《信息安全技术 工业控制系统现场测控设备安全功能要求》

ICS点击此处添加ICS号

点击此处添加中国标准文献分类号

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术工业控制系统现场测控设备

安全功能要求

Informationsecuritytechnology—Securityfunctionrequirementsfordataacquisition

andcontrolfielddevicesofindustrialcontrolsystems

点击此处添加与国际标准一致性程度的标识

（征求意见稿）

（本稿完成日期：2014/5/22）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

前  言

本标准按照GB/T1.1-2009的规则起草。

本标准由全国信息安全标准化技术委员会提出并归口。

本标准起草单位：中国电力科学研究院、北京和利时系统工程有限公司、北京四方继保自动化股份

有限公司、华北电力大学、国电南瑞科技股份有限公司、中国信息安全测评中心、中国电子技术标准化

研究院、北京江南天安科技有限公司、中国电子信息产业集团有限公司第六研究所。

本标准主要起草人：

I

GB/TXXXXX—XXXX

引  言

现场测控设备是工业控制系统的基本功能执行设备，直接对工业生产过程进行监视与控制，对于生

产的安全稳定运行至关重要。

随着信息通信技术在工业控制系统中的应用，现场设备的智能化程度逐渐增加，网络化和处理能力

的增加使得这些设备所面临的信息安全风险较传统现场设备面临的风险种类更多，范围更大，层次更为

深入，一旦遭受攻击，将直接导致设备所辖区域内甚至连锁性的生产事故，因此其信息安全不仅与生产

安全和经济安全密不可分，而且电力、化工、天然气等重要基础设施的现场安全水平直接关系到国计民

生、社会稳定与公众利益。

为提高现场设备的信息安全能力，本标准提出针对现场测控设备的安全功能要求，用于设备的安全

设计、开发、测试与评估。

II

GB/TXXXXX—XXXX

信息安全技术工业控制系统现场测控设备安全功能要求

1范围

本标准规定了工业控制系统现场测控设备的安全功能要求。

本标准适用于指导设备的安全设计、开发、测试与评估。

典型设备包括RTU、IED、DPU等。

某些内容因涉及设备功能实现原理、工业控制系统整体管理和运行或仅仅是信息安全的外围技术，

因此不在本标准范围之内。例如：

——本标准不涵盖与设备自身安全功能与实现没有直接关联的行政性管理和运行安全要求，如组织

管理和人员管理等。对于影响技术实施的口令策略和配置程序等管理措施，将包含在要求的描

述中，不作关于管理和运行内容的强调。

——本标准不涵盖与设备自身信息安全功能与实现没有直接关联的电磁辐射等物理安全方面的内

容，对于影响信息安全技术防护效果的物理安全访问控制等措施，将包含在要求的描述中，不

作关于物理安全内容的强调。

——本标准不对传统工业控制系统中机电式、液压式和气动式等不涉及信息技术实现原理的设备的

信息安全功能进行要求。传统工业控制系统的信息安全防护主要通过物理、管理及运维安全措

施实现。

——本标准不覆盖传感器、变送器、调节器、开关/断路器等生产过程设备。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T9387.2信息处理系统开放系统互连基本参考模型第2部分：安全体系结构

GB/T18336.2-2008/IEC15408-2:2005信息技术安全技术信息技术安全性评估准则第2部分:

安全功能要求

GB/T18336.3/IEC15408-3信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求

GB/T20438.1-2006/IEC61508-1:1998电气/电子/可编程电子安全相关系统的功能安全第1部分:

一般要求

GB/T20438.3-2006/IEC61508-3:1998电气/电子/可编程电子安全相关系统的功能安全第3部分:

软件要求

GB/T20438.4-2006/IEC61508-3:1998电气/电子/可编程电子安全相关系统的功能安全第4部分:

定义和缩略语

GB/T22081-2008信息技术安全技术信息安全管理实用规则

GB/T22239信息安全技术信息系统安全等级保护基本要求

3术语和定义

1

GB/TXXXXX—XXXX

GB/T9387.2、GB/T18336.2-2008、GB/T18336.3/IEC15408-3、GB/T20438.1-2006/IEC

61508-1:1998、GB/T20438.3-2006/IEC61508-3:1998、GB/T20438.4-2006/IEC61508-3:1998、GB/T

22081-2008、GB/T22239确立的以及下列术语和定义适用于本文件。

为方便工业控制相关专业人员对本标准的理解，信息技术及信息安全相关术语见附件D。

3.1

工业控制系统现场测控设备dataacquisitionandcontrolfielddevicesofindustrialcontrol

systems

工业控制系统中，位于现场，具有以下生产相关全部或部分功能的一种独立实体设备：

——从传感器、变送器、调节器或开关等过程设备接收采集数据；

——进行逻辑与控制计算；

——向调节器或开关等过程执行设备发送控制指令。

设备与其它同类设备、系统主站或应用进行采集数据与控制指令等数字或模拟信号通信。

典型工业控制系统现场测控设备的功能与构成见附录C。

注：下列均是典型的工业控制系统现场测控设备：

——RTU

——IED

——DPU

3.2

安全级securitylevel

在预期的情况下，工业控制系统不受脆弱性影响的信心的度量。

注：工业控制系统可能由于设计不当导致存在脆弱性，也可能在其生命周期的任何阶段被植入脆弱性，或者由于威

胁的变化而出现脆弱性。工业控制系统设计时就存在的脆弱性可能在其初次安全很久后才会被发现，比如加密

技术被破解、由于账户管理策略不当导致的过期账户没有删除。而安装补丁或是策略的变化也可能导致脆弱性。

[ISA-62443-3-3-WD3.1.38]

3.3

能力安全级capabilitysecuritylevel

正确的进行安全配置后现场测控设备或其他工业控制系统组件能够达到的安全级，表明现场测控设

备或其他工业控制系统组件满足指定安全级需要具备的功能及其配置。

[ISA-62443-3-3-WDA.2.2]

3.4

目标安全级targetsecuritylevel

一个具体的工业控制系统需要达到的安全级。目标安全级是根据具体系统的风险评估结果来判定保

证系统的正常运行需要达到的安全水平。

[ISA-62443-3-3-WDA.2.2]

3.5

达到的安全级achievedsecuritylevel

一个具体的工业控制系统实际达到的安全级。具体的系统设计完成或上线后进行达到的安全级的测

量，达到的安全级用于表明系统满足目标安全级要求的内容。

2

GB/TXXXXX—XXXX

[ISA-62443-3-3-WDA.2.2]

4缩略语

下列缩略语适用于本文件。

ICS：工业控制系统（IndustrialControlSystem）

RTU：远程终端单元（RemoteTerminalUnit）

IED：智能电子装置（IntelligentElectricDevice）

PLC：可编程逻辑控制器（ProgrammableLogicController）

SCADA：数据采集与监控（SupervisoryControlAndDataAcquisition）

DCS：分布式控制系统（DistributedControlSystem）

PCS：过程控制系统（ProcessControlSystem）

DPU：分散处理单元（DistributedProcessingUnit）

SL：安全级（Securitylevel）

CSL：能力安全级（CapabilitySecurityLevel）

TSL：目标安全级（TargetSecurityLevel）

ASL：达到的安全级（AchievedSecurityLevel）

DoS：拒绝服务攻击（DenyofService）

CRC：循环冗余校验（CyclicRedundancyCheck）

MMU：内存管理单元（MemoryManagementUnit）

MAC：消息认证码（MessageAuthenticationCode）

CA：认证中心（CertificateAuthority）

SIL：安全完整性等级（SafetyIntegrityLevel）

HSE：健康、安全和环境（HealthSafetyandEnviroment）

BPCS：基本的过程控制系统（BasicProcessControlSystem）

SIS：安全仪表系统（SafetyInstrumentedSystem）

FS：功能安全（FunctionalSafety）

IAMS：仪表资产管理系统(InstrumentAssetManagementSystem)

5概述

5.1安全功能要求描述结构

5.1.1要求类结构

图1以框图形式示意了要求类的结构。每个要求类包括一个类名、类描述和一个或多个要求族。

——类名：提供标识和划分不同要求类所必需的信息。每个要求类都有一个唯一的名称，类的分类

信息由三个字符的简写组成。类名的简写也用于该类中族的族名规范中。

——类描述：总体描述类中包含的族和该类要求的主要作用。类描述用图来描述类中的族以及每个

族中组件的层次结构。

3

GB/TXXXXX—XXXX

图1要求类结构

5.1.2族结构

图2以框图形式示意了要求族的结构。每个要求族包括一个族名、族描述和一个或多个组件。

——族名：提供标识和划分不同要求族所必需的信息。每个要求族都有一个唯一的名称，族的分类

信息由所属类的简写和族名三个字符的简写组成。

——族描述：总体描述族和该族要求的主要作用。

图2要求族结构

5.1.3要求项结构

图3以框图形式示意了要求项的结构。每个要求项包括要求名、要求的内容、要求说明、零个或多

个要求加强子项和相关要求。

——要求名：用于标识、分类、分族不同的要求。每个要求都有一个唯一的名称，表明该要求的目

的。用序号标识在族中的位置。

——要求：描述要求的内容，表述设备为达到该项要求应满足的条件。

——要求说明：描述要求的典型实现机制和技术原理。

——要求加强：要求加强子项是对要求强度的加强或内容的增加，用序号标识在要求内的位置。

——依赖要求：当要求项需要依赖于其他要求项，或与其他要求项共同使用才能发挥作用时，这种

对其它要求项的直接关联关系在本部分中注明。

注：设备的能力安全级与说明要求及要求加强具有对应关系，具体见附件B。

4

GB/TXXXXX—XXXX

图3要求项结构

6安全功能要求

工业控制系统现场测控设备安全功能要求表见附录A。

6.1FIA类：标识与认证控制

6.1.1类描述

标识和认证用户（人员、进程和设备）的目的是在设备使用管理和系统应用层面上对设备的访问进

行控制。标识用户还可用于确定用户的行为。

根据设备数字与智能化程度的不同，设备具有的访问接口不同，典型的接口包括：

——本地面板，查看或修改配置；

——本地或远程网络，设备调试、管理与业务数据传输；

——本地RS232或RS485接口，业务数据传输或设备调试、管理。

在这些接口上对设备进行访问的典型的用户包括但不限于以下几种：

——设备使用配置用户

——系统上位机应用进程

6.1.2FIA_IAM族：标识与认证方式

族描述

设备应具备标识和认证用户的能力。

FIA_IAM.1标识及方式

.1要求

工控系统现场测控设备应具备在对外接口标识用户（人员、进程和设备）的能力。

.2要求说明

5

GB/TXXXXX—XXXX

应至少对重要的接口或重要的用户提供标识，如远程网络接口、配置管理用户、上位机控制进程等。

典型的标识方式包括网络层面上的IP地址和MAC地址、应用层面上的用户ID等。

.3要求加强

FIA_IAM.1标识及方式的加强要求包括：

a)设备在所有对外接口上具有标识用户的能力；

b)设备在所有对外接口上都具备唯一标识用户的能力。

.4依赖要求

无。

FIA_IAM.2认证及方式

.1要求

工控系统现场测控设备应具备在对外接口认证用户（人员、进程和设备）的能力。

.2要求说明

设备应对开启的网络服务接口和重要的本地访问用户进行认证，如配置管理用户、远程访问服务等。

典型的身份验证方式包括：口令，USBkey，共享密钥，公钥、生物特征等。

.3要求加强

FIA_IAM.2认证及方式的加强要求包括：

a)设备对远程网络访问接口上的具有控制、参数和定值修改功能的用户实施双因素认证；

b)设备对所有远程网络访问接口上的用户实施双因素认证。

.4依赖要求

FIA_IAM.1。

6.1.3FIA_IDM族：标识符管理

族描述

工控系统现场测控设备应具备管理标识符的能力。

能用于标识用户（人员、进程和设备）的标识包括网络层面的IP地址、MAC地址、TCP/UDP端口和用

户ID。

其中用户ID管理的功能相当于普通IT应用系统的用户管理，而IP地址、MAC地址和端口的管理将在

访问控制中阐述。

FIA_IDM.1用户ID管理

.1要求

工控系统现场测控设备应具备向用户分配ID的能力。

.2要求说明

6

GB/TXXXXX—XXXX

用户主要指管理员或工作人员，设备应支持向这些具有运行参数或设备配置访问权限的用户分配ID

的能力。

.3要求加强

FIA_IDM.1用户ID管理的加强要求包括：

a)设备支持管理员对用户ID进行添加、删除等管理；

b)设备支持管理员对安全策略规定一段时间不使用的用户ID进行锁定。

.4依赖要求

FIA_IAM.1。

6.1.4FIA_ARM族：认证码管理

族描述

工控系统现场测控设备应具备管理认证码的能力。主要包括对口令、证书等认证码的强度和使用的

管理。由于对设备的访问方式可能包括本地面板管理访问、串口配置软件管理访问、网络配置软件（私

有软件和FTP）管理访问、上位机应用访问，因此认证码的使用和管理涵盖应用层面的认证码和网络层

面的认证码管理。

FIA_ARM.1口令修改

.1要求

工控系统现场测控设备应支持管理员和用户在不影响正常操作的情况下修改他们管理范围内口令。

.2要求说明

主要针对管理员、配置查看用户、配置修改用户等应用用户口令进行管理。

.3要求加强

FIA_ARM.1口令修改的加强要求包括：

a)设备应支持并提示对出厂默认口令的修改。

.4依赖要求

FIA_IAM.2。

FIA_ARM.2口令更换周期

.1要求

工控系统现场测控设备应该提供支持安全策略要求中口令使用周期的能力。

.2要求说明

在实现上，成功的用户验证后，工控系统现场测控设备应该提供必要的自动提醒能力，通知用户距

离上次修改密码已经超过了安全策略要求的密码使用周期。

.3要求加强

7

GB/TXXXXX—XXXX

FIA_ARM.2口令更换周期的加强要求包括：

a)设备支持管理员对口令更换周期进行配置。

.4依赖要求

FIA_IAM.2。

FIA_ARM.3口令强度控制

.1要求

工控系统现场测控设备应该提供支持安全策略中口令强度要求的能力。

.2要求说明

在实现上，当用户设定口令强度不足时，工控系统现场测控设备应自动提醒用户口令应满足怎样的

安全策略。

.3要求加强

FIA_ARM.3口令强度控制的加强要求包括：

a)设备支持管理员对口令的最小长度、最长/最短使用时间和要求字母或特殊字符数量进行配置。

.4依赖要求

FIA_IAM.2。

FIA_ARM.4口令失效机制

.1要求

设备的用户名/口令认证控制不能被攻破或绕过。

.2要求说明

包括但不限于以下机制和技术：

——嵌入式主口令

——嵌入式芯片在硬件或软件故障时自动运行的诊断程序

——如跳线和开关设置等的密码硬件旁路

厂商应说明设备具有的所有能绕过用户创建的用户名/口令防护的机制。如果厂商表示设备目前没

有这样的机制，厂商应证明这点。

.3要求加强

无。

.4依赖要求

FIA_IAM.2。

FIA_ARM.5证书及公私钥管理

.1要求

8

GB/TXXXXX—XXXX

如果使用了公钥和证书作为认证机制，工控系统现场测控设备（及其配置软件）应该提供对公钥和

证书进行管理的能力。

.2要求说明

以配置用户USBkey为例，其中的证书和公钥体系主要用于使用配置软件对工业控制系统现场测控设

备进行配置访问时的用户认证。设备的配置软件应能够对配置用户公钥进行管理，对证书进行识别。对

于通信层面上，公私钥可用于现场测控设备和其它设备、远程配置系统、监控后台或上位机的通信身份

认证。设备应能保证本地存储私钥的安全，同时可以对其它通信对象的证书的真实性和有效性，从而认

证识别出对象的身份。

.3要求加强

FIA_ARM.5证书及公私钥管理的加强要求包括：

现场测控设备及其配置软件应该支持安全策略要求的公钥和证书的周期更新的能力；

在整个工控系统层面上有有效的公钥管理架构和CA。

.4依赖要求

FIA_IAM.2。

FIA_ARM.6对称密钥管理

.1要求

如果使用了对称密钥作为认证机制或进行传输数据加密，工控系统现场测控设备应该提供对对称密

钥进行管理的能力。

.2要求说明

对于通信层面上，对称密钥可用于现场测控设备和其它设备、监控后台或上位机的通信身份认证。

设备应能保证本地存储密钥的安全，同时满足密钥管理策略。

.3要求加强

FIA_ARM.6对称密钥管理的加强要求包括：

a)现场测控设备应支持安全策略要求的对称密钥周期更新的能力；

b)在整个工控系统层面上有有效的密钥管理体系，实现对密钥的分发、更新和撤销。

.4依赖要求

FIA_IAM.2。

FIA_ARM.7密码学服务失效

.1要求

如果使用基于密码学的认证机制，工控系统现场测控设备的重要访问点不得依赖于外部密码学服

务。

.2要求说明

9

GB/TXXXXX—XXXX

如果外部密码学（如加密、密钥验证）服务不可用，可能导致嵌入式设备拒绝服务。访问关键功能

的本地优先接入点不应依靠外部验证服务，因为一旦失败无法直接处理。对于远程访问关键功能的情况，

可酌情考虑使用。

.3要求加强

无。

.4依赖要求

FIA_IAM.2；FIA_ARM.5；FIA_ARM.6。

6.1.5FIA_LGM族：登录管理

族描述

工控系统现场测控设备应具备对管理员、配置查看用户、配置修改用户等应用用户登录成功、失败

和登录过程进行管理的能力。

FIA_LGM.1登录失败管理

.1要求

工控系统现场测控设备应该管理和记录用户自从最近的成功登录后的登录失败的次数和时间。

.2要求说明

主要对管理员、配置管理用户等实现认证了的重要用户的登录进行管理。登录方式涵盖本地液晶屏

登录、私有配置软件登录、FTP登录、HTTP登录等方式。

.3要求加强

无。

.4依赖要求

FIA_IAM.2。

FIA_LGM.2登录成功记录

.1要求

工控系统现场测控设备应该管理和记录用户最后一次登录成功的日期和时间。

.2要求说明

主要对管理员、配置管理用户等实现认证了的重要用户的登录进行管理。登录方式涵盖本地液晶屏

登录、私有配置软件登录、FTP登录、HTTP登录等方式。

.3要求加强

无。

.4依赖要求

10

GB/TXXXXX—XXXX

FIA_IAM.2。

FIA_LGM.3展示登录历史

.1要求

成功的用户验证后，工控系统现场测控设备应该显示最近的登录成功的时间，以及那之后此用户账

号登录失败尝试的次数和时间。

.2要求说明

主要对管理员、配置管理用户等实现认证了的重要用户的登录进行管理。登录方式涵盖本地液晶屏

登录、私有配置软件登录、FTP登录、HTTP登录等方式。

.3要求加强

无。

.4依赖要求

FIA_IAM.2；FIA_LGM.1。

FIA_LGM.4多次登录失败行为

.1要求

现场测控设备应支持当安全策略规定的一段时间内失败的登录尝试次数超过了安全策略中要求的

值，设备执行限制机制。

.2要求说明

限制机制包括对用户进行锁定、发出警报等。

.3要求加强

FIA_LGM.4多次登录失败行为的加强要求包括：

a)设备支持管理员对锁定前的登录失败次数和解锁方式进行配置。

.4依赖要求

FIA_IAM.2；FIA_LGM.1。

FIA_LGM.5认证反馈

.1要求

现场测控设备应在认证过程中对认证的返回信息模糊化，以免非授权人员利用这些信息。

.2要求说明

反馈信息应不包括未授权人员可以利用的危害认证机制的信息。

.3要求加强

无。

11

GB/TXXXXX—XXXX

.4依赖要求

FIA_IAM.2。

6.2FUC类：使用控制

6.2.1类描述

使用控制的目的是为了保护系统，在用户发起请求之前，确定每个请求访问设备或系统的用户的标

识和权限，并根据权限执行所请求的操作，并进行监视。

6.2.2FUC_ACA族：访问控制授权

族描述

工控系统现场测控设备应具备为不同的访问用户分配权限的能力。

权限包括设备使用层面的运行数据查看、配置参数变更；系统应用层面的控制命令下发、定值下发、

数据量采集。

FUC_ACA.1授权项管理

.1要求

现场测控设备应支持对授权项的管理。

.2要求说明

需要授权的典型功能包括：

——查看数据：查看数据是指能够查看变电站设备的运行数据（电压，电流，功率，状态，报警等）。

——查看配置设置：查看配置设置指的是查看设备的配置，如标值，通信地址，可编程的逻辑程序，

固件版本号。

——配置变更：配置变更是指下载和上传装置的配置文件，和/或变更现有的配置。

——固件变更：固件变更指的是不需要变更相应硬件的新固件加载。

——帐户管理：创建、删除或修改帐户内容。

——审计日志：审计日志是能够指查看和下载审计日志。

——控制命令：控制命令指上位机对设备下发控制命令。

授权项管理包括对设备使用层面的权限管理，依据配置角色、查看角色、审计角色等角色分配权限。

另外还包括整个工控系统层面上，其他Server、Client与现场设备实施采集或控制的权限。

.3要求加强

无。

.4依赖要求

无；

FUC_ACA.2基于角色的访问控制

.1要求

现场测控设备的访问控制功能应该提供支持基于角色的访问控制策略的能力。

12

GB/TXXXXX—XXXX

.2要求说明

基于角色的访问控制根据具体的用户访问权限级别来定义用户角色，用户在成功认证后被授予与分

配的角色对应的权限。对于功能相对简单的设备，现场测控设备的用户角色和权限可以在出厂时便配置

完成，如配置角色用户、查看角色用户、审计角色用户、FTP应用访问角色、控制上位机角色等。设备

使用层面的用户也可能是固定的，如只有一个查看用户、一个配置用户、一个审计用户和一个管理员用

户。

.3要求加强

无。

.4依赖要求

FIA_IAM.1。

FUC_ACA.3管理员用户

.1要求

现场测控设备访问控制功能应该支持管理员用户角色，管理员主要负责用户账户管理和安全功能管

理。

.2要求说明

只有管理员角色权限允许建立和管理其他账号。对于功能简单的设备，管理员角色、配置用户角色

和审计用户角色可以由一个用户完成，并没有复杂的用户管理模式。系统运行中用户和操作人员的对应

关系靠“操作票”等管理手段实现。

.3要求加强

无。

.4依赖要求

FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。

FUC_ACA.4最小权限原则

.1要求

用户仅具备完成任务所需的最小权限。

.2要求说明

设备使用层面上，新建的用户ID仅具有最小的访问控制权限，应由管理员来根据策略提升对应帐号

的权限。系统应用层面上，现场设备的对端设备（上位机或其他现场设备）对设备的访问也应基于最小

权限，如只能访问某一服务端口、只能进行某一类操作。

.3要求加强

无。

.4依赖要求

13

GB/TXXXXX—XXXX

FIA_IAM.1；FUC_ACA.1。

FUC_ACA.5分权管理

.1要求

现场测控设备应支持用户修改重要的参数或进行重要的控制操作的分权管理。

.2要求说明

分权管理的典型过程是操作用户和审核用户合作获得访问设备数据或执行控制操作的权限。主要是

针对重要操作流程的安全机制。该功能主要在系统层面实现，用于重要控制操作的执行和确认过程。

.3要求加强

无。

.4依赖要求

FIA_IAM.1；FUC_ACA.1；FUC_ACA.2。

6.2.3FUC_SEC族：会话控制

族描述

工控系统现场测控设备应具备对设备使用用户会话进行控制的能力，如来自配置用户或配置应用的

访问。主要通过终止或锁定超时会话保证会话的安全性。

FUC_SEC.1本地会话超时锁定

.1要求

当设备使用用户通过本机控制面板与设备的会话在策略规定的一段时间内都不活动，设备应锁定会

话。

.2要求说明

会话锁定应一直保持到用户重新登录。

.3要求加强

FUC_SEC.1本地会话超时锁定的加强要求包括：

a)设备支持管理员对会话锁定前的不活动时间进行配置。

.4依赖要求

无。

FUC_SEC.2网络会话超时终止

.1要求

工控系统现场测控设备应在网络设备使用用户与设备的会话在策略规定的一段时间内不活动时，对

会话进行终止。

14

GB/TXXXXX—XXXX

.2要求说明

用于设备的配置用户的网络访问，尤其是远程访问，不对系统应用用户进行限制。如果会话通过网

络是具有足够的物理访问控制机制的可信网络，也可以依照本地会话锁定进行控制。

.3要求加强

FUC_SEC.2网络会话超时终止的加强要求包括：

a)设备支持管理员会话终止前的不活动时间进行配置。

.4依赖要求

无。

6.2.4FUC_ATC族：审计内容的产生

族描述

工控系统现场测控设备应能够产生安全性事件和重要生产活动的审计信息。为保证设备的应用性

能，审计行为可以通过设备的附加模块或系统附加设备实现。

FUC_ATC.1审计事件

.1要求

工控系统现场测控设备应具备审计功能，对重要的安全性事件和重要生产活动进行审计。

.2要求说明

管理层面上，应根据设备和设备运行环境的风险评估结果决定需要审计的事件。

典型的重要设备使用事件包括：

——登录成功：用户成功（本地或远程）登录设备；

——非法登录尝试：用户连续多次输入口令错误；

——正常退出：用户发起的退出；

——超时退出：在预先定义好的一段时间内不活动，系统注销用户此次登陆；

——访问配置：将配置文件从设备下载存储到外部设备中（例如，计算机，记忆棒，光盘）；

——配置更改：在设备中传入新配置或者通过面板输入新配置参数，使设备的配置发生改变；

——固件更换：在内存中增加新的设备运行固件；

——创建用户名/口令或更改：创建新的用户名/口令或者修改帐户权限；

——删除用户名/口令：删除用户名/口令；

——访问审计记录：用户查看日志或将日志保存在外部设备或存储空间（计算机、内存条、光盘）；

——修改时间/日期：用户要求修改时间和日期。

典型的重要生产活动包括：

——参数修改：上位机或其它设备修改设备的开关量、档位等参数；

——设备重启：由于断电、按下重启按钮、修改上电顺序或配置修改导致的设备重启；

——非法连接尝试：不符合访问控制策略的连接尝试，如连接来自非法的IP、MAC或访问的是不允

许连接的端口；

审计事件要与设备具备和开启的安全功能相对应，如不具备访问控制功能的设备不需要记录“非法

连接尝试”事件。

15

GB/TXXXXX—XXXX

.3要求加强

FUC_ATC.1审计事件的加强要求包括：

a)设备支持管理员对需要审计的事件清单进行配置。

.4依赖要求

FIA_LGM.2；FIA_LGM.4；FDF_NAC.2；FRA_BUC.1。

FUC_ATC.2审计记录的内容

.1要求

工控系统现场测控设备或从事审计功能的组件的审计记录中应包含足够的可用于追踪与分析安全

事件的内容。

.2要求说明

根据审计记录，用户能够确定有哪些事件发生，事件发生时间，事件来源和事件的结果。大多数的

审计记录内容包括：

事件的日期和时间；

事件来源（例如，用户ID、设备ID、设备IP等）；

事件的操作；

事件的结果（成功或失败）。

.3要求加强

FUC_ATC.2审计记录的内容的加强要求包括：

a)设备支持管理员对审计记录的内容进行配置。

.4依赖要求

FUC_ATC.1。

FUC_ATC.3审计的时间戳

.1要求

工控系统现场测控设备或从事审计功能的组件的审计记录中的时间的产生应基于“系统时间”。

.2要求说明

系统时间是指工控系统内同步的时间，以便各种来源的事件都可以准确地和一个时间基准比对，准

确地判断事故。

.3要求加强

无。

.4依赖要求

无。

FUC_ATC.4用户关联

16

GB/TXXXXX—XXXX

.1要求

工控系统现场测控设备或从事审计功能的组件中记录的每个审计事件都应与引起该事件的用户相

关联。

.2要求说明

无。

.3要求加强

无。

.4依赖要求

FIA_IAM.1。

6.2.5FUC_ATS族：审计信息的存储

族描述

工控系统现场测控设备应能够存储并保护安全性事件和重要生产活动的审计信息。

FUC_ATS.1审计容量

.1要求

工控系统现场测控设备应具备审计功能，对重要的安全性事件和重要生产活动进行审计。

.2要求说明

如果由工控系统现场测控设备自身完成审计功能，那么设备能维护一个大小合理的审计存储空间，

在满足审计功能的同时，保证不影响设备的可用性。

.3要求加强

FUC_ATS.1审计容量的加强要求包括：

a)设备支持管理员对需要审计的事件清单进行配置。

.4依赖要求

无。

FUC_ATS.2审计故障告警

.1要求

工控系统现场测控设备或从事审计功能的组件应在审计失败时发出适当的告警。

.2要求说明

告警的方式包括亮警示灯、鸣笛等。审计处理失败包括软件或硬件错误、生成审计记录过程中的错

误、审计存储空间满载等。

.3要求加强

17

GB/TXXXXX—XXXX

FUC_ATS.2审计故障告警的加强要求包括：

a)设备支持管理员对审计存储空间满载时，设备能自动执行的操作进行配置，如覆盖旧的审计记

录或停止生成审计记录等。

.4依赖要求

FUC_ATS.1。

FUC_ATS.3审计信息保护

.1要求

工控系统现场测控设备或从事审计功能的组件应保护审计信息和审计工具不被非授权访问、修改和

删除。

.2要求说明

应保证只有授权用户可以对审计信息进行操作。可通过增加校验码实现审计信息的防篡改。

.3要求加强

FUC_ATS.3审计信息保护的加强要求包括：

a)设备为审计信息提供基于密码学的保护功能。

.4依赖要求

FUC_ACA.1。

6.2.6FUC_ATR族：审计信息的查阅

族描述

工控系统现场测控设备应支持用户对审计数据进行查阅。

FUC_ATR.1读取审计信息

.1要求

工控系统现场测控设备或从事审计功能的组件应保证以便于用户理解的方式提供审计记录，且只有

授权用户可以读取审计记录。

.2要求说明

只有授权用户具备获得和解释审计信息的能力。用户是人员用户时，信息必须为人类可理解的方式

表示；用户为外部IT实体时，信息必须以电子方式无歧异的表示。

.3要求加强

无。

.4依赖要求

FUC_ACA.1；FUC_ATS.3。

FUC_ATR.2系统范围审计

18

GB/TXXXXX—XXXX

.1要求

工控系统现场测控设备或从事审计功能的组件应具备功能，能够将自身的审计记录发送给其它设备

进行更高级别的审计。

.2要求说明

大多数嵌入式设备的审计信息存储容量是有限的，最好能从系统层面来使用工具对系统范围内所有

设备和主机的审计记录进行过滤和分析，这同时也要求设备的审计信息格式是标准的，可以实现统一审

计的。

.3要求加强

无。

.4依赖要求

无。

FUC_ATR.3审计报告的生成

.1要求

工控系统现场测控设备或从事审计功能的组件应具备审计归纳和报告功能，实现对审计信息的归

纳、审查。报告工具支持在不改变原始审计记录的情况下作安全事件的事后调查。

.2要求说明

一般情况下，审计信息的归纳和报告的生成会在一个独立的信息系统中执行，比如在系统范围审计

工具中实现。

.3要求加强

无。

.4依赖要求

FUC_ATR.2。

6.3FDI类：数据完整性

6.3.1类描述

对数据的完整性进行保护的目的是防止数据被篡改，主要针对危险的开放环境中传输的数据或存储

的数据。

6.3.2FDI_DSI族：数据存储完整性

族描述

在工控系统现场测控设备上对存储数据的完整性进行保护，防止软件和信息被未授权篡改。

对存储数据的完整性保护不仅仅是使用访问控制手段。如果设备是放置在物理上安全的环境内可以

不在设备上进行存储数据完整性的保护。

19

GB/TXXXXX—XXXX

FDI_DSI.1安全功能检测

.1要求

工控系统现场测控设备应具备机制验证安全保护功能的执行情况，在发生异常情况时发出报告。

.2要求说明

设备如果不具备安全功能自检，那就要具备其他补偿机制或者判定风险是可接收的。设备厂商或集

成商应提供如何测试所设计的安全措施的指南。

.3要求加强

FDI_DSI.1安全功能检测的加强要求包括：

a)设备提供接口并支持工控系统层面的整体安全功能自动验证与报警。

.4依赖要求

FUC_ATC.1。

FDI_DSI.2错误处理

.1要求

工控系统现场测控设备应识别和处理错误情况并迅速产生安全相关错误消息。

.2要求说明

错误消息中应仅包含有能够与定位处理某一特定问题的信息，而不应提供可被恶意分子用来发起信

息安全攻击的信息。

.3要求加强

无。

.4依赖要求

无。

FDI_DSI.3应用特定语法验证

.1要求

工控系统现场测控设备应检查输入信息的一致性、完整性、有效性和真实性。

.2要求说明

外部源输入的数据主要包括两类：

——应用输入：用来作为过程控制的输入；

——程序配置：用于对设备进行状态变更。

可采用加密机制防止代码被篡改。通过本地控制面板或配置软件输入的参数应可见，防止输入被设

备错误的理解为命令。

.3要求加强

20

GB/TXXXXX—XXXX

无。

.4依赖要求

无。

FDI_DSI.4数据的非可执行性

.1要求

工控系统现场测控设备应将数据和可执行代码分别存储在不同的内存空间，并能够阻止数据内存空

间内的代码执行。

.2要求说明

可以使用支持硬件MMU的OS，或者支持分离内存硬件设计的CPU（如68000系列芯片组）。

.3要求加强

无。

.4依赖要求

无。

FDI_DSI.5静态数据防篡改保护

.1要求

工控系统现场测控设备应具备防止对静态数据进行非授权写操作的保护机制（硬件和/或软件）。

.2要求说明

可以使用支持硬件MMU的OS，或者支持分离内存硬件设计的CPU（如68000系列芯片组）。工控系统

现场测控设备应具备基本的对用户应用配置数据、可执行代码的未授权修改、删除或插入的防护机制。

如果工控系统现场测控设备具有操作系统，则应具备基本的机制防止未授权修改产品操作系统和修改、

删除或插入运行数据的操作。工控系统现场测控设备应能够自动检测对内存中的应用配置数据的修改，

这些数据可以被修改，但是在一般操作中并不会自动修改。工控系统现场测控设备应能够自动检测对内

存中的可执行代码的修改与插入。这些数据可以被修改，但是在一般操作中并不会自动修改，也不会有

新的代码插入。因此防护主要针对当可执行代码的修改和加载不是厂商的授权版本更新的时候。工控系

统现场测控设备应能够自动检测对内存中的操作系统配置的修改。操作系统配置可能被修改，但是在一

般操作中并不会自动修改。因此防护主要针对当操作系统配置的修改不是厂商的授权版本更新的时候。

典型操作包括非法修改处理系统异常的中断向量表和进程调度算法。

.3要求加强

FDI_DSI.5静态数据防篡改保护的加强要求包括：

a)设备应具备基于密码学的静态数据未授权修改的防护机制。

.4依赖要求

无。

21

GB/TXXXXX—XXXX

FDI_DSI.6写入保护

.1要求

工控系统现场测控设备应具备防止对静态数据进行非授权写操作的保护机制（硬件和/或软件）。

.2要求说明

本项要求主要用于防止对可以采用阻断编程电压或通过MMU进行写操作来阻止对FLASH进行写操作。

.3要求加强

无。

.4依赖要求

无。

6.3.3FDI_DTI族：数据传输完整性

族描述

工控系统现场测控设备应能保证传输信息的完整性，主要针对系统应用通信数据的安全性，例如设

备与上位机之间、设备与设备之间的通信。如果数据报文通过的网络是具有足够的物理访问控制机制的

可信网络，可以不在设备上在进行传输数据完整性的保护。

FDI_DTI.1数据包插入

.1要求

工控系统现场测控设备应具备机制抵御恶意攻击者在通信数据中插入恶意或无关数据包。

.2要求说明

主要通过添加序列码，设备对序列码的有效性进行判断，从而识别是否为无用或恶意的数据包。

.3要求加强

无。

.4依赖要求

无。

FDI_DTI.2数据包删除

.1要求

工控系统现场测控设备应具备机制抵御恶意攻击者删除数据包。

.2要求说明

主要通过添加序列码，设备判断序列码的连续性，从而识别是否存在数据包的丢失。

.3要求加强

22

GB/TXXXXX—XXXX

无。

.4依赖要求

无。

FDI_DTI.3数据包过分延迟

.1要求

工控系统现场测控设备应能够处理过度延迟的数据包。

.2要求说明

可以通过在系统应用层面上收方发送收包确认信息、使用时间窗或设定超时容忍时间来处理过渡延

迟的数据包。

.3要求加强

无。

.4依赖要求

无。

FDI_DTI.4数据包重放

.1要求

工控系统现场测控设备应具备机制抵御数据包的重放。

.2要求说明

主要通过添加序列码和时间标签，设备判断序列码和时间标签是否新鲜，从而识别是否存在数据包

的重放。

.3要求加强

无。

.4依赖要求

无。

FDI_DTI.5数据防篡改

.1要求

工控系统现场测控设备应具备机制来识别对通信信息的篡改。

.2要求说明

检测通信过程中出现的错误的典型机制为循环校验码（CRC），一般用于对抗随机错误，比如tcp

的循环校验码。

.3要求加强

23

GB/TXXXXX—XXXX

FDI_DTI.5数据防篡改的加强要求包括：

a)设备应具备基于密码学的通信信息防篡改机制。典型机制如MAC、HASH等。

.4依赖要求

无。

FDI_DTI.6会话保护

.1要求

工控系统现场测控设备应具备机制对会话过程的完整进行保护，防止中间人攻击。

.2要求说明

主要针对协议交互过程进行安全设计，防止中间人通过对协议观察分析从而加入或窃取通信会话。

.3要求加强

无。

.4依赖要求

无。

6.4FDC类：数据保密性

6.4.1类描述

对数据的保密性进行保护的目的是防止数据被窃听，主要针对危险的开放环境中传输或存储的敏感

数据。

6.4.2FDC_CRM族：加密机制

族描述

工控系统现场测控设备采用的加密机制应符合国家和行业的相关法律、法规要求。

FDC_CRM.1加密机制

.1要求

工控系统现场测控设备采用的加密机制应符合国家和行业的相关法律、法规要求。

.2要求说明

保证加密机制有效的方法是直接采用国家认证的密码模块。工控系统现场测控设备应具备所使用的

加密机制的说明文档（和第三方的认证报告），用户可以通过这些文档判断所采购的设备是否符合法律、

规章等要求。

.3要求加强

无。

.4依赖要求

24

GB/TXXXXX—XXXX

无。

6.4.3FDC_DSC族：存储数据的保密性保护

族描述

工控系统现场测控设备应能保护存储数据的保密性。如果设备是放置在物理上安全的环境内可以不

在设备上在进行存储数据保密性的保护。

FDC_DSC.1存储数据的保密性保护

.1要求

工控系统现场测控设备应具备机制保护存储数据的保密性。

.2要求说明

工控系统现场测控设备中的口令、密钥、用户隐私等敏感数据应以非明文方式存储。

.3要求加强

FDC_DSC.1存储数据的保密性保护的加强要求包括：

a)设备应具备基于密码学的存储数据保密性保护机制，如加密等。

.4依赖要求

FDC_CRM.1。

6.4.4FDC_DTC族：传输数据保密性

族描述

工控系统现场测控设备应能保证传输数据的保密性，防止未授权的通信数据窃听，主要针对口令、

密钥等安全管理数据和重要的系统应用通信数据。如果数据报文通过的网络是具有足够的物理访问控制

机制的可信网络，可以不在设备上在进行传输数据保密性的保护。

FDC_DTC.1传输数据的保密性保护

.1要求

工控系统现场测控设备应具备机制保护传输数据的保密性。

.2要求说明

传输的口令、密钥和用户隐私等敏感数据应以非明文方式传输。数据保密性保护机制可以在应用层

实现，也可以当数据在非安全域内传输时，在边界设备上实现。

.3要求加强

FDC_DTC.1传输数据的保密性保护的加强要求包括：

a)设备应具备基于密码学的传输数据保密性保护机制，如加密等。

.4依赖要求

FDC_CRM.1。

25

GB/TXXXXX—XXXX

6.5FDF类：受限的信息流

6.5.1类描述

在网络与本地通过访问控制和分区来限制不必要的数据流。

6.5.2FDF_NAC族：网络访问控制

族描述

工控系统现场测控设备应具备网络层面上的访问控制机制，主要用于保证只有合法的上位机、配置

工作站和其他现场设备对设备进行访问。

FDF_NAC.1禁用不使用端口

.1要求

工控系统现场测控设备应提供机制支持关闭不使用的或不在访问控制范围内的通信服务和物理端

口。

.2要求说明

设备上线后往往不需要使用FTP、HTTP等配置应用，此时应关闭对应的服务端口，此外用于本地配

置的固件升级物理网络端口或串口平时也应关闭。开启的端口和服务都应具备用户认证机制。

.3要求加强

无。

.4依赖要求

无。

FDF_NAC.2信息流控制

.1要求

工控系统现场测控设备应具备机制使用户能够维护流入设备的信息流的源端访问控制信息。

.2要求说明

设备的网络层面的访问控制信息包括源IP地址、MAC地址、可以访问的服务和服务中的内容有效性

和合理性，应通过这些内容实现对源端身份合法性的识别。在运行中，如果设备处于物理上安全的可信

网络中，可以不实施该条要求。该条要求也可以由其他网络设备实现，如工业防火墙，限定源端设备地

址、可以访问的服务和可以执行的操作。

.3要求加强

FDF_NAC.2信息流控制的加强要求包括：

a)设备维护公钥、对称密钥等基于密码学的设备身份认证机制以证实通信对端的身份。

.4依赖要求

FIA_IAM.1。

26

GB/TXXXXX—XXXX

FDF_NAC.3无线访问

.1要求

对于使用无线访问的工控系统现场测控设备必须能够支持在物理上关闭无线功能（如硬压板），并

且采用的无线协议必须具备安全机制。

.2要求说明

无线访问是不受物理访问限制和物理网络的边界设备限制的，所以对这种接入方式必须有足够的技

术保护措施。无线访问通过物理开关关闭后不能通过交换机或软件配置开启。无线协议应具备的安全机

制包括认证、完整性保护和加密等。

.3要求加强

FDF_NAC.3无线访问的加强要求包括：

a)设备禁用无线通信方式。

.4依赖要求

无。

6.5.3FDF_DFP族：功能分区

族描述

工控系统现场测控设备应通过分区与隔离机制实现不同功能的分离。

FDI_DFP.1应用分区

.1要求

工控系统现场测控设备应将数据获取服务与管理功能分离。

.2要求说明

应用分离的手段包括使用不同的处理单元、不同的操作系统实例、不同的网络地址、不同的端口或

其他方法。

.3要求加强

无。

.4依赖要求

无。

FDI_DFP.2安全功能隔离

.1要求

工控系统现场测控设备应将安全功能与非安全功能隔离开，使用的手段包括分区分域等，比如控制

安全功能的硬件、软件和固件的完整性和对它们的访问。

.2要求说明

27

GB/TXXXXX—XXXX

设备应为每个执行进程维护一个独立的执行域（比如地址空间）。一些老旧的工控系统可能无法做

到这一点，那么组织应在安全计划中将该情况记录下来并制定风险缓解方法。

.3要求加强

无。

.4依赖要求

无。

6.6FRA类：资源可用性

6.6.1类描述

这一类要求的目的是确保设备灵活应对不同类型的拒绝服务事件，并保持设备在紧急情况下能够保

持业务连续性。

6.6.2FRA_DSP族：拒绝服务保护

族描述

工控系统现场测控设备应能够抵御DoS攻击，或降低攻击的影响。

在实际防护中还要综合考虑网络上的隔离手段，例如在网络边界设备上降低DoS攻击成功的可能性。

FRA_DSP.1数据泛洪保护

.1要求

工控系统现场测控设备应能够抵御一定的数据泛洪攻击或降低攻击的影响，保证重要业务功能的通

信。

.2要求说明

常用的抵御泛洪攻击或限制其影响的机制包括现场设备在遭遇泛洪攻击时，以降级模式（限速）运

行直至攻击结束；在网络边界上使用数据包过滤设备。

.3要求加强

无。

.4依赖要求

无。

FRA_DSP.2协议fuzz保护

.1要求

工控系统现场测控设备应能够容忍针对通信协议的fuzz攻击。

.2要求说明

协议fuzz攻击的防护主要依靠设备开启的服务的开发实现过程的安全水平。

28

GB/TXXXXX—XXXX

.3要求加强

无。

.4依赖要求

无。

6.6.3FRA_BUC族：业务连续性

族描述

工控系统现场测控设备应具备业务连续性保护机制。

FRA_BUC.1关键服务连续性

.1要求

工控系统现场测控设备即使发生故障也能保证重要的业务功能。

.2要求说明

设备应提供自动保护功能，应在出现故障或中断时（软件错误、缓