(高清版)GB∕T 37934-2019 信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求

ICS35.040GB/T37934—2019信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求國(guó)家市場(chǎng)監(jiān)督管理總局中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T37934—2019 I 13術(shù)語(yǔ)和定義 1 2 26安全技術(shù)要求 26.1基本級(jí)安全技術(shù)要求 26.1.1安全功能要求 26.1.2自身安全要求 36.1.3安全保障要求 56.2增強(qiáng)級(jí)安全技術(shù)要求 76.2.1安全功能要求 76.2.2自身安全要求 86.2.3安全保障要求 IGB/T37934—2019本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。ⅡGB/T37934—2019隨著工業(yè)化與信息化的深度融合，來(lái)自信息網(wǎng)絡(luò)的安全威脅正逐步對(duì)工業(yè)控制系統(tǒng)造成極大的安一種能應(yīng)用于工業(yè)控制環(huán)境的網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全防護(hù)。應(yīng)用于工業(yè)控制環(huán)境的網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)與通用網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的主要——通用網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)除了需具備基本的五元組過(guò)濾外，還需要具備一定的應(yīng)用層過(guò)濾防護(hù)能力。用于工業(yè)控制環(huán)境的網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)除了具有通用網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的部分通用協(xié)議應(yīng)用層過(guò)濾能力外，還需要具有對(duì)工業(yè)控制協(xié)議應(yīng)用層——結(jié)合工業(yè)控制環(huán)境中當(dāng)前的信息安全防護(hù)技術(shù)水平，以及信息安全防護(hù)不得影響系統(tǒng)功能的正常運(yùn)行，通用網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)所要求的強(qiáng)制訪問(wèn)控制要求還不能夠適應(yīng)于工——工業(yè)控制環(huán)境下的網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)比通用網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)具有更1GB/T37934—2019信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的安全功能要求、自身安全要求和安全保障2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T20279—2015信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求GB/T20438.4—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第4部分：定義和縮略語(yǔ)GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T20279—2015、GB/T20438.4—2017和GB/T25069—2010界定的以及下列術(shù)語(yǔ)和定義適3.1工業(yè)控制系統(tǒng)industrialcontrolsyste集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng)，如可編程邏輯控制器(PLC),現(xiàn)已廣泛應(yīng)用在工業(yè)部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施中。[GB/T32919—2016,定義3.1]3.23.3工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)industrialcontrolsystemsecurityisolationand2GB/T37934—2019MAC:媒體接入控制(MediaAccessControl)OPC:用于過(guò)程控制的對(duì)象鏈接與嵌入(ObjectLinkingandEmbeddingforProcessControl)5產(chǎn)品描述工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)通常部署在工業(yè)控制網(wǎng)絡(luò)邊界，保護(hù)的資產(chǎn)為工業(yè)控制網(wǎng)絡(luò)；或者部署在生產(chǎn)管理層與過(guò)程監(jiān)控層之間，保護(hù)的資產(chǎn)為過(guò)程監(jiān)控層網(wǎng)絡(luò)及現(xiàn)場(chǎng)控制層網(wǎng)絡(luò)。此工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)一般以二主機(jī)加專(zhuān)用隔離部件的方式組成，即由內(nèi)部處理擺渡控制邏輯的專(zhuān)用隔離芯片構(gòu)成的隔離交換板卡，也可以是經(jīng)過(guò)安全強(qiáng)化的運(yùn)行專(zhuān)用信息傳輸邏輯控制程序的主機(jī)。工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)中的內(nèi)、外部處理單元通過(guò)專(zhuān)用隔離部件相連，專(zhuān)用隔離部件是兩個(gè)安全域之間唯一的可信物理信道。該內(nèi)部信道裁剪了TCP/IP等公共網(wǎng)絡(luò)協(xié)方式實(shí)現(xiàn)協(xié)議隔離和信息傳輸；二是采用一組互斥的分時(shí)切換電子開(kāi)關(guān)實(shí)現(xiàn)內(nèi)部本標(biāo)準(zhǔn)將工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求分為安全功能、自身安全要求和安6安全技術(shù)要求產(chǎn)品應(yīng)支持應(yīng)用層的訪問(wèn)控制：a)支持HTTP、FTP、TELNET等應(yīng)用的識(shí)別與訪問(wèn)控制；b)至少支持一種工業(yè)控制協(xié)議的訪問(wèn)控制。3GB/T37934—2019產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議內(nèi)容進(jìn)行深度分析和訪問(wèn)控制：TCP/IP的私有協(xié)議格式傳輸。在為所有內(nèi)部或外部網(wǎng)絡(luò)上的主機(jī)連接進(jìn)行資源分配時(shí)，安全功能應(yīng)保證其分配的資源中不提供以前連接活動(dòng)中所產(chǎn)生的任何信息內(nèi)容。在與安全有關(guān)的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機(jī)向外部網(wǎng)絡(luò)主機(jī)傳送信息等)被允許執(zhí)絕服務(wù)攻擊能力。產(chǎn)品應(yīng)保證任何用戶都具有唯一的標(biāo)識(shí)。使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理員的屬性進(jìn)行初始化的功能。產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進(jìn)行身份鑒別。產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超4GB/T37934—2019a)業(yè)務(wù)接口和管理接口采用不同的網(wǎng)絡(luò)接口；b)管理接口及管理界面不存在中高風(fēng)險(xiǎn)安全漏洞。監(jiān)測(cè)。產(chǎn)品應(yīng)支持與外部時(shí)間服務(wù)器進(jìn)行時(shí)間同步。產(chǎn)品應(yīng)具備一定的容錯(cuò)能力：進(jìn)行訪問(wèn)控制安全策略應(yīng)用時(shí)不應(yīng)該影響正常的數(shù)據(jù)通信。產(chǎn)品應(yīng)對(duì)其提供的業(yè)務(wù)功能生成審計(jì)日志：b)識(shí)別及防護(hù)的各類(lèi)攻擊行為。業(yè)務(wù)日志內(nèi)容至少包括：c)攻擊事件的類(lèi)型及描述。產(chǎn)品應(yīng)對(duì)與自身安全相關(guān)的以下事件生成審計(jì)日志：5GB/T37934—2019b)因鑒別失敗次數(shù)超過(guò)閾值而采取的禁止進(jìn)一步嘗試的措施；b)應(yīng)提供能查閱日志的工具；c)審計(jì)事件應(yīng)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)至少能夠通知授權(quán)審a)與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能的描述一致；b)描述與安全功能要求一致的安全域；c)描述產(chǎn)品安全功能初始化過(guò)程及安全措施；d)證實(shí)產(chǎn)品安全功能能夠防止被破壞；e)證實(shí)產(chǎn)品安全功能能夠防止安全策略被旁路。a)完整描述產(chǎn)品的安全功能；b)描述所有安全功能接口的目的與使用方法；c)標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；d)描述安全功能接口相關(guān)的安全功能實(shí)施行為；e)描述由安全功能實(shí)施行為而引起的直接錯(cuò)誤消息；f)證實(shí)安全功能要求到安全功能接口的追溯。a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，并標(biāo)識(shí)和b)描述安全功能所有子系統(tǒng)間的相互作用；c)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口。6GB/T37934—2019開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一b)描述如何以安全的方式使用產(chǎn)品提供的接口；d)明確說(shuō)明與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)體的安全特性；e)標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤),以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；f)實(shí)現(xiàn)安全目的所應(yīng)執(zhí)行的安全策略。a)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。開(kāi)發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；b)使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。a)若產(chǎn)品以軟件形態(tài)提交，應(yīng)在交付文檔中詳細(xì)描述支撐操作系統(tǒng)的兼容性、可靠性、安全性7GB/T37934—2019a)產(chǎn)品應(yīng)采用具有高可靠性的硬件平臺(tái)；開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述c)實(shí)際測(cè)試結(jié)果和預(yù)期的測(cè)試結(jié)果一致。.3IP/MAC地址綁定產(chǎn)品應(yīng)支持應(yīng)用層的訪問(wèn)控制：8GB/T37934—2019a)支持HTTP、FTP、TELNET等應(yīng)用的識(shí)別與訪問(wèn)控制；b)至少支持兩種工業(yè)控制協(xié)議的訪問(wèn)控制。產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議內(nèi)容進(jìn)行深度分析和訪問(wèn)控制：圍等要素進(jìn)行控制。TCP/IP的私有協(xié)議格式傳輸。在為所有內(nèi)部或外部網(wǎng)絡(luò)上的主機(jī)連接進(jìn)行資源分配時(shí)，安全功能應(yīng)保證其分配的資源中不提供以前連接活動(dòng)中所產(chǎn)生的任何信息內(nèi)容。在與安全有關(guān)的操作(例如安全屬性的修改、內(nèi)部網(wǎng)絡(luò)主機(jī)向外部網(wǎng)絡(luò)主機(jī)傳送信息等)被允許執(zhí)產(chǎn)品應(yīng)具備一定的抗拒絕服務(wù)攻擊能力：產(chǎn)品應(yīng)保證任何用戶都具有唯一的標(biāo)識(shí)。9GB/T37934—2019使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理員的屬性進(jìn)行初始化的功能。產(chǎn)品應(yīng)為管理角色進(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限。各管理角色的權(quán)限應(yīng)產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進(jìn)行身份鑒別。若其采用網(wǎng)絡(luò)遠(yuǎn)程方式管理，還應(yīng)對(duì)產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超a)應(yīng)支持業(yè)務(wù)接口和管理接口采用不同的網(wǎng)絡(luò)接口；b)管理接口及管理界面不存在中高風(fēng)險(xiǎn)安全漏洞。GB/T37934—2019進(jìn)行訪問(wèn)控制安全策略下裝及應(yīng)用時(shí)不應(yīng)影響正常的數(shù)據(jù)通信。產(chǎn)品應(yīng)對(duì)其提供的業(yè)務(wù)功能生成審計(jì)日志：b)識(shí)別及防護(hù)的各類(lèi)攻擊行為。c)攻擊事件的類(lèi)型及描述。產(chǎn)品應(yīng)對(duì)與自身安全相關(guān)的以下事件生成審計(jì)日志：b)因鑒別失敗次數(shù)超過(guò)閾值而采取的禁止進(jìn)一步嘗試的措施；f)超過(guò)保存時(shí)限的審計(jì)記錄和自身審計(jì)日志的自動(dòng)刪除；g)審計(jì)日志和審計(jì)記錄的備份與恢復(fù)；h)存儲(chǔ)空間達(dá)到閾值報(bào)警；GB/T37934—2019c)審計(jì)事件應(yīng)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，且在存儲(chǔ)空間達(dá)到閾值時(shí)至少能夠通知授權(quán)審d)應(yīng)支持以標(biāo)準(zhǔn)格式將審計(jì)日志外發(fā)到專(zhuān)用的日志服務(wù)器。a)與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能的描述一致；b)描述與安全功能要求一致的安全域；c)描述產(chǎn)品安全功能初始化過(guò)程及安全措施；d)證實(shí)產(chǎn)品安全功能能夠防止被破壞；e)證實(shí)產(chǎn)品安全功能能夠防止安全策略被旁路。a)完整描述產(chǎn)品的安全功能；b)描述所有安全功能接口的目的與使用方法；c)標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；d)描述安全功能接口相關(guān)的安全功能實(shí)施行為；e)描述由安全功能實(shí)施行為而引起的直接錯(cuò)誤消息；f)證實(shí)安全功能要求到安全功能接口的追溯；a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，并標(biāo)識(shí)和描述產(chǎn)品安全功能的b)描述安全功能所有子系統(tǒng)間的相互作用；c)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口；GB/T37934—2019開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一b)描述如何以安全的方式使用產(chǎn)品提供的接口；d)明確說(shuō)明與需要執(zhí)行的用戶可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控e)標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤),以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；f)實(shí)現(xiàn)安全目的所應(yīng)執(zhí)行的安全策略。a)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。開(kāi)發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；b)使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)各GB/T37934—2019交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔。開(kāi)發(fā)安全文檔應(yīng)描述在產(chǎn)品的開(kāi)發(fā)環(huán)境中，為保護(hù)產(chǎn)品開(kāi)發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)產(chǎn)品的開(kāi)發(fā)和維護(hù)進(jìn)行的必要a)若產(chǎn)品以軟件形態(tài)提交，應(yīng)在交付文檔中詳細(xì)描述支撐操作系統(tǒng)的兼容性、可靠性、安全性a)產(chǎn)品應(yīng)采用具有高可靠性的硬件平臺(tái)；a)證實(shí)測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對(duì)應(yīng)性；a