1 范圍

      本標準規定了工業控制系統專用防火墻（以下簡稱工控防火墻）的安全功能要求、自身安全要求、性能要求和安全保障要求。

      本標準適用于工控防火墻的設計、開發和測試。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ea和導則：沖擊

      GB/T 2423.8-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ed：自由跌落

      GB/T 2423.10-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗Fc：振動（正弦）

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB 4824-2013 工業、科學和醫療（ISM）射頻設備 騷擾特性 限值和測量方法

      GB/T 9254-2008 信息技術設備的無線電騷擾限值和測量方法

      GB/T 13729-2002 遠動終端設備

      GB/T 15153.1-1998 遠動設備及系統 第2部分：工作條件 第1篇：電源和電磁兼容性

      GB/T 17214.4-2005 工業過程測量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 17626.2-2018 電磁兼容 試驗和測量技術 靜電放電抗擾度試驗

      GB/T 17626.3-2016 電磁兼容 試驗和測量技術 射頻電磁場輻射抗擾度試驗

      GB/T 17626.4-2018 電磁兼容 試驗和測量技術 電快速瞬變脈沖群抗擾度試驗

      GB/T 17626.5-2008 電磁兼容 試驗和測量技術 浪涌（沖擊）抗擾度試驗

      GB/T 17626.6-2017 電磁兼容 試驗和測量技術 射頻場感應的傳導騷擾抗擾度

      GB/T 17626.8-2006 電磁兼容 試驗和測量技術 工頻磁場抗擾度試驗

      GB/T 17626.10-2017 電磁兼容 試驗和測量技術 阻尼振蕩磁場抗擾度試驗

      GB/T 17626.11-2008 電磁兼容 試驗和測量技術 電壓暫降、短時中斷和電壓變化的抗擾度試驗

      GB/T 17626.12-2013 電磁兼容 試驗和測量技術 振鈴波抗擾度試驗

      GB/T 17626.16-2007 電磁兼容 試驗和測量技術 0 Hz～150kHz共模傳導騷擾抗擾度試驗

      GB/T 17626.17-2005 電磁兼容 試驗和測量技術 直流電源輸入端口紋波抗擾度試驗

      GB/T 17626.18-2016 電磁兼容 試驗和測量技術 阻尼振蕩波抗擾度試驗

      GB/T 17626.29-2006 試驗和測量技術 直流電源輸入端口電壓暫降、短時中斷和電壓變化的抗擾度試驗

      GB/T 20281-2015 信息安全技術 防火墻安全技術要求和測試評價方法

      GB/T 20438.3-2017 電氣/電子/可編程電子安全相關系統的功能安全 第3部分：軟件要求

      GB/T 20438.4-2017 電氣/電子/可編程電子安全相關系統的功能安全 第4部分：定義和縮略語

      GB/T 25069-2010 信息安全技術 術語

      GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南

3 術語和定義

      GB/T 20281-2015、GB/T 20438.4-2017、GB/T 25069-2010和GB/T 32919-2016界定的以及下列術語和定義適用于本文件。

3.1

      工業控制協議 industrial control protocol

      工業控制系統中，上位機與控制設備之間以及控制設備與控制設備之間的通信報文規約。通常包括模擬量和數字量的讀寫控制。

3.2

      工業控制系統專用防火墻 industrial control system dedicated firewall

      部署于工業控制系統中不同的安全域之間，或者控制器之前，具備網絡層訪問控制及過濾功能，工業控制協議規約檢查和過濾功能，并具備高可用性，能夠適用于工業控制環境的安全網關類產品。

4 縮略語

      下列縮略語適用于本文件。

      DMZ：非軍事區（Demilitarized Zone）

      DNAT：目的地址轉換（Destination Network Address Translation）

      ICMP：網絡控制報文協議（Internet Control Message Protocol）

      MAC：介質訪問控制（Media Access Control）

      NAT：網絡地址轉換（Network Address Translation）

      OPC：用于過程控制的對象鏈接與嵌入（Object Linking and Embedding for Process Control）

      SNAT：源地址轉換（Source Network Address Translation）

      SNMP：簡單網絡管理協議（Simple Network Management Protocol）

      SYN：同步序列編號（Synchronize Sequence Numbers）

      UDP：用戶數據報協議（User Datagram Protocol）

5 產品描述

      工控防火墻是應用于工業控制系統的一類特殊防火墻，其既要滿足通用防火墻的基本要求，還要滿足工業控制環境下的特殊要求，工控防火墻主要應用在工業控制層級間防護以及各層區域間防護。工控防火墻的典型部署場景參見附錄A。

      本標準將工控防火墻安全技術要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個大類。本標準將安全功能要求、自身安全要求和安全保障要求分為基本級和增強級，與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“黑體”表示。若工控防火墻部署在工業控制現場，應根據實際需求滿足附錄B環境適應性要求。

6 安全技術要求

6.1 基本級安全技術要求

6.1.1 安全功能要求

6.1.1.1 網絡層控制

6.1.1.1.1 包過濾

      工控防火墻的包過濾要求如下：

      a）安全策略應使用默認禁止原則，即除非明確允許，否則就禁止；

      b）安全策略應包含基于源IP地址、目的IP地址的訪問控制；

      c）安全策略應包含基于源端口、目的端口的訪問控制；

      d）安全策略應包含基于協議類型的訪問控制；

      e）安全策略應包含基于MAC地址的訪問控制；

      f）應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部組合。

6.1.1.1.2 NAT

      部署域間的工控防火墻應具備NAT功能，具體技術要求如下：

      a）應支持雙向 NAT：SNAT和DNAT；

      b）SNAT應至少可實現“多對一”地址轉換，使得內部網絡主機訪問外部網絡時，其源IP地址被轉換。

6.1.1.1.3 狀態檢測

      工控防火墻應具備狀態檢測功能，支持基于狀態檢測技術的訪問控制。

6.1.1.1.4 動態開放端口

      工控防火墻應具備動態開放端口功能，應至少支持 ）PC、FTP協議。

6.1.1.1.5 IP/MAC地址綁定

      工控防火墻應支持自動或手動綁定IIP/MAC 地址；應能夠檢測IP地址盜用事件，攔截盜用IP地址的主機經過工控防火墻的各種訪問。

6.1.1.1.6 抗拒絕服務攻擊

      工控防火墻應具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：

      a）ICMP Flood攻擊；

      b）UDP Flood攻擊；

      c) SYN Flood攻擊；

      d) TearDrop攻擊；

      e) Land攻擊；

      f) 超大ICMP數據攻擊。

6.1.1.1.7 網絡掃描防護

      工控防火墻應能夠檢測和記錄掃描行為，包括對受保護網絡的掃描。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。