路径: 主页 > GB/T > 第208页 > GB/T 36470-2018 | 标准编号 | GB/T 36470-2018 (GB/T36470-2018) | | 中文名称 | 信息安全技术 工业控制系统现场测控设备通用安全功能要求 | | 英文名称 | Information security technology -- Common security functional requirements for data acquisition and control field devices of industrial control systems | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 42,487 | | 发布日期 | 2018-06-07 | | 实施日期 | 2019-01-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36470-2018
Information security technology--Common security functional requirements for data acquisition and control field devices of industrial control systems
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 工业控制系统现场
测控设备通用安全功能要求
2018-06-07发布
2019-01-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 安全功能要求描述结构 2
5.1 要求类结构 2
5.2 要求族结构 3
5.3 要求项结构 3
6 通用安全功能要求 4
6.1 概述 4
6.2 FIA类:用户标识与鉴别 4
6.3 FUC类:使用控制 10
6.4 FDI类:数据完整性 18
6.5 FDC类:数据保密性 22
6.6 FRF类:数据流限制 24
6.7 FRA类:资源可用性 26
附录A(资料性附录) 典型工业控制系统现场测控设备功能与构成 30
附录B(规范性附录) 要求类与要求族的分类信息简写说明 32
附录C(规范性附录) 安全功能要求依赖关系表 34
附录D(规范性附录) 通用安全功能要求汇总表 36
参考文献 38
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:全球能源互联网研究院有限公司、中国电力科学研究院有限公司、北京和利时系
统工程有限公司、北京四方继保自动化股份有限公司、华北电力大学、国电南瑞科技股份有限公司、沈阳
电业电气安装有限公司、中国信息安全测评中心、北京江南天安科技有限公司、中国电子技术标准化研
究院、国家信息技术安全研究中心。
本标准主要起草人:梁潇、高昆仑、王弢、任雁铭、李焕、郑晓崑、徐茹枝、殷尧、郑洁、王迪、赵保华、
安宁钰、王志皓、赵婷、詹雄、李凌、张錋、谢丰、陈冠直、李冰、刘鸿运、范科峰、李琳。
引 言
现场测控设备是工业控制系统的基本功能执行设备,直接对工业生产过程进行监视与控制,对于生
产的安全稳定运行至关重要。
随着信息通信技术在工业控制系统中的应用,现场设备的智能化程度逐渐增加,网络化和处理能力
的增加使得这些设备所面临的信息安全风险较传统现场设备面临的风险种类更多,范围更大,层次更为
深入,一旦遭受攻击,将直接导致设备所辖区域内甚至连锁性的生产事故,因此其信息安全不仅与生产
安全和经济安全密不可分,而且电力、化工、天然气等重要基础设施的现场安全水平直接关系到国计民
生、社会稳定与公众利益。
为提高现场设备的信息安全能力,本标准提出针对现场测控设备的通用安全功能要求,用于设备的
安全设计、开发、测试与评估。使用者应根据实际或计划使用环境的安全风险分析结果,选择设备应满
足的安全功能要求。
信息安全技术 工业控制系统现场
测控设备通用安全功能要求
1 范围
本标准规定了工业控制系统现场测控设备的用户标识与鉴别、使用控制、数据完整性、数据保密性、
数据流限制、资源可用性6类通用的安全功能要求。
本标准适用于指导设备的安全设计、开发、测试与评估。
涉及设备功能实现原理、工业控制系统整体管理和运行以及信息安全外围技术的内容不在本标准
范围之内。例如:
---本标准不涵盖与设备自身安全功能与实现没有直接关联的行政性管理和运行安全要求,如组
织管理和人员管理等。对于影响技术实施的口令策略和配置程序等管理措施,将包含在要求
的描述中,不作关于管理和运行内容的强调;
---本标准不涵盖与设备自身信息安全功能与实现没有直接关联的电磁辐射等物理安全方面的内
容,对于影响信息安全技术防护效果的物理安全访问控制等措施,将包含在要求的描述中,不
作关于物理安全内容的强调;
---本标准不对传统工业控制系统中机电式、液压式和气动式等不涉及信息技术实现原理的设备
的信息安全功能进行要求;
---本标准不覆盖传感器、变送器、调节器、开关/断路器等生产过程设备。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构
GB/T 25069-2010 信息安全技术 术语
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
3 术语和定义
GB/T 9387.2-1995、GB/T 25069-2010和GB/T 32919-2016界定的以及下列术语和定义适用
于本文件。
3.1
工业控制系统中,位于现场,具有以下生产相关全部或部分功能的一种独立实体设备:
---从传感器、变送器、调节器或开关等过程设备接收采集数据;
---进行逻辑与控制计算;
---向调节器或开关等过程执行设备发送控制指令。
设备与其他同类设备、系统主站或应用进行采集数据与控制指令等数字或模拟信号通信。
典型工业控制系统现场测控设备的功能与构成参见附录A。
注:下列设备为典型的工业控制系统现场测控设备:
---远程终端单元(RTU,RemoteTerminalUnit);
鉴别 authentication
信息系统中,在用户、进程或设备接入资源之前,对其身份进行验证。
[NISTSP800-53R3]
3.3
泛洪 flooding
通过向计算系统或其他数据处理实体提供大于其处理能力的输入,企图引起其在信息安全方面的
故障的攻击。
[RFC2828]
4 缩略语
下列缩略语适用于本文件。
DoS:拒绝服务攻击(DenyofService)
I/O:输入/输出(Input/Output)
MCU:微控制单元(MicrocontrolerUnit)
RAM:随机存取存储器(RandomAccessMemory)
RTU:远程终端单元(RemoteTerminalUnit)
5.1 要求类结构
图1以框图形式示意了要求类的结构。每个要求类包括一个类名、类描述和一个或多个要求族。
类名提供标识和划分不同要求类所必需的信息。每个要求类都有一个唯一的名称,类的分类信息
由三个字符的简写组成。要求类分类信息简写说明见附录B。类名的简写也用于该类中族的族名规
范中。
类描述总体描述类中包含的族和该类要求的主要作用。类描述用图来描述类中的族以及每个族中
组件的层次结构。
图1 要求类结构
5.2 要求族结构
图2以框图形式示意了要求族的结构。每个要求族包括一个族名、族描述和一个或多个组件。
族名提供标识和划分不同要求族所必需的信息。每个要求族都有一个唯一的名称,族的分类信息
由所属类的简写和族名三个字符的简写组成。要求族的分类信息简写说明见附录B。
族描述总体描述族和该族要求的主要作用。
图2 要求族结构
5.3 要求项结构
图3以框图形式示意了要求项的结构。每个要求项包括要求名、要求的内容、要求说明、零个或多
个要求加强子项和依赖要求。
要求名:用于标识、分类、分族不同的要求。每个要求都有一个唯一的名称,表明该要求的目的。用
序号标识在族中的位置。
要求:描述要求的内容,表述设备为达到该项要求应满足的条件。
要求说明:描述要求的典型实现机制和技术原理。
要求加强:要求加强子项是对要求强度的加强或内容的增加,用序号标识在要求内的位置。
依赖要求:当要求项需要依赖于其他要求项,或与其他要求项共同使用才能发挥作用时,这种对其
他要求项的直接关联关系在本部分中注明。要求项间的依赖关系具体见附录C。
图3 要求项结构
6 通用安全功能要求
6.1 概述
工业控制系统现场测控设备的通用安全功能要求归纳见附录D。
6.2 FIA类:用户标识与鉴别
6.2.1 类描述
用户标识和鉴别的目的是确定对设备的访问行为主体(人员、进程和设备)、以及对访问行为进行
控制。
根据设备数字与智能化程度的不同,设备具有多种外部访问接口,典型的接口包括:
---本地操作面板,用于查看或修改配置;
---本地RS232或RS485接口,用于业务数据传输或设备调试、管理;
---网络,用于设备调试、管理与业务数据传输。
通过这些接口对设备进行访问的典型的用户包括但不限于以下几种:
---设备使用、配置等操控人员;
---设备配置软件;
---系统上位机应用进程。
6.2.2 FIA_IAM族:标识与鉴别方式
6.2.2.1 族描述
设备对用户身份进行标识和鉴别是对设备最基本的安全防护,也是实现权限分配和访问控制的
基础。
6.2.2.2 FIA_IAM.1标识及方式
6.2.2.2.1 要求
工控系统现场测控设备应具备标识用户的能力。
6.2.2.2.2 要求说明
应对重要的用户提供身份标识,如配置管理用户、上位机控制进程等。典型的用户身份标识符包括
网络地址(如物理地址、IP地址)、操控人员的用户标识符等。
6.2.2.2.3 要求加强
FIA_IAM.1标识及方式的要求加强包括:
a) 设备在所有对外接口上具有标识用户的能力;
b) 设备在所有对外接口上都具备唯一标识用户的能力。
6.2.2.2.4 依赖要求
无。
6.2.2.3 FIA_IAM.2鉴别及方式
6.2.2.3.1 要求
工控系统现场测控设备应具备在对外接口对用户身份进行鉴别的能力。
6.2.2.3.2 要求说明
设备应对开启的网络服务接口和重要的本地访问用户进行鉴别,如配置管理用户、远程访问服务
等。典型的身份鉴别方式包括:口令、共享密钥、数字证书和生物特征等。
6.2.2.3.3 要求加强
FIA_IAM.2鉴别及方式的要求加强包括:
a) 设备在远程网络访问接口上对具有控制、参数和定值修改功能的用户实施双因素鉴别;
b) 设备对所有远程网络访问接口上的用户实施双因素鉴别。
6.2.2.3.4 依赖要求
FIA_IAM.2鉴别及方式的依赖要求是FIA_IAM.1。
6.2.3 FIA_IDM族:标识符管理
6.2.3.1 族描述
工控系统现场测控设备能用于标识用户(人员、进程和设备)的标识包括网络层面的IP地址、物理
地址、TCP/UDP端口、应用地址或操控人员标识符等。
其中人员用户标识符管理的功能相当于普通IT应用系统的用户管理,针对直接使用控制面板对
设备进行查看或配置的操控人员,而IP地址、物理地址和端口的管理将在访问控制中阐述。
6.2.3.2 FIA_IDM.1操控人员标识符管理
6.2.3.2.1 要求
工控系统现场测控设备应具备向操控人员分配标识符的能力。
6.2.3.2.2 要求说明
设备应具备向具有运行参数或设备配置访问权限的操控人员分配标识符的能力。
6.2.3.2.3 要求加强
FIA_IDM.1操控人员标识符管理的要求加强包括:
a)设备支持对操控人员标识符进行添加、删除等管理;
b)设备支持对安全策略规定一段时间不使用的操控人员标识符进行锁定。
6.2.3.2.4 依赖要求
FIA_IDM.1操控人员标识符管理的依赖要求是FIA_IAM.1。
6.2.4 FIA_ACM族:鉴别凭证管理
6.2.4.1 族描述
工控系统现场测控设备管理用户身份鉴别凭证的能力主要包括对鉴别凭证的强度和使用的管理。
由于对设备的访问方式可能包括本地面板访问、串口访问、网络访问、上位机应用访问,因此鉴别凭证的
使用和管理涵盖设备层和网络层的鉴别。
6.2.4.2 FIA_ACM.1口令修改
6.2.4.2.1 要求
工控系统现场测控设备应支持管理员等操控人员在不影响正常操作的情况下修改他们管理范围内
口令。设备应支持并提示对出厂默认口令的修改。
6.2.4.2.2 要求说明
主要针对管理员、配置查看用户、配置修改用户等设备操控人员口令进行管理。
6.2.4.2.3 要求加强
无。
6.2.4.2.4 依赖要求
FIA_ACM.1口令修改的依赖要求是FIA_IAM.2。
6.2.4.3 FIA_ACM.2口令更换周期
6.2.4.3.1 要求
工控系统现场测控设备应支持安全策略中要求的口令使用周期。
6.2.4.3.2 要求说明
操控人员验证成功后,工控系统现场测控设备应提供必要的自动提醒能力,通知用户距离上次修改
密码时间已经超过了安全策略要求的密码使用周期。
6.2.4.3.3 要求加强
FIA_ACM.2口令更换周期的要求加强为设备应支持管理员对口令更换周期进行配置。
6.2.4.3.4 依赖要求
FIA_ACM.2口令更换周期的依赖要求是FIA_IAM.2。
6.2.4.4 FIA_ACM.3口令强度控制
6.2.4.4.1 要求
工控系统现场测控设备应提供支持安全策略中口令强度要求的能力。
6.2.4.4.2 要求说明
在实现上,当用户设定口令强度不足时,工控系统现场测控设备应自动提醒用户口令强度应满足怎
样的安全策略。
6.2.4.4.3 要求加强
FIA_ACM.3口令强度控制的要求加强为设备应支持管理员对口令的最小长度、使用周期和字母
或特殊字符数量进行配置。
6.2.4.4.4 依赖要求
FIA_ACM.3口令强度控制的依赖要求是FIA_IAM.2。
6.2.4.5 FIA_ACM.4口令失效
6.2.4.5.1 要求
设备的用户名/口令鉴别控制不应被绕过。
6.2.4.5.2 要求说明
典型的绕过机制包括但不限于以下机制和技术:
---嵌入式主口令
---嵌入式芯片在硬件或软件故障时自动运行的默认的管理员权限
---如跳线和开关设置等的密码模块或硬件旁路
厂商应说明设备上所有能绕过用户创建的用户名/口令鉴别的机制。如果设备没有这样的机制,厂
商应予以声明。
6.2.4.5.3 要求加强
无。
6.2.4.5.4 依赖要求
FIA_ACM.4口令失效的依赖要求是FIA_IAM.2。
6.2.4.6 FIA_ACM.5证书及公私钥管理
6.2.4.6.1 要求
如果使用了公私钥或证书作为鉴别机制,工控系统现场测控设备(及其配置软件)应提供对公私钥
和证书进行管理的能力。
6.2.4.6.2 要求说明
用户使用配置软件对工业控制系统现场测控设备进行配置时,常使用证书进行身份鉴别,配置软件
应能够对配置用户的公钥进行管理,并对证书进行识别。
在通信层面上,公私钥可用于现场测控设备和其他设备、远程配置系统、监控后台或上位机的通信
身份鉴别。设备应保证本地存储私钥的安全,应能够对证书进行正确解析,对证书的真实性和有效性进
行验证。
6.2.4.6.3 要求加强
FIA_ACM.5证书及公私钥管理的要求加强包括:
a) 现场测控设备及其配置软件应支持按照安全策略要求定期更新公私钥;
b) 在工控系统层面上建立有效的公私钥管理设施,如CA。
6.2.4.6.4 依赖要求
FIA_ACM.5证书及公私钥管理的依赖要求是FIA_IAM.2。
6.2.4.7 FIA_ACM.6对称密钥管理
6.2.4.7.1 要求
如果使用了对称密钥作为鉴别机制或进行传输数据加密,工控系统现场测控设备应提供对对称密
钥进行管理的能力。
6.2.4.7.2 要求说明
对称密钥可用于现场测控设备和其他设备、监控后台或上位机的通信身份鉴别。设备应能保证本
地存储密钥的安全,同时满足密钥管理策略。
6.2.4.7.3 要求加强
FIA_ACM.6对称密钥管理的要求加强包括:
a) 现场测控设备应支持按照安全策略要求定期更新对称密钥;
b) 现场测控设备应支持工控系统层面上的密钥管理体系,支持对密钥的分发、更新和撤销的
实现。
6.2.4.7.4 依赖要求
FIA_ACM.6对称密钥管理的依赖要求是FIA_IAM.2。
6.2.4.8 FIA_ACM.7密码服务失效
6.2.4.8.1 要求
如果使用基于密码的鉴别机制,工控系统现场测控设备的重要用户的现场访问不得依赖于外部密
码服务。
6.2.4.8.2 要求说明
如果外部密码(如加密、密钥验证)服务不可用,可能导致测控设备拒绝服务。本地重要用户访问关
键功能不应依靠外部验证服务。对于远程访问关键功能的情况,可酌情考虑使用。
6.2.4.8.3 要求加强
无。
6.2.4.8.4 依赖要求
FIA_ACM.7密码服务失效的依赖要求是FIA_IAM.2、FIA_ACM.5和FIA_ACM.6。
6.2.5 FIA_LGM族:登录管理
6.2.5.1 族描述
工控系统现场测控设备登录管理主要包括对管理员、配置查看用户、配置修改用户等操控人员登录
行为的成功、失败和登录历史等进行管理。
6.2.5.2 FIA_LGM.1登录失败管理
6.2.5.2.1 要求
工控系统现场测控设备应管理和记录操控人员自从最近的成功登录后的登录失败的次数和时间。
6.2.5.2.2 要求说明
主要对管理员等实现鉴别了的重要用户的登录失败行为进行管理。登录方式涵盖本地面板登录、
通过私有配置软件登录、网络登录等方式。
6.2.5.2.3 要求加强
无。
6.2.5.2.4 依赖要求
FIA_LGM.1登录失败管理的依赖要求是FIA_IAM.2。
6.2.5.3 FIA_LGM.2登录成功记录
6.2.5.3.1 要求
工控系统现场测控设备应管理和记录操控人员最后一次登录成功的日期和时间。
6.2.5.3.2 要求说明
主要对管理员等实现鉴别了的重要用户的登录成功进行管理。登录方式包括本地面板登录、通过
私有配置软件登录、网络登录等方式。
6.2.5.3.3 要求加强
无。
6.2.5.3.4 依赖要求
FIA_LGM.2登录成功记录的依赖要求是FIA_IAM.2。
6.2.5.4 FIA_LGM.3登录历史
6.2.5.4.1 要求
用户验证成功后,工控系统现场测控设备应显示最近的登录成功的时间,及此后该账号登录失败的
次数和时间。
6.2.5.4.2 要求说明
主要对管理员等实现鉴别了的重要用户的登录进行管理。登录方式涵盖本地面板登录、通过私有
配置软件登录、网络登录等方式。
6.2.5.4.3 要求加强
无。
6.2.5.4.4 依赖要求
FIA_LGM.3登录历史的依赖要求是FIA_IAM.2和FIA_LGM.1。
6.2.5.5 FIA_LGM.4多次登录失败
6.2.5.5.1 要求
当操控人员在一段时间内失败的登录尝试次数超过了安全策略中的规定值,现场测控设备应执行
限制机制。
6.2.5.5.2 要求说明
限制机制包括对操控人员进行锁定、发出警报等。
6.2.5.5.3 要求加强
FIA_LGM.4多次登录失败的要求加强为设备应支持管理员对锁定前的登录失败次数和解锁方式
进行配置。
6.2.5.5.4 依赖要求
FIA_LGM.4多次登录失败的依赖要求是FIA_IAM.2和FIA_LGM.1。
6.2.5.6 FIA_LGM.5鉴别反馈
6.2.5.6.1 要求
现场测控设备应在鉴别过程中对鉴别的返回信息模糊化,以免非授权人员利用这些信息。
6.2.5.6.2 要求说明
反馈信息中不应包含未授权人员可以利用的危害鉴别机制的信息。
6.2.5.6.3 要求加强
无。
6.2.5.6.4 依赖要求
FIA_LGM.5鉴别反馈的依赖要求是FIA_IAM.2。
6.3 FUC类:使用控制
6.3.1 类描述
使用控制的目的是为了保护设备,在用户发起请求之前,确定每个请求访问设备的用户标识和权
限,根据权限执行所请求的操作,并进行控制和审计。
6.3.2 FUC_ACA族:访问控制授权
6.3.2.1 族描述
工控系统现场测控设备为不同访问用户分配权限,只允许通过身份鉴别的用户访问已授权的资源。
权限包括设备操控层面的运行数据查看、配......
|