(高清版)GB∕T 37934-2019 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求

ICS35.040GB/T37934—2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求国家市场监督管理总局中国国家标准化管理委员会GB/T37934—2019 I 13术语和定义 1 2 26安全技术要求 26.1基本级安全技术要求 26.1.1安全功能要求 26.1.2自身安全要求 36.1.3安全保障要求 56.2增强级安全技术要求 76.2.1安全功能要求 76.2.2自身安全要求 86.2.3安全保障要求 IGB/T37934—2019本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。ⅡGB/T37934—2019随着工业化与信息化的深度融合，来自信息网络的安全威胁正逐步对工业控制系统造成极大的安一种能应用于工业控制环境的网络安全隔离与信息交换系统对工业控制系统进行安全防护。应用于工业控制环境的网络安全隔离与信息交换系统与通用网络安全隔离与信息交换系统的主要——通用网络安全隔离与信息交换系统除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力。用于工业控制环境的网络安全隔离与信息交换系统除了具有通用网络安全隔离与信息交换系统的部分通用协议应用层过滤能力外，还需要具有对工业控制协议应用层——结合工业控制环境中当前的信息安全防护技术水平，以及信息安全防护不得影响系统功能的正常运行，通用网络安全隔离与信息交换系统所要求的强制访问控制要求还不能够适应于工——工业控制环境下的网络安全隔离与信息交换系统比通用网络安全隔离与信息交换系统具有更1GB/T37934—2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求、自身安全要求和安全保障2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文GB/T20279—2015信息安全技术网络和终端隔离产品安全技术要求GB/T20438.3—2017电气/电子/可编程电子安全相关系统的功能安全第3部分：软件要求GB/T20438.4—2017电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语GB/T25069—2010信息安全技术术语GB/T20279—2015、GB/T20438.4—2017和GB/T25069—2010界定的以及下列术语和定义适3.1工业控制系统industrialcontrolsyste集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。[GB/T32919—2016,定义3.1]3.23.3工业控制网络安全隔离与信息交换系统industrialcontrolsystemsecurityisolationand2GB/T37934—2019MAC:媒体接入控制(MediaAccessControl)OPC:用于过程控制的对象链接与嵌入(ObjectLinkingandEmbeddingforProcessControl)5产品描述工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界，保护的资产为工业控制网络；或者部署在生产管理层与过程监控层之间，保护的资产为过程监控层网络及现场控制层网络。此工业控制网络安全隔离与信息交换系统一般以二主机加专用隔离部件的方式组成，即由内部处理摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机。工业控制网络安全隔离与信息交换系统中的内、外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁剪了TCP/IP等公共网络协方式实现协议隔离和信息传输；二是采用一组互斥的分时切换电子开关实现内部本标准将工业控制网络安全隔离与信息交换系统安全技术要求分为安全功能、自身安全要求和安6安全技术要求产品应支持应用层的访问控制：a)支持HTTP、FTP、TELNET等应用的识别与访问控制；b)至少支持一种工业控制协议的访问控制。3GB/T37934—2019产品应支持对工业控制协议内容进行深度分析和访问控制：TCP/IP的私有协议格式传输。在为所有内部或外部网络上的主机连接进行资源分配时，安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执绝服务攻击能力。产品应保证任何用户都具有唯一的标识。使用默认值对创建的每个管理员的属性进行初始化的功能。产品应保证任何用户在执行安全功能前都要进行身份鉴别。产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超4GB/T37934—2019a)业务接口和管理接口采用不同的网络接口；b)管理接口及管理界面不存在中高风险安全漏洞。监测。产品应支持与外部时间服务器进行时间同步。产品应具备一定的容错能力：进行访问控制安全策略应用时不应该影响正常的数据通信。产品应对其提供的业务功能生成审计日志：b)识别及防护的各类攻击行为。业务日志内容至少包括：c)攻击事件的类型及描述。产品应对与自身安全相关的以下事件生成审计日志：5GB/T37934—2019b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施；b)应提供能查阅日志的工具；c)审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审a)与产品设计文档中对安全功能的描述一致；b)描述与安全功能要求一致的安全域；c)描述产品安全功能初始化过程及安全措施；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全策略被旁路。a)完整描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯。a)根据子系统描述产品结构，并标识和b)描述安全功能所有子系统间的相互作用；c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。6GB/T37934—2019开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一b)描述如何以安全的方式使用产品提供的接口；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系；f)实现安全目的所应执行的安全策略。a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维交付文档应描述为维护安全所必需的所有程序。a)若产品以软件形态提交，应在交付文档中详细描述支撑操作系统的兼容性、可靠性、安全性7GB/T37934—2019a)产品应采用具有高可靠性的硬件平台；开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述c)实际测试结果和预期的测试结果一致。.3IP/MAC地址绑定产品应支持应用层的访问控制：8GB/T37934—2019a)支持HTTP、FTP、TELNET等应用的识别与访问控制；b)至少支持两种工业控制协议的访问控制。产品应支持对工业控制协议内容进行深度分析和访问控制：围等要素进行控制。TCP/IP的私有协议格式传输。在为所有内部或外部网络上的主机连接进行资源分配时，安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。在与安全有关的操作(例如安全属性的修改、内部网络主机向外部网络主机传送信息等)被允许执产品应具备一定的抗拒绝服务攻击能力：产品应保证任何用户都具有唯一的标识。9GB/T37934—2019使用默认值对创建的每个管理员的属性进行初始化的功能。产品应为管理角色进行分级，使不同级别的管理角色具有不同的管理权限。各管理角色的权限应产品应保证任何用户在执行安全功能前都要进行身份鉴别。若其采用网络远程方式管理，还应对产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超a)应支持业务接口和管理接口采用不同的网络接口；b)管理接口及管理界面不存在中高风险安全漏洞。GB/T37934—2019进行访问控制安全策略下装及应用时不应影响正常的数据通信。产品应对其提供的业务功能生成审计日志：b)识别及防护的各类攻击行为。c)攻击事件的类型及描述。产品应对与自身安全相关的以下事件生成审计日志：b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施；f)超过保存时限的审计记录和自身审计日志的自动删除；g)审计日志和审计记录的备份与恢复；h)存储空间达到阈值报警；GB/T37934—2019c)审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审d)应支持以标准格式将审计日志外发到专用的日志服务器。a)与产品设计文档中对安全功能的描述一致；b)描述与安全功能要求一致的安全域；c)描述产品安全功能初始化过程及安全措施；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全策略被旁路。a)完整描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯；a)根据子系统描述产品结构，并标识和描述产品安全功能的b)描述安全功能所有子系统间的相互作用；c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；GB/T37934—2019开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一b)描述如何以安全的方式使用产品提供的接口；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系；f)实现安全目的所应执行的安全策略。a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识各GB/T37934—2019交付文档应描述为维护安全所必需的所有程序。开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品开发者应建立一个生命周期模型对产品的开发和维护进行的必要a)若产品以软件形态提交，应在交付文档中详细描述支撑操作系统的兼容性、可靠性、安全性a)产品应采用具有高可靠性的硬件平台；a)证实测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；a