《信息安全技術工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則》

GB/TXXXXX—XXXX

工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則

1范圍

本標準根據(jù)工業(yè)控制系統(tǒng)產(chǎn)品信息技術的特點擴展了標準GB/T18336體系的安全功能組件和安全

保障組件，定義了適合于工業(yè)控制系統(tǒng)產(chǎn)品安全評估的通用安全功能組件和安全保障組件集合。

本標準適用于對工業(yè)控制系統(tǒng)產(chǎn)品的安全保障能力進行評估，對于產(chǎn)品安全功能的設計、開發(fā)和測

試也可參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T18336.1-2015信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型求

GB/T18336.2-2015信息技術安全技術信息技術安全評估準則第2部分：安全功能要求

GB/T18336.3-2015信息技術安全技術信息技術安全評估準則第3部分：安全保障要求

GB/T30270-2013信息技術安全技術信息技術安全性評估方法

3術語和定義

GB/T18336.1和GB/T32919標準界定的術語和定義適用于本標準。

3.1

工業(yè)控制系統(tǒng)（ICS）industrialcontrolsystem

工業(yè)控制系統(tǒng)（ICS）是一個通用術語，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)

采集系統(tǒng)（SCADA），分布式控制系統(tǒng)（DCS），和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），

現(xiàn)已廣泛應用在工業(yè)部門和關鍵基礎設施中。

3.2

監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）supervisorycontrolanddataacquisitionsystem

在工業(yè)生產(chǎn)控制過程中，對大規(guī)模遠距離地理分布的資產(chǎn)和設備在廣域網(wǎng)環(huán)境下進行集中式數(shù)據(jù)采

集與監(jiān)控管理的控制系統(tǒng)。它以計算機為基礎、對遠程分布運行設備進行監(jiān)控調(diào)度，其主要功能包括數(shù)

據(jù)采集、參數(shù)測量和調(diào)節(jié)、信號報警等。SCADA系統(tǒng)一般由設在控制中心的主終端控制單元（MTU）、通

信線路和設備、遠程終端單元（RTU）等組成。

3.3

分布式控制系統(tǒng)（DCS）distributioncontrolsystem

1

GB/TXXXXX—XXXX

以計算機為基礎，在系統(tǒng)內(nèi)部（單位內(nèi)部）對生產(chǎn)過程進行分布控制、集中管理的系統(tǒng)。DCS系統(tǒng)

一般包括現(xiàn)場控制級、控制管理級兩個層次，現(xiàn)場控制級主要是對單個子過程進行控制，控制管理級主

要是對多個分散的子過程進行數(shù)據(jù)采集、集中顯示、統(tǒng)一調(diào)度和管理。

3.4

可編程邏輯控制器（PLC）programmablelogiccontroller

采用可編程存儲器，通過數(shù)字運算操作對工業(yè)生產(chǎn)裝備進行控制的電子設備。PLC主要執(zhí)行各類運

算、順序控制、定時等指令，用于控制工業(yè)生產(chǎn)裝備的動作，是工業(yè)控制系統(tǒng)的基礎單元

4縮略語

GB/T18336系列標準界定的以及下列縮略語適用于本標準。

ICSIndustryControlSystem工業(yè)控制系統(tǒng)

PLCProgrammableLogicController可編程邏輯控制器

DCSDistributedControlSystem分布式控制系統(tǒng)

HMIHumanMachineInterface人機界面

RTURemoteTerminalUnit遠程終端單元

ETREvaluationTechnicalReport評估技術報告

5概述

5.1評估對象（TOE）

本標準適用于具有信息技術的工業(yè)控制系統(tǒng)產(chǎn)品，產(chǎn)品類型包括但不限于：

a）ICS控制組件：可編程控制器（PLC）、分布式控制系統(tǒng)（DCS）、遠程終端單元（RTU）、人機

交互應用軟件（HMI）等；

b）ICS網(wǎng)絡組件：工業(yè)防火墻、網(wǎng)閘、主機防護設備、監(jiān)測審計設備等；

評估對象（TOE）被定義為一組可能包含指南的軟件、固件和/或硬件的集合。TOE的定義較靈活，

未局限于公共理解的工業(yè)控制系統(tǒng)產(chǎn)品，TOE可以是一個產(chǎn)品、一個產(chǎn)品的一部分、一種不可能形成產(chǎn)

品的獨特技術等。因此對于TOE的范圍確定尤為重要，對TOE只包含產(chǎn)品某部分的評估不應該與整個產(chǎn)品

的評估相混淆。對于產(chǎn)品不涉及信息技術的部分可以不納入評估范圍，如對于未采用信息技術的工業(yè)控

制系統(tǒng)的傳感器、執(zhí)行器等產(chǎn)品是不適合作為評估對象的。

對于存在多種方法配置的產(chǎn)品，如以不同的方法安裝、使用不同的啟用或禁用選項等，應明確TOE

的安全配置，其中每種配置必須滿足TOE的指定要求，并寫入TOE指南性文檔，TOE指南（僅允許一種配

置或者在安全相關方面沒有不同的配置）通常與產(chǎn)品指南（允許多種配置）有所不同。

5.2本標準目標讀者及適用范圍

本標準適用于ICS產(chǎn)品的開發(fā)者和評估者。

ICS產(chǎn)品開發(fā)者在確定TOE范圍及預期應用環(huán)境后，對TOE進行安全問題定義，明確TOE安全目的和運

行環(huán)境安全目的，并標識TOE應滿足的安全要求，這些安全要求包含在一個與實現(xiàn)相關的安全目標（ST）

文檔中，開發(fā)者依據(jù)本標準定義的評估保障等級要求提供相關的證據(jù)給評估者。

TOE評估者依據(jù)開發(fā)者提供的ST文檔評估確定TOE和運行環(huán)境的充分性，也即TOE安全目的和運行環(huán)

境安全目的足以對抗威脅。評估者依據(jù)開發(fā)者提供的評估證據(jù)評估TOE的正確性，為確定TOE的正確性，

2

GB/TXXXXX—XXXX

可以執(zhí)行的評估活動包括測試（獨立性測試和穿透性測試）、檢查TOE的各種設計表示、檢查TOE開發(fā)環(huán)

境的安全等。

本標準的適用范圍包含從產(chǎn)品安全需求分析開始到產(chǎn)品生命周期中的交付處理階段（即截止到產(chǎn)品

從開發(fā)者安全交付到使用者手中）。產(chǎn)品在系統(tǒng)集成階段和運營階段的安全屬性不在本標準的評估范圍

內(nèi)，該階段的部分安全屬性可通過運行環(huán)境安全目的來表述。

5.3本標準與GB/T18336和GB/T30270的關系

GB/T18336標準針對安全評估中的信息技術（IT）產(chǎn)品的安全功能及其安全保障措施提供了一套通

用要求，GB/T30270標準提出了依據(jù)GB/T18336進行信息技術安全評估時的評估方法。本標準以GB/T

18336和GB/T30270標準作為基本依據(jù)，根據(jù)ICS產(chǎn)品自身的顯著特點及應用環(huán)境的特殊性對GB/T

18336.2部分的安全功能組件和GB/T18336.3部分的安全保障組件進行了擴展，并提出適用于ICS產(chǎn)品的

通用技術要求及評估準則。

GB/T18336.1部分的一般模型、剪裁安全要求、保護輪廓（PP）和安全目標（ST）的概念適用于本

標準，其內(nèi)容不在本標準內(nèi)累述。

GB/T18336.2部分和GB/T18336.3部分被重用的安全功能組件和安全保障組件適用于本標準，其內(nèi)

容不再本標準內(nèi)累述。

6擴展組件定義

ICS產(chǎn)品與傳統(tǒng)IT產(chǎn)品相比，在物理環(huán)境、網(wǎng)絡環(huán)境、性能要求及防護策略等方面存在很多的差異

（參見附錄A），本部分針對既有GB/T18336.2安全功能組件和GB/T18336.3安全保障組件不能充分解

釋ICS產(chǎn)品安全目的時，對組件進行了擴展和重新定義，擴展和重定義組件在組件名稱后加上“_EXT”表

示。

6.1安全組件擴展列表

安全功能組件擴展如表1所示：

表1安全功能擴展組件列表

安全功能類組件標識符組件名稱

FAU_SAA_EXT.5基本白名單策略的異常檢測

FAU類：安全審計FAU_SAA_EXT.6工業(yè)控制通信協(xié)議解析

FAU_SAR_EXT.4審計數(shù)據(jù)報送

FDP_IDP_EXT.1輸入數(shù)據(jù)驗證

FDP_IDP_EXT.2輸入數(shù)據(jù)雙重確認

FDP_SDI_EXT.1軟件/固件和信息完整性

FDP_SDC_EXT.1存儲數(shù)據(jù)保密性

FDP類：用戶數(shù)據(jù)保護

FDP_DTI_EXT.1TOE與外部實體傳送數(shù)據(jù)完整性

FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

FDP_DTC_EXT.1TOE與外部實體傳送數(shù)據(jù)保密性

FDP_DTC_EXT.2TOE內(nèi)部傳送數(shù)據(jù)保密性

FIA_UAU_EXT.1外部實體鑒別

FIA類：標識和鑒別

FIA_UID_EXT.3唯一性標識

3

GB/TXXXXX—XXXX

FPT_PHP_EXT.4物理環(huán)境要求

FPT_PHP_EXT.5物理篡改防護

FPT類：TSF保護

FPT_FLS_EXT.2確定性輸出

FPT_STM_EXT.2時間同步

FRU類：資源利用FRU_RUB_EXT.1數(shù)據(jù)備份

安全保障組件擴展如表2所示：

表2安全保障擴展組件列表

安全保障類組件標識符組件名稱

ATE_TES_EXT.1測試人員

ATE類：測試

ATE_TES_EXT.2獨立的測試人員

6.2安全功能組件擴展定義

6.2.1安全審計分析（FAU_SAA）

類別

所屬類別為GB/T18336.2中定義的FAU類：安全審計。

族行為

本族定義了一些采用自動化手段分析系統(tǒng)活動和審計數(shù)據(jù)以尋找可能的或真正的安全侵害的要求。

這種分析通過入侵檢測來實現(xiàn)，或?qū)撛诘陌踩趾ψ鞒鲎詣禹憫?/p>

基于檢測而采取的動作，可用FAU_ARP“安全審計自動響應”族來規(guī)范。

ICS的基于白名單的監(jiān)視探測保護策略與原有的“基于輪廓的異常檢測”不同，其內(nèi)容不僅包含用

戶操作行為，還包括進程、信息流等其他實體，故擴展了組件FAU_SAA_EXE.5“基于白名單策略的異常

監(jiān)測”?；贗CS狀態(tài)數(shù)據(jù)和通信數(shù)據(jù)進行行為分析前，需要對工業(yè)控制協(xié)議進行解析，本族擴展了組

件FAU_SAA_EXT.6“工業(yè)控制通信協(xié)議解析”。

組件層次

FAU_SAA_EXT.5“基于白名單策略的異常監(jiān)測”，提供基于信任列表的對異常行為進行監(jiān)測的能力。

FAU_SAA_EXT.6“工業(yè)控制通信協(xié)議解析”，要求具備解析工業(yè)控制通信協(xié)議的能力。

FAU_SAA_EXT.5管理

FMT中的管理功能可考慮下列行為：

對信任列表的維護（添加、修改、刪除）。

FAU_SAA_EXT.6管理

尚無預見的管理活動。

FAU_SAA_EXT.5審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a）最小級：開啟和關閉任何分析機制；

b）最小級：通過工具軟件實現(xiàn)自動響應。

4

GB/TXXXXX—XXXX

FAU_SAA_EXT.6審計

尚無預見的可審計事件。

FAU_SAA_EXT.5基于白名單策略的異常檢測

從屬于：無其他組件。

依賴關系：無

.1FAU_SAA_EXT.5.1

TSF應能定義和維護基于[賦值：被信任的實體]的信任列表，并基于該信任列表監(jiān)測自身或被保護

對象的行為，一旦檢測到異常，應采取[賦值：動作列表]。

應用說明：

a)被信任的實體可以是系統(tǒng)進程、用戶組、信息流特征等；

b)動作列表可以賦值無。

FAU_SAA_EXT.6工業(yè)控制通信協(xié)議解析

從屬于：無其他組件。

依賴關系：無。

.1FAU_SAA_EXT.6.1

TSF應支持[賦值：工業(yè)控制通信協(xié)議名稱]的解析，解析協(xié)議的深度包括[選擇：工業(yè)控制協(xié)議的

協(xié)議名稱、指令格式、指令類型和指令參數(shù)、[賦值：其他參數(shù)]]。

應用說明：

a)常見的工控以太網(wǎng)協(xié)議包括（但不限于）Modbus/TCP協(xié)議、OPCClassic協(xié)議、DNP3.0協(xié)議、

SIEMENSS7協(xié)議、EtherNet/IP協(xié)議等；互聯(lián)網(wǎng)協(xié)議主要包括（但不限于）HTTP、FTP、TELNET、

SNMP等協(xié)議。除上述網(wǎng)絡外，還可以支持串行總線網(wǎng)絡、工業(yè)無線網(wǎng)絡、工業(yè)互聯(lián)網(wǎng)等與TCP/IP

網(wǎng)絡技術不同的協(xié)議；

b)賦值協(xié)議名稱可以是一種或多種；

c)選擇可以選擇一個或多個。

6.2.2安全審計查閱（FAU_SAR）

類別

所屬類別為GB/T18336.2中定義的FAU類：安全審計。

族行為

本族定義了一些有關審計工具的要求，授權(quán)用戶可使用這些審計工具查閱審計數(shù)據(jù)。

由于部分ICS產(chǎn)品存儲和處理能力有限，可采用集中審計模式，本族擴展了FAU_SAR_EXT.4“審計

數(shù)據(jù)報送”組件。

組件層次

FAU_SAR_EXT.4“審計數(shù)據(jù)報送”，TSF可將審計發(fā)數(shù)據(jù)報送給其他設備。

FAU_SAR_EXT.4管理

5

GB/TXXXXX—XXXX

FMT中的管理功能可考慮下列行為：

a)維護（刪除、修改、添加）接受報送審計數(shù)據(jù)的設備組；

b)維護根據(jù)審計數(shù)據(jù)屬性過濾需要發(fā)送的審計數(shù)據(jù)。

FAU_SAR_EXT.4審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a)基本級：審計數(shù)據(jù)報送的失敗動作。

FAU_SAR_EXT.4審計數(shù)據(jù)報送

從屬于：無其他組件。

依賴關系：FTP_ITC.1可信信道。

.1FAU_SAR_EXT.4.1

TSF應能夠提供以工業(yè)標準格式實時將自身審計記錄通過可信信道報送給其他設備，進行更高級別

的審計。

應用說明：

a)有些嵌入式設備的審計信息存儲容量是有限的，宜從系統(tǒng)層面使用工具對系統(tǒng)范圍內(nèi)所有設備

和主機的審計記錄進行過濾和分析，設備的審計信息格式應該是統(tǒng)一的。

6.2.3輸入數(shù)據(jù)保護（FDP_IDP_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護。

族行為

本族為擴展的FDP_IDP族，以描述TOE關鍵數(shù)據(jù)安全功能的保護能力。要求對輸入到TOE的關鍵數(shù)據(jù)

或動作進行輸入內(nèi)容和語法的合法性、安全性進行驗證，并對關鍵操作執(zhí)行雙重批準確認。

組件層次

FDP_IDP.EXT.1“輸入數(shù)據(jù)驗證”，要求檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE

應采取相關的動作。

FDP_IDP.EXT.2“輸入數(shù)據(jù)雙重確認”，要求對輸入到TOE的關鍵數(shù)據(jù)或動作執(zhí)行雙重確認操作。

FDP_IDP_EXT.1管理

FMT中的管理功能可考慮下列行為：

a)對行為的管理（添加、刪除或修改）

FDP_IDP_EXT.2管理

尚無預見的管理活動。

FDP_IDP_EXT.1審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a)最小級：檢測到錯誤后而采取的動作。

6

GB/TXXXXX—XXXX

FDP_IDP_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a)最小級：雙重確認的成功執(zhí)行；

b)基本級：雙重確認的未成功執(zhí)行。

FDP_IDP.EXT.1輸入數(shù)據(jù)驗證

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_IDP_EXT.1.1

TOE應檢測輸入信息的安全性和合法性，一旦檢測到錯誤后，TOE應采取相關的動作[賦值：動作列

表]。

應用說明：

a)輸入信息包括但不限于應用輸入（如I/O輸入或其他傳輸設備傳輸?shù)臄?shù)據(jù)）和參數(shù)配置（如授

權(quán)人員通過配置界面/控制面板輸入的參數(shù)）；

b)系統(tǒng)輸入信息的檢測包括超出預定義字段值的范圍、無效字符、缺失或不完整的數(shù)據(jù)和緩沖區(qū)

溢出等。

FDP_IDP_EXT.2輸入數(shù)據(jù)雙重確認

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_IDP_EXT.2.1

TOE應對輸入到TOE的關鍵數(shù)據(jù)或動作執(zhí)行雙重確認操作。

應用說明：

a)當需要很高級別可靠性和正確性執(zhí)行的操作時，限制雙重確認是一個普遍接受的良好實踐；

b)要求雙重批準強調(diào)正確操作失敗所導致后果的嚴重性。如對關鍵工業(yè)工程的設定值進行改變或

緊急關停裝置等。

6.2.4存儲數(shù)據(jù)的完整性（FDP_SDI）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護。

族行為

本族將存儲數(shù)據(jù)的完整性擴展到了固件、可執(zhí)行代碼等在初始啟動階段、運行階段或更新階段的完

整性保護。

組件層次

FDP_SDI_EXT.1“軟件/固件和信息完整性”，要求TOE在初始階段、運行階段或更新階段可以對固

件、可執(zhí)行代碼、關鍵配置數(shù)據(jù)等的完整性錯誤進行檢測。

FDP_SDI_EXT.1管理

7

GB/TXXXXX—XXXX

尚無預見的管理活動。

FDP_SDI_EXT.1審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a）最小級：檢查數(shù)據(jù)/固件/代碼完整性的成功嘗試，包括檢測的結(jié)果；

b）基本級：檢查數(shù)據(jù)/固件/代碼的所有嘗試，如果成功的話，還包括加測的結(jié)果；

c）詳細級：出現(xiàn)的完整性錯誤的類型。

FDP_SDI_EXT.1軟件/固件和信息完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_DSI.EXT.1.1

TOE應在[選擇：初始化啟動、正常運行期間、代碼/固件更新]時，對TOE[選擇：關鍵配置數(shù)據(jù)、

可執(zhí)行代碼、固件]的未授權(quán)修改、刪除或插入等完整性錯誤進行檢測。

.2FDP_DSI.EXT.1.2

當檢測到完整性錯誤后，TOE應采取相關的動作[賦值：動作列表]。

應用說明：

a)本要求針對當存儲數(shù)據(jù)、軟件/固件被未授權(quán)更改后的檢測和防護；

b)更新中檢測到加載的不是廠商授權(quán)版本情況應進行防護。

6.2.5存儲數(shù)據(jù)的保密性（FDP_SDC_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護。

族行為

本族為擴展的FDP_SDC族，以描述TSF可保護敏感數(shù)據(jù)安全的能力。規(guī)定了存儲數(shù)據(jù)的保密性，如鑒

別數(shù)據(jù)、密鑰、證書、關鍵配置等敏感數(shù)據(jù)。

組件層次

FDP_SDC.EXT.1“存儲數(shù)據(jù)的保密性”，要求有能力保護存儲在TOE中的敏感數(shù)據(jù)不被未授權(quán)泄露。

FDP_SDC_EXT.1管理

尚無預見的管理活動。

FDP_SDC_EXT.1審計

尚無預見的審計活動。

FDP_SDC_EXT.1存儲數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關系：無依賴關系。

8

GB/TXXXXX—XXXX

.1FDP_SDC_EXT.1.1

TSF應具備能力保護存儲在TSF中的敏感數(shù)據(jù)不被未授權(quán)泄露。

應用說明：保密性機制可以采取非明文或加密存儲等。

6.2.6數(shù)據(jù)傳輸完整性（FDP_DTI_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護。

族行為

本族為擴展的FDP_DTI族，確保數(shù)據(jù)在TOE內(nèi)部及TOE與外部實體之間傳送時不被非法篡改，數(shù)據(jù)的

錯誤傳輸對ICS系統(tǒng)基本功能的運行會產(chǎn)生嚴重影響，TOE應能提供數(shù)據(jù)完整性保護及驗證數(shù)據(jù)完整性的

能力。

組件層次

FDP_DTI_EXT.1“TOE與外部實體傳送數(shù)據(jù)完整性”，TOE應在與外部實體之間發(fā)送及接收數(shù)據(jù)時提

供數(shù)據(jù)完整性保護的能力。

FDP_DTI_EXT.2“TOE內(nèi)部傳送數(shù)據(jù)完整性”，TOE應在內(nèi)部發(fā)送和接收數(shù)據(jù)時提供數(shù)據(jù)完整性保護

的能力。

FDP_DTI_EXT.1、FDP_DTI_EXT.2管理

尚無預見的管理活動。

FDP_DTI_EXT.1、FDP_DTI_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a）最小級：數(shù)據(jù)傳輸失敗的記錄。

FDP_DTI_EXT.1TOE與外部實體傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_DTI_EXT.1.1

當TOE傳送[賦值：數(shù)據(jù)類型]到[賦值：外部實體]時，TOE應能對所傳送數(shù)據(jù)進行完整性保護（如

采用校驗碼或密碼算法等）。

.2FDP_DTI_EXT.1.2

當TOE接收[賦值：外部實體]傳送數(shù)據(jù)時，TOE應能檢測所傳送數(shù)據(jù)的修改、替換、重排、重放、

刪除、延遲等完整性錯誤，當檢測到完整性錯誤后，TOE應采取相應的動作[賦值：動作列表]。

應用說明：

a)賦值數(shù)據(jù)類型，如鑒別數(shù)據(jù)、控制數(shù)據(jù)等；

b)賦值與TOE通信的外部實體，如果有多個，應進行識別，然后分別進行描述；

c)賦值動作列表，如丟棄接收到的錯誤數(shù)據(jù)等。

9

GB/TXXXXX—XXXX

FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

FDP_DTI_EXT.2管理

尚無預見的管理活動。

FDP_DTI_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a）最小級：數(shù)據(jù)傳輸失敗的記錄。

0FDP_DTI_EXT.2TOE內(nèi)部傳送數(shù)據(jù)完整性

從屬于：無其他組件。

依賴關系：無依賴關系。

0.1FDP_DTI_EXT.2

TOE應能檢測在TOE內(nèi)部不同部分間傳送數(shù)據(jù)的[選擇：修改、替換、重排、重放、刪除、延遲]等

完整性錯誤，當檢測到完整性錯誤后，TOE應采取相關的動作[賦值：動作列表]。

應用說明：

a)選擇一個或多個完整性錯誤類型，根據(jù)實體情況來定，如果TOE屬于分布式，兩個部分位于不

同的地方，應考慮全面的完整性錯誤類型；

b)賦值動作列表，如丟棄接收到的錯誤數(shù)據(jù)等。

6.2.7數(shù)據(jù)傳輸保密性（FDP_DTC_EXT）

類別

所屬類別為GB/T18336.2中定義的FDP類：用戶數(shù)據(jù)保護。

族行為

本族規(guī)定了傳輸數(shù)據(jù)的保密性，防止未授權(quán)的通信數(shù)據(jù)竊聽，主要針對敏感數(shù)據(jù)（如鑒別數(shù)據(jù)、密

鑰、安全配置等）和系統(tǒng)重要的應用通信數(shù)據(jù)（如控制參數(shù)等）。

組件層次

FDP_DTC_EXT.1“TOE與外部實體傳送數(shù)據(jù)保密性”，TOE應在與外部實體之間發(fā)送及接收數(shù)據(jù)時提

供數(shù)據(jù)保密性保護的能力。

FDP_DTC_EXT.2“TOE內(nèi)部傳送數(shù)據(jù)保密性”，TOE應在內(nèi)部發(fā)送和接收數(shù)據(jù)時提供數(shù)據(jù)保密性保護

的能力。

FDP_DTC_EXT.1、FDP_DTC_EXT.2管理

尚無預見的管理活動。

FDP_DTC_EXT.1、FDP_DTC_EXT.2審計

尚無預見的可審計事件。

10

GB/TXXXXX—XXXX

FDP_DTC_EXT.1TOE與外部實體傳送數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_DTC_EXT.1.1

當TOE與[賦值：外部實體]傳送[賦值：數(shù)據(jù)類型]時，TOE應具備能力保護傳送數(shù)據(jù)免遭未授權(quán)泄

露（如對傳送數(shù)據(jù)進行加密防護等）。

應用說明：

a)賦值與TOE通信的外部實體，如果有多個，應進行識別，然后分別進行描述；

b)本要求指通信應用層的加密防護，而FTP_ITC.1可信信道側(cè)重傳輸層的加密防護。

FDP_DTC_EXT.2TOE內(nèi)部傳送數(shù)據(jù)保密性

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FDP_DTC_EXT.2.1

TOE應保護敏感數(shù)據(jù)在TOE不同部分間傳送時不被泄露。

應用說明：

a)TOE的不同部分物理上可以在一起或不在一起（如分布式）；

b)可以采取加密傳輸或可信信道。

6.2.8用戶標識（FIA_UID）

類別

所屬類別為GB/T18336.2中定義的FIA類：標識和鑒別。

族行為

本族定義了在執(zhí)行任何其他有TSF促成的、且需要用戶標識的動作前，要求用戶標識其身份的條件。

對于訪問TOE的外部實體標識應具備唯一性，本族擴展了FIA_UID_EXT.3“唯一性標識”組件。

組件層次

FIA_UID_EXT.3“唯一性標識”，TOE應在對外接口提供唯一性標識用戶的能力。

FIA_UID_EXT.3管理

尚無預見的管理活動。

FIA_UID_EXT.3審計

尚無預見的審計活動。

FIA_UID_EXT.3唯一性標識

從屬于：無其他組件。

依賴關系：無。

11

GB/TXXXXX—XXXX

.1FIA_UID_EXT.3.1

TSF應在對外接口提供唯一性標識用戶（人員、軟件進程和設備）的能力。

用戶說明：TOE應對外部接口用戶提供標識，如遠程網(wǎng)絡接口、上位機控制進程等，典型的標識方

式如設備的ID、MAC地址、用戶ID等，如有些不能進行的標識的實體應進行說明。

6.2.9用戶鑒別（FIA_UAU）

類別

所屬類別為GB/T18336.2中定義的FIA類：標識和鑒別。

族行為

本族在既有組件的基礎上，重新定義了外部實體在允許訪問TOE之前需滿足的行為活動。開發(fā)者必

須制定所有外部實體列表（人員、軟件進程或設備等），并在通信前通過對任何請求訪問TOE的外部實

體進行身份驗證來保護TOE，任何請求訪問TOE的外部實體，須在驗證身份后才能激活通信。

組件層次

FIA_UAU_EXT.1“外部實體鑒別”，外部實體在被鑒別前可執(zhí)行部分由TOE促成的動作列表，但若

執(zhí)行任何其他由TOE促成的動作前，必須成功被鑒別。

FIA_UAU_EXT.1管理

尚無預見的管理活動。

FIA_UAU_EXT.1審計

尚無預見的審計活動。

FIA_UAU_EXT.1外部實體鑒別

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FIA_UAU_EXT.1.1

在外部實體[選擇：人員、軟件進程、設備]被鑒別前，TOE應允許執(zhí)行代表外部實體的[賦值：由

TOE促成的動作列表]。

.2FIA_UAU_EXT.1.2

在允許執(zhí)行代表該外部實體的任何其它由TOE促成的動作前，TOE應要求每個外部實體都已被

成功鑒別。

應用說明：

a)賦值動作列表可以填無或允許的動作列表；

b)應分析和分類所有通過TOE外部接口與TOE進行交互的外部實體，分別對這些外部實體的鑒別

進行說明。

6.2.10TSF物理保護（FPT_PHP）

類別

12

GB/TXXXXX—XXXX

所屬類別為GB/T18336.2中定義的FPT類：TSF保護。

族行為

TSF物理保護組件涉及限制對TSF進行未授權(quán)的物理訪問，以及阻止和抵抗對TSF進行未授權(quán)的物理

修改或替換。

本族中組件的要求確保了TSF不被物理侵害和干擾。若滿足了這些組件要求，TSF就可以被封裝起來

使用，并可檢測出物理侵害或抵抗物理侵害。如果沒有這些組件，在物理性損害無法避免的環(huán)境中，TSF

的保護功能就會失效。關于TSF如何對物理侵害嘗試作出反應，本族也提供了要求。

為實現(xiàn)適應ICS現(xiàn)場環(huán)境對TOE的要求，擴展了FPT_PHP_EXT.4“物理環(huán)境要求”，F(xiàn)PT_PHP_EXT.5

“物理篡改防護”。

組件層次

FPT_PHP_EXT.4“物理環(huán)境要求”，規(guī)定了TOE設備在ICS中應滿足的物理環(huán)境指標要求。

FPT_PHP_EXT.5“物理篡改防護”，規(guī)定了TOE設備可以通過封裝和設計使得難以進行物理篡改。

FPT_PHP_EXT.4、FPT_PHP_EXT.5管理

尚無預見的管理活動。

FPT_PHP_EXT.4、FPT_PHP_EXT.5審計

尚無預見的可審計事件。

FPT_PHP_EXT.4物理環(huán)境要求

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FPT_PHP_EXT.4.1

TSF應具備符合下列標準[賦值：標準列表]中規(guī)定的[賦值：物理侵害類型]的[賦值：度量或等級]

的防護能力。

應用說明：

a)不同行業(yè)有不同的針對物理環(huán)境的要求，應賦值具體的標準，如標準GB/T17626等；

b)物理侵害類型可以包含電磁輻射、抗浪涌（沖擊）、高低溫、化學品侵害、IP防護等等；

c)針對每種物理侵害有些標準會規(guī)定不同的防護等級。

FPT_PHP_EXT.5物理篡改防護

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FPT_PHP_EXT.5.1

TOE應針對未授權(quán)的物理破壞提供物理防篡改的機制。

應用說明：防篡改機制可以防止攻擊者對TOE進行未授權(quán)的物理訪問，防篡改機制可以通過使用特

殊材料或設計來實現(xiàn)來實現(xiàn)，如封裝、鎖閉等。

6.2.11失效保護（FPT_FLS）

13

GB/TXXXXX—XXXX

類別

所屬類別為GB/T18336.2中定義的FPT類：TSF保護。

族行為

本族要求確保當TSF中已確定的失效類型出現(xiàn)時，該TOE總是執(zhí)行它的SFR。在ICS中，當TOE失效后

應當以不影響ICS系統(tǒng)自身的功能安全為首要目標，因此是否繼續(xù)維持執(zhí)行SFR應當根據(jù)具體情況進行分

析。本族擴展了組件FPT_FLS_EXT.2“確定性輸出”。

組件層次

FPT_FLS_EXT.2“確定性輸出”，要求在受到攻擊或TOE失效后正常操作不能保持時，設定輸出為預

定義狀態(tài)的能力。

FPT_FLS_EXT.2管理

FMT中的管理功能可考慮下列行為：

a）對預定義狀態(tài)的管理（添加、刪除或修改）。

FPT_FLS_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a)基本級：TOE失效。

FPT_FLS_EXT.2確定性輸出

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FPT_FLS_EXT.2.1

TOE在受到攻擊或失效后，如果不能維持正常操作，應輸出預先設定的安全狀態(tài)，該狀態(tài)的輸出

應考慮TOE在工業(yè)控制系統(tǒng)中的應用，不應對工業(yè)控制系統(tǒng)的安全性和可用性造成影響。

應用說明：

a)失效類型可以包括硬件故障、軟件故障、斷電等；

b)預先設定的失敗狀態(tài)由開發(fā)者根據(jù)工業(yè)控制系統(tǒng)應用環(huán)境定義，如輸出保持某一狀態(tài)或某一固

定值等。示例，如工業(yè)防火墻失效后輸出導通狀態(tài)或阻斷狀態(tài)等。

6.2.12時間戳（FPT_STM）

類別

所屬類別為GB/T18336.2中定義的FPT類：TSF保護。

族行為

本族對一個TOE內(nèi)可靠的時間戳功能提出要求，ICS系統(tǒng)的正常運行大部分依靠時間同步服務器來同

步時間，如果時間同步失敗，會影響系統(tǒng)的正常運行，本族擴展了組件FPT_STM_EXT.2“時間同步”。

組件層次

FPT_STM_EXT.2“時間同步”,TOE應提供可靠的時間戳，并可實現(xiàn)時鐘同步功能。

14

GB/TXXXXX—XXXX

FPT_STM_EXT.2管理

尚無預見的管理活動。

FPT_STM_EXT.2審計

如果PP/ST中包含F(xiàn)AU_GEN“安全審計數(shù)據(jù)產(chǎn)生”，下列行為應是可審計的：

a)基本級：時間同步失??；

b)基本級：時間源被篡改。

FPT_STM_EXT.2時間同步

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FPT_STM_EXT.2.1

TOE應具備同步TOE內(nèi)部各部分系統(tǒng)時鐘的能力，并提供統(tǒng)一的時間基準。

.2FPT_STM_EXT.2.2

TOE應保護時間源防止非授權(quán)改動，一旦改動則生成審計事件。

應用說明：ICS系統(tǒng)通常具備統(tǒng)一的時鐘源，各部分的通信需要時間同步,因此TOE應確保時間同

步的能力。

6.2.13資源備份（FRU_RUB_EXT）

類別

所屬類別為GB/T18336.2中定義的FRU類：資源利用。

族行為

本族為擴展的FIA_RUB族，要求TOE設備應在不影響正常設備使用的前提下，提供關鍵文件的識別和

定位，以及信息備份（包括系統(tǒng)狀態(tài)信息）的能力。

組件層次

FRU_RUB.EXT.1“數(shù)據(jù)備份”，要求在不影響設備正常適應的情況下，TOE設備可對信息進行備份。

FRU_RUB_EXT.1管理

尚無預見的管理活動。

FIA_RUB_EXT.1審計

尚無預見的審計活動。

FRU_RUB.EXT.1數(shù)據(jù)備份

從屬于：無其他組件。

依賴關系：無依賴關系。

.1FRU_RUB_EXT.1.1

15

GB/TXXXXX—XXXX

TOE設備應在不影響正常設備使用的前提下，提供關鍵文件的識別和定位，并根據(jù)可配置的頻率

進行信息備份的能力。

6.3安全保障組件擴展定義

6.3.1測試人員（ATE_TES）

類別

所屬類別為GB/T18336.3中定義的ATE類：測試。

目的

本族的組件涉及測試人員的組成。TOE測試人員的獨立性會影響測試結(jié)果的準確性。本族的目的是

降低測試人員在TOE測試中存在的人為錯誤風險，有助于保障未知缺陷出現(xiàn)的可能性相對較小。

組件分級

本族中的組件分級是基于測試獨立性的嚴格程度分級的。

應用注釋

在執(zhí)行測試的過程中最好確保測試人員的獨立性，可以有效的避免因開發(fā)者和測試者來自同一人或

同一部門導致的測試結(jié)果異議。

ATE_TES_EXT.1測試人員

依賴關系：ATE_FUN.1功能測試。

.1目的

本組件的目的是避免開發(fā)人員對TOE進行測試導致的測試結(jié)果誤差。

.2開發(fā)者行為元素

.2.1ATE_TES_EXT.1.1D

開發(fā)者應提供測試文檔。

.3內(nèi)容和形式元素

.3.1ATE_TES_EXT.1.1C

對TOE進行測試的測試人員與開發(fā)人員應不是同一個人。

.4評估者行為元素

.4.1ATE_TES_EXT.1.1E

評估者應確認所提供的信息滿足證據(jù)內(nèi)容和形式的所有要求。

ATE_TES_EXT.2獨立的測試人員

依賴關系：ATE_FUN.1功能測試。

.1目的

16

GB/TXXXXX—XXXX

本組件的目的是通過不同部門的獨立測試確保測試的公正性。

.2開發(fā)者行為元素

.2.1ATE_TES_EXT.2.1D

開發(fā)者應提交由獨立測試部門測試的文檔。

.3內(nèi)容和形式元素

.3.1ATE_TES_EXT.2.1C

對TOE進行測試的測試人員與開發(fā)人員應不屬于同一部門。

.4評估者行為元素

.4.1ATE_TES_EXT.2.1E

評估者應確認所提供的信息滿足證據(jù)內(nèi)容和形式的所有要求。

7ICS產(chǎn)品安全要求

本部分根據(jù)附錄B的安全問題定義，定義了適用于ICS產(chǎn)品的通用安全要求，開發(fā)者根據(jù)TOE的預期

使用環(huán)境及邊界定義，根據(jù)威脅分析結(jié)果選擇適用的安全功能要求和安全保障等級。在選擇安全功能組

件時，應考慮到組件的依賴關系。

7.1安全功能要求

7.1.1安全審計

安全審計功能有助于監(jiān)測與安全有關的事件，并能對安全侵害起到威懾作用。與安全審計功能相關

的子功能包括安全審計事件的記錄、安全審計記錄的查閱、安全審計記錄的存儲和安全審計事件的分析。

安全審計事件記錄

與安全審計事件記錄相關的安全功能組件包括：FAU_GEN.1、FAU_GEN.2和FAU_SEL.1。

a)組件FAU_GEN.1用于定義用于審計的安全事件，對ICS系統(tǒng)重要或相關的事件應該被審計，但

考慮到審計活動會影響到ICS的性能，因此開發(fā)者在考慮審計事件列表時，應考慮通常公認和

被接受的清單和配置指南。

b)組件FAU_GEN.1可被執(zhí)行反復操作，記錄網(wǎng)絡狀態(tài)數(shù)據(jù)（如MAC、IP、端口、協(xié)議等）和數(shù)據(jù)

流等信息用于監(jiān)視異常事件的出現(xiàn)。

c)組件FAU_GEN.2僅適用于處理單個用戶身份級別上可審計事件的責任追溯，對于基于用戶角色

和用戶組的訪問方式不適用本組件。

d)組件FAU_SEL.1允許安全審計事件列表可由授權(quán)管理員進行配置，如在某些特殊情況下（如審

計跡空間不足）僅選擇重要事件進行審計等。如選擇本組件，需要在FMT_SMR.1中定義被授權(quán)

修改審計列表的角色或用戶。

安全審計事件查閱

與安全審計事件查閱相關的安全功能組件包括：FAU_SAR.1、FAU_SAR.2、FAU_SAR.3和

FAU_SAR_EXT.4。

17

GB/TXXXXX—XXXX

a)組件FAU_SAR.1應授權(quán)讀取審計記錄的角色，如管理員或?qū)徲媶T，安全角色需在FMT_SMR.1

中進行定義。

b)組件FAU_SAR.2應除被授權(quán)角色外，默認設置拒絕所有用戶訪問。

c)組件FAU_SAR.3可對所記錄的審計事件進行選擇性查閱，便于對可疑事件進行統(tǒng)計和定位。

d)組件FAU_SAR_EXT.4針對存儲容量受限的設備或ICS系統(tǒng)需要進行集中審計時選用此組件，審

計事件在傳送到外部實體時應確保通道的通信安全。

安全審計事件存儲

與安全審計事件存儲相關的安全功能組件包括：FAU_STG.1、FAU_STG.2、FAU_STG.3和FAU_STG.4。

a)組件FAU_STG.1和FAU_STG.2定義防止審計跡中審計記錄的未授權(quán)修改或刪除。

b)組件FAU_STG.3和FAU_STG.4定義在發(fā)生失效事件時應確保審計記錄的可用性。開發(fā)者應根據(jù)

實際情況對TOE進行賦值。

安全審計事件分析

與安全審計事件分析相關的安全功能組件包括：FAU_ARP.1、FAU_SAA.1、FAU_SAA.3、FAU_SAA_EXT.5

和FAU_SAA_EXT.6。

a)組件FAU_ARP.1用于定義安全告警的方式，如聲音、屏幕提示、鎖定登錄等。

b)組件FAU_SAA.1、FAU_SAA.3和FAU_SAA_EXT.5采用了不同的規(guī)則來監(jiān)視審計事件的異常，開

發(fā)者根據(jù)實際情況進行選擇和賦值。典型異常事件包括用戶異常登錄次數(shù)超過限值、網(wǎng)絡流量

異常、控制數(shù)據(jù)修改異常、惡意代碼或異常進程啟動等。

c)組件FAU_SAA_EXT.6定義了對網(wǎng)絡協(xié)議（含工業(yè)控制協(xié)議）的解析能力。

7.1.2標識和鑒別

為防止外部實體未授權(quán)的登錄\訪問TOE，對要保護的資產(chǎn)造成破壞，TOE應具備標識鑒別功能。開

發(fā)者應根據(jù)TOE運行環(huán)境和威脅分析情況，在TOE的所有外部接口上考慮標識和鑒別機制的應用。

外部實體標識

TOE在對外部實體進行鑒別前，應首先具備對其進行標識的能力，尤其是需要在TOE進行注冊的用戶，

與外部實體標識相關的安全功能組件包括：FIA_UID.1、FIA_UID.2、FIA_UID_EXT.3和FIA_ATD.1。

a)組件FIA_UID.1和FIA_UID.2定義在TOE對外部實體執(zhí)行仲裁動作前，如允許建立通信連接前、

可執(zhí)行有效鑒別前，需要對外部實體進行成功標識。

b)組件FIA_UID_EXT.3要求外部實體標識應具備唯一性。

c)TSF應識別所有可能訪問TOE的外部實體，并明確其標識及對應的安全屬性、角色等，組件

FIA_ATD.1定義用戶的安全屬性，F(xiàn)MT_MSA族“安全屬性的管理”側(cè)重管理權(quán)限和職責的明確。

外部實體鑒別

對外部實體進行安全鑒別可防止未授權(quán)的訪問，與鑒別相關的安全功能組件包括：FIA_UAU_EXT.1、

FIA_UAU.5、FIA_UAU.6和FIA_AFL.1。

a)組件FIA_UAU_EXT.1定義了外部實體在訪問或登錄TOE前應成功完成鑒別。外部實體可包含人

類用戶、軟件進程或設備等，因此識別和梳理需要進行鑒別的實體是必須的。

b)組件FIA_UAU.5定義了可實現(xiàn)多重鑒別機制，常用的鑒別機制分為基于密碼、PIN等（你所知

道的）、基于令牌、智能卡等（你所擁有的）和基本生物特征的（你所具備的），如果采取其

中兩種或三種可選擇該組件。

18

GB/TXXXXX—XXXX

c)組件FIA_UAU.6定義需要重新鑒別的條件，如在用戶長時間未活動退出或鎖屏等。

d)組件FIA_AFL.1是為防止惡意猜測鑒別數(shù)據(jù)的行為而設定的保護機制，如未成功登錄次數(shù)達到

限值時的動作，對于數(shù)值的設定等應在FMT_SMR.1和FMT_MTD.1中定義授權(quán)角色和職責。

鑒別數(shù)據(jù)的保護

鑒別數(shù)據(jù)在TOE中屬于敏感數(shù)據(jù)，一旦被竊取利用將會對資產(chǎn)產(chǎn)生破壞，因此應確保鑒別數(shù)據(jù)在傳

輸和存儲時的安全。與鑒別數(shù)據(jù)保護相關的安全功能組件包括：FIA_UAU.3、FIA_UAU.4、FIA_UAU.7、

FTP_TRP.1和FDP_SDC_EXT.1。

a)組件FIA_UAU.3和FIA_UAU.4防止鑒別機制被偽造和重用。

b)組件FIA_UAU.7定義用戶在輸入鑒別數(shù)據(jù)時應被保護。

c)組件FTP_TRP.1和FDP_SDC_EXT.1確保鑒別數(shù)據(jù)在傳輸和存儲時的完整性和保密性。

鑒別數(shù)據(jù)的強度

與鑒別數(shù)據(jù)的強度相關的安全功能組件包括：FIA_SOS.1。

a)組件FIA_SOS.1可定義鑒別數(shù)據(jù)需要滿足的強度，如規(guī)定密碼的最小長度、最低復雜度和密鑰

的算法強度等。

7.1.3訪問控制

訪問控制策略包括訪問控制策略和信息流訪問控制策略，訪問控制策略控制范圍包括策略控制下的

主體、策略控制下的客體以及策略所涵蓋受控主體和受控客體間的操作。信息流控制策略控制范圍包括

策略控制下的主體、策略控制下的信息以及策略所涵蓋的引起受控信息流入、流出受控主體的操作。每

一種策略應采用唯一的名稱，可通過組件的反復操作來實現(xiàn)多個策略的定義。相關的安全功能組件包括：

FDP_ACC.1、FDP_ACC.2、FDP_ACF.1、FDP_IFC.1、FDP_IFC.2和FDP_IFF.1。

a)組件FDP_ACC.1、FDP_ACC.2和FDP_ACF.1用來建立訪問控制策略和訪問控制功能，訪問控制

策略可以是基于用戶角色、用戶組、物理位置、時間等屬性建立，每個不同的策略應分別命名，

用戶角色應在FMT_SMR.1中定義，安全屬性的管理應在FMT_MSA族中進行定義。

b)組件FDP_IFC.1、FDP_IFC.2和FDP_IFF.1用來建立信息流訪問控制策略和訪問控制功能，訪

問控制策略可以是基于源目標IP、源目標MAC和網(wǎng)絡協(xié)議等屬性建立，每個不同的策略應分

別命名。

7.1.4會話安全

建立和維護用戶會話的安全可以防止會話劫持、并發(fā)會話占用TOE資源等事件。與會話建立和管理

相關的安全功能組件包括：FTA_TSE.1、FTA_LSA.1、FTA_MCS.1、FTA_SSL.1、FTA_SSL.2、FTA_SSL.3、

FTA_SSL.4、FTA_TAB.1和FTA_TAH.1。

a)組件FTA_TSE.1和FTA_LSA.1定義建立會話連接的安全，屬于訪問控制策略的一種，建立基于

會話屬性的會話建立機制。

b)組件FTA_MCS.1限制同一用戶的并發(fā)會話數(shù)量，可防止發(fā)生資源耗盡的DoS。

c)組件FTA_SSl.1和FTA_SSl.3定義了TOE鎖定和終止會話的要求，在工業(yè)控制系統(tǒng)中不是所有

情況下都可以采用該要求，對于操作員站的監(jiān)控軟件，由于要確保業(yè)務的連續(xù)性，即使操作員

不動作也不應對會話進行鎖定和終止，因此TOE為了確保安全，應假定運行環(huán)境的安全來抵御

預期的威脅。

d)組件FTA_SSl.2和FTA_SSl.4定義了用戶鎖定和終止會話的要求。

e)組件FTA_TAB.1和FTA_TAH.1起到會話安全建立的提示和警告的作用。

19

GB/TXXXXX—XXXX

7.1.5安全通信

與TOE的通信一般包括用戶與TOE的通信、外部IT實體與TOE的通信和TOE內(nèi)部各部分間的通信。

可信路徑/信道

TOE可支持在用戶與TOE之間建立可信路徑以及TOE和外部IT實體間建立可信信道的要求，可信路徑

和信道具備通信完整性和保密性要求，且提供通信兩端端點身份的抗抵賴性。相關的安全功能組件包括：

FTP_ITC.1和FTP_TRP.1。

a)組件FTP_ITC.1和FTP_TRP.1定義了TOE與用戶或外部IT實體間的可信路徑和信道。如采用

HTTPS的方式，采用IPSEC的方式等。為了保護鑒別數(shù)據(jù)不被泄露和篡改，用戶鑒別應采用可

信路徑。

通信完整性

如TOE不具備滿足可信路徑或通道的條件，應通過TOE實現(xiàn)通信數(shù)據(jù)完整性的保護。相關的安全功能

組件包括：FDP_DTI.1和FDP_DTI.2。

a)組件FDP_DTI.1和FDP_DTI.2定義了TOE與外部IT實體或TOE內(nèi)部的一部分進行通信時的數(shù)

據(jù)完整性保護要求。

通信保密性

如TOE不具備滿足可信路徑或通道的條件，應通過TOE實現(xiàn)通信數(shù)據(jù)保密性的保護。相關的安全功能

組件包括：FDP_DTC.1和FDP_DTC.2。

a)組件FDP_DTC.1和FDP_DTC.2定義了TOE與外部IT實體或TOE內(nèi)部的一部分進行通信時的數(shù)

據(jù)保密性保護要求。由于工業(yè)控制系統(tǒng)中實時性要求較高，因此可僅對關鍵和敏感數(shù)據(jù)采用保

密性保護。

重放檢測

TOE應能對各種類型實體（如消息、服務請求、服務應答）的重放進行檢測，并在檢測到重放后采

取一定的措施進行保護。與重放檢測相關的安全功能組件包括：FPT_RPL.1。

a)組件FPT_RPL.1可定義對通信數(shù)據(jù)進行重放的檢測及糾正動作。

狀態(tài)和時間同步

分布式TOE由于存在TOE各部分間潛在的狀態(tài)差別及通信延遲等問題，因此需要在通信時實現(xiàn)狀態(tài)和

時間同步的要求。相關的安全功能組件包括：FPT_SSP.1、FPT_SSP.2和FPT_STM_EXE.2。

a)組件FPT_SSP.1和FPT_SSP.2定義TOE不同部分間通信時應對請求進行回執(zhí)，以確保各部分狀

態(tài)保持一致。

b)組件FPT_STM_EXE.2確保各部分間的時鐘進行同步。

7.1.6數(shù)據(jù)/代碼保護

本部分包括了存儲數(shù)據(jù)的完整性和保密性保護，軟件/固件等的完整性保護，輸入數(shù)據(jù)的安全防護

及殘余信息的防護。

完整性保護

20

GB/TXXXXX—XXXX

要求TOE在初始階段、運行階段或更新階段可以對固件、可執(zhí)行代碼、關鍵配置數(shù)據(jù)等的完整性錯

誤進行檢測，相關的安全功能組件包括：FDP_SDI_EXT.1。

a)組件FDP_SDI_EXT.1定義了數(shù)據(jù)、固件、可執(zhí)行代碼等的完整性保護。

輸入數(shù)據(jù)保護

用戶在輸入數(shù)據(jù)時，應避免數(shù)據(jù)的不合法、超限等錯誤，且必要時需要雙重確認和動作的回退等。

相關的安全功能組件包括：FDP_IDP_EXT.1、FDP_IDP_EXT.2和FDP_ROL.1。

a)組件FDP_IDP_EXT.1可對輸入數(shù)據(jù)的合法性和安全性進行檢測。

b)組件FDP_IDP_EXT.2要求對輸入的數(shù)據(jù)執(zhí)行雙重確認操作。

c)組件FDP_ROL.1允許用戶從配置和其他管理錯誤中快速恢復。

殘余信息防護

要求確保當資源從一個客體釋放并重新分配給另一個客體時，其中的任何數(shù)據(jù)均不可用。相關的安

全功能組件包括：FDP_RIP.1。

a)組件FDP_RIP.1要求確保任何資源的任何殘余信息在資源分配或釋放時不可用。

7.1.7加密

當TOE具備加密運算模塊及數(shù)據(jù)簽名的生成和驗證時，應考慮密鑰管理和密碼運算的功能，相關的

安全功能組件包括：FCS_CKM.1、FCS_CKM.2、FCS_CKM.3、FCS_CKM.4和FCS_COP.1。

7.1.8安全管理

TOE的安全管理功能不是一個獨立的功能，管理操作與其他安全功能都相關，如安全角色的定義，

與安全審計、身份鑒別、訪問控制的功能的用戶角色都相關，安全管理功能涉及安全角色的定義，安全

管理功能的定義，安全屬性的管理、TSF數(shù)據(jù)的管理等。

a)與安全管理角色相關的安全組件FMT_SMR.1可以定義TOE設計到的安全角色，如管理員、審計

員、操作員、工程師、普通用戶等角色。

b)與安全管理功能相關的安全組件FMT_SMF.1可以定義TOE具備的安全管理功能，這些功能可能

會與之前的功能有重復，但需要利用該組件獨立定義所有與管理相關的功能，用以明確管理角

色和明確管理角色對應的管理功能，管理功能主要包括安全功能的管理、安全屬性的管理和

TSF數(shù)據(jù)的管理等，可利用FMT_MOF、FMT_MSA、FMT_MTD等族下的組件進行定義相關功能。

7.1.9資源可用性

TOE應確保在受到攻擊（如DoS）或設備失效后仍能維持基本功能運行的能力。相關的功能包括物理

防護、失效防護、TOE測試、備份與恢復及資源利用等。

物理防護

TOE應限制未授權(quán)的物理訪問，以及阻止和抵抗對TOE進行未授權(quán)的物理修改或替換。相關的安全功

能組件包括：FPT_PHP.1、FPT_PHP.2、FPT_PHP.3、FPT_PHP_EXT.4和FPT_PHP_EXT.5。

a)組件FPT_PHP.1、FPT_PHP.2和FPT_PHP.3定義了物理防護檢測的能力。

b)組件FPT_PHP_EXT.4定義了物理環(huán)境適應性要求。

c)組件FPT_PHP_EXT.5定義了物理防篡改要求。

失效防護