標準編號:	GB/T 33008.1-2016
中文名稱:	工業自動化和控制系統網絡安全 可編程序控制器（PLC） 第1部分：系統要求
英文名稱:	Industrial automation and control system security―Programmable logic controller(PLC)―Part 1:System requirements
中標分類:	N10    工業自動化與控制裝置綜合
行業分類:	GB    國家標準
ICS分類:	25.040 25.040    工業自動化系統 25.040
發布機構:	中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會
發布日期:	2016-10-13
實施日期:	2017-5-1
標準狀態:	valid
翻譯語言:	英文
文件格式:	PDF
中文字符數:	33000 字
翻譯價格(元):	750.0
交付時間:	付款后 1 個工作日

GB/T 33009 Industrial Automation and Control System Security—Distributed Control System (DCS) and GB/T 33008 Industrial Automation and Control System Security—Programmable Logic Controller (PLC) jointly constitute the series standard in regard to industrial automation and control system security. The following parts of GB/T 33008 are planned to be published under the general title of Industrial Automation and Control System Security—Programmable Logic Controller (PLC): ——Part 1: System Requirements; ——Part 2: Implementation Guideline for System Evaluation; ... This part is Part 1 of GB/T 33008. This part is developed in accordance with the rules given in GB/T 1.1-2009. This part was proposed by the China Machinery Industry Federation. This standard is under the jurisdiction of the National Technical Committee 124 on Industrial Process Measurement and Control of Standardization Administration of China (SAC/TC 124) and the National Technical Committee 260 on Information Technology Security of Standardization Administration of China (SAC/TC 260). Drafting organizations of this part: HollySys Automation Technologies Ltd., Instrumentation Technology and Economy Institute, P.R.China, China Electronics Standardization Institute, State Grid Smart Grid Research Institute, China Nuclear Power Engineering Co., Ltd., Shanghai Automation Instrument Co., Ltd., Tsinghua University, Siemens Ltd. China, Schneider Electric China, Central Iron & Steel Research Institute, Huazhong University of Science and Technology, Beijing Austintec Co. Ltd., Rockwell Automation China, China Instrument and Control Society, The Fifth Electronics Research Institute of the Ministry of Industry and Information Technology, Kyland Technology Co., Ltd., Beijing Haitai Fangyuan Technologies Co,. Ltd., Tofino Security Technology Co., Ltd., Beijing GuoDianZhiShen Control Technology Co., Ltd., Beijing Likong Huacon Technologies Co., Ltd., Chongqing University of Posts and Telecommunications, Shenyang Institute of Automation Chinese Academy of Sciences, Southwest University, China Petroleum Pipeline Engineering Co., Ltd., Beijing Grace Network Technology Co., Ltd., Southwest Electric Power Design Institute, Beijing Venustech Co., Ltd., Guangdong Hangyu Satellite Technology Co., Ltd., North China Power Engineering Co., Ltd., HUAWEI Technologies Co., Ltd., The 30th Research Institute of China Electronics Technology Group Corporation, Shenzhen Maxonic Automation Control Co. Ltd., Yokogawa Beijing Development Center. Chief drafters of this part: Wang Tao, Wang Yumin, Fan Kefeng, Liang Xiao, Sun Jing, Feng Dongqin, Zhu Yiming, Mei Ke, Wang Hao, Xu Aidong, Liu Feng, Wang Yijun, Zhang Jianjun, Xue Baihua, Xu Bin, Chen Xiaocong, Hua Rong, Gao Kunlun, Wang Xue, Zhou Chunjie, Zhang Li, Liu Jie, Liu Anzheng, Tian Yucong, Wei Qinzhi, Ma Xinxin, Wang Yong, Du Jialin, Chen Rigang, Ding Lu, Li Rui, Liu Wenlong, Meng Yahui, Liu Limin, Hu Boliang, Kong Yong, Huang Min, Zhu Jingling, Zhang Zhi, Zhang Jianxun, Lan Kun, Zhang Jinbin, Cheng Jixun, Shang Wenli, Zhong Cheng, Liang Meng, Chen Xiaofeng, Bu Zhijun, Li Lin, Yang Yingliang, Yang Lei. Industrial Automation and Control System Security—Programmable Logic Controller (PLC)—Part 1: System Requirements 1 Scope This part of GB/T 33008 specifies the security requirements of programmable controller system, including those of communications, direct or indirect, between PLC and other systems. This part is applicable to engineering designer, equipment manufacturer, system integrator, user, and assessment & certification body, etc. 2 Normative References The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 30976.1-2014 Industrial Control System Security—Part 1: Assessment Specification 3 Terms, Definitions and Abbreviations 3.1 Terms and Definitions For the purposes of this standard, the following terms and definitions apply. 3.1.1 programmable (logic) controller; PLC digitally operating electronic system, designed for use in an industrial environment, which uses a programmable memory for the internal storage of user-oriented instructions for implementing specific functions such as logic, sequencing, timing, counting and arithmetic, to control, through digital or analogue inputs and outputs, various types of machines or processes. Both the PLC and its associated peripherals are such designed that they can be easily integrated into an industrial control system and easily used in all their intended functions. Note: The abbreviation PLC is used in this standard to stand for programmable controllers, as is the common practice in the automation industry. The use of PC as an abbreviation for programmable controllers leads to confusion with personal computers. [GB/T 15969.1-2007, Definition 3.5] 3.1.2 programmable controller system or PLC-system user-built configuration, consisting of a programmable controller and associated peripherals, that is necessary for the intended automated system. It consists of units interconnected by cables or plug-in connections for permanent installation and by cables or other means for portable and transportable peripherals. [GB/T 15969.1-2007, Definition 3.6] 3.1.3 vulnerability defect or weakness in terms of system design, implementation or operation and management, which may be improperly used to compromise the system integrity or security policy [GB/T 30976.1-2014, Definition 3.1.1] 3.1.4 identify identification and discrimination of a certain assessment factor [GB/T 30976.1-2014, Definition 3.1.2] 3.1.5 acceptance a method used to end the project implementation in risk assessment activities, namely, the organization will, under the organization of the assessed party, inspect and accept the assessment activities one by one based on whether the assessment objectives are met [GB/T 30976.1-2014, Definition 3.1.4] 3.1.6 risk treatment process of selecting and implementing the measures to change the risk [GB/T 30976.1-2014, Definition 3.1.5] 3.1.7 residual risk risk remained after risk treatment [GB/T 30976.1-2014, Definition 3.1.6] 3.1.8 risk analysis identification of risk source and estimation of risk in a systematic way using the information [GB/T 30976.1-2014, Definition 3.1.8] 3.1.9 risk assessment overall process of risk analysis and risk assessment [GB/T 30976.1-2014, Definition 3.1.9] 3.1.10 risk management coordinated activities to direct and control an organization with regard to risk [GB/T 30976.1-2014, Definition 3.1.10] 3.1.11 security a) measures taken by the protection system; b) system status as a result of measures for establishing and maintaining the protection system; c) status of system resources exempt from unauthorized access and unauthorized or unexpected change, damage or loss; d) capable of providing adequate assurance based on the PLC system capability to prevent unauthorized personnel and system from modifying the software and its data and from accessing the system functions, and simultaneously ensuring the authorized personnel and system will not be prevented; e) capable of preventing against illegal or harmful intrusion into the PLC system or interference with correct and planned operations. Note 1: The measures may be control means in regard to physical security (assets for controlling physical access to computer) or logic security (capability of logging into the given system and application). Note 2: It is revised from GB/T 30976.1-2014, Definition 3.1.14. 3.2 Abbreviations For the purposes of this document, the following abbreviations apply. PLC: Programmable (Logic) Controller FR: Foundational Requirement SR: System Requirement RE: Requirement Enhancement PKI: Public Key Infrastructure CA: Certificate Authority CL: Capability Level USB: Universal Serial Bus ID: Identification API: Application Programming Interface 4 Overview of PLC Security 4.1 General This part, in relation to security requirements of PLC system, only and mainly describes the risk contents and security requirements, security management, detection and acceptance, providing basis and guidelines for PLC security. PLC security is in connection with engineering design, management, environmental conditions and other factors. PLC system security shall cover all system-related activities at all stages of the whole life cycle of the system, such as design & development, installation, operation & maintenance, withdrawal, etc. Changes of risk the system has faced within the whole life cycle shall be identified and the PLC system security risk shall be minimized or reduced to an acceptable level in the aspect of technology and management. 4.2 Overview of Security-related Contents 4.2.1 Hazard source Hazard source mainly includes access point of non-secure equipment, system and network. Hazard source may come from both interior and exterior of the PLC system. Security threat may do harm to the receptor through hazard lead-in point and transmission route. The hazard lead-in point may be classified into, but not limited to, the following categories: a) Network communication connection point: For example: open network connection of PLC system, other network connection interconnected with PLC system through private network, remote technical support and access point, wireless access point, Internet or IoT connection; b) Mobile media: For example: USB device, CD, mobile hard disk, etc.; c) Improper operation: For example: malicious attack, unconscious misoperation, etc.; d) Third-party equipment: For example: infected industrial control system and other site equipment. 4.2.2 Transmission route Hazard source may do harm to the receptor through transmission route. Generally, single transmission route may be identified, but in most cases, a complete transmission route is composed of several single types of transmission routes. The transmission route is generally classified into, but not limited to, the following categories: a) External public network, e.g. Internet, Wi-Fi; b) Local area network (looped network, point-to-point, wireless communication); c) Mobile storage device. 4.2.3 Environmental conditions Restriction factors of environmental conditions shall be taken into consideration for PLC system security; especially for industrial automation control system in service, influences of site testing and introduction of security technical measures on normal production process shall be considered. 4.2.4 System capability level (CL) System capability level is as follows: a) CL1: provide mechanism protection control system to prevent accidental or light attack. b) CL2: provide mechanism protection control system to prevent intentional attack that may achieve minor damage using fewer resources by simple means of common technology. c) CL3: provide mechanism protection control system to prevent malicious attack that may achieve major damage using medium amount of resources by complicated means of PLC special technology. d) CL4: provide mechanism protection control system to prevent malicious attack that may achieve severe damage using expansion resources by complicated means and tools of PLC special technology.

工業自動化和控制系統網絡安全 可編程序控制器(PLC) 第1部分：系統要求 1 范圍 GB/T 33008的本部分規定了可編程序控制器(PLC)系統的網絡安全要求，包括PLC直接或間接與其他系統通信的網絡安全要求。 本部分適用于工程設計方、設備生產商、系統集成商、用戶以及評估認證機構等。 2規范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB/T 30976.1—2014工業控制系統信息安全 第1部分：評估規范 3術語、定義和縮略語 3.1術語和定義 下列術語和定義適用于本文件。 3.1.1 可編程序(邏輯)控制器programmable(109ic)controller；PLC 一種用于工業環境的數字式操作的電子系統。這種系統用可編程的存儲器作面向用戶指令的內部寄存器，完成規定的功能，如邏輯、順序、定時、計數、運算等，通過數字或模擬的輸入/輸出，控制各種類型的機械或過程。可編程序控制器及其相關外圍設備的設計，使它能夠非常方便地集成到工業控制系統中，并能很容易地達到所期望的所有功能。 注：在本部分中使用縮寫詞PLC代表可編程序控制器(programmable controllers)，這在自動化行業中已形成共識。 原來曾用PC作為可編程序控制器的縮略語，它容易與個人計算機所使用的縮略語PC相混淆。 [GB/T 15969.1—2007，定義3.5] 3.1.2 可編程序控制器(PLC)系統programmable controller system or PLC-system 用戶根據所要完成的自動化系統要求而建立的由可編程序控制器及其相關外圍設備組成的配置。其組成是一些由連接永久設施的電纜或插入部件，以及由連接便攜式或可搬運外圍設備的電纜或其他連接方式互連的單元。 [GB/T 15969.1—2007，定義3.6] 3.1.3 脆弱性 vulnerability 系統設計、實現或操作和管理中存在的缺陷或弱點，可被利用來危害系統的完整性或安全策略。 [GB/T 30976.1—2014，定義3.1.1] 3.1.4 識別 identify 對某一評估要素進行標識與辨別的過程。 [GB/T 30976.1—2014，定義3.1.2] 3.1.5 驗收 acceptance 風險評估活動中用于結束項目實施的一種方法，主要由被評估方組織機構，對評估活動進行逐項檢驗，以是否達到評估目標為接受標準。 [GB/T 30976.1—2014，定義3.1.4] 3.1.6 風險處置 risk treatment 選擇并且執行措施來更改風險的過程。 [GB/T 30976.1—2014，定義3.1.5] 3.1.7 殘余風險 residual risk 經過風險處置后遺留的風險。 [GB/T 30976.1—2014，定義3.1.6] 3.1.8 風險分析 risk analysis 系統地使用信息來識別風險來源和估計風險。 [GB/T 30976.1—2014，定義3.1.8] 3.1.9 風險評估 risk assessment 風險分析和風險評價的整個過程。 [GB/T 30976.1—2014，定義3.1.9] 3.1.10 風險管理 risk management 指導和控制一個組織機構相關風險的協調活動。 [GB/T 30976.1—2014，定義3.1.10] 3.1.11 (網絡)安全security a)保護系統所采取的措施； b) 由建立和維護保護系統的措施而產生的系統狀態； c) 能夠免于非授權訪問和非授權或意外的變更、破壞或者損失的系統資源的狀態； d) 基于PLC系統的能力，能夠提供充分的把握使非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，同時保證授權人員和系統不被阻止； e) 防止對PLC系統的非法或有害的入侵，或者干擾其正確和計劃的操作。 注1：措施可以是與物理(網絡)安全(控制物理訪問計算機的資產)或者邏輯(網絡)安全(登錄給定系統和應用的能力)相關的控制手段。 注2：改寫GB/T 30976.1—2014，定義3.1.14。 3.2 縮略語 下列縮略語適用于本文件。 PLC：可編程序控制器[Programmable(Logic)Controller] FR：基本要求(Foundational Requirement) SR：系統要求(System Requirement) RE：增強要求(Requirement Enhancement) PKI：公鑰基礎設施(Public Key Infrastructure) CA：數字證書認證中心(Certificate Authority) CL：能力等級(Capability Level) USB：通用串行總線(Universal Serial Bus) ID：身份標識號碼(Identification) API：應用程序編程接口(Application Programming Interface) 4 PLC網絡安全概述 4.1 總則 本部分只針對PLC系統的網絡安全要求，主要描述風險內容及安全要求、安全管理、檢測與驗收幾個環節，為PLC網絡安全提供依據和守則。PLC網絡安全與工程設計、管理和環境條件等各種因素相關。PLC系統網絡安全應包括在系統生命周期內的設計開發、安裝、運行維護、退出使用等各階段與系統相關的所有活動。應認識到系統面臨的風險在整個生命周期內會發生變化，應該通過技術和管理兩個方面，把PLC系統網絡安全風險降低到最低或可接受的范圍內。 4.2 網絡安全相關內容概述 4.2.1 危險源 危險源主要包括非安全設備、系統和網絡的接入點。危險源可能來自PLC系統外部，也可能來自PLC系統內部。安全威脅通過危險引入點并利用傳播途徑可能對受體造成傷害。危險引入點歸結為以下幾類，但不限于： a) 網絡通信的連接點： 例如：開放的PLC系統網絡連接、與PLC系統專網互聯的其他網絡連接、遠程技術支持和訪問點、無線接入點、因特網或物聯網連接； b) 移動媒體： 例如：USB設備、光盤、移動硬盤等； c) 不當操作： 例如：惡意攻擊、無意識誤操作等； d)第三方設備： 例如：受感染的工業控制系統以及其他現場設備。 4.2.2 傳播途徑 危險源可能通過傳播途徑對受體造成傷害。通常，可識別單一的傳播途徑，但在多數情況下，一個完整的傳播途徑是由若干單一類型的傳播途徑組合而成。傳播途徑一般分為以下幾類，但不限于： a)外部公共網絡，如因特網、無線； b) 局域網絡(環網、點對點、無線通信)； c)移動存儲裝置。 4.2.3 環境條件 PLC系統網絡安全應考慮環境條件的制約因素，特別是針對在用工業自化控制系統，應考慮現場測試和引入安全技術措施對正常生產過程的影響。 4.2.4 系統能力等級(CL) 系統能力等級如下： a) 能力等級CL1：提供機制保護控制系統防范偶然的、輕度的攻擊。 b) 能力等級CL2：提供機制保護控制系統防范有意的、利用較少資源和一般技術的簡單手段可能達到較小破壞后果的攻擊。 c) 能力等級CL3：提供機制保護控制系統防范惡意的、利用中等資源、PLC特殊技術的復雜手段 可能達到較大破壞后果的攻擊。 d) 能力等級CL4：提供機制保護控制系統防范惡意的、使用擴展資源、PLC特殊技術的復雜手段與工具可能達到重大破壞后果的攻擊。 4.3 PLC系統典型結構 PLC系統典型結構如圖1所示。 第3層 運營管理層 第2層 監督控制層 第1層 現場控制層 第0層 現場設備層 運營管理 監督控制 基本控制 安全和保護 過程(現場設備) PLC系統 圖1 PLC系統典型結構 第3層運營管理層 包括管理生產所要求的最終產品的工作流程的功能。例子包括：生產調度、詳細生產計劃、可靠性保證和生產全現場控制優化。 第2層監督控制層 包括監督和控制物理過程的功能。典型功能包括：操作員界面、工程師組態下裝、歷史數據存儲、報警等。 第1層現場控制層 包括感知和操作物理過程的功能。典型設備為PLC控制器及輸入輸出模塊、安全和保護系統等。此層設備從傳感器讀取數據，必要時執行算法，并維護過程歷史記錄。安全和保護系統監視過程，并在超出安全限值時將過程自動返回安全狀態。 第0層現場設備層 包括直接連接到過程和過程設備的傳感器和執行器。 4.4 PLC系統網絡安全總體要求 4.4.1 概述 工程設計方、設備生產商、系統集成商、用戶以及評估認證機構(以下簡稱“組織”)宜識別、分析、評價、管理、監視和評審組織所面臨安全風險，建立并維護網絡安全管理的要求，建立網絡安全管理職責，分配和管理資源，運用過程方法實現PLC系統的正常運行，并采取有效的措施測量、分析和改進，以滿足PLC系統網絡安全管理的要求。 4.4.2建立PLC系統網絡安全管理要求 4.4.2.1 網絡安全管理方針 依據業務要求和相關法律法規提供管理指導并支持網絡安全。 網絡安全管理要求由管理者組織、制定、批準、發布并傳達給所有員工和外部相關方；網絡安全方針文件應說明管理承諾，并提出組織機構的管理網絡安全的方法。方針文件建議包括以下聲明： a) 網絡安全、整體目標和范圍的定義，以及在允許信息共享機制下安全的重要性； b) 管理者意圖的聲明，以支持符合業務策略和目標的網絡安全目標和原則； c) 設置控制目標和控制措施的框架，包括風險評估和風險管理的結構； d) 對組織機構特別重要的安全方針策略、原則、標準和符合性要求的簡要說明，包括： ·符合法律法規要求； ·安全教育、培訓和意識要求； ·業務連續性管理； ·違反網絡安全方針的后果。 4.4.2.2識別、分析和評價安全風險 組織應建立、維護PLC系統網絡安全風險的識別、分析和評價的方法： a) 確定風險評估方法： ·識別適合PLC系統網絡安全、已識別的業務網絡安全和法律法規要求的風險評估方法； ·制定接受風險的準則，識別可接受的風險級別； ·選擇的風險評估方法應確保風險評估產生可比較的和可再現的結果。 b)定期識別風險，包括： ·識別PLC系統網絡安全管理范圍內的資產及其責任人； ·識別資產所面臨的威脅； ·識別可能被威脅利用的脆弱性； ·識別喪失保密性、完整性和可用性可能對資產造成的影響。 c) 定期分析和評價風險，應： ·在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失效可能造成的對組織的影響； ·根據主要的威脅和脆弱性、對資產的影響以及當前所實施的控制措施，評估安全失效發生的可能性； ·估計風險的級別； ·確定風險是否可接受，或者是否需要使用接受風險的準則進行處理。 d) 識別和評價風險處置的可選措施，可能的措施包括： ·采取適當的控制措施； ·在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險； ·避免風險； ·將相關業務風險轉移到其他方，如：保險，供應商等。 4.4.2.3確定安全管理目標 控制目標和控制措施應加以選擇和實施，以滿足風險評估和風險處置過程中所識別的要求。這種選擇應考慮接受風險的準則以及法律法規的要求。 從GB/T 22080—2008附錄A中選擇控制目標和控制措施成為此過程的一部分，但并不是所有的控制目標和控制措施，組織宜按照設計、集成或應用的PLC系統網絡安全技術等級要求，在其整體業務活動中且在所面臨風險的環境下確定控制目標和控制措施。 獲得管理者對建議的殘余風險的批準。 4.4.3實施和運行網絡安全管理 4.4.3.1 管理職責 4.4.3.1.1管理承諾 應通過清晰的說明、可證實的承諾、明確的網絡安全職責分配及確認，來積極支持組織機構內的安全： ·制定網絡安全管理方針； ·確保網絡安全控制目標和計劃得以制定； ·建立網絡安全的角色和職責； ·為安全啟動提供明確的方向和支持； ·為網絡安全提供所需的資源； ·啟動計劃和程序來保持網絡安全意識； ·決定接受風險的準則和風險的可接受級別。 4.4.3.1.2資源提供 應確定并提供所需的資源，以： ·確保網絡安全規程支持PLC系統業務要求； · 通過正確實施所有的控制措施保持適當的安全； ·必要時，進行評審，并適當響應評審的結果； ·在需要時，改進網絡安全管理的有效性。 4.4.3.1.3培訓、意識和能力 通過以下方式，確保所有被賦予網絡安全管理職責的人員具有執行所要求的任務的能力： ·確定從事影響PLC系統網絡安全管理工作的人員所必要的能力； ·提供培訓或采取其他措施(如聘用有能力的人員)以滿足這些需求； ·評價所采取措施的有效性； ·保持教育、培訓、技能、經理和資格的記錄。 確保所有相關人員意識到他們網絡安全活動的相關性和重要性，以及如何為達到網絡安全目標做出貢獻。 4.4.3.2風險處置計劃、實施 組織應： a) 為管理PLC系統網絡安全風險制定處置計劃，該計劃應包含：適當的管理措施、資源、職責和優先順序； b) 實施風險處置計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配； c) 實施所選擇的控制措施，以滿足控制目標； d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性，以產生可比較的和可再現的結果； e) 管理PLC系統網絡安全相關的資源； f) 實施能夠迅速檢測安全事態和響應安全事件的規程和其他控制措施。 4.4.4 監視和評審網絡安全管理的有效性 組織應： a) 執行監視評審規程和其他控制措施，以： ·迅速檢測過程運行結果中的錯誤； ·迅速識別試圖的和得逞的安全違規和事件； ·使管理者能夠確定分配給人員的安全活動或通過信息技術實施的安全活動是否按期望執行； ·通過使用指示器，幫助檢測安全事態并預防安全事件； ·確定解決安全違規的措施是否有效。 b)在考慮安全事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行網絡安全管理有效性的定期評審(包括滿足網絡安全管理方針和目標，以及安全控制措施的評審)。 c) 測量控制措施的有效性已驗證安全要求是否被滿足。 d) 按照計劃時間間隔進行風險評估的評審，以及對殘余風險和以確定的可接受的風險及級別進行評審，應考慮以下方面的變化： ·組織； ·PLC系統升級或更新； ·業務目標和過程；已識別的威脅； · 已實施的控制措施的有效性； ·外部事態，如法律法規環境的變更、合同義務的變更和社會環境的變更。 e) 考慮監視評審活動的結果，以更新安全計劃。 f) 記錄可能影響PLC系統網絡安全的有效性或執行情況的措施和事態。 4.4.5保持和改進 組織應經常： a) 實施易識別的網絡安全管理改進； b) 采取糾正和預防措施，從其他組織和組織自身的安全經驗中吸取教訓； c) 向所有相關方溝通措施和改進情況，其詳細程度與環境相適應，需要時，商定如何進行； d)確保改進達到了預期目標。 5 PLC系統網絡安全技術要求 5.1 網絡安全技術要求說明 本部分關注從第2層到第1層的網絡安全技術要求。 PLC系統安全要求包括基本要求(FR)、系統要求(SR)和系統增強要求(RE)，每一項基本要求分為若干個系統要求(SR)，其中有些系統要求還包含了增強要求(RE)。其與能力等級(CL)的映射見附錄A。 本部分引用GB/T 30976.1—2014的部分內容，并針對PLC系統進行了裁剪和細化。為方便對照和使用，本部分FR、SR、RE的編號與GB/T 30976.1—2014保持一致。 5.2對第2層和第1層的總體要求 5.2.1 FR 5：限制的數據流 5.2.1.1 SR 5.1：網絡分區 應將PLC系統網絡與非PLC系統網絡進行邏輯分區，將關鍵PLC系統網絡和其他PLC系統網絡進行邏輯分區。 5.2.1.2 SR 5.1 RE(1)：物理網絡分區 應將PLC系統網絡與非PLC系統網絡進行物理分區，將關鍵PLC系統網絡和其他PLC系統網絡進行物理分區。 5.2.1.3 SR 5.1 RE(2)：與非PLC系統網絡的獨立性 PLC系統網絡服務可獨立運行，不依靠非PLC系統設備網絡連接。 5.2.1.4 SR 5.1 RE(3)：關鍵網絡的邏輯或物理隔離 關鍵PLC系統網絡與其他PLC系統網絡進行邏輯或物理隔離。 5.2.1.5 SR 5.2：區域邊界防護 PLC系統應提供監視和控制區域邊界通信的能力： a) 能監視區域邊界的通信； b) 能控制區域邊界的通信。 5.2.1.6 SR 5.2 RE(1)：默認拒絕，例外允許 PLC系統應提供默認拒絕所有網絡流量、例外允許網絡流量(也稱為拒絕所有，允許例外)的能力。 5.2.1.7 SR 5.2 RE(2)：孤島模型 PLC系統應提供能力防止任何通過PLC系統邊界的通信(也稱為孤島模型)。 5.2.1.8 SR 5.2 RE(3)：故障關閉 當邊界防護機制出現操作故障時，PLC系統應提供阻止所有PLC系統邊界通信(也稱為故障關閉)的能力。故障關閉功能的設計應不干擾功能安全系統或其他功能安全相關功能的運行。 5.2.1.9 SR 5.3：一般目的的內部節點間通信限制 PLC系統應提供能力防止一般目的的內部節點間通信消息被PLC系統外部的用戶或系統接收到。 5.2.1.10 SR 5.4：應用分離 PLC系統應基于實現分區模型的關鍵程度提供對數據、應用和服務進行分離的能力。 5.2.1.11 SR 5.5：網絡分層 應將PLC系統根據實際應用場景進行邏輯分層。 5.2.1.12 SR 5.5 RE(1)：層間邊界防護 PLC系統應提供監視和控制第2層與第1層通信的能力。 5.3對第2層的要求 5.3.1 FR 1：標識和認證控制 5.3.1.1 SR 1.1：用戶(人)的標識和認證 PLC系統應提供標識和認證所有用戶(人)的能力。這一能力應在訪問PLC系統的所有訪問接口上實施，以支持符合相應安全策略和規程的職責分離和最小特權原則。PLC系統應使： a) 用戶標識符能在所有訪問接口上被認證。 b) 無效用戶標識符在所有訪問接口上被拒絕。 5.3.1.2 SR 1.1 RE(1)：唯一標識和認證 PLC系統應對所有用戶(人)提供唯一標識和認證的能力。 5.3.1.3 SR 1.1 RE(2)：非可信網絡的多因子認證 當人通過非可信網絡訪問(例如遠程訪問)PLC系統時，PLC系統應為其提供多因子認證的能力。對于經由非可信網絡的遠程訪問的認證方法要求多于一種。 5.3.1.4 SR 1.2：軟件進程的標識和認證 PLC系統宜提供標識和認證所有軟件進程的能力。這一能力應在訪問PLC系統的所有訪問接口上實施，以支持符合相應安全策略和規程的職責分離和最小特權原則。 5.3.1.5 SR 1.2 RE(1)：唯一標識和認證 PLC系統應對所有合法軟件進程擁有唯一標識認證的能力。 5.3.1.6 SR 1.3：賬號管理 PLC系統應提供對所有賬號的管理，包括創建、激活、修改、禁用和移除賬號的能力，當一個或多個賬號被修改或移除時，未被修改的賬號保持激活和賬號權限不變。 5.3.1.7 SR 1.3 RE(1)：統一的賬號管理 PLC系統應提供能力支持統一的賬號管理。 5.3.1.8 SR 1.4：標識符管理 PLC系統應提供按照用戶、組、角色和/或PLC系統接口管理標識符(例如用戶ID)的能力。 5.3.1.9 SR 1.5：認證碼管理 PLC系統應保護認證碼存儲和傳輸時不被未經授權的泄露和更改。 5.3.1.10 SR 1.5 RE(1)：軟件進程標識憑證的硬件安全 對于軟件進程和設備用戶，PLC系統應提供使用硬件機制保護相關認證碼的能力。 5.3.1.11 SR 1.6：無線訪問管理 對參與無線通信的所有的用戶，PLC系統應提供標識和認證的能力。PLC系統應使： a) 合法用戶標識符能在無線訪問接口上被認證； b) 無效用戶標識符在無線訪問接口上被拒絕。 5.3.1.12 SR 1.6 RE(1)：唯一標識和認證 對參與無線通信的所有的用戶，PLC系統應提供唯一標識和認證的能力。 5.3.1.13 SR 1.7：口令認證 對于使用口令認證的PLC系統，PLC系統應提供能力，實施可配置的基于最小長度和不同字符類型的口令強度。PLC系統應： a) 提供實施口令的最小長度的能力。驗證小于最小長度的口令被拒絕用于認證。 b) 提供能力，實施口令中除字母字符外至少還要包含最小數目的特殊字符。驗證不符合最小字符集的口令被拒絕用于認證。 5.3.1.14 SR 1.7 RE(1)：對用戶(人)的口令生成和口令有效期的限制 PLC系統應為用戶(人)提供口令重用次數、口令有效期可配置的能力，這些能力符合普遍接受的安全工業實踐。 5.3.1.15 SR 1.8：公鑰基礎設施證書 當使用公鑰基礎設施PKI時，PLC系統應提供能力按照普遍接受的最佳實踐運行PKI或從現有PKI中獲取公鑰證書。 5.3.1.16 SR 1.9：公鑰認證的加強 對于使用公鑰認證的PLC系統，PLC系統應提供以下能力： a) 通過檢查給定證書的簽名的有效性來證實證書； b) 通過可接受的證書認證機構(CA)證實證書，或在自簽名證書情況下，以某種事先定義的方式證實證書； c) 通過給定證書的撤銷狀態證實證書； d) 建立用戶對相應私鑰的控制； e) 將已認證的標識映射為用戶。 5.3.1.17 SR 1.9 RE(1)：公鑰認證的硬件安全 PLC系統應提供能力，按照普遍接受的安全工業實踐和推薦，通過硬件機制保護相關的私鑰。 5.3.1.18 SR 1.10：認證反饋 PLC系統將認證信息的反饋模糊化，使得當一個或多個憑證無效時，失敗的認證嘗試不提供任何合法憑證有效性的信息(例如用戶名和口令)。 5.3.1.19 SR 1.11：失敗的登錄嘗試 PLC系統應： a) 對任何用戶在可配置的時間周期內連續無效訪問嘗試的次數限制為一個可配置的數目； b) 在可配置時間周期內未成功嘗試次數超過上限時，在指定時間內拒絕訪問直到由管理員解鎖； c) 不應允許關鍵服務或服務器運行的系統賬號交互式登錄。 5.3.1.20 SR 1.13：經由非可信網絡的訪問 PLC系統應： a) 能監視和控制所有經由不可信網絡對控制系統的訪問； b) 拒絕來自不可信網絡的訪問，除非被指定角色批準。 5.3.1.21 SR 1.13 RE(1)：明確的對訪問請求的批準 默認的，PLC系統應提供能力拒絕來自不可信網絡的訪問，除非被指定角色批準，例如限制未授權的IP地址接入。 5.3.2 FR 2：使用控制 5.3.2.1 SR 2.1：授權的執行 在所有接口上，PLC系統應提供能力執行分配給所有用戶(人)的授權，按照職責分離和最小特權來控制對PLC系統的使用。 PLC系統應為資產所有者提供修改許可到角色的映射的能力。包括但不限于： a)瀏覽權限用戶； b) 操作員； c)控制應用工程師； d)PLC系統管理員； e) 操作主管； f)儀表技術員。 5.3.2.2 SR 2.2：無線使用控制 PLC系統應提供能力，對PLC系統的無線連接應依據普遍接受的安全工業實踐進行授權、監視和限制使用。PLC系統應： a) 能授權、監視和限制對PLC系統的無線訪問； b) 能使用適當的認證機制保護無線訪問。 5.3.2.3 SR 2.2 RE(1)：對未授權的無線設備進行識別和報告 PLC系統應提供識別和報告未授權的與PLC系統相關的無線設備在PLC系統物理環境內發射信號的能力。 5.3.2.4 SR 2.3：對便攜和移動設備的使用控制 對于便攜和移動設備，PLC系統應提供使用限制的能力，包括： a)PLC系統提供手段來禁用/控制便攜或移動設備的使用； b)PLC系統監視和記錄便攜和移動設備的訪問和使用； c)PLC系統安全手冊提供了對便攜和移動設備使用限制的列表。 5.3.2.5 SR 2.3 RE(1)：便攜和移動設備的安全狀態的實施 PLC系統應提供能力，確保便攜和移動設備連接到一個區域之前，其安全狀態符合該區域的安全策略和規程。包括： a)PLC系統提供在授權連接之前對便攜和移動設備進行掃描； b)PLC系統監視和記錄掃描結果； c)PLC系統安全手冊提供對移動設備合規掃描進行配置的指示。 5.3.2.6 SR 2.4：移動代碼 基于移動代碼破壞控制系統的潛在可能性，控制系統應提供以下能力：對編輯、修改移動代碼的人員進行權限管理和身份認證。 5.3.2.7 SR 2.4 RE(1)：移動代碼的完整性檢查 控制系統應提供能力，在允許代碼執行之前驗證移動代碼的完整性。 5.3.2.8 SR 2.4 RE(2)：移動代碼的使用限制 PLC系統應： a) 預防移動代碼的執行； b) 對代碼源要求適當的認證和授權； c) 限制移動代碼傳入/傳出控制系統； d)監視移動代碼的使用。 5.3.2.9 SR 2.7：并發連接控制 對任意給定用戶，PLC系統應提供將每個接口的并發連接的數目限制為一個可配置的數目的能力。 5.3.2.10 SR 2.8：可審計的事件 PLC系統應提供為以下類別生成審計記錄的能力：訪問控制、請求錯誤、系統事件、備份和存儲事件、配置變更、潛在的偵查行為和審計日志事件。 5.3.2.11 SR 2.8 RE(1)：中央管理的、系統范圍的審計跟蹤 PLC系統應提供能力，對審計事件進行中央管理，并將來自整個PLC系統內多個部件的審計記錄匯聚為系統范圍的、時間相關的審計跟蹤。PLC系統應提供按照工業標準格式輸出審計記錄的能力，以便標準的商業日志分析工具對其分析。 5.3.2.12 SR 2.9：審計存儲容量 PLC系統應根據日志管理和系統配置普遍認可的推薦值來分配足夠的審計記錄存儲容量。PLC系統應提供審計機制減少超出該容量的可能性。 當分配的審計記錄存儲量達到最大審計記錄存儲容量的某個可配置比例時，PLC系統應提供發出警告的能力。 5.3.2.13 SR 2.10：對審計流程失敗時的響應 PLC系統應： a) 在審計流程失敗時，提供向人員告警并防止技術服務和功能丟失的能力； b) 當審計流程失敗時，提供以下響應的能力：覆蓋最老的審計記錄、停止生成審計記錄。 5.3.2.14 SR 2.11：時間戳 PLC系統應提供時間戳用于生成審計記錄。 5.3.2.15 SR 2.11 RE(1)：內部時間同步 PLC系統應提供以可配置的頻率同步內部系統時鐘的能力。 5.3.2.16 SR 2.11 RE(2)：時間源的完整性的保護 時間源應被保護不受未授權的變更，其變更應觸發審計事件。 5.3.2.17 SR 2.12：不可否認性 PLC系統應提供對給定用戶(人)是否實施了某個特定行為進行判定的能力。 5.3.2.18 SR 2.12 RE(1)：所有用戶的不可否認性 PLC系統應提供對所有用戶是否執行了某個行為進行判定的能力。 5.3.3 FR 3：系統完整性 5.3.3.1 SR 3.1：通信完整性 PLC系統應保護通信信道上傳輸的信息的完整性。 5.3.3.2 SR 3.1 RE(1)：基于密碼技術的完整性保護 PLC系統應提供能力采用密碼學機制識別信息在通信過程中的變更，除非信息已被其他可替換的物理措施保護。 5.3.3.3 SR 3.2：惡意代碼的防護 PLC系統應提供能力，采用防護機制來防止、檢測、報告和消減惡意代碼或非授權軟件的影響。PLC系統應： a) 采用一定的防護機制以防護惡意代碼； b)配置、啟用防護產品； c) 更新防護產品到軟件最新版本； d) 提供防護產品防護的惡意代碼類型的列表或說明。 5.3.3.4 SR 3.2 RE(1)：在入口和出口點防護惡意代碼 PLC系統應提供在所有入口和出口點上采用惡意代碼防護機制的能力。PLC系統應： a) 在區域邊界提供惡意代碼的防護； b) 配置和啟用防護產品； c) 更新防護產品到軟件最新的版本； d) 提供防護產品防護的惡意代碼類型的列表或說明。 5.3.3.5 SR 3.2 RE(2)：惡意代碼防護的集中管理和報告 PLC系統應提供集中管理惡意代碼防護機制的能力。 5.3.3.6 SR 3.4：軟件和信息完整性 PLC系統應提供能力檢測、記錄和保護軟件和信息不受未經授權的變更。 5.3.3.7 SR 3.4 RE(1)：對破壞完整性進行自動通知 PLC系統應提供能力，使用自動化工具在完整性驗證期間發現不符時通知人員。 5.3.3.8 SR 3.5：輸入驗證 PLC系統應驗證任何輸入的語法和內容，這些輸入是作為工業過程控制輸入或直接影響PLC系統行為的輸入。 5.3.3.9 SR 3.6：確定性的輸出 控制系統提供能力，在遭受攻擊無法保持正常運行時能夠將輸出設為預先定義的狀態。 這些狀態包括： a)未上電狀態； b) 可知的最后的好值； c) 由資產屬主或應用確定的固定值。 5.3.3.10 SR 3.7：錯誤處理 PLC系統識別和處理錯誤條件的方式應能夠實施有效的補救，這一方式不能提供可能被敵人利用來攻擊工業PLC系統的信息，除非泄露這一信息對于及時發現并修理問題是必須的。 PLC系統能規定錯誤信息的適當的結構和內容，以提供及時有用的信息而不暴露潛在的有害信息。 5.3.3.1 1 SR 3.8：會話完整性 PLC系統應提供保護通信會話完整性的機制，能為通信會話的每一端提供端對端身份和傳輸信息正確性的信任。 5.3.3.12 SR 3.8 RE(1)：會話終止后會話ID的失效 在用戶登出或會話終止(包括瀏覽器會話)后，系統應提供使其會話標識失效的能力。 5.3.3.13 SR 3.8 RE(2)：唯一會話ID的產生和承認 系統應提供能力，為每個會話生成唯一的會話標識ID，并且只認可系統生成的會話標識。 5.3.3.14 SR 3.8 RE(3)：會話ID的隨機性 控制系統應提供使用普遍接受的隨機源生成唯一的會話標識的能力。 5.3.3.15 SR 3.9：審計信息的保護 PLC系統應保護審計信息和審計工具不被未授權地訪問、修改和刪除。 5.3.3.16 SR 3.9 RE(1)：一次性寫入介質上的審計記錄 PLC系統應提供在基于硬件的、一次性寫入介質上生成審計記錄的能力。 5.3.4 FR 4：數據保密性 5.3.4.1 SR 4.1：信息保密性 PLC系統應提供能力，對有讀授權的信息在靜態和傳輸中進行保密性保護。PLC系統應： a)通過維護具有可控物理訪問的可信網絡來保護敏感信息的保密性(認證信息，例如用戶名和口令應考慮保密)； b)識別敏感信息； c) 對敏感信息的訪問和傳輸進行控制，以防止竊聽和篡改。 5.3.4.2 SR 4.1 RE(1)：靜態和經由不可信網絡傳輸的數據的保密性保護 PLC系統應： a) 提供能力保護靜態信息和穿越不可信網絡的遠程訪問連接的保密性； b)加密敏感的PLC系統信息，例如口令，在存儲和穿過外部網絡傳輸時是加密的。 5.3.4.3 SR 4.1 RE(2)：區域邊界的機密性保護 PLC系統應提供能力保護穿越所有區域邊界的信息的機密性，敏感的PLC系統數據例如口令在存儲和穿越區域邊界時是加密的。 5.3.4.4 SR 4.2：信息存留 PLC系統應提供退役能力，清除被在用服務所釋放的部件中所有與安全相關的資料。 5.3.4.5 SR 4.2 RE(1)：共享內存資源的清除 PLC系統應防止借助易失性存儲資源進行的未經授權的和無意的信息傳輸，當易失性共享存儲釋放回PLC系統供不同用戶使用時，所有的特有數據及特有數據的關聯都應從資源中清除，從而使新用戶對其不可見和不可訪問。 5.3.4.6 SR 4.3：密碼的使用 如果需要密碼，PLC系統應根據普遍接受的工業實踐和推薦來使用密碼算法、密鑰長度以及密鑰創建和管理機制。 5.3.5 FR 6：對事件的及時響應 5.3.5.1 SR 6.1：審計日志的可訪問性 PLC系統應為已授權的人和/或工具提供訪問審計日志的能力。 5.3.5.2 SR 6.1 RE(1)：對審計日志的編程式訪問 PLC系統應使用應用編程接口API提供對審計記錄的訪問。 5.3.5.3 SR 6.2：持續監視 PLC系統應使用普遍接受的安全工業實踐和推薦來提供持續監視所有安全機制的性能的能力，以及時檢測、特征化、削減和報告對安全的違背。 5.3.6 FR 7：資源可用性 5.3.6.1 SR 7.1：拒絕服務的防護 PLC系統應對拒絕服務攻擊有一定的防護能力。 5.3.6.2 SR 7.1 RE(1)：管理通信負荷 PLC系統應提供管理通信負荷的能力(例如使用限速)來消減信息泛洪類的拒絕服務攻擊事件。 5.3.6.3 SR 7.1 RE(2)：限制拒絕服務攻擊對其他系統和網絡的影響 PLC系統應提供能力限制所有用戶引發拒絕服務攻擊事件的能力，這些事件可能影響其他PLC系統和網絡。 5.3.6.4 SR 7.2：資源管理 PLC系統應對資源的使用提供安全功能，防止資源耗盡。 5.3.6.5 SR 7.3：數據備份 系統應在不影響工廠正常運行情況下，支持識別和定位關鍵文件，并有能力執行用戶級和系統級備份(包含系統狀態信息)。控制系統應提供以可配置的頻率自動實現上述功能的能力。 5.3.6.6 SR 7.3 RE(1)：備份驗證 控制系統應提供驗證備份機制的可靠性的能力。 5.3.6.7 SR 7.3 RE(2)：備份自動化 控制系統應提供按照可配置的頻率自動備份的能力。 5.3.6.8 SR 7.4：PLC系統恢復和重構 當遭受攻擊而造成系統中斷或故障，PLC系統應提供恢復和重構到已知的安全狀態的能力。 5.3.6.9 SR 7.5：緊急電源 PLC系統應在不影響現有安全狀態條件下提供與緊急電源之間進行切換的能力。 5.3.6.10 SR 7.6：網絡和安全配置設置 PLC系統應提供能力，按照PLC系統提供商規定的指南中描述的推薦網絡和安全配置進行配置。PLC系統應提供與現有部署網絡和安全配置設置之間的一個接口。PLC系統應： a) 能為配置設置提供可調節的參數； b) 能根據安全策略和規程對配置變更進行監視和控制。 5.3.6.1 1 SR 7.7：最小功能化 PLC系統應提供必要的能力，明確禁止和/或限制對非必要的功能、端口、協議和/或服務的使用。 5.3.6.12 SR 7.8：PLC系統部件清單 PLC系統應提供報告當前已安裝的部件及其關聯屬性的列表的能力。PLC系統應： a) 提供報告已安裝部件及其關聯屬性的方法； b) 確保已安裝部件在系統部件清單目錄中是正確的； c) 在部件增加、移除或部件屬性變更時，正確更新系統部件清單目錄。 5.4對第1層的要求 5.4.1 FR 1：標識和認證控制 5.4.1.1 SR 1.1：用戶(人)的標識和認證 PLC系統應提供標識和認證所有用戶(人)的能力。這一能力應在訪問控制器的所有訪問接口上實施，以支持符合相應安全策略和規程的職責分離和最小特權原則。 5.4.1.2 SR 1.6：無線訪問管理 對參與無線通信的所有的用戶，控制器應提供標識和認證的能力。PLC系統應： a) 能在無線訪問接口上驗證合法用戶標識符，認證為正確； b) 能在無線訪問接口上驗證無效用戶標識符，無效用戶被拒絕。 5.4.1.3 SR 1.13：經由非可信網絡的訪問 PLC系統應提供能力控制所有經由不可信網絡對控制器的訪問方法，例如可限制未授權的IP地址接入。 5.4.2 FR 2：使用控制 5.4.2.1 SR 2.1：授權的執行 在所有邏輯接口上，控制器應提供能力執行分配給所有用戶(人)的授權，按照職責分離和最小特權來控制對控制系統的使用。 5.4.2.2 SR 2.2：無線使用控制 PLC系統應提供能力，對控制系統的無線連接應依據普遍接受的安全工業實踐進行授權、監視和限制使用。