《信息安全技术 工业控制系统专用防火墙技术要求-编制说明》

1工作简况

1.1任务来源

2013年，经国标委批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究编制《信息安全技术工业

控制系统专用防火墙技术要求》国家标准。该项目由全国信息安全标

准化技术委员会提出，全国信息安全标准化技术委员会归口，由北京

和利时系统工程有限公司负责主办。

国家发改委颁布了发改办高技[2012]288号文《国家发展改革委

办公厅关于组织实施2012年国家下一代互联网信息安全专项有关试

点和标准工作事项的通知》，开展实施一系列共81个下一代互联网信

息安全标准的“下一代互联网信息安全标准专项项目”。工控防火墙

作为发改委重点扶持发展的十类下一代信息安全产品之一，表明了工

控防火墙在下一代互联网信息安全产品中的地位，其标准的建设工作

至关重要。因此本标准项目建设工作主要是为配合国家下一代互联网

产业中信息安全产品层面的推广和落地。

1.2协作单位

在接到《信息安全技术工业控制系统专用防火墙技术要求》标

准的任务后，北京和利时工程有限公司立即与信息安全产品检测机

构、各生产工控防火墙的厂商进行沟通，并得到了多家业内知名厂商

的积极参与和反馈。经过层层筛选之后，最后确定由公安部第三研究

1

所、网神信息技术（北京）股份有限公司、浙江中控技术股份有限公

司等单位作为标准编制协作单位。

1.3主要工作过程

1.3.1成立编制组

2013年10月接到标准编制任务，组建标准编制组，由本公司、

公安三所、网神、浙江中控联合编制。编制组由具有资深的工业控制

系统专业人员、资深的防火墙产品检测经验人员以及熟悉CC参并与

多项信息安全标准编制的人员组成。和利时人员包括朱毅明、王弢、

刘太洪等；公安三所包括顾健、邹春明等。

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排

以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB17859计算机信息系统安全保护划分准则

•GB/T20281信息安全技术防火墙安全技术要求和测试评

价方法

•GB/T18336信息技术安全技术信息技术安全性评估准则

•GB/T17214.1工业过程测量和控制装置的工作条件第1部分：

气候条件

2

•GB/T17214.3工业过程测量和控制装置的工作条件第3部分：

机械影响

•GB/T17214.4工业过程测量和控制装置的工作条件第4部分：

腐蚀和侵蚀影响

•GB/T2423.1电工电子产品环境试验第2部分：试验方法试

验A：低温

•GB/T2423.2电工电子产品环境试验第2部分：试验方法试

验B：高温

•GB/T2423.3电工电子产品环境试验第2部分：试验方法试

验Cab：恒定湿热试验

•GB/T2423.4电工电子产品环境试验第2部分：试验方法试

验Db：交变湿热试验（12h+12h循环）

•GB/T2423.5电工电子产品环境试验第2部分：试验方法试

验Ea和导则：冲击

•GB/T2423.8电工电子产品环境试验第2部分：试验方法试

验Ed：自由跌落

•GB/T2423.10电工电子产品环境试验第2部分：试验方法试

验Fc：振动（正弦）

•GB/T2423.16电工电子产品环境试验第2部分：试验方法试

验J及导则：长霉

•GB/T2423.18电工电子产品环境试验第2部分：试验方法试

验Kb：盐雾，交变（氯化钠溶液）

3

•GB/T2423.21电工电子产品环境试验第2部分：试验方法试

验M：低气压

•GB/T2423.22电工电子产品环境试验第2部分：试验方法试

验N：温度变化

•GB/T2423.51电工电子产品环境试验第2部分：试验方法试

验Ke：流动混合气体腐蚀试验

•GB/T14598.3-2006电气继电器第5部分：量度继电器和

保护装置的绝缘配合要求和试验

•GB/T17799.2-2003电磁兼容通用标准工业环境中的抗扰度

试验

•GB/T17799.4-2012电磁兼容通用标准工业环境中的发射标

准

•GB/T18268-2000测量、控制和实验室用的电设备电磁兼容

性要求

•GB17625.1-2012电磁兼容限值谐波电流发射限值（设备

每相输入电流≤16A）

•GB17625.1-2012电磁兼容限值对每项额定电流≤16A且

无条件接入的设备在公用低压供电系统中产生的电压变化、电

压波动和闪烁的限值

•GB/T17626.2-2006电磁兼容试验和测量技术静电放电抗

扰度试验

•GB/T17626.3-2003电磁兼容试验和测量技术射频电磁场

4

辐射抗扰度试验

•GB/T17626.4-2008电磁兼容试验和测量技术电快速瞬变

脉冲群抗扰度试验

•GB/T17626.5-2008电磁兼容试验和测量技术浪涌(冲击)

抗扰度试验

•GB/T17626.6-2008电磁兼容试验和测量技术射频场感应

的传导骚扰抗扰度

•GB/T17626.8-1998电磁兼容试验和测量技术工频磁场抗

扰度试验

•GB/T17626.11-2008电磁兼容试验和测量技术电压暂降、短

时中断和电压变化抗扰度试验

•GB/T17626.29-2006电磁兼容试验和测量技术直流电源输

入端口电压暂降、短时中断和电压变化抗扰度试验

•GB/T25931网络测量和控制系统的精确时钟同步协议

•GB4208-2008外壳防护等级（IP代码）

•GB9254-2008信息技术设备的无线电骚扰限制和测量方法

•GB4793.1-2007测量、控制和实验室用电设备的安全要求第

1部分：通用要求

•GB4943.1-2011信息技术设备安全第1部分：通用要求

•GB/T30094-2013工业以太网交换机技术规范

•IEC62443-1-1工业过程测量和控制安全-网络和系统安全

第1-1术语、概述和模型

5

•IEC62443-1-3工业过程测量和控制安全-网络和系统安全

第1-3系统的安全性符合指标

•IEC62443-2-1工业过程测量和控制安全-网络和系统安全

第2-1建立工业自动化和PLC系统（IACS）安全程序

•IEC62443-3-2工业过程测量和控制安全-网络和系统安全

第3-2用于区域和管道的安全保证等级（SAL）

•IEC62443-4-1工业过程测量和控制安全-网络和系统安全

第4-1用于工业自动化和PLC系统的产品开发要求

•IEC62443-4-2工业过程测量和控制安全-网络和系统安全

第4-2用于工业自动化和PLC系统组件的技术的安全要求

•DL/T1241-2013电力工业以太网交换机技术规范

•近几年和利时工业控制系统实施资料

•近几年到公安三所送检的相关防火墙产品及其技术资料

1.3.4确定编制内容

经标准编制组研究决定，以原IT防火墙国标（GB/T20281）内容

和发改委专项测试要求为理论基础，以现有工控防火墙的发展动向为

研究目标，以GB17859-1999《计算机信息系统安全保护等级划分准

则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估

准则》为主要参考依据，完成《信息安全技术工业控制系统专用防

火墙技术要求》标准的编制工作。

1.3.5编制工作简要过程

6

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及

标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完

成对提纲进行交流和修改的基础上，开始具体的编制工作。

2014年2月，完成了对工控防火墙的相关技术文档和有关标准的

前期基础调研。在调研期间，主要对和利时多年来工控系统相关技术

资料，公安三所历年防火墙产品的记录、报告以及技术文档材料进行

了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对

相关产品的技术文档和标准进行了分析理解。

2014年12月完成了标准草稿的编制工作。以编制组人员收集的

资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准

草案（初稿）。

2015年4月，编制组在公安三所对标准草案（第一稿）进行了讨

论。并根据讨论意见进行修改。

2016年6月，编制组以意见征求会形式邀请绿盟、启明星辰、威

努特等厂商代表以及铁科院、沈自所、解放军信安中心等行业专家进

行现场征求意见，根据反馈意见，会后根据相关意见对标准草案进行

了修改，形成草案（第二稿）。

2016年8月11日，编制组以标准推进会形式邀请中国电子技术

标准化研究院、国家信息安全技术研究中心、电子四院、启明星辰、

中国网安等组织的20多位相关行业专家进行现场征求意见，根据反

馈意见，会后根据相关意见对标准草案进行了修改，形成草案（第三

稿）。

7

2016年8月15日，TC260/WG5对本标准草案进行了成员单位征

求意见，收到南京中新赛克、启明星辰、山西天地三家成员单位11

条修改意见，编制组根据修改意见对草案进行修改，形成草案（第四

稿）。

2016年8月24日，收到成员单位补充征求意见5条修改意见，

编制组根据修改意见对草案进行修改，形成草案（第五稿）。

2016年8月25日，TC260/WG5在北京以推进会的形式对连同本

标准在内的多个标准进行讨论，本次讨论会上，参会专家未对本标准

提出相关修改意见。

2016年8月29日提交本草案进行WG5组内专家评审，并通过专

家评审，评审专家未提出相关修改意见。

2016年9月6日本草案发起WG5组内投票，本草案最终投票结果

是114个参与投票的成员单位全部赞成，标准无需修改转为征求意见

稿。

1.3.6起草人及其工作

标准编制组具体由朱毅明、王弢、刘太洪、邹春明、顾健等人组

成。王弢全面负责标准编制工作，包括制定工作计划、确定编制内容

和整体进度、人员的安排；刘太洪主要负责标准的前期调研、现状分

析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工

作；邹春明负责标准校对审核工作，朱毅明、顾健主要负责标准编制

过程中的各项技术支持和整体指导。

8

2标准主要内容

2.1编制原则

为了使工控防火墙标准的内容从一开始就与国家标准保持一致，

本标准的编写参考了其他国家有关标准，主要有GB/T17859-1999、

GB/T20271-2006和GB/T18336-2008。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国

工控防火墙产品种类较多，功能良莠不齐，要制定出先进的产品国家

标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具

有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国

内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，

广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国

情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、

规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容

符合我国已经发布的有关政策、法律和法规。

9

2.2编制思路

目前，我国开展信息安全管理的纲领性文件有两个，一个

GB17859，另一个是GB/T18336。这两个国家标准从提纲挈领的角度

规定了我国开展信息安全管理和信息安全产品标准编制的基本原则。

具体理由阐述如下：

从20世纪80年代开始，世界各国相继制定了多个信息技术安全

评价标准。这些标准中美国国防部发布的可信计算机系统评估准则

（TCSEC）是这方面最早的标准。

在TCSEC发布后的十多年里，美国政府和机构的信息系统安全性

有了较大程度的提高，特别是在操作系统和数据库方面，开创了安全

标准的先河。根据TCSEC而进行的评估项目已经向一百多种商业安

全产品颁发了证书，达到C2级的操作系统安全已得到世界上广泛的

承认。并随后引发了加拿大和欧洲等国进行相似标准的研发。

随着信息安全的不断向前推进，人们发现TCSEC的一些要求太

严格，以致限制了其应用范围，需要新的评估准则来完成TCSEC所

不能完成的使命。同时，信息安全产品的厂商迫切需要一种国际性的

评估准则，而不是各国各自的不同准则来评估其产品，这样产品的国

际市场将大大拓宽。因此，1996年，CC作为时代发展的产物被推上

了历史的舞台。

为了更好的实现由TCSEC向CC的平稳过渡，美国国防部下属

机构，“国家安全电信与信息系统安全委员会”（简称NSTISSC,现已

更名为“国家系统安全委员会”简称CNSS）于1999年3月发布了“关

10

于可信计算机评估准则向国际信息技术安全评估通用准则过渡的咨

询备忘录”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC准则进行评估的安全项目仍可进行，但自1999

年2月1日起，任何新的安全产品必须采用CC来评估。截止到2001

年12月31日，之前所有采用TCSEC进行评估的产品要么废止，要

么将TCSEC级别相应转换为CC的保证级别，否则所有TCSEC级别

将被视为无效。”

目前，NSA根据CC已将TCSEC中的C2、B1、B2、B3级操作

系统形成了各自的PP，各类防火墙的PP已经完成。

根据此备忘录的精神，国家计算机安全处（NCSC）出版的包括

TCSEC在内的彩虹系列在之后的时间里分别根据CC的需求进行相

应的分类，要么不再采用，要么修改采用以满足CC的需求。

CC根据“安全保证要求”不断递增而分为7个保证级，但实际上

除了这7个保证级外，“保护轮廓”（PP）根据数据的敏感性、信息所

面对的威胁级别等要求也分为三种强健性级别：基本、中等、高级。

因此，即使是同种产品，由于应用于不同强健级别的环境中，对其安

全功能要求不同，故PP的级别不同。这一点在本质上与TCSEC的

按安全功能要求分为5级是相似的，也是CC在理论上承继TCSEC

的具体体现。

上述资料表明，TCSEC与CC两者虽然在不同的历史时期出现，

但在本质上它们是一脉相承，互相融合的。由于信息技术及市场需求

的发展，TCSEC准则在过渡到CC的时候，将自身有价值的方面融

11

入新出现的CC准则中，让其不断发扬光大。

另一方面，TCSEC进入中国以后，也结合中国的特点进行了修

改与完善，并形成了强制性国家标准GB17859。

GB17859首先对计算机信息系统及其可信计算基（TCB）作了规

范性说明，指出：“计算机信息系统”是由计算机及其相关的配套设

备、设施（含网络）构成的，按照一定的应用目标和规格对信息进行

采集、加工、存储、传输、检索等处理的人机系统，而“可信计算基”

则是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执

行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可

信计算系统所要求的附加用户服务。

GB17859在系统、科学地分析计算机信息系统安全问题的基础

上，结合我国信息系统建设的实际情况，从技术角度将计算机信息系

统安全保护等级划分为五个级别，即：用户自主保护级、系统审计保

护级、安全标记保护级、结构化保护级和访问验证保护级。这五个级

别定义了不同强度的信息系统保护能力，包含有不同要素和不同强度

的安全控制。安全保护能力从第一级到第五级逐级增强。

从某种意义上说，GB17859代表了中国信息安全的实际需求，

GB/T18336则代表了与国际接轨的需求。

所以，基于TCSEC的GB17859与翻译自ISO/IEC15408的

GB/T18336共同组成了我国信息安全标准体系的两大基础。

作为单一的信息安全产品标准，必须同时兼顾GB17859与

GB/T18336的要求，才能做到既有特色与又能兼容，满足国家主管部

12

门、厂商与用户对工控防火墙标准的实际需求。所以，本标准的编制

将主要基于GB17859和GB/T18336进行。

2.3标准内容

2.3.1标准结构

本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则

第一部分：标准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围

2.规范性引用文件

3.术语和定义

4.缩略语

5.安全技术要求

6.附录A.环境适应性要求

7.附录B.性能要求

8.附录C.工控防火墙的应用

9.附录D.典型工控协议应用层控制要求

2.3.2主要内容

2.3.2.1范围、规范性引用文件、术语和定义和缩略语

该部分定义了本标准适应的范围，所引用的其它标准情况，及以

何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“工业控制系统专用防火墙”、“深度包检测”、

13

“深度内容检测”、“外部网络”和“内部网络”等重要概念。

缩略语部分主要列出本标准中用的缩略语全称及中文解释。

2.3.2.3安全技术要求

标准将工控防火墙技术要求分为安全功能要求、安全保证要求两

个大类。其中，安全功能要求是对工控防火墙应具备的安全功能提出

具体要求，包括网络层控制、应用层控制和安全运维管理；安全保证

要求针对工控防火墙的开发和使用文档的内容提出具体的要求，由于

工控防火墙的开发过程与传统IT防火墙开发过程并无区别，因此安

全保证要求具体条款完全采用传统IT防火墙标准（GB/T20281）最新

版的相关条款；

按照工控防火墙安全功能要求强度，以及参照GB/T18336.3-

2008，对工控防火墙安全等级进行划分。安全等级分为基本级和增强

级，安全功能强弱和安全保证要求高低是等级划分的具体依据，安全

等级突出安全特性。此外根据工控防火墙应用环境的差异，又可将工

控防火墙细分为部署在域间的工控防火墙和部署在现场控制层的工

控防火墙。

一、安全功能要求

产品安全功能要求主要对产品实现的功能进行了要求。主要包括

网络层控制、应用层控制和安全运维管理三部分。

其中网络层控制包括：包过滤、NAT、状态检测、动态端口开放、

IP/MAC绑定、流量会话管理、抗拒绝服务攻击以及网络扫描防护等；

应用层控制包括：应用协议控制、工业协议深度内容检测；安全运

14

维管理包括：运维管理、业务审计、安全审计、日志管理、安全管理

和高可用性。

表1安全功能要求分级说明

基本级增强级

安全功能要求

部署域间部署现场控制层部署域间部署现场控制层

包过滤******

NAT————*——

状态检测****

动态开放端口*——*——

网络IP/MAC地址绑定****

层控连接数控制****

流量

制会话管理————**

会话

流量监测————*——

管理

带宽监测————*——

抗拒绝服务攻击****

网络扫描防护****

应用应用协议控制******

层控

工业协议深度内容检测————**

制

运维管理******

业务审计******

安全审计****

日志管理******

安全管理口独立****

管理安全支撑系统****

安全

旁路保护****

运维

管理多工作模式******

安全策略无扰**

**

高可下装

用性时钟同步****

电源冗余------*

散热方式------*

双机热备----*--

注：“*”表示具有该要求，“**”表示要求有所增强，“——”表示不适用。

15

二、安全保证要求

该部分对产品的开发和使用文档的内容进行了要求，包括配置管

理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆

弱性分析保证，该部分要求完全采用传统IT防火墙标准GB/T20281

最新版条款。

16

四、性能要求

该部分对工控防火墙的吞吐量、延迟、最大并发连接数、最大连

接速率和最大事务数等性能指标进行了要求。

2.3.2.4安全功能基本原理

本部分资料用以说明工控防火墙安全功能要求产生的过程。下述

内容详细描述了与工控防火墙安全需求相关的使用环境、安全风险和

组织策略，定义了工控防火墙及其支撑环境的安全目的，并通过对应

关系论证了安全功能要求能够追溯并覆盖产品安全目的，安全目的能

够追溯并覆盖安全需求相关的使用环境、安全风险和组织策略。

一、安全需求

1、使用环境

工控防火墙安全需求相关的使用环境如表2所示。

表2使用环境

使用环境名称使用环境描述

所有实施工控防火墙安全策略相关的硬件和软件应受

物理访问

到保护，以免受非授权的物理更改

只用授权的管理员才能直接访问或远程访问工控防火

人员能力墙；授权管理员是无恶意的，训练有素的，并遵循管

理员指南

连接性工控防火墙是被分隔的安全域网络之间的唯一连接点

当工控防火墙的应用环境发生变化时，应立即反映在

安全维护

产品的安全策略中并保持其安全功能有效

2、安全风险

工控防火墙安全需求相关的安全风险如表3所示。

表3安全风险

17

安全风险名称安全风险描述

非授权用户可能试图访问和使用工控防火墙提供的安

未授权访问全功能；未授权用户是指除工控防火墙授权用户之外

所有已经或可能企图访问的人

未授权信息流未授权的信息流的流入\流出，可能导致外网非法信息

入、流出的入侵或内网信息的泄露

网络地址欺骗外部网络的用户可能尝试伪装利用内网网络地址，访

攻击问内部资源

攻击者可能对内部受保护的网络或主机进行攻击，这

网络恶意攻击

类攻击可能已拒绝服务和穿透主机或网络节点为目的

攻击者可能对内部受保护的服务资源进行攻击，这类

应用恶意攻击攻击可能以恶意代码的形式进入网络，导致服务资源

的信息泄露或崩溃

攻击者可能绕过或欺骗身份鉴别机制，假冒授权管理

绕开鉴别机制

员或侵入已建立的会话连接。例如，拦截鉴别信息、

攻击

重放有效地鉴别数据以及截取会话连接等攻击

非授权用户可能通过反复猜测鉴别数据的方法，进一

持续鉴别攻击

步获取管理员权限

审计记录丢失攻击者可能采取耗尽审计存储空间的方法导致审计记

或破坏录丢失或破坏

设备脆弱性攻攻击者可能通过工控防火墙的自身缺陷进行攻击，导

击致产品权限丢失或功能故障

工控防火墙可能出现超负载、断电故障等异常情况，

设备状态异常

导致工控防火墙无法提供正常服务

3、组织策略

工控防火墙安全需求相关的组织策略如表4所示。

表4组织策略

组织策略名称组织策略描述

为追踪与安全相关活动的责任，工控防火墙应对与安

安全审计全相关的事件进行记录、保存和审查，并提供一种可

理解方式供管理员读取

工控防火墙应为授权管理员提供管理手段，使其以安

安全管理

全的方式进行管理

二、安全目的基本原理

1、产品安全目的

表5定义了工控防火墙的安全目的。这些安全目的旨在对应

18

已标识的安全风险或组织策略。

表5产品安全目的

产品安全目的对应的安全风险

产品安全目的描述

名称或组织策略

在允许用户访问产品功能之前，产

身份认证品必须对用户身份进行唯一的标识未授权访问

和鉴别

工控防火墙应控制流入\流出工控

防火墙的信息流，除了一般的协议未授权信息流

信息流控制

控制之外，还应包括对工业控制信入、流出

息的深度检测并控制

网络地址欺骗攻

工控防火墙应能抵抗地址欺骗、拒

击

抗攻击渗透绝服务、网络扫描、工控应用漏洞

网络恶意攻击

等常见攻击

应用恶意攻击

工控防火墙应具备安全机制防止恶

鉴别失败处理持续鉴别攻击

意用户反复猜测鉴别数据

审计记录应受到充分保护，工控防

审计记录丢失或

审计记录保护火墙应具备防止事件记录丢失的措

破坏

施

为更好地防范工控防火墙自身的漏

绕开鉴别机制攻

洞，应确保底层支撑系统的可靠性

自身保护击

和稳定性；此外工控防火墙还应保

设备脆弱性攻击

护授权管理员的通信会话连接

工控防火墙应具备旁路保护、双机

失效处理热备、电源冗余等高可用性保证措设备状态异常

施

未授权信息流

产品应记录业务、管理维护安全相入、流出

关的事件，以便追踪安全相关行为网络恶意攻击

安全审计

的责任，并应提供方法审查所记录审计记录丢失或

的数据破坏

审计

产品应向授权管理员提供以安全方

安全管理管理

式进行管理的有效手段

2、环境安全目的

表6定义了非技术或程序方法进行处理的安全目的。该部分确定

的使用环境被包含在环境安全目的中。

19

表6环境安全目的

环境安全目的

环境安全目的描述对应的使用环境

名称

所有实施工控防火墙安全策略相

物理访问关的硬件和软件应受到保护，以物理访问

免受非授权的物理更改

只用授权的管理员才能直接访问

或远程访问工控防火墙；授权管

人员能力人员能力

理员是无恶意的，训练有素的，

并遵循管理员指南

工控防火墙是被分隔的安全域网

连接性连接性

络之间的唯一连接点

当工控防火墙的应用环境发生变

安全维护化时，应立即反映在产品的安全安全维护

策略中并保持其安全功能有效

三、安全功能要求基本原理

表7说明了安全功能要求的充分必要性的基本原理，即每个产品

安全目的都至少有一个安全功能要求与其对应，每个安全功能要求都

至少解决了一个产品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明对应关系。

表7安全功能要求基本原理

产品安

信息抗攻鉴别审计

全目的身份自身失效安全安全

流控击渗失败记录

认证保护处理审计管理

制透处理保护

产品功能要求

包过滤

NAT

状态检测

动态开放端口

网络

IP/MAC地址绑

层控

定

制

流量会话管理

抗拒绝服务攻

击

网络扫描防护

应用应用协议控制

层控

制工业协议深度

20

产品安

信息抗攻鉴别审计

全目的身份自身失效安全安全

流控击渗失败记录

认证保护处理审计管理

制透处理保护

产品功能要求

内容检测

运维管理

业务审计

安全

安全审计

运维

安全管理

管理

日志管理

高可用性

2.3.2.5环境适应性要求

环境适应性要求是对工控防火墙的部署应用环境提出具体的要

求，主要包括工作温度、相对湿度、大气压力、防腐蚀、电磁兼容性、

绝缘性能、机械适应性等。该部分不做强制性要求，只作为资料性附

录提出要求。

2.3.2.6性能要求

性能要求则是对工控防火墙应达到的性能指标作出规定，包括吞

吐量、延迟、最大并发连接数和最大连接速率，该部分不做强制性要

求，只作为资料性附录提出要求。

2.3.2.7工控防火墙的应用

工控防火墙的目的是在不同的安全域之间建立安全控制点，根据

预先定义的访问控制策略和安全防护策略，解析和过滤经过工控防火

墙的数据流，实现向被保护的安全域提供访问可控的服务请求。

工控防火墙保护的资产是受安全策略保护的网络服务和资源等，

此外，工控防火墙本身及其内部的重要数据也是受保护的资产。工控

21

防火墙通常以路由模式或透明模式运行，且一般将网络划分为若干个

安全域，通过安全策略实现对不同安全域间服务和访问的审计和控

制。

下图是工控防火墙的一个典型运行环境。图1在运营管理层网络

与监督控制层网络之间安全隔离。同层级网络不同控制域间的安全逻

辑隔离，图2在控制网络与功能安全保护网络之间安全隔离。图3对

现场控制层设备进行安全隔离。

图1运营管理层网络与监督控制层网络之间安全隔离

22

图2控制网络与功能安全保护网络之间安全隔离

图3对现场控制层设备进行安全隔离

环境适应性要求是对工控防火墙的部署模式和应用环境提出具

23

体的要求；性能要求则是对工控防火墙应达到的性能指标作出规定，

包括吞吐量、延迟、最大并发连接数和最大连接速率。

，环境适应性要求和性能要求不作为等级划分依据

四、性能要求

该部分对工控防火墙的吞吐量、延迟、最大并发连接数、最大连

接速率和最大事务数等性能指标进行了要求。

2.3.2.8典型工控协议应用层控制要求

该部分主要对典型工业协议深度内容检测提出要求，主要包括以

下常用工业协议：ModbusTCP协议、OPC协议、S7协议、Ethernet/IP、

FINS、Profinet/IO、ProfiBusDP协议、IEC104协议、IEC61850/GOOSE、

IEC61850/SV、IEC61850/MMS、DNP3协议、FF协议。

2.4编制的背景和意义

工业控制系统（IndustrialControlSystem，ICS），是由各种自动

化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构

成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控

系统。其核心组件包括数据采集与监视控制（SupervisoryControlAnd

DataAcquisition，SCADA）系统、过程控制系统（ProcessControl

System，PCS）、分布式控制系统（DistributedControlSystem，DCS）、

可编程逻辑控制器（ProgrammableLogicController，PLC）、远程终端

24

（RemoteTerminalUnit，RTU）、智能电子设备（IntelligentElectronic

Device，IED），以及确保各组件通信的接口技术。

过去十多年间，世界范围内的各类工业控制系统（DCS/PLC/PCS

等）及SCADA系统广泛采用信息技术（InformationTechnology，IT），

微软视窗操作系统Windows®,以太网Ethernet™及传输控制协议/因

特网互联协议（TransmissionControlProtocol/InternetProtocol，

TCP/IP），现场总线(Fieldbus)技术，用于过程控制的对象连接与嵌入

（ObjectLinkingandEmbedding，OLE；OLEforProcessControl，

OPC）等技术的应用使工业设备接口越来越开放，减弱了控制系统及

SCADA系统等与外界的隔离。但是，越来越多的案例表明，来自商

业网络、因特网以及其它因素导致的网络安全问题正逐渐在控制系统

及SCADA系统中扩散，直接影响了工业稳定生产及人身安全。

2003年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙

将其截获，人们依然认为系统是安全的。

2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员

的笔记本电脑感染病毒，虽然已安装了IT防火墙，病毒就在几秒钟

之内从一个车间感染到另一个车间，从而最终导致停工。

2006年10月一部被感染的维修用的笔记本电脑,让黑客入侵访问

了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。

2007年，加拿大水利SCADA系统，通过安装恶意软件破坏了

用于取水调度的控制计算机。

2008年，波兰某城市的地铁系统，通过电视遥控器改变轨道扳

25

道器，导致4节车厢脱轨；

2010年10月，肆虐伊朗国内的“超级工厂病毒，Stuxnet蠕虫病

毒”已经造成伊朗布什尔核电站推迟发电，并对伊朗国内工业造成大

面积影响。

2011年，美国伊利诺伊州城市供水系统，黑客入侵SCADA系统，

使得供水泵遭到破坏。

目前工业控制系统已广泛应用于我国电力、水利、石化、交通运

输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成

部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破

坏，将对工业生产和国家经济安全带来重大安全风险。

我国工控系统起步于上世纪50年代，相比于国外晚了近半个世

纪，产业技术水平存在着一定的差距，目前工控系统复杂化、IT化

和通用化的趋势在逐步增加而形成“管控一体化”趋势，使得工控系

统与管理系统及互联网相连通，内部也越来越