网络关键设备安全技术要求 可编程逻辑控制器（PLC）标准文本.docx

《网络关键设备安全技术要求 可编程逻辑控制器（PLC）标准文本.docx》由会员分享，可在线阅读，更多相关《网络关键设备安全技术要求 可编程逻辑控制器（PLC）标准文本.docx（7页珍藏版）》请在第一文库网上搜索。

1、ICS35.030CCS180中华人民共和I家标准GB/TXXXXX-XXXX网络关键设备安全技术要求可编程逻辑控制器（P1C）Securitytechnica1requirementsforcritica1networkdevicesProgrammab1e1ogiccontro11er（征求意见稿）（本稿完成日期：2023-08）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。-XX-XX发布XXXX-XX-XX实施国家市场监督管理总局国家标准化管理委员会目次前言I1范围22规范性引用文件23术语和定义24缩略语35概述36安全功能要求36.1 设备标识安全36.2 冗余、备

2、份恢复与异常检测46.3 漏洞和恶意程序防范46.4 预装软件启动及更新安全46.5 用户身份标识与鉴别46.6 访问控制安全46.7 日志审计安全56.8 通信安全56.9 数据安全56.10 密码要求57安全保障要求5参考文献6本文件按照GB1.12023标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。GB400502023网络关键设备安全通用要求GB/TXXXXXXXX网络关键设备安全技术要求可编程逻辑控制器（P1C）、GB/TXXXXXXXX网络关键设备安全检测方法可编程逻辑控制器（P1C）共同构成支撑网络关键设备的可编程逻辑控制器（P1C）设备安全标准。请注意本文件的某

3、些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出，由全国信息安全标准化技术委员会（SAC/TC260）和全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124）共同归口。本文件起草单位：国家工业信息安全发展研究中心、中国电子技术标准化研究院、机械工业仪器仪表综合技术经济研究所、中国网络安全审查技术与认证中心、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、公安部第三研究所、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、中国信息通信研究院、中国电子信息产业集团有限公司第六研究所、中国信

4、息安全测评中心、西门子（中国）有限公司、施耐德电气（中国）有限公司、浙江中控技术股份有限公司、傲拓科技股份有限公司、宁波和利时信息安全研究院有限公司、中国科学院信息工程研究所、南方电网科学研究院有限责任公司、烽台科技（北京）有限公司、三菱电机自动化（中国）有限公司、欧姆龙自动化（中国）有限公司、中国电力科学研究院有限公司、中电智能科技有限公司、北京腾控科技有限公司、北京威努特技术有限公司、网神信息技术（北京）股份有限公司、罗克韦尔自动化（中国）有限公司、启明星辰信息技术集团股份有限公司、北京奇虎科技有限公司、北京华顺信安信息技术有限公司、河北省电子信息产品监督检验院、上海云剑信息技术有限公司、

5、安天科技集团股份有限公司、浙江大学。本文件主要起草人：张格、赵冉、夏冀、张晓明、申永波、刘鸿运、邹春明、郭永振、张治兵、霍朝斌、高洋、王玉敏、王爱鹏、闫韬、王勇、裴渊斗、陆卫军、陈思宁、张博、闫兆腾、龚亮华、许爱东、杨佳杰、于海斌、严敏辉、霍玉鲜、王铁钢、张勇、张伟、张东旗、刘盈、张屹、何华、原真、葛建新、王乃青、程鹏网络关键设备安全技术要求可编程逻辑控制器（P1C）1范围本文件规定了列入网络关键设备的可编程逻辑控制器（P1C）在设备标识安全、冗余、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能

6、要求以及安全保隙要求。本文件适用于网络关键设备可编程逻辑控制器（P1C）的研发、测试等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版木（包括所有的修改单）适用于木文件。GB/T15969.1-2007可编程序控制器第1部分：通用信息GB/T250692023信息安全技术术语GB40050-2023网络关键设备安全通用要求3术语和定义GB/T25069-2023界定的以及下列术语和定义适用于本文件。3.1可编程逻辑控制器programmab1e1ogiccontro11er

7、；P1C用于工业环境的数字式操作的电子系统。系统用可编程的存储器作为面向用户指令的内部寄存器,完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的I/O,控制各种类型的机械或过程。来源:GB/T15969.12007,3.5,有修改3.2预装软件pre-insta11edsoftware设备出厂时安装或提供的、保隙设备正常使用必需的软件。注：P1C预装软件通常为设备固件。来源:GB400502023,3.10,有修改3.3读取read将P1C中的预装软件、程序、状态参数等数据上传。写入write将预装软件、程序、状态参数等数据下传至P1e中。3.5漏洞vu1nerabi1ity可

8、能被威胁利用的资产或控制的弱点。来源:GB400502023,3.33.6健壮性robustness描述一个系统或者一个组件在无效数据输入或者高强度输入等环境下，其各项功能可保持正确运行的程度。来源:GB400502023,3.54缩略语下列缩略语适用于本文件。CPU：中央处理器(CenIraIProCeSSingUniI)I/O：输入/输出(InputZOutput)IP：网际互联协议(Inten1etPrOtoCO1)UID：用户标识(USerIden1ifiCa1iOn)MD5：信息摘要算法-5(Message-DigestA1gorithm5)SHA-1：安全散列算法-1(Secure

9、HashA1gorithm1)DES：数据加密标准(DataEnCryP1ionStandard)5概述P1C基本结构示意图见图1。P1C通常包括CPU模块、I/O模块、通信模块和电源模块，P1C还可包含其专用功能模块(如高速计数模块、运动控制模块、密码功能模块等)。P1CI/O模块I通信模块CPU模块电源模块专用模块一图1P1C基本结构TF意图6安全功能要求6.1 设备标识安全本项要求如下：a）应符合GB40050-202】中第5.1b）的规定；b）整体式P1C应具备唯一性标识；c）模块式P1C的CPU模块、I/O模块、通信模块等主要部件模块应具备唯一性标识；注：硬件唯一性标识为序列号等，软

10、件唯一性标识为版本号等。6.2 冗余、备份恢复与异常检测本项要求如下：a）应符合GB40050-2023中第5.2b）,c）的规定；b） P1C整机应支持主备切换功能或关键部件（CPU模块、通信模块等）应支持冗余功能，主备或冗余切换时应不影响正常的工作状态；c） P1C整机或关键部件运行状态异常时，应支持切换到安全运行状态确保P1C控制功能正常。6.3 漏洞和恶意程序防范本项要求如下：a） P1C整机、关键部件不应存在已公布的漏洞，或具备补救措施防范漏洞安全风险；b） P1C整机、关键部件预装软件、补丁包/升级包不应存在恶意程序；C）P1C整机、关键部件不应存在未声明的功能和访问接口（含远程调

11、试接口）。6.4 预装软件启动及更新安全本项要求如下：a）应符合GB40050-2023中第5.4e）的规定；b） P1C整机、关键部件启动时应支持对预装软件进行完整性校验的功能,确保预装软件不被篡改；c） P1C整机、关键部件应支持预装软件更新功能；d） P1C整机、关键部件应具备保隙软件更新操作安全的功能，如仅限于授权用户实施预装软件更新操作，支持用户选择或确认是否进行更新等；e） P1C整机、关键部件应具备防范预装软件在更新过程中被篡改的安全功能，如采用非明文的信道传输更新数据、支持软件包完整性校验等。6.5 用户身份标识与鉴别本项要求如下：a）应符合GB40050-2023中第5.5c

12、）,d）,e）,f）的规定；b）应具备唯一标识用户的能力，对P1C执行配置文件读取及写入、预装软件更新等管理操作前，应对用户进行身份鉴别；c）使用口令鉴别方式时，应支持首次管理设备时强制修改默认口令或设置口令，或支持随机的初始口令；d）应支持设置口令生存周期；e）用户输入口令时，不应明文回显口令。6.6 访问控制安全本项要求如下：a）应符合GB40050-2023中第5.6c）,d）的规定；b）默认状态下应仅开启必要的服务和对应的端口，应明示所有默认开启的服务、对应的端口及用途，应支持用户关闭除厂商声明的保持P1C基本功能运行的服务和端口之外，默认开启的服务和对应的端口：c）应提供默认状态下保

13、持P1C基本控制功能和通信功能的端口和服务配置，非默认开放的端口和服务，应在用户知晓且同意后才可启用。6.7 日志审计安全本项要求如下：a）应符合GB40050-2023中第5.7d）的规定；b）应支持对重要管理操作（用户登录等）和配置变更（项目文件写入、项目文件读取、预装软件更新等）事件进行记录，记录信息应至少包括事件的日期和时间、事件的来源（U1D、设备IP地址等）、事件的结果（成功或失败）等；c）应提供日志信息本地存储功能，当日志记录存储达到设定极限时，应采取告警、循环覆盖等措施进行日志存储空间耗尽处理；d）应支持日志信息输出功能；e）不应在日志中明文或采用不安全的密码算法加密记录口令、

14、身份鉴别信息等敏感数据。注：不安全的密码算法如MD5、SHA-KDES等。6.8 通信安全本项要求如下：a）应符合GB40050-2023中第5.8a）,d）的规定；b）应满足通信协议健壮性要求，在遭受异常报文攻击时，应能保证控制功能正常；c）应支持P1C与上位机、P1C之间的时间同步功能；d）应具备抵御通信过程中身份鉴别信息重放攻击、设备控制数据重放等常见重放类攻击的能力。6.9 数据安全本项要求如下：a）应具备防止数据泄露、数据非授权读取和修改的安全功能，对存储在P1C整机、关键部件中的配置信息、项目工程文件、用户口令等敏感数据信息进行保护；b）应具备对用户产生且存储在P1C整机、关键部件中的日志、项目工程文件等数据进行授权删除的功能，支持在删除前对该操作进行确认。6.10密码要求本项要求应符合GB40050-2023中5.10的规定。7安全保障要求P1C安全保障要求应符合GB400502023中第6章的规定。参考文献1 GB18336.22015信息技术安全技术信息技术安全评估准则第2部分：安全功能组件2 GB/T33008.12016工业自动化和控制系统网络安全可编程序控制器(P1C)第1部分:系统要求3 GB/T330072016工业通信网络网络和系统安全建立自动化和控制系统安全程序