信息安全技术工业控制系统专用防火墙技术要求

10《信息安全技术工业掌握系统专用防火墙技术要求》编制说明工作简况任务来源2013年，经国标委批准，全国信息安全标准化技术委员会〔SAC/TC260〕主任办公会争论通过，争论编制《信息安全技术工业和利时系统工程负责主办。国家发改委公布了发改办高技[2012]288201281产业中信息安全产品层面的推广和落地。协作单位在接到《信息安全技术工业掌握系统专用防火墙技术要求》标准的任务后，北京和利时工程马上与信息安全产品检测机所、网神信息技术〔北京〕股份、浙江中控技术股份等单位作为标准编制协作单位。主要工作过程成立编制组201310CC刘太洪等；公安三所包括顾健、邹春明等。制定工作打算以便准时沟通沟通工作状况。参考资料该标准编制过程中，主要参考了：GB17859 计算机信息系统安全保护划分准则GB/T20281 信息安全技术防火墙安全技术要求和测试评价方法GB/T18336 信息技术安全技术信息技术安全性评估准则GB/T17214.1工业过程测量和掌握装置的工作条件第1气候条件GB/T17214.3工业过程测量和掌握装置的工作条件第3机械影响GB/T17214.4工业过程测量和掌握装置的工作条件第4腐蚀和侵蚀影响GB/T2423.1电工电子产品环境试验2试验A：低温GB/T2423.2电工电子产品环境试验2试验B：高温GB/T2423.3电工电子产品环境试验2试验Cab：恒定湿热试验GB/T2423.42验Db：交变湿热试验〔12h+12h〕GB/T2423.52验Ea•GB/T2423.8电工电子产品环境试验2试验Ed：自由跌落GB/T2423.10电工电子产品环境试验验Fc：振动〔正弦〕2试GB/T2423.16电工电子产品环境试验验J2试GB/T2423.18电工电子产品环境试验第2验Kb：盐雾，交变〔氯化钠溶液〕GB/T2423.212验M：低气压GB/T2423.222验N：温度变化GB/T2423.512验Ke：流淌混合气体腐蚀试验GB/T14598.3-2006电气继电器第5GB/T17799.2-2003电磁兼容通用标准工业环境中的抗扰度试验GB/T17799.4-2012电磁兼容通用标准工业环境中的放射标准GB/T18268-2000测量、掌握和试验室用的电设备电磁兼容性要求GB17625.1-2012电磁兼容限值谐波电流放射限值〔设备每相输入电流≤16A〕GB17625.1-2012电磁兼容限值对每项额定电流≤16A且无条件接入的设备在公用低压供电系统中产生的电压变化、电压波动和闪耀的限值GB/T17626.2-2006电磁兼容试验和测量技术静电放电抗扰度试验GB/T17626.3-2003辐射抗扰度试验电磁兼容试验和测量技术射频电磁场GB/T17626.4-2008脉冲群抗扰度试验电磁兼容试验和测量技术电快速瞬变GB/T17626.5-2008电磁兼容试验和测量技术浪涌(冲击)抗扰度试验GB/T17626.6-2008的传导骚扰抗扰度电磁兼容试验和测量技术射频场感应GB/T17626.8-1998扰度试验电磁兼容试验和测量技术工频磁场抗GB/T17626.11-2008时中断和电压变化抗扰度试验GB/T17626.29-2006电磁兼容试验和测量技术直流电源输入端口电压暂降、短时中断和电压变化抗扰度试验GB/T25931 网络测量和掌握系统的准确时钟同步协议GB4208-2008 外壳防护等级〔IP〕GB9254-2008 信息技术设备的无线电骚扰限制和测量方法GB4793.1-2007测量、掌握和试验室用电设备的安全要求第1GB4943.1-2011信息技术设备安全 第1局部：通用要求GB/T30094-2013IEC62443-1-1 1-1IEC62443-1-3 1-3IEC62443-2-1 2-1PLC〔IACS〕安全程序IEC62443-3-2 3-2〔SAL〕IEC62443-4-1 4-1PLCIEC62443-4-2 4-2PLCDL/T1241-2013电力工业以太网交换机技术标准近几年和利时工业掌握系统实施资料近几年到公安三所送检的相关防火墙产品及其技术资料确定编制内容经标准编制组争论打算，以原IT〔GB/T20281〕内容争论目标，以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008准则》为主要参考依据，完成《信息安全技术工业掌握系统专用防火墙技术要求》标准的编制工作。编制工作简要过程依据工程进度要求，编制组人员首先对所参阅的产品、文档以及标准进展反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进展沟通和修改的根底上，开头具体的编制工作。20142了筛选、汇总、分析，对国内外相关产品的进展动向进展了争论，对相关产品的技术文档和标准进展了分析理解。201412资料为根底，在不断的争论和争论中，完善内容，最终形成了本标准草案〔初稿。20154〔第一稿〕进展了争论。并依据争论意见进展修改。20166了修改，形成草案〔其次稿。2016811标准化争论院、国家信息安全技术争论中心、电子四院、启明星辰、20意见，会后依据相关意见对标准草案进展了修改，形成草案〔第三稿。2016815TC260/WG5求意见，收到南京中赛克、启明星辰、山西天地三家成员单位11条修改意见，编制组依据修改意见对草案进展修改，形成草案〔第四稿。20168245编制组依据修改意见对草案进展修改，形成草案〔第五稿。2016825TC260/WG5提出相关修改意见。2016829WG5家评审，评审专家未提出相关修改意见。201696WG5114稿。起草人及其工作标准编制组具体由朱毅明、王弢、刘太洪、邹春明、顾健等人组成。王弢全面负责标准编制工作，包括制定工作打算、确定编制内容和整体进度、人员的安排；刘太洪主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的争论处理、编制说明的编写等工作；邹春明负责标准校对审核工作，朱毅明、顾健主要负责标准编制过程中的各项技术支持和整体指导。标准主要内容编制原则为了使工控防火墙标准的内容从一开头就与国家标准保持全都，GB/T17859-1999、GB/T18336-2008。本标准符合我国的实际状况，遵从我国有关法律、法规的规定。具体原则与要求如下：先进性标准是先进阅历的总结，同时也是技术的进展趋势。目前，我国标准，必需参考国内外先进技术和标准，吸取其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。有用性标准必需是可用的，才有实际意义，因此本标准的编写是在对国情的、可操作性强的标准。兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、符合我国已经公布的有关政策、法律和法规。编制思路目前，我国开展信息安全治理的纲领性文件有两个，一个GB17859GB/T18336规定了我国开展信息安全治理和信息安全产品标准编制的根本原则。具体理由阐述如下：2080评价标准。这些标准中美国国防部公布的可信计算机系统评估准则〔TCSEC〕是这方面最早的标准。在TCSECTCSEC而进展的评估工程已经向一百多种商业安全产品颁发了证书，到达C2级的操作系统安全已得到世界上广泛的成认。并随后引发了加拿大和欧洲等国进展相像标准的研发。随着信息安全的不断向前推动，人们觉察TCSEC的一些要求太严格，以致限制了其应用范围，需要的评估准则来完成TCSEC所际市场将大大拓宽。因此，1996年，CC作为时代进展的产物被推上了历史的舞台。TCSECCC的平稳过渡，美国国防部下属机构，“国家安全电信与信息系统安全委员会”〔简称NSTISSC,现已更名为“国家系统安全委员会”CNSS〕19993月公布了“关于可信计算机评估准则向国际信息技术安全评估通用准则过渡的询问〔NSTISSAMCOMPUSEC/1-9。“目前承受TCSEC准则进展评估的安全工程仍可进展199921CC20011231日，之前全部承受TCSEC进展评估的产品要么废止，要么将TCSEC级别相应转换为CCTCSEC级别将被视为无效。”目前，NSA依据CC已将TCSEC中的C2、B1、B2、B3级操作系统形成了各自的PP，各类防火墙的PP已经完成。依据此备忘录的精神，国家计算机安全处〔NCSC〕出版的包括TCSECCC的需求进展相应的分类，要么不再承受，要么修改承受以满足CC的需求。CC依据“安全保证要求”7个保证级，但实际上面对的威逼级别等要求也分为三种强健性级别：根本、中等、高级。因此，即使是同种产品，由于应用于不同强健级别的环境中，对其安PPTCSEC的5CC在理论上承继TCSEC上述资料说明，TCSEC与CC两者虽然在不同的历史时期消灭，的进展，TCSECCC的时候，将自身有价值的方面融入消灭的CC准则中，让其不断发扬光大。另一方面，TCSEC进入中国以后，也结合中国的特点进展了修改与完善，并形成了强制性国家标准GB17859。GB17859〔TCB〕作了标准备、设施〔含网络〕构成的，依据肯定的应用目标和规格对信息进展则是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执信计算系统所要求的附加用户效劳。GB17859在系统、科学地分析计算机信息系统安全问题的根底统安全保护等级划分为五个级别，即：用户自主保护级、系统审计保护级、安全标记保护级、构造化保护级和访问验证保护级。这五个级的安全掌握。安全保护力量从第一级到第五级逐级增加。从某种意义上说，GB17859代表了中国信息安全的实际需求，GB/T18336则代表了与国际接轨的需求。所以，基于TCSEC的GB17859与翻译自ISO/IEC15408的GB/T18336共同组成了我国信息安全标准体系的两大根底。作为单一的信息安全产品标准，必需同时兼顾 GB17859与GB/T18336门、厂商与用户对工控防火墙标准的实际需求。所以，本标准的编制将主要基于GB17859和GB/T18336进展。标准内容标准构造本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一局部：标准的构造和编写规章。本标准主要构造包括如下内容：范围标准性引用文件术语和定义缩略语安全技术要求A.环境适应性要求B.性能要求C.工控防火墙的应用D.典型工控协议应用层掌握要求主要内容2.3.2.1范围、标准性引用文件、术语和定义和缩略语何种方式引用，术语和定义局部明确了该标准所涉及的一些术语。缩略语局部主要列出本标准中用的缩略语全称及中文解释。安全技术要求具体要求，包括网络层掌握、应用层掌握和安全运维治理；安全保证IT防火墙开发过程并无区分，因此安版的相关条款；依据工控防火墙安全功能要求强度，以及参照 GB/T18336.3-级安全功能强弱和安全保证要求凹凸是等级划分的具体依据安全等级突出安全特性此外依据工控防火墙应用环境的差异又可将工控防火墙细分为部署在域间的工控防火墙和部署在现场掌握层的工控防火墙。一、安全功能要求网络层掌握、应用层掌握和安全运维治理三局部。NATIP/MAC应用层掌握包括：应用协议掌握、工业协议深度内容检测；安全运维治理包括：运维治理、业务审计、安全审计、日志治理、安全治理和高可用性。1安全功能要求分级说明安全功能要求包过滤部署域间*安全功能要求包过滤部署域间*根本级部署现场掌握层*部署域间**增加级部署现场掌握层**NAT————*——状态检测****动态开放端口*——*——IP/MAC****连接数掌握*** *会话治理————* *流量监测————* ——带宽监测————* ——制 流量抗拒绝效劳攻击**抗拒绝效劳攻击****网络扫描防护****应用协议掌握******工业协议深度内容检测————**运维治理******业务审计******安全审计****日志治理******安全 治理口独立 * *治理 安全支撑系统 * *安全运维 旁路保护 * *治理 多工作模式 * *安全策略无扰 **高可 下装时钟同步*时钟同步****电源冗余------*散热方式------*双机热备----*--

* ** ** *** *******二、安全保证要求、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆弱性分析保证，该局部要求完全承受传统ITGB/T20281最版条款。四、性能要求该局部对工控防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务数等性能指标进展了要求。安全功能根本原理够追溯并掩盖安全需求相关的使用环境、安全风险和组织策略。一、安全需求1、使用环境2所示。2使用环境物理访问人员力量连接性2、安全风险

使用环境描述到保护，以免受非授权的物理更改员指南工控防火墙是被分隔的安全域网络之间的唯一连接点产品的安全策略中并保持其安全功能有效33安全风险未授权访问入、流出攻击攻击或破坏击3、组织策略

安全风险描述全部已经或可能企图访问的人\流出，可能导致外网非法信息的入侵或内网信息的泄露问内部资源的信息泄露或崩溃重放有效地鉴别数据以及截取会话连接等攻击步猎取治理员权限录丧失或破坏致产品权限丧失或功能故障导致工控防火墙无法供给正常效劳4

组织策略描述

理解方式供治理员读取全的方式进展治理二、安全目的根本原理1、产品安全目的5已标识的安全风险或组织策略。名称身份认证信息流掌握抗攻击渗透

5产品安全目的产品安全目的描述和鉴别\流出工控息的深度检测并掌握等常见攻击意用户反复猜测鉴别数据

或组织策略未授权访问入、流出击持续鉴别攻击审计记录丧失或审计记录保护 施

破坏绕开鉴别机制攻

授权治理员的通信会话连接

击设备脆弱性攻击失效处理 余等高可用性保证措施

设备状态特别入、流出安全审计安全治理2、环境安全目的

的数据式进展治理的有效手段

网络恶意攻击破坏6的使用环境被包含在环境安全目的中。名称物理访问人员力量连接性

6环境安全目的描述免受非授权的物理更改并遵循治理员指南络之间的唯一连接点策略中并保持其安全功能有效

物理访问人员力量连接性三、安全功能要求根本原理表7说明白安全功能要求的充分必要性的根本原理，即每个产品至少解决了一个产品安全目的，因此安全功能要求是充分和必要的。表8中的“”即说明对应关系。全目的身份全目的身份认证产品功能要求NAT状态检测信息抗攻鉴别流控击渗失败制 透 审计网络动态开放端口定击网络扫描防护应用协议掌握制工业协议深度自身失效安全安全保护处理审计治理信息抗攻鉴别信息抗攻鉴别审计流控击渗失败记录制透处理保护自身失效安全安全保护处理审计治理全目的全目的身份认证产品功能要求内容检测运维治理 业务审计安全运维治理安全审计环境适应性要求是对工控防火墙的部署应用环境提出具体的要录提出要求。性能要求吐量、延迟、最大并发连接数和最大连接速率，该局部不做强制性要求，只作为资料性附录提出要求。工控防火墙的应用墙的数据流，实现向被保护的安全域供给访问可控的效劳恳求。工控防火墙保护的资产是受安全策略保护的网络效劳和资源等，安全域，通过安全策略实现对不同安全域间效劳和访问的审计和掌握。123现场掌握层设备进展安全隔离。12223操作站操作站数据 效劳器工程师站操作站工控防火墙掌握网络保护网络掌握系统域保护系统域2操作站操作站操作站数据效劳器工程师站掌握网络工控防火墙掌握系统图3对现场掌握层设备进展安全隔离环境适应性要求是对工控防火墙的部署模式和应用环境提出具体的要求；性能要求则是对工控防火墙应到达的性能指标作出规定，包括吞吐量、延迟、最大并发连接数和最大连接速率。，环境适应性要求和性能要求不作为等级划分依据四、性能要求该局部对工控防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务数等性能指标进展了要求。典型工控协议应用层掌握要求FINSProfinet/IOProfiBusDPIEC104IEC61850/GOOSE、IEC61850/SV、IEC61850/MMS、DNP3协议、FF协议。编制的背景和意义工业掌握系统IndustrialControlSyste，IC，是由各种自动〔SupervisoryControlAndDataAcquisition，SCADA〕系统、过程掌握系统〔ProcessControlSystePC〔DistributedControlSysteDC〔ProgrammableLogicControllePLRemoteTerminalUniRT、智能电子设备IntelligentDevic，IE，以及确保各组件通信的接口技术。过去十多年间世界范围内的各类工业掌握系〔DCS/PLC/PCS等及SCADA系统广泛承受信息技Information微软视窗操作系统Windows®,以太网Ethernet™及传输掌握协议/因特网互联协议〔TransmissionControl Protocol/Internet Protocol，TCP/I，现场总(Fieldbus)技术，用于过程掌握的对象连接与嵌入〔ObjectLinkingandEmbedding，OLE；OLEforProcessControl，SCADA系统等与外界的隔离。但是，越来越多的案例说明，来自商及SCADA系统中集中，直接影响了工业稳定生产及人身安全。将其截获，人们照旧认为系统是安全的。2005813日美国佳士拿汽车工厂的掌握系统通过修理人员IT防火墙，病毒就在几秒钟之内从一个车间感染到另一个车间，从而最终导致停工。2006年10月一部被感染的修理用的笔记本电脑,让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。2007SCADA系统，通过安装恶意软件破坏了用于取水调度的掌握计算机。2008年，波兰某城市的地铁系统，通过电视遥控器转变轨道扳4节车厢脱轨；蠕虫病面积影响。2011SCADA系统，使得供水泵遭到破坏。目前工业掌握系统已广泛应用于我国电力、水利、石化、交通运局部，一旦工控系统中的数据信息及掌握指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。50年月，相比于国外晚了近半个世纪，产业技术水平存在着肯定的差距，目前工控系统简单化、IT化和通用化的趋势在逐步增加而形成“管控一体化”趋势，使得工控系统与治理系统及互联网相连通，内部也越来越多地承受了通用软件、捷，必需尽快建立安全标准以满足国家信息安全的战略需要。2007年公布的ChemicalFacilityAnti-TerrorismStandards(CFATS)标准〔该标准由美国国土安全部公布〕以及2008年公布的USChemicalAnti-TerrorismAct〔美国