信息安全技术 工业控制系统专用防火墙技术要求

信息安全技术工业控制系统专用防火墙技术要求范围本标准规定了工业控制系统专用防火墙（以下简称工控防火墙）的安全技术要求。本标准适用于工控防火墙的设计、开发与测试。本标准适用于工程设计方、设备生产商、系统集成商、用户以及评估认证机构等。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20281信息安全技术防火墙安全技术要求和测试评价方法GB/T25069信息安全技术术语GB/T18336.1信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T30976.1-2014工业控制系统信息安全第1部分评估规范GB/T30976.2-2014工业控制系统信息安全第2部分验收规范GB/Txxxxx集散控制系统（DCS）安全防护标准术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。工业控制系统专用防火墙industrialfirewall可应用于工业控制环境，对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定工业环境和功能要求的防火墙。根据工控防火墙在工控系统中保护对象的不同，又可细分为部署域间工控防火墙和部署现场控制层工控防火墙，附录C为工控防火墙典型应用。图C.1，C.2为部署域间的工控防火墙，图C.3为部署现场控制层工控防火墙。深度包检测deeppacketinspection基于应用层的流量检测和控制技术，通过读取IP包载荷的内容并对应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的策略对内容进行相应处置。（GB/T20281-2015，定义3.2）深度内容检测deepcontentinspection能够对应用协议的深入解析，识别出协议中的各种要素（如http协议，可具体解析到如cookie、Get参数、Post表单等）以及协议所承载的业务内容（如业务系统交互中包含在协议或文件中的数据内容），并对这些数据进行快速的解析，以还原其原始通信的信息。根据这些解析后的原始信息，可以检测其是否包含威胁以及敏感内容。（GB/T20281-2015，定义3.3）缩略语下列缩略语适用于本文件。DMZ：非军事区（DemilitarizedZone）DNAT：目的网络地址转换（DestinationNAT）FTP：文件传输协议（FileTransferProtocol）HTTP：超文本传输协议（HypertextTransferProtocol）ICMP：互联网控制报文协议（InternetControlMessagesProtocol）IP：网际协议（InternetProtocol）MAC：介质访问控制（MediaAccessControl）NAT：网络地址转换（NetworkAddressTranslation）OPC：用于过程控制的OLE（ObjectLinkingandEmbedding（OLE）forProcessControl）SNAT：源网络地址转换（SourceIPNAT）TCP：传输控制协议（TransportControlProtocol）UDP：用户数据报协议（UserDatagramProtocol）安全技术要求总体说明本标准参考GB/T20281关于IT防火墙技术分类和安全功能的强度划分方式，从安全技术要求方面将工控防火墙分为安全功能、安全保证两个大类，从安全功能的强度方面将工控防火墙分为基础级和增强级。其中安全功能要求在GB/T20281的基础上进行增、减等修改，以满足工业应用的特殊要求。安全保证要求则仍然采用GB/T20281的相关规定。GB/T20281中关于IT防火墙安全功能强度等级的适用性仍适用于本标准。表1为工控防火墙安全功能要求表，表中“加粗字体”为工控防火墙相对于IT防火墙新增安全功能要求。在具体技术要求部分，与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“字体加粗”表示。工控防火墙安全功能要求安全功能要求基本级增强级部署域间部署现场控制层部署域间部署现场控制层网络层控制包过滤******NAT————*——状态检测****动态开放端口*——*——表1（续)安全功能要求基本级增强级部署域间部署现场控制层部署域间部署现场控制层网络层控制IP/MAC地址绑定****流量会话管理连接数控制****会话管理————**流量监测————*——带宽监测————*——抗拒绝服务攻击****网络扫描防护****应用层控制应用协议控制******工业协议深度内容检测————**安全运维管理运维管理******安全审计******日志管理******安全管理安全支撑系统****异常处理机制****高可用性旁路保护****多工作模式******安全策略无扰下装****时钟同步****电源冗余------*散热方式------*双机热备----*--注：“*”表示具有该要求，“**”表示要求有所增强，“——”表示不适用。基本级安全要求安全功能要求网络层控制包过滤工控防火墙的包过滤要求如下：安全策略应使用最小安全原则，即除非明确允许，否则就禁止；安全策略应包含基于源IP地址、目的IP地址的访问控制；安全策略应包含基于源端口、目的端口的访问控制；安全策略应包含基于协议类型的访问控制；安全策略可包含基于MAC地址的访问控制；应支持用户自定义的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部组合。状态检测工控防火墙应具备状态检测功能，支持基于状态检测技术的访问控制。动态端口开放工控防火墙应具备动态开放端口功能，应至少支持OPC、FTP。IP/MAC地址绑定工控防火墙应支持自动或管理员手工绑定IP/MAC地址；应能够检测IP地址盗用，拦截盗用IP地址的主机经过工控防火墙的各种访问。流量会话管理工控防火墙应能够设置单IP的最大会话数，防止大量非合规连接产生时影响网络的性能。抗拒绝服务攻击工控防火墙应具有抗拒绝服务攻击的能力，具体技术要求如下（包括，但不限于）：ICMPFlood攻击；UDPFlood攻击；SYNFlood攻击；TearDrop攻击；Land攻击；超大ICMP数据攻击。网络扫描防护工控防火墙应能够检测和记录扫描行为，包括对受保护网络的扫描。应用层控制工控防火墙应能识别并控制各种通用应用层协议及常用工业控制协议，具体技术要求如下：支持HTTP、FTP、Telnet等常见通用应用层协议；支持至少一种工业控制协议，例如OPC、ModBusTCP、Profinet、BACnet等。安全运维管理运维管理工控防火墙应具备管理功能，具体技术要求如下：支持对授权管理员的口令鉴别方式，且口令设置满足安全要求；应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前，对每个授权管理员、可信主机、主机和用户进行唯一的身份鉴别；应具有登录失败处理功能，身份鉴别在经过一个可设定的鉴别失败最大次数后，工控防火墙应终止可信主机或用户建立的会话；工控防火墙应为每一位规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全策略所必需的安全属性；应支持进行本地管理工控防火墙；应支持通过网络接口进行远程管理，并可限定可进行远程管理的网络接口；远程管理过程中，管理端与工控防火墙之间的所有通讯数据应非明文传输；对于数据加密或者非明文的传输、存储要求，需遵守国家密码局的相关规定；向授权管理员提供设置和修改安全管理相关的数据参数的功能；向授权管理员提供设置、查询和修改各种安全策略的功能；向授权管理员提供管理审计日志的功能。安全审计工控防火墙应具备安全审计功能，具体技术要求如下：记录事件类型试图登录工控防火墙管理端口和管理身份鉴别请求；对工控防火墙系统所有配置操作，包括但不限于IP地址设置，路由设置，管理用户的增加、删除、修改，安全策略的配置等；日志信息的备份、删除、查找等；从内部网络、外部网络发起的试图穿越或到达工控防火墙的违反安全策略的访问请求；被访问控制策略允许、禁止的访问请求；检测到的攻击行为；其他应该记录的事件信息。日志内容数据包的协议类型、源地址、目标地址、源端口和目标端口；访问控制发生的时间，日期必须包括年、月、日，时间必须包括时、分、秒；产生日志记录的访问控制策略执行结果；攻击事件其他需要描述的信息；工控防火墙操作事件发生的时间，日期必须包括年、月、日，时间必须包括时、分、秒；执行操作的用户、执行操作的结果；应根据日志内容设置日志级别，包括但不限于调试、信息、警告、错误等多个级别。日志管理工控防火墙应具备日志管理功能，具体技术要求如下应只允许授权审计员能够对日志进行读取、存档、导出、删除和清空等操作；应提供能查阅日志的工具，具备对审计事件以时间、日期、主体标识、客体标识等条件检索的能力，并且只允许授权审计员使用查阅工具；审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审计员。安全管理安全支撑系统工控防火墙的底层支撑系统应满足以下要求：确保其支撑系统不提供多余的网络服务；不含任何导致产品权限丢失、拒绝服务等的安全漏洞。异常处理机制工控防火墙在非正常条件（比如掉电、强行关机）关机再重新启动后，应满足如下技术要求：安全策略恢复到关机前的状态；日志信息不会丢失；管理员重新鉴别。高可用性Bypass功能部署在现场控制层的工控防火墙应具备Bypass功能，当工控防火墙自身出现断电或其他软硬件故障时，应使工控防火墙内部接口与外部接口直接物理连通，保持内部网络与外部网络之间的正常通信。多工作模式工控防火墙应支持多种工作模式，保证工控防火墙区分部署和工作过程以实现对被防护系统的最小影响，具体技术要求如下：支持学习模式，工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；支持验证模式或测试模式，该模式下工控防火墙对白名单策略外的行为做告警，但不拦截；支持工作模式，工控防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。安全策略无扰下装进行工控防火墙安全策略应用时不应该影响正常的数据通信。时钟同步工控防火墙应支持与时钟服务器自动同步时钟的功能。安全保证要求工控防火墙基本级安全保证要求，按照IT防火墙标准GB/T20281中关于IT防火墙基本级安全保证要求的规定执行。增强级安全要求安全功能要求网络层控制包过滤工控防火墙的包过滤要求如下：安全策略应使用最小安全原则，即除非明确允许，否则就禁止；安全策略应包含基于源IP地址、目的IP地址的访问控制；安全策略应包含基于源端口、目的端口的访问控制；安全策略应包含基于协议类型的访问控制；安全策略可包含基于MAC地址的访问控制；安全策略可包含基于时间的访问控制；应支持用户自定义的安全策略，安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。NAT部署域间的工控防火墙应具备NAT功能，具体技术要求如下：应支持双向NAT：SNAT和DNAT；SNAT应至少可实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源IP地址被转换；DNAT应至少可实现“一对多”地址转换，将DMZ的IP地址/端口映射为外部网络合法IP地址/端口，使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问。状态检测工控防火墙应具备状态检测功能，支持基于状态检测技术的访问控制。动态端口开放工控防火墙应具备动态开放端口功能，应至少支持OPC、FTP。IP/MAC地址绑定工控防火墙应支持自动或管理员手工绑定IP/MAC地址；应能够检测IP地址盗用，拦截盗用IP地址的主机经过工控防火墙的各种访问。流量会话管理连接数控制工控防火墙应能够设置单IP的最大会话数，防止大量非合规连接产生时影响网络的性能。会话管理工控防火墙应能够在会话处于非活跃一定时间或会话结束后，终止网络连接。流量监测部署域间的工控防火墙应具备流量统计功能：能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合对流量进行正确的统计；能够实时或者以报表形式输出流量统计结果；能够对流量超过预警值的行为进行告警。带宽监测部署域间的工控防火墙应具备对客户端占用带宽进行监测的功能。抗拒绝服务攻击工控防火墙具有抗拒绝服务攻击的能力，具体技术要求如下（包括，但不限于）：ICMPFlood攻击；UDPFlood攻击；SYNFlood攻击；TearDrop攻击；Land攻击；超大ICMP数据攻击。网络扫描防护工控防火墙应能够检测和记录扫描行为，包括对受保护网络的扫描。应用层控制应用协议控制工控防火墙应能识别并控制各种应用类型，具体技术要求如下：支持HTTP、FTP、Telnet等常见通用应用层协议；支持目前常用工业控制协议，例如OPC、ModBusTCP、Profinet、BACnet、DNP3、IEC104等（仅对部署域间的工控防火墙适用）；自定义应用类型。工业协议深度内容检测工控防火墙应能对主流工业协议进行深度内容检测，具体技术要求如下：应至少支持对一种工业协议的深度内容检测；协议格式检查；支持对工业协议的操作类型、操作对象、操作范围等参数进行控制；其他类型的应用内容。具体工控协议检测深度见附录D安全运维管理运维管理工控防火墙应具备管理功能，具体技术要求如下：支持对授权管理员的口令鉴别方式，且口令设置满足安全要求；应在所有授权管理员、可信主机、主机请求执行任何操作之前，对每个授权管理员、可信主机、主机进行唯一的身份鉴别；应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别；应具有登录失败处理功能，身份鉴别在经过一个可设定的鉴别失败最大次数后，工控防火墙应终止可信主机或用户建立的会话；工控防火墙应为每一个规定的授权管理员、可信主机、主机提供一套唯一的为执行安全策略所必需的安全属性；应支持进行本地管理工控防火墙；应支持通过安全管理平台方式对工控防火墙进行集中管理；应支持通过网络接口进行远程管理，并可限定可进行远程管理的网络接口；远程管理过程中，管理端与工控防火墙之间的所有通讯数据应非明文传输；对于数据加密或者非明文的传输、存储要求，需遵守国家密码局的相关规定；向授权管理员提供设置和修改安全管理相关的数据参数的功能；向授权管理员提供设置、查询和修改各种安全策略的功能；向授权管理员提供管理审计日志的功能；工控防火墙应支持将管理用户分为系统管理员、审计员和安全管理员，实现工控防火墙设备的三权分离。安全审计工控防火墙应具备安全审计功能，具体技术要求如下：记录事件类型试图登录工控防火墙管理端口和管理身份鉴别请求；对工控防火墙系统所有配置操作，包括但不限于IP地址设置，路由设置，管理用户的增加、删除、修改，安全策略的配置等；日志信息的备份、删除、查找等；从内部网络、外部网络发起的试图穿越或到达工控防火墙的违反安全策略的访问请求；被访问控制策略允许、禁止的访问请求；检测到的攻击行为；其他应该记录的事件信息。日志内容数据包的协议类型、源地址、目标地址、源端口和目标端口；访问控制发生的时间，日期必须包括年、月、日，时间必须包括时、分、秒；产生日志记录的访问控制策略执行结果；攻击事件其他需要描述的信息；工控防火墙操作事件发生的时间，日期必须包括年、月、日，时间必须包括时、分、秒；执行操作的用户、执行操作的结果；应根据日志内容设置日志级别，包括但不限于调试、信息、警告、错误等多个级别；应至少支持一种以上工业协议深度内容审计，审计深度与工业协议深度内容检测深度一致。日志管理工控防火墙应支持日志管理功能，具体技术要求如下：应只允许授权审计员能够对日志进行读取、存档、导出、删除和清空等操作；应提供能查阅日志的工具，具备对审计事件以时间、日期、主体标识、客体标识等条件检索的能力，并且只允许授权管理员使用查阅工具；审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审计员；应支持第三方日志管理系统对工控防火墙日志信息进行集中收集、存储。安全管理安全支撑系统工控防火墙的底层支撑系统应满足以下要求：确保其支撑系统不提供多余的网络服务；不含任何导致产品权限丢失、拒绝服务等的安全漏洞。异常处理机制工控防火墙在非正常条件（比如掉电、强行关机）关机再重新启动后，应满足如下技术要求：安全策略恢复到关机前的状态；日志信息不会丢失；管理员重新鉴别。高可用性Bypass功能部署在现场控制层的工控防火墙应具备Bypass功能，当工控防火墙自身出现断电或其他软硬件故障时，应使工控防火墙内部接口与外部接口直接物理连通，保持内部网络与外部网络之间的正常通信。多工作模式工控防火墙应支持多种工作模式，保证工控防火墙区分部署和工作过程以实现对被防护系统的最小影响，具体技术要求如下：支持学习模式，工控防火墙记录运行过程中经过防火墙的所有策略、资产等信息，形成白名单策略集；应至少支持一种工控协议的深度策略学习，学习深度与工业协议深度内容检测深度一致；支持验证模式或测试模式，该模式下工控防火墙对白名单策略外的行为做告警，但不拦截；支持工作模式，工控防火墙的正常工作模式，严格按照防护策略进行过滤等动作保护。安全策略无扰下装进行工控防火墙安全策略应用时不应该影响正常的数据通信。时钟同步工控防火墙应支持与时钟服务器自动同步时钟功能。电源冗余部署现场控制层的工控防火墙应提供双电源冗余功能散热方式部署现场控制层的工控防火墙应采用自然散热，无风扇方式设计。双机热备部署域间的工控防火墙应具备双机热备的能力，当主防火墙自身出现断电或其他故障时，备防火墙应及时发现并接管主防火墙进行工作安全保证要求工控防火墙增强级安全保证要求，按照IT防火墙标准GB/T20281中关于IT防火墙增强级安全保证要求的规定执行。（资料性附录）环境适应性要求本标准的环境适应性要求包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护。每一项又有各自的具体要求。应根据设备实际部署环境的不同，由用户和设备制造商确定具体应满足的要求。本标准环境适应性要求章节的编写主要参考了GB/T30094-2013工业以太网交换机技术规范，其参考的相关标准主要为GB/T2423系列电工电子产品环境试验，GB/T17626系列电磁兼容试验和测量技术，其余详见下文。本章节所涉及的标准，凡是未注明日期的，应参考该标准最新版本。气候温度表A.1规定了设备工作、贮存和运输温度条件。设备在规定的工作温度范围内工作时，其功能和性能应满足本标准的规定。在规定的温度范围内贮存和运输时，不应发生裂痕、老化或其他损坏；当经受该温度范围后再恢复到工作温度范围时，设备应能正常工作。应用于温度快速变化场合的设备、在经受不超过50C/min的温度变化时应能正常工作。温度条件等级工作温度/0C贮存和运输温度/0C低温高温低温高温Ⅰ060-4070Ⅱ-4070-4085Ⅹ特定注：Ⅹ是一个开放等级，具体温度要求范围可根据设备实际应用环境与客户协商确定。相对湿度设备在表A.2规定的相对湿度环境条件下应能正常工作：相对湿度条件（无凝结）等级低相对湿度（%）高相对湿度（%）Ⅰ595Ⅹ特定注：Ⅹ是一个开放等级，具体相对湿度要求范围可根据设备实际应用环境与客户协商确定。大气压力设备工作大气压力条件见表A.3大气压力条件等级低气压/kPa高气压/kPaⅠ80106Ⅱ70106Ⅹ特定注：Ⅹ是一个开放等级，具体抗腐蚀性要求范围可根据设备实际应用环境与客户协商确定。防腐蚀设备工作在盐雾环境条件下或存在其他化学活性物质，应提供工业环境中抗腐蚀和侵蚀的能力，保证设备在表A.4、A.5规定的环境条件下能够长期使用。盐雾等级最大盐雾浓度（mg/m3）Ⅰ≤5Ⅹ特定注：Ⅹ是一个开放等级，具体抗腐蚀性要求范围可根据设备实际应用环境与客户协商确定。化学活性物质条件等级依据标准化学活性物质ⅠGB/T17214.4工业清洁空气Ⅱ中等污染Ⅲ严重污染Ⅹ特定注：Ⅹ是一个开放等级，具体抗腐蚀性要求范围可根据设备实际应用环境与客户协商确定。抗霉变设备工作在潮湿多雨地区和霉菌滋生环境下不应发生霉变，并能够正常工作。电磁兼容性设备应满足工业环境中的电磁兼容性要求，具体技术指标见下列表A.7～表A.26。其中，电磁兼容辐射和传导发射限值按GB4824为CLASSA，电磁兼容抗扰度的性能判据要求详见表A.6。性能判据性能评价判据说明A试验期间和试验后受试设备均应按预期要求继续运行，无功能丧失或性能下降B试验期间，受试设备允许出现暂时的性能下降或功能丧失,但设备可以自我恢复，试验后设备应按预期要求继续运行。不能出现系统死机、复位或重启。C试验期间，允许受试设备出现暂时的性能下降或功能丧失，但需要人工干预或系统复位才能恢复辐射发射及传导发射要求测试项测试端口参考标准测试频段限值辐射发射整机GB4824、GB925430MHz～1GHzA类传导发射电源口、信号口150KHz～30MHzA类外壳端口静电放电抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.23（接触放电±6KV，空气放电±8KV）AⅡ4（接触放电±8KV，空气放电±15KV）AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。整机射频电磁场辐射抗扰度要求等级依据标准严酷等级试验频段判据ⅠGB/T17626.32（3V/m,80%AM）80MHz～1GHzAⅡ3（10V/m,80%AM）AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。电源端口及信号端口电快瞬变脉冲群抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.43（电源口±2KV，信号口±1KV）AⅡ4（电源口±4KV，信号口±2KV）AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。信号端口浪涌（冲击）抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.5线-地2AⅡ3AⅢ4AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。直流电源输入端口浪涌（冲击）抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.5线-地3线-线3AⅡ44AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。交流电源输入端口浪涌（冲击）抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.5线-地3线-线3AⅡ44AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。电源端口及信号端口射频场感应的传导骚扰抗扰度要求等级依据标准严酷等级试验频段判据ⅠGB/T17626.62（3V,80%AM）150KHz～80MHzAⅡ3（10V,80%AM）AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。整机工频磁场抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.8稳定持续磁场：4级短时作用磁场：4级AⅡ稳定持续磁场：5级短时作用磁场：5级AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。整机阻尼振荡磁场抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.104AⅡ5AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。电源端口阻尼振荡波抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.12-1998表22AⅡ3AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。振铃波抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.12表13AⅡ4AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。电源口0Hz～150Hz共模传导骚扰抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.163AⅡ4AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。交流电源输入端口电压暂降抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.112类BⅡ3类BⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。交流电源输入端口短时中断抗扰度要求等级依据标准严酷等级判据ⅠGB/T17626.112类CⅡ3类CⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。交流电源输入端口电压变化抗扰度要求等级依据标准试验参数电压实验等级电压降低所需时间降低后电压维持时间电压增加所需时间判据ⅠGB/T17626.1170%突变1周期25周期AⅩ特定特定特定特定特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。直流电源输入端口纹波抗扰度等级依据标准严酷等级判据ⅠGB/T17626.172AⅡ3AⅢ4AⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。直流电源输入端口电压暂降抗扰度等级依据标准严酷等级判据ⅠGB/T17626.29试验等级：40%和70%UT；持续时间：1sAⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。直流电源输入端口短时中断抗扰度等级依据标准严酷等级判据ⅠGB/T17626.29试验等级：0%UT；持续时间：1sBⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。直流电源输入端口电压变化抗扰度等级依据标准严酷等级判据ⅠGB/T17626.29试验等级：80%和120%UT；持续时间：10sAⅩ特定注：Ⅹ是一个开放等级，具体电磁兼容性能力要求可根据设备实际应用环境与客户协商确定。绝缘性能绝缘电阻设备的绝缘电阻要求见表A.27。绝缘电阻要求名称依据标准一般环境绝缘电阻GB/T13729-2002表13湿热环境绝缘电阻GB/T13729-2002表14绝缘耐压设备应绝缘耐压要求见表A.28。绝缘耐压要求名称依据标准严酷等级额定绝缘电压小于60V的回路GB/T15153.1-1998VW2额定绝缘电压大于60V的回路VW3注：高海拔地区空气密度小，同等电压下，空气更容易产生电离现象，使设备的绝缘性能下降。在高海拔地区使用的设备应通过合理设计，保证其绝缘性能。泄漏电流设备工作时对保护接地端的泄露电流应不大于5mA。接地设备应具有接地端子及标记，标记应具耐久性且易识别，接地直流电阻不大于10mΩ。机械适应性设备应提供工业环境中的机械适应性能力，具体技术要求见表A.29。机械适应性要求名称依据标准等级备注Ⅰ（导轨安装）Ⅱ（面板安装）正弦振动-工作GB/T2423.10-20085Hz≤f≤9Hz，7mm；9Hz≤f≤150Hz，2.0g；每分钟一倍频程（±10%）5Hz≤f≤9Hz，7mm；9Hz≤f≤150Hz，2.0g；每分钟一倍频程（±10%）在三个互相垂直轴的每个轴上分别扫描10次冲击-工作GB/T2423.5-199515g，持续时间：11ms/次，脉冲波形：半正弦每个坐标轴的+/-方向各进行3次冲击，即共18次垂直冲击-包装运输GB/T2423.8-1995未包装产品质量≤10kg，跌落高度0.25m未包装产品质量≤50kg，跌落高度0.10m面棱角的顺序，每个包装实验3次在完整包装箱中质量≤50kg，跌落高度0.5m在完整包装箱中质量≤100kg，跌落高度0.25m随机振动-包装运输GB/T4857.23-2012堆码高度2.5m采用标准附录A中规定的水平II曲线，振动持续时间为4小时3个轴向分别进行碰撞-包装运输GB/T4857.20-199210G，脉冲持续时间11ms，60次每分钟，1000次外壳防护设备的外壳防护等级由制造商和用户协商确定，防护等级易从表A.30规定的范围内选择。外壳防护等级表防尘等级防水等级依据标准IP2XIP3XIP4XIP5XIPX0IPX1IPX2IPX3IPX4IPX5IPX6IPX7GB4208-2008（资料性附录）性能要求吞吐量工控防火墙在只有一条允许规则和不丢包的情况下，应达到的吞吐量指标如下：对64字节短包，十兆和百兆工控防火墙应不小于线速的20%，千兆工控防火墙应不小于线速的35%；对256字节中长包，十兆和百兆工控防火墙应不小于线速的70%，千兆工控防火墙应不小于线速的80%；对512字节长包，十兆和百兆工控防火墙应不小于线速的90%,千兆工控防火墙应不小于线速的95%。在添加大数量访问控制规则（不同的100余条）的情况下，工控防火墙的吞吐量下降应不大于原吞吐量的3%。延迟延迟视不同速率的工控防火墙有所不同，具体指标要求如下，在吞吐量90%方式下测：部署在域间的工控防火墙：对64字节短包、256字节中长包、512字节长包，百兆工控防火墙最大延迟不应超过1ms；对64字节短包、256字节中长包、512字节长包，千兆工控防火墙最大延迟不应超过200us；在添加大数量访问控制规则（不同的100余条）的情况下，工控防火墙延迟所受的影响应不大于原来的3%。部署在现场控制层设备前的工控防火墙：对64字节短包、256字节中长包、512字节长包，百兆工控防火墙最大延迟不应超过200us；对64字节短包、256字节中长包、512字节长包，千兆工控防火墙最大延迟不应超过60us；在添加大数量访问控制规则（不同的100余条）的情况下，工控防火墙延迟所受的影响应不大于原来的3%。最大并发连接数最大并发连接数视不同速率的工控防火墙有所不同，具体指标要求如下：百兆工控防火墙的最大并发连接数应不小于60000个；千兆工控防火墙的最大并发连接数应不小于300000个。最大连接速率最大连接速率视不同速率的工控防火墙有所不同，具体指标要求如下：百兆工控防火墙的最大连接速率应不小于1500个/s；千兆工控防火墙的最大连接速率应不小于5000个/s。（资料性附录）工控防火墙的应用工控防火墙是应用于工业控制系统的一类特殊防火墙，其即要满足IT防火墙的基本要求外，还要满足工业控制环境下的特殊要求，工控防火墙主要应用在工业控制层级间隔离以及各层区域间隔离。运营管理层：将生产过程控制、生产过程管理和经营管理活动中产生的诸多信息进行转换、加工、传递，是生产过程控制与管理信息集成的重要桥梁和纽带，完成生产计划的调度与统计、生产过程成本控制、产品质量控制与管理、设备控制与管理、生产数据采集与处理等功能，负责生产管理和调度执行。监督控制层：以操作监视为主要任务，兼有部分管理功能。这一级是面向操作员和控制系统工程师的，因而这一级配备有技术手段齐备，功能强的计算机系统及各类外部装置，特别是显示器和键盘，以及需要较大存储容量的硬盘或软盘支持，另外还需要功能强的软件支持，确保工程师和操作员对系统进行组态、监视和操作，对生产过程实行高级控制策略、故障诊断、质量评估。现场控制层：现场控制层的主要功能包括：采集过程数据，进行数据转换与处理；对生产过程进行监测和控制，输出控制信号，实现反馈控制、逻辑控制、顺序控制和批量控制功能；对现场设备及I/O卡件进行自诊断；与过程监控层进行数据通信。工控防火墙常见应用常见如下：工业控制系统网络各层级间的安全逻辑隔离，如图C.1在运营管理层网络与监督控制层网络之间安全隔离。同层级网络不同控制域间的安全逻辑隔离，如图C.2在控制网络与功能安全保护网络之间安全隔离。对现场控制层设备进行安全隔离。如图C.3对现场控制层设备进行安全隔离。注：图C.3的部署方式不适合对通信实时性有要求的场合运营管理层网络与监督控制层网络之间安全隔离控制网络与功能安全保护网络之间安全隔离现场控制层设备安全隔离（规范性附录）典型工控协议应用层控制要求常用工控协议应用层深度内容检测见表D.1所示：常用工控协议深度内容检测要求工控协议名称过滤要求备注ModbusTCP协议按寄存器起始地址读写控制按寄存器长度读写控制与“按寄存器结束地址读写控制”相结合，二选一按寄存器结束地址读写控制与“按寄存器长度读写控制”相结合，二选一寄存器值的读写控制值的大小范围功能码检查OPC协议支持动态开放端口支持TAG控制点的全局读写控制支持TAG控制点名称的读写控制支持TAG控制点数据类型的控制支持TAG控制点值的读写控制值的大小范围支持文件导入TAG控制点S7协议功能码检查按数据空间类型读写控制按数据址址长度读写控制与“按数据结束地址读写控制”相结合，二选一按数据结束地址读写控制与“按数据长度读写控制”相结合，二选一数据值的读写控制值的大小范围Ethernet/IP支持ITEM控制点名称的读写控制支持ITEM控制点值的读写控制值的大小范围FINS命令类型检查按数据空间类型读写控制表D.1（续）工控协议名称过滤要求备注FINS按源、目的网络地址，源、目的节点地址，源、目的单元地址控制按数据址址长度读写控制与“按数据结束地址读写控制”相结合，二选一按数据结束地址读写控制与“按数据长度读写控制”相结合，二选一IEC104协议支持S帧、I帧、U帧格式检查支持遥控、遥调、总召、突变上传等操作码控制支持功能码检查、点号地址控制、值范围控制I帧有则适用支持信息体地址范围检查、信息体元素值检查、公共地址范围检查、传送原因检查I帧有则适用IEC61850/GOOSE支持畸形数据包检查按点位值的范围控制支持按照数据集进行点位值检查IEC61850/SV支持畸形数据包检查支持多ASDU检查支持svID，数据集，版本号的检查IEC61850/MMS支持mmsPDU类型控制支持mms服务类型控制与mms服务类型有关支持按逻辑节点名控制支持对应逻辑节点的数据类型、值检测DNP3协议支持主站、从站地址控制支持链路层、应用层功能码检查支持对象组和变体的控制变体对象与应用层功能码有关支持对应变体对象的限定词、变体值控制支持是否允许广播控制变体对象与应用层功能码有关表D.1（续）工控协议名称过滤要求备注FF协议支持FF消息类型控制支持参数下标、参数次标、设备号位控制下标、次标、设备号位与FF消息类型有关支持对应下标、参数次标的数据类型及数据控制 参 考 文 献[1]GB4208-2008外壳防护等级（IP代码）[2]GB4793.1-2007测量、控制和实验室用电设备的安全要求第1部分：通用要求[3]GB4943.1-2011信息技术设备安全第1部分：通用要求[4]GB9254-2008信息技术设备的无线电骚扰限制和测量方法[5]GB17625.1-2012电磁兼容限值谐波电流发射限值（设备每相输入电流≤16A）[6]GB17625.1-2012电磁兼容限值对每项额定电流≤16A且无条件接入的设备在公用低压供电系统中产生的电压变化、电压波动和闪烁的限值[7]GB17859计算机信息系统安全保护划分准则[8]GB/T14598.3-2006电气继电器第5部分：量度继电器和保护装置的绝缘配合要求和试验[9]GB/T17214.1工业过程测量和控制装置的工作条件第1部分：气候条件[10]GB/T17214.3工业过程测量和控制装置的工作条件第3部分：机械影响[11]GB/T17214.4工业过程测量和控