GT 42456-2023 工业自动化和控制系统信息安全 IACS组件的安全技术要求

工业自动化和控制系统信息安全IACS组件的安全技术要求2023-03-17发布IGB/T42456—2023/IEC62443-4-2:2019 V V 12规范性引用文件 1 23.1术语和定义 23.2缩略语 73.3惯例 94通用原则 4.1概述 4.2CCSC1:基本功能的支持 4.3CCSC2:补偿性对抗措施 4.5CCSC4:软件开发过程 5FR1——标识和鉴别控制 5.1目的和SL-C(IAC)描述 5.2原由 5.3CR1.1——人员标识和鉴别 5.4CR1.2——软件进程以及设备标识和鉴别 5.5CR1.3——账户管理 5.6CR1.4——标识符管理 5.7CR1.5——鉴别器管理 5.8CR1.6——无线访问管理 5.9CR1.7——基于口令的鉴别强度 5.10CR1.8——公钥基础设施(PKI)证书 5.11CR1.9——基于公钥鉴别的强度 5.12CR1.10——鉴别器反馈 5.13CR1.11——失败的登录尝试 5.14CR1.12——系统使用提示 5.15CR1.13——通过不受信任网络的访问 5.16CR1.14——基于对称密钥鉴别的强度 6FR2——使用控制 6.1目的和SL-C(UC)描述 20ⅡGB/T42456—2023/IEC62443-4-6.2原由和附加指南 6.3CR2.1——授权执行 6.4CR2.2——无线使用控制 6.5CR2.3——便携式和移动设备使用控制 226.6CR2.4——移动代码 6.7CR2.5——会话锁定 6.8CR2.6——远程会话终止 6.9CR2.7——并发会话控制 236.10CR2.8——审计事件 236.11CR2.9——审计存储容量 246.12CR2.10——审计处理失败的响应 6.13CR2.11——时间戳 6.14CR2.12——抗抵赖性 266.15CR2.13——物理诊断和测试接口的使用 267FR3——系统完整性 26 7.2基本原理 7.3CR3.1——通信完整性 7.4CR3.2——恶意代码防护 7.5CR3.3——信息安全功能验证 7.6CR3.4——软件和信息完整性 297.7CR3.5——输入检验 7.8CR3.6——确定性输出 7.9CR3.7——出错处理 7.10CR3.8——会话完整性 7.11CR3.9——审计信息保护 7.12CR3.10——支持更新 7.13CR3.11——物理防破坏和检测 327.14CR3.12——提供产品供应商的信任根 7.15CR3.13——提供资产所有者的信任根 7.16CR3.14——启动过程完整性 8FR4——数据保密性 338.1目的和SL-C(DC)描述 8.2基本原理 8.3CR4.1——信息保密性 8.4CR4.2——剩余信息 8.5CR4.3——加密的使用 34ⅢGB/T42456—2023/IEC62443-4-2:20199FR5——受限的数据流 9.1目的和SL-C(RDF)描述 359.2基本原理 9.3CR5.1——网络分段 9.4CR5.2——区域边界保护 9.5CR5.3——普通目的的个人间通信限制 10FR6——对事件的及时响应 10.1目的和SL-C(TRE)描述 10.2原由和附加指南 10.3CR6.1——审计日志可访问性 10.4CR6.2——连续监控 11FR7——资源可用性 11.1目的和SL-C(RA)描述 11.3CR7.1——拒绝服务保护 11.4CR7.2——资源管理 3911.5CR7.3——控制系统备份 11.6CR7.4——控制系统恢复和重构 4011.7CR7.5——应急电源 11.8CR7.6——网络和安全配置设置 11.9CR7.7——最小功能 11.10CR7.8——控制系统组件详细目录 4112软件应用要求 42 4212.3SAR3.2——恶意代码防护 4313嵌入式设备要求 43 4313.3EDR2.13——使用物理诊断和测试接口 4413.4EDR3.2——恶意代码防护 45 13.6EDR3.11——物理防破坏和检测 4613.7EDR3.12——置备产品供应商信任根 4613.8EDR3.13——置备资产所有者的信任根 4713.9EDR3.14——启动过程完整性 4814主机设备要求 48GB/T42456—2023/IEC62443-4- 14.2HDR2.4——移动代码 14.3HDR2.13——使用物理诊断和测试接口 4914.4HDR3.2——恶意代码防护 14.6HDR3.11——物理防破坏和检测 14.7HDR3.12——置备产品供应商信任根 14.8HDR3.13——置备资产所有者的信任根 14.9HDR3.14——启动过程完整性 15网络设备要求 15.2NDR1.6——无线访问管理 15.3NDR1.13——通过不受信任网络的访问 15.4NDR2.4——移动代码 15.5NDR2.13——使用物理诊断和测试接口 15.6NDR3.2——恶意代码防护 15.8NDR3.11——物理防破坏和检测 15.9NDR3.12——置备产品供应商信任根 15.10NDR3.13——置备资产所有者的信任根 15.11NDR3.14——启动过程完整性 15.13NDR5.3——普通目的个人间通信限制 附录A(资料性)设备分类 A.1概述 A.4设备分类：主机设备/应用 附录B(资料性)CR和RE与FRSL1～4的映射 B.2SL映射表 参考文献 1工业自动化和控制系统信息安全IACS组件的安全技术要求本文件提供了与IECTS62443-1-1中描述的七个基本要求(FR)相关的详细的技术控制系统组件要求(CR),包括定义控制系统能力安全等级和其组件SL-C(组件)的要求。a)标识和鉴别控制(IAC),b)使用控制(UC),c)系统完整性(SI),d)数据保密性(DC),e)受限数据流(RDF),f)事件的及时响应(TRE),g)资源可用性(RA)。这七个要求(FR)是定义控制系统安全能力级别的基础。本文件的主要目标是定义控制系统组件的安全能力水平，而SL(SL-T)或如何实现SL(SL-A),不在本文件规定的范围。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于GB/T35673—2017工业通信网络网络和系统安全系统安全要求和安全等级(IEC62443-3-IECTS62443-1-1工业通信网络网络和系统安全第1-1部分：术语、概念和模型(Industrialcommunicationnetworks—NetworkandsyIEC62443-3-3工业通信网络网络和系统安全第3-3部分：系统安全要求和安全等级(Indus-trialcommunicaitonnetworks—Networkandsystemsecurity—PartIEC62443-4-1工业自动化和控制系统信息安全产品安全开发生命周期要求(Securityforin-dustrialautomationandcontrolsystems—Part4-1:Se23.1术语和定义IECTS62443-1-1,IEC62443-3-3,IEC62443-4-1界定的以及下列术语和定义适用于本文件。资产asset对IACS具有潜在或实际价值的物理或逻辑对象。资产所有者assetowner负责一个或多个IACS的个体或公司。注2:包括IACS中的部件。来自智能威胁，未经授权试图破坏IACS的保密性、完整性或可用性的行为。对实体所声称身份的验证。确认实体身份的手段。真实性authenticity实体通过鉴别符合最初声明并且能验证其完整性的特性。3可用性availability确保及时地、可靠地访问和使用控制系统信息和功能的特性。通信信道communicationch资产间的特定逻辑或物理通信链路。补偿对抗措施compensatingcountermeasure代替或补充固有的安全能力以满足一个或多个安全要求所采取的对策。组件component用来展示主机设备、网络设备、软件应用或嵌入式设备的一个或多个特征的IACS实体。连接两个或更多个区域，以共享安全要求的通信信道的逻辑分组。保密性confidentiality信息不会泄露给未经授权的个人、流程或设备的保证。连接connection建立会话的两个或多个端点之间的关联。控制系统controlsystemIACS中的硬件和软件组件。对抗措施countermeasure对能够造成或发现和报告的攻击，通过最小化其危害来减少威胁、降低脆弱性或者缓解攻击后果，从而能够采取正确行为的行动、设备、程序或技术。降级模式degradedmode在控制系统设计中已经预见到故障出现情况下的操作模式。4提供所需能力的离散的物理资产。嵌入式设备embeddeddevice直接监视和控制工业过程的专用设备。可能影响IACS行为和/或可能被IACS影响的周围物体、区域或环境。针对特定环境集合的发生或改变。紧急情况时接入安全控制系统的方法。能够运行操作系统(例如，MicrosoftWindowsOS或Linux)来装载一个或多个供应商提供的一个或多个软件应用、数据存储或功能的通用设备。用于识别、指示或者命名一个实体所声称的或者标识声明的其安全域具有唯一性的符号模式。导致或可能导致控制系统提供的服务质量中断或降低，不属于系统或服务预期运行的一部分的5事件。保护资产精确和完备的属性。用户(人员、软件进程或设备)在其职责和功能之内宜被授予最低权限的基本原则。能够在资产间传输并不会被接收方显示安装的程序。传输时能够使用的智能电子设备。能够促进设备之间的数据流，或限制数据流，但是不会直接与控制过程交互的设备。抗抵赖non-repudiation证明已声明事件或行动和其原始实体发生的能力硬件和/或软件产品的制造商。远程访问remoteaccess任何用户(人员、软件进程或设备)从区域边界外部对组件的访问。安全仪表系统safetyinstrumentedsystem实现一个或多个安全相关功能的系统。6根据区域或管道的风险评估，与区域或管道的设备和系统的所需对抗措施和固有安全属性相对应在两个或者多个通信部件之间的半永久性、状态性或者交互式的信息互换。表示特定会话的标识符。确定的控制该系统内一个或多个动作的目标值。用于与进程或控制系统本身(例如，配置软件和历史记录)进行交互的一个或多个软件程序及其依系统集成商systemintegrator能够将部件子系统组合成一个整体并用确保那些子系统根据项目规范执行的服务提供商。通过非授权访问、破坏、披露、数据修改和/或拒绝服务方式，对运行(包括任务誉)、资产、控制系统或者个人具有潜在不利影响的环境或者相关序列事件的集合。操作、数据交易源、网络或软件进程的行为符合预保证信息不能被用于跟踪特定用户的时间或地点的保证。不满足预先定义的可信要求。7ACL访问控制列表(accesscontrollAES增强加密标准(advanceencryptionstandard)ANSI美国国家标准研究所(AmericanNationalStandardsInstitute)API应用编程界面(applicationprogramminginterface)ASLR地址空间格局随机化(addressspacelayoutrandoCA证书机构(certificationauthority)CCSC通用组件安全约束(commoncomponentssecurityconstraint)CMAC基于口令的消息鉴别码(cipher-basedMessageCOTS商业现货(commercialofftheshelf)CR组件要求(componentreqCRL证书吊销列表(certificaterevocationlist)DC数据保密性(dataconfidentiality)DEP数据执行预防(dataexecutiDMZ非军事区(demilitarizedzone)DoS拒绝服务(denialofservice)EDR嵌入式设备要求(embeddeddevicerequirement)EICAR欧洲计算机防病毒研究协会(EuropeanInstituteforEMI电磁干扰(electromagneticinterference)FDA(美国)食品和药品管理局([US]FoodandDrugAdministration)FIPS(美国NIST)联邦信息处理标准([USNIST]FederalInformationProcessingStandard)FR基本要求(foundationalrequirement)FTP文件传输协议(filetransferprotocol)GCMGalois计数器模式(Galois/Countermode)GUID全球唯一标识符(globallyuniqueidentifieHDR主机设备要求(hostdevicerequirement)HMI人机接口(human-machineinterface)8HTTP超文本传输协议(hypertexttransferprotocol)ID标识符(identifier)IDS入侵检测系统(intrusiondetectionsystem)IED智能电子设备(intelligentelectIEC国际电工委员会(InternationalElectrotechnicalCommission)IEEE电气和电子工程师协会(InstituteofElectricalandElectronicsEIP互联网协议(Internetprotocol)IPS入侵防范系统(intrusionpreventionsystem)ISA国际自动化学会(InternationalSocietyoISO国际标准化组织(InternationalOrganIT信息技术(informationtechnologLDAP轻量目录访问协议(lightweightdirectoryaccessprotocol)NDR网络设备要求(networkdevicerequirement)NIST美国国家标准和技术协会(U.S.NationalInstituteofStandardsandTechnology)NX不执行(NoExecute)OCSP在线证书状态协议(onlinecertOWASP开放网页应用安全项目(OpenWebApplicationSecurityProject)PC个人计算机(personalcomputer)PDF便携式文件格式(portabledocumentformat)PKI公钥基础设施(publickeyinfrastructure)PLC可编程逻辑控制器(programmablelogiccontroller)RA资源可用性(resourceavailability)RAM随机存取存储器(randomRDF受限数据流(restricteddataflow)RE增强要求(requirementenhancement)RTOS实时操作系统(real-timeoperatiRTU远程终端装置(remoteterminalunit)SAR软件应用要求(softwareapplicationrequirements)SHA安全哈希算法(securehashalgorithm)SI系统完整性(systemintegrity)SIF(功能)安全仪表功能(safetyinstrument9SL-C安全等级能力(capabilSP(美国NIST)特别出版物([USNIST]SpecialPublication)SuC待评估系统(systemunderconsiTCP传输控制协议(transmissioncontrolprotocol)TPM可信平台模块(trustedplatformmodule)TRE对事件的及时响应(timelyresponseUC使用控制(usecontrol)USB通用串行总线(universalserialbVPN虚拟专用网络(virtualprivatenetwork)基本需求和RE(如果存在)映射到组件能力安全等级SL-C(FR,组件)1到4组件能力安全等级，IECTS62443-1-1中定义的7个FR都有一组定义好了的四个安全等级(SL)。这些SL是根据IEC62443-3-3中定义的系统安全等级得出的。每个组件的安全等级通过每个FR来描述，使用公式SL-C(FR,组件),其对应的值从0到4。特定FR的控制系统能力等级0被隐含地定义为没有要求。对于FR的基本需求和RE,如果存在，映射到组件能力安全等级SL-C(FR,组件)1到4组件能力安全●SL2——防止未经授权地将信息泄露给通在本文件中使用的SL-C(组件)表示满足给定CR的给定SL等级所需的能力。SL向量概念的完在解读、确定和实现第5章至第15章中的组件CR时，需要在实现本文件描述的要求时应用下文系统组件应遵守GB/T35673—2017中第4章所描述的特定约束。执行最小权限原则的能力。单个系统组件应提供权限的粒度和将这些权限映射到不同角色的灵活SL3——通过标识和鉴别所有使用者(人员、软件进程和设备)机制，防止实体采用中度资源、SL4——通过标识和鉴别所有使用者(人员、软件进程和设备)机制，防止实体采用大量资源、用户标识用于与授权机制一起实现对组件的访问控制。验证要求访问的用户的标识对于防止未授权用户获得对组件的访问是必需的。建议和指南宜包括混合模式下运行的机制。例如，通信通道上的某些组件需加强的访问控制，如加强的鉴别机制，而其他组件则不需要。此外，将访问控制要求扩展到静止的数据。宜将单个区域内的身份标识和鉴别机制的数量最小化，使用多重标识和鉴别机制使得鉴别和标识管理的任务更难以管理。根据IEC62443-3-3SR1.1的规定，组件应对所有人员可访问的接口都提供标识和鉴别所有人员的能力。这一能力应对提供人员用户访问组件的所有接口执行这种标识和鉴别，从而根据合适的安全策略和规程，支持任务分工和最小权限。该能力可由本地组件或由集成到一个系统级的标识和鉴别系所有人员用户对组件的所有访问都需要被标识和鉴别。这些用户身份的鉴别宜使用口令、令牌、生物特征或物理的带锁的盖等方法来完成，或上述方法的组合的多因子鉴别。人员的地理位置也可以用作鉴别过程的一部分。本要求宜适用于组件的本地和远程访问。本要求是在系统级上进行这样的鉴别和标识之外的附加要求。人员能够访问的接口是本地用户接口，例如触摸屏、按钮、键盘以及为人员交互而设计的网络协于设备配置工具的协议(有时是专有协议，有时使用开放协议)。用户标识和鉴别可以是基于角色的或基于组的(例如，对于一些组件接口，多个用户可以共享相同的标识)。用户标识和鉴别不宜妨碍快速的本地紧急动作。为了支持根据IEC62443-2-1定义的IAC策略，组件宜第一步验证所有人员的身份，第二步对已标识人员分配的权限宜强制执行(见6.3)。(1)唯一标识和鉴别组件应提供唯一标识和鉴别所有人员用户的能力。(2)对所有接口的多因子鉴别组件应提供对所有接入组件的人员用户进行多因子鉴别的能力。与CR1.1有关的四个安全等级的要求是：●SL-C(IAC,组件)1:CR1.1;●SL-C(IAC,组件)3:CR1.1(1)(2);●SL-C(IAC,组件)4:CR标识和鉴别的功能是在允许任何数据交换之前，将一个已知身份映射到或逻辑)等方法来完成对这些实体身份的鉴别。该要求应适用于对控制系统的本地和远程访问。然作以及控制系统的基本功能不能因标识或鉴别要求而受到阻碍(更多的讨论见第4章)。例如，在通常(1)唯一标识和鉴别●SL-C(IAC,组件)1:不选择；●SL-C(IAC,组件)3:CR●SL-C(IAC,组件)4:CR满足这一要求的常用方法是将鉴别评估委托给目录服务器的组件(例如LDAP或Active当一个组件集成到一个更高级别的系统中来●SL-C(IAC,组件)1:CR1.3;●SL-C(IAC,组件)4:CR1.3。该组件应提供集成到支持管理标识符的系统的能力和/或提供直接根据IEC62443-3-3SR1.4支在CR1.3——账户管理(见5.5)下创建的账户要求使用一个或多个标识符来清晰标识每个账户。这些标识符对于它们所关联的账户应是唯一的和明确的。常见使用的标识符示例有账户名称、UNIX用户ID、微软账户全球唯一标识符(GUID)和X.509证书。组件可提供本地关联账户标识符的能力。●SL-C(IAC,组件)1:CR1.4;●SL-C(IAC,组件)2:CR1.4;●SL-C(IAC,组件)3:CR1.4;●SL-C(IAC,组件)4:CR1.4。c)在周期性对鉴别器进行更新/改变操作时功能正常；除了一个标识符(见5.6),还需要鉴别器来证明猜测或破坏在传输或存储过程中口令的密码保护。可以通过定期更改/刷新口令来减少此类机会。类似的考虑也适用于基于加密密钥的鉴别系统。通过使用硬件机制[如可信平台模块(TPM)]可以实现对某些操作使用组件可能会受到限制，需要额外的身份验证(如令牌、密钥和证书)以执行某些●SL-C(IAC,组件)1:CR1.5;●SL-C(IAC,组件)4:CR1.5(1)。该组件应提供或集成到提供该功能的系统中防止任何给定的人员账户重复使用可配置的生成口令。此外，组件应提供对人员用户执行口令最小和最大生命期限制的能力。●SL-C(IAC,组件)1:CR1.7;●SL-C(IAC,组件)2:CR1.7;●SL-C(IAC,组件)3:CR1.7(1);●SL-C(IAC,组件)4:CR1.7(1)(2)。当使用PKI时，组件应提供或集成到系统中以提供按照IEC62443-3-3选择合适的PKI宜考虑组织的证书策略，该策略宜基于与违反受保护信息的机密性相关的风险。关于策略定义的指南可以在通用的标准和指南中找到，如互联网工程任务组(IETF)RFC基于X.509的PKI的指导。例如，证书颁发机构(CA)的适当位置(不管是在控制系统还是在互联网●SL-C(IAC,组件)3:CR1.8;c)通过检查给定证书的撤销状态来验证证书；f)确保用于公钥鉴别的算法和密钥符合8.5加密的使用。为了满足5.11.1的要求，不一定需要实时连接证书鉴别机构。可以使用替代的带外方法来满足公钥/私钥的加密在很大程度上依赖于给定主体私钥的保密性以及对信任关系的正确处理。在基有对等方的配置)来验证它们的所有对等方来补偿。可信证书需要通过安全渠道分发给对等方。在验列表(CRL)或运行在线证书状态协议(OCSP)服务器来完成。当由于控制系统限制而无法进行吊销检预计大多数组件将被整合到IACS中并由IACS提供密钥鉴别机制。在IACS的组件层面执行公●SL-C(IAC,组件)1:不选择；●SL-C(IAC,组件)2:CR1.9;●SL-C(IAC,组件)3:CR1.9(1●SL-C(IAC,组件)4:CR1.9(1)。●SL-C(IAC,组件)1:CR1.10;●SL-C(IAC,组件)2:CR1.10;●SL-C(IAC,组件)3:CR1.10;●SL-C(IAC,组件)4:CR1.b)在指定的时间段内拒绝访问，或直到当该限制已经到期后由管理员解锁为止。管理员可以在以在由适用的安全策略和规程确定的预定时间段之后自动将访问尝试的次数重置为0。将尝试访问重需要立即作出响应时，不宜使用控制系统操作员工作●SL-C(IAC,组件)1:CR1.11;●SL-C(IAC,组件)3:CR1.11;●SL-C(IAC,组件)1:CR1.12;●SL-C(IAC,组件)2:CR1.通过不受信任网络访问的要求是组件特定的，对每种特定组件类型的要求见第12章至第15章。宜定义用于将密钥安装到组件中的方法。这可能包括使用带外方战),该方证明他们所声称的身份。审查员具有相同的秘密(也是在过去通过新人配置学习到)的知●SL-C(IAC,控制系统)1:不选择；●SL-C(IAC,控制系统)2:CR1.14;●SL-C(IAC,控制系统)3:CR1.14(1);●SL-C(IAC,控制系统)4:CR1.14(1)。一旦用户被标识和鉴别，组件宜限制允许的对该组件的授权使用行行机制(例如，访问控制列表、访问控制矩阵和密码)来控制用户(人员、软件进程和设备)和资产(例些角色被分配给经过验证的用户或资产以及哪些权限被分配给这些角色。如果请求的操作经过许对控制系统组件的计划内或计划外更改可能对控制系统的整体安全性产生重组件应直接或通过补偿性安全机制提供授权角色来定义和修改所有人需要双重确认的一个例子就是改变一个关键工业流程的设定点。如果需要立即采取措施来保障HSE●SL-C(UC,组件)1:CR2.1;●SL-C(UC,组件)2:CR2.1(1)(2);●SL-C(UC,组件)3:CR2.1(1)(2)(3);●SL-C(UC,组件)4:CR2.1(1)(2)(3)(4)。无线使用控制可以在构成系统的不同设备中实现。网络设备可以是通过控制协助UC的设备之一。对于利用无线网络的设备和应用，这些设备等无线网络保护。组件也可以根据访问是来自无线设备还是有线设备来实现●SL-C(UC,组件)1:CR2.2;●SL-C(UC,组件)2:CR2.2;移动代码的使用控制要求是组件特定的，每一个特定组件类型的要求见第12章至第15章。a)通过在可配置的非活动时间段后启动会话锁定或由用户(人员、软件进程或设备)手动启动来b)会话锁定在拥有会话的用户之前保持有效，或者其他授权的用户使用适当的标识和鉴别程序会话锁定用于防止访问指定的工作站或节点。组件应在可配置的时间段后自动激活会话锁定机●SL-C(UC,组件)1:CR2.5;●SL-C(UC,组件)2:CR2.5;●SL-C(UC,组件)3:CR2.5;●SL-C(UC,组件)4:CR2.5。●SL-C(UC,组件)1:不选择；●SL-C(UC,组件)2:CR2.6;●SL-C(UC,组件)3:CR2.6;●SL-C(UC,组件)4:CR2.6。不足而导致锁定所有用户和服务之间存在一种权衡。产品供应商和/或系统集成商的指南可能需要提●SL-C(UC,组件)1:不选择；●SL-C(UC,组件)2:不选择；●SL-C(UC,组件)3:CR2.7;●SL-C(UC,组件)4:CR2.7。c)控制系统事件设备可能包含嵌入式固件或运行操作系统。而该要求意图覆盖事件的类别，至少包含固件或●SL-C(UC,组件)1:CR2.8;●SL-C(UC,组件)2:CR2.8;●SL-C(UC,组件)3:CR2.8;●SL-C(UC,组件)4:CR2.8。b)提供机制以防止组件到达或超过审计存储容量时发生故障。要考虑的指南可能包括NISTspecificpublication(SP)800-92[19]。根据适用的政策法规或业务需●SL-C(UC,组件)2:CR2.9;●SL-C(UC,组件)3:CR2.9(1);●SL-C(UC,组件)4:CR2.9(a)在发生审计处理失败事件时提供防止失去基本服务和功能的能力；审计的生成通常发生在事件源头。审计处理涉及传输录的持久存储。审计处理失败包括软件或硬件错误、审计捕获机制中的失败●SL-C(UC,组件)1:CR2.10;●SL-C(UC,组件)3:CR2.10;●SL-C(UC,组件)4:CR2.10。●SL-C(UC,组件)1:CR2.11;●SL-C(UC,组件)2:CR2.11(1);●SL-C(UC,组件)3:CR2.11(1);●SL-C(UC,组件)4:CR2.11(1)(2)。物理诊断和测试接口要求的使用是基于组件特定的，每种组件特定类型的要求见第12章到第15章。一旦运行，资产所有者将负责维护组件的完整性。资IACS中为不同的系统、通信通道和信息分配不同级别的完整性保护。物理资产的完整性宜在运行和根据上下文(例如，本地网段内的传输与经由不受信任网络的传输)以及传具有直接链接(点对点)的小型网络中，如果端点的完整性也受到保护(见7理访问保护保持在较低SL上可能就足够了。分布在经常有人员出现或广域网络地区的网络上，物理访问可能无法强制执行。如果商业服务用于提供作为商品项目的通信服务而不是完全专用的服务(例如，租用线路与T1链路),则可能更难获得关于保护通信完整性所需安全控制措施的必要保证(例设施的设计宜尽量减少对通信完整性的物理和/或环境影响。例如，当微时，可能需要使用密封的45注册插孔(RJ-45)或M12连接器来代替电线上的商用用M12连接器，以防止RJ-45连接器上的弹簧插针在使用过程中断开连接。在辐射和/或EMI成为问题的情况下，可能需要使用屏蔽双绞线或光纤电缆来防止其对通信信号的影响●SL-C(SI,组件)1:CR3.1;●SL-C(SI,组件)2:CR3.1(1);●SL-C(SI,组件)3:CR3.1(1);●SL-C(SI,组件)4:CR3.1(1)。对恶意代码防护的要求是基于特定组件的，每种特定组件类型的要求见第12章到第15章。产品供应商或系统集成商宜就如何测试所设计安全控制措施提供指导。资正常运行期间执行这些验证测试的可能后果。执行这些验证的细节需要仔细考虑连续操作的要求(例●SL-C(SI,组件)1:CR3.3;●SL-C(SI,组件)2:CR3.3;●SL-C(SI,组件)4:CR3.3(1)。告和防止可能发生的软件和信息篡改。组件宜采用正式或推荐的完整性机制(例如密码哈希)。例组件应检验用于工业过程控制输入或直接影响组件动作的外部接口输入的任何输入数据的语法、站脚本或畸形数据包(通常由协议模糊器生成)。要考虑的指南宜包括众所周如果物理或逻辑上连接到自动化过程的组件无法维持组件供应商规产品供应商或系统集成商宜仔细考虑错误消息的内容和结构。由组件生成而有用的信息，而不会潜在地泄露可能被攻击者利用IACS的有害信息。宜通过及时解决错误条件的可以帮助攻击者攻击IACS的错误消息的示例是提供为什么系统鉴别失败的细节。例如，在反馈●SL-C(SI,组件)1:CR3.7;●SL-C(SI,组件)2:CR3.7;●SL-C(SI,组件)3:CR3.7;●SL-C(SI,组件)4:CR3.7。a)在用户注销或因其他会话终止时(包括浏览器会话),使会话标识符失效c)能够利用普遍接受的方式随机性生成唯一会话标识符。这个控制侧重于会话的通信保护，而不是数据包保护。这种控制的目的插入会话或重放攻击等中间人攻击。会话完整性机制的使用可能具有相当大的开会话劫持和其他中间人攻击或注入虚假信息通常会利用易于猜测的会话ID(密钥或其他共享秘密)或使用在会话终止后未被正确经过无效处理的会话ID。因此，会话鉴别者的有效性应与会话的生命周期密切相关。在随机生成唯一的会话ID时采用随机性有助于防止用暴力攻击确定未来的会话ID。安全等级四个SL等级的要求与CR3.8的关系：●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:CR3.8;●SL-C(SI,组件)3:CR3.8;●SL-C(SI,组件)4:CR3.8。GB/T42456—2023/IEC62443-4●SL-C(SI,组件)2:CR3.9;●SL-C(SI,组件)3:CR3.9;●SL-C(SI,组件)4:CR3.9(1)。对更新要求的支持是与设备相关的，对每种特定设备类型的要求见第12章至第15章。物理防破坏性和检测要求是与设备相关的，对每种特定设备类型的要求见第12章到第15章。提供产品供应商信任要求的根源是与设备相关的，对每种特定设备类型的要求见第12章到第15章。提供资产所有者信任要求的根源是与设备相关的，对每种特定设备类型的要求见第12章到第15章。启动过程要求的完整性是与设备相关的，对每种特定设备类型的要求见第12章到第15章。a)提供保护静止中且支持显式读取授权信息的保密性的能力；●SL-C(DC,组件)1:CR4.1;●SL-C(DC,组件)2:CR4.1;●SL-C(DC,组件)3:CR4.1;●SL-C(DC,组件)4:CR4.1。GB/T42456—2023/IEC62443-4易失性存储器资源是在释放到内存管理后通常不保留信息的资源。但是，对于随机存取存储器●SL-C(DC,组件)1:不选择；●SL-C(DC,组件)3:CR4.2(1)(●SL-C(DC,组件)4:CR4.2(1)级加密标准(AES)和安全哈希算法(SHA)系列和基于指定标准的密钥大小。密钥生成需要使用有效钥销毁、密钥分发和加密密钥备份。公认的实践和建议可以在NISTSP800-57《密钥管理建此CR与5.10,CR1.8——公共密钥基础设施证书一起可能适用于满足本文件中定义的许多其他●SL-C(DC,组件)1:CR4.3;●SL-C(DC,组件)2:CR4.3;●SL-C(DC,组件)3:CR4.3;组件应通过对分段网络的支持来实现对区域和管道的支持，以便根据组织使用网络分段是出于多种目的的，其中包括网络安全在内。网络服务器。这也可能意味着一些关键控制系统和安全相关系统从一开始就被设计成与其他网络完全●SL-C(RDF,组件)2:CR5.1;●SL-C(RDF,组件)3:CR5.1;●SL-C(RDF,组件)4:CR通过通知适当的权威机构、报告违规行为所需的证据和在发现事件时及时宜建立应对安全违规所需的相关安全政策和程序以及适当的通信和控应用程序和设备可以生成关于在其中发生的事件的审计记录(见6.10)。访言，减少审计和报告编制应在单独的信息系统上进行。手动足以满足基本要求，但不足以满足更高的SL要求。编程式访问通常用于将审计●SL-C(TRE,组件)1:CR●SL-C(TRE,组件)2:CR6.1;●SL-C(TRE,组件)3:CR6.1(1);●SL-C(TRE,组件)4:CR6.1(1)。宜在控制系统内策略性地部署监测设备(例如，在选定的周边地点和支持关键应用的服务器群附监视宜包括适当的报告机制以便及时回应事件。为了保持报告的聚焦和●SL-C(TRE,组件)1:不选择；●SL-C(TRE,组件)4:CR6.2。●SL1——确保组件在正常生产条件下可靠运行，并防止●SL3——确保组件在正常、异常和极端生产条件下可靠运行，并防止由实体使用中等资源、IACS特殊技能和中等动机的复杂手段导致的DoS状况。●SL4——确保组件在正常、异常和极端生产条件下可靠运行，并防止由实体使用扩展资源、在不同级别上的不可用性。特别是，控制系统中的安全事故不宜组件可能会受到不同形式的DoS情况的影响。当发生这些情况时，组件的设●SL-C(RA,组件)1:CR7.1;●SL-C(RA,组件)2:CR7.1(1);●SL-C(RA,组件)3:CR7.1(1);●SL-C(RA,组件)4:CR7.1(1)。资源管理(例如，网络分段或优先级方案)防止较低优●SL-C(RA,组件)1:CR7.2;●SL-C(RA,组件)2:CR7.2;●SL-C(RA,组件)3:CR7.2;●SL-C(RA,组件)4:CR7.2。最新备份的可用性对于从控制系统故障和/或错误配置中恢复至关重要。自动执行此功能可确保制措施来保护它。因此，组件备份能力需要包括支持备份中包含的信息的必要保护机制。这可能包括加密备份，加密敏感数据作为备份过程的一部分，或者不包括敏感信息作为备份的一部分。如果备份是加密的，重要的是不要将加密密钥作为备份的一部分，而是作为单独的更安全的备份过程的一部分备份加密密钥。(1)备份完整性验证在启动恢复信息之前，组件应提供验证备份信息完整性的能力。与CR7.3有关的四个安全等级的要求是：●SL-C(RA,组件)1:CR●SL-C(RA,组件)2:CR●SL-C(RA,组件)3:CR11.6CR7.4——控制系统恢复和重构在中断或失败后，组件应提供恢复和重构为已知安全状态的能力。组件恢复和重构到已知的安全状态意味着所有的系统参数(默认或可配置)被设置为安全值，重新安装关键的安全补丁程序，重新建立安全相关的配置设置，系统文档和操作程序可用，组件被重新安装并配置了已建立的设置，加载来自最新的已知安全备份的信息，并且系统已经过全面测试和功能验证。无。与CR7.4有关的四个安全等级的要求是：●SL-C(RA,组件)1:CR7.4;●SL-C(RA,组件)2:CR7.4;●SL-C(RA,组件)3:CR7.4;●SL-C(RA,组件)4:CR7.4。没有与IEC62443-3-3SR7.5相关的组件级别要求。11.8CR7.6——网络和安全配置设置组件应提供这样的能力，根据控制系统供应商提供的指南中推荐的网络和安全配置进行系统设置。●SL-C(RA,组件)1:CR7.6;●SL-C(RA,组件)2:CR7.6;●SL-C(RA,组件)3:CR7.6(1);●SL-C(RA,组件)4:CR7.6(1)。组件能够提供各种各样的功能和服务。所提供的一些功能和服务可能并不是支持IACS功能所必●SL-C(RA,组件)1:CR7.7;●SL-C(RA,组件)3:CR7.7;●SL-C(RA,组件)4:CR7.7。组件可能会将他们自己的一组组件集成到整体控制系统中。在这种情●SL-C(RA,组件)1:不选择；●SL-C(RA,组件)2:CR7.8;●SL-C(RA,组件)3:CR7.8;●SL-C(RA,组件)4:CR7.8。c)根据代码执行之前的完整性校验●SL-C(UC,组件)1:SAR2.4;●SL-C(UC,组件)2:SAR2.4(1);●SL-C(UC,组件)3:SAR2.4(1);●SL-C(UC,组件)4:SAR2.4(1)。应用程序产品供应商应认定和文档化哪些恶意代码防护机制与应用程序兼●SL-C(SI,组件)1:SAR3.2;●SL-C(SI,组件)2:SAR3.2;●SL-C(SI,组件)3:SAR3.2;●SL-C(SI,组件)4:SAR3.2。c)根据代码执行之前的完整性校验结果控制移动代码的执行。的移动代码。控制程序宜防止在组件所在的控制系统内开发、获取或引入不可接受的移动代码。例嵌入式设备应提供实施安全策略的能力，该安全策略允许设备根据代●SL-C(UC,组件)1:EDR2.4;●SL-C(UC,组件)2:EDR2.4(1);●SL-C(UC,组件)3:EDR2.4(1);●SL-C(UC,组件)4:EDR2.4(1)。嵌入式设备应防止未经授权使用工厂诊断和测试的物理接口(如JTAG调试)。工厂诊断和测试接口是在嵌入式设备内的不同位置创建的，以帮助嵌如果诊断和测试接口不提供控制嵌入式设备或访问非公共信息的能应通过威胁和风险评估来确定。例如：JTAG调试，JTAG是用于控制处理器并执行任意命令；而嵌入式设备应提供对设备诊断和测试接口的主动监视，并在检测到对●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:EDR2.13;●SL-C(SI,组件)3:EDR2.13(1);●SL-C(SI,组件)3:EDR2.13(1)。●SL-C(SI,组件)1:EDR3.2;●SL-C(SI,组件)3:EDR3.2;●SL-C(SI,组件)4:EDR3.2。嵌入式设备在其被安装后的整个生命周期中可能需要更新和升级。存●SL-C(SI,组件)1:EDR3.10;●SL-C(SI,组件)4:EDR3.10(1)。防破坏机制的目的是防止攻击者对IACS设备执行未经授权的物理操作尝试。若破坏事件发破坏留证的目的是确保在发生破坏事件时保留可见的或电子的证据。许多简在发现有未经授权的物理访问尝试时，嵌入式设备应能够向可配置的一组接收人自动提供通知。●SL-C(SI,组件)2:EDR3.11;●SL-C(SI,组件)4:EDR3.11(1)。●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:EDR●SL-C(SI,组件)3:EDR●SL-C(SI,组件)3:EDR3.12。b)支持在不依赖设备安全域之外组件的情况下进行置备产品供应商建立机制来确保其组件上的软件和固件是真实的，并且该软件商还提供了资产所有者通过使用移动代码、用户程序或其他类似手段无效来源列表各不相同，并且产品供应商不可能在制造时就拥有每个可能的CR4.1——信息机密性(见8.3)中的诸如EDR2.4——移动代码(见13.2)要求组件在执行移动代码之前完成对移动代码的真实性检查。由此要求提供的信任根提供了验证移动代码的来源和完整性所必需的●SL-C(SI,组件)3:EDR3.13;●SL-C(SI,组件)4:EDR3.13。为了向资产所有者保证组件的安全功能没有受到损害，有必要确保组件的软件和固件没有被篡改，并且软件和固件对组件的执行是有效的。因此，组件宜执行以在引导过程之前验证组件的固件●SL-C(SI,组件)4:EDR3.14(1)。c)根据代码执行之前的完整性校验结果控制移动代码的执画和VBScript。使用约束适用于安装在服务器上的移动代码的选择和使用，及每个工作站上下载和执主机设备应提供实施安全策略的能力，该安全策略允许设备基于代码执●SL-C(UC,组件)1:HDR2.4;●SL-C(UC,组件)2:HDR2.4(1);●SL-C(UC,组件)3:HDR2.4(1);●SL-C(UC,组件)4:HDR2.4(1)。主机设备应防止未经授权使用工厂诊断和测试的物理接口(如JTAG调试)。工厂诊断和测试接口是在主机设备内的不同位置创建的，以帮助主机可能存在工厂诊断和测试接口会使用网络与设备通信的情况。在这种情如果诊断和测试接口不提供控制主机设备或访问非公共信息的能力通过威胁和风险评估来确定。例如：JTAG调试，JTAG是用于控制处理器并执行任意命令；而主机设备应提供对设备诊断和测试接口的主动监视，并在检测到对这些接口的访问时生成审计●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)3:HDR2.13(1);主机设备上应有经IACS产品供应商认定的恶意代码防护机制。IACS产品供应商应将与恶意代主机设备应自动报告使用中的防护恶意代码的软件和文件版本(作为整体日志记录功能的一部●SL-C(SI,组件)2:HDR3.10(1);●SL-C(SI,组件)3:HDR3.10(1);●SL-C(SI,组件)4:HDR3.10(1)。防破坏机制的目的是防止攻击者企图对IACS设备执行未经授权的物理操作。若破坏事件发最有效的防破坏机制是使用组合手段防止对关键组件的访问。防破坏在发现有未经授权的物理访问尝试时，主机设备应能够向可配置的一组接收●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:HDR3.11;●SL-C(SI,组件)3:HDR3.11(1);●SL-C(SI,组件)4:HDR3.●SL-C(SI,组件)1:不选择；b)支持在不依赖设备安全区域之外的组件的情况下进行置为了执行这些验证，组件宜包含提供区分有效和无效源的方法的数据诸如HDR2.4——移动代码(见14.2)中要求的组件在执行移动代码之前完成对移动代码的真实CR4.1——信息机密性(见8.3)中的●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:HDR●SL-C(SI,组件)3:HDR●SL-C(SI,组件)4:HDR3为了向资产所有者保证组件的安全功能没有受到损害，有必要确保组件的软件和固件没有被篡改，并且软件和固件对组件的执行是有效的。因此，组件宜执行以在启动过程之前验证组件的固件●SL-C(SI,组件)1:HDR●SL-C(SI,组件)2:HDR3.14(1);●SL-C(SI,组件)3:HDR●SL-C(SI,组件)4:HDR3.14支持无线访问管理的网络设备应提供标识和鉴别从事无线通信的所有用户(人员、软件进程或设任何无线技术都可以在大多数情况下被认为是另一种通信协议选项。因此，宜遵循与IACS使用●SL-C(UC,组件)2:NDR1.6(1●SL-C(UC,组件)3:NDR1.6●SL-C(UC,组件)4:NDR1.6(1)。网络设备支持设备访问网络时应提供监视和控制所有经由不受信任网络访问网络设备方法的通过不可信网络访问网络设备的示例通常包括远程访问方法(如拨号、宽带b)VLAN。●SL-C(UC,组件)1:NDR1.13;●SL-C(UC,组件)2:NDR1.13;●SL-C(UC,组件)3:NDR1.13(1);●SL-C(UC,组件)4:NDR1.13(1)。c)根据代码执行之前的完整性校验结果控制移动代码的执画和VBScript。使用限制适用于服务器上安装行的移动代码。控制规程应防止在组件所在的控制系统内开发、获取或(1)移动代码真实性检查●SL-C(UC,组件)1:NDR2.4;●SL-C(UC,组件)2:NDR2.4(1);●SL-C(UC,组件)3:NDR2.4(1);●SL-C(UC,组件)4:NDR2.4(1)。工厂诊断和测试接口是在组件内的不同位置创建的，以帮助组件内的通过威胁和风险评估来确定。例如：JTAG调试，JTAG是用于控制处理器并执行任意命令；而网络设备应提供对设备诊断和测试接口的主动监视并在检测到访问这些接口的尝试时生成审计●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)3:NDR2.13(1);●SL-C(SI,组件)3:NDR2.13(1)。●SL-C(SI,组件)1:NDR3.2;●SL-C(SI,组件)2:NDR3.2;●SL-C(SI,组件)3:NDR3.2;●SL-C(SI,组件)4:NDR3.2。与NDR3.10有关的四个安全等级的要求●SL-C(SI,组件)1:NDR3.10;●SL-C(SI,组件)2:NDR3.1●SL-C(SI,组件)3:NDR3.10(1);●SL-C(SI,组件)4:NDR3.10(1)。防破坏机制的目的是防止攻击者对IACS设备执行未经授权的物理操作尝试。若破坏事件发GB/T42456—2023/IEC62443-4●SL-C(SI,组件)3:NDR3.11(1);●SL-C(SI,组件)4:NDR3.11(1)。●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)3:NDR3.12;●SL-C(SI,组件)3:NDR诸如NDR2.4——移动代码(见15.4)要求组件在执行移动代码之前完成对移动代码的真实性检●SL-C(SI,组件)1:不选择；●SL-C(SI,组件)2:NDR3.13;●SL-C(SI,组件)3:NDR3.13;●SL-C(SI,组件)4:NDR3.13。为了向资产所有者保证组件的安全功能没有受到损害，有必要确保组件的软件和固件没有被篡改，并且软件和固件对组件的执行是有效的。因此，组件宜执行以在引导过程之前验证组件的固件在组件启动过程所需的固件、软件和配置数据使用之前，网络设备应使用组件的产品供应商信任根来验证组件启动过程所需的固件、软件和配置数据的真实性。与NDR3.14有关的四个安全等级的要求是：●SL-C(SI,组件)1:NDR●SL-C(SI,组件)2:NDR●SL-C(SI,组件)3:NDR●SL-C(SI,组件)4:NDR在区域边界的网络设备应提供在区域边界监视和控制通信的能力，来实施基于风险的区域和管道模型中定义好的划分。与每个安全域之外的任何连接都应通过被管理的接口进行，这些接口由有效架构(例如，防火墙防护部署在DMZ中的应用网关)中部署的合适的边界防护设备(例如代理、网关、路由器、防火墙、单向网关、防护装置和加密隧道)组成。任何指定的备用处理站点的控制系统边界防护宜与主站点提供相同的防护级别。网络组件应提供除允许例外外，拒绝默认网络流量(也被称为拒绝所有，允许例外)的能力。(2)孤岛模式网络组件应提供防止通过控制系统边界进行任何通信的能力(也称为孤岛模式)。(3)失效关闭当边界防护机制出现运行故障(也称为失效关闭)时，网络组件应提供防止通过控制系统边界进行任何通信的能力。与NDR5.2有关的四个安全等级的要求是：●SL-C(SI,组件)1:NDR●SL-C(SI,组件)2:NDR●SL-C(SI,组件)4:NDR15.13NDR5.3——普通目的个人间通信限制区域边界处的网络设备应提供防止从控制系统外部的用户或系统接收到普通目的个人间消息的等)或任何允许传输任何类型的可执行文件的消息系统。这些系统通常用于与控制系统操作无关的私●SL-C(SI,组件)1:NDR5.3;●SL-C(SI,组件)2:NDR5.3;●SL-C(SI,组件)3:NDR5.3;●SL-C(SI,组件)4:NDR5.3。(资料性)设备分类A.1概述附录中描述的设备旨在作为每个分类中的代表性设备，而不是详尽的清单。A.2.1可编程逻辑控制器(PLC)术语“可编程逻辑控制器”从IEC60050-351:2013,351-47-22扩展而来[11],并且常用于过程和离散制造业。PLC是位于自动化系统较低层级的典型设备[例如ANSI/ISA-95.00.01[15]中的Purdue企业参考架构1级和2级]。PLC通常使用加固硬件以保证其在工业环境中运行，并且通常基于商业实时操作系统(RTOS)运行。越来越多的智能传感器和执行器也获得了过程控制的能力。基于过程输入(从传统的温度传感器、压力传感器和振动传感器等仪器获得),可以对PLC和智能传感器/执行器进行编程来执行控制逻辑。控制逻辑输出通常用于控制工业过程(通过阀、泵等执行机构)。编程通常在主机设备(例如笔记本电脑或PC工作站)上使用工程软件完成。控制逻辑的通用编程语言见IEC61131-3[13]。在大型系统中，PLC通常也将传感器采集的过程状态发送给更高层级的服务器和/或操作员工作站，并将更高级别控制功能或操作员工作站的指令编译或转发给执行机构。现代PLC使用以太网和基于TCP/IP的协议实现与更高级别功能(如控制服务器或操作员工作站)的通信，并通过行业标准现场总线(其中一些也可以使用以太网，但是通常不使用TCP/IP协议栈)实现与现场仪表的通信。特殊PLC用于执行功能安全功能，从而确保了受控过程时刻都处在安全运行的范围内。PLC(特别是执行功能安全功能)宜满足高实时性、高完整性和高可用性要求。A.2.2智能电子设备(IED)此术语更多地用于电力系统(特别是变电站自动化)。IED装置从电力设备(例如变压器、开关和电路断路器)接收测量值，并执行控制逻辑或保护功能。与PLC类似，IED通常在主机设备(例如笔记本电脑或PC工作站)上使用工程软件实现编程和参数配置。一种描述IED的配置及其功能的现代标准方法在IECTR61850-1中定义。IED的逻辑输出由IED执行传送到执行机构(开关、电流断路器等)。与PLC不同的是，IED通常还带有HMI,以便允许人类用户在IED前使用其功能(通常是支持基本功能所必需的子集)。此外，变电站及其使用的IED宜能够在完全隔离的条件(例如无法与变电站外的高层级系统进行任何通信，甚至无法与其他IED装置或站级工作站、服务器进行任何通信)下运行。现代IED通常使用以太网和基于TCP/IP的协议实现与更高级别组件的通信，而与其他IED的通信可以通过基于以太网的协议(在某些情况下基于TCP/IP,通常直接通过以太网)或现场总线(其中一些也可在以太网上使用，但不使用TCP/IP协议栈)完成。与PLC类似，IED宜满足高实时性、高完整性和高可用性要求。A.3.1交换机术语“交换机”从IEC60050-732:2010,732-01-22[12]扩