電梯、自動扶梯和自動人行道的電氣要求 信息傳輸與控制安全 征求意見稿

5本文件規(guī)定了新的電梯、自動扶梯和自動人行道信息傳輸與控制安全的要求，本文件適用于按照過現(xiàn)場的永久設(shè)備或在安裝、使用和維修以及退役階段帶到現(xiàn)場使用的臨時設(shè)備來實凡是不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T7588.1—2020電梯制造與安裝安全規(guī)范第1部GB/T35673—2017工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級（IEC62443-3-GB/T40211—2021工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全GB/T42456—2023工業(yè)自動化和控制系統(tǒng)信息安全IACS組件的安全技術(shù)要求GB/T42457—2023工業(yè)自動化和控制系統(tǒng)信息安全產(chǎn)品安全開發(fā)生命周期要求（IEC62443（Securityforindustr6CCSC通用組件安全約束（commoncomponentsecurityconstrDM缺陷管理（defectmanagement）EDR嵌入式設(shè)備要求（embeddeddevicerequiremenEUC受控設(shè)備（equipmentundercontFR基本要求（foundationalrequiremeHDR主機設(shè)備要求（hostdevicerequirement）IACS工業(yè)自動化和控制系統(tǒng)（industrialautomationandcontrolsysteNDR網(wǎng)絡(luò)設(shè)備要求（networkdeviRE增強要求（requirementenhancSAR軟件應(yīng)用要求（softwareapplicationrSD安全設(shè)計（seSG安全導(dǎo)則（securiSI安全實施（securityi7SM安全管理（securSUM安全更新管理（securityupdateSVV安全驗證和確認(rèn)（securityverification4電梯、自動扶梯和自動人行道安全開發(fā)生命周期使用信息應(yīng)明確說明需要識別和管理在產(chǎn)品中89使用信息應(yīng)明確說明需要解決EUC全生命周期內(nèi)與GB/T35673—2017和GB/T42456—2023），域確保電梯、自動扶梯和自動人行道可用性的功能或能力，其符合安全規(guī)范，但不屬于安全或域用于在乘客被困情況下驗證被困狀態(tài)、呼救和與安全、基本或報警域123FR2–使用控制122122FR4–數(shù)據(jù)保密性122111FR6–對事件的及時響應(yīng)111122入式設(shè)備要求（EDRs）、主機設(shè)備要求（HDRs使用信息應(yīng)列出并解釋EUC系統(tǒng)中存在的所有安如果EUC依賴外部系統(tǒng)或服務(wù)來實現(xiàn)和維護目標(biāo)安文件完整性”使用信息應(yīng)明確說明驗證產(chǎn)品中包含的所外部提供組件的安全需求”使用信息應(yīng)明確說明需要識別和管理在產(chǎn)品中使用的所有由外部提供的組件的安全產(chǎn)品安全上下文”接收安全相關(guān)問題的通知”使用信息應(yīng)明確說明報告安全相關(guān)問題的解決安全相關(guān)的問題”安全更新文檔”使用信息應(yīng)明確說明獲取安全信息更新的安全更新交付”使用信息應(yīng)明確說明驗證安全補丁真實性安全補丁的及時交付”使用信息應(yīng)明確說明及時應(yīng)用安全補丁的產(chǎn)品縱深防御”使用信息應(yīng)在必要的范圍內(nèi)提供縱深防御環(huán)境中可預(yù)期的縱深防御措施”安全加固指南”使用信息應(yīng)包括在安裝和維修期間加固安全廢棄指南”安全操作指南”賬戶管理指南”A.2.1過程范圍分析組件和/或?qū)M件進行建模，并進行審查，A.2.2安全開發(fā)文檔設(shè)計文檔明確了每個安全需求和相關(guān)的安全控測試計劃列出了如何測試每個安全控制，以確報告總結(jié)了所執(zhí)行的分析結(jié)果，并重點指出了4.6.1—4.6.5記錄了在發(fā)生事件時結(jié)構(gòu)化應(yīng)對的規(guī)程，包括——識別和界定EUC；威脅模型和風(fēng)險分析從識別相關(guān)的攻擊者類型者，每個攻擊者在能力、意圖/動機和實施攻擊的資源上都和更有計劃的活動，包括滲透到制造供應(yīng)鏈和產(chǎn)品設(shè)施，可能需要考慮這些設(shè)施的應(yīng)用場景，以例如：采取防護措施以防范可能導(dǎo)致電梯服務(wù)被拒絕的網(wǎng)絡(luò)威脅。網(wǎng)絡(luò)安全風(fēng)險（威脅）評估指南見），通過識別每個可評估的已定義資產(chǎn)的單個風(fēng)險事件來定義第4.3.2條所述的威脅會如何發(fā)A.3.6評估個別風(fēng)險事件——風(fēng)險事件發(fā)生的可能性通常由發(fā)起攻擊的意圖/動機、必要的技能和資源以及發(fā)起攻擊對受保A.3.7創(chuàng)建安全要求在初始風(fēng)險評估之后，選擇有意義的對抗措施以降低評估出的超過先前定義的可接受風(fēng)險等級的A.3.8重復(fù)評估個別風(fēng)險事件使用選定的對抗措施重復(fù)初始風(fēng)險評估。重復(fù)此過程，直到剩余風(fēng)險低于可接受的風(fēng)A.3.9補償對抗措施應(yīng)用實例在威脅分析中確定補償對抗措施緩解的充分性。按照第4章中的安全開發(fā)生命周期記錄假設(shè)和結(jié)A.3.9.2遠程報警系統(tǒng)電話號碼在井道、機房和滑輪間，或者上鎖的控制柜的范圍），A.3.9.3讀取安全回路狀態(tài)回路的控制系統(tǒng)發(fā)生失效或故障，也能保持安全回路的完整性。這些方法可能方式是考慮風(fēng)險的一個關(guān)鍵方面。例如，如果EUC軟件或不是需要物理訪問來執(zhí)行或觸發(fā)更新，則EUC功能對建筑物的風(fēng)險評估有時表明需要比本文件中為典型電梯定義的信息安全等級更高的安全等級。A.3.10識別危及已識別資產(chǎn)的威脅設(shè)計階段嘗試檢測脆弱性，并使用行業(yè)標(biāo)準(zhǔn)最佳實踐來減少暴露的攻擊面是非常重要的?！獙⒂脩簟⒔涌谙到y(tǒng)或任務(wù)的訪問權(quán)限限制為各自功能所需的數(shù)有關(guān)安全最佳實踐的更多信息，參見參考文獻中的[10]~[除了針對不同編程語言的良好編碼實踐之外，指南還需列出不推薦使用有潛在可被利用風(fēng)險的編碼結(jié)構(gòu)或設(shè)計，這些實踐來自實例。指南通常還包含一個禁用/棄用函數(shù)列至少滿足以下條件的代碼需使用靜態(tài)代碼分析工——以高級權(quán)限執(zhí)行的代碼（例如：系統(tǒng)、管理員）；——安全相關(guān)代碼模塊（例如：認(rèn)證、授權(quán)、密碼、防火墻代碼等——用于配置訪問控制、處理加密密鑰或密碼的設(shè)置代碼。所有由靜態(tài)分析工具識別的違反編碼標(biāo)準(zhǔn)的風(fēng)險都需更新代碼時，可以自動分析代碼是否存在可能的記錄確保安全性（如密鑰或證書管理）的過程等級組件假設(shè)作為系統(tǒng)集成設(shè)計中的安全要求考慮（這可能是必要的，以確保組件聲明的安全是完整A.6.1通則除了作為產(chǎn)品開發(fā)一部分的正常測試和確認(rèn)過程之外，網(wǎng)絡(luò)安全驗證和測試計劃也是產(chǎn)品驗證階A.6.2動態(tài)分析A.6.3模糊測試如何進行模糊測試的描述、智能模糊測試或非智能A.6.4滲透測試A.6.5驗證威脅建模結(jié)果的對策是否正確實施對所有組件進行濫用用例測試和已知脆弱性測試，在測試中嘗試?yán)猛{模型中確定的所有已緩?fù)ㄟ^測試驗證已實施的安全應(yīng)對措施的有效性，并根據(jù)測試結(jié)果更新風(fēng)險評估結(jié)A.6.6獨立的第三方分析A.7產(chǎn)品生命周期內(nèi)的安全管理A.7.1安全相關(guān)問題的管理雖然解決測試過程中出現(xiàn)的脆弱性是安全開發(fā)過程的一部分，但也需要解決制造商或任何外部組報或者提供從內(nèi)部和外部接收安全問題信息途徑的過程開始。最佳實踐建議通過定義良好的過程對這地驗證問題以及更好地進行影響評估。檢查并A.7.2安全更新管理A.7.2.1通則制造商驗證該脆弱性的存在，并根據(jù)設(shè)備的預(yù)期使用情況來評估對EUC使用者外，設(shè)備制造商制定相關(guān)流程，以便告知EUC所有者其已安裝產(chǎn)品的安全說明。由于EUC所有者并非總是設(shè)備服務(wù)提供商，EUC制造商向EUC服務(wù)提供商提供補丁或修復(fù)方//A.7.2.2A.7.2.2檢查安全補丁如果由產(chǎn)品風(fēng)險分析確定的安全脆弱性影響很大，則制造商需A.7.2.3關(guān)于電梯、自動扶梯和自動人行道交付安全補丁的注意事項A.8退役行動制造商和/或系統(tǒng)提供商還需考慮如何處理電梯、自動扶梯和自動人行道系統(tǒng)的退役，因為敏感信——通過附加風(fēng)險來擴展風(fēng)險評估（因此可能需要額外的對抗措施——通過額外資產(chǎn)擴展風(fēng)險評估（因此可能有額外的風(fēng)險且經(jīng)證實的在用生態(tài)系統(tǒng)，因此本附錄旨在提供行業(yè)特定在評估電梯、自動扶梯和自動人行道的安全風(fēng)險時，考慮以下要給出了基于對手能力和意圖以及系統(tǒng)脆弱性的風(fēng)險概率定性評級在任何情況下，風(fēng)險事件的發(fā)生不能因疏忽而對人員造成任何傷——單個估計因素的可能性與通常為難以估計的多個估計因素相結(jié)合下的可能性的區(qū)別。對安全、系統(tǒng)或環(huán)境對服務(wù)可用性的影響對信息的影響（對操死亡、系統(tǒng)損失或嚴(yán)嚴(yán)重?fù)p傷、主要的系較小的損傷或次要的服務(wù)中斷（例如：當(dāng)沒有其他運輸工具或失去訪問控制時，電數(shù)據(jù)的完整性受損（例如：電梯管理系不會引起傷害、系統(tǒng)較小的服務(wù)中斷（例梯管理系統(tǒng)數(shù)據(jù)）的A—頻繁在使用壽命內(nèi)很可能經(jīng)常發(fā)生也沒有計劃；可被資源和專業(yè)知識有在使用壽命內(nèi)很可能發(fā)生數(shù)次系統(tǒng)暴露于網(wǎng)絡(luò)，實施最低限度的安在使用壽命內(nèi)很可能至少發(fā)系統(tǒng)暴露于網(wǎng)絡(luò)，實施部分的安全控未必發(fā)生，但在使用壽命內(nèi)系統(tǒng)暴露于網(wǎng)絡(luò)，安全控制大多被實系統(tǒng)暴露于網(wǎng)絡(luò)，安全控制得到充分實施并有效；利用非常復(fù)雜的專業(yè)知不考慮，安全控制或其他措施已得到級將表明不采取行動是否可以接受，或是否需要額外的對策如A.3.5和A.3.7所述，確定應(yīng)對措施后，重復(fù)4—可忽略A—頻繁高高高中高高高中高高中低高中中低中中低低低低低低——附錄D，區(qū)和管道的應(yīng)用指南；——NISTSP800-30描述一種成熟的風(fēng)險評估方法，該方法已被各種行對于可能出現(xiàn)的其他威脅輸入，可在列出可能的威脅、最常見的攻擊類相關(guān)子條款外，本文件還規(guī)定了部分子條款的附加要求，在相應(yīng)子條款的最右欄中標(biāo)記為“是”。1否否否是否是否否是否否否否2是是否否否3否否否否4否否5否否否否否6是否否是否否7否是否是是8是是是是是是否），宜具有子管道。區(qū)和子分區(qū)可以有多個管道來相12331222122212221111FR6—對事件的及時響應(yīng)11111222同樣，圖D.2示例系統(tǒng)中Z1a和Z2a區(qū)內(nèi)的功能，使用表D.2的“Z1a和Z2a”列定義的信息安全1233112221122211222111111FR6—對事件的及時響應(yīng)11111122211231312212122121221211111FR6—對事件的及時響應(yīng)1111112212[7]ISO/TR22100-4:2018Safetyofmachinery—RelamachinerymanufacturersforconsiderationofrelatedIT-security(cybersecurity)aspe[8]ISO/IEC27005:2022Informationtechnology—Securitytemanagement[9]ISO27017:2015InformatiosecuritycontrolsbasedonISO/I