2024网络关键设备安全技术要求可编程逻辑控制器PLC

GB/TXXXXX.1—XXXX网络关键设备安全技术要求可编程逻辑控制器（PLC）范围本文件规定了列入网络关键设备的可编程逻辑控制器（PLC）在设备标识安全、冗余、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求以及安全保障要求。本文件适用于网络关键设备可编程逻辑控制器（PLC）的研发、测试等工作。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15969.1—2007可编程序控制器第1部分：通用信息GB/T25069—2022信息安全技术术语GB40050—2021网络关键设备安全通用要求术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。3.1可编程逻辑控制器programmablelogiccontroller；PLC用于工业环境的数字式操作的电子系统。系统用可编程的存储器作为面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的I/O，控制各种类型的机械或过程。[来源:GB/T15969.1—2007，3.5，有修改]3.2预装软件pre-installedsoftware设备出厂时安装或提供的、保障设备正常使用必需的软件。注：PLC预装软件通常为设备固件。[来源:GB40050—2021，3.10，有修改]3.3读取read将PLC中的预装软件、程序、状态参数等数据上传。3.4写入write将预装软件、程序、状态参数等数据下传至PLC中。3.5漏洞vulnerability可能被威胁利用的资产或控制的弱点。[来源:GB40050—2021，3.3]3.6健壮性robustness描述一个系统或者一个组件在无效数据输入或者高强度输入等环境下，其各项功能可保持正确运行的程度。[来源:GB40050—2021，3.5]缩略语下列缩略语适用于本文件。CPU：中央处理器（CentralProcessingUnit）I/O：输入/输出（Input/Output）IP：网际互联协议（InternetProtocol）UID：用户标识（UserIdentification）MD5：信息摘要算法-5（Message-DigestAlgorithm5）SHA-1：安全散列算法-1（SecureHashAlgorithm1）DES：数据加密标准（DataEncryptionStandard）概述PLC基本结构示意图见图1。PLC通常包括CPU模块、I/O模块、通信模块和电源模块，PLC还可包含其专用功能模块（如高速计数模块、运动控制模块、密码功能模块等）。图1PLC基本结构示意图安全功能要求设备标识安全本项要求如下：a）应符合GB40050-2021中第5.1b）的规定；b）整体式PLC应具备唯一性标识；c）模块式PLC的CPU模块、I/O模块、通信模块等主要部件模块应具备唯一性标识；注：硬件唯一性标识为序列号等，软件唯一性标识为版本号等。冗余、备份恢复与异常检测本项要求如下：应符合GB40050-2021中第5.2b），c）的规定；b）PLC整机应支持主备切换功能或关键部件（CPU模块、通信模块等）应支持冗余功能，主备或冗余切换时应不影响正常的工作状态；c）PLC整机或关键部件运行状态异常时，应支持切换到安全运行状态确保PLC控制功能正常。漏洞和恶意程序防范本项要求如下：PLC整机、关键部件不应存在已公布的漏洞，或具备补救措施防范漏洞安全风险；PLC整机、关键部件预装软件、补丁包/升级包不应存在恶意程序；PLC整机、关键部件不应存在未声明的功能和访问接口（含远程调试接口）。预装软件启动及更新安全本项要求如下：应符合GB40050-2021中第5.4e）的规定；b）PLC整机、关键部件启动时应支持对预装软件进行完整性校验的功能，确保预装软件不被篡改；c）PLC整机、关键部件应支持预装软件更新功能；d）PLC整机、关键部件应具备保障软件更新操作安全的功能，如仅限于授权用户实施预装软件更新操作，支持用户选择或确认是否进行更新等；e)PLC整机、关键部件应具备防范预装软件在更新过程中被篡改的安全功能，如采用非明文的信道传输更新数据、支持软件包完整性校验等。用户身份标识与鉴别本项要求如下：a）应符合GB40050-2021中第5.5c），d），e），f）的规定；b）应具备唯一标识用户的能力，对PLC执行配置文件读取及写入、预装软件更新等管理操作前，应对用户进行身份鉴别；c）使用口令鉴别方式时，应支持首次管理设备时强制修改默认口令或设置口令，或支持随机的初始口令；d）应支持设置口令生存周期；e）用户输入口令时，不应明文回显口令。访问控制安全本项要求如下：应符合GB40050-2021中第5.6c），d）的规定；b）默认状态下应仅开启必要的服务和对应的端口，应明示所有默认开启的服务、对应的端口及用途，应支持用户关闭除厂商声明的保持PLC基本功能运行的服务和端口之外，默认开启的服务和对应的端口；c）应提供默认状态下保持PLC基本控制功能和通信功能的端口和服务配置，非默认开放的端口和服务，应在用户知晓且同意后才可启用。日志审计安全本项要求如下：应符合GB40050-2021中第5.7d）的规定；b）应支持对重要管理操作（用户登录等）和配置变更（项目文件写入、项目文件读取、预装软件更新等）事件进行记录，记录信息应至少包括事件的日期和时间、事件的来源（UID、设备IP地址等）、事件的结果（成功或失败）等；c）应提供日志信息本地存储功能，当日志记录存储达到设定极限时，应采取告警、循环覆盖等措施进行日志存储空间耗尽处理；d）应支持日志信息输出功能；e）不应在日志中明文或采用不安全的密码算法加密记录口令、身份鉴别信息等敏感数据。注：不安全的密码算法如MD5、SHA-1、DES等。通信安全本项要求如下：a）应符合GB40050-2021中第5.8a），d）的规定；b）应满足通信协议健壮性要求，在遭受异常报文攻击时，应能保证控制功能正常；c）应支持PLC与上位机、PLC之间的时间同步功能；d）应具备抵御通信过程中身份鉴别信息重放攻击、设备控制数据重放等常见重放类攻击的能力。数据安全本项要求如下：a）应具备防止数据泄露、数据非授权读取和修改的安全功能，对存储在PLC整机、关键部件中的配置信息、项目工程文件、用户口令等敏感数据信息进行保护；b）应具备对用户产生且存储在PLC整