1 范圍

      本標準規定了工業控制網絡安全隔離與信息交換系統的安全功能要求、自身安全要求和安全保障要求。

      本標準適用于工業控制網絡安全隔離與信息交換系統的設計、開發及測試。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20279-2015 信息安全技術 網絡和終端隔離產品安全技術要求

      GB/T 20438.3-2017 電氣/電子/可編程電子安全相關系統的功能安全 第3部分：軟件要求

      GB/T 20438.4-2017 電氣/電子/可編程電子安全相關系統的功能安全 第4部分：定義和縮略語

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 20279-2015、GB/T 20438.4-2017和GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      工業控制系統 industrial control system；ICS

      工業控制系統（ICS）是一個通用術語，它包括多種工業生產中使用的控制系統，包括監控和數據采集系統（SCADA）、分布式控制系統（DCS）和其他較小的控制系統，如可編程邏輯控制器（PLC），現已廣泛應用在工業部門和關鍵基礎設施中。

      ［GB/T 32919-2016，定義3.1］

3.2

      工業控制協議 industrial control protocol

      工業控制系統中，上位機與控制設備之間，以及控制設備與控制設備之間的通信報文規約。注：通常包括模擬量和數字量的讀寫控制。

3.3

      工業控制網絡安全隔離與信息交換系統 industrial control system security isolation andinformation ferry system

      部署于工業控制網絡中不同的安全域之間，采用協議隔離技術實現兩個安全域之間訪問控制、協議轉換、內容過濾和信息交換等功能的產品。

4 縮略語

      下列縮略語適用于本文件。

      MAC：媒體接入控制（Media Access Control）

      OPC：用于過程控制的對象鏈接與嵌入（Object Linking and Embedding for Process Control）

5 產品描述

      工業控制網絡安全隔離與信息交換系統通常部署在工業控制網絡邊界，保護的資產為工業控制網絡；或者部署在生產管理層與過程監控層之間，保護的資產為過程監控層網絡及現場控制層網絡。此外，工業控制網絡安全隔離與信息交換系統本身及其內部的重要數據也是受保護的資產。

      工業控制網絡安全隔離與信息交換系統一般以二主機加專用隔離部件的方式組成，即由內部處理單元、外部處理單元和專用隔離部件組成。其中，專用隔離部件既可以是采用包含電子開關并固化信息擺渡控制邏輯的專用隔離芯片構成的隔離交換板卡，也可以是經過安全強化的運行專用信息傳輸邏輯控制程序的主機。工業控制網絡安全隔離與信息交換系統中的內、外部處理單元通過專用隔離部件相連，專用隔離部件是兩個安全域之間唯一的可信物理信道。該內部信道裁剪了TCP/IP等公共網絡協議棧，采用私有協議實現公共協議隔離。專用隔離部件通常有兩種實現方式：一是采用私有協議以邏輯方式實現協議隔離和信息傳輸；二是采用一組互斥的分時切換電子開關實現內部物理信道的通斷控制，以分時切換連接方式完成信息擺渡，從而在兩個安全域之間形成一個不存在實時物理連接的隔離區。

      本標準將工業控制網絡安全隔離與信息交換系統安全技術要求分為安全功能、自身安全要求和安全保障要求三個大類。安全功能要求、自身安全要求和安全保障要求分為基本級和增強級，與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“黑體”表示。

6 安全技術要求

6.1 基本級安全技術要求

6.1.1 安全功能要求

6.1.1.1 訪問控制

6.1.1.1.1 基于白名單的訪問控制

      產品應采用白名單的訪問控制策略，即非訪問控制策略明確允許的訪問，需默認禁止。

6.1.1.1.2 網絡層訪問控制

      產品應支持基于源IP、源端口、目的IP、目的端口、傳輸層協議等要求進行訪問控制。

6.1.1.1.3 應用層訪問控制

      產品應支持應用層的訪問控制：

      a）支持HTTP、FTP、TELNET等應用的識別與訪問控制；

      b）至少支持一種工業控制協議的訪問控制。

6.1.1.1.4 工業控制協議深度檢查

      產品應支持對工業控制協議內容進行深度分析和訪問控制：

      a）對所支持的工業控制協議進行協議規約檢查，明確拒絕不符合協議規約的訪問；

      b）應支持對工業控制協議的操作類型、操作對象、操作范圍等參數進行訪問控制；

      c）若支持OPC協議：應支持基于控制點名稱、讀寫操作等要素進行控制；

      d）若支持ModbusTCP協議：應支持基于設備ID、功能碼類型、讀寫操作、寄存器地址、控制值范圍等要素進行控制。

6.1.1.2 協議隔離

      所有主客體之間發送和接收的信息流均執行網絡層協議剝離，還原成應用層數據，在兩機之間以非TCP/IP的私有協議格式傳輸。

6.1.1.3 殘余信息保護

      在為所有內部或外部網絡上的主機連接進行資源分配時，安全功能應保證其分配的資源中不提供以前連接活動中所產生的任何信息內容。

6.1.1.4 不可旁路

      在與安全有關的操作（例如安全屬性的修改、內部網絡主機向外部網絡主機傳送信息等）被允許執行之前，安全功能應確保其通過安全功能策略的檢查。

6.1.1.5 抗攻擊

      產品應具備抵御SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、Pingofdeath攻擊等典型拒絕服務攻擊能力。

6.1.2 自身安全要求

6.1.2.1 標識和鑒別

6.1.2.1.1 唯一性標識

      產品應保證任何用戶都具有唯一的標識。

6.1.2.1.2 管理員屬性定義

      產品應為每個管理員規定與之相關的安全屬性，如管理員標識、鑒別信息、隸屬組、權限等，并提供使用默認值對創建的每個管理員的屬性進行初始化的功能。

6.1.2.1.3 基本鑒別

      產品應保證任何用戶在執行安全功能前都要進行身份鑒別。

6.1.2.1.4 鑒別失敗處理

      產品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超過閾值，系統應通過技術手段阻止管理員的進一步鑒別請求。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。