T-SIOT 023-2021 工业物联网安全网闸技术要求

35.240.50CCS

L67登记号：51310000501782151B T/SIOT

工业物联网安全网闸技术要求Technical

gateway

of

industrial

of

things 上

海

市

物

联

网

行

业

协

会 发

布T/SIOT

023-2021 前言

.................................................................................

II1

...............................................................................

12 规范性引用文件

.....................................................................

13 术语和定义

.........................................................................

14 基本要求

...........................................................................

14.1

概述

...........................................................................

14.2

硬件

...........................................................................

14.3

内核软件

.......................................................................

24.4

配置软件

.......................................................................

24.5

监视软件

.......................................................................

24.6

工作环境

.......................................................................

34.7

高可靠性

.......................................................................

34.8

串口支持

.......................................................................

35 安全技术要求

.......................................................................

35.1 接入安全要求

...................................................................

35.1.1 资产识别

...................................................................

35.1.2 协议识别

...................................................................

35.1.3 安全通道

...................................................................

35.1.4 访问控制

...................................................................

35.1.5 入侵检测

...................................................................

35.1.6 漏洞扫描

...................................................................

35.1.7 行为分析

...................................................................

45.2 自身安全要求

...................................................................

45.3 安全保障要求

...................................................................

4参考文献

..............................................................................

5T/SIOT

023-2021 本文件按照GB/T

—《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市物联网行业协会提出并归口。制技术有限责任公司、江苏金恒信息科技有限公司、上海市物联网行业协会。本文件主要起草人：李磊、刘林、陈钢、刘芬、魏茗飞、安高峰、张超、马霄、沈雯嬿、代真虎、黄钰梅、龚炜、时美、范昀、魏巍、何绮青、汪姗姗、贺志龙、王凯、方铠、朱维奇、魏玲、姚海东、汪晓风、姚钟麟、耿东升、欧阳树生。揆安网络科技有限公司、上海地铁电子科技有限公司、上海形拓科技有限公司。IIT/SIOT

023-20211 范围定了安全技术要求，包括接入安全要求、自身安全要求和安全保障要求。本文件适用于工业物联网产品的研制、开发、应用。2 规范性引用文件本文件没有规范性引用文件。3 术语和定义下列术语和定义适用于本文件。3.1内网侧

internal

side工业物联网安全网闸用来连接工业生产网的一侧，这一侧通常不容许连接公网。3.2外网侧

external

side工业物联网安全网闸用来连接信息网的一侧，这一侧通常连接的是办公网。3.3五元组

5-tuple<>由源地址、源端口、目的地址、目的端口和传输层协议这五个量组成的一个集合。4 基本要求4.1 概述-协议剥离-归集后，经由单向隔离总线进行数据封装-协议转发。物联网安全网闸由硬件、内核软件、配置监视软件三部分组成。4.2 硬件持常见工业标准规约数据采集的同时，采用两套主机加隔离装置的结构，隔离装置介于两套主机之间，实现物理级的隔离功能，使工业生产网络得到有力的安全保障。工业物联网安全网闸硬件结构如图1所示。T/SIOT

023-2021外网侧主机单向隔离装置内网侧主机图1 工业物联网安全网闸结构单向隔离装置将工业物联网安全网闸内的两个主机485总线、总线、USB总线完成内网侧主机到外网侧主机数据的传输。内外网主机宜采用低功耗无风扇设计，在保证稳定性的情况下兼顾性能。4.3 内核软件装，以标准协议将数据发送给第三方系统。针对现场可能发生的传输网络故障，上层系统故障等情况，建议内核软件实现断线缓存。外网侧主机数据封装协议转发单向隔离内网侧主机协议适配协议剥离数据归集图2 内核软件功能4.4 配置软件的行业标准协议，可支持定制和扩展。4.5 监视软件T/SIOT

023-2021能。4.6 工作环境力，避免金属粉尘进入机身造成网闸设备损坏。示例：环境温度为

℃

～

+85

℃，相对湿度为40

%

～

%。4.7 高可靠性工业物联网闸需要具备高可靠性，具备软硬看门技术，异常问题出现后第一时间可以进行自恢复。同时硬件设计建议采用双电源供电设计，一路接电网，一路接UPS，有效避免断电。4.8 串口支持工业安全网闸的数据接入能力。5 安全技术要求5.1 接入安全要求5.1.1 资产识别信息。a)

支持识别工业物联网设备类型、厂商、操作系统、开放服务等；b)

识别技术支持设备特征，主动学习并发现新添加设备。5.1.2 协议识别基于数据流的工业物联网协议识别，支持针对协议进行策略控制。5.1.3 安全通道安全通道要求包括：a)

通道连接；b)

支持配置成星形、全连通或用户自定义组网。5.1.4 访问控制网接入设备的准入控制，管理员可配置准入规则，满足条件的设备才能安全接入网络。5.1.5 入侵检测支持入侵检测，对威胁自动告警。5.1.6 漏洞扫描T/SIOT

023-2021支持定期对工业物联网终端进行漏洞扫描。5.1.7 行为分析行为分析要求包括：a)

根据业务流量生成物联网设备行为基线；b)

基于设备行为基线，根据用户策略进行设备业务流量