标准搜索结果: 'GB/T 37933-2019'
| 标准编号 | GB/T 37933-2019 (GB/T37933-2019) | | 中文名称 | 信息安全技术 工业控制系统专用防火墙技术要求 | | 英文名称 | Information security technology - Technical requirements of industrial control system dedicated firewall | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 34,317 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37933-2019: 信息安全技术 工业控制系统专用防火墙技术要求
GB/T 37933-2019 英文名称: Information security technology -- Technical requirements of industrial control system dedicated firewall
1 范围
本标准规定了工业控制系统专用防火墙(以下简称工控防火墙)的安全功能要求、自身安全要求、性
能要求和安全保障要求。
本标准适用于工控防火墙的设计、开发和测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2423.5-1995 电工电子产品环境试验 第2部分:试验方法 试验Ea和导则:冲击
GB/T 2423.8-1995 电工电子产品环境试验 第2部分:试验方法 试验Ed:自由跌落
GB/T 2423.10-2008 电工电子产品环境试验 第2部分:试验方法 试验Fc:振动(正弦)
GB/T 4208-2017 外壳防护等级(IP代码)
GB 4824-2013 工业、科学和医疗(ISM)射频设备 骚扰特性 限值和测量方法
GB/T 9254-2008 信息技术设备的无线电骚扰限值和测量方法
GB/T 13729-2002 远动终端设备
GB/T 15153.1-1998 远动设备及系统 第2部分:工作条件 第1篇:电源和电磁兼容性
GB/T 17214.4-2005 工业过程测量和控制装置的工作条件 第4部分:腐蚀和侵蚀影响
GB/T 17626.2-2018 电磁兼容 试验和测量技术 静电放电抗扰度试验
GB/T 17626.3-2016 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验
GB/T 17626.4-2018 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验
GB/T 17626.5-2008 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验
GB/T 17626.6-2017 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度
GB/T 17626.8-2006 电磁兼容 试验和测量技术 工频磁场抗扰度试验
GB/T 17626.10-2017 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验
GB/T 17626.11-2008 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度
试验
GB/T 17626.12-2013 电磁兼容 试验和测量技术 振铃波抗扰度试验
GB/T 17626.16-2007 电磁兼容 试验和测量技术 0Hz~150kHz共模传导骚扰抗扰度试验
GB/T 17626.17-2005 电磁兼容 试验和测量技术 直流电源输入端口纹波抗扰度试验
GB/T 17626.18-2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验
GB/T 17626.29-2006 电磁兼容 试验和测量技术 直流电源输入端口电压暂降、短时中断和
电压变化的抗扰度试验
3 术语和定义
GB/T 20281-2015、GB/T 20438.4-2017、GB/T 25069-2010和GB/T 32919-2016界定的以及
下列术语和定义适用于本文件。
3.1
工业控制协议
工业控制系统中,上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。通常包
括模拟量和数字量的读写控制。
3.2
工业控制系统专用防火墙
部署于工业控制系统中不同的安全域之间,或者控制器之前,具备网络层访问控制及过滤功能,工
业控制协议规约检查和过滤功能,并具备高可用性,能够适用于工业控制环境的安全网关类产品。
4 缩略语
下列缩略语适用于本文件。
DMZ:非军事区
DNAT:目的地址转换
ICMP:网络控制报文协议
MAC:介质访问控制
NAT:网络地址转换
5 产品描述
工控防火墙是应用于工业控制系统的一类特殊防火墙,其既要满足通用防火墙的基本要求,还要满
足工业控制环境下的特殊要求,工控防火墙主要应用在工业控制层级间防护以及各层区域间防护。工
控防火墙的典型部署场景参见附录A。
本标准将工控防火墙安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求
四个大类。本标准将安全功能要求、自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“黑体”表示。若工控防火墙部署在工业控制现场,应根据实际需求满足附录B环境适应性要求。
6 安全技术要求
6.1 基本级安全技术要求
6.1.1 安全功能要求
6.1.1.1 网络层控制
6.1.1.1.1 包过滤
工控防火墙的包过滤要求如下:
a) 安全策略应使用默认禁止原则,即除非明确允许,否则就禁止;
b) 安全策略应包含基于源IP地址、目的IP地址的访问控制;
c) 安全策略应包含基于源端口、目的端口的访问控制;
d) 安全策略应包含基于协议类型的访问控制;
e) 安全策略应包含基于 MAC地址的访问控制。
6.1.1.1.2 NAT
部署域间的工控防火墙应具备NAT功能,具体技术要求如下:
a) 应支持双向NAT:SNAT和DNAT;
b) SNAT应至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被
转换。
6.1.......
|