電梯、自動(dòng)扶梯和自動(dòng)人行道的電氣要求 信息傳輸與控制安全 征求意見稿

5本文件規(guī)定了新的電梯、自動(dòng)扶梯和自動(dòng)人行道信息傳輸與控制安全的要求，本文件適用于按照過現(xiàn)場(chǎng)的永久設(shè)備或在安裝、使用和維修以及退役階段帶到現(xiàn)場(chǎng)使用的臨時(shí)設(shè)備來實(shí)凡是不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T7588.1—2020電梯制造與安裝安全規(guī)范第1部GB/T35673—2017工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)（IEC62443-3-GB/T40211—2021工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全GB/T42456—2023工業(yè)自動(dòng)化和控制系統(tǒng)信息安全I(xiàn)ACS組件的安全技術(shù)要求GB/T42457—2023工業(yè)自動(dòng)化和控制系統(tǒng)信息安全產(chǎn)品安全開發(fā)生命周期要求（IEC62443（Securityforindustr6CCSC通用組件安全約束（commoncomponentsecurityconstrDM缺陷管理（defectmanagement）EDR嵌入式設(shè)備要求（embeddeddevicerequiremenEUC受控設(shè)備（equipmentundercontFR基本要求（foundationalrequiremeHDR主機(jī)設(shè)備要求（hostdevicerequirement）IACS工業(yè)自動(dòng)化和控制系統(tǒng)（industrialautomationandcontrolsysteNDR網(wǎng)絡(luò)設(shè)備要求（networkdeviRE增強(qiáng)要求（requirementenhancSAR軟件應(yīng)用要求（softwareapplicationrSD安全設(shè)計(jì)（seSG安全導(dǎo)則（securiSI安全實(shí)施（securityi7SM安全管理（securSUM安全更新管理（securityupdateSVV安全驗(yàn)證和確認(rèn)（securityverification4電梯、自動(dòng)扶梯和自動(dòng)人行道安全開發(fā)生命周期使用信息應(yīng)明確說明需要識(shí)別和管理在產(chǎn)品中89使用信息應(yīng)明確說明需要解決EUC全生命周期內(nèi)與GB/T35673—2017和GB/T42456—2023），域確保電梯、自動(dòng)扶梯和自動(dòng)人行道可用性的功能或能力，其符合安全規(guī)范，但不屬于安全或域用于在乘客被困情況下驗(yàn)證被困狀態(tài)、呼救和與安全、基本或報(bào)警域123FR2–使用控制122122FR4–數(shù)據(jù)保密性122111FR6–對(duì)事件的及時(shí)響應(yīng)111122入式設(shè)備要求（EDRs）、主機(jī)設(shè)備要求（HDRs使用信息應(yīng)列出并解釋EUC系統(tǒng)中存在的所有安如果EUC依賴外部系統(tǒng)或服務(wù)來實(shí)現(xiàn)和維護(hù)目標(biāo)安文件完整性”使用信息應(yīng)明確說明驗(yàn)證產(chǎn)品中包含的所外部提供組件的安全需求”使用信息應(yīng)明確說明需要識(shí)別和管理在產(chǎn)品中使用的所有由外部提供的組件的安全產(chǎn)品安全上下文”接收安全相關(guān)問題的通知”使用信息應(yīng)明確說明報(bào)告安全相關(guān)問題的解決安全相關(guān)的問題”安全更新文檔”使用信息應(yīng)明確說明獲取安全信息更新的安全更新交付”使用信息應(yīng)明確說明驗(yàn)證安全補(bǔ)丁真實(shí)性安全補(bǔ)丁的及時(shí)交付”使用信息應(yīng)明確說明及時(shí)應(yīng)用安全補(bǔ)丁的產(chǎn)品縱深防御”使用信息應(yīng)在必要的范圍內(nèi)提供縱深防御環(huán)境中可預(yù)期的縱深防御措施”安全加固指南”使用信息應(yīng)包括在安裝和維修期間加固安全廢棄指南”安全操作指南”賬戶管理指南”A.2.1過程范圍分析組件和/或?qū)M件進(jìn)行建模，并進(jìn)行審查，A.2.2安全開發(fā)文檔設(shè)計(jì)文檔明確了每個(gè)安全需求和相關(guān)的安全控測(cè)試計(jì)劃列出了如何測(cè)試每個(gè)安全控制，以確報(bào)告總結(jié)了所執(zhí)行的分析結(jié)果，并重點(diǎn)指出了4.6.1—4.6.5記錄了在發(fā)生事件時(shí)結(jié)構(gòu)化應(yīng)對(duì)的規(guī)程，包括——識(shí)別和界定EUC；威脅模型和風(fēng)險(xiǎn)分析從識(shí)別相關(guān)的攻擊者類型者，每個(gè)攻擊者在能力、意圖/動(dòng)機(jī)和實(shí)施攻擊的資源上都和更有計(jì)劃的活動(dòng)，包括滲透到制造供應(yīng)鏈和產(chǎn)品設(shè)施，可能需要考慮這些設(shè)施的應(yīng)用場(chǎng)景，以例如：采取防護(hù)措施以防范可能導(dǎo)致電梯服務(wù)被拒絕的網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（威脅）評(píng)估指南見），通過識(shí)別每個(gè)可評(píng)估的已定義資產(chǎn)的單個(gè)風(fēng)險(xiǎn)事件來定義第4.3.2條所述的威脅會(huì)如何發(fā)A.3.6評(píng)估個(gè)別風(fēng)險(xiǎn)事件——風(fēng)險(xiǎn)事件發(fā)生的可能性通常由發(fā)起攻擊的意圖/動(dòng)機(jī)、必要的技能和資源以及發(fā)起攻擊對(duì)受保A.3.7創(chuàng)建安全要求在初始風(fēng)險(xiǎn)評(píng)估之后，選擇有意義的對(duì)抗措施以降低評(píng)估出的超過先前定義的可接受風(fēng)險(xiǎn)等級(jí)的A.3.8重復(fù)評(píng)估個(gè)別風(fēng)險(xiǎn)事件使用選定的對(duì)抗措施重復(fù)初始風(fēng)險(xiǎn)評(píng)估。重復(fù)此過程，直到剩余風(fēng)險(xiǎn)低于可接受的風(fēng)A.3.9補(bǔ)償對(duì)抗措施應(yīng)用實(shí)例在威脅分析中確定補(bǔ)償對(duì)抗措施緩解的充分性。按照第4章中的安全開發(fā)生命周期記錄假設(shè)和結(jié)A.3.9.2遠(yuǎn)程報(bào)警系統(tǒng)電話號(hào)碼在井道、機(jī)房和滑輪間，或者上鎖的控制柜的范圍），A.3.9.3讀取安全回路狀態(tài)回路的控制系統(tǒng)發(fā)生失效或故障，也能保持安全回路的完整性。這些方法可能方式是考慮風(fēng)險(xiǎn)的一個(gè)關(guān)鍵方面。例如，如果EUC軟件或不是需要物理訪問來執(zhí)行或觸發(fā)更新，則EUC功能對(duì)建筑物的風(fēng)險(xiǎn)評(píng)估有時(shí)表明需要比本文件中為典型電梯定義的信息安全等級(jí)更高的安全等級(jí)。A.3.10識(shí)別危及已識(shí)別資產(chǎn)的威脅設(shè)計(jì)階段嘗試檢測(cè)脆弱性，并使用行業(yè)標(biāo)準(zhǔn)最佳實(shí)踐來減少暴露的攻擊面是非常重要的。——將用戶、接口系統(tǒng)或任務(wù)的訪問權(quán)限限制為各自功能所需的數(shù)有關(guān)安全最佳實(shí)踐的更多信息，參見參考文獻(xiàn)中的[10]~[除了針對(duì)不同編程語言的良好編碼實(shí)踐之外，指南還需列出不推薦使用有潛在可被利用風(fēng)險(xiǎn)的編碼結(jié)構(gòu)或設(shè)計(jì)，這些實(shí)踐來自實(shí)例。指南通常還包含一個(gè)禁用/棄用函數(shù)列至少滿足以下條件的代碼需使用靜態(tài)代碼分析工——以高級(jí)權(quán)限執(zhí)行的代碼（例如：系統(tǒng)、管理員）；——安全相關(guān)代碼模塊（例如：認(rèn)證、授權(quán)、密碼、防火墻代碼等——用于配置訪問控制、處理加密密鑰或密碼的設(shè)置代碼。所有由靜態(tài)分析工具識(shí)別的違反編碼標(biāo)準(zhǔn)的風(fēng)險(xiǎn)都需更新代碼時(shí)，可以自動(dòng)分析代碼是否存在可能的記錄確保安全性（如密鑰或證書管理）的過程等級(jí)組件假設(shè)作為系統(tǒng)集成設(shè)計(jì)中的安全要求考慮（這可能是必要的，以確保組件聲明的安全是完整A.6.1通則除了作為產(chǎn)品開發(fā)一部分的正常測(cè)試和確認(rèn)過程之外，網(wǎng)絡(luò)安全驗(yàn)證和測(cè)試計(jì)劃也是產(chǎn)品驗(yàn)證階A.6.2動(dòng)態(tài)分析A.6.3模糊測(cè)試如何進(jìn)行模糊測(cè)試的描述、智能模糊測(cè)試或非智能A.6.4滲透測(cè)試A.6.5驗(yàn)證威脅建模結(jié)果的對(duì)策是否正確實(shí)施對(duì)所有組件進(jìn)行濫用用例測(cè)試和已知脆弱性測(cè)試，在測(cè)試中嘗試?yán)猛{模型中確定的所有已緩?fù)ㄟ^測(cè)試驗(yàn)證已實(shí)施的安全應(yīng)對(duì)措施的有效性，并根據(jù)測(cè)試結(jié)果更新風(fēng)險(xiǎn)評(píng)估結(jié)A.6.6獨(dú)立的第三方分析A.7產(chǎn)品生命周期內(nèi)的安全管理A.7.1安全相關(guān)問題的管理雖然解決測(cè)試過程中出現(xiàn)的脆弱性是安全開發(fā)過程的一部分，但也需要解決制造商或任何外部組報(bào)或者提供從內(nèi)部和外部接收安全問題信息途徑的過程開始。最佳實(shí)踐建議通過定義良好的過程對(duì)這地驗(yàn)證問題以及更好地進(jìn)行影響評(píng)估。檢查并A.7.2安全更新管理A.7.2.1通則制造商驗(yàn)證該脆弱性的存在，并根據(jù)設(shè)備的預(yù)期使用情況來評(píng)估對(duì)EUC使用者外，設(shè)備制造商制定相關(guān)流程，以便告知EUC所有者其已安裝產(chǎn)品的安全說明。由于EUC所有者并非總是設(shè)備服務(wù)提供商，EUC制造商向EUC服務(wù)提供商提供補(bǔ)丁或修復(fù)方//A.7.2.2A.7.2.2檢查安全補(bǔ)丁如果由產(chǎn)品風(fēng)險(xiǎn)分析確定的安全脆弱性影響很大，則制造商需A.7.2.3關(guān)于電梯、自動(dòng)扶梯和自動(dòng)人行道交付安全補(bǔ)丁的注意事項(xiàng)A.8退役行動(dòng)制造商和/或系統(tǒng)提供商還需考慮如何處理電梯、自動(dòng)扶梯和自動(dòng)人行道系統(tǒng)的退役，因?yàn)槊舾行拧ㄟ^附加風(fēng)險(xiǎn)來擴(kuò)展風(fēng)險(xiǎn)評(píng)估（因此可能需要額外的對(duì)抗措施——通過額外資產(chǎn)擴(kuò)展風(fēng)險(xiǎn)評(píng)估（因此可能有額外的風(fēng)險(xiǎn)且經(jīng)證實(shí)的在用生態(tài)系統(tǒng)，因此本附錄旨在提供行業(yè)特定在評(píng)估電梯、自動(dòng)扶梯和自動(dòng)人行道的安全風(fēng)險(xiǎn)時(shí)，考慮以下要給出了基于對(duì)手能力和意圖以及系統(tǒng)脆弱性的風(fēng)險(xiǎn)概率定性評(píng)級(jí)在任何情況下，風(fēng)險(xiǎn)事件的發(fā)生不能因疏忽而對(duì)人員造成任何傷——單個(gè)估計(jì)因素的可能性與通常為難以估計(jì)的多個(gè)估計(jì)因素相結(jié)合下的可能性的區(qū)別。對(duì)安全、系統(tǒng)或環(huán)境對(duì)服務(wù)可用性的影響對(duì)信息的影響（對(duì)操死亡、系統(tǒng)損失或嚴(yán)嚴(yán)重?fù)p傷、主要的系較小的損傷或次要的服務(wù)中斷（例如：當(dāng)沒有其他運(yùn)輸工具或失去訪問控制時(shí)，電數(shù)據(jù)的完整性受損（例如：電梯管理系不會(huì)引起傷害、系統(tǒng)較小的服務(wù)中斷（例梯管理系統(tǒng)數(shù)據(jù)）的A—頻繁在使用壽命內(nèi)很可能經(jīng)常發(fā)生也沒有計(jì)劃；可被資源和專業(yè)知識(shí)有在使用壽命內(nèi)很可能發(fā)生數(shù)次系統(tǒng)暴露于網(wǎng)絡(luò)，實(shí)施最低限度的安在使用壽命內(nèi)很可能至少發(fā)系統(tǒng)暴露于網(wǎng)絡(luò)，實(shí)施部分的安全控未必發(fā)生，但在使用壽命內(nèi)系統(tǒng)暴露于網(wǎng)絡(luò)，安全控制大多被實(shí)系統(tǒng)暴露于網(wǎng)絡(luò)，安全控制得到充分實(shí)施并有效；利用非常復(fù)雜的專業(yè)知不考慮，安全控制或其他措施已得到級(jí)將表明不采取行動(dòng)是否可以接受，或是否需要額外的對(duì)策如A.3.5和A.3.7所述，確定應(yīng)對(duì)措施后，重復(fù)4—可忽略A—頻繁高高高中高高高中高高中低高中中低中中低低低低低低——附錄D，區(qū)和管道的應(yīng)用指南；——NISTSP800-30描述一種成熟的風(fēng)險(xiǎn)評(píng)估方法，該方法已被各種行對(duì)于可能出現(xiàn)的其他威脅輸入，可在列出可能的威脅、最常見的攻擊類相關(guān)子條款外，本文件還規(guī)定了部分子條款的附加要求，在相應(yīng)子條款的最右欄中標(biāo)記為“是”。1否否否是否是否否是否否否否2是是否否否3否否否否4否否5否否否否否6是否否是否否7否是否是是8是是是是是是否），宜具有子管道。區(qū)和子分區(qū)可以有多個(gè)管道來相12331222122212221111FR6—對(duì)事件的及時(shí)響應(yīng)11111222同樣，圖D.2示例系統(tǒng)中Z1a和Z2a區(qū)內(nèi)的功能，使用表D.2的“Z1a和Z2a”列定義的信息安全1233112221122211222111111FR6—對(duì)事件的及時(shí)響應(yīng)11111122211231312212122121221211111FR6—對(duì)事件的及時(shí)響應(yīng)1111112212[7]ISO/TR22100-4:2018Safetyofmachinery—RelamachinerymanufacturersforconsiderationofrelatedIT-security(cybersecurity)aspe[8]ISO/IEC27005:2022Informationtechnology—Securitytemanagement[9]ISO27017:2015InformatiosecuritycontrolsbasedonISO/I