2024智能工厂安全一体化平台测评标准

智能工厂安全一体化平台测评标准2024PAGEPAGE11表A.1评测步骤一示例表序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL制造执行层安全防护要求-区域划分-基本要求1.是否在制造执行层网络与企业管理层网络间采用隔离措施。是否2.是否根据安全相关模块的功能、重要性程度以及关联程度等因素，对相关网络进行子网划分、隔离，并按照方便管理和控制为原则为各网段分配地址。是否3.安全功能是否在独立的主机系统中执行。是否4.是否将制造执行层执行安全功能的模块与非安全相关模块适当的隔离。是否制造执行层安全防护要求-身份鉴别与认证-基本要求5.安全相关模块及其关联的数据库服务器和网络设备等，是否支持在其所提供的人员用户访问接口上实现身份鉴别和认证的功能，并提供用删除等操作功能；是否6.网络设备是否提供唯一的鉴别和认证全部人员用户的能力；是否7.人员访问接口是否未使用默认登录凭据；是否8.是否能支持对不同的访是PAGEPAGE12序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL问人员/组配置不同的身份标识；否9.对于支持使用口令鉴别机制的设备，设计时是否未对不同的访问人员/组配置相同的账号和口令。口令是否具有最小长度和多种字符类型。应定期更换口令；是否10.在进行鉴别时，是否提供显示鉴别结果信息的能力，例如：身份验证成功或身份验证失败。但鉴别失败时，是否不会指明是什么原因导致鉴别失败；是否11.是否能及时删除多余共享账户的存在；是否12.是否针对任何用户在可配置时间周期内，对连续无效的访问尝试进行可配置次数限制。当限制次数超出后，是否规定的周期内拒绝访问或者直到管理员解锁；是否13.是否对网络设备的管理员登录地址进行限制；是否14.安全相关模块是否能对接入的数据源设备进行身份识别。是否15.补偿措施本身不应造成是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL额外的信息安全脆弱性；16.是否对多次错误登录尝试或登录锁定情况进行监视，并在出现该情况时给出相应报警提示，并采取自动或人工的方式对生产过程相关的安全相关参数进行检查，以确保生产过程无异常；是否17.影响（如操作延迟）。是否制造执行层安全防护要求-身份鉴别与认证-加强要求18.安全相关模块是否能对接入的数据源设备进行身份鉴别与认证；是否19.如果采用公钥基础设施（PKI）证书来实现身GB/T35673PKI证书和公钥鉴别强度的要求。是否制造执行层安全防护要求-访问与使用控制-基本要求20.是否在安全相关模块与制造执行层其他网络边界部署访问控制设备，启用访问控制功能，设定访问控制策略，对从制造执行层其他网络发起的访问进行源地址、目的地址、源端口、目的端口和协议等项目的/包的出入；是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL21.对于安全相关模块是否是提供不同用户具有不同否权限的能力，以支持职责分离和最小权限；22.是否对多用户共同操作是的安全相关模块主机进否行用户权限划分，根据用户的工作职责、工艺和设备区域情况分配相应的访问权限，授予用户所需的最小权限；并实现操作系统和数据库系统特权用户的权限分离；23.是否禁用安全相关模块是不必要的端口和服务，否只开启必须端口和服务；24.是否在会话处于非活跃是时间或会话结束后终止否会话，终止链接动作可以由被请求数据的设备或程序执行，也可以由防护设备执行；25.对可能对系统造成破坏是的移动代码技术（如否Java、VBscript等）的使用是否提供限制功能，包括防止移动代码的执行、对移动代码的源进行身份认证、限制移动代码与平台系统通信、监控移动代码的使用、对移动代码的完整性进行检查等；26.是否对安全相关模块及是其关联的数据库服务器否等重要设备内的重要信息资源（如系统组态信序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL息、程序、数据库用户及密码表项）设置敏感标记；27.是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作，如对组态信息、程序、实时数据库表项等文件的访问和修改操作进行监管，严格控制访问权限；是否28.是否形成对访问路径、操作的记录；是否29.访问和使用控制策略是否未导致制造执行层安全相关模块处于完全锁定和无法执行安全功能的状态；是否30.即使是对非安全相关部分的访问，是否考虑到访问控制策略所造成的负面影响，这些非安全部分的信息安全措施启用也可能导致安全相关模块受到限制。是否制造执行层安全防护要求-资源控制-基本要求31.是否能够监视安全相关模块与制造执行层其他网络接口处的的网络流量、连接数、会话数等网络资源信息，并根据安全策略要求对流量、连接数进行限制；是否32.终端的操作超时锁定；是否33.是否根据应用软件用户是序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL的角色进行资源访问的限制，防止角色之间的交叉访问；否34.是否限制单个用户对系统资源的最大或最小使用限度，对单个账户的多重并发会话进行限制；是否35.是否对安全相关模块的能力；是否36.是否建立起资源异常与生产过程关键参数异常之间的关联关系，并考虑在达到特定阈值时将生产过程直接导入安全状态；是否37.受限时给出报警和提过程导向安全状态。是否制造执行层安全防护要求-资源控制-加强要求38.是否能对数据库服务器，安全集中管理平台主机系统等重要系统进行监视，包括监视服务CPU硬盘、内存等资源的使用情况；动态监视软件进程占用的资源，提供限制资源使用的能力，防止资源耗尽。是否制造执行层安全防护要求-数据安全-基本要求39.是否能够检测安全相关模块内所有的系统管理是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL数据、用户组态数据、监控数据、鉴别和认证信息等在传输和存储过程中完整性是否受到破坏，并在检测到完整性错误时及时采取必要的恢复措施；40.安全相关模块主机系统以及数据库服务器等业务系统是否具备对关键数据进行完整性和正确性检测功能，故障时进行报警和记录；是否41.过程中提供保密性能力；注：一般使用私有协议往往可认为是具有保密性的，采用密码学加密机制则具有更高的保密性。是否42.是否提供对人员接口输入的参数的合理性的检验能力；是否43.是否保证操作系统、数据库系统、应用软件的用户鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是内存中；是否44.是否确保系统内的文等资源所在的存储空是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL间，被释放或重新分配给其他用户前得到完全清除；45.是否提供对数据库/服务器中数据的备份能力；是否46.是否支持关键数据库/服务器进行硬件冗余设置；是否47.是否支持启用自动数据备份的能力，保证当主数据库/服务器出现故障时冗余设备可以切换并恢复数据；是否48.如在数据恢复过程中无法保证安全功能的有效执行，则对于要求运行模式该恢复时间是否纳入安全功能失效概率或频率的计算之中，对于连续运行模式下不应在正常运行过程中执行数据恢复；是否49.保密性安全机制是否对数据存储或传输过程中的时间性造成不可接受的负面影响；是否50.是否提供恢复到出厂设置的能力。是否仅能在生产过程处于最终安全状态，管理过程就位时执行恢复出厂设置，且在执行了恢复出厂设置之后对系统进行重新安全确认。是否制造执行层安全防护要求-入侵防御-基本要求51.能够监视边界处的常见是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL网络攻击行为，并能够在检测到攻击行为时实IP类型、攻击目的、攻击时间，并提供报警；注：常见网络攻击行为包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢IP网络蠕虫攻击等；52.安全相关模块主机系统以及数据库服务器等业务系统是否开启内置防火墙功能；是否53.安全相关模块主机系统以及数据库服务器等业务系统是否部署通过安全验证的防病毒软件或基于白名单机制的防病毒软件；是否54.安全相关模块、数据库服务器等主机设备操作系统是否采用最小化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件；是否55.是否对安全相关模块、数据库服务器等系统的物理接口进行限制，禁止USB接口或使用USB端口设备绑定；部署文件拷贝中转设备，对通过存储介质中转的数据进行病毒和木马的查杀；是否56.接口输入的数据格式、是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL长度符合系统要求；57.是否能够对运行软件自身的完整性进行检查，并在检测到完整性受到破坏后具有恢复的措施；是否58.是否能够对非授权设备私自连接到安全相关模块的行为和未授权用户私自连接到外部其它层次网络的行为进行检查；是否59.是否禁止任何非应急目的个人间通信；是否60.是否在设计过程中明确在检测到特定入侵攻击后的系统行为，包括将生产过程直接导入安全状态或仅给出报警，具体设置方式需要通过分析确定；是否61.检测到特定入侵攻击后的系统行为要满足相应的过程安全时间要求，相关时间是否纳入对危险失效概率或频率的计算之中；是否62.系统补丁和病毒库的更新是否在线下模拟系统中进行严格的验证，在不影响系统可用性、实时性和稳定性的前提下实施更新。是否制造执行层安全防护要求-安全审计-基本要求63.网络流量等进行审计；是否64.是否对数据库服务器以是序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL及安全相关模块主机系统的各类软/硬件设备的操作事件（包括用户登录事件、组态事件、编程事件、控制操控事件、系统进程事件、客户端请求事件、数据传输事件）、系统资源的异常使用等进行安全审计；否65.审计事件记录是否包含充分的信息，例如：日期和时间、来源（源设备、软件进程或人员用户帐户事件ID是否66.是否提供只读方式读取审计记录；是否67.审计任务时钟是否保持与系统主时钟同步；是否68.安全相关模块主机系统以及数据库服务器的各类软/硬件设备是否具备审计记录存储功能，是否具有合理的存储空间，且不应因为一类事件洪泛导致其它事件无法记录或被覆盖；是否69.是否能够自动分析审计数据，对其中造成对安全功能不利的事件进行提取和分析，并在必要时给出预警。是否制造执行层安全防护要求-安全审计-加强要求70.传输给审计系统平台的是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL能力。例如：设备应提供应用编程接口（API），提供编程访问审计记录的能力；71.是否提供专门的安全审计工具，能自动获取过记录。是否过程监控层安全防护要求-区域划分-基本要求72.是否将安全监控网络与非安全监控网络进行逻辑分区或物理分段；是否73.是否在安全工程师站、安全操作员站与制造执行层网络间采用数据隔离措施；是否74.安全工程师站与安全操作员站是否独立部署；是否75.各个安全监控网段的服务器是否直接连接在同一个网络上；是否76.非实时应用的服务器与生产相关的实时数据库的通信是否部署隔离设备；是否77.是否根据各系统的功照方便管理和控制为原是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL则为各网段分配地址，过程监控层各网段应相互隔离，原则上不直接连接在一起。过程监控层安全防护要求-身份鉴别与认证-基本要求78.安全工程师站、安全操作员站、通信服务器、操作功能；是否79.可实现更改安全控制器造的；是否80.网络设备是否提供唯一地鉴别和认证全部人员用户的能力；是否81.人员访问接口是否未使用默认登录凭据；是否82.是否能支持对不同的访问人员/组配置不同的身份标识；是否83.否对不同的访问人员/度和多种字符类型，并是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL应定期更换口令；84.在进行鉴别时，是否提供显示鉴别结果信息的能力，例如：身份验证成功或身份验证失败。但鉴别失败时，是否不会指明是什么原因导致鉴别失败；是否85.是否及时删除多余的、过期的账户，避免共享账户的存在；是否86.是否对网络设备的管理员登录地址进行限制；是否87.是否对安全相关模块的网络地址进行限制，能根据网络标识、进程标识、服务标识等方式对发起服务请求的发送方进行身份识别；是否88.过程监控层安全相关设备之间，是否在存在数据交互关系的设备间实现身份标识；是否89.是否对发起服务请求的安全控制器进行身份识别；是否90.不同的设备是否配置为不同的标识符；是否91.是否定期更新密码、密钥和权限。是否92.完成鉴别和认证的情提前设计补偿措施，补是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL偿措施本身不应造成额外的信息安全脆弱性；93.对于实时性操作的人员是访问，例如：对功能安否全控制回路操作的访问控制，是否分析采取的访问控制措施对该安全功能的响应时间的影响，应确保该安全功能能被及时正确执行；94.对于非实时性操作的人是员访问，例如：组态/否配置，数据读取，是否针对任何用户在可配置时间周期内，对连续无效的访问尝试进行可配置次数限制。当限制次数超出后，应在规定的周期内拒绝访问或者直到管理员解锁；95.对于实时性操作的人员是访问，例如：对功能安否全控制回路操作的访问控制，是否设计为不会在身份验证失败后导向拒绝访问的状态。否则会导致安全控制回路无法操作；但应对多次错误登录尝试或登录锁定情况进行监视，并在出现该情况时给出相应报警提示，并采取自动或人工的方式对生产过程相关的安全相关参数进行检查，以确保生产过程无异常；注：身份验证失效信息需进入审计记录；96.如需无线接入，是否执是序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL行专项的信息安全评估，确定风险可接受，不宜通过无线接入执行安全功能；否97.行专项的信息安全评安全功能。是否过程监控层安全防护要求-身份鉴别与认证-加强要求98.是否对软件进程进行身份鉴别与认证；是否99.过程监控层安全相关设备之间，是否在存在数据交互关系的设备及进程间实现身份鉴别与认证；是否100.是否对发起服务请求的安全控制器及其软件进程进行身份鉴别与认证；是否101.如果采用公钥基础设施（PKI）证书来实现身GB/T35673PKI证书和公钥鉴别强度的要求。是否过程监控层安全防护要求-访问与使用控制-基本要求102.对于安全工程师站、安全操作员站是否提供不同用户具有不同权限的能力，以支持职责分离和最小权限；是否103.权限，授予用户所需的是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL最小权限；并实现操作系统和数据库系统特权用户的权限分离；104.功能安全相关系统是否只开启必要接口；是否105.是否在会话处于非活跃是时间或会话结束后终止否会话，终止链接动作可以由被请求数据的设备或程序执行，也可以由防护设备执行；106.是否在过程监控层安全是网络与上层网络通信处否部署隔离设备或采用其他隔离技术手段，保证两个层次网络间的逻辑隔离；107.对可能对系统造成破坏是的移动代码技术（如否Java、VBscript等）的使用是否提供限制功能，包括防止移动代码的执行、对移动代码的源进行身份认证、限制移动代码与控制系统通信、监控移动代码的使用、对移动代码的完整性进行检查等；108.是否对安全工程师站、是安全操作员站、通信服否务器、实时数据库服务器等重要设备内的重要信息资源（如系统组态信息、控制程序、实时数据库用户及密码表项、通信服务器数据文件）设置敏感标记；是否依据安全策略严格控制用户对有敏感标记重序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL要信息资源的操作，如109.是否禁用组态服务器、通信服务器、实时数据库等业务系统以及安全工程师站、安全操作员站主机系统的无用端口和服务；是否110.如果在功能安全相关系统的显示功能或监控功能中实施了信息安全防护措施，则信息安全防护措施是否影响到操作员为确保工厂安全所需的操作功能和操作及时性；是否111.对于安全工程师站，是否对访问控制措施的执行情况进行监视，当出现异常时具有执行附加的人工或自动审查的能力；是否112.否未导致安全工程师功能的状态。是否过程监控层安全防护要求-访问与使用控制-加强要求113.是否在过程监控层安全网络与上层网络边界部署访问控制设备，启用访问控制功能，设定访问控制策略，对从上层发起的访问进行源地是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL目的端口和协议等项目的检查，以允许/拒绝数据包的出入。过程监控层安全防护要求-资源控制-基本要求114.是否能够监视安全网络流量、连接数等网络资源信息，并根据安全策略要求对流量、连接数进行限制；是否115.终端的操作超时锁定；是否116.是否根据安全控制应用软件用户的角色进行资源访问的限制，防止角色之间的交叉访问；是否117.是否限制单个用户对安全相关系统资源的最大或最小使用限度，对单个账户的多重并发会话进行限制；是否118.是否对关键服务器、主机系统、网络设备提供切换至和切换出应急电源供应的能力；是否119.服务器和主机系统是否提供限制资源使用的能力，以防止资源耗尽，造成安全功能无法执行；是否120.监控界面和组态界面中是否能获取所有现场智能设备、安全控制器的详细部件清单；是否121.当在安全工程师站持续是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL据等未被篡改或破坏。过程监控层安全防护要求-资源控制-加强要求122.安全网络是否提供检测和防范DoS事件的能力。是否过程监控层安全防护要求-数据安全-基本要求123.是否能够检测安全网络内所有的系统管理数据、用户组态数据、控/程序数据、监控数据、鉴别和认证信息等在传输和存储过程中完整性是否受到破坏，并在检测到完整性错误时及时采取必要的恢复措施；是否124.系统以及安全工程师报警和记录；是否125.是否能够采用加密技术或其他有效的技术手段实现系统管理数据、用/程序数据、鉴别和认证信息在传输和存储过程中提供加密或其他同等功效的技术能力；注1：一般使用私有协议往往可认为是具有保密性的，采用密码学加密机制则具有更高的保密性。是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL注2：功能安全相关系统的实时数据，因为往往不涉及到重要工艺参数，一般不需要考虑保密性。126.是否提供对人员接口输入参数的合理性的检验能力；是否127.是否保证操作系统、数据库系统、应用软件的用户鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是内存中；是否128.是否确保系统内的文等资源所在的存储空清除；是否129.是否保证工程组态文清除；是否130.是否提供恢复到出厂设置的能力；是否131.是否提供对实时数据重要数据库/服务器中数据的备份能力；是否132.是否支持关键数据库/据备份的能力，保证当是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL主数据库/服务器出现故障时冗余设备可以切换并恢复数据；133.设备是否具备关键数据掉电保持能力。是否134.在审计踪迹超过预定值或存满时，是否采取相应的措施防止数据丢失；是否135.如在过程监控层数据恢复过程中无法保证安全功能的有效执行，则对于要求运行模式该恢复时间是否纳入安全功能失效概率或频率的计算之中，对于连续运行模式下不应在正常运行过程中执行数据恢复；是否136.保密性安全机制是否对数据存储或传输过程中的时间性造成不可接受的负面影响；是否137.如涉及到对安全功能数据传输过程保密性的增加，是否通过分析论证其仍然符合功能安全通信机制，例如对位错误率的假设仍然符合预期等。是否过程监控层安全防护要求-数据安全-加强要求138.安全操作员站与安全控制器通信时采用私有协议，或对安全操作数据采用加密技术，且加解密失效时是否将通信数据导向安全数据进行处理。是否过程监控层安全防护要求-入侵防御-基本要求139.组态服务器、通信服务是序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL系统以及安全工程师制的防病毒软件；否140.系统以及安全工程师墙功能；是否141.安全工程师站、安全操作员站、通信服务器、实时数据库服务器、监控中心等主机设备操作系统是否采用最小化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件；是否142.是否对安全工程师站、安全操作员站、通信服务器、实时数据库服务器、监控中心等系统的物理接口进行限制，禁止USB接口或使用USB端口设备绑定；部署文件拷贝中转设备，对通过存储介质中转的数据进行病毒和木马的查杀；是否143.查，并在检测到完整性是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL受到破坏后具有恢复的措施；144.是否能够对组态软件和监控软件自身的完整性进行检查，并在检测到完整性受到破坏后具有恢复的措施；是否145.是否能够对非授权设备私自连接到安全网络的行为和未授权用户私自连接到外部其它层次网络的行为进行检查；是否146.是否禁止任何非应急目的个人间通信；是否147.系统补丁和病毒库的更新是否在线下模拟系统中进行严格的验证，在不影响系统可用性、实时性和稳定性的前提下实施更新；是否148.当在安全工程师站或组态服务器频繁监测到入侵时，是否具有执行附加的人工或自动审查的能力，以确保安全配置程序、数据等未被篡改或破坏；应具有对生产过程关键工艺参数进行检查的能力，以确保生产过程持续安全；是否149.是否在设计过程中明确在检测到特定入侵攻击后的系统行为，包括将生产过程直接导入安全状态或仅给出报警，具体设置方式需要通过分析确定；是否150.在检测到特定入侵攻击后的系统行为是否满足是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL相应的过程安全时间要求，相关时间应纳入对危险失效概率或频率的计算之中；151.SIL止时间计算。是否过程监控层安全防护要求-入侵防御-加强要求152.是否在过程监控层安全网络与上层网络间部署入侵防护设备，能够监视边界处的常见网络攻击行为（包括端口扫描攻击、强力攻击、木马后门攻击、DoS攻击、IP碎并能够在检测到攻击行为时实时记录攻击源IP、攻击类型、攻击目标、攻击时间，并提供报警。是否过程监控层安全防护要求-安全审计-基本要求153.是否对安全网络中的网络设备运行状况、网络流量等进行审计；是否154.的各类软/硬件设备的操作事件（录事件、组态事件、编是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL/事件、控制操控事件、系统进程事件、客户端请求事件、数据传输事件、通信服务器进程事件）、系统资源的异常使用等进行安全审计；155.审计事件记录是否包含充分的信息，例如：日期和时间、来源（源设备、软件进程或人员用户帐户事件ID是否156.是否提供只读方式读取审计记录；是否157.审计任务时钟是否保持与系统主时钟同步；是否158.组态服务器、通信服务器、数据库服务器以及安全工程师站、安全操作员站主机系统的各类软/硬件设备是否具备审计记录存储功能，应具有合理的存储空间，且不应因为一类事件洪泛导致其它事件无法记录或被覆盖；是否159.是否能够自动分析审计数据，对其中造成对安全功能不利的事件进行提取和分析，并在必要时给出预警；是否160.对安全功能的负面影是否161.是否通过日志分析并结合适当的信息安全度量是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL信息来对安全功能的影响情况进行可能性判断。过程监控层安全防护要求-安全审计-加强要求162.是否支持将审计事件统一传输给审计系统平台的能力。例如：设备应提供应用编程接口（API），提供编程访问审计记录的能力；是否163.是否提供专门的安全审计工具，能自动获取过记录。是否现场控制层安全防护要求-区域划分-基本要求164.是否根据工艺情况和被保护资产的重要程度，对安全控制网络和非安全控制网络进行逻辑分区或物理分段；是否165.是否根据工艺情况和被保护资产的重要程度，对不同的安全控制网络进行逻辑分区或物理分段；是否166.是否按照方便管理和控制为原则为各区域分配网段地址；是否167.在执行完分区分段后，是否采取分析或测试的方式验证安全控制功能的功能和安全性能符合设计预期；是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL168.当存在安全控制和非安全控制共用部件时，是否考虑到分区或分段的合理性。是否现场控制层安全防护要求-身份鉴别与认证-基本要求169.安全控制器或网络设（例如：配置和运维功能；是否170.安全控制器是否提供唯一地鉴别和认证全部人员用户的能力，当人员用户通过非受信网络访问安全控制器时，安全控制器应具有多因子身份鉴别的能力；是否171.网络设备是否提供唯一地鉴别和认证全部人员用户的能力；是否172.人员访问接口是否未使用默认登录凭据；是否173.是否支持对不同的访问人员/组配置不同的身份标识；是否174./组配置不同的账号和并定期更换口令；是否175.但鉴别失败时，不应指是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL明是什么原因导致鉴别失败；176.器的网络地址进行限身份识别；是否177.安全控制器是否能对安全工程师站及其下载、调试等软件进程进行身份识别和认证；是否178.安全控制器是否能对发起服务请求的现场控制层设备（例如：另一台安全控制器）进行身份识别；是否179.现场总线型架构下，安全控制器是否能对发送用于逻辑运算的实时现场数据的现场智能设备进行身份识别；是否180.不同的控制器或网络设备是否具有不同的标识符；是否181.器间通信的远程接入级别的安全防护能力；是否182.行专项的信息安全评不宜通过无线接入安全是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL控制器或网络设备；183.175182中身份/标识符是否至少区分设备/进程的类型；是否184.的人员用户访问接口全防护；是否185.员鉴别，例如：组态/户在可配置时间周期机制。是否现场控制层安全防护要求-身份鉴别与认证-加强要求186.安全控制器侧是否对过程监控层的服务请求的发送方进行身份识别和认证；是否187.安全控制器侧是否对现场控制层的服务请求的发送方进行身份识别和认证；是否188.现场总线型架构下，安全控制器是否对发送实时现场数据的现场智能设备进行身份识别和认证；是否189.如果采用公钥基础设施是序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL（PKI）证书来实现身份识别和认证，是否有证据证明符合GB/T35673中关于PKI证书和公钥鉴别强度的要求；否190.是否可以唯一地鉴别和认证每个设备/进程。是否现场控制层安全防护要求-访问与使用控制-基本要求191.对于安全控制器或网络设备是否提供不同用户具有不同权限的能力，以支持职责分离和最小权限；是否192.是否在现场控制层网络与过程监控层网络间设置访问控制措施，对从过程监控层发起的访问的访问控制；是否193.是否只开启必要接口；是否194.在现场控制层内的不同信息安全防护区域间是否增加安全连接控制功能，建立区域安全访问路径，对各安全区域之间的访问进行连接控制；是否195.是否提供针对工程师读写数据、下载程序、是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL用户组态、设备操控命令、设置配置等行为；196.是否对安全控制器内的配置信息、控制程序、数据块等重要信息资源进行访问控制；是否197.是否禁止应用移动代码；是否198.是否通过管理手段或技1限定可接入的便携式设备，进行统一管理；2便携式设备只有在必要时才允许接入，使用完后应立即撤出；3便携式设备接入时应是否199.对安全控制器的任何访问与使用控制措施是否未对其实时的安全逻辑执行造成不可接受的负面影响，或在出现负面影响时安全控制器可以自主导向安全状态；是否200.安全控制器是否具有在多次或长时间监测到异常访问与使用时给出报警或直接导向安全状态的能力。是否现场控制层安全防护要求-资源控制-基本要求201.是否能够监视安全控制器或网络设备的网络流量、连接数等网络资源信息，并根据安全策略要求对流量、连接数进行限制；是否202.是否通过设定设备接入方式、网络地址范围等是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL条件限制设备接入网络；203.安全控制器是否提供切换至和切换出应急电源供应的能力；是否204.安全控制器协议栈或网络设备是否禁用无用端口和服务；是否205.是否对安全控制器的运CPU信息等）的访问；是否206.当持续监控到资源状态异常时，安全控制器是否有能力仍能按照预定的逻辑和时间导入安全状态；是否207.当在安全控制器上监测到资源使用异常时，是否执行附加的人工或自动审查，以确保安全配置程序、数据等未被篡改或破坏；应对生产过程关键工艺参数进行检查，以确保生产过程持续安全；是否208.安全控制器是否设计为优先处理实时通信数据。是否现场控制层安全防护要求-资源控制-加强要求209.现场控制层是否提供检测和防范DoS事件的能力。是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL现场控制层安全防护要求-数据安全-基本要求210.是否能够检测现场控制是层网络内所有的现场实否控制指令数据、程序上传/下载数据、监控数据等在传输和存储过程中完整性是否受到破坏；211.是否具备利用密码技术是或其他同等功效的技术否检测数据包被修改的能力；212.是否保证数据在现场控是制层传输过程中的完整否性，包括防止数据包被插入、防止数据包被删除、防止数据包被超期延迟、防止数据包被重排序和重放；213.是否基于风险评估或专是门的分析确定，是否需否要采用加密技术或其他同等功效的技术实现控制器的关键数据如组态的工艺工程文件、存储的应用程序等在存储和传输过程中的保密性；214.是否保证在安全控制器是与安全控制器之间点对否点通信的过程中，会话的建立有相应的身份认证机制、会话过程中应提供加密机制或其他等效技术手段保证会话不会被窃听、在会话目的达到后及时关闭会话、在会话超时时提供会话超时响应功能，如可关闭会话也可重新进行会序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL话认证。215.是否提供对接口输入的参数的合理性的检验能力；是否216.是否能提供清除安全控制器或网络设备内所有存储信息或恢复到出厂设置的能力；是否217.份数据进行恢复；是否218.受的时间延迟等风险；是否219.围内；1：一般使用私有协密性。注2：功能安全相关系统的实时数据，因为往往不涉及到重要工艺参数，一般不需要考虑保密性。是否220.理措施到位的情况下执序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL行恢复出厂设置，应在完成恢复后重新进行功能安全确认；221.控制器内部总线的通要求的协议。是否现场控制层安全防护要求-数据安全-加强要求222.与现场总线型仪表传输用于逻辑运算的输入/输出实时通信数据时是否采用私有协议，或对功能安全回路实时通信数据采用加密技术，加解密失效时应将实时通信数据导向安全数据进行处理；是否223.安全控制器与安全操作员站通信时采用私有协议；或对安全操作数据采用加密技术，加解密失效时是否将通信数据导向安全数据进行处理。是否现场控制层安全防护要求-入侵防御-基本要求224.态，并采取恢复措施；是否225.是否在安全控制器入口端部署防护功能和设是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL（包括组态服务、数据上传/下载服务、读服务、写服务、控制程序上传/令服务等），能够监视边界处的常见网络行为，并能够在检测到攻击行为时实时记录攻击行为的信息，并提供报警；226.是否限制对于发现入侵检测后自动恢复的次数，在多次恢复后当再发现入侵应考虑直接进入安全状态；是否227.具有的状态和输出等；是否228.安全控制器侧是否具有DoS宜确保在遭受到DoS攻击的情况下，可以实现降级运行；应在设计时考虑到外部威胁可能会利用DoS攻击来持续触发安全功能，导致频繁误动；是否229.在检测到特定入侵攻击后的系统行为是否满足相应的过程安全时间要求，相关时间应纳入对危险失效概率或频率的计算之中；是否230.当入侵防御停用或失效时，是否尽快恢复；如是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL果入侵防御停用或失效导致对功能安全的负面影响，对其入侵防护的恢复时间延迟应纳入计算该安全功能的失效概率或频率时使用的平均不工作时间。现场控制层安全防护要求-入侵防御-加强要求231.是否在现场控制层与过程监控层之间旁路部署入侵检测设备，能够监视边界处的常见网络行（包括端口扫描攻击、暴露攻击、木马后门攻击、DoS攻击、缓冲区IP碎片攻击、网络蠕虫等），并能够在检测到攻击行为时实IP时间，并提供报警。是否现场控制层安全防护要求-安全审计-基本要求232.是否对安全控制器网络接口或网络设备的运行状况、网络流量等进行审计；是否233.是否对安全控制器内的修改事件（包括配置修（包括组态服务、数据块上载/上载/等）进行审计；是否234.期和时间、来源（源设是否序号评测内容是/否实现方法/设置措施输入文档/确认来源是否涉及SIF预期SSIL备、软件进程或人员用户帐户事件ID和事件结果等；235.是否提供只读方式读取审计记录；是否236.审计任务时钟是否保持与系统主时钟同步；是否237.件无法记录或被覆盖。是否238.是否能够自动分析审计数据，对其中造成对安全功能不利的事件进行提取和分析，并在必要时给出预警；是否239.当存储空间的使用率超过设定的百分比时，是否产生超限预警；是否240.安全审计的正常或异常执行是否未对安全功能造成负面影响，包括存储空间的占用、执行安全逻辑的优先顺序和时间等。是否现场控制层安全防护要求-安全审计-加强要求241.