| 标准编号 | GB/T 42456-2023 (GB/T42456-2023) | | 中文名称 | 工业自动化和控制系统信息安全 IACS组件的安全技术要求 | | 英文名称 | Security for industrial automation and control systems - Technical security requirements for IACS components | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 国际标准分类 | 25.040 | | 字数估计 | 82,896 | | 发布日期 | 2023-03-17 | | 实施日期 | 2023-10-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | ICS25.040
CCSN10
中华人民共和国国家标准
GB/T 42456-2023/IEC 62443-4-2:2019
工业自动化和控制系统信息安全
IACS组件的安全技术要求
2023-03-17发布
2023-10-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语、定义、缩略语和惯例 2
3.1 术语和定义 2
3.2 缩略语 7
3.3 惯例 9
4 通用原则 10
4.1 概述 10
4.2 CCSC1:基本功能的支持 10
4.3 CCSC2:补偿性对抗措施 10
4.4 CCSC3:最小权限 10
4.5 CCSC4:软件开发过程 10
5 FR1---标识和鉴别控制 10
5.1 目的和SL-C(IAC)描述 10
5.2 原由 11
5.3 CR1.1---人员标识和鉴别 11
5.4 CR1.2---软件进程以及设备标识和鉴别 12
5.5 CR1.3---账户管理 12
5.6 CR1.4---标识符管理 13
5.7 CR1.5---鉴别器管理 14
5.8 CR1.6---无线访问管理 15
5.9 CR1.7---基于口令的鉴别强度 15
5.10 CR1.8---公钥基础设施(PKI)证书 15
5.11 CR1.9---基于公钥鉴别的强度 16
5.12 CR1.10---鉴别器反馈 17
5.13 CR1.11---失败的登录尝试 17
5.14 CR1.12---系统使用提示 18
5.15 CR1.13---通过不受信任网络的访问 19
5.16 CR1.14---基于对称密钥鉴别的强度 19
6 FR2---使用控制 20
6.1 目的和SL-C(UC)描述 20
6.2 原由和附加指南 20
6.3 CR2.1---授权执行 20
6.4 CR2.2---无线使用控制 21
6.5 CR2.3---便携式和移动设备使用控制 22
6.6 CR2.4---移动代码 22
6.7 CR2.5---会话锁定 22
6.8 CR2.6---远程会话终止 22
6.9 CR2.7---并发会话控制 23
6.10 CR2.8---审计事件 23
6.11 CR2.9---审计存储容量 24
6.12 CR2.10---审计处理失败的响应 25
6.13 CR2.11---时间戳 25
6.14 CR2.12---抗抵赖性 26
6.15 CR2.13---物理诊断和测试接口的使用 26
7 FR3---系统完整性 26
7.1 目的和SL-C(SI)的描述 26
7.2 基本原理 27
7.3 CR3.1---通信完整性 27
7.4 CR3.2---恶意代码防护 28
7.5 CR3.3---信息安全功能验证 28
7.6 CR3.4---软件和信息完整性 29
7.7 CR3.5---输入检验 29
7.8 CR3.6---确定性输出 30
7.9 CR3.7---出错处理 30
7.10 CR3.8---会话完整性 31
7.11 CR3.9---审计信息保护 32
7.12 CR3.10---支持更新 32
7.13 CR3.11---物理防破坏和检测 32
7.14 CR3.12---提供产品供应商的信任根 32
7.15 CR3.13---提供资产所有者的信任根 32
7.16 CR3.14---启动过程完整性 32
8 FR4---数据保密性 33
8.1 目的和SL-C(DC)描述 33
8.2 基本原理 33
8.3 CR4.1---信息保密性 33
8.4 CR4.2---剩余信息 34
8.5 CR4.3---加密的使用 34
9 FR5---受限的数据流 35
9.1 目的和SL-C(RDF)描述 35
9.2 基本原理 35
9.3 CR5.1---网络分段 35
9.4 CR5.2---区域边界保护 36
9.5 CR5.3---普通目的的个人间通信限制 36
10 FR6---对事件的及时响应 36
10.1 目的和SL-C(TRE)描述 36
10.2 原由和附加指南 37
10.3 CR6.1---审计日志可访问性 37
10.4 CR6.2---连续监控 37
11 FR7---资源可用性 38
11.1 目的和SL-C(RA)描述 38
11.2 原由 38
11.3 CR7.1---拒绝服务保护 38
11.4 CR7.2---资源管理 39
11.5 CR7.3---控制系统备份 39
11.6 CR7.4---控制系统恢复和重构 40
11.7 CR7.5---应急电源 40
11.8 CR7.6---网络和安全配置设置 40
11.9 CR7.7---最小功能 41
11.10 CR7.8---控制系统组件详细目录 41
12 软件应用要求 42
12.1 目的 42
12.2 SAR2.4---移动代码 42
12.3 SAR3.2---恶意代码防护 43
13 嵌入式设备要求 43
13.1 目的 43
13.2 EDR2.4---移动代码 43
13.3 EDR2.13---使用物理诊断和测试接口 44
13.4 EDR3.2---恶意代码防护 45
13.5 EDR3.10---支持更新 45
13.6 EDR3.11---物理防破坏和检测 46
13.7 EDR3.12---置备产品供应商信任根 46
13.8 EDR3.13---置备资产所有者的信任根 47
13.9 EDR3.14---启动过程完整性 48
14 主机设备要求 48
14.1 目的 48
14.2 HDR2.4---移动代码 48
14.3 HDR2.13---使用物理诊断和测试接口 49
14.4 HDR3.2---恶意代码防护 50
14.5 HDR3.10---支持更新 50
14.6 HDR3.11---物理防破坏和检测 51
14.7 HDR3.12---置备产品供应商信任根 51
14.8 HDR3.13---置备资产所有者的信任根 52
14.9 HDR3.14---启动过程完整性 53
15 网络设备要求 53
15.1 目的 53
15.2 NDR1.6---无线访问管理 54
15.3 NDR1.13---通过不受信任网络的访问 54
15.4 NDR2.4---移动代码 55
15.5 NDR2.13---使用物理诊断和测试接口 56
15.6 NDR3.2---恶意代码防护 56
15.7 NDR3.10---支持更新 57
15.8 NDR3.11---物理防破坏和检测 57
15.9 NDR3.12---置备产品供应商信任根 58
15.10 NDR3.13---置备资产所有者的信任根 58
15.11 NDR3.14---启动过程完整性 59
15.12 NDR5.2---区域边界防护 60
15.13 NDR5.3---普通目的个人间通信限制 60
附录A(资料性) 设备分类 62
A.1 概述 62
A.2 设备分类:嵌入式设备 62
A.3 设备分类:网络设备 63
A.4 设备分类:主机设备/应用 63
附录B(资料性) CR和RE与FRSL1~4的映射 64
B.1 概述 64
B.2 SL映射表 64
参考文献 70
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件等同采用IEC 62443-4-2:2019《工业自动化和控制系统信息安全 第4-2部分:IACS组件的安全技术要求》。
本文件做了下列最小限度的编辑性改动:
---为与现有标准协调,将标准名称改为《工业自动化和控制系统信息安全 IACS组件的安全技术要求》。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国机械工业联合会提出。
本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本文件起草单位:东方电气集团科学技术研究院有限公司、机械工业仪器仪表综合技术经济研究
所、电力规划总院有限公司、施耐德电气(中国)有限公司、西门子(中国)有限公司、北京四方继保自动化
股份有限公司、北京国能智深控制技术有限公司、华北电力大学、重庆信安网络安全等级测评有限公司、
成都启明星辰信息安全技术有限公司、中国石油天然气股份有限公司塔里木油田分公司、重庆邮电大
学、西南大学、中国科学院沈阳自动化研究所、华中科技大学、中国电子科技集团公司第三十研究所、上
海工业自动化仪表研究院有限公司、工业和信息化部电子第五研究所、国家工业信息安全发展研究中
心、罗克韦尔(上海)有限公司、上海电器科学研究所(集团)有限公司、和利时科技集团有限公司、中国软
件测评中心(工业和信息化部软件与集成电路促进中心)、菲尼克斯亚太电气(南京)有限公司。
本文件主要起草人:袁晓舒、王玉敏、尚羽佳、张晋宾、王勇、闫韬、杜振华、朱镜灵、龚钢军、周彦晖、
王锐、杨金华、魏旻、刘枫、赵剑明、周纯杰、兰昆、刘慧芳、刘杰、赵冉、高镜媚、任悦、刘盈、郭永振、
王爱鹏、桑梓、王英、翟婉波、杨小倩、张焱、潘学龙。
引 言
0.1 概述
IEC 62443是应用于工业自动化和控制系统安全的系列标准,目前我国已采用该系列标准发布了
GB/T 33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》
(IEC 62443-2-1:2010,IDT)、GB/T 35673-2017《工业通信网络 网络和系统安全 系统安全要求和
安全等级》(IEC 62443-3-3:2013,IDT)、GB/T 40211-2021《工业通信网络 网络和系统安全 术语、
概述和模型》(IEC/T S62443-1-1:2009,IDT)、GB/T 40218-2021《工业通信网络 网络和系统安全
工业自动化和控制系统信息安全技术》(IEC/T R62443-3-1:2009,IDT)、GB/T 40682-2021《工业自动
化和控制系统网络安全 第2-4部分:IACS服务提供商的安全程序要求》(IEC 62443-2-4:2015,IDT)、
GB/T 42445-2023《工业自动化和控制系统安全 IACS环境下的补丁管理》(IEC/T R62443-2-3:
2015,IDT)、GB/T 42457-2023《工业自动化和控制系统信息安全 产品安全开发生命周期要求》
(IEC 62443-4-1:2018,IDT)和本文件。这些标准共同构成应用于工业自动化和控制系统安全的系列国家标准。
工业自动化和控制系统(IACS)组织越来越多地使用便宜、高效和高度自动化的商用现成(COTS)
网络设备。出于合理的商业原因,控制系统也越来越多地与非IACS网络相互连接。这些设备、开放的
网络技术以及增加的连通性都给控制系统的软硬件提供了日益增加的遭受网络攻击的机会。该弱点可
能导致部署的控制系统中的健康、安全和环境(HSE)、财务和/或声誉的系列后果。
利用商业信息技术(IT)网络安全解决方案来解决IACS安全问题的组织,可能尚未完全理解这一
决定的结果。同时,许多商业IT应用和安全解决方案可以应用于IACS,因此需要以适当的方式应用
这些解决方案以消除无意的后果。出于这个原因,定义系统要求的方法综合考虑功能要求和风险评
估,通常也包括对操作问题的认识。
IACS安全对策包括应急程序,宜避免造成必要的服务和功能缺失的可能性(通常利用的IT安全
对策确实有这个潜在可能性)。IACS安全目标集中在控制系统的可用性、工厂保护、工厂操作(即使在
降级模式下)和对时间要求严格的系统响应。IT安全目标通常并不同等重视这些因素;他们可能更关
心保护信息而不是物理资产。不管工厂集成的程度如何,这些不同的目标都需要明确地表述为安全目
标。根据IEC 62443-2-1的要求,风险评估的一个关键步骤宜是确定哪些服务和功能对于运营是真正
必要的(例如,在某些设施中,工程支持可能被确定为非基本服务或功能)。与必要服务或功能不宜受到
不利影响不同,在某些情况下,信息安全措施可能会导致的暂时丢失非必要服务或功能是可以接受的。
本文件为组成IACS的组件提供网络安全要求,特别是嵌入式设备、网络组件、主机组件和软件应
用。附录A描述了IACS常用设备的分类。本文件的要求参考IEC 62443-3-3描述的IACS系统安全
要求。本文件的目的是指定安全功能,使组件能够在给定的安全等级(SL)下集成到系统环境中。附录
B中的表格汇总了本文件定义的要求和增强要求的SL。
IEC 62443系列标准的主要目标是提供一个灵活的框架,有助于解决IACS当前和未来的脆弱
性,并以系统的、可防御的方式应用必要的缓解措施。IEC 62443的目的是构建适应企业IT系统需求
的企业安全扩展,并将其与IACS所需的高完整性和可用性的独特要求相结合,这点十分重要。
0.2 目的和目标读者
本文件在IACS社区的目标读者是资产所有者、系统集成商、产品供应商以及合适的合规部门。合
规部门包括具有法定权力的政府机构和监管机构,可以进行审计以验证其是否遵守法律法规。
系统集成商将使用本文件来协助他们采购构成IACS解决方案的控制系统组件。本文件将帮助系
统集成商对他们正在采购的单个组件明确提出适当的安全能力水平。系统集成商参考的主要标准是
IEC 62443-2-1、IEC 62443-3-2和IEC 62443-3-3,它们提供安全管理系统的组织和操作要求,并指导系
统集成商完成定义安全区的过程和定义这些区域的目标安全能力水平(SL-T)。一旦定义了每个区域
的SL-T,提供必要功能的组件能够实现每个区域的SL-T。
产品供应商将使用本文件来理解具有特定SL-C要求的控制系统组件的要求。组件可能本身不提
供安全能力,但可能与更高级别的实体集成设计,从而受益于该实体的能力---例如,嵌入式设备本身
可能不具备维持用户目录的能力,而是可能被集成进具备鉴别和授权服务的系统,因此仍然满足提供个
人用户鉴别、授权和管理能力的要求。本文件将指导产品供应商可以分配哪些要求以及哪些要求需要
在组件中内置。根据IEC 62443-4-1的实践8的规定,产品供应商将提供如何正确地将组件集成到系统
以符合特定SL-T的文件。
本文件中的组件要求(CR)参考IEC 62443-3-3中的系统要求(SR)。IEC 62443-3-3中的要求被称
为SR,它是从IEC 62443-1-1中定义的总体基本要求(FR)中导出的。CR还可以包括一组增强要求
(RE)。CR和RE的组合将决定组件能够实现的目标安全等级。
本文件为四种类型的组件提供了要求:软件应用、嵌入式设备、主机设备和网络设备。因此,每种组
件的CR将被指定如下:
● 软件应用要求(SAR);
● 嵌入式设备要求(EDR);
● 主机设备要求(HDR);
● 网络设备要求(NDR)。
本文件的大部分要求对于四种类型组件是相同的,因此简称为CR。当有独特的组件特定要求
时,通用要求将声明该要求是组件特定的,并且位于本文件的组件特定要求条款中。
图1示出了本文件编写时IEC 62443系列标准的图形描述。
图1 IEC 62443标准体系
工业自动化和控制系统信息安全
IACS组件的安全技术要求
1 范围
本文件提供了与IEC TS62443-1-1中描述的七个基本要求(FR)相关的详细的技术控制系统组件
要求(CR),包括定义控制系统能力安全等级和其组件SL-C(组件)的要求。
按照IEC TS62443-1-1的规定,总共有七个FR:
a) 标识和鉴别控制(IAC),
b) 使用控制(UC),
c) 系统完整性(SI),
d) 数据保密性(DC),
e) 受限数据流(RDF),
f) 事件的及时响应(TRE),
g) 资源可用性(RA)。
这七个要求(FR)是定义控制系......
|