設(shè)備的訪問(wèn)也應(yīng)基于最小權(quán)限，如只能訪問(wèn)某一服務(wù)端口、只能進(jìn)行某一類操作。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.1；FUC_ACA.1。FUC_ACA.5分權(quán)管理要求現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持用戶修改重要的參數(shù)或進(jìn)行重要的控制操作的分權(quán)管理。要求說(shuō)明分權(quán)管理的典型過(guò)程是操作用戶和審核用戶合作獲得訪問(wèn)設(shè)備數(shù)據(jù)或執(zhí)行控制操作的權(quán)限。主要是針對(duì)重要操作流程的安全機(jī)制。該功能主要在系統(tǒng)層面實(shí)現(xiàn)，用于重要控制操作的執(zhí)行和確認(rèn)過(guò)程。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。FUC_SEC族：會(huì)話控制族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備對(duì)設(shè)備使用用戶會(huì)話進(jìn)行控制的能力，如來(lái)自配置用戶或配置應(yīng)用的訪問(wèn)。主要通過(guò)終止或鎖定超時(shí)會(huì)話保證會(huì)話的安全性。FUC_SEC.1本地會(huì)話超時(shí)鎖定要求當(dāng)設(shè)備使用用戶通過(guò)本機(jī)控制面板與設(shè)備的會(huì)話在策略規(guī)定的一段時(shí)間內(nèi)都不活動(dòng)，設(shè)備應(yīng)鎖定會(huì)話。要求說(shuō)明會(huì)話鎖定應(yīng)一直保持到用戶重新登錄。要求加強(qiáng)FUC_SEC.1本地會(huì)話超時(shí)鎖定的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)會(huì)話鎖定前的不活動(dòng)時(shí)間進(jìn)行配置。依賴要求無(wú)。FUC_SEC.2網(wǎng)絡(luò)會(huì)話超時(shí)終止要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)在網(wǎng)絡(luò)設(shè)備使用用戶與設(shè)備的會(huì)話在策略規(guī)定的一段時(shí)間內(nèi)不活動(dòng)時(shí)，對(duì)會(huì)話進(jìn)行終止。要求說(shuō)明用于設(shè)備的配置用戶的網(wǎng)絡(luò)訪問(wèn)，尤其是遠(yuǎn)程訪問(wèn)，不對(duì)系統(tǒng)應(yīng)用用戶進(jìn)行限制。如果會(huì)話通過(guò)網(wǎng)絡(luò)是具有足夠的物理訪問(wèn)控制機(jī)制的可信網(wǎng)絡(luò)，也可以依照本地會(huì)話鎖定進(jìn)行控制。要求加強(qiáng)FUC_SEC.2網(wǎng)絡(luò)會(huì)話超時(shí)終止的加強(qiáng)要求包括：設(shè)備支持管理員會(huì)話終止前的不活動(dòng)時(shí)間進(jìn)行配置。依賴要求無(wú)。FUC_ATC族：審計(jì)內(nèi)容的產(chǎn)生族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠產(chǎn)生安全性事件和重要生產(chǎn)活動(dòng)的審計(jì)信息。為保證設(shè)備的應(yīng)用性能，審計(jì)行為可以通過(guò)設(shè)備的附加模塊或系統(tǒng)附加設(shè)備實(shí)現(xiàn)。FUC_ATC.1審計(jì)事件要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備審計(jì)功能，對(duì)重要的安全性事件和重要生產(chǎn)活動(dòng)進(jìn)行審計(jì)。要求說(shuō)明管理層面上，應(yīng)根據(jù)設(shè)備和設(shè)備運(yùn)行環(huán)境的風(fēng)險(xiǎn)評(píng)估結(jié)果決定需要審計(jì)的事件。典型的重要設(shè)備使用事件包括：登錄成功：用戶成功（本地或遠(yuǎn)程）登錄設(shè)備；非法登錄嘗試：用戶連續(xù)多次輸入口令錯(cuò)誤；正常退出：用戶發(fā)起的退出；超時(shí)退出：在預(yù)先定義好的一段時(shí)間內(nèi)不活動(dòng)，系統(tǒng)注銷用戶此次登陸；訪問(wèn)配置：將配置文件從設(shè)備下載存儲(chǔ)到外部設(shè)備中（例如，計(jì)算機(jī)，記憶棒，光盤）；配置更改：在設(shè)備中傳入新配置或者通過(guò)面板輸入新配置參數(shù)，使設(shè)備的配置發(fā)生改變；固件更換：在內(nèi)存中增加新的設(shè)備運(yùn)行固件；創(chuàng)建用戶名/口令或更改：創(chuàng)建新的用戶名/口令或者修改帳戶權(quán)限；刪除用戶名/口令：刪除用戶名/口令；訪問(wèn)審計(jì)記錄：用戶查看日志或?qū)⑷罩颈４嬖谕獠吭O(shè)備或存儲(chǔ)空間（計(jì)算機(jī)、內(nèi)存條、光盤）；修改時(shí)間/日期：用戶要求修改時(shí)間和日期。典型的重要生產(chǎn)活動(dòng)包括：參數(shù)修改：上位機(jī)或其它設(shè)備修改設(shè)備的開關(guān)量、檔位等參數(shù)；設(shè)備重啟：由于斷電、按下重啟按鈕、修改上電順序或配置修改導(dǎo)致的設(shè)備重啟；非法連接嘗試：不符合訪問(wèn)控制策略的連接嘗試，如連接來(lái)自非法的IP、MAC或訪問(wèn)的是不允許連接的端口；審計(jì)事件要與設(shè)備具備和開啟的安全功能相對(duì)應(yīng)，如不具備訪問(wèn)控制功能的設(shè)備不需要記錄“非法連接嘗試”事件。要求加強(qiáng)FUC_ATC.1審計(jì)事件的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)需要審計(jì)的事件清單進(jìn)行配置。依賴要求FIA_LGM.2；FIA_LGM.4；FDF_NAC.2；FRA_BUC.1。FUC_ATC.2審計(jì)記錄的內(nèi)容要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件的審計(jì)記錄中應(yīng)包含足夠的可用于追蹤與分析安全事件的內(nèi)容。要求說(shuō)明根據(jù)審計(jì)記錄，用戶能夠確定有哪些事件發(fā)生，事件發(fā)生時(shí)間，事件來(lái)源和事件的結(jié)果。大多數(shù)的審計(jì)記錄內(nèi)容包括：事件的日期和時(shí)間；事件來(lái)源（例如，用戶ID、設(shè)備ID、設(shè)備IP等）；事件的操作；事件的結(jié)果（成功或失敗）。要求加強(qiáng)FUC_ATC.2審計(jì)記錄的內(nèi)容的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)審計(jì)記錄的內(nèi)容進(jìn)行配置。依賴要求FUC_ATC.1。FUC_ATC.3審計(jì)的時(shí)間戳要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件的審計(jì)記錄中的時(shí)間的產(chǎn)生應(yīng)基于“系統(tǒng)時(shí)間”。要求說(shuō)明系統(tǒng)時(shí)間是指工控系統(tǒng)內(nèi)同步的時(shí)間，以便各種來(lái)源的事件都可以準(zhǔn)確地和一個(gè)時(shí)間基準(zhǔn)比對(duì)，準(zhǔn)確地判斷事故。要求加強(qiáng)無(wú)。依賴要求無(wú)。FUC_ATC.4用戶關(guān)聯(lián)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件中記錄的每個(gè)審計(jì)事件都應(yīng)與引起該事件的用戶相關(guān)聯(lián)。要求說(shuō)明無(wú)。要求加強(qiáng)無(wú)。依賴要求FIA_IAM.1。FUC_ATS族：審計(jì)信息的存儲(chǔ)族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠存儲(chǔ)并保護(hù)安全性事件和重要生產(chǎn)活動(dòng)的審計(jì)信息。FUC_ATS.1審計(jì)容量要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備審計(jì)功能，對(duì)重要的安全性事件和重要生產(chǎn)活動(dòng)進(jìn)行審計(jì)。要求說(shuō)明如果由工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備自身完成審計(jì)功能，那么設(shè)備能維護(hù)一個(gè)大小合理的審計(jì)存儲(chǔ)空間，在滿足審計(jì)功能的同時(shí)，保證不影響設(shè)備的可用性。要求加強(qiáng)FUC_ATS.1審計(jì)容量的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)需要審計(jì)的事件清單進(jìn)行配置。依賴要求無(wú)。FUC_ATS.2審計(jì)故障告警要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件應(yīng)在審計(jì)失敗時(shí)發(fā)出適當(dāng)?shù)母婢Ｒ笳f(shuō)明告警的方式包括亮警示燈、鳴笛等。審計(jì)處理失敗包括軟件或硬件錯(cuò)誤、生成審計(jì)記錄過(guò)程中的錯(cuò)誤、審計(jì)存儲(chǔ)空間滿載等。要求加強(qiáng)FUC_ATS.2審計(jì)故障告警的加強(qiáng)要求包括：設(shè)備支持管理員對(duì)審計(jì)存儲(chǔ)空間滿載時(shí)，設(shè)備能自動(dòng)執(zhí)行的操作進(jìn)行配置，如覆蓋舊的審計(jì)記錄或停止生成審計(jì)記錄等。依賴要求FUC_ATS.1。FUC_ATS.3審計(jì)信息保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件應(yīng)保護(hù)審計(jì)信息和審計(jì)工具不被非授權(quán)訪問(wèn)、修改和刪除。要求說(shuō)明應(yīng)保證只有授權(quán)用戶可以對(duì)審計(jì)信息進(jìn)行操作?？赏ㄟ^(guò)增加校驗(yàn)碼實(shí)現(xiàn)審計(jì)信息的防篡改。要求加強(qiáng)FUC_ATS.3審計(jì)信息保護(hù)的加強(qiáng)要求包括：設(shè)備為審計(jì)信息提供基于密碼學(xué)的保護(hù)功能。依賴要求FUC_ACA.1。FUC_ATR族：審計(jì)信息的查閱族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)支持用戶對(duì)審計(jì)數(shù)據(jù)進(jìn)行查閱。FUC_ATR.1讀取審計(jì)信息要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件應(yīng)保證以便于用戶理解的方式提供審計(jì)記錄，且只有授權(quán)用戶可以讀取審計(jì)記錄。要求說(shuō)明只有授權(quán)用戶具備獲得和解釋審計(jì)信息的能力。用戶是人員用戶時(shí)，信息必須為人類可理解的方式表示；用戶為外部IT實(shí)體時(shí)，信息必須以電子方式無(wú)歧異的表示。要求加強(qiáng)無(wú)。依賴要求FUC_ACA.1；FUC_ATS.3。FUC_ATR.2系統(tǒng)范圍審計(jì)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件應(yīng)具備功能，能夠?qū)⒆陨淼膶徲?jì)記錄發(fā)送給其它設(shè)備進(jìn)行更高級(jí)別的審計(jì)。要求說(shuō)明大多數(shù)嵌入式設(shè)備的審計(jì)信息存儲(chǔ)容量是有限的，最好能從系統(tǒng)層面來(lái)使用工具對(duì)系統(tǒng)范圍內(nèi)所有設(shè)備和主機(jī)的審計(jì)記錄進(jìn)行過(guò)濾和分析，這同時(shí)也要求設(shè)備的審計(jì)信息格式是標(biāo)準(zhǔn)的，可以實(shí)現(xiàn)統(tǒng)一審計(jì)的。要求加強(qiáng)無(wú)。依賴要求無(wú)。FUC_ATR.3審計(jì)報(bào)告的生成要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或從事審計(jì)功能的組件應(yīng)具備審計(jì)歸納和報(bào)告功能，實(shí)現(xiàn)對(duì)審計(jì)信息的歸納、審查。報(bào)告工具支持在不改變?cè)紝徲?jì)記錄的情況下作安全事件的事后調(diào)查。要求說(shuō)明一般情況下，審計(jì)信息的歸納和報(bào)告的生成會(huì)在一個(gè)獨(dú)立的信息系統(tǒng)中執(zhí)行，比如在系統(tǒng)范圍審計(jì)工具中實(shí)現(xiàn)。要求加強(qiáng)無(wú)。依賴要求FUC_ATR.2。FDI類：數(shù)據(jù)完整性類描述對(duì)數(shù)據(jù)的完整性進(jìn)行保護(hù)的目的是防止數(shù)據(jù)被篡改，主要針對(duì)危險(xiǎn)的開放環(huán)境中傳輸?shù)臄?shù)據(jù)或存儲(chǔ)的數(shù)據(jù)。FDI_DSI族：數(shù)據(jù)存儲(chǔ)完整性族描述在工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備上對(duì)存儲(chǔ)數(shù)據(jù)的完整性進(jìn)行保護(hù)，防止軟件和信息被未授權(quán)篡改。對(duì)存儲(chǔ)數(shù)據(jù)的完整性保護(hù)不僅僅是使用訪問(wèn)控制手段。如果設(shè)備是放置在物理上安全的環(huán)境內(nèi)可以不在設(shè)備上進(jìn)行存儲(chǔ)數(shù)據(jù)完整性的保護(hù)。FDI_DSI.1安全功能檢測(cè)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制驗(yàn)證安全保護(hù)功能的執(zhí)行情況，在發(fā)生異常情況時(shí)發(fā)出報(bào)告。要求說(shuō)明設(shè)備如果不具備安全功能自檢，那就要具備其他補(bǔ)償機(jī)制或者判定風(fēng)險(xiǎn)是可接收的。設(shè)備廠商或集成商應(yīng)提供如何測(cè)試所設(shè)計(jì)的安全措施的指南。要求加強(qiáng)FDI_DSI.1安全功能檢測(cè)的加強(qiáng)要求包括：設(shè)備提供接口并支持工控系統(tǒng)層面的整體安全功能自動(dòng)驗(yàn)證與報(bào)警。依賴要求FUC_ATC.1。FDI_DSI.2錯(cuò)誤處理要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)識(shí)別和處理錯(cuò)誤情況并迅速產(chǎn)生安全相關(guān)錯(cuò)誤消息。要求說(shuō)明錯(cuò)誤消息中應(yīng)僅包含有能夠與定位處理某一特定問(wèn)題的信息，而不應(yīng)提供可被惡意分子用來(lái)發(fā)起信息安全攻擊的信息。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DSI.3應(yīng)用特定語(yǔ)法驗(yàn)證要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)檢查輸入信息的一致性、完整性、有效性和真實(shí)性。要求說(shuō)明外部源輸入的數(shù)據(jù)主要包括兩類：應(yīng)用輸入：用來(lái)作為過(guò)程控制的輸入；程序配置：用于對(duì)設(shè)備進(jìn)行狀態(tài)變更?？刹捎眉用軝C(jī)制防止代碼被篡改。通過(guò)本地控制面板或配置軟件輸入的參數(shù)應(yīng)可見，防止輸入被設(shè)備錯(cuò)誤的理解為命令。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DSI.4數(shù)據(jù)的非可執(zhí)行性要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)將數(shù)據(jù)和可執(zhí)行代碼分別存儲(chǔ)在不同的內(nèi)存空間，并能夠阻止數(shù)據(jù)內(nèi)存空間內(nèi)的代碼執(zhí)行。要求說(shuō)明可以使用支持硬件MMU的OS，或者支持分離內(nèi)存硬件設(shè)計(jì)的CPU（如68000系列芯片組）。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備防止對(duì)靜態(tài)數(shù)據(jù)進(jìn)行非授權(quán)寫操作的保護(hù)機(jī)制（硬件和/或軟件）。要求說(shuō)明可以使用支持硬件MMU的OS，或者支持分離內(nèi)存硬件設(shè)計(jì)的CPU（如68000系列芯片組）。工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備基本的對(duì)用戶應(yīng)用配置數(shù)據(jù)、可執(zhí)行代碼的未授權(quán)修改、刪除或插入的防護(hù)機(jī)制。如果工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備具有操作系統(tǒng)，則應(yīng)具備基本的機(jī)制防止未授權(quán)修改產(chǎn)品操作系統(tǒng)和修改、刪除或插入運(yùn)行數(shù)據(jù)的操作。 工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠自動(dòng)檢測(cè)對(duì)內(nèi)存中的應(yīng)用配置數(shù)據(jù)的修改，這些數(shù)據(jù)可以被修改，但是在一般操作中并不會(huì)自動(dòng)修改。工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠自動(dòng)檢測(cè)對(duì)內(nèi)存中的可執(zhí)行代碼的修改與插入。這些數(shù)據(jù)可以被修改，但是在一般操作中并不會(huì)自動(dòng)修改，也不會(huì)有新的代碼插入。因此防護(hù)主要針對(duì)當(dāng)可執(zhí)行代碼的修改和加載不是廠商的授權(quán)版本更新的時(shí)候。工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠自動(dòng)檢測(cè)對(duì)內(nèi)存中的操作系統(tǒng)配置的修改。操作系統(tǒng)配置可能被修改，但是在一般操作中并不會(huì)自動(dòng)修改。因此防護(hù)主要針對(duì)當(dāng)操作系統(tǒng)配置的修改不是廠商的授權(quán)版本更新的時(shí)候。典型操作包括非法修改處理系統(tǒng)異常的中斷向量表和進(jìn)程調(diào)度算法。要求加強(qiáng)FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護(hù)的加強(qiáng)要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的靜態(tài)數(shù)據(jù)未授權(quán)修改的防護(hù)機(jī)制。依賴要求無(wú)。FDI_DSI.6寫入保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備防止對(duì)靜態(tài)數(shù)據(jù)進(jìn)行非授權(quán)寫操作的保護(hù)機(jī)制（硬件和/或軟件）。要求說(shuō)明本項(xiàng)要求主要用于防止對(duì)可以采用阻斷編程電壓或通過(guò)MMU進(jìn)行寫操作來(lái)阻止對(duì)FLASH進(jìn)行寫操作。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DTI族：數(shù)據(jù)傳輸完整性族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能保證傳輸信息的完整性，主要針對(duì)系統(tǒng)應(yīng)用通信數(shù)據(jù)的安全性，例如設(shè)備與上位機(jī)之間、設(shè)備與設(shè)備之間的通信。如果數(shù)據(jù)報(bào)文通過(guò)的網(wǎng)絡(luò)是具有足夠的物理訪問(wèn)控制機(jī)制的可信網(wǎng)絡(luò)，可以不在設(shè)備上在進(jìn)行傳輸數(shù)據(jù)完整性的保護(hù)。FDI_DTI.1數(shù)據(jù)包插入要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制抵御惡意攻擊者在通信數(shù)據(jù)中插入惡意或無(wú)關(guān)數(shù)據(jù)包。要求說(shuō)明主要通過(guò)添加序列碼，設(shè)備對(duì)序列碼的有效性進(jìn)行判斷，從而識(shí)別是否為無(wú)用或惡意的數(shù)據(jù)包。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DTI.2數(shù)據(jù)包刪除要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制抵御惡意攻擊者刪除數(shù)據(jù)包。要求說(shuō)明主要通過(guò)添加序列碼，設(shè)備判斷序列碼的連續(xù)性，從而識(shí)別是否存在數(shù)據(jù)包的丟失。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DTI.3數(shù)據(jù)包過(guò)分延遲要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠處理過(guò)度延遲的數(shù)據(jù)包。要求說(shuō)明可以通過(guò)在系統(tǒng)應(yīng)用層面上收方發(fā)送收包確認(rèn)信息、使用時(shí)間窗或設(shè)定超時(shí)容忍時(shí)間來(lái)處理過(guò)渡延遲的數(shù)據(jù)包。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DTI.4數(shù)據(jù)包重放要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制抵御數(shù)據(jù)包的重放。要求說(shuō)明主要通過(guò)添加序列碼和時(shí)間標(biāo)簽，設(shè)備判斷序列碼和時(shí)間標(biāo)簽是否新鮮，從而識(shí)別是否存在數(shù)據(jù)包的重放。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DTI.5數(shù)據(jù)防篡改要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制來(lái)識(shí)別對(duì)通信信息的篡改。要求說(shuō)明檢測(cè)通信過(guò)程中出現(xiàn)的錯(cuò)誤的典型機(jī)制為循環(huán)校驗(yàn)碼（CRC），一般用于對(duì)抗隨機(jī)錯(cuò)誤，比如tcp的循環(huán)校驗(yàn)碼。要求加強(qiáng)FDI_DTI.5數(shù)據(jù)防篡改的加強(qiáng)要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的通信信息防篡改機(jī)制。典型機(jī)制如MAC、HASH等。依賴要求無(wú)。FDI_DTI.6會(huì)話保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制對(duì)會(huì)話過(guò)程的完整進(jìn)行保護(hù)，防止中間人攻擊。要求說(shuō)明主要針對(duì)協(xié)議交互過(guò)程進(jìn)行安全設(shè)計(jì)，防止中間人通過(guò)對(duì)協(xié)議觀察分析從而加入或竊取通信會(huì)話。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDC類：數(shù)據(jù)保密性類描述對(duì)數(shù)據(jù)的保密性進(jìn)行保護(hù)的目的是防止數(shù)據(jù)被竊聽，主要針對(duì)危險(xiǎn)的開放環(huán)境中傳輸或存儲(chǔ)的敏感數(shù)據(jù)。FDC_CRM族：加密機(jī)制族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備采用的加密機(jī)制應(yīng)符合國(guó)家和行業(yè)的相關(guān)法律、法規(guī)要求。FDC_CRM.1加密機(jī)制要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備采用的加密機(jī)制應(yīng)符合國(guó)家和行業(yè)的相關(guān)法律、法規(guī)要求。要求說(shuō)明保證加密機(jī)制有效的方法是直接采用國(guó)家認(rèn)證的密碼模塊。工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備所使用的加密機(jī)制的說(shuō)明文檔（和第三方的認(rèn)證報(bào)告），用戶可以通過(guò)這些文檔判斷所采購(gòu)的設(shè)備是否符合法律、規(guī)章等要求。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDC_DSC族：存儲(chǔ)數(shù)據(jù)的保密性保護(hù)族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能保護(hù)存儲(chǔ)數(shù)據(jù)的保密性。如果設(shè)備是放置在物理上安全的環(huán)境內(nèi)可以不在設(shè)備上在進(jìn)行存儲(chǔ)數(shù)據(jù)保密性的保護(hù)。FDC_DSC.1存儲(chǔ)數(shù)據(jù)的保密性保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制保護(hù)存儲(chǔ)數(shù)據(jù)的保密性。要求說(shuō)明工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備中的口令、密鑰、用戶隱私等敏感數(shù)據(jù)應(yīng)以非明文方式存儲(chǔ)。要求加強(qiáng)FDC_DSC.1存儲(chǔ)數(shù)據(jù)的保密性保護(hù)的加強(qiáng)要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的存儲(chǔ)數(shù)據(jù)保密性保護(hù)機(jī)制，如加密等。依賴要求FDC_CRM.1。FDC_DTC族：傳輸數(shù)據(jù)保密性族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能保證傳輸數(shù)據(jù)的保密性，防止未授權(quán)的通信數(shù)據(jù)竊聽，主要針對(duì)口令、密鑰等安全管理數(shù)據(jù)和重要的系統(tǒng)應(yīng)用通信數(shù)據(jù)。如果數(shù)據(jù)報(bào)文通過(guò)的網(wǎng)絡(luò)是具有足夠的物理訪問(wèn)控制機(jī)制的可信網(wǎng)絡(luò)，可以不在設(shè)備上在進(jìn)行傳輸數(shù)據(jù)保密性的保護(hù)。FDC_DTC.1傳輸數(shù)據(jù)的保密性保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制保護(hù)傳輸數(shù)據(jù)的保密性。要求說(shuō)明傳輸?shù)目诹睢⒚荑€和用戶隱私等敏感數(shù)據(jù)應(yīng)以非明文方式傳輸。數(shù)據(jù)保密性保護(hù)機(jī)制可以在應(yīng)用層實(shí)現(xiàn)，也可以當(dāng)數(shù)據(jù)在非安全域內(nèi)傳輸時(shí)，在邊界設(shè)備上實(shí)現(xiàn)。要求加強(qiáng)FDC_DTC.1傳輸數(shù)據(jù)的保密性保護(hù)的加強(qiáng)要求包括：設(shè)備應(yīng)具備基于密碼學(xué)的傳輸數(shù)據(jù)保密性保護(hù)機(jī)制，如加密等。依賴要求FDC_CRM.1。FDF類：受限的信息流類描述在網(wǎng)絡(luò)與本地通過(guò)訪問(wèn)控制和分區(qū)來(lái)限制不必要的數(shù)據(jù)流。FDF_NAC族：網(wǎng)絡(luò)訪問(wèn)控制族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備網(wǎng)絡(luò)層面上的訪問(wèn)控制機(jī)制，主要用于保證只有合法的上位機(jī)、配置工作站和其他現(xiàn)場(chǎng)設(shè)備對(duì)設(shè)備進(jìn)行訪問(wèn)。FDF_NAC.1禁用不使用端口要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)提供機(jī)制支持關(guān)閉不使用的或不在訪問(wèn)控制范圍內(nèi)的通信服務(wù)和物理端口。要求說(shuō)明設(shè)備上線后往往不需要使用FTP、HTTP等配置應(yīng)用，此時(shí)應(yīng)關(guān)閉對(duì)應(yīng)的服務(wù)端口，此外用于本地配置的固件升級(jí)物理網(wǎng)絡(luò)端口或串口平時(shí)也應(yīng)關(guān)閉。開啟的端口和服務(wù)都應(yīng)具備用戶認(rèn)證機(jī)制。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDF_NAC.2信息流控制要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備機(jī)制使用戶能夠維護(hù)流入設(shè)備的信息流的源端訪問(wèn)控制信息。要求說(shuō)明設(shè)備的網(wǎng)絡(luò)層面的訪問(wèn)控制信息包括源IP地址、MAC地址、可以訪問(wèn)的服務(wù)和服務(wù)中的內(nèi)容有效性和合理性，應(yīng)通過(guò)這些內(nèi)容實(shí)現(xiàn)對(duì)源端身份合法性的識(shí)別。在運(yùn)行中，如果設(shè)備處于物理上安全的可信網(wǎng)絡(luò)中，可以不實(shí)施該條要求。該條要求也可以由其他網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)，如工業(yè)防火墻，限定源端設(shè)備地址、可以訪問(wèn)的服務(wù)和可以執(zhí)行的操作。要求加強(qiáng)FDF_NAC.2信息流控制的加強(qiáng)要求包括：設(shè)備維護(hù)公鑰、對(duì)稱密鑰等基于密碼學(xué)的設(shè)備身份認(rèn)證機(jī)制以證實(shí)通信對(duì)端的身份。依賴要求FIA_IAM.1。FDF_NAC.3無(wú)線訪問(wèn)要求對(duì)于使用無(wú)線訪問(wèn)的工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備必須能夠支持在物理上關(guān)閉無(wú)線功能（如硬壓板），并且采用的無(wú)線協(xié)議必須具備安全機(jī)制。要求說(shuō)明無(wú)線訪問(wèn)是不受物理訪問(wèn)限制和物理網(wǎng)絡(luò)的邊界設(shè)備限制的，所以對(duì)這種接入方式必須有足夠的技術(shù)保護(hù)措施。無(wú)線訪問(wèn)通過(guò)物理開關(guān)關(guān)閉后不能通過(guò)交換機(jī)或軟件配置開啟。無(wú)線協(xié)議應(yīng)具備的安全機(jī)制包括認(rèn)證、完整性保護(hù)和加密等。要求加強(qiáng)FDF_NAC.3無(wú)線訪問(wèn)的加強(qiáng)要求包括：設(shè)備禁用無(wú)線通信方式。依賴要求無(wú)。FDF_DFP族：功能分區(qū)族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)通過(guò)分區(qū)與隔離機(jī)制實(shí)現(xiàn)不同功能的分離。FDI_DFP.1應(yīng)用分區(qū)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)將數(shù)據(jù)獲取服務(wù)與管理功能分離。要求說(shuō)明應(yīng)用分離的手段包括使用不同的處理單元、不同的操作系統(tǒng)實(shí)例、不同的網(wǎng)絡(luò)地址、不同的端口或其他方法。要求加強(qiáng)無(wú)。依賴要求無(wú)。FDI_DFP.2安全功能隔離要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)將安全功能與非安全功能隔離開，使用的手段包括分區(qū)分域等，比如控制安全功能的硬件、軟件和固件的完整性和對(duì)它們的訪問(wèn)。要求說(shuō)明設(shè)備應(yīng)為每個(gè)執(zhí)行進(jìn)程維護(hù)一個(gè)獨(dú)立的執(zhí)行域（比如地址空間）。一些老舊的工控系統(tǒng)可能無(wú)法做到這一點(diǎn)，那么組織應(yīng)在安全計(jì)劃中將該情況記錄下來(lái)并制定風(fēng)險(xiǎn)緩解方法。要求加強(qiáng)無(wú)。依賴要求無(wú)。FRA類：資源可用性類描述這一類要求的目的是確保設(shè)備靈活應(yīng)對(duì)不同類型的拒絕服務(wù)事件，并保持設(shè)備在緊急情況下能夠保持業(yè)務(wù)連續(xù)性。FRA_DSP族：拒絕服務(wù)保護(hù)族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠抵御DoS攻擊，或降低攻擊的影響。在實(shí)際防護(hù)中還要綜合考慮網(wǎng)絡(luò)上的隔離手段，例如在網(wǎng)絡(luò)邊界設(shè)備上降低DoS攻擊成功的可能性。FRA_DSP.1數(shù)據(jù)泛洪保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠抵御一定的數(shù)據(jù)泛洪攻擊或降低攻擊的影響，保證重要業(yè)務(wù)功能的通信。要求說(shuō)明常用的抵御泛洪攻擊或限制其影響的機(jī)制包括現(xiàn)場(chǎng)設(shè)備在遭遇泛洪攻擊時(shí)，以降級(jí)模式（限速）運(yùn)行直至攻擊結(jié)束；在網(wǎng)絡(luò)邊界上使用數(shù)據(jù)包過(guò)濾設(shè)備。要求加強(qiáng)無(wú)。依賴要求無(wú)。FRA_DSP.2協(xié)議fuzz保護(hù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)能夠容忍針對(duì)通信協(xié)議的fuzz攻擊。要求說(shuō)明協(xié)議fuzz攻擊的防護(hù)主要依靠設(shè)備開啟的服務(wù)的開發(fā)實(shí)現(xiàn)過(guò)程的安全水平。要求加強(qiáng)無(wú)。依賴要求無(wú)。FRA_BUC族：業(yè)務(wù)連續(xù)性族描述工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備業(yè)務(wù)連續(xù)性保護(hù)機(jī)制。FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備即使發(fā)生故障也能保證重要的業(yè)務(wù)功能。要求說(shuō)明設(shè)備應(yīng)提供自動(dòng)保護(hù)功能，應(yīng)在出現(xiàn)故障或中斷時(shí)（軟件錯(cuò)誤、緩沖區(qū)溢出、數(shù)據(jù)泛洪等），當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)重要狀態(tài)信息和進(jìn)程，保證設(shè)備能夠進(jìn)行恢復(fù)。典型的機(jī)制包括看門狗進(jìn)程。要求加強(qiáng)FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性的加強(qiáng)要求包括：工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備故障或中斷通知報(bào)警功能。依賴要求FUC_ATU.1。FRA_BUC.2設(shè)備備份要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)直接或依靠其他工具提供備份功能，進(jìn)行應(yīng)用級(jí)和系統(tǒng)級(jí)信息（包括系統(tǒng)安全狀態(tài)信息）的備份。要求說(shuō)明備份的功能和方法應(yīng)在用戶手冊(cè)中說(shuō)明。要求加強(qiáng)FRA_BUC.2設(shè)備備份的加強(qiáng)要求包括：設(shè)備應(yīng)能夠驗(yàn)證備份機(jī)制的可靠性和備份信息的完整性。依賴要求無(wú)。FRA_BUC.3設(shè)備恢復(fù)要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)具備在中斷或故障后，恢復(fù)和重構(gòu)到已知安全狀態(tài)的能力。要求說(shuō)明工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備應(yīng)提供恢復(fù)功能，讓用戶可以在中斷或故障后恢復(fù)并重組以前保存?zhèn)浞?。要求加?qiáng)無(wú)。依賴要求無(wú)。FRA_BUC.4緊急電源要求工控系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備或附屬組件應(yīng)支持不影響業(yè)務(wù)運(yùn)行的情況下的緊急電源切換。要求說(shuō)明無(wú)。要求加強(qiáng)無(wú)。依賴要求無(wú)。

（規(guī)范性附錄）

安全功能要求匯總表安全功能要求匯總表見表A.1。安全功能要求匯總表要求類（6）要求族（18）要求項(xiàng)（58）FIA類：標(biāo)識(shí)與認(rèn)證控制FIA_IAM族：標(biāo)識(shí)與認(rèn)證方式FIA_IAM.1標(biāo)識(shí)及方式FIA_IAM.2認(rèn)證及方式FIA_IDM族：標(biāo)識(shí)符管理FIA_IDM.1用戶ID管理FIA_ARM族：認(rèn)證碼管理FIA_ARM.1口令修改FIA_ARM.2口令更換周期FIA_ARM.3口令強(qiáng)度控制FIA_ARM.4口令失效機(jī)制FIA_ARM.5證書及公私鑰管理FIA_ARM.6對(duì)稱密鑰管理FIA_ARM.7密碼學(xué)服務(wù)失效FIA_LGM族：登錄管理FIA_LGM.1登錄失敗管理FIA_LGM.2登錄成功記錄FIA_LGM.3展示登錄歷史FIA_LGM.4多次登錄失敗行為FIA_LGM.5認(rèn)證反饋FUC類：使用控制FUC_ACA族：訪問(wèn)控制授權(quán)FUC_ACA.1授權(quán)項(xiàng)管理FUC_ACA.2基于角色的訪問(wèn)控制FUC_ACA.3管理員用戶FUC_ACA.4最小權(quán)限原則FUC_ACA.5分權(quán)管理FUC_SEC族：會(huì)話控制FUC_SEC.1本地會(huì)話超時(shí)鎖定FUC_SEC.2網(wǎng)絡(luò)會(huì)話超時(shí)終止FUC_ATC族：審計(jì)內(nèi)容的產(chǎn)生FUC_ATC.1審計(jì)事件FUC_ATC.2審計(jì)記錄的內(nèi)容FUC_ATC.3審計(jì)的時(shí)間戳FUC_ATC.4用戶關(guān)聯(lián)FUC_ATS族：審計(jì)信息的存儲(chǔ)FUC_ATS.1審計(jì)容量FUC_ATS.2審計(jì)故障告警FUC_ATS.3審計(jì)信息保護(hù)表A.1（續(xù)）要求類（6）要求族（18）要求項(xiàng)（58）FUC類：使用控制FUC_ATR族：審計(jì)信息的查閱FUC_ATR.1讀取審計(jì)信息FUC_ATR.2系統(tǒng)范圍審計(jì)FUC_ATR.3審計(jì)報(bào)告的生成FDI類：數(shù)據(jù)完整性FDI_DSI族：數(shù)據(jù)存儲(chǔ)完整性FDI_DSI.1安全功能檢測(cè)FDI_DSI.2錯(cuò)誤處理FDI_DSI.3應(yīng)用特定語(yǔ)法驗(yàn)證FDI_DSI.4數(shù)據(jù)的非可執(zhí)行性FDI_DSI.5靜態(tài)數(shù)據(jù)防篡改保護(hù)FDI_DSI.6寫入保護(hù)FDI_DTI族：數(shù)據(jù)傳輸完整性FDI_DTI.1數(shù)據(jù)包插入FDI_DTI.2數(shù)據(jù)包刪除FDI_DTI.3數(shù)據(jù)包過(guò)分延遲FDI_DTI.4數(shù)據(jù)包重放FDI_DTI.5數(shù)據(jù)防篡改FDI_DTI.6會(huì)話保護(hù)FDC類：數(shù)據(jù)保密性FDC_CRM族：加密機(jī)制FDC_CRM.1加密機(jī)制FDC_DSC族：存儲(chǔ)數(shù)據(jù)的保密性保護(hù)FDC_DSC.1存儲(chǔ)數(shù)據(jù)的保密性保護(hù)FDC_DTC族：傳輸數(shù)據(jù)保密性FDC_DTC.1傳輸數(shù)據(jù)的保密性保護(hù)FDF類：受限的信息流FDF_NAC族：網(wǎng)絡(luò)訪問(wèn)控制FDF_NAC.1禁用不使用端口FDF_NAC.2信息流控制FDF_NAC.3無(wú)線訪問(wèn)FDF_DFP族：功能分區(qū)FDF_DFP.1應(yīng)用分區(qū)FDF_DFP.2安全功能隔離FRA類：資源可用性FRA_DSP族：拒絕服務(wù)保護(hù)FRA_DSP.1數(shù)據(jù)泛洪保護(hù)FRA_DSP.2協(xié)議fuzz保護(hù)FRA_BUC族：業(yè)務(wù)連續(xù)性FRA_BUC.1關(guān)鍵服務(wù)連續(xù)性FRA_BUC.2設(shè)備備份FRA_BUC.3設(shè)備恢復(fù)FRA_BUC.4緊急電源

（資料性附錄）

工控系統(tǒng)安全級(jí)及設(shè)備安全功能要求與能力安全級(jí)對(duì)應(yīng)關(guān)系此附錄的B.1、B.2和B.3主要引用自ISA-62443-3-3(99.03.03)Draft4，是用于幫助讀者更好的理解工業(yè)控制系統(tǒng)安全級(jí)的概念。此附錄是資料性附錄，將被同系列標(biāo)準(zhǔn)中分級(jí)標(biāo)準(zhǔn)的規(guī)范性內(nèi)容取代。概述安全相關(guān)系統(tǒng)使用安全完整性等級(jí)的概念(SIL)已近二十年。這使組件的安全功能完整性能力或部署系統(tǒng)的安全完整性等級(jí)可用一個(gè)數(shù)字表示，這個(gè)數(shù)字定義了基于組件或系統(tǒng)的失效概率的保證HSE的保護(hù)因數(shù)。由于隨機(jī)硬件失效引起組件或系統(tǒng)失效的可能性可以用量化，因此確定安全相關(guān)系統(tǒng)保護(hù)因數(shù)的過(guò)程雖然復(fù)雜但是可控的。整體的風(fēng)險(xiǎn)可以根據(jù)失效對(duì)HSE的潛在影響計(jì)算出來(lái)。信息安全相關(guān)系統(tǒng)具有更廣泛的應(yīng)用，一組更廣泛的影響和一套更廣泛的可能情況會(huì)導(dǎo)致一個(gè)可能事件。信息安全相關(guān)系統(tǒng)是為了保護(hù)HSE，但同時(shí)也是為了保護(hù)工業(yè)過(guò)程本身，公司的知識(shí)產(chǎn)權(quán)信息，公眾信心和國(guó)家安全等可能并不是隨機(jī)硬件失效導(dǎo)致的情況。在某些情況下，可能是一個(gè)善意的員工犯的一個(gè)錯(cuò)誤，而在其他情況下，可能是一個(gè)狡猾的攻擊者發(fā)起的攻擊并隱藏證據(jù)。相較于安全相關(guān)系統(tǒng)，信息安全系統(tǒng)的復(fù)雜性使得量化保護(hù)因素變得更加困難。工業(yè)控制系統(tǒng)安全級(jí)定義SL提供了一個(gè)定性的方法來(lái)定義一個(gè)區(qū)域的安全。作為一種定性方法，SL的定義適用于比較和管理一個(gè)組織的多個(gè)區(qū)域的安全。隨著越來(lái)越多的數(shù)據(jù)的獲得以及風(fēng)險(xiǎn)，威脅和安全事故的數(shù)學(xué)表示方式的形成，這一概念將變成一套選擇和驗(yàn)證SL的定量方法。它將不僅適用于用戶公司、還將適用于工業(yè)控制系統(tǒng)供應(yīng)商和安全產(chǎn)品。它將被用來(lái)選擇一個(gè)區(qū)域內(nèi)使用的工業(yè)控制系統(tǒng)設(shè)備和安全措施，并可用來(lái)識(shí)別和比較跨行業(yè)的不同組織的區(qū)域的安全。在標(biāo)準(zhǔn)制定的初始階段，ISA-62443系列標(biāo)準(zhǔn)傾向于使用定性的SL，使用如“低”、“中”、“高”這類內(nèi)容。資產(chǎn)所有者應(yīng)根據(jù)這種分級(jí)方式，提出他們的特定的應(yīng)用程序的分級(jí)方法的定義。ISA-62443系列的長(zhǎng)期目標(biāo)是形成盡可能多的安全級(jí)及量化的描述、需求和指標(biāo)的要求，以建立起跨多個(gè)企業(yè)和行業(yè)的可重復(fù)應(yīng)用的標(biāo)準(zhǔn)。實(shí)現(xiàn)這一目標(biāo)需要花一些時(shí)間，因?yàn)樾枰ㄟ^(guò)很多在工業(yè)安全系統(tǒng)應(yīng)用標(biāo)準(zhǔn)和數(shù)據(jù)的經(jīng)驗(yàn)來(lái)驗(yàn)證定量方法。當(dāng)映射要求到不同的SL，標(biāo)準(zhǔn)開發(fā)人員需要一些參考框架去描述不同的SL表達(dá)了什么意義以及不同SL之間的區(qū)別。這個(gè)附錄的目的就是提出這樣的一個(gè)參考的框架。安全級(jí)類型SL分為三種不同類型：TSL、ASL和CSL。這些類型均與安全生命周期的不同方面相關(guān)。TSL是一個(gè)具體的工業(yè)控制系統(tǒng)需要達(dá)到的安全級(jí)。目標(biāo)安全級(jí)是根據(jù)具體系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)判定保證系統(tǒng)的正常運(yùn)行需要達(dá)到的安全水平。。ASL是一個(gè)具體的工業(yè)控制系統(tǒng)實(shí)際達(dá)到的安全級(jí)。具體的系統(tǒng)設(shè)計(jì)完成或上線后進(jìn)行達(dá)到的安全級(jí)的測(cè)量，達(dá)到的安全級(jí)用于表明系統(tǒng)滿足目標(biāo)安全級(jí)要求的內(nèi)容。CSL正確的進(jìn)行安全配置后組件或系統(tǒng)能夠達(dá)到的安全級(jí)。CSL闡述了一個(gè)具體的組件或系統(tǒng)在不使用額外的補(bǔ)償性的措施的情況下，僅僅通過(guò)正確配置和集成能夠滿足TSL的水平。根據(jù)ISA-62443系列，TSL、ASL和CSL將用于安全生命周期的不同階段。從一個(gè)具體系統(tǒng)的目標(biāo)開始，一個(gè)組織需要建立一個(gè)包括事先所需期望目標(biāo)能力的設(shè)計(jì)。換句話說(shuō)，設(shè)計(jì)團(tuán)隊(duì)首先制定具體系統(tǒng)所必需的TSL，然后設(shè)計(jì)實(shí)現(xiàn)這些目標(biāo)的系統(tǒng)，這通常是用一個(gè)迭代的過(guò)程，每次迭代后將具體系統(tǒng)的ASL與TSL進(jìn)行測(cè)量和比較。作為設(shè)計(jì)過(guò)程的一部分，系統(tǒng)設(shè)計(jì)者會(huì)選擇具備必要的CSL的組件和系統(tǒng)來(lái)滿足TSL中的要求，但當(dāng)無(wú)法獲得這樣的系統(tǒng)和組件時(shí)，使用補(bǔ)償措施對(duì)現(xiàn)有的組件和系統(tǒng)進(jìn)行補(bǔ)充。在系統(tǒng)投入使用后，實(shí)際測(cè)量出的安全級(jí)即ASL，將用于與最初設(shè)定的TSL進(jìn)行比較。氯卡車裝載站控制系統(tǒng)示例使用安全級(jí)當(dāng)設(shè)計(jì)一個(gè)新系統(tǒng)或升級(jí)現(xiàn)有的系統(tǒng)的安全時(shí)，第一步是將系統(tǒng)分解成不同的區(qū)域并定義這些區(qū)域之間的必要的管道。如何完成這一過(guò)程的詳細(xì)信息在ISA-62443-3-2（99.03.02）給出。建立系統(tǒng)區(qū)域模型后，根據(jù)風(fēng)險(xiǎn)分析結(jié)果，每個(gè)區(qū)域和管道被分配了一個(gè)描述期望安全水平的TSL。在這最初的區(qū)域和管道分析階段，沒(méi)有必要完成詳細(xì)的系統(tǒng)設(shè)計(jì)，只要描述為了滿足安全目標(biāo)的區(qū)域資產(chǎn)及區(qū)域間的連接所需具備的功能就足夠了。制造廠控制系統(tǒng)示例圖B.1和圖B.2是將系統(tǒng)分解為由管道連接的不同區(qū)域的示例。圖B.1表示的是一個(gè)氯卡車裝載站控制系統(tǒng)，這張圖的完整的用例將在ISA-TR62443-1-4（TR99.01.04）討論。它由五個(gè)區(qū)域組成：基本的過(guò)程控制系統(tǒng)（BPCS）、安全儀表系統(tǒng)（SIS）、控制中心、控制區(qū)DMZ和企業(yè)信息網(wǎng)。BPCS和SIS都使用PLC，只不過(guò)操作裝載站的不同部分，SIS使用一個(gè)特殊的用于安全相關(guān)系統(tǒng)的功能安全PLC（FS-PLC）。這兩個(gè)PLC通過(guò)不可路由的串行接口或以太網(wǎng)連接，并配備了邊界防護(hù)設(shè)備。每個(gè)PLC都通過(guò)一個(gè)本地交換機(jī)連接編程工程師站和HMI操作員站。BPCS和SIS區(qū)還包含儀表資產(chǎn)管理系統(tǒng)(IAMS)用于測(cè)量和測(cè)試儀表?？刂浦行陌鄠€(gè)工作站，并與控制區(qū)DMZ連接。BPCS也與控制區(qū)DMZ連接?？刂茀^(qū)DMZ可以覆蓋各種組件和系統(tǒng)，例如歷史數(shù)據(jù)庫(kù)和圖示中的維護(hù)工作站?？刂茀^(qū)DMZ如圖連接到包含企業(yè)無(wú)線局域網(wǎng)(WLAN)和Web服務(wù)器的企業(yè)信息網(wǎng)絡(luò)。圖中所示的多個(gè)域控制器和邊界防護(hù)設(shè)備用來(lái)表示一些可能適用于改善安全的措施。圖B.2是一個(gè)制造廠的示例。它定義了四個(gè)區(qū)域：企業(yè)網(wǎng)絡(luò)、工業(yè)/企業(yè)DMZ和兩個(gè)工業(yè)網(wǎng)絡(luò)。企業(yè)網(wǎng)中有WLAN，并與互聯(lián)網(wǎng)連接。很多公司在重要的系統(tǒng)部分之間使用DMZ來(lái)隔離網(wǎng)絡(luò)流量。在這個(gè)例子中，每個(gè)工業(yè)網(wǎng)絡(luò)用他們自己的PLC、現(xiàn)場(chǎng)設(shè)備和HMI，彼此之間獨(dú)立運(yùn)行。在確定TSL后，系統(tǒng)可被設(shè)計(jì)或重新設(shè)計(jì)以達(dá)到TSL。設(shè)計(jì)過(guò)程通常要迭代多次，因?yàn)橄到y(tǒng)設(shè)計(jì)要與目標(biāo)進(jìn)行多次比較檢查。ISA-62443系列的多個(gè)部分包含系統(tǒng)設(shè)計(jì)的不同方面的程序和技術(shù)要求的指導(dǎo)。ISA-62443-2-1(99.02.01)提供在設(shè)計(jì)過(guò)程程序方面的指導(dǎo)，而ISA-62443-3-3和ISA-62443-4-2（99.04.02）中定義了系統(tǒng)級(jí)和組件級(jí)的技術(shù)安全要求及CSL。在系統(tǒng)設(shè)計(jì)過(guò)程中，需要評(píng)估不同的組件和子系統(tǒng)的安全能力。產(chǎn)品供應(yīng)商應(yīng)提供組件或系統(tǒng)的CSL數(shù)據(jù)，這是通過(guò)與ISA-62443系列中定義的不同CSL的要求進(jìn)行比較得出的。產(chǎn)品的CSL可以用來(lái)確定一個(gè)特定的組件或系統(tǒng)是否能夠滿足系統(tǒng)的TSL。產(chǎn)品供應(yīng)商或系統(tǒng)集成商還必須提供為滿足聲明的SL的組件或系統(tǒng)的配置指南。一個(gè)特定的設(shè)計(jì)的一些組件或系統(tǒng)很有可能不能完全滿足TSL。當(dāng)組件或系統(tǒng)的CSL低于TSL時(shí)，為達(dá)到TSL可以考慮采用補(bǔ)償措施。補(bǔ)償措施可能包括改變組件或系統(tǒng)的設(shè)計(jì)以增強(qiáng)其安全能力，選擇其它組件或系統(tǒng)或添加額外的組件或系統(tǒng)。在設(shè)計(jì)過(guò)程中的每次迭代后，應(yīng)重新評(píng)估系統(tǒng)設(shè)計(jì)的ASL，判斷其與TSL的差距。一旦系統(tǒng)設(shè)計(jì)被批準(zhǔn)和實(shí)施，系統(tǒng)需要被評(píng)估以防止或減輕系統(tǒng)安全級(jí)的降低。評(píng)估應(yīng)該發(fā)生系統(tǒng)變更期間或變更后并定期進(jìn)行。ISA-62443-2-1（99.02.01）提供了運(yùn)行安全程序的必要步驟和如何評(píng)估其有效性的指南。在確定ASL后，需要評(píng)估系統(tǒng)是否仍滿足最初設(shè)定的TSL（例如，使用ISA-62443-3-3（99.03.03）中的系統(tǒng)要求)。如果系統(tǒng)不滿足，則可能有多種原因，如缺少對(duì)程序的維護(hù)或重新設(shè)計(jì)部分系統(tǒng)。本質(zhì)上，控制系統(tǒng)安全能力的確定與使用場(chǎng)景無(wú)關(guān)，但用在給定場(chǎng)景中以達(dá)到系統(tǒng)架構(gòu)、區(qū)域和（/或）連接管道的TSL。級(jí)別描述概述ISA-62443系列定義了五個(gè)級(jí)別(0，1，2，3，4)的SL，安全水平逐級(jí)增加。SL的定義取決于防護(hù)逐漸復(fù)雜的威脅的能力，而且不同類型SL是有區(qū)別的。CSL是指一個(gè)具體的組件或系統(tǒng)能夠被資產(chǎn)所有者或系統(tǒng)集成商進(jìn)行配置，以達(dá)到防御逐漸復(fù)雜的威脅的能力水平。TSL是指通過(guò)風(fēng)險(xiǎn)評(píng)估，資產(chǎn)所有者或系統(tǒng)集成商確定他們需要保護(hù)的具體區(qū)域、系統(tǒng)或組件應(yīng)具備的抵御威脅的級(jí)別。ASL指資產(chǎn)所有者、系統(tǒng)集成商、產(chǎn)品供應(yīng)商和（/或）他們聯(lián)合起來(lái)在對(duì)一個(gè)具體區(qū)域、系統(tǒng)或組件進(jìn)行配置后，其能夠滿足的級(jí)別。每個(gè)級(jí)別的SL的描述中特意使用的模糊的術(shù)語(yǔ)如巧合的、簡(jiǎn)單的和復(fù)雜的等，是為了能夠在ISA-62443系列中所有的文檔中通用。本系列中的每一個(gè)文檔都將定義適用于特定目的的SL的具體要求。雖然不同級(jí)別的SL的要求在ISA-62443系列將有所不同，但需要形成每個(gè)級(jí)別的SL應(yīng)防護(hù)什么的普遍理解。以下章節(jié)將對(duì)如何區(qū)分不同級(jí)別的SL上提供指南。SL0:沒(méi)有具體要求或安全防護(hù)的必要取決于應(yīng)用場(chǎng)景，SL0有多個(gè)含義。當(dāng)定義CSL時(shí)，SL0意味著組件或系統(tǒng)無(wú)法滿足某個(gè)類中SL1的一些要求，這些組件或系統(tǒng)可能是一個(gè)比較大的區(qū)域的一部分，該區(qū)域中其他組件或系統(tǒng)會(huì)提供補(bǔ)償措施。在定義具體區(qū)域的TSL時(shí)，SL0意味資產(chǎn)所有者根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，判定組件或系統(tǒng)上在具體的類中所必須達(dá)到的安全水平低于完整的SL1規(guī)定的要求。這更有可能發(fā)生在系統(tǒng)或區(qū)域中的對(duì)整體的安全要求實(shí)現(xiàn)沒(méi)有幫助的單個(gè)組件上。定義ASL時(shí)，SL0意味著具體區(qū)域無(wú)法滿足某個(gè)類中SL1的一些要求。SL1:防護(hù)偶然或巧合性的信息安全違規(guī)行為偶然或巧合的對(duì)信息安全的違規(guī)行為往往是安全策略執(zhí)行過(guò)于寬松導(dǎo)致的。普通員工或外部攻擊都可能導(dǎo)致這種情況。許多這樣的違規(guī)均與安全程序相關(guān)，可以通過(guò)加強(qiáng)的策略和章程的執(zhí)行來(lái)防止。以圖B.1中的系統(tǒng)為例，操作員通過(guò)工程師站對(duì)BPCS區(qū)域中的一個(gè)定值進(jìn)行修改，并且修改為了工程師不能夠設(shè)定的范圍內(nèi)的值，這就構(gòu)成了一個(gè)偶然或巧合的信息安全違規(guī)行為。造成這一情況的原因是系統(tǒng)沒(méi)有對(duì)操作員的變更行為進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和使用控制。仍以圖B.1中的系統(tǒng)為例，口令以明文在連接BPCS區(qū)和DMZ區(qū)管道中傳輸，網(wǎng)絡(luò)工程師在對(duì)系統(tǒng)進(jìn)行診斷故障時(shí)就可以看到明文的口令，系統(tǒng)沒(méi)有實(shí)施適當(dāng)?shù)臄?shù)據(jù)保密來(lái)保護(hù)口令。以圖B.2中的系統(tǒng)為例，一個(gè)工程師試圖訪問(wèn)工業(yè)網(wǎng)絡(luò)1中的PLC，但實(shí)際上訪問(wèn)工業(yè)網(wǎng)絡(luò)2中的PLC，系統(tǒng)沒(méi)有執(zhí)行適當(dāng)?shù)臄?shù)據(jù)流限制來(lái)阻止工程師訪問(wèn)錯(cuò)誤的系統(tǒng)。SL2:防護(hù)利用較少資源、一般技術(shù)和較低動(dòng)機(jī)的簡(jiǎn)單手段的攻擊簡(jiǎn)單手段不需要攻擊者有太多知識(shí)儲(chǔ)備。攻擊者不需要知道信息安全、被攻擊的區(qū)域或具體系統(tǒng)的詳細(xì)指示。攻擊方法往往是眾所周知的，可能還有輔助性的自動(dòng)化攻擊工具。這些攻擊一般是為了對(duì)大量系統(tǒng)進(jìn)行攻擊而設(shè)計(jì)，并不是針對(duì)一個(gè)特定的系統(tǒng)，所以攻擊者不需要具備很強(qiáng)的動(dòng)機(jī)或很多資源。以圖B.1中系統(tǒng)為例，病毒感染了控制系統(tǒng)DMZ中的維護(hù)工作站，并傳播到了BPCS中的工程師工作站，因?yàn)樗麄兌际褂孟嗤耐ㄓ貌僮飨到y(tǒng)。以圖B.2中的系統(tǒng)為例，攻擊者使用從Internet上下載的攻擊工具，利用通用操作系統(tǒng)的已知公開漏洞，破壞了企業(yè)網(wǎng)絡(luò)中的web服務(wù)器。攻擊者可以利用web服務(wù)器作為跳板對(duì)企業(yè)網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)中其它系統(tǒng)發(fā)起攻擊。以圖B.2中系統(tǒng)為例，操作員使用工業(yè)網(wǎng)絡(luò)1中的HMI瀏覽一個(gè)網(wǎng)站，結(jié)果下載了木馬，導(dǎo)致Internet上的攻擊者可以直接訪問(wèn)工業(yè)網(wǎng)絡(luò)1。SL3:防護(hù)利用中等資源、IACS特殊技術(shù)和中等的動(dòng)機(jī)的復(fù)雜手段的攻擊復(fù)雜的手段需要對(duì)信息安全、對(duì)應(yīng)工控領(lǐng)域和目標(biāo)系統(tǒng)深入的了解和知識(shí)積累。攻擊者攻擊SL3系統(tǒng)時(shí)，可能會(huì)使用為特定目標(biāo)系統(tǒng)設(shè)計(jì)的攻擊方案。攻擊者可能會(huì)利用較新的操作系統(tǒng)漏洞、工業(yè)協(xié)議的缺陷，特定目標(biāo)的具體信息來(lái)發(fā)起攻擊，或通過(guò)其他比SL1或SL2需要更大的動(dòng)機(jī)以及需要更多知識(shí)的方式來(lái)發(fā)起攻擊。使用基于哈希表的口令或密鑰破解工具就是一個(gè)典型的使用復(fù)雜手段的攻擊的例子。這些工具可以直接從Internet上下載，但使用這些工具需要一定知識(shí)(如需要破解的口令的哈希值)。以圖B.1中系統(tǒng)為例，攻擊者通過(guò)以太網(wǎng)控制器中的一個(gè)漏洞進(jìn)入控制PLC，而后通過(guò)串行接口訪問(wèn)FS-PLC。以圖B.2中系統(tǒng)為例，攻擊者從企業(yè)無(wú)線網(wǎng)暴力破解工業(yè)/企業(yè)DMZ的防火墻接入歷史數(shù)據(jù)服務(wù)器。SL4:防護(hù)使用擴(kuò)展資源、IACS特殊技術(shù)和較高動(dòng)機(jī)的復(fù)雜手段的攻擊SL4和SL3非常相似，它們都涉及到使用復(fù)雜的手段入侵系統(tǒng)。SL4與SL3的差異在于攻擊者動(dòng)機(jī)更強(qiáng)，而且可以支配的資源更多，比如高性能的計(jì)算資源、大量的計(jì)算機(jī)或長(zhǎng)時(shí)期的專職攻擊時(shí)間。使用超級(jí)計(jì)算機(jī)或計(jì)算機(jī)集群，采用大的哈希表強(qiáng)力破解口令就是一個(gè)利用擴(kuò)展資源和復(fù)雜手段的攻擊的例子。其他典型攻擊還包括同時(shí)使用多種攻擊手段形成僵尸網(wǎng)絡(luò)來(lái)攻擊一個(gè)特定系統(tǒng)、擁有大量資源和攻擊動(dòng)機(jī)的犯罪組織長(zhǎng)期對(duì)目標(biāo)系統(tǒng)進(jìn)行分析并開發(fā)自定義的“0day”漏洞攻擊工具。設(shè)備的能力安全級(jí)設(shè)備能力安全級(jí)與工控系統(tǒng)安全級(jí)的關(guān)系工業(yè)控制系統(tǒng)安全級(jí)通過(guò)描述抵御不同強(qiáng)度攻擊的信心水平來(lái)表示系統(tǒng)的安全保障水平。系統(tǒng)整體的安全保障水平的實(shí)現(xiàn)是通過(guò)系統(tǒng)安全防護(hù)的整體設(shè)計(jì)；現(xiàn)場(chǎng)設(shè)備、網(wǎng)絡(luò)、主機(jī)到應(yīng)用等各個(gè)組件的安全配置；防火墻和入侵檢測(cè)系統(tǒng)等安全防護(hù)設(shè)備的使用等系統(tǒng)信息安全多方面防護(hù)技術(shù)協(xié)同工作的結(jié)果。現(xiàn)場(chǎng)測(cè)控設(shè)備作為工業(yè)控制系統(tǒng)的組件之一，其所具備的信息安全能力會(huì)對(duì)系統(tǒng)整體的信息安全水平產(chǎn)生影響。但根據(jù)不同設(shè)備的功能及所處位置的不同，其信息安全水平對(duì)系統(tǒng)的影響程度也不同。如220kV變電站中的220kV線路上的繼電保護(hù)裝置與同一變電站中的故障錄波裝置同屬于變電站自動(dòng)化系統(tǒng)的現(xiàn)場(chǎng)測(cè)控設(shè)備，但是故障錄波裝置的信息安全事件（被入侵或故障）僅會(huì)影響工程師進(jìn)行故障診斷工作，不會(huì)對(duì)變電站自動(dòng)化系統(tǒng)的信息安全水平產(chǎn)生影響，而220kV線路上的繼電保護(hù)裝置遭遇同樣的信息安全攻擊時(shí)，可能會(huì)導(dǎo)致線路上供電中斷甚至整個(gè)系統(tǒng)的信息安全問(wèn)題。因此為達(dá)到該220kV變電站的自動(dòng)化系統(tǒng)的TSL，繼電保護(hù)裝置的CSL應(yīng)高于故障錄波裝置的CSL，比如繼電保護(hù)裝置應(yīng)具備嚴(yán)格的訪問(wèn)控制安全功能，而故障錄波裝置只要具有一定的用戶標(biāo)識(shí)功能即可。同一工業(yè)控制系統(tǒng)中所有現(xiàn)場(chǎng)測(cè)控設(shè)備的CSL與系統(tǒng)的TSL并不是完全相等的，而應(yīng)根據(jù)設(shè)定TSL時(shí)系統(tǒng)需要抵御的風(fēng)險(xiǎn)、設(shè)備對(duì)于系統(tǒng)風(fēng)險(xiǎn)的影響程度、與設(shè)備相關(guān)的安全網(wǎng)關(guān)等防護(hù)措施使用情況等因素來(lái)確定需要的設(shè)備的CSL。CSL可用于用戶對(duì)不同產(chǎn)品進(jìn)行比較，也可用于測(cè)評(píng)機(jī)構(gòu)對(duì)不同產(chǎn)品進(jìn)行安全能力水平評(píng)價(jià)。當(dāng)用戶選購(gòu)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備時(shí)，也可以根據(jù)其所在的系統(tǒng)的實(shí)際信息安全風(fēng)險(xiǎn)需求來(lái)對(duì)本標(biāo)準(zhǔn)中的安全功能要求項(xiàng)進(jìn)行裁減或增加形成采購(gòu)指標(biāo)，并不需要完全采用各級(jí)CSL中的完整要求項(xiàng)。級(jí)別描述概述為與B.2中工業(yè)控制系統(tǒng)安全級(jí)相對(duì)應(yīng)，設(shè)備的能力安全級(jí)，即設(shè)備CSL，劃分為四個(gè)級(jí)別(0，1，2，3，4)。每個(gè)級(jí)別將通過(guò)描述設(shè)備具備的安全功能特點(diǎn)來(lái)說(shuō)明設(shè)備自身抗擊攻擊的能力。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備CSL0：不具備標(biāo)識(shí)與認(rèn)證能力標(biāo)識(shí)與認(rèn)證安全功能是現(xiàn)場(chǎng)測(cè)控設(shè)備最基本的安全能力，如果設(shè)備不具備標(biāo)識(shí)與認(rèn)證的能力，通常無(wú)法完成訪問(wèn)控制、審計(jì)等其他安全功能。當(dāng)工業(yè)控制系統(tǒng)沒(méi)有具體要求或安全防護(hù)的必要時(shí)，系統(tǒng)的安全級(jí)為SL0。當(dāng)設(shè)定系統(tǒng)TSL時(shí)，不需要某一現(xiàn)場(chǎng)測(cè)控設(shè)備具備安全功能，那么可以使用能力級(jí)為CSL0及以上的設(shè)備。在對(duì)設(shè)備的安全能力進(jìn)行評(píng)價(jià)時(shí)，當(dāng)設(shè)備所達(dá)到的安全水平低于完整的CSL1規(guī)定的要求時(shí)，設(shè)備的安全能力被判定為CSL0。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備CSL1：具備標(biāo)識(shí)與認(rèn)證功能，防護(hù)偶然或巧合性的信息安全違規(guī)行為CSL1要求設(shè)備具備最基本的標(biāo)識(shí)與認(rèn)證和權(quán)限劃分的信息安全功能，同時(shí)具備備份等可靠性機(jī)制。當(dāng)設(shè)備對(duì)用戶進(jìn)行了標(biāo)識(shí)、劃分了權(quán)限并在用戶進(jìn)行操作前進(jìn)行認(rèn)證，就能防止運(yùn)行人員修改只有維護(hù)人員才能修改的定值等誤操作行為。在對(duì)設(shè)備的安全能力進(jìn)行評(píng)價(jià)時(shí)，當(dāng)設(shè)備所達(dá)到的安全水平滿足完整的CSL1規(guī)定的要求、但低于完整的CSL2規(guī)定的要求時(shí)，設(shè)備的安全能力被判定為CSL1。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備CSL2：具備訪問(wèn)控制功能，防護(hù)利用較少資源、一般技術(shù)和較低動(dòng)機(jī)的簡(jiǎn)單手段的攻擊CSL2要求設(shè)備具備一定的標(biāo)識(shí)與認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性與保密性、資源可用性的信息安全功能。當(dāng)設(shè)備具備了訪問(wèn)控制與數(shù)據(jù)完整性保護(hù)功能后，攻擊者僅使用簡(jiǎn)單的攻擊方式或利用公開的攻擊攻擊很難入侵設(shè)備或?qū)υO(shè)備的運(yùn)行造成影響。如當(dāng)設(shè)備具備了基于IP/MAC地址綁定的訪問(wèn)控制后，攻擊者僅知道目標(biāo)設(shè)備的IP地址，無(wú)法訪問(wèn)設(shè)備以發(fā)氣攻擊；當(dāng)設(shè)備具備了傳輸數(shù)據(jù)的完整性保護(hù)功能，攻擊者無(wú)法通過(guò)在網(wǎng)絡(luò)上篡改主站發(fā)送給設(shè)備的命令，來(lái)修改設(shè)備的定值或運(yùn)行狀態(tài)。在對(duì)設(shè)備的安全能力進(jìn)行評(píng)價(jià)時(shí)，當(dāng)設(shè)備所達(dá)到的安全水平滿足完整的CSL2規(guī)定的要求、但低于完整的CSL3規(guī)定的要求時(shí)，設(shè)備的安全能力被判定為CSL2。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備CSL3：具備審計(jì)功能，防護(hù)利用中等資源、IACS特殊技術(shù)和中等的動(dòng)機(jī)的復(fù)雜手段的攻擊CSL3要求設(shè)備具備較完備的標(biāo)識(shí)與認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性與保密性、資源可用性的信息安全功能，并具備審計(jì)能力。當(dāng)設(shè)備具備了能夠容忍針對(duì)通信協(xié)議fuzz的能力，即使攻擊者了解設(shè)備采用的協(xié)議、并發(fā)起協(xié)議fuzz攻擊也無(wú)法對(duì)設(shè)備的運(yùn)行造成影響。當(dāng)設(shè)備具備了將數(shù)據(jù)和可執(zhí)行代碼分別存儲(chǔ)在不同的內(nèi)存空間、并限制數(shù)據(jù)內(nèi)存空間中可執(zhí)行代碼的運(yùn)行，攻擊者即使了解設(shè)備的軟硬件結(jié)構(gòu)，意圖通過(guò)網(wǎng)絡(luò)向設(shè)備上傳可執(zhí)行代碼以對(duì)設(shè)備實(shí)施控制，也不無(wú)法得逞。盡管安全審計(jì)是信息系統(tǒng)應(yīng)具備的最基本的能力，但由于目前工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備的存儲(chǔ)和處理能力有限，具備審計(jì)對(duì)于設(shè)備存在難度，因此在CSL3才要求設(shè)備具備安全審計(jì)功能。在對(duì)設(shè)備的安全能力進(jìn)行評(píng)價(jià)時(shí)，當(dāng)設(shè)備所達(dá)到的安全水平滿足完整的CSL3規(guī)定的要求、但低于完整的CSL4規(guī)定的要求時(shí)，設(shè)備的安全能力被判定為CSL3。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備CSL4：安全功能可管理，防護(hù)使用擴(kuò)展資源、IACS特殊技術(shù)和較高動(dòng)機(jī)的復(fù)雜手段的攻擊CSL4要求設(shè)備在具備CSL3規(guī)定的能力的基礎(chǔ)上，標(biāo)識(shí)與認(rèn)證的要求強(qiáng)度更大，管理員賬戶可以對(duì)安全功能進(jìn)行配置。當(dāng)設(shè)備在所有遠(yuǎn)程網(wǎng)絡(luò)接口上都使用雙因數(shù)認(rèn)證后，攻擊者除非通過(guò)社會(huì)工程攻擊獲得或偷取授權(quán)用戶的認(rèn)證憑證，否則想通過(guò)網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的可能性大大下降。當(dāng)設(shè)備具備基于密碼學(xué)的靜態(tài)數(shù)據(jù)未授權(quán)修改的防護(hù)機(jī)制時(shí)，抵御攻擊者篡改操作系統(tǒng)或配置數(shù)據(jù)的能力增強(qiáng)，攻擊者想發(fā)起此類攻擊，需要更多的資源和更長(zhǎng)的攻擊時(shí)間。高動(dòng)機(jī)的利用復(fù)雜手段的信息安全攻擊往往要針對(duì)系統(tǒng)的多個(gè)層面進(jìn)行設(shè)計(jì)，極少會(huì)針對(duì)單一設(shè)備發(fā)起。管理員可以對(duì)安全功能管理