2024智能工廠安全一體化第4部分：系統(tǒng)評(píng)測(cè)要求

4II目 次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 1評(píng)測(cè)一般要求 2評(píng)測(cè)對(duì)象和目標(biāo) 2評(píng)測(cè)人員的要求 2評(píng)測(cè)階段、方法和內(nèi)容的要求 2約束原則 2評(píng)測(cè)活動(dòng) 3評(píng)測(cè)依據(jù) 4評(píng)測(cè)結(jié)果處理要求 5評(píng)測(cè)實(shí)施要求 5安全一體化完善度SSIL 5評(píng)測(cè)步驟 6評(píng)測(cè)報(bào)告 9報(bào)告要求 9報(bào)告內(nèi)容 9附錄A（資料性） 評(píng)測(cè)步驟一示例 11參考文獻(xiàn) 54圖1 評(píng)測(cè)流程 3圖2 SSIL評(píng)測(cè)過程 6表1 安全一體化完善度等級(jí) 5表2 SSIL評(píng)估矩陣示例 6表3 步驟一評(píng)測(cè)記錄表 7表4 步驟二評(píng)測(cè)記錄表 7表5 安全功能安全完善度評(píng)測(cè)記錄表 8表6 評(píng)測(cè)結(jié)論示例表 9表A.1 評(píng)測(cè)步驟一示例表 11IIIIII引 言傳統(tǒng)工廠一般采用GB/T20438和應(yīng)用領(lǐng)域標(biāo)準(zhǔn)（例如GB/T21109，GB/T16855，GB28526）來實(shí)GB/T35673（如安全儀表系統(tǒng)）面臨更復(fù)雜的應(yīng)用環(huán)境（如黑客攻擊、惡意軟件等信息安全威脅，人工智能AI的失控危險(xiǎn)等GB/TXXXXX《智能工廠安全一體化》旨在指導(dǎo)智能工廠建立安全一體化生命周期，并針對(duì)風(fēng)險(xiǎn)評(píng)估、協(xié)同設(shè)計(jì)和評(píng)測(cè)驗(yàn)證提出要求，擬由4個(gè)部分構(gòu)成：——第1部分：一般要求。目的在于提出安全一體化生命周期的整體要求，以及實(shí)現(xiàn)安全一體化的基本原則。——第2部分：風(fēng)險(xiǎn)評(píng)估要求。目的在于提出開展安全一體化風(fēng)險(xiǎn)評(píng)估的流程和要求?！?部分：系統(tǒng)協(xié)同設(shè)計(jì)要求。目的在于針對(duì)智能工廠制造執(zhí)行層、過程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層提出系統(tǒng)協(xié)同設(shè)計(jì)的要求。——第4部分：系統(tǒng)評(píng)測(cè)要求。目的在于提出開展安全一體化完善度評(píng)測(cè)的方法和要求。GB/TXXXXX.4 PAGEPAGE54智能工廠安全一體化4范圍本文件規(guī)定了安全一體化評(píng)測(cè)一般要求、實(shí)施要求以及評(píng)測(cè)報(bào)告要求。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20438.1 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求GB/T20438.4 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語GB/T20438.5 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第5部分：確定安全完整性等級(jí)的方法示例GB/T21109.1 1GB/T30976.1 工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范GB/T35673 工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級(jí)GB/T38129 智能工廠安全控制要求GB/T41257 數(shù)字化車間功能安全要求GB/T41260 數(shù)字化車間信息安全要求GB/TXXXXX.1 1部分：一般要求GB/TXXXXX.3 3部分：系統(tǒng)協(xié)同設(shè)計(jì)要求術(shù)語和定義GB/TXXXXX.1、GB/T20438.4、GB/T21109.1中界定的以及下列術(shù)語和定義適用于本文件。風(fēng)險(xiǎn)降低因子riskreductionfactor；RRF安全功能要求時(shí)危險(xiǎn)失效概率（PFD）的倒數(shù)，是對(duì)安全功能所提供的風(fēng)險(xiǎn)降低能力的度量。縮略語下列縮略語適用于本文件。DoS：拒絕服務(wù)（DenialofService）HMI：人機(jī)界面（HumanMachineInterafce）PHA：過程危險(xiǎn)分析（PorcessHazardAnalysis）P&ID：管道和儀表流程圖（PipingandInstrumentationDiagram）SIF：安全儀表功能（SafetyInstrumentedFunction）SIL：安全完整性等級(jí)（SafetyIntegrityLevel）SL：信息安全等級(jí)（SecurityLevel）SSIL：安全一體化完善度（SafetyandSecurityIntegrationLevel）評(píng)測(cè)一般要求評(píng)測(cè)對(duì)象和目標(biāo)評(píng)測(cè)對(duì)象應(yīng)為智能工廠安全一體化協(xié)同設(shè)計(jì)和相關(guān)配置，重點(diǎn)關(guān)注功能安全相關(guān)系統(tǒng)與信息安全防護(hù)措施間的沖突消減。本文件目標(biāo)為評(píng)測(cè)智能工廠生產(chǎn)系統(tǒng)的安全一體化完善度等級(jí)。本文件開展的活動(dòng)應(yīng)在智能工廠功能安全評(píng)測(cè)和信息安全評(píng)測(cè)完成后。注1：智能工廠的功能安全評(píng)測(cè)活動(dòng)需依據(jù)GB/T20438.1、GB/T20438.5、GB/T21109.1、GB/T41257和GB/T38129；智能工廠的信息安全評(píng)測(cè)活動(dòng)需依據(jù)GB/T30976.1、GB/T35673、GB/T41260及其他相關(guān)標(biāo)準(zhǔn)和法規(guī)文件。注2：安全一體化評(píng)測(cè)對(duì)象可以是按照安全一體化協(xié)同要求設(shè)計(jì)的系統(tǒng)，也可以是未按照安全一體化協(xié)同要求設(shè)計(jì)的系統(tǒng)。評(píng)測(cè)人員的要求在進(jìn)行評(píng)測(cè)前應(yīng)組建一個(gè)評(píng)測(cè)團(tuán)隊(duì)，評(píng)測(cè)實(shí)施負(fù)責(zé)人應(yīng)同時(shí)具備功能安全和信息安全的知識(shí)和技能。評(píng)測(cè)團(tuán)隊(duì)內(nèi)應(yīng)至少各包含一名功能安全評(píng)測(cè)和信息安全評(píng)測(cè)核心人員。評(píng)測(cè)團(tuán)隊(duì)內(nèi)應(yīng)至少包含一名熟悉待評(píng)測(cè)生產(chǎn)系統(tǒng)的人員。評(píng)測(cè)階段、方法和內(nèi)容的要求評(píng)測(cè)可以是安全一體化生命周期設(shè)計(jì)階段之后的任意階段實(shí)施的評(píng)測(cè)。評(píng)測(cè)方法為訪談、核查、測(cè)試和評(píng)估。評(píng)測(cè)內(nèi)容是信息安全防護(hù)措施對(duì)安全功能的影響度，評(píng)測(cè)結(jié)果為安全一體化完善度（SSIL），SSIL分級(jí)見6.1。評(píng)測(cè)力度依賴于評(píng)測(cè)工具時(shí)，應(yīng)遵照評(píng)測(cè)工具的使用條件，避免對(duì)被評(píng)測(cè)業(yè)務(wù)的正常運(yùn)行造成影響。評(píng)測(cè)力度依賴于人員時(shí)，應(yīng)由具有豐富實(shí)踐經(jīng)驗(yàn)的評(píng)測(cè)人員進(jìn)行實(shí)施或者指導(dǎo)。GB/TXXXXX.3確定評(píng)測(cè)范圍。約束原則安全一體化評(píng)測(cè)應(yīng)遵循以下原則：——安全功能可用性優(yōu)先原則：應(yīng)以滿足安全功能執(zhí)行的可用性為基準(zhǔn)，當(dāng)確認(rèn)信息安全防護(hù)措施阻礙安全功能執(zhí)行時(shí)，評(píng)測(cè)判定應(yīng)以滿足功能安全要求為優(yōu)先；——補(bǔ)償原則：在保證功能安全要求實(shí)現(xiàn)的前提下，如還存在未能降低的信息安全風(fēng)險(xiǎn)，應(yīng)通過替代的其他風(fēng)險(xiǎn)降低措施（如物理措施、管理措施等）進(jìn)行補(bǔ)償，以將風(fēng)險(xiǎn)控制在可容忍范圍。評(píng)測(cè)活動(dòng)評(píng)測(cè)流程應(yīng)按照?qǐng)D1的流程開展評(píng)測(cè)活動(dòng)。確定評(píng)測(cè)對(duì)象和目標(biāo)——投運(yùn)前階段：指智能工廠在投入運(yùn)行之前，此時(shí)并沒有實(shí)際投產(chǎn)；——運(yùn)行維護(hù)階段：指智能工廠在確認(rèn)之后按照業(yè)務(wù)需求進(jìn)行實(shí)際生產(chǎn)。確定評(píng)測(cè)范圍圖1 評(píng)測(cè)流程確定評(píng)測(cè)方法評(píng)測(cè)方法主要有以下四種：——訪談，指評(píng)測(cè)人員通過引導(dǎo)評(píng)測(cè)對(duì)象相關(guān)專業(yè)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助評(píng)測(cè)人員理解、分析或取得證據(jù)的過程；——核查，指評(píng)測(cè)人員通過對(duì)評(píng)測(cè)對(duì)象（如管理制度、操作記錄、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以幫助評(píng)測(cè)人員理解、分析或取得證據(jù)的過程；——評(píng)估，指評(píng)測(cè)人員通過對(duì)評(píng)測(cè)對(duì)象進(jìn)行分析評(píng)價(jià)確定安全完善度等級(jí)的過程；——測(cè)試，指評(píng)測(cè)人員使用預(yù)定的方法/工具使評(píng)測(cè)對(duì)象產(chǎn)生特定的行為，通過查看和分析結(jié)果以幫助評(píng)測(cè)人員獲取證據(jù)的過程。確定評(píng)測(cè)團(tuán)隊(duì)/人員應(yīng)根據(jù)評(píng)測(cè)內(nèi)容和評(píng)測(cè)方法確定評(píng)測(cè)團(tuán)隊(duì)和人員，評(píng)測(cè)人員應(yīng)符合5.2的要求。確定評(píng)測(cè)計(jì)劃依據(jù)實(shí)際情況確定評(píng)測(cè)計(jì)劃，計(jì)劃內(nèi)容應(yīng)至少包括：——需要執(zhí)行評(píng)測(cè)的生命周期階段及評(píng)測(cè)的對(duì)象和目標(biāo)；——不同階段要執(zhí)行的評(píng)測(cè)內(nèi)容和使用的評(píng)測(cè)方法；——參與評(píng)測(cè)活動(dòng)的人員、部門、組織或其他單位；——評(píng)測(cè)進(jìn)度安排；——為完成評(píng)測(cè)活動(dòng)需要的所有資源；——完成評(píng)測(cè)活動(dòng)應(yīng)得到的輸出。評(píng)測(cè)的實(shí)施評(píng)測(cè)的實(shí)施應(yīng)滿足第6章要求。編寫評(píng)測(cè)報(bào)告評(píng)測(cè)報(bào)告應(yīng)滿足第7章要求。評(píng)測(cè)依據(jù)應(yīng)獲取真實(shí)反映當(dāng)前系統(tǒng)狀況的材料作為評(píng)測(cè)依據(jù)。評(píng)測(cè)的基礎(chǔ)依據(jù)宜包括：——風(fēng)險(xiǎn)評(píng)估報(bào)告（包含PHA）；——信息安全防護(hù)措施設(shè)計(jì)方案或信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；——功能安全評(píng)估報(bào)告（包括SIL定級(jí)、SIL評(píng)估、相應(yīng)生命周期階段的功能安全評(píng)估報(bào)告等）；——功能安全要求規(guī)格書；——設(shè)計(jì)規(guī)格書；——工廠驗(yàn)收測(cè)試報(bào)告；——現(xiàn)場(chǎng)驗(yàn)收測(cè)試報(bào)告；——運(yùn)行前評(píng)估報(bào)告；——網(wǎng)絡(luò)架構(gòu)；——資產(chǎn)清單；——安全功能清單和每個(gè)安全功能的SIL；——信息安全措施清單；——安全功能測(cè)試報(bào)告。必要時(shí)，還需提供如下資料：——工藝流程圖；——P&ID圖；——因果圖；——總平面布置圖；——操作規(guī)程；——危險(xiǎn)源識(shí)別報(bào)告；——電源等公共驅(qū)動(dòng)源配置情況；——每個(gè)區(qū)域的信息安全等級(jí)（SL）；——影響系統(tǒng)安全的管理要求；——其他相關(guān)資料。評(píng)測(cè)結(jié)果處理要求評(píng)測(cè)結(jié)果應(yīng)以報(bào)告形式提交給評(píng)測(cè)委托方（如智能工廠運(yùn)行方）。評(píng)測(cè)發(fā)現(xiàn)的問題應(yīng)由智能工廠運(yùn)行方組織功能安全和信息安全專業(yè)人員進(jìn)行審查，確定問題處理責(zé)任方，必要時(shí)進(jìn)入變更或修改流程。評(píng)測(cè)結(jié)果僅適用于委托方提供的當(dāng)前版本證據(jù)資料，一旦證據(jù)資料發(fā)生變化，評(píng)測(cè)結(jié)果將不再有效，應(yīng)重新進(jìn)行評(píng)測(cè)或開展差異性評(píng)估。評(píng)測(cè)實(shí)施要求SSILSSIL是對(duì)智能工廠生產(chǎn)系統(tǒng)功能安全和信息安全協(xié)同能力的衡量。SSIL分三級(jí)，具體描述如1。表1 安全一體化完善度等級(jí)完善度等級(jí)描述SSIL2安全完善度高，工控信息安全措施對(duì)功能安全相關(guān)系統(tǒng)無影響或造成的負(fù)面影響極低，風(fēng)險(xiǎn)在可容忍范圍之內(nèi)。SSIL1安全完善度中，工控信息安全措施會(huì)對(duì)功能安全相關(guān)系統(tǒng)造成負(fù)面影響，導(dǎo)致低概率拒動(dòng)或誤動(dòng)，風(fēng)險(xiǎn)可能超出可容忍范圍。SSIL0安全完善度低，工控信息安全措施會(huì)對(duì)功能安全相關(guān)系統(tǒng)造成較大負(fù)面影響，導(dǎo)致大概率拒動(dòng)或頻繁誤動(dòng)，風(fēng)險(xiǎn)超出可容忍范圍。SSIL越高，信息安全對(duì)功能安全相關(guān)系統(tǒng)負(fù)面影響程度相同的情況下，SSIL越低；RRF等級(jí)相同的情況下，信息安全對(duì)功能安全相關(guān)系統(tǒng)負(fù)面影響程度越高，SSILSSIL2。表2 SSIL評(píng)估矩陣示例影響度肯定會(huì)拒動(dòng)SSIL0SSIL0SSIL0SSIL0拒動(dòng)可能性很大SSIL1SSIL0SSIL0SSIL0存在拒動(dòng)可能性SSIL1SSIL1SSIL0SSIL0誤動(dòng)可能性很大但不拒動(dòng)SSIL1SSIL1SSIL1SSIL0存在誤動(dòng)可能性但不拒動(dòng)SSIL2SSIL2SSIL2SSIL1無影響SSIL2SSIL2SSIL2SSIL2SSIL評(píng)估矩陣＜100≥100~1000≥1000~10000≥10000RRF注1：“影響度等級(jí)”是指工控信息安全措施對(duì)功能安全相關(guān)系統(tǒng)造成的影響分級(jí)，分為“無影響”“存在誤動(dòng)可能性但不拒動(dòng)”“頻繁誤動(dòng)但不拒動(dòng)”“存在拒動(dòng)可能性”“拒動(dòng)可能性很大”“肯定會(huì)拒動(dòng)”六個(gè)等級(jí)。注2：RRF殘余風(fēng)險(xiǎn)等級(jí)。評(píng)測(cè)步驟應(yīng)在完成功能安全評(píng)估和信息安全評(píng)估的基礎(chǔ)上開展安全一體化完善度評(píng)測(cè)。在實(shí)施評(píng)測(cè)前，應(yīng)根據(jù)安全要求規(guī)格書或功能安全評(píng)估報(bào)告識(shí)別出所有安全功能回路。GB/TXXXXX.36.2.3.1~6.2.3.55個(gè)步驟開展。評(píng)測(cè)2。圖2 SSIL評(píng)測(cè)過程GB/TXXXXX.3GB/TXXXXX.37BSSILGB/TXXXXX.37B基本要求（SSIL1）的措施，可直接輸入作為系統(tǒng)綜合SSIL等級(jí)判定的依據(jù)；對(duì)于符合GB/TXXXXX.3AB加強(qiáng)要求（SSIL2）GB/TXXXXX.3要求之外的措施，SSIL3A給出了步驟一記錄表的一個(gè)示例。注：對(duì)于符合GB/TXXXXX.3相關(guān)要求的任何措施，若懷疑其有可能對(duì)安全功能造成影響，可按照步驟二及其后續(xù)步驟重新判定SSIL。表3 步驟一評(píng)測(cè)記錄表序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔是否涉及安全功能預(yù)期SSIL是否步驟二：匯總信息安全防護(hù)措施影響的所有安全功能回路設(shè)備。應(yīng)根據(jù)步驟一評(píng)測(cè)結(jié)果，識(shí)別和匯總出對(duì)安全功能有影響的信息安全防護(hù)措施，并確認(rèn)這些措施所在儀表/設(shè)備，涉及的安全功能4。表4 步驟二評(píng)測(cè)記錄表序號(hào)實(shí)現(xiàn)方法/設(shè)置措施防護(hù)措施所在設(shè)備涉及的安全功能回路步驟三：基于安全功能回路設(shè)備的詳細(xì)分析與評(píng)測(cè)。對(duì)每個(gè)安全功能回路開展評(píng)測(cè)，步驟三5，評(píng)測(cè)內(nèi)容包括：應(yīng)依據(jù)步驟二記錄表，對(duì)每項(xiàng)安全功能涉及的儀表、執(zhí)行、通信、控制器等設(shè)備逐項(xiàng)分析/測(cè)試目前已加諸的信息安全防護(hù)措施對(duì)安全功能的影響程度；注1：核查/測(cè)試所設(shè)計(jì)的信息安全防護(hù)措施的執(zhí)行對(duì)于系統(tǒng)安全功能產(chǎn)生的影響。對(duì)于有不可接受的負(fù)面影響的信息安全防護(hù)措施評(píng)定為SSIL0，并建議進(jìn)行修改。所述的負(fù)面影響包括但不限于：——影響到安全功能的可靠性指標(biāo)（例如：SIL）；——安全功能的性能（例如：響應(yīng)時(shí)間）超出設(shè)計(jì)目標(biāo)；——安全功能的誤動(dòng)率超過設(shè)計(jì)要求；——系統(tǒng)運(yùn)行負(fù)荷不滿足設(shè)計(jì)要求；——總線通信負(fù)荷不滿足設(shè)計(jì)要求；——影響安全功能的操作和維護(hù)。注2：核查/安全防護(hù)措施評(píng)定為措施失效后安全功能仍有能力導(dǎo)向安全狀態(tài)。RRF；a）b）SSIL評(píng)估矩陣（2）SSIL。注：如果同一設(shè)備同時(shí)用于不同的安全功能回路，需按照評(píng)估結(jié)果SSIL較低的回路要求變更此設(shè)備相關(guān)的信息安全措施。表5 安全功能安全完善度評(píng)測(cè)記錄表SIF1安全功能回路名稱：RRF/SIL：安全功能回路描述：回路設(shè)備當(dāng)前設(shè)置的信息安全防護(hù)措施對(duì)回路的影響（拒動(dòng)、誤動(dòng)、執(zhí)行延遲等以及是否在可接受范圍）影響度SSIL建議現(xiàn)場(chǎng)儀表防護(hù)措施1：防護(hù)措施2：防護(hù)措施3：控制器、輸入輸出卡件防護(hù)措施1：防護(hù)措施2：執(zhí)行單元通信網(wǎng)絡(luò)交換機(jī)路由器安全柵/浪涌操作員站數(shù)據(jù)服務(wù)器工程師站安全狀態(tài)監(jiān)視平臺(tái)急停開關(guān)注1：“對(duì)回路的影響”填寫內(nèi)容可參考6.2.3.3a)注2，至少包含可能造成的拒動(dòng)、誤動(dòng)和無影響及其可能性的說明；注2：“當(dāng)前設(shè)置的信息安全防護(hù)措施”識(shí)別來源為步驟一和二；注3：“回路設(shè)備”為安全功能回路涉及到的所有設(shè)備，包括但不限于儀表、執(zhí)行、控制器、通信設(shè)備等。步驟四：信息安全防護(hù)措施運(yùn)行環(huán)境下的安全功能驗(yàn)證。對(duì)步驟三的評(píng)測(cè)結(jié)果進(jìn)行驗(yàn)證。應(yīng)RRF2SSIL。注1：在執(zhí)行功能測(cè)試時(shí)宜針對(duì)每項(xiàng)功能執(zhí)行多個(gè)測(cè)試用例。在多次測(cè)試中，一旦出現(xiàn)安全功能拒動(dòng)或誤動(dòng)情況，若排除測(cè)試人員操作失誤因素，可將其判定為SSIL0。注2：智能工廠生產(chǎn)系統(tǒng)通常采用工業(yè)通信協(xié)議（如：PROFINET/OPCUA等），評(píng)測(cè)時(shí)不能省略工業(yè)協(xié)議應(yīng)用層內(nèi)容的評(píng)測(cè)。SSILSSILSSIL為步SSIL取最低等級(jí)。SSIL6。表6 評(píng)測(cè)結(jié)論示例表評(píng)測(cè)結(jié)論：系統(tǒng)安全一體化完善度等級(jí)為SSIL0。安全完善度低，工控信息安全措施會(huì)對(duì)功能安全相關(guān)系統(tǒng)造成較大負(fù)面影響，導(dǎo)致大概率拒動(dòng)或頻繁誤動(dòng)，風(fēng)險(xiǎn)超出可容忍范圍，應(yīng)予以改造。序號(hào)系統(tǒng)設(shè)備/安全功能回路SSIL需改造設(shè)備負(fù)面影響安全防護(hù)措施責(zé)任方響應(yīng)情況1.2.評(píng)測(cè)報(bào)告報(bào)告要求評(píng)測(cè)報(bào)告應(yīng)結(jié)構(gòu)清晰、表述準(zhǔn)確、無歧義，并可追溯。報(bào)告內(nèi)容項(xiàng)目背景應(yīng)包括立項(xiàng)意義、任務(wù)由來、項(xiàng)目概況等相關(guān)內(nèi)容。評(píng)測(cè)依據(jù)應(yīng)列出評(píng)測(cè)項(xiàng)目所引用的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)、基礎(chǔ)技術(shù)資料名稱等相關(guān)信息。評(píng)測(cè)目的應(yīng)明確描述評(píng)測(cè)目的。評(píng)測(cè)范圍和內(nèi)容應(yīng)明確描述評(píng)測(cè)的范圍和內(nèi)容。評(píng)測(cè)方法應(yīng)明確表述采用的評(píng)測(cè)方法。評(píng)測(cè)過程評(píng)測(cè)結(jié)論與建議應(yīng)給出評(píng)測(cè)結(jié)論、SSIL評(píng)級(jí)結(jié)論等，并指出存在的問題，提出針對(duì)性的建議。附件評(píng)測(cè)工作表應(yīng)給出評(píng)測(cè)工作過程中生成的調(diào)研表、分析記錄表等。示例見第6章及附錄。其他資料應(yīng)給出評(píng)測(cè)工作所依據(jù)的必要資料，如分析圖紙、評(píng)測(cè)準(zhǔn)則來源、分析評(píng)測(cè)假設(shè)及來源等。附 錄 A（資料性）表A.1為評(píng)測(cè)步驟一示例，僅涵蓋GB/TXXXXX.3的第7章和附錄A內(nèi)容的評(píng)測(cè)。表A.1評(píng)測(cè)步驟一示例表序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL制造執(zhí)行層安全防護(hù)要求-區(qū)域劃分-基本要求1.是否在制造執(zhí)行層網(wǎng)絡(luò)與企業(yè)管理層網(wǎng)絡(luò)間采用隔離措施。是否2.是否根據(jù)安全相關(guān)模塊的功能、重要性程度以及關(guān)聯(lián)程度等因素，對(duì)相關(guān)網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分、隔離，并按照方便管理和控制為原則為各網(wǎng)段分配地址。是否3.安全功能是否在獨(dú)立的主機(jī)系統(tǒng)中執(zhí)行。是否4.是否將制造執(zhí)行層執(zhí)行安全功能的模塊與非安全相關(guān)模塊適當(dāng)?shù)母綦x。是否制造執(zhí)行層安全防護(hù)要求-身份鑒別與認(rèn)證-基本要求5.安全相關(guān)模塊及其關(guān)聯(lián)的數(shù)據(jù)庫服務(wù)器和網(wǎng)絡(luò)設(shè)備等，是否支持在其所提供的人員用戶訪問接口上實(shí)現(xiàn)身份鑒別和認(rèn)證的功能，并提供用刪除等操作功能；是否6.網(wǎng)絡(luò)設(shè)備是否提供唯一的鑒別和認(rèn)證全部人員用戶的能力；是否7.人員訪問接口是否未使用默認(rèn)登錄憑據(jù)；是否8.是否能支持對(duì)不同的訪是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL問人員/組配置不同的身份標(biāo)識(shí)；否9.對(duì)于支持使用口令鑒別機(jī)制的設(shè)備，設(shè)計(jì)時(shí)是否未對(duì)不同的訪問人員/組配置相同的賬號(hào)和口令。口令是否具有最小長(zhǎng)度和多種字符類型。應(yīng)定期更換口令；是否10.在進(jìn)行鑒別時(shí)，是否提供顯示鑒別結(jié)果信息的能力，例如：身份驗(yàn)證成功或身份驗(yàn)證失敗。但鑒別失敗時(shí)，是否不會(huì)指明是什么原因?qū)е妈b別失??；是否11.是否能及時(shí)刪除多余共享賬戶的存在；是否12.是否針對(duì)任何用戶在可配置時(shí)間周期內(nèi)，對(duì)連續(xù)無效的訪問嘗試進(jìn)行可配置次數(shù)限制。當(dāng)限制次數(shù)超出后，是否規(guī)定的周期內(nèi)拒絕訪問或者直到管理員解鎖；是否13.是否對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；是否14.安全相關(guān)模塊是否能對(duì)接入的數(shù)據(jù)源設(shè)備進(jìn)行身份識(shí)別。是否15.補(bǔ)償措施本身不應(yīng)造成是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL額外的信息安全脆弱性；16.是否對(duì)多次錯(cuò)誤登錄嘗試或登錄鎖定情況進(jìn)行監(jiān)視，并在出現(xiàn)該情況時(shí)給出相應(yīng)報(bào)警提示，并采取自動(dòng)或人工的方式對(duì)生產(chǎn)過程相關(guān)的安全相關(guān)參數(shù)進(jìn)行檢查，以確保生產(chǎn)過程無異常；是否17.影響（如操作延遲）。是否制造執(zhí)行層安全防護(hù)要求-身份鑒別與認(rèn)證-加強(qiáng)要求18.安全相關(guān)模塊是否能對(duì)接入的數(shù)據(jù)源設(shè)備進(jìn)行身份鑒別與認(rèn)證；是否19.如果采用公鑰基礎(chǔ)設(shè)施（PKI）證書來實(shí)現(xiàn)身GB/T35673PKI證書和公鑰鑒別強(qiáng)度的要求。是否制造執(zhí)行層安全防護(hù)要求-訪問與使用控制-基本要求20.是否在安全相關(guān)模塊與制造執(zhí)行層其他網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能，設(shè)定訪問控制策略，對(duì)從制造執(zhí)行層其他網(wǎng)絡(luò)發(fā)起的訪問進(jìn)行源地址、目的地址、源端口、目的端口和協(xié)議等項(xiàng)目的/包的出入；是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL21.對(duì)于安全相關(guān)模塊是否是提供不同用戶具有不同否權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；22.是否對(duì)多用戶共同操作是的安全相關(guān)模塊主機(jī)進(jìn)否行用戶權(quán)限劃分，根據(jù)用戶的工作職責(zé)、工藝和設(shè)備區(qū)域情況分配相應(yīng)的訪問權(quán)限，授予用戶所需的最小權(quán)限；并實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；23.是否禁用安全相關(guān)模塊是不必要的端口和服務(wù)，否只開啟必須端口和服務(wù)；24.是否在會(huì)話處于非活躍是時(shí)間或會(huì)話結(jié)束后終止否會(huì)話，終止鏈接動(dòng)作可以由被請(qǐng)求數(shù)據(jù)的設(shè)備或程序執(zhí)行，也可以由防護(hù)設(shè)備執(zhí)行；25.對(duì)可能對(duì)系統(tǒng)造成破壞是的移動(dòng)代碼技術(shù)（如否Java、VBscript等）的使用是否提供限制功能，包括防止移動(dòng)代碼的執(zhí)行、對(duì)移動(dòng)代碼的源進(jìn)行身份認(rèn)證、限制移動(dòng)代碼與平臺(tái)系統(tǒng)通信、監(jiān)控移動(dòng)代碼的使用、對(duì)移動(dòng)代碼的完整性進(jìn)行檢查等；26.是否對(duì)安全相關(guān)模塊及是其關(guān)聯(lián)的數(shù)據(jù)庫服務(wù)器否等重要設(shè)備內(nèi)的重要信息資源（如系統(tǒng)組態(tài)信序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL息、程序、數(shù)據(jù)庫用戶及密碼表項(xiàng)）設(shè)置敏感標(biāo)記；27.是否依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作，如對(duì)組態(tài)信息、程序、實(shí)時(shí)數(shù)據(jù)庫表項(xiàng)等文件的訪問和修改操作進(jìn)行監(jiān)管，嚴(yán)格控制訪問權(quán)限；是否28.是否形成對(duì)訪問路徑、操作的記錄；是否29.訪問和使用控制策略是否未導(dǎo)致制造執(zhí)行層安全相關(guān)模塊處于完全鎖定和無法執(zhí)行安全功能的狀態(tài)；是否30.即使是對(duì)非安全相關(guān)部分的訪問，是否考慮到訪問控制策略所造成的負(fù)面影響，這些非安全部分的信息安全措施啟用也可能導(dǎo)致安全相關(guān)模塊受到限制。是否制造執(zhí)行層安全防護(hù)要求-資源控制-基本要求31.是否能夠監(jiān)視安全相關(guān)模塊與制造執(zhí)行層其他網(wǎng)絡(luò)接口處的的網(wǎng)絡(luò)流量、連接數(shù)、會(huì)話數(shù)等網(wǎng)絡(luò)資源信息，并根據(jù)安全策略要求對(duì)流量、連接數(shù)進(jìn)行限制；是否32.終端的操作超時(shí)鎖定；是否33.是否根據(jù)應(yīng)用軟件用戶是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL的角色進(jìn)行資源訪問的限制，防止角色之間的交叉訪問；否34.是否限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度，對(duì)單個(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制；是否35.是否對(duì)安全相關(guān)模塊的能力；是否36.是否建立起資源異常與生產(chǎn)過程關(guān)鍵參數(shù)異常之間的關(guān)聯(lián)關(guān)系，并考慮在達(dá)到特定閾值時(shí)將生產(chǎn)過程直接導(dǎo)入安全狀態(tài)；是否37.受限時(shí)給出報(bào)警和提過程導(dǎo)向安全狀態(tài)。是否制造執(zhí)行層安全防護(hù)要求-資源控制-加強(qiáng)要求38.是否能對(duì)數(shù)據(jù)庫服務(wù)器，安全集中管理平臺(tái)主機(jī)系統(tǒng)等重要系統(tǒng)進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)CPU硬盤、內(nèi)存等資源的使用情況；動(dòng)態(tài)監(jiān)視軟件進(jìn)程占用的資源，提供限制資源使用的能力，防止資源耗盡。是否制造執(zhí)行層安全防護(hù)要求-數(shù)據(jù)安全-基本要求39.是否能夠檢測(cè)安全相關(guān)模塊內(nèi)所有的系統(tǒng)管理是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL數(shù)據(jù)、用戶組態(tài)數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)、鑒別和認(rèn)證信息等在傳輸和存儲(chǔ)過程中完整性是否受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)及時(shí)采取必要的恢復(fù)措施；40.安全相關(guān)模塊主機(jī)系統(tǒng)以及數(shù)據(jù)庫服務(wù)器等業(yè)務(wù)系統(tǒng)是否具備對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行完整性和正確性檢測(cè)功能，故障時(shí)進(jìn)行報(bào)警和記錄；是否41.過程中提供保密性能力；注：一般使用私有協(xié)議往往可認(rèn)為是具有保密性的，采用密碼學(xué)加密機(jī)制則具有更高的保密性。是否42.是否提供對(duì)人員接口輸入的參數(shù)的合理性的檢驗(yàn)?zāi)芰?；是?3.是否保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件的用戶鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中；是否44.是否確保系統(tǒng)內(nèi)的文等資源所在的存儲(chǔ)空是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL間，被釋放或重新分配給其他用戶前得到完全清除；45.是否提供對(duì)數(shù)據(jù)庫/服務(wù)器中數(shù)據(jù)的備份能力；是否46.是否支持關(guān)鍵數(shù)據(jù)庫/服務(wù)器進(jìn)行硬件冗余設(shè)置；是否47.是否支持啟用自動(dòng)數(shù)據(jù)備份的能力，保證當(dāng)主數(shù)據(jù)庫/服務(wù)器出現(xiàn)故障時(shí)冗余設(shè)備可以切換并恢復(fù)數(shù)據(jù)；是否48.如在數(shù)據(jù)恢復(fù)過程中無法保證安全功能的有效執(zhí)行，則對(duì)于要求運(yùn)行模式該恢復(fù)時(shí)間是否納入安全功能失效概率或頻率的計(jì)算之中，對(duì)于連續(xù)運(yùn)行模式下不應(yīng)在正常運(yùn)行過程中執(zhí)行數(shù)據(jù)恢復(fù)；是否49.保密性安全機(jī)制是否對(duì)數(shù)據(jù)存儲(chǔ)或傳輸過程中的時(shí)間性造成不可接受的負(fù)面影響；是否50.是否提供恢復(fù)到出廠設(shè)置的能力。是否僅能在生產(chǎn)過程處于最終安全狀態(tài)，管理過程就位時(shí)執(zhí)行恢復(fù)出廠設(shè)置，且在執(zhí)行了恢復(fù)出廠設(shè)置之后對(duì)系統(tǒng)進(jìn)行重新安全確認(rèn)。是否制造執(zhí)行層安全防護(hù)要求-入侵防御-基本要求51.能夠監(jiān)視邊界處的常見是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL網(wǎng)絡(luò)攻擊行為，并能夠在檢測(cè)到攻擊行為時(shí)實(shí)IP類型、攻擊目的、攻擊時(shí)間，并提供報(bào)警；注：常見網(wǎng)絡(luò)攻擊行為包括端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢IP網(wǎng)絡(luò)蠕蟲攻擊等；52.安全相關(guān)模塊主機(jī)系統(tǒng)以及數(shù)據(jù)庫服務(wù)器等業(yè)務(wù)系統(tǒng)是否開啟內(nèi)置防火墻功能；是否53.安全相關(guān)模塊主機(jī)系統(tǒng)以及數(shù)據(jù)庫服務(wù)器等業(yè)務(wù)系統(tǒng)是否部署通過安全驗(yàn)證的防病毒軟件或基于白名單機(jī)制的防病毒軟件；是否54.安全相關(guān)模塊、數(shù)據(jù)庫服務(wù)器等主機(jī)設(shè)備操作系統(tǒng)是否采用最小化系統(tǒng)安裝原則，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件；是否55.是否對(duì)安全相關(guān)模塊、數(shù)據(jù)庫服務(wù)器等系統(tǒng)的物理接口進(jìn)行限制，禁止USB接口或使用USB端口設(shè)備綁定；部署文件拷貝中轉(zhuǎn)設(shè)備，對(duì)通過存儲(chǔ)介質(zhì)中轉(zhuǎn)的數(shù)據(jù)進(jìn)行病毒和木馬的查殺；是否56.接口輸入的數(shù)據(jù)格式、是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL長(zhǎng)度符合系統(tǒng)要求；57.是否能夠?qū)\(yùn)行軟件自身的完整性進(jìn)行檢查，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；是否58.是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到安全相關(guān)模塊的行為和未授權(quán)用戶私自連接到外部其它層次網(wǎng)絡(luò)的行為進(jìn)行檢查；是否59.是否禁止任何非應(yīng)急目的個(gè)人間通信；是否60.是否在設(shè)計(jì)過程中明確在檢測(cè)到特定入侵攻擊后的系統(tǒng)行為，包括將生產(chǎn)過程直接導(dǎo)入安全狀態(tài)或僅給出報(bào)警，具體設(shè)置方式需要通過分析確定；是否61.檢測(cè)到特定入侵攻擊后的系統(tǒng)行為要滿足相應(yīng)的過程安全時(shí)間要求，相關(guān)時(shí)間是否納入對(duì)危險(xiǎn)失效概率或頻率的計(jì)算之中；是否62.系統(tǒng)補(bǔ)丁和病毒庫的更新是否在線下模擬系統(tǒng)中進(jìn)行嚴(yán)格的驗(yàn)證，在不影響系統(tǒng)可用性、實(shí)時(shí)性和穩(wěn)定性的前提下實(shí)施更新。是否制造執(zhí)行層安全防護(hù)要求-安全審計(jì)-基本要求63.網(wǎng)絡(luò)流量等進(jìn)行審計(jì)；是否64.是否對(duì)數(shù)據(jù)庫服務(wù)器以是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL及安全相關(guān)模塊主機(jī)系統(tǒng)的各類軟/硬件設(shè)備的操作事件（包括用戶登錄事件、組態(tài)事件、編程事件、控制操控事件、系統(tǒng)進(jìn)程事件、客戶端請(qǐng)求事件、數(shù)據(jù)傳輸事件）、系統(tǒng)資源的異常使用等進(jìn)行安全審計(jì)；否65.審計(jì)事件記錄是否包含充分的信息，例如：日期和時(shí)間、來源（源設(shè)備、軟件進(jìn)程或人員用戶帳戶事件ID是否66.是否提供只讀方式讀取審計(jì)記錄；是否67.審計(jì)任務(wù)時(shí)鐘是否保持與系統(tǒng)主時(shí)鐘同步；是否68.安全相關(guān)模塊主機(jī)系統(tǒng)以及數(shù)據(jù)庫服務(wù)器的各類軟/硬件設(shè)備是否具備審計(jì)記錄存儲(chǔ)功能，是否具有合理的存儲(chǔ)空間，且不應(yīng)因?yàn)橐活愂录榉簩?dǎo)致其它事件無法記錄或被覆蓋；是否69.是否能夠自動(dòng)分析審計(jì)數(shù)據(jù)，對(duì)其中造成對(duì)安全功能不利的事件進(jìn)行提取和分析，并在必要時(shí)給出預(yù)警。是否制造執(zhí)行層安全防護(hù)要求-安全審計(jì)-加強(qiáng)要求70.傳輸給審計(jì)系統(tǒng)平臺(tái)的是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL能力。例如：設(shè)備應(yīng)提供應(yīng)用編程接口（API），提供編程訪問審計(jì)記錄的能力；71.是否提供專門的安全審計(jì)工具，能自動(dòng)獲取過記錄。是否過程監(jiān)控層安全防護(hù)要求-區(qū)域劃分-基本要求72.是否將安全監(jiān)控網(wǎng)絡(luò)與非安全監(jiān)控網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)或物理分段；是否73.是否在安全工程師站、安全操作員站與制造執(zhí)行層網(wǎng)絡(luò)間采用數(shù)據(jù)隔離措施；是否74.安全工程師站與安全操作員站是否獨(dú)立部署；是否75.各個(gè)安全監(jiān)控網(wǎng)段的服務(wù)器是否直接連接在同一個(gè)網(wǎng)絡(luò)上；是否76.非實(shí)時(shí)應(yīng)用的服務(wù)器與生產(chǎn)相關(guān)的實(shí)時(shí)數(shù)據(jù)庫的通信是否部署隔離設(shè)備；是否77.是否根據(jù)各系統(tǒng)的功照方便管理和控制為原是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL則為各網(wǎng)段分配地址，過程監(jiān)控層各網(wǎng)段應(yīng)相互隔離，原則上不直接連接在一起。過程監(jiān)控層安全防護(hù)要求-身份鑒別與認(rèn)證-基本要求78.安全工程師站、安全操作員站、通信服務(wù)器、操作功能；是否79.可實(shí)現(xiàn)更改安全控制器造的；是否80.網(wǎng)絡(luò)設(shè)備是否提供唯一地鑒別和認(rèn)證全部人員用戶的能力；是否81.人員訪問接口是否未使用默認(rèn)登錄憑據(jù)；是否82.是否能支持對(duì)不同的訪問人員/組配置不同的身份標(biāo)識(shí)；是否83.否對(duì)不同的訪問人員/度和多種字符類型，并是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL應(yīng)定期更換口令；84.在進(jìn)行鑒別時(shí)，是否提供顯示鑒別結(jié)果信息的能力，例如：身份驗(yàn)證成功或身份驗(yàn)證失敗。但鑒別失敗時(shí)，是否不會(huì)指明是什么原因?qū)е妈b別失敗；是否85.是否及時(shí)刪除多余的、過期的賬戶，避免共享賬戶的存在；是否86.是否對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；是否87.是否對(duì)安全相關(guān)模塊的網(wǎng)絡(luò)地址進(jìn)行限制，能根據(jù)網(wǎng)絡(luò)標(biāo)識(shí)、進(jìn)程標(biāo)識(shí)、服務(wù)標(biāo)識(shí)等方式對(duì)發(fā)起服務(wù)請(qǐng)求的發(fā)送方進(jìn)行身份識(shí)別；是否88.過程監(jiān)控層安全相關(guān)設(shè)備之間，是否在存在數(shù)據(jù)交互關(guān)系的設(shè)備間實(shí)現(xiàn)身份標(biāo)識(shí)；是否89.是否對(duì)發(fā)起服務(wù)請(qǐng)求的安全控制器進(jìn)行身份識(shí)別；是否90.不同的設(shè)備是否配置為不同的標(biāo)識(shí)符；是否91.是否定期更新密碼、密鑰和權(quán)限。是否92.完成鑒別和認(rèn)證的情提前設(shè)計(jì)補(bǔ)償措施，補(bǔ)是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL償措施本身不應(yīng)造成額外的信息安全脆弱性；93.對(duì)于實(shí)時(shí)性操作的人員是訪問，例如：對(duì)功能安否全控制回路操作的訪問控制，是否分析采取的訪問控制措施對(duì)該安全功能的響應(yīng)時(shí)間的影響，應(yīng)確保該安全功能能被及時(shí)正確執(zhí)行；94.對(duì)于非實(shí)時(shí)性操作的人是員訪問，例如：組態(tài)/否配置，數(shù)據(jù)讀取，是否針對(duì)任何用戶在可配置時(shí)間周期內(nèi)，對(duì)連續(xù)無效的訪問嘗試進(jìn)行可配置次數(shù)限制。當(dāng)限制次數(shù)超出后，應(yīng)在規(guī)定的周期內(nèi)拒絕訪問或者直到管理員解鎖；95.對(duì)于實(shí)時(shí)性操作的人員是訪問，例如：對(duì)功能安否全控制回路操作的訪問控制，是否設(shè)計(jì)為不會(huì)在身份驗(yàn)證失敗后導(dǎo)向拒絕訪問的狀態(tài)。否則會(huì)導(dǎo)致安全控制回路無法操作；但應(yīng)對(duì)多次錯(cuò)誤登錄嘗試或登錄鎖定情況進(jìn)行監(jiān)視，并在出現(xiàn)該情況時(shí)給出相應(yīng)報(bào)警提示，并采取自動(dòng)或人工的方式對(duì)生產(chǎn)過程相關(guān)的安全相關(guān)參數(shù)進(jìn)行檢查，以確保生產(chǎn)過程無異常；注：身份驗(yàn)證失效信息需進(jìn)入審計(jì)記錄；96.如需無線接入，是否執(zhí)是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL行專項(xiàng)的信息安全評(píng)估，確定風(fēng)險(xiǎn)可接受，不宜通過無線接入執(zhí)行安全功能；否97.行專項(xiàng)的信息安全評(píng)安全功能。是否過程監(jiān)控層安全防護(hù)要求-身份鑒別與認(rèn)證-加強(qiáng)要求98.是否對(duì)軟件進(jìn)程進(jìn)行身份鑒別與認(rèn)證；是否99.過程監(jiān)控層安全相關(guān)設(shè)備之間，是否在存在數(shù)據(jù)交互關(guān)系的設(shè)備及進(jìn)程間實(shí)現(xiàn)身份鑒別與認(rèn)證；是否100.是否對(duì)發(fā)起服務(wù)請(qǐng)求的安全控制器及其軟件進(jìn)程進(jìn)行身份鑒別與認(rèn)證；是否101.如果采用公鑰基礎(chǔ)設(shè)施（PKI）證書來實(shí)現(xiàn)身GB/T35673PKI證書和公鑰鑒別強(qiáng)度的要求。是否過程監(jiān)控層安全防護(hù)要求-訪問與使用控制-基本要求102.對(duì)于安全工程師站、安全操作員站是否提供不同用戶具有不同權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；是否103.權(quán)限，授予用戶所需的是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL最小權(quán)限；并實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；104.功能安全相關(guān)系統(tǒng)是否只開啟必要接口；是否105.是否在會(huì)話處于非活躍是時(shí)間或會(huì)話結(jié)束后終止否會(huì)話，終止鏈接動(dòng)作可以由被請(qǐng)求數(shù)據(jù)的設(shè)備或程序執(zhí)行，也可以由防護(hù)設(shè)備執(zhí)行；106.是否在過程監(jiān)控層安全是網(wǎng)絡(luò)與上層網(wǎng)絡(luò)通信處否部署隔離設(shè)備或采用其他隔離技術(shù)手段，保證兩個(gè)層次網(wǎng)絡(luò)間的邏輯隔離；107.對(duì)可能對(duì)系統(tǒng)造成破壞是的移動(dòng)代碼技術(shù)（如否Java、VBscript等）的使用是否提供限制功能，包括防止移動(dòng)代碼的執(zhí)行、對(duì)移動(dòng)代碼的源進(jìn)行身份認(rèn)證、限制移動(dòng)代碼與控制系統(tǒng)通信、監(jiān)控移動(dòng)代碼的使用、對(duì)移動(dòng)代碼的完整性進(jìn)行檢查等；108.是否對(duì)安全工程師站、是安全操作員站、通信服否務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器等重要設(shè)備內(nèi)的重要信息資源（如系統(tǒng)組態(tài)信息、控制程序、實(shí)時(shí)數(shù)據(jù)庫用戶及密碼表項(xiàng)、通信服務(wù)器數(shù)據(jù)文件）設(shè)置敏感標(biāo)記；是否依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL要信息資源的操作，如109.是否禁用組態(tài)服務(wù)器、通信服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫等業(yè)務(wù)系統(tǒng)以及安全工程師站、安全操作員站主機(jī)系統(tǒng)的無用端口和服務(wù)；是否110.如果在功能安全相關(guān)系統(tǒng)的顯示功能或監(jiān)控功能中實(shí)施了信息安全防護(hù)措施，則信息安全防護(hù)措施是否影響到操作員為確保工廠安全所需的操作功能和操作及時(shí)性；是否111.對(duì)于安全工程師站，是否對(duì)訪問控制措施的執(zhí)行情況進(jìn)行監(jiān)視，當(dāng)出現(xiàn)異常時(shí)具有執(zhí)行附加的人工或自動(dòng)審查的能力；是否112.否未導(dǎo)致安全工程師功能的狀態(tài)。是否過程監(jiān)控層安全防護(hù)要求-訪問與使用控制-加強(qiáng)要求113.是否在過程監(jiān)控層安全網(wǎng)絡(luò)與上層網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能，設(shè)定訪問控制策略，對(duì)從上層發(fā)起的訪問進(jìn)行源地是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL目的端口和協(xié)議等項(xiàng)目的檢查，以允許/拒絕數(shù)據(jù)包的出入。過程監(jiān)控層安全防護(hù)要求-資源控制-基本要求114.是否能夠監(jiān)視安全網(wǎng)絡(luò)流量、連接數(shù)等網(wǎng)絡(luò)資源信息，并根據(jù)安全策略要求對(duì)流量、連接數(shù)進(jìn)行限制；是否115.終端的操作超時(shí)鎖定；是否116.是否根據(jù)安全控制應(yīng)用軟件用戶的角色進(jìn)行資源訪問的限制，防止角色之間的交叉訪問；是否117.是否限制單個(gè)用戶對(duì)安全相關(guān)系統(tǒng)資源的最大或最小使用限度，對(duì)單個(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制；是否118.是否對(duì)關(guān)鍵服務(wù)器、主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備提供切換至和切換出應(yīng)急電源供應(yīng)的能力；是否119.服務(wù)器和主機(jī)系統(tǒng)是否提供限制資源使用的能力，以防止資源耗盡，造成安全功能無法執(zhí)行；是否120.監(jiān)控界面和組態(tài)界面中是否能獲取所有現(xiàn)場(chǎng)智能設(shè)備、安全控制器的詳細(xì)部件清單；是否121.當(dāng)在安全工程師站持續(xù)是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL據(jù)等未被篡改或破壞。過程監(jiān)控層安全防護(hù)要求-資源控制-加強(qiáng)要求122.安全網(wǎng)絡(luò)是否提供檢測(cè)和防范DoS事件的能力。是否過程監(jiān)控層安全防護(hù)要求-數(shù)據(jù)安全-基本要求123.是否能夠檢測(cè)安全網(wǎng)絡(luò)內(nèi)所有的系統(tǒng)管理數(shù)據(jù)、用戶組態(tài)數(shù)據(jù)、控/程序數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)、鑒別和認(rèn)證信息等在傳輸和存儲(chǔ)過程中完整性是否受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)及時(shí)采取必要的恢復(fù)措施；是否124.系統(tǒng)以及安全工程師報(bào)警和記錄；是否125.是否能夠采用加密技術(shù)或其他有效的技術(shù)手段實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、用/程序數(shù)據(jù)、鑒別和認(rèn)證信息在傳輸和存儲(chǔ)過程中提供加密或其他同等功效的技術(shù)能力；注1：一般使用私有協(xié)議往往可認(rèn)為是具有保密性的，采用密碼學(xué)加密機(jī)制則具有更高的保密性。是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL注2：功能安全相關(guān)系統(tǒng)的實(shí)時(shí)數(shù)據(jù)，因?yàn)橥簧婕暗街匾に噮?shù)，一般不需要考慮保密性。126.是否提供對(duì)人員接口輸入?yún)?shù)的合理性的檢驗(yàn)?zāi)芰Γ皇欠?27.是否保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件的用戶鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中；是否128.是否確保系統(tǒng)內(nèi)的文等資源所在的存儲(chǔ)空清除；是否129.是否保證工程組態(tài)文清除；是否130.是否提供恢復(fù)到出廠設(shè)置的能力；是否131.是否提供對(duì)實(shí)時(shí)數(shù)據(jù)重要數(shù)據(jù)庫/服務(wù)器中數(shù)據(jù)的備份能力；是否132.是否支持關(guān)鍵數(shù)據(jù)庫/據(jù)備份的能力，保證當(dāng)是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL主數(shù)據(jù)庫/服務(wù)器出現(xiàn)故障時(shí)冗余設(shè)備可以切換并恢復(fù)數(shù)據(jù)；133.設(shè)備是否具備關(guān)鍵數(shù)據(jù)掉電保持能力。是否134.在審計(jì)蹤跡超過預(yù)定值或存滿時(shí)，是否采取相應(yīng)的措施防止數(shù)據(jù)丟失；是否135.如在過程監(jiān)控層數(shù)據(jù)恢復(fù)過程中無法保證安全功能的有效執(zhí)行，則對(duì)于要求運(yùn)行模式該恢復(fù)時(shí)間是否納入安全功能失效概率或頻率的計(jì)算之中，對(duì)于連續(xù)運(yùn)行模式下不應(yīng)在正常運(yùn)行過程中執(zhí)行數(shù)據(jù)恢復(fù)；是否136.保密性安全機(jī)制是否對(duì)數(shù)據(jù)存儲(chǔ)或傳輸過程中的時(shí)間性造成不可接受的負(fù)面影響；是否137.如涉及到對(duì)安全功能數(shù)據(jù)傳輸過程保密性的增加，是否通過分析論證其仍然符合功能安全通信機(jī)制，例如對(duì)位錯(cuò)誤率的假設(shè)仍然符合預(yù)期等。是否過程監(jiān)控層安全防護(hù)要求-數(shù)據(jù)安全-加強(qiáng)要求138.安全操作員站與安全控制器通信時(shí)采用私有協(xié)議，或?qū)Π踩僮鲾?shù)據(jù)采用加密技術(shù)，且加解密失效時(shí)是否將通信數(shù)據(jù)導(dǎo)向安全數(shù)據(jù)進(jìn)行處理。是否過程監(jiān)控層安全防護(hù)要求-入侵防御-基本要求139.組態(tài)服務(wù)器、通信服務(wù)是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL系統(tǒng)以及安全工程師制的防病毒軟件；否140.系統(tǒng)以及安全工程師墻功能；是否141.安全工程師站、安全操作員站、通信服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器、監(jiān)控中心等主機(jī)設(shè)備操作系統(tǒng)是否采用最小化系統(tǒng)安裝原則，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件；是否142.是否對(duì)安全工程師站、安全操作員站、通信服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器、監(jiān)控中心等系統(tǒng)的物理接口進(jìn)行限制，禁止USB接口或使用USB端口設(shè)備綁定；部署文件拷貝中轉(zhuǎn)設(shè)備，對(duì)通過存儲(chǔ)介質(zhì)中轉(zhuǎn)的數(shù)據(jù)進(jìn)行病毒和木馬的查殺；是否143.查，并在檢測(cè)到完整性是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL受到破壞后具有恢復(fù)的措施；144.是否能夠?qū)M態(tài)軟件和監(jiān)控軟件自身的完整性進(jìn)行檢查，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；是否145.是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自連接到安全網(wǎng)絡(luò)的行為和未授權(quán)用戶私自連接到外部其它層次網(wǎng)絡(luò)的行為進(jìn)行檢查；是否146.是否禁止任何非應(yīng)急目的個(gè)人間通信；是否147.系統(tǒng)補(bǔ)丁和病毒庫的更新是否在線下模擬系統(tǒng)中進(jìn)行嚴(yán)格的驗(yàn)證，在不影響系統(tǒng)可用性、實(shí)時(shí)性和穩(wěn)定性的前提下實(shí)施更新；是否148.當(dāng)在安全工程師站或組態(tài)服務(wù)器頻繁監(jiān)測(cè)到入侵時(shí)，是否具有執(zhí)行附加的人工或自動(dòng)審查的能力，以確保安全配置程序、數(shù)據(jù)等未被篡改或破壞；應(yīng)具有對(duì)生產(chǎn)過程關(guān)鍵工藝參數(shù)進(jìn)行檢查的能力，以確保生產(chǎn)過程持續(xù)安全；是否149.是否在設(shè)計(jì)過程中明確在檢測(cè)到特定入侵攻擊后的系統(tǒng)行為，包括將生產(chǎn)過程直接導(dǎo)入安全狀態(tài)或僅給出報(bào)警，具體設(shè)置方式需要通過分析確定；是否150.在檢測(cè)到特定入侵攻擊后的系統(tǒng)行為是否滿足是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL相應(yīng)的過程安全時(shí)間要求，相關(guān)時(shí)間應(yīng)納入對(duì)危險(xiǎn)失效概率或頻率的計(jì)算之中；151.SIL止時(shí)間計(jì)算。是否過程監(jiān)控層安全防護(hù)要求-入侵防御-加強(qiáng)要求152.是否在過程監(jiān)控層安全網(wǎng)絡(luò)與上層網(wǎng)絡(luò)間部署入侵防護(hù)設(shè)備，能夠監(jiān)視邊界處的常見網(wǎng)絡(luò)攻擊行為（包括端口掃描攻擊、強(qiáng)力攻擊、木馬后門攻擊、DoS攻擊、IP碎并能夠在檢測(cè)到攻擊行為時(shí)實(shí)時(shí)記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，并提供報(bào)警。是否過程監(jiān)控層安全防護(hù)要求-安全審計(jì)-基本要求153.是否對(duì)安全網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行審計(jì)；是否154.的各類軟/硬件設(shè)備的操作事件（錄事件、組態(tài)事件、編是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL/事件、控制操控事件、系統(tǒng)進(jìn)程事件、客戶端請(qǐng)求事件、數(shù)據(jù)傳輸事件、通信服務(wù)器進(jìn)程事件）、系統(tǒng)資源的異常使用等進(jìn)行安全審計(jì)；155.審計(jì)事件記錄是否包含充分的信息，例如：日期和時(shí)間、來源（源設(shè)備、軟件進(jìn)程或人員用戶帳戶事件ID是否156.是否提供只讀方式讀取審計(jì)記錄；是否157.審計(jì)任務(wù)時(shí)鐘是否保持與系統(tǒng)主時(shí)鐘同步；是否158.組態(tài)服務(wù)器、通信服務(wù)器、數(shù)據(jù)庫服務(wù)器以及安全工程師站、安全操作員站主機(jī)系統(tǒng)的各類軟/硬件設(shè)備是否具備審計(jì)記錄存儲(chǔ)功能，應(yīng)具有合理的存儲(chǔ)空間，且不應(yīng)因?yàn)橐活愂录榉簩?dǎo)致其它事件無法記錄或被覆蓋；是否159.是否能夠自動(dòng)分析審計(jì)數(shù)據(jù)，對(duì)其中造成對(duì)安全功能不利的事件進(jìn)行提取和分析，并在必要時(shí)給出預(yù)警；是否160.對(duì)安全功能的負(fù)面影是否161.是否通過日志分析并結(jié)合適當(dāng)?shù)男畔踩攘渴欠裥蛱?hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL信息來對(duì)安全功能的影響情況進(jìn)行可能性判斷。過程監(jiān)控層安全防護(hù)要求-安全審計(jì)-加強(qiáng)要求162.是否支持將審計(jì)事件統(tǒng)一傳輸給審計(jì)系統(tǒng)平臺(tái)的能力。例如：設(shè)備應(yīng)提供應(yīng)用編程接口（API），提供編程訪問審計(jì)記錄的能力；是否163.是否提供專門的安全審計(jì)工具，能自動(dòng)獲取過記錄。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-區(qū)域劃分-基本要求164.是否根據(jù)工藝情況和被保護(hù)資產(chǎn)的重要程度，對(duì)安全控制網(wǎng)絡(luò)和非安全控制網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)或物理分段；是否165.是否根據(jù)工藝情況和被保護(hù)資產(chǎn)的重要程度，對(duì)不同的安全控制網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)或物理分段；是否166.是否按照方便管理和控制為原則為各區(qū)域分配網(wǎng)段地址；是否167.在執(zhí)行完分區(qū)分段后，是否采取分析或測(cè)試的方式驗(yàn)證安全控制功能的功能和安全性能符合設(shè)計(jì)預(yù)期；是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL168.當(dāng)存在安全控制和非安全控制共用部件時(shí)，是否考慮到分區(qū)或分段的合理性。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-身份鑒別與認(rèn)證-基本要求169.安全控制器或網(wǎng)絡(luò)設(shè)（例如：配置和運(yùn)維功能；是否170.安全控制器是否提供唯一地鑒別和認(rèn)證全部人員用戶的能力，當(dāng)人員用戶通過非受信網(wǎng)絡(luò)訪問安全控制器時(shí)，安全控制器應(yīng)具有多因子身份鑒別的能力；是否171.網(wǎng)絡(luò)設(shè)備是否提供唯一地鑒別和認(rèn)證全部人員用戶的能力；是否172.人員訪問接口是否未使用默認(rèn)登錄憑據(jù)；是否173.是否支持對(duì)不同的訪問人員/組配置不同的身份標(biāo)識(shí)；是否174./組配置不同的賬號(hào)和并定期更換口令；是否175.但鑒別失敗時(shí)，不應(yīng)指是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL明是什么原因?qū)е妈b別失??；176.器的網(wǎng)絡(luò)地址進(jìn)行限身份識(shí)別；是否177.安全控制器是否能對(duì)安全工程師站及其下載、調(diào)試等軟件進(jìn)程進(jìn)行身份識(shí)別和認(rèn)證；是否178.安全控制器是否能對(duì)發(fā)起服務(wù)請(qǐng)求的現(xiàn)場(chǎng)控制層設(shè)備（例如：另一臺(tái)安全控制器）進(jìn)行身份識(shí)別；是否179.現(xiàn)場(chǎng)總線型架構(gòu)下，安全控制器是否能對(duì)發(fā)送用于邏輯運(yùn)算的實(shí)時(shí)現(xiàn)場(chǎng)數(shù)據(jù)的現(xiàn)場(chǎng)智能設(shè)備進(jìn)行身份識(shí)別；是否180.不同的控制器或網(wǎng)絡(luò)設(shè)備是否具有不同的標(biāo)識(shí)符；是否181.器間通信的遠(yuǎn)程接入級(jí)別的安全防護(hù)能力；是否182.行專項(xiàng)的信息安全評(píng)不宜通過無線接入安全是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL控制器或網(wǎng)絡(luò)設(shè)備；183.175182中身份/標(biāo)識(shí)符是否至少區(qū)分設(shè)備/進(jìn)程的類型；是否184.的人員用戶訪問接口全防護(hù)；是否185.員鑒別，例如：組態(tài)/戶在可配置時(shí)間周期機(jī)制。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-身份鑒別與認(rèn)證-加強(qiáng)要求186.安全控制器側(cè)是否對(duì)過程監(jiān)控層的服務(wù)請(qǐng)求的發(fā)送方進(jìn)行身份識(shí)別和認(rèn)證；是否187.安全控制器側(cè)是否對(duì)現(xiàn)場(chǎng)控制層的服務(wù)請(qǐng)求的發(fā)送方進(jìn)行身份識(shí)別和認(rèn)證；是否188.現(xiàn)場(chǎng)總線型架構(gòu)下，安全控制器是否對(duì)發(fā)送實(shí)時(shí)現(xiàn)場(chǎng)數(shù)據(jù)的現(xiàn)場(chǎng)智能設(shè)備進(jìn)行身份識(shí)別和認(rèn)證；是否189.如果采用公鑰基礎(chǔ)設(shè)施是序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL（PKI）證書來實(shí)現(xiàn)身份識(shí)別和認(rèn)證，是否有證據(jù)證明符合GB/T35673中關(guān)于PKI證書和公鑰鑒別強(qiáng)度的要求；否190.是否可以唯一地鑒別和認(rèn)證每個(gè)設(shè)備/進(jìn)程。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-訪問與使用控制-基本要求191.對(duì)于安全控制器或網(wǎng)絡(luò)設(shè)備是否提供不同用戶具有不同權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；是否192.是否在現(xiàn)場(chǎng)控制層網(wǎng)絡(luò)與過程監(jiān)控層網(wǎng)絡(luò)間設(shè)置訪問控制措施，對(duì)從過程監(jiān)控層發(fā)起的訪問的訪問控制；是否193.是否只開啟必要接口；是否194.在現(xiàn)場(chǎng)控制層內(nèi)的不同信息安全防護(hù)區(qū)域間是否增加安全連接控制功能，建立區(qū)域安全訪問路徑，對(duì)各安全區(qū)域之間的訪問進(jìn)行連接控制；是否195.是否提供針對(duì)工程師讀寫數(shù)據(jù)、下載程序、是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL用戶組態(tài)、設(shè)備操控命令、設(shè)置配置等行為；196.是否對(duì)安全控制器內(nèi)的配置信息、控制程序、數(shù)據(jù)塊等重要信息資源進(jìn)行訪問控制；是否197.是否禁止應(yīng)用移動(dòng)代碼；是否198.是否通過管理手段或技1限定可接入的便攜式設(shè)備，進(jìn)行統(tǒng)一管理；2便攜式設(shè)備只有在必要時(shí)才允許接入，使用完后應(yīng)立即撤出；3便攜式設(shè)備接入時(shí)應(yīng)是否199.對(duì)安全控制器的任何訪問與使用控制措施是否未對(duì)其實(shí)時(shí)的安全邏輯執(zhí)行造成不可接受的負(fù)面影響，或在出現(xiàn)負(fù)面影響時(shí)安全控制器可以自主導(dǎo)向安全狀態(tài)；是否200.安全控制器是否具有在多次或長(zhǎng)時(shí)間監(jiān)測(cè)到異常訪問與使用時(shí)給出報(bào)警或直接導(dǎo)向安全狀態(tài)的能力。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-資源控制-基本要求201.是否能夠監(jiān)視安全控制器或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)流量、連接數(shù)等網(wǎng)絡(luò)資源信息，并根據(jù)安全策略要求對(duì)流量、連接數(shù)進(jìn)行限制；是否202.是否通過設(shè)定設(shè)備接入方式、網(wǎng)絡(luò)地址范圍等是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL條件限制設(shè)備接入網(wǎng)絡(luò)；203.安全控制器是否提供切換至和切換出應(yīng)急電源供應(yīng)的能力；是否204.安全控制器協(xié)議?；蚓W(wǎng)絡(luò)設(shè)備是否禁用無用端口和服務(wù)；是否205.是否對(duì)安全控制器的運(yùn)CPU信息等）的訪問；是否206.當(dāng)持續(xù)監(jiān)控到資源狀態(tài)異常時(shí)，安全控制器是否有能力仍能按照預(yù)定的邏輯和時(shí)間導(dǎo)入安全狀態(tài)；是否207.當(dāng)在安全控制器上監(jiān)測(cè)到資源使用異常時(shí)，是否執(zhí)行附加的人工或自動(dòng)審查，以確保安全配置程序、數(shù)據(jù)等未被篡改或破壞；應(yīng)對(duì)生產(chǎn)過程關(guān)鍵工藝參數(shù)進(jìn)行檢查，以確保生產(chǎn)過程持續(xù)安全；是否208.安全控制器是否設(shè)計(jì)為優(yōu)先處理實(shí)時(shí)通信數(shù)據(jù)。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-資源控制-加強(qiáng)要求209.現(xiàn)場(chǎng)控制層是否提供檢測(cè)和防范DoS事件的能力。是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL現(xiàn)場(chǎng)控制層安全防護(hù)要求-數(shù)據(jù)安全-基本要求210.是否能夠檢測(cè)現(xiàn)場(chǎng)控制是層網(wǎng)絡(luò)內(nèi)所有的現(xiàn)場(chǎng)實(shí)否控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)等在傳輸和存儲(chǔ)過程中完整性是否受到破壞；211.是否具備利用密碼技術(shù)是或其他同等功效的技術(shù)否檢測(cè)數(shù)據(jù)包被修改的能力；212.是否保證數(shù)據(jù)在現(xiàn)場(chǎng)控是制層傳輸過程中的完整否性，包括防止數(shù)據(jù)包被插入、防止數(shù)據(jù)包被刪除、防止數(shù)據(jù)包被超期延遲、防止數(shù)據(jù)包被重排序和重放；213.是否基于風(fēng)險(xiǎn)評(píng)估或?qū)Ｊ情T的分析確定，是否需否要采用加密技術(shù)或其他同等功效的技術(shù)實(shí)現(xiàn)控制器的關(guān)鍵數(shù)據(jù)如組態(tài)的工藝工程文件、存儲(chǔ)的應(yīng)用程序等在存儲(chǔ)和傳輸過程中的保密性；214.是否保證在安全控制器是與安全控制器之間點(diǎn)對(duì)否點(diǎn)通信的過程中，會(huì)話的建立有相應(yīng)的身份認(rèn)證機(jī)制、會(huì)話過程中應(yīng)提供加密機(jī)制或其他等效技術(shù)手段保證會(huì)話不會(huì)被竊聽、在會(huì)話目的達(dá)到后及時(shí)關(guān)閉會(huì)話、在會(huì)話超時(shí)時(shí)提供會(huì)話超時(shí)響應(yīng)功能，如可關(guān)閉會(huì)話也可重新進(jìn)行會(huì)序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL話認(rèn)證。215.是否提供對(duì)接口輸入的參數(shù)的合理性的檢驗(yàn)?zāi)芰Γ皇欠?16.是否能提供清除安全控制器或網(wǎng)絡(luò)設(shè)備內(nèi)所有存儲(chǔ)信息或恢復(fù)到出廠設(shè)置的能力；是否217.份數(shù)據(jù)進(jìn)行恢復(fù)；是否218.受的時(shí)間延遲等風(fēng)險(xiǎn)；是否219.圍內(nèi)；1：一般使用私有協(xié)密性。注2：功能安全相關(guān)系統(tǒng)的實(shí)時(shí)數(shù)據(jù)，因?yàn)橥簧婕暗街匾に噮?shù)，一般不需要考慮保密性。是否220.理措施到位的情況下執(zhí)序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL行恢復(fù)出廠設(shè)置，應(yīng)在完成恢復(fù)后重新進(jìn)行功能安全確認(rèn)；221.控制器內(nèi)部總線的通要求的協(xié)議。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-數(shù)據(jù)安全-加強(qiáng)要求222.與現(xiàn)場(chǎng)總線型儀表傳輸用于邏輯運(yùn)算的輸入/輸出實(shí)時(shí)通信數(shù)據(jù)時(shí)是否采用私有協(xié)議，或?qū)δ馨踩芈穼?shí)時(shí)通信數(shù)據(jù)采用加密技術(shù)，加解密失效時(shí)應(yīng)將實(shí)時(shí)通信數(shù)據(jù)導(dǎo)向安全數(shù)據(jù)進(jìn)行處理；是否223.安全控制器與安全操作員站通信時(shí)采用私有協(xié)議；或?qū)Π踩僮鲾?shù)據(jù)采用加密技術(shù)，加解密失效時(shí)是否將通信數(shù)據(jù)導(dǎo)向安全數(shù)據(jù)進(jìn)行處理。是否現(xiàn)場(chǎng)控制層安全防護(hù)要求-入侵防御-基本要求224.態(tài)，并采取恢復(fù)措施；是否225.是否在安全控制器入口端部署防護(hù)功能和設(shè)是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL（包括組態(tài)服務(wù)、數(shù)據(jù)上傳/下載服務(wù)、讀服務(wù)、寫服務(wù)、控制程序上傳/令服務(wù)等），能夠監(jiān)視邊界處的常見網(wǎng)絡(luò)行為，并能夠在檢測(cè)到攻擊行為時(shí)實(shí)時(shí)記錄攻擊行為的信息，并提供報(bào)警；226.是否限制對(duì)于發(fā)現(xiàn)入侵檢測(cè)后自動(dòng)恢復(fù)的次數(shù)，在多次恢復(fù)后當(dāng)再發(fā)現(xiàn)入侵應(yīng)考慮直接進(jìn)入安全狀態(tài)；是否227.具有的狀態(tài)和輸出等；是否228.安全控制器側(cè)是否具有DoS宜確保在遭受到DoS攻擊的情況下，可以實(shí)現(xiàn)降級(jí)運(yùn)行；應(yīng)在設(shè)計(jì)時(shí)考慮到外部威脅可能會(huì)利用DoS攻擊來持續(xù)觸發(fā)安全功能，導(dǎo)致頻繁誤動(dòng)；是否229.在檢測(cè)到特定入侵攻擊后的系統(tǒng)行為是否滿足相應(yīng)的過程安全時(shí)間要求，相關(guān)時(shí)間應(yīng)納入對(duì)危險(xiǎn)失效概率或頻率的計(jì)算之中；是否230.當(dāng)入侵防御停用或失效時(shí)，是否盡快恢復(fù)；如是否序號(hào)評(píng)測(cè)內(nèi)容是/否實(shí)現(xiàn)方法/設(shè)置措施輸入文檔/確認(rèn)來源是否涉及SIF預(yù)期SSIL果