(高清版)GBT 42456-2023 工业自动化和控制系统信息安全　IACS组件的安全技术要求.-image

ICS25.040GB/T42456—2023/IEC62443-4-2:2019工业自动化和控制系统信息安全IACS组件的安全技术要求国家市场监督管理总局国家标准化管理委员会GB/T42456—2023/IEC62443-4-2:2019 V V 1 1 2 23.2缩略语 7 9 4.3CCSC2:补偿性对抗措施 5FR1——标识和鉴别控制 5.1目的和SL-C(IAC)描述 5.2原由 5.3CR1.1——人员标识和鉴别 5.4CR1.2——软件进程以及设备标识和鉴别 5.5CR1.3——账户管理 5.7CR1.5——鉴别器管理 5.8CR1.6——无线访问管理 5.9CR1.7——基于口令的鉴别强度 5.10CR1.8——公钥基础设施(PKI)证书 5.11CR1.9——基于公钥鉴别的强度 5.12CR1.10——鉴别器反馈 5.13CR1.11——失败的登录尝试 5.14CR1.12——系统使用提示 5.15CR1.13——通过不受信任网络的访问 5.16CR1.14——基于对称密钥鉴别的强度 6FR2——使用控制 6.1目的和SL-C(UC)描述 1GB/T42456—2023/IEC62443-4-2:20196.2原由和附加指南 6.3CR2.1——授权执行 6.4CR2.2——无线使用控制 6.5CR2.3——便携式和移动设备使用控制 6.6CR2.4——移动代码 6.7CR2.5——会话锁定 6.8CR2.6——远程会话终止 6.9CR2.7——并发会话控制 6.10CR2.8——审计事件 6.11CR2.9——审计存储容量 6.12CR2.10——审计处理失败的响应 6.13CR2.11——时间截 6.14CR2.12——抗抵赖性 6.15CR2.13——物理诊断和测试接口的使用 7FR3——系统完整性 7.2基本原理 7.3CR3.1——通信完整性 7.4CR3.2——恶意代码防护 7.5CR3.3——信息安全功能验证 7.6CR3.4——软件和信息完整性 7.7CR3.5——输入检验 7.8CR3.6——确定性输出 7.9CR3.7——出错处理 7.10CR3.8——会话完整性 7.11CR3.9——审计信息保护 7.12CR3.10——支持更新 7.13CR3.11——物理防破坏和检测 7.14CR3.12——提供产品供应商的信任根 7.15CR3.13——提供资产所有者的信任根 7.16CR3.14——启动过程完整性 8FR4——数据保密性 8.2基本原理 8.3CR4.1——信息保密性 8.4CR4.2——剩余信息 8.5CR4.3——加密的使用 ⅢGB/T42456—2023/IEC62443-4-2:20199FR5——受限的数据流 9.2基本原理 9.3CR5.1——网络分段 9.4CR5.2——区域边界保护 9.5CR5.3——普通目的的个人间通信限制 10FR6——对事件的及时响应 10.2原由和附加指南 10.3CR6.1——审计日志可访问性 10.4CR6.2——连续监控 11FR7——资源可用性 11.1目的和SL-C(RA)描述 11.3CR7.1——拒绝服务保护 11.4CR7.2——资源管理 11.5CR7.3——控制系统备份 11.6CR7.4——控制系统恢复和重构 4011.7CR7,5——应急电源 4011.8CR7.6——网络和安全配置设置 4011.9CR7.7——最小功能 4111.10CR7.8——控制系统组件详细目录 41 42 42 42 43 43 43 43 4413.4EDR3.2——恶意代码防护 48GB/T42456—2023/IEC62443-4-2:2019 48 4814.3HDR2.13——使用物理诊断和测试接口 49 14.7HDR3.12——置 14.8HDR3.13——置备资产所有者的信任根 15.4NDR2.4——移动代码 15.6NDR3.2——恶意代码防护 15.10NDR3.13——置备资产所有者的信任根 15.11NDR3.14——启动过程完整性 15.13NDR5.3——普通目的个人间通信限制 附录A(资料性)设备分类 A.1概述 A.4设备分类：主机设备/应用 B.2SL映射表 MGB/T42456—2023/IEC62443-4-2:2019本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件等同采用IEC62443-4-2:2019《工业自动化和控制系统信息安全第4-2部分：IACS组件本文件做了下列最小限度的编辑性改动：——为与现有标准协调，将标准名称改为《工业自动化和控制系统信息安全IACS组件的安全技请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本文件起草单位：东方电气集团科学技术研究院有限公司、机械工业仪器仪表综合技术经济研究成都启明星辰信息安全技术有限公司、中国石油天然气股份有限公司塔里木油田分公司、重庆邮电大海工业自动化仪表研究院有限公司、工业和信息化部电子第五研究所、国家工业信息安全发展研究中件测评中心(工业和信息化部软件与集成电路促进中心)、菲尼克斯亚太电气(南京)有限公司。VGB/T42456—2023/IEC62443-4-2:2019GB/T33007—2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》(IEC62443-2-1:2010,IDT)、GB/T35673—2017《工业通信网络网络和系统安全系统安全要求和安全等级》(IEC62443-3-3:2013,IDT)、GB/T40211—2021《工业通信网络网络和系统安全术语、GB/T42445—2023《工业自动化和控制系统安全IACS环境下的补丁管理》(IEC/TR62443-2-3:2015,IDT)、GB/T42457—2023《工业自动化和控制系统信息安全产品安全开发生命周期要求》决定的结果。同时，许多商业IT应用和安全解决方案可以应用于IACS,因此需要以适当的方式应用这些解决方案以消除无意的后果。出于这个原因，定义系统要求的方法综合考虑功能要求和风险评IACS安全对策包括应急程序，宜避免造成必要的服务和功能缺失的可能性(通常利用的IT安全标。根据IEC62443-2-1的要求，风险评估的一个关键步骤宜是确定哪些服务和功能对于运营是真正用。附录A描述了IACS常用设备的分类。本文件的要求参考IEC62443-3-3描述的IACS系统安全B中的表格汇总了本文件定义的要求和增强要求的SL。IEC62443系列标准的主要目标是提供一个灵活的框架，有助于解决IACS当前和未来的脆弱MGB/T42456—2023/IEC62443-4-2:2019统集成商对他们正在采购的单个组件明确提出适当的安全能力水平。系统集成商参考的主要标准是统集成商完成定义安全区的过程和定义这些区域的目标安全能力水平(SL-T)。一旦定义了每个区域以符合特定SL-T的文件。本文件中的组件要求(CR)参考IEC62443-3-3中的系统要求(SR)。IEC62443-3-3中的要求被称为SR,它是从IEC62443-1-1中定义的总体基本要求(FR)中导出的。CR还可以包括一组增强要求件的CR将被指定如下：●嵌入式设备要求(EDR);●主机设备要求(HDR);●网络设备要求(NDR)。本文件的大部分要求对于四种类型组件是相同的，因此简称为CR。当有独特的组件特定要求图1示出了本文件编写时IEC62443系列标准的图形描述。M1GB/T42456—2023/IEC62443-4-2:2019系统设计安全要求IEC62443-2-4IACS资产所有者实施导则IECTR62443-1-4通用策略和规程系统组件模型IEC62443-2-1安全程序要求安全等级IEC62443-4-11GB/T42456—2023/IEC62443-4-2:2019工业自动化和控制系统信息安全IACS组件的安全技术要求按照IECTS62443-1-1的规定，总共有七个FR:2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文3:2013,IDT)communicationnetworks—Networkandsystemsecurity—Part1-1:Terminology,conceptsandmod-IEC62443-3-3工业通信网络网络和系统安全第3-3部分：系统安全要求和安全等级(Indus-trialcommunicaitonnetworks—Networkandsystemsecurity—Part3-3:SystemsecurityrequirementsIEC62443-4-1工业自动化和控制系统信息安全产品安全开发生命周期要求(Securityforin-dustrialautomationandcontrolsystems—Part4-1:Secureproductdevelopmentlifecyclerequire-ments)2GB/T42456—2023/IEC62443-4-2:2019IDT)究院(NIST)的资料，有时会进行微小的修改以增强对控制系统安全要求的适应性。3.1.1资产asset注1:在这种特定情况下，资产可以是IACS安全管理体系的一部分而受到保护。注2:资产不仅限于IACS,还包括其控制下的物理资产。3.1.2注2:包括IACS中的部件。注3:在本文件中.资产所有者也包括IACS的运营人。3.1.3 3.1.43.1.5示例：可以用口令或令牌作为鉴别器。3.1.6实体通过鉴别符合最初声明并且能验证其完整性的特性。3GB/T42456—2023/IEC62443-4-2:2019注：信道用于建立连接。3.1.9补偿对抗措施compensatingcountermeasure示例：——(组件级);在没有足够的网络访问控制对策时锁闭控制器周围的机柜；—(控制系统/区域级):物理访问控制(警卫、大门和枪支),以保护控制室来限制其加入已知人员组，从而补偿了IACS无法对人员进行唯一标识的技术要求；和 (组件级)产品供应商的可编程逻辑控制器(PLC)不能满足资产所有者的访问控制能力，因此产品供应商在PLC前面放置防火墙并将其作为系统销售。3.1.103.1.11注：只要管道内的信道的安全性不受该区域的影响，就允许管道穿过该区域。3.1.12注：当在IACS上下文中使用时，指的是保护IACS数据和信息免受未经授权的访问。.143.1.15对能够造成或发现和报告的攻击，通过最小化其危害来减少威胁、降低脆弱性或者缓解攻击后3.1.164GB/T42456—2023/IEC62443-4-2:20193.1.17设备device3.1.183.1.193.1.20基本功能essentialfunction注：基本功能包括但不限于安全仪表功能(SIF)、控制功能和操作员查看和操纵受控设备的能力。基本功能的丧失3.1.21注：在1ACS中可能是个人(授权或未授权)采取的行动、控制系统内检测到的变化(正常或异常)或控制系统本身3.1.22正确使用访问来纠正问题。这些方法通常提供一次性使用用户标识符(ID)或一次性口令。3.1.23主机设备hostdevice.25事故incident导致或可能导致控制系统提供的服务质量中断或降低，不属于系统或服务预期运行的一部分的5GB/T42456—2023/IEC62443-4-2:20193.1.263.1.273.1.283.1.29移动代码mobilecode3.1.303.1.313.1.323.1.33硬件和/或软件产品的制造商。3.1.34远程访问remoteaccess3.1.353.1.366GB/T42456—2023/IEC62443-4-2:20193.1.37信息安全等级securitylevel根据区域或管道的风险评估，与区域或管道的设备和系统的所需对抗措施和固有安全属性相对应3.1.383.1.39会话IDsessionID表示特定会话的标识符。3.1.40设定值setpoint确定的控制该系统内一个或多个动作的目标值。3.1.41软件应用softwareapplication用于与进程或控制系统本身(例如，配置软件和历史记录)进行交互的一个或多个软件程序及其依赖关系。3.1.42系统集成商systemintegrator能够将部件子系统组合成一个整体并用确保那些子系统根据项目规范执行的服务提供商。3.1.433.1.44注2:这种信任只适用于某些特定的功能。3.1.45不可追溯性untraceability保证信息不能被用于跟踪特定用户的时间或地点的保证。不满足预先定义的可信要求。7GB/T42456—2023/IEC62443-4-2:2019代表根据其功能、逻辑和物理(包括位置)关系划分的系统的实体的集合。ACL访问控制列表(accesscontrollist)AES增强加密标准(advanceencryptionstandard)ANSI美国国家标准研究所(AmericanNationalStandardsInstitute)API应用编程界面(applicationprogramminginterface)ASLR地址空间格局随机化(addressspacelayoutrandomization)CA证书机构(certificationauthority)CCSC通用组件安全约束(commoncomponentssecurityconstraint)CMAC基于口令的消息鉴别码(cipher-basedMessageAuthenticationCode)COTS商业现货(commercialofftheshelf)CR组件要求(componentrequirement)CRL证书吊销列表(certificaterevocationlist)DC数据保密性(dataconfidentiality)DCS离散控制系统(distributedcontrolsystem)DEP数据执行预防(dataexecutionprevention)DMZ非军事区(demilitarizedzone)DoS拒绝服务(denialofservice)EDR嵌入式设备要求(embeddeddevicerequirement)EICAR欧洲计算机防病毒研究协会(EuropeanInstituteforComputerAntivirusResearch)EMI电磁干扰(electromagneticinterference)FDA(美国)食品和药品管理局([US]FoodandDrugAdministration)FR基本要求(foundationalrequirement)FTP文件传输协议(filetransferprotocol)GCMGalois计数器模式(Galois/Countermode)GMACGalois消息鉴别码(Galoismessageauthenticationcode)GUID全球唯一标识符(globallyuniqueidentifiers)HDR主机设备要求(hostdevicerequirement)HMI人机接口(human-machineinterface)8GB/T42456—2023/IEC62443-4-2:2019HTTP超文本传输协议(hypertexttransferprotocol)HTTPSHTTP安全(HTTPsecure)IAC标识和鉴别控制(identificationandauthenticationcontrol)IACS工业自动化和控制系统[industrialautomID标识符(identifier)IDS入侵检测系统(intrusiondetectionsystem)IEC国际电工委员会(InternationalElectrotechnicalCommission)IEEE电气和电子工程师协会(InstituteofElectricalIP互联网协议(Internetprotocol)IPS入侵防范系统(intrusionpreventionsystem)ISA国际自动化学会(InternationalSocietyofAutomation)ISO国际标准化组织(InternationalOrganizationforStandardization)IT信息技术(informationtechnology)LDAP轻量目录访问协议(lightweightdirectoryaccessprotocol)NDR网络设备要求(networkdevicerequirement)NIST美国国家标准和技术协会(U.S.NationalInstituteofStandardsandNX不执行(NoExecute)PDF便携式文件格式(portabledPKI公钥基础设施(publickeyinfrastructuPLC可编程逻辑控制器(programmablelogiccontroller)RA资源可用性(resourceavailability)RAM随机存取存储器(randomaccessRDF受限数据流(restricteddataflow)RE增强要求(requirementenhancement)RTOS实时操作系统(real-timeoperatingsystem)RTU远程终端装置(remoteterminalunit)SAR软件应用要求(softwareapplicationrequirements)SFTP安全FTP(secureFTP)SIF(功能)安全仪表功能(safetyinstrumentedfunction)SIS(功能)安全仪表系统(safetyinstrumentedsystem)9GB/T42456—2023/IEC62443-4-2:2019SL-C安全等级能力(capabilitysecuritylevel)SL-T安全等级目标(targetsecuritylevel)SNMP简单网络管理协议(simplenetworkmanagementprotocol)SP(美国NIST)特别出版物([USNIST]SpecialPublication)SR系统要求(systemrequirement)SSH安全插座壳(Securesocketshell)SuC待评估系统(systemunderconsideration)TCP传输控制协议(transmissioncontrolprotocol)TPM可信平台模块(trustedplatformmodule)TRE对事件的及时响应(timelyresponsetoevents)UC使用控制(usecontrol)USB通用串行总线(universalserialbus)VPN虚拟专用网络(virtualprivatenetwork)本文件将IEC62443-3-3中定义的SR和RE扩展为IACS中包含的组件的一系列CR和RE。为了便于将CR追溯到IEC62443-3-3中的SR,CR编号将与相关的CR相匹配。这将导致本文件中的一基本需求和RE(如果存在)映射到组件能力安全等级SL-C(FR,组件)1到4组件能力安全等级，IECTS62443-1-1中定义的7个FR都有一组定义好了的四个安全等级(SL)。这些SL是根据IEC62443-3-3中定义的系统安全等级得出的。每个组件的安全等级通过每个FR来描述，使用公式SL-C(FR,组件),其对应的值从0到4。特定FR的控制系统能力等级0被隐含地定义为没有要求。对于FR的基本需求和RE,如果存在，映射到组件能力安全等级SL-C(FR,组件)1到4组件能力安全相关的四个SL定义为：●SL2——防止未经授权地将信息泄露给通过少量资源、通用技能和低动机的简单手段主动进GB/T42456—2023/IEC62443-4-2:2019在本文件中使用的SL-C(组件)表示满足给定CR的给定SL等级所需的能力。SL向量概念的完整描述可以在IEC62443-3-3中找到。4通用原则4.1概述在解读、确定和实现第5章至第15章中的组件CR时，需要在实现本文件描述的要求时应用下文系统组件应遵守GB/T35673—2017中第4章所描述的特定约束。执行最小权限原则的能力。单个系统组件应提供权限的粒度和将这些权限映射到不同角色的灵活5FR1——标识和鉴别控制5.1目的和SL-C(IAC)描述SL3——通过标识和鉴别所有使用者(人员、软件进程和设备)机制，防止实体采用中度资源、SL4——通过标识和鉴别所有使用者(人员、软件进程和设备)机制，防止实体采用大量资源、GB/T42456—2023/IEC62443-4-2:2019用户标识用于与授权机制一起实现对组件的访问控制。验证要求访问的用户的标识对于防止未授权用户获得对组件的访问是必需的。建议和指南宜包括混合模式下运行的机制。例如，通信通道上的静止的数据。宜将单个区域内的身份标识和鉴别机制的数量最小化，使用多重标识和鉴别机制使得鉴别和标识管理的任务更难以管理。5.3CR1.1——人员标识和鉴别根据IEC62443-3-3SR1.1的规定，组件应对所有人员可访问的接口都提供标识和鉴别所有人员的能力。这一能力应对提供人员用户访问组件的所有接口执行这种标识和鉴别，从而根据合适的安全策略和规程，支持任务分工和最小权限。该能力可由本地组件或由集成到一个系统级的标识和鉴别系统提供。物特征或物理的带锁的盖等方法来完成，或上述方法的组合的多因子鉴别。人员的地理位置也可以用作鉴别过程的一部分。本要求宜适用于组件的本地和远程访问。本要求是在系统级上进行这样的鉴别和标识之外的附加要求。人员能够访问的接口是本地用户接口，例如触摸屏、按钮、键盘以及为人员交互而设计的网络协于设备配置工具的协议(有时是专有协议，有时使用开放协议)。用户标识和鉴别可以是基于角色的或本地紧急动作。为了支持根据IEC62443-2-1定义的IAC策略，组件宜第一步验证所有人员的身份，第二步对已标识人员分配的权限宜强制执行(见6.3)。5.3.3增强要求(1)唯一标识和鉴别组件应提供唯一标识和鉴别所有人员用户的能力。(2)对所有接口的多因子鉴别组件应提供对所有接入组件的人员用户进行多因子鉴别的能力。与CR1.1有关的四个安全等级的要求是：●SL-C(IAC,组件)1:CR1.1;●SL-C(IAC,组件)2:CR1.1(1);●SL-C(IAC,组件)3:CR1.1(1)(2);GB/T42456—2023/IEC62443-4-2:2019●SL-C(IAC,组件)4:CR1.1(1)(2)。或逻辑)等方法来完成对这些实体身份的鉴别。该要求应适用于对控制系统的本地和远程访问。然作以及控制系统的基本功能不能因标识或鉴别要求而受到阻碍(更多的讨论见第4章)。例如，在通常(1)唯一标识和鉴别●SL-C(IAC,组件)1:不选择；●SL-C(IAC,组件)2:CR1.2;●SL-C(IAC,组件)3:CR1.2(1);●SL-C(IAC,组件)4:CR1.2(1)。GB/T42456—2023/IEC62443-4-2:2019满足这一要求的常用方法是将鉴别评估委托给目录服务器的组件(例如LDAP或ActiveDirectory),其提供IEC62443-3-3SR1.3所要求的账户管理能力。●SL-C(IAC,组件)1:CR1.3;●SL-C(IAC,组件)2:CR1.3;●SL-C(IAC,组件)3:CR1.3;●SL-C(IAC,组件)4:CR1.3。5.6CR1.4——标识符管理该组件应提供集成到支持管理标识符的系统的能力和/或提供直接根据IEC62443-3-3SR1.4支在CR1.3——账户管理(见5.5)下创建的账户要求使用一个或多个标识符来清晰标识每个账户。这些标识符对于它们所关联的账户应是唯一的和明确的。常见使用的标识符示例有账户名称、UNIX用户ID、微软账户全球唯一标识符(GUID)和X.509证书。组件可提供本地关联账户标识符的能力。●SL-C(IAC,组件)1:CR1.4;●SL-C(IAC,组件)2:CR1.4;●SL-C(IAC,组件)3:CR1.4;●SL-C(IAC,组件)4:CR1.4。GB/T42456—2023/IEC62443-4-2:20195.7CR1.5——鉴别器管理)a)b)c5.7.2原由和附加指南猜测或破坏在传输或存储过程中口令的密码保护。可以通过定期更改/刷新口令来减少此类机会。类似的考虑也适用于基于加密密钥的鉴别系统。通过使用硬件机制[如可信平台模块(TPM)]可以实现除了该要求中规定的鉴别器管理能力之外，鉴别机制的强度还取决于所选择的鉴别器的强度(例如密码复杂度或公钥鉴别中的密钥长度)以及鉴别器在鉴别过程中验证的策略(例如，密码有效期限或在公钥证书中执行哪些检查验证)。对于最常见的鉴别机制，基于口令和公钥鉴别，进一步的要求见5.9、5.10和5.11。对某些操作使用组件可能会受到限制，需要额外的身份验证(如令牌、密钥和证书)以执行某些(1)鉴别器的硬件安全组件所依赖的鉴别器应通过硬件机制加以保护。与CR1.5有关的四个安全等级的要求是：GB/T42456—2023/IEC62443-4-2:2019●SL-C(IAC,组件)2:CR1.5;●SL-C(IAC,组件)3:CR1.5(1);●SL-C(IAC,组件)4:CR1.5(1)。5.8CR1.6——无线访问管理无线访问管理要求是网络组件特定的，并且可以按照第15章中的网络组件要求进行定位。5.9CR1.7——基于口令的鉴别强度对于使用基于口令鉴别的组件，应提供或集成到一个可以根据国际认可和验证的口令指南来配置密码强度的系统。5.9.2原由和附加指南有助于提高用户所选口令的整体安全性。一般认可的做法和建议可以在[20]等文件中找到。5.9.3增强要求(1)人员用户的口令生成和使用有效期限制该组件应提供或集成到提供该功能的系统中防止任何给定的人员账户重复使用可配置的生成口令。此外，组件应提供对人员用户执行口令最小和最大生命期限制的能力。这些能力应符合普遍接受的安全行业惯例。组件应提供在口令过期前，提示用户在可配置时间内更改口令的能力。组件应提供或集成到一个系统，该系统有能力对所有用户实施口令最小和最大使用有效期限制。与CR1.7有关的四个安全等级的要求是：●SL-C(IAC,组件)1:CR●SL-C(IAC,组件)2:CR●SL-C(IAC,组件)3:CR●SL-C(IAC,组件)4:CR5.10CR1.8——公钥基础设施(PKI)证书当使用PKI时，组件应提供或集成到系统中以提供按照IEC62443-3-3的SR1.8进行交互和操作的能力。5.10.2原由和附加指南选择合适的PKI宜考虑组织的证书策略，该策略宜基于与违反受保护信息的机密性相关的风险。关于策略定义的指南可以在通用的标准和指南中找到，如互联网工程任务组(IETF)RFC3647[22]对基于X.509的PKI的指导。例如，证书颁发机构(CA)的适当位置(不管是在控制系统还是在互联网GB/T42456—2023/IEC62443-4-2:2019上)以及可信CA的列表都宜在策略中考虑，并取决于网络架构(另见IEC62443-2-1)。无。与CR1.8有关的四个安全等级的要求是：●SL-C(IAC,组件)1:不选择；●SL-C(IAC,组件)2:CR1.8;●SL-C(IAC,组件)3:CR1.8;●SL-C(IAC,组件)4:CR1.8。境中可提供以下功能：a)通过检查给定证书的签名的有效性来验证证书；b)通过将证书部署到所有与证书颁发主体进行通信的主机来验证证书链，或者是自签名；c)通过检查给定证书的撤销状态来验证证书；e)将被鉴别的身份映射到用户(人员、软件进程或设备);f)确保用于公钥鉴别的算法和密钥符合8.5加密的使用。为了满足5.11.1的要求，不一定需要实时连接证书鉴别机构。可以使用替代的带外方法来满足公钥/私钥的加密在很大程度上依赖于给定主体私钥的保密性以及对信任关系的正确处理。在基于公钥鉴别验证两个实体之间的信任时，应追踪公钥证书到可信实体。证书验证中常见的执行错误是仅检查证书签名的有效性，而不检查签名人的可信度。在PKI设置中，如果签名者是受信任的CA或溯到受信任的CA。如果无法建立这样一个受信任的CA链，则不宜信任所提供的证书。如果使用自签名证书而不是PKI,则证书主体本身会对其证书进行签名，因此永远不会存在受信任的第三方或CA。这宜通过将自签名公钥证书部署到需要通过其他安全机制(例如，在可信环境中的所有对等方的配置)来验证它们的所有对等方来补偿。可信证书需要通过安全渠道分发给对等方。在验将可信任证书集配置为所需的最小集合。在这两种情况下，验证都需要考虑证书被吊销的可能性。在PKI设置中，通常通过维护证书吊销列表(CRL)或运行在线证书状态协议(OCSP)服务器来完成。当由于控制系统限制而无法进行吊销检在控制系统环境中造成重大的操作问题。预计大多数组件将被整合到IACS中并由IACS提供密钥鉴别机制。在IACS的组件层面执行公GB/T42456—2023/IEC62443-4-2:2019●SL-C(IAC,组件)1:不选择：●SL-C(IAC,组件)2:CR1.9;●SL-C(IAC,组件)3:CR1.9(1);●SL-C(IAC,组件)4:CR1.9(1)。5.12CR1.10——鉴别器反馈●SL-C(IAC,组件)1:CR1.10;●SL-C(IAC,组件)2:CR1.●SL-C(IAC,组件)3:CR1.10;●SL-C(IAC,组件)4:CR1.10。5.13CR1.11——失败的登录尝试GB/T42456—2023/IEC62443-4-2:2019以在由适用的安全策略和规程确定的预定时间段之后自动将访问尝试的次数重置为0。将尝试访问重●SL-C(IAC,组件)1:CR1.11;●SL-C(IAC,组件)2:CR1.11;●SL-C(IAC,组件)3:CR1.11;●SL-C(IAC,组件)4:CR1.11。5.14CR1.12——系统使用提示d)系统的使用表明同意被监视和记录。5.14.3增强要求●SL-C(IAC,组件)1:CR1.12;GB/T42456—2023/IEC62443-4-2:2019●SL-C(IAC,组件)2:CR1.12;●SL-C(IAC,组件)3:CR1.12;●SL-C(IAC,组件)4:CR1.12。5.15CR1.13——通过不受信任网络的访问通过不受信任网络访问的要求是组件特定的，对每种特定组件类型的要求见第12章至第15章。d)确保用于对称密钥鉴别的算法和密钥符合8.5。对称密钥鉴别方案的例子是Needham-Schroder或Kerberos。当使用对称密钥鉴别时，该方使用他们战),该方证明他们所声称的身份。审查员具有相同的秘密(也是在过去通过新人配置学习到)的知●SL-C(IAC,控制系统)1:不选择；●SL-C(IAC,控制系统)2:CR1.14;●SL-C(IAC,控制系统)3:CR1.14(1);●SL-C(IAC,控制系统)4:CR1.14(1)。GB/T42456—2023/IEC62443-4-2:2019这些权限的使用。●SL2——根据指定的权限限制IACS的使用，以防止实体采用少量资源、通用技能以及低动机这样简单的规避手段。度动机这样复杂的规避手段。动机这样复杂的规避手段。6.2原由和附加指南一旦用户被标识和鉴别，组件宜限制允许的对该组件的授权使用行为。资产所有者和系统集成商6.3CR2.1——授权执行组件应根据其分配的责任为所有经过识别和鉴别的人员提供授权执行机制。6.3.2原由和附加指南使用控制策略(例如，基于身份的策略、基于角色的策略和基于规则的策略)和相关的读/写访问执行机制(例如，访问控制列表、访问控制矩阵和密码)来控制用户(人员、软件进程和设备)和资产(例在控制系统验证了用户(人员、软件进程和设备)的身份(见5.3和5.4)之后，它还应根据定义的安些角色被分配给经过验证的用户或资产以及哪些权限被分配给这些角色。如果请求的操作经过许能产生不利影响。对控制系统组件的计划内或计划外更改可能对控制系统的整体安全性产生重大影响。因此，只有6.3.3增强要求组件应根据用户所分配的责任和最小权限为所有用户提供授权执行机制。21GB/T42456—2023/IEC62443-4-2:2019注1:此RE也适用于软件进程和设备。(3)管理员超驰注2:通常需要在发生紧急情况或其他严重事件时实施受控、审计和手动超驰自动化机制。这使得管理员能够使操(4)双重确认需要双重确认的一个例子就是改变一个关键工业流程的设定点。如果需要立即采取措施来保障HSE与CR2.1有关的四个安全等级的要求是：●SL-C(UC,组件)1:CR2.1;●SL-C(UC,组件)2:CR●SL-C(UC,组件)3:CR●SL-C(UC,组件)4:CR2.1(1)(2);2.1(1)(2)(3);2.1(1)(2)(3)(4)。与CR2.2有关的四个安全等级的要求是：●SL-C(UC,组件)1:CR2.2:●SL-C(UC,组件)2:CR2.2;GB/T42456—2023/IEC62443-4-2:2019●SL-C(UC,组件)3:CR2.2;●SL-C(UC,组件)4:CR2.2。6.5CR2.3——便携式和移动设备使用控制6.6CR2.4——移动代码移动代码的使用控制要求是组件特定的，每一个特定组件类型会话锁定用于防止访问指定的工作站或节点。组件应在可配置的时间段后自动激活会话锁定机6.7.3增强要求6.7.4安全等级●SL-C(UC,组件)1:CR2.5;●SL-C(UC,组件)2:CR2.5;●SL-C(UC,组件)3:CR2.5;●SL-C(UC,组件)4:CR2.5。6.8CR2.6——远程会话终止6.8.2原由和附加指南23GB/T42456—2023/IEC62443-4-2:2019与CR2.6有关的四个安全等级的要求是：●SL-C(UC,组件)1:不选择；●SL-C(UC,组件)2:CR2.6;●SL-C(UC,组件)3:CR2.6;●SL-C(UC,组件)4:CR2.6。6.9CR2.7——并发会话控制不足而导致锁定所有用户和服务之间存在一种权衡。产品供应商和/或系统集成商的指南可能需要提与CR2.7有关的四个安全等级的要求是：●SL-C(UC,组件)1:不选择；●SL-C(UC,组件)2:不选择；●SL-C(UC,组件)3:CR2.7;●SL-C(UC,组件)4:CR2.7。b)请求错误；GB/T42456—2023/IEC62443-4-2:2019e)事件ID;f)事件结果。6.10.2原由和附加指南设备可能包含嵌入式固件或运行操作系统。而该要求意图覆盖事件的类别，至少包含固件或无。6.10.4安全等级●SL-C(UC,组件)1:CR2.8;●SL-C(UC,组件)2:CR2.8;●SL-C(UC,组件)3:CR2.8;●SL-C(UC,组件)4:CR2.8。6.11.2原由和附加指南要考虑的指南可能包括NISTspecificpublication(SP)86.11.3增强要求●SL-C(UC,组件)1:CR2.9;25GB/T42456—2023/IEC62443-4-2:2019●SL-C(UC,组件)2:CR2.9;●SL-C(UC,组件)3:CR2.9(1);●SL-C(UC,组件)4:CR2.9(1)。6.12CR2.10——审计处理失败的响应a)在发生审计处理失败事件时提供防止失去基本服务和功能的能力；6.12.2原由和附加指南审计的生成通常发生在事件源头。审计处理涉及传输、可能的扩充(例如添加时间戳)以及审计记录的持久存储。审计处理失败包括软件或硬件错误、审计捕获机制中的失败、达到或超过审计存储容量。在设计适当的应对措施时考虑的指导方针可能包括NISTSP800-92[19]。宜注意，覆盖最早的审会丢失。提醒相关人员可能是对审计处理失败作出的适当支持行动。6.12.3增强要求无。与CR2.10有关的四个安全等级的要求为：●SL-C(UC,组件)1:CR2.10;●SL-C(UC,组件)2:CR2.10;●SL-C(UC,组件)3:CR2.10;●SL-C(UC,组件)4:CR2.10。6.13.1要求组件应提供为审计记录创建时间截(包括日期和时间)的功能。6.13.2原由和附加指南时间戳格式可以参考ISO/IEC8601:2004[7],在设计系统时宜考虑周期性时移事件，例如一些地方的夏令时。6.13.3增强要求(1)时间同步组件应提供创建与全系统时间源同步的时间戳的能力。(2)保护时间源完整性时间同步机制应提供检测未授权变更以及由此变更引发审计事件的能力。GB/T42456—2023/IEC62443-4-2:2019与CR2.11有关的四个安全等级的要求为：●SL-C(UC,组件)1:CR2.11;●SL-C(UC,组件)2:CR2.11(1);●SL-C(UC,组件)3:CR2.11(1);●SL-C(UC,组件)4:CR2.11(1)(2)。6.14CR2.12——抗抵赖性6.14.2原由和附加指南6.14.3增强要求与CR2.12有关的四个安全等级的要求为：6.15CR2.13——物理诊断和测试接口的使用物理诊断和测试接口要求的使用是基于组件特定的，每种组件特定类型的要求见第12章到第15章。27GB/T42456—2023/IEC62443-4-2:2019●SL2——保护IACS完整性，防止某些人利用较少量资源、通用技能和低动机的简单手段进行操控。进行操控。行操控。7.2基本原理在开始生产之前，组件经常经历多个测试周期(单元测试、系统测试等)以确定组件将按预期运行。一旦运行，资产所有者将负责维护组件的完整性。资产所有者可以使用他们的风险评估方法，可以在IACS中为不同的系统、通信通道和信息分配不同级别的完整性保护。物理资产的完整性宜在运行和7.3CR3.1——通信完整性组件应提供保护传输信息的完整性的能力。7.3.2原由和附加指南许多常见的网络攻击都是基于对传输数据的操纵，例如对网络数据包的操纵。交换或路由网络为本身也可以被操纵，以获得对传输信息的更多访问。对控制系统环境下的内容篡改可能包括改变从传感器传递到接收器的测量值或者改变从控制应用发送到执行器的命令参数。根据上下文(例如，本地网段内的传输与经由不受信任网络的传输)以及传输中所使用的网络类型[例如，传输控制协议(TCP)/因特网协议(IP)与本地串行链路],可行的和适当的机制将有所不同。在具有直接链接(点对点)的小型网络中，如果端点的完整性也受到保护(见7.6),那么对于所有节点的物理访问保护保持在较低SL上可能就足够了。分布在经常有人员出现或广域网络地区的网络上，物理访问可能无法强制执行。如果商业服务用于提供作为商品项目的通信服务而不是完全专用的服务(例如，租用线路与T1链路),则可能更难获得关于保护通信完整性所需安全控制措施的必要保证(例如，由于法律限制)。当达到必要的安全要求是不可行或不切实际时，可以采取适当的补偿对抗措施或者明确承受额外的风险。工业设备通常受到可能导致完整性问题和/或误报事件的环境条件的影响这些可能会影响通信线路和信号的完整性。网络基础设施的设计宜尽量减少对通信完整性的物理和/或环境影响。例如，当微粒、液体和/或气体成为问题时，可能需要使用密封的45注册插孔(RJ-45)或M12连接器来代替电线上的商用级RJ-45连接器。电缆本身可能需要使用不同的护套来处理颗粒、液体和/或气体问题。在出现振动的情况下，可能需要使用M12连接器，以防止RJ-45连接器上的弹簧插针在使用过程中断开连接。在辐射和/或EMI成为问题的情况下，可能需要使用屏蔽双绞线或光纤电缆来防止其对通信信号的影响。如果计划使用无线网(1)通信鉴别GB/T42456—2023/IEC62443-4-2:2019组件应提供在通信期间验证信息真实性的能力。7.3.4安全等级与CR3.1有关的四个安全等级的要求为：SL-C(SI,组件)1:CRSL-C(SI,组件)2:CRSL-C(SI,组件)3:CRSL-C(SI,组件)4:CR3.1;3.1(1);3.1(1);7.4CR3.2——恶意代码防护对恶意代码防护的要求是基于特定组件的，每种特定组件类型的要求见第12章到第15章。7.5CR3.3——信息安全功能验证组件应有能力根据IEC62443-3-3SR3.3验证安全功能的预期操作。7.5.2原由和附加指南产品供应商或系统集成商宜就如何测试所设计安全控制措施提供指导。资产所有者需要意识到在正常运行期间执行这些验证测试的可能后果。执行这些验证的细节需要仔细考虑连续操作的要求(例如日常安排或事先通知)。以下是安全验证功能的例子。●由欧洲计算机防病毒研究所(EICAR)控制系统文件系统测试验证防病毒措施。防病毒软件宜检测EICAR测试用例，宜触发适当的事件处理措施。●通过尝试使用未经授权的账户访问来验证标识、身份鉴别和使用控制对策(对某些功能这可能●将入侵检测系统(IDS)作为安全控制进行验证，包含对已知但不规则流量触发IDS的规则。可以通过引入触发这个规则的流量、执行适当的IDS监控和事件处理规程来实现测试。7.5.3增强要求(1)在正常运行时的信息安全功能验证组件应提供能力以支持在正常运行期间验证安全功能预期操作的能力。需要小心执行此RE以避免不利影响，其可能不适合安全(safety)系统。7.5.4安全等级与CR3.3有关的四个安全等级的要求为：●SL-C(SI,组件)1:CR3.3;●SL-C(SI,组件)2:CR3.3;●SL-C(SI,组件)3:CR3.3;●SL-C(SI,组件)4:CR3.3(1)。29GB/T42456—2023/IEC62443-4-2:20197.6CR3.4——软件和信息完整性告和防止可能发生的软件和信息篡改。组件宜采用正式或推荐的完整性机制(例如密码哈希)。例7.6.3增强要求(1)软件和信息的真实性组件应提供执行或支持对软件、配置和其他信息进行真实性校验，以及记录和报告校验结果的能(2)完整性违规的自动通知如果组件正在执行完整性校验，应能在发现尝试进行未经授权更改时向可配置实体提供自动通知。与CR3.4有关的四个安全等级的要求为：●SL-C(SI,组件)3:CR3.4(1)(2);●SL-C(SI,组件)4:CR3.组件应检验用于工业过程控制输入或直接影响组件动作的外部接口输入的任何输入数据的语法、长度和内容。7.7.2原由和附加指南宜制定检验输入数据有效语法(如设定点)的规则，以验证此信息未被篡改并符合规范。宜预先筛选传递给解释器的输入，以防止内容被无意地解释为命令。注意，这是一个安全CR,因此不会解决人公认的用于输入数据验证的行业实践包括定义字段类型的超出范围的值、数据字段中的无效字符、数据丢失或不完整以及缓冲区溢出。无效输入导致系统安全问题的其他示例，包括SQL注入攻击、跨站脚本或畸形数据包(通常由协议模糊器生成)。要考虑的指南宜包括众所周知的指南，如开放式网页应用程序安全项目(OWASP)代码审查指南[21]。无。GB/T42456—2023/IEC62443-4-2:2019与CR3.5有关的四个安全等级的要求为：如果物理或逻辑上连接到自动化过程的组件无法维持组件供应商规定的正常运行状态，则应提供将输出设置为预定状态的能力。7.8.2原由和附加指南为应对控制系统设备和软件的威胁行为，控制系统输出的确定性行为是保证正常运行完整性的重系统输出需要导向到预定状态。控制系统输出的适当预定状态取决于设备，可以是以下用户可配置选项之一：●失能——输出失效至无动力状态；●保持——输出失效至最后一个已知的正确值；●固定——输出导向资产所有者或应用程序确定的固定值；7.8.3增强要求无。与CR3.6有关的四个安全等级的要求为：7.9CR3.7——出错处理组件应以不提供可被攻击者利用以攻击IACS的信息的方式来识别和处理错误信息。7.9.2原由和附加指南产品供应商或系统集成商宜仔细考虑错误消息的内容和结构。由组件生成的错误消息宜提供及时而有用的信息，而不会潜在地泄露可能被攻击者利用IACS的有害信息。宜通过及时解决错误条件的必要性来论证披露这些信息的合理性。需要考虑的指南可能包括众所周知的指南，如OWASP代码审GB/T42456—2023/IEC62443-4-2:2019与CR3.7有关的四个安全等级的要求为：●SL-C(SI,组件)1:CR3.7;●SL-C(SI,组件)2:CR3.7;●SL-C(SI,组件)3:CR3.7;●SL-C(SI,组件)4:CR3.7。会话劫持和其他中间人攻击或注入虚假信息通常会利用易于猜测的会话ID(密钥或其他共享秘命周期密切相关。在随机生成唯一的会话ID时采用随机性有助于防止用暴力攻击确定未来的会安全等级四个SL等级的要求与CR3.8的关系：●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:CR3.8;●SL-C(SI,组件)3:CR3.8;●SL-C(SI,组件)4:CR3.8。GB/T42456—2023/IEC62443-4-2:20197.11.2原由和附加指南7.11.3增强要求7.11.4安全等级四个SL等级的要求与CR3.9的关系安全等级：●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:CR3.9;●SL-C(SI,组件)3:CR3.9;●SL-C(SI,组件)4:CR3.9(1)。7.13CR3.11——物理防破坏和检测7.14CR3.12——提供产品供应商的信任根提供产品供应商信任要求的根源是与设备相关的，对每种特定设备类型的要求见第12章到第15章。提供资产所有者信任要求的根源是与设备相关的，对每种特定设备类型的要求见第12章到第15章。启动过程要求的完整性是与设备相关的，对每种特定设备类GB/T42456—2023/IEC62443-4-2:20198.1目的和SL-C(DC)描述确保通信信道和数据库中信息的保密性以防止未经授权的泄露。●SL1——防止窃听或不经意的暴露导致的未经授权的信息泄露。●SL.2——防止未经授权地将信息泄露给通过少量资源、通用技能和低动机的简单手段主动进行的信息搜索实体。●SL3——防止未经授权地将信息泄露给通过中等资源、IACS特殊技能和中等动机的复杂手段主动进行的信息搜索实体。●SL4——防止未经授权地将信息泄露给通过扩展资源、IACS特殊技能和高动机的复杂手段主动进行信息搜索的实体。8.2基本原理存储需要防止窃听和未经授权的访问。组件应：a)提供保护静止中且支持显式读取授权信息的保密性的能力；b)根据IEC62443-3-3SR4.1中定义，支持保护传输信息的保密性。8.3.2原由和附加指南传输信息的保密性要求组件需要能够支持的系统级功能。无。四个SL等级的要求与CR4.1的关系安全等级：●SL-C(DC,组件)1:CR4.1;●SL-C(DC,组件)2:CR4.1;●SL-C(DC,组件)3:CR4.1;●SL-C(DC,组件)4:CR4.1。GB/T42456—2023/IEC62443-4-2:2019该组件应提供从正在进行服务的和/或退役的组件中清除支持显式读取授权的所有信息的能力。从正在进行的服务中删除控制系统组件不应提供无意中读取支持显式读取授权的信息的机会。此类信息的例子可以包括存储在非易失性存储器中的身份鉴别信息和网络配置信息，或者其他便于未经授权或恶意活动的加密信息。由使用者或角色的行为(或代表一个使用者或角色的软件进程的行为)所产生的信息不宜以不受控的方式泄露给不同的使用者或角色。对控制系统信息或剩余数据的控制，可防止共享资源释放回控制系统后存储在共享资源中的信息不经意地泄露。(1)共享内存资源的清除组件应提供防止通过易失性共享内存资源的未经授权的和意外的信息传输能力。易失性存储器资源是在释放到内存管理后通常不保留信息的资源。但是，对于随机存取存储器(RAM)的攻击可能会在实际覆盖之前提取密钥材料或其他机密数据。因此，当易失性共享内存被释放见或不可访问。(2)清除的验证组件应提供验证信息清除已发生的能力。与CR4.2有关的四个安全等级的要求是：●SL-C(DC,组件)1:不选择；●SL-C(DC,组件)2:CR4.2;●SL-C(DC,组件)3:CR4.2(1)(2);●SL-C(DC,组件)4:CR4.2(1)(2)。是静态信息的一个示例，应被视为数据保密性和完整性评估过程的一部分。控制系统产品供应商应记录与加密密钥建立和管理有关的实践和程序。控制系统应使用已建立和测试的加密和哈希算法，如高级加密标准(AES)和安全哈希算法(SHA)系列和基于指定标准的密钥大小。密钥生成需要使用有效的随机数生成器来执行。密钥管理的安全策略和程序需要根据已定义的标准来定期进行密钥更改、密GB/T42456—2023/IEC62443-4-2:2019钥销毁、密钥分发和加密密钥备份。公认的实践和建议可以在NISTSP800-57《密钥管理建议第1部分：通用要求》[18]找到。实施要求可以在诸如：FIPS140-2《密码模块的安全要求》[17]或ISO/IEC19790:2012《信息技术安全技术密码模块的安全要求》中找到。此CR与5.10,CR1.8——公共密钥基础设施证书一起可能适用于满足本文件中定义的许多其他8.5.3增强要求无。与CR4.3有关的四个安全等级的要求是：●SL-C(DC,组件)1:CR4.3;●SL-C(DC,组件)2:CR4.3;●SL-C(DC,组件)3:CR4.3;●SL-C(DC,组件)4:CR4.3。9FR5——受限的数据流9.1目的和SL-C(RDF)描述通过区域和管道对控制系统分区以防止不必要的数据流动。●SI.2防止实体采用少量资源、通用技能、低动机的简单方法来有意规避区域与管道划分措施。●SL3——防止实体采用中等资源、IACS特殊技能、中等动机的复杂方法来有意规避区域与管道划分措施。●SL4——防止实体采用扩展资源、IACS特殊技能、高动机的复杂方法来有意规避区域与管道划分措施。9.2基本原理使用其在IEC62443-3-2中定义的风险评估方法，资产所有者需要确定必要的信息流动限制，并由此决定用于传递这些信息的渠道的配置。派生的规范性建议和指导方针应包括将控制系统网络从业务或公共网络断开到使用单向网关、状态检测的防火墙和DMZ来管理信息流的机制。组件应通过对分段网络的支持来实现对区域和管道的支持，以便根据需要支持基于逻辑分段和关键性的更广泛的网络架构。9.3.2原由和附加指南组织使用网络分段是出于多种目的的，其中包括网络安全在内。网络分段的主要原因是减少流入控制系统的网络流量的暴露或进入，并减少来自于控制系统的网络流量的扩散或流出。网络分段提高GB/T42456—2023/IEC62443-4-2:2019了系统的整体响应能力和可靠性，并提供了网络安全保护措施。网络分段还使得控制系统中的不同网段(包括关键控制系统和安全相关系统)与提供的保护级别将有很大的不同。基于网络功能的逻辑分段网络提供了一些保护措施，但如果一个网络设备受到破坏，仍然可能导致单点故障。物理分段网络通过消除单点故障情况提供了另一个级别的保护，但会导致更复杂和更昂贵的网络设计。这些权衡需要在网络设计过程中进行评估(见IEC62443-2-1[1])。为了响应事件，可能需要断开不同网段之间的连接。在这种情况下，支持基本操作所需的服务应保持这样一种方式，即设备可以继续正常运行和/或有序关闭。这可能需要在控制系统网络上复制一些服务器，以支持正常的网络功能，例如动态主机配置协议(DHCP)、域名服务(DNS)或本地CA等服务器。这也可能意味着一些关键控制系统和安全相关系统从一开始就被设计成与其他网络完全隔离。无。9.3.4安全等级与CR5.1有关的四个安全等级的要求是：●SL-C(RDF,组件)1:CR5.1;●SL-C(RDF,组件)2:CR5.1;●SL-C(RDF,组件)3:CR5.1;●SL-C(RDF,组件)4:CR5.1。区域边界保护要求是网络设备相关的，网络设备的要求见第15章。普通目的的人与人之间的通信限制要求是网络设备特定的，网络设备的要求见第15章。10FR6——对事件的及时响应10.1目的和SL-C(TRE)描述通过通知适当的权威机构、报告违规行为所需的证据和在发现事件时及时采取纠正措施来应对安全违规行为。●SL1——监视IACS组件的操作，当事故被发现时，通过收集与提供用于质询的司法证据进行事故响应。●SL2——监视IACS组件的操作，当事故被发现时，通过主动收集并周期性汇报司法证据进行事故响应。●SL3——监视IACS组件的操作，当事故被发现时，通过主动收集并尽力向相关权利机构提供●SL4——监视IACS组件的操作，当事故被发现时，通过主动收集并向相关权利机构准实时提GB/T42456—2023/IEC62443-4-2:2019供司法证据进行事故响应。即使系统从安全状态进入运行，为确保系统继续保持该安全状态，能够对系统进行监视也是重要的。如果一个事件影响了系统的安全，事件的及时通知对于降低相关风险可能是关键的。资产所有者宜建立应对安全违规所需的相关安全政策和程序以及适当的通信和控制线路。派生的建议和指南宜包不会对控制系统的操作性能造成负面影响。10.3CR6.1——审计日志可访问性组件应提供授权人员和/或工具以只读方式访问审计日志的能力。应用程序和设备可以生成关于在其中发生的事件的审计记录(见6.10)。访问这些审计日志对于支言，减少审计和报告编制应在单独的信息系统上进行。手动访问审计记录(例如屏幕视图或打印输出)足以满足基本要求，但不足以满足更高的SL要求。编程式访问通常用于将审计日志信息提供给安全信息和事件管理(SIEM)等分析机制。审计日志的编程访问组件应通过使用应用程序接口(API),或发送审计记录到集中系统，提供编程访问审计记录。与CR6.1有关的四个安全等级的要求是：●SL-C(TRE,组件)1:CR6.1;●SL-C(TRE,组件)2:CR6.1;●SL-C(TRE,组件)3:CR6.1(1);●