标准编号:	GB/T 33008.1-2016
中文名称:	工业自动化和控制系统网络安全 可编程序控制器（PLC） 第1部分：系统要求
英文名称:	Industrial automation and control system security―Programmable logic controller(PLC)―Part 1:System requirements
中标分类:	N10    工业自动化与控制装置综合
行业分类:	GB    国家标准
ICS分类:	25.040 25.040    工业自动化系统 25.040
发布机构:	中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:	2016-10-13
实施日期:	2017-5-1
标准状态:	valid
翻译语言:	英文
文件格式:	PDF
中文字符数:	33000 字
翻译价格(元):	750.0
交付时间:	付款后 1 个工作日

GB/T 33009 Industrial Automation and Control System Security—Distributed Control System (DCS) and GB/T 33008 Industrial Automation and Control System Security—Programmable Logic Controller (PLC) jointly constitute the series standard in regard to industrial automation and control system security. The following parts of GB/T 33008 are planned to be published under the general title of Industrial Automation and Control System Security—Programmable Logic Controller (PLC): ——Part 1: System Requirements; ——Part 2: Implementation Guideline for System Evaluation; ... This part is Part 1 of GB/T 33008. This part is developed in accordance with the rules given in GB/T 1.1-2009. This part was proposed by the China Machinery Industry Federation. This standard is under the jurisdiction of the National Technical Committee 124 on Industrial Process Measurement and Control of Standardization Administration of China (SAC/TC 124) and the National Technical Committee 260 on Information Technology Security of Standardization Administration of China (SAC/TC 260). Drafting organizations of this part: HollySys Automation Technologies Ltd., Instrumentation Technology and Economy Institute, P.R.China, China Electronics Standardization Institute, State Grid Smart Grid Research Institute, China Nuclear Power Engineering Co., Ltd., Shanghai Automation Instrument Co., Ltd., Tsinghua University, Siemens Ltd. China, Schneider Electric China, Central Iron & Steel Research Institute, Huazhong University of Science and Technology, Beijing Austintec Co. Ltd., Rockwell Automation China, China Instrument and Control Society, The Fifth Electronics Research Institute of the Ministry of Industry and Information Technology, Kyland Technology Co., Ltd., Beijing Haitai Fangyuan Technologies Co,. Ltd., Tofino Security Technology Co., Ltd., Beijing GuoDianZhiShen Control Technology Co., Ltd., Beijing Likong Huacon Technologies Co., Ltd., Chongqing University of Posts and Telecommunications, Shenyang Institute of Automation Chinese Academy of Sciences, Southwest University, China Petroleum Pipeline Engineering Co., Ltd., Beijing Grace Network Technology Co., Ltd., Southwest Electric Power Design Institute, Beijing Venustech Co., Ltd., Guangdong Hangyu Satellite Technology Co., Ltd., North China Power Engineering Co., Ltd., HUAWEI Technologies Co., Ltd., The 30th Research Institute of China Electronics Technology Group Corporation, Shenzhen Maxonic Automation Control Co. Ltd., Yokogawa Beijing Development Center. Chief drafters of this part: Wang Tao, Wang Yumin, Fan Kefeng, Liang Xiao, Sun Jing, Feng Dongqin, Zhu Yiming, Mei Ke, Wang Hao, Xu Aidong, Liu Feng, Wang Yijun, Zhang Jianjun, Xue Baihua, Xu Bin, Chen Xiaocong, Hua Rong, Gao Kunlun, Wang Xue, Zhou Chunjie, Zhang Li, Liu Jie, Liu Anzheng, Tian Yucong, Wei Qinzhi, Ma Xinxin, Wang Yong, Du Jialin, Chen Rigang, Ding Lu, Li Rui, Liu Wenlong, Meng Yahui, Liu Limin, Hu Boliang, Kong Yong, Huang Min, Zhu Jingling, Zhang Zhi, Zhang Jianxun, Lan Kun, Zhang Jinbin, Cheng Jixun, Shang Wenli, Zhong Cheng, Liang Meng, Chen Xiaofeng, Bu Zhijun, Li Lin, Yang Yingliang, Yang Lei. Industrial Automation and Control System Security—Programmable Logic Controller (PLC)—Part 1: System Requirements 1 Scope This part of GB/T 33008 specifies the security requirements of programmable controller system, including those of communications, direct or indirect, between PLC and other systems. This part is applicable to engineering designer, equipment manufacturer, system integrator, user, and assessment & certification body, etc. 2 Normative References The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. GB/T 30976.1-2014 Industrial Control System Security—Part 1: Assessment Specification 3 Terms, Definitions and Abbreviations 3.1 Terms and Definitions For the purposes of this standard, the following terms and definitions apply. 3.1.1 programmable (logic) controller; PLC digitally operating electronic system, designed for use in an industrial environment, which uses a programmable memory for the internal storage of user-oriented instructions for implementing specific functions such as logic, sequencing, timing, counting and arithmetic, to control, through digital or analogue inputs and outputs, various types of machines or processes. Both the PLC and its associated peripherals are such designed that they can be easily integrated into an industrial control system and easily used in all their intended functions. Note: The abbreviation PLC is used in this standard to stand for programmable controllers, as is the common practice in the automation industry. The use of PC as an abbreviation for programmable controllers leads to confusion with personal computers. [GB/T 15969.1-2007, Definition 3.5] 3.1.2 programmable controller system or PLC-system user-built configuration, consisting of a programmable controller and associated peripherals, that is necessary for the intended automated system. It consists of units interconnected by cables or plug-in connections for permanent installation and by cables or other means for portable and transportable peripherals. [GB/T 15969.1-2007, Definition 3.6] 3.1.3 vulnerability defect or weakness in terms of system design, implementation or operation and management, which may be improperly used to compromise the system integrity or security policy [GB/T 30976.1-2014, Definition 3.1.1] 3.1.4 identify identification and discrimination of a certain assessment factor [GB/T 30976.1-2014, Definition 3.1.2] 3.1.5 acceptance a method used to end the project implementation in risk assessment activities, namely, the organization will, under the organization of the assessed party, inspect and accept the assessment activities one by one based on whether the assessment objectives are met [GB/T 30976.1-2014, Definition 3.1.4] 3.1.6 risk treatment process of selecting and implementing the measures to change the risk [GB/T 30976.1-2014, Definition 3.1.5] 3.1.7 residual risk risk remained after risk treatment [GB/T 30976.1-2014, Definition 3.1.6] 3.1.8 risk analysis identification of risk source and estimation of risk in a systematic way using the information [GB/T 30976.1-2014, Definition 3.1.8] 3.1.9 risk assessment overall process of risk analysis and risk assessment [GB/T 30976.1-2014, Definition 3.1.9] 3.1.10 risk management coordinated activities to direct and control an organization with regard to risk [GB/T 30976.1-2014, Definition 3.1.10] 3.1.11 security a) measures taken by the protection system; b) system status as a result of measures for establishing and maintaining the protection system; c) status of system resources exempt from unauthorized access and unauthorized or unexpected change, damage or loss; d) capable of providing adequate assurance based on the PLC system capability to prevent unauthorized personnel and system from modifying the software and its data and from accessing the system functions, and simultaneously ensuring the authorized personnel and system will not be prevented; e) capable of preventing against illegal or harmful intrusion into the PLC system or interference with correct and planned operations. Note 1: The measures may be control means in regard to physical security (assets for controlling physical access to computer) or logic security (capability of logging into the given system and application). Note 2: It is revised from GB/T 30976.1-2014, Definition 3.1.14. 3.2 Abbreviations For the purposes of this document, the following abbreviations apply. PLC: Programmable (Logic) Controller FR: Foundational Requirement SR: System Requirement RE: Requirement Enhancement PKI: Public Key Infrastructure CA: Certificate Authority CL: Capability Level USB: Universal Serial Bus ID: Identification API: Application Programming Interface 4 Overview of PLC Security 4.1 General This part, in relation to security requirements of PLC system, only and mainly describes the risk contents and security requirements, security management, detection and acceptance, providing basis and guidelines for PLC security. PLC security is in connection with engineering design, management, environmental conditions and other factors. PLC system security shall cover all system-related activities at all stages of the whole life cycle of the system, such as design & development, installation, operation & maintenance, withdrawal, etc. Changes of risk the system has faced within the whole life cycle shall be identified and the PLC system security risk shall be minimized or reduced to an acceptable level in the aspect of technology and management. 4.2 Overview of Security-related Contents 4.2.1 Hazard source Hazard source mainly includes access point of non-secure equipment, system and network. Hazard source may come from both interior and exterior of the PLC system. Security threat may do harm to the receptor through hazard lead-in point and transmission route. The hazard lead-in point may be classified into, but not limited to, the following categories: a) Network communication connection point: For example: open network connection of PLC system, other network connection interconnected with PLC system through private network, remote technical support and access point, wireless access point, Internet or IoT connection; b) Mobile media: For example: USB device, CD, mobile hard disk, etc.; c) Improper operation: For example: malicious attack, unconscious misoperation, etc.; d) Third-party equipment: For example: infected industrial control system and other site equipment. 4.2.2 Transmission route Hazard source may do harm to the receptor through transmission route. Generally, single transmission route may be identified, but in most cases, a complete transmission route is composed of several single types of transmission routes. The transmission route is generally classified into, but not limited to, the following categories: a) External public network, e.g. Internet, Wi-Fi; b) Local area network (looped network, point-to-point, wireless communication); c) Mobile storage device. 4.2.3 Environmental conditions Restriction factors of environmental conditions shall be taken into consideration for PLC system security; especially for industrial automation control system in service, influences of site testing and introduction of security technical measures on normal production process shall be considered. 4.2.4 System capability level (CL) System capability level is as follows: a) CL1: provide mechanism protection control system to prevent accidental or light attack. b) CL2: provide mechanism protection control system to prevent intentional attack that may achieve minor damage using fewer resources by simple means of common technology. c) CL3: provide mechanism protection control system to prevent malicious attack that may achieve major damage using medium amount of resources by complicated means of PLC special technology. d) CL4: provide mechanism protection control system to prevent malicious attack that may achieve severe damage using expansion resources by complicated means and tools of PLC special technology.

工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分：系统要求 1 范围 GB/T 33008的本部分规定了可编程序控制器(PLC)系统的网络安全要求，包括PLC直接或间接与其他系统通信的网络安全要求。 本部分适用于工程设计方、设备生产商、系统集成商、用户以及评估认证机构等。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 30976.1—2014工业控制系统信息安全 第1部分：评估规范 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 可编程序(逻辑)控制器programmable(109ic)controller；PLC 一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的输入/输出，控制各种类型的机械或过程。可编程序控制器及其相关外围设备的设计，使它能够非常方便地集成到工业控制系统中，并能很容易地达到所期望的所有功能。 注：在本部分中使用缩写词PLC代表可编程序控制器(programmable controllers)，这在自动化行业中已形成共识。 原来曾用PC作为可编程序控制器的缩略语，它容易与个人计算机所使用的缩略语PC相混淆。 [GB/T 15969.1—2007，定义3.5] 3.1.2 可编程序控制器(PLC)系统programmable controller system or PLC-system 用户根据所要完成的自动化系统要求而建立的由可编程序控制器及其相关外围设备组成的配置。其组成是一些由连接永久设施的电缆或插入部件，以及由连接便携式或可搬运外围设备的电缆或其他连接方式互连的单元。 [GB/T 15969.1—2007，定义3.6] 3.1.3 脆弱性 vulnerability 系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安全策略。 [GB/T 30976.1—2014，定义3.1.1] 3.1.4 识别 identify 对某一评估要素进行标识与辨别的过程。 [GB/T 30976.1—2014，定义3.1.2] 3.1.5 验收 acceptance 风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织机构，对评估活动进行逐项检验，以是否达到评估目标为接受标准。 [GB/T 30976.1—2014，定义3.1.4] 3.1.6 风险处置 risk treatment 选择并且执行措施来更改风险的过程。 [GB/T 30976.1—2014，定义3.1.5] 3.1.7 残余风险 residual risk 经过风险处置后遗留的风险。 [GB/T 30976.1—2014，定义3.1.6] 3.1.8 风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险。 [GB/T 30976.1—2014，定义3.1.8] 3.1.9 风险评估 risk assessment 风险分析和风险评价的整个过程。 [GB/T 30976.1—2014，定义3.1.9] 3.1.10 风险管理 risk management 指导和控制一个组织机构相关风险的协调活动。 [GB/T 30976.1—2014，定义3.1.10] 3.1.11 (网络)安全security a)保护系统所采取的措施； b) 由建立和维护保护系统的措施而产生的系统状态； c) 能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态； d) 基于PLC系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能，同时保证授权人员和系统不被阻止； e) 防止对PLC系统的非法或有害的入侵，或者干扰其正确和计划的操作。 注1：措施可以是与物理(网络)安全(控制物理访问计算机的资产)或者逻辑(网络)安全(登录给定系统和应用的能力)相关的控制手段。 注2：改写GB/T 30976.1—2014，定义3.1.14。 3.2 缩略语 下列缩略语适用于本文件。 PLC：可编程序控制器[Programmable(Logic)Controller] FR：基本要求(Foundational Requirement) SR：系统要求(System Requirement) RE：增强要求(Requirement Enhancement) PKI：公钥基础设施(Public Key Infrastructure) CA：数字证书认证中心(Certificate Authority) CL：能力等级(Capability Level) USB：通用串行总线(Universal Serial Bus) ID：身份标识号码(Identification) API：应用程序编程接口(Application Programming Interface) 4 PLC网络安全概述 4.1 总则 本部分只针对PLC系统的网络安全要求，主要描述风险内容及安全要求、安全管理、检测与验收几个环节，为PLC网络安全提供依据和守则。PLC网络安全与工程设计、管理和环境条件等各种因素相关。PLC系统网络安全应包括在系统生命周期内的设计开发、安装、运行维护、退出使用等各阶段与系统相关的所有活动。应认识到系统面临的风险在整个生命周期内会发生变化，应该通过技术和管理两个方面，把PLC系统网络安全风险降低到最低或可接受的范围内。 4.2 网络安全相关内容概述 4.2.1 危险源 危险源主要包括非安全设备、系统和网络的接入点。危险源可能来自PLC系统外部，也可能来自PLC系统内部。安全威胁通过危险引入点并利用传播途径可能对受体造成伤害。危险引入点归结为以下几类，但不限于： a) 网络通信的连接点： 例如：开放的PLC系统网络连接、与PLC系统专网互联的其他网络连接、远程技术支持和访问点、无线接入点、因特网或物联网连接； b) 移动媒体： 例如：USB设备、光盘、移动硬盘等； c) 不当操作： 例如：恶意攻击、无意识误操作等； d)第三方设备： 例如：受感染的工业控制系统以及其他现场设备。 4.2.2 传播途径 危险源可能通过传播途径对受体造成伤害。通常，可识别单一的传播途径，但在多数情况下，一个完整的传播途径是由若干单一类型的传播途径组合而成。传播途径一般分为以下几类，但不限于： a)外部公共网络，如因特网、无线； b) 局域网络(环网、点对点、无线通信)； c)移动存储装置。 4.2.3 环境条件 PLC系统网络安全应考虑环境条件的制约因素，特别是针对在用工业自化控制系统，应考虑现场测试和引入安全技术措施对正常生产过程的影响。 4.2.4 系统能力等级(CL) 系统能力等级如下： a) 能力等级CL1：提供机制保护控制系统防范偶然的、轻度的攻击。 b) 能力等级CL2：提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可能达到较小破坏后果的攻击。 c) 能力等级CL3：提供机制保护控制系统防范恶意的、利用中等资源、PLC特殊技术的复杂手段 可能达到较大破坏后果的攻击。 d) 能力等级CL4：提供机制保护控制系统防范恶意的、使用扩展资源、PLC特殊技术的复杂手段与工具可能达到重大破坏后果的攻击。 4.3 PLC系统典型结构 PLC系统典型结构如图1所示。 第3层 运营管理层 第2层 监督控制层 第1层 现场控制层 第0层 现场设备层 运营管理 监督控制 基本控制 安全和保护 过程(现场设备) PLC系统 图1 PLC系统典型结构 第3层运营管理层 包括管理生产所要求的最终产品的工作流程的功能。例子包括：生产调度、详细生产计划、可靠性保证和生产全现场控制优化。 第2层监督控制层 包括监督和控制物理过程的功能。典型功能包括：操作员界面、工程师组态下装、历史数据存储、报警等。 第1层现场控制层 包括感知和操作物理过程的功能。典型设备为PLC控制器及输入输出模块、安全和保护系统等。此层设备从传感器读取数据，必要时执行算法，并维护过程历史记录。安全和保护系统监视过程，并在超出安全限值时将过程自动返回安全状态。 第0层现场设备层 包括直接连接到过程和过程设备的传感器和执行器。 4.4 PLC系统网络安全总体要求 4.4.1 概述 工程设计方、设备生产商、系统集成商、用户以及评估认证机构(以下简称“组织”)宜识别、分析、评价、管理、监视和评审组织所面临安全风险，建立并维护网络安全管理的要求，建立网络安全管理职责，分配和管理资源，运用过程方法实现PLC系统的正常运行，并采取有效的措施测量、分析和改进，以满足PLC系统网络安全管理的要求。 4.4.2建立PLC系统网络安全管理要求 4.4.2.1 网络安全管理方针 依据业务要求和相关法律法规提供管理指导并支持网络安全。 网络安全管理要求由管理者组织、制定、批准、发布并传达给所有员工和外部相关方；网络安全方针文件应说明管理承诺，并提出组织机构的管理网络安全的方法。方针文件建议包括以下声明： a) 网络安全、整体目标和范围的定义，以及在允许信息共享机制下安全的重要性； b) 管理者意图的声明，以支持符合业务策略和目标的网络安全目标和原则； c) 设置控制目标和控制措施的框架，包括风险评估和风险管理的结构； d) 对组织机构特别重要的安全方针策略、原则、标准和符合性要求的简要说明，包括： ·符合法律法规要求； ·安全教育、培训和意识要求； ·业务连续性管理； ·违反网络安全方针的后果。 4.4.2.2识别、分析和评价安全风险 组织应建立、维护PLC系统网络安全风险的识别、分析和评价的方法： a) 确定风险评估方法： ·识别适合PLC系统网络安全、已识别的业务网络安全和法律法规要求的风险评估方法； ·制定接受风险的准则，识别可接受的风险级别； ·选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 b)定期识别风险，包括： ·识别PLC系统网络安全管理范围内的资产及其责任人； ·识别资产所面临的威胁； ·识别可能被威胁利用的脆弱性； ·识别丧失保密性、完整性和可用性可能对资产造成的影响。 c) 定期分析和评价风险，应： ·在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响； ·根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施，评估安全失效发生的可能性； ·估计风险的级别； ·确定风险是否可接受，或者是否需要使用接受风险的准则进行处理。 d) 识别和评价风险处置的可选措施，可能的措施包括： ·采取适当的控制措施； ·在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险； ·避免风险； ·将相关业务风险转移到其他方，如：保险，供应商等。 4.4.2.3确定安全管理目标 控制目标和控制措施应加以选择和实施，以满足风险评估和风险处置过程中所识别的要求。这种选择应考虑接受风险的准则以及法律法规的要求。 从GB/T 22080—2008附录A中选择控制目标和控制措施成为此过程的一部分，但并不是所有的控制目标和控制措施，组织宜按照设计、集成或应用的PLC系统网络安全技术等级要求，在其整体业务活动中且在所面临风险的环境下确定控制目标和控制措施。 获得管理者对建议的残余风险的批准。 4.4.3实施和运行网络安全管理 4.4.3.1 管理职责 4.4.3.1.1管理承诺 应通过清晰的说明、可证实的承诺、明确的网络安全职责分配及确认，来积极支持组织机构内的安全： ·制定网络安全管理方针； ·确保网络安全控制目标和计划得以制定； ·建立网络安全的角色和职责； ·为安全启动提供明确的方向和支持； ·为网络安全提供所需的资源； ·启动计划和程序来保持网络安全意识； ·决定接受风险的准则和风险的可接受级别。 4.4.3.1.2资源提供 应确定并提供所需的资源，以： ·确保网络安全规程支持PLC系统业务要求； · 通过正确实施所有的控制措施保持适当的安全； ·必要时，进行评审，并适当响应评审的结果； ·在需要时，改进网络安全管理的有效性。 4.4.3.1.3培训、意识和能力 通过以下方式，确保所有被赋予网络安全管理职责的人员具有执行所要求的任务的能力： ·确定从事影响PLC系统网络安全管理工作的人员所必要的能力； ·提供培训或采取其他措施(如聘用有能力的人员)以满足这些需求； ·评价所采取措施的有效性； ·保持教育、培训、技能、经理和资格的记录。 确保所有相关人员意识到他们网络安全活动的相关性和重要性，以及如何为达到网络安全目标做出贡献。 4.4.3.2风险处置计划、实施 组织应： a) 为管理PLC系统网络安全风险制定处置计划，该计划应包含：适当的管理措施、资源、职责和优先顺序； b) 实施风险处置计划以达到已识别的控制目标，包括资金安排、角色和职责的分配； c) 实施所选择的控制措施，以满足控制目标； d) 确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果； e) 管理PLC系统网络安全相关的资源； f) 实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施。 4.4.4 监视和评审网络安全管理的有效性 组织应： a) 执行监视评审规程和其他控制措施，以： ·迅速检测过程运行结果中的错误； ·迅速识别试图的和得逞的安全违规和事件； ·使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行； ·通过使用指示器，帮助检测安全事态并预防安全事件； ·确定解决安全违规的措施是否有效。 b)在考虑安全事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行网络安全管理有效性的定期评审(包括满足网络安全管理方针和目标，以及安全控制措施的评审)。 c) 测量控制措施的有效性已验证安全要求是否被满足。 d) 按照计划时间间隔进行风险评估的评审，以及对残余风险和以确定的可接受的风险及级别进行评审，应考虑以下方面的变化： ·组织； ·PLC系统升级或更新； ·业务目标和过程；已识别的威胁； · 已实施的控制措施的有效性； ·外部事态，如法律法规环境的变更、合同义务的变更和社会环境的变更。 e) 考虑监视评审活动的结果，以更新安全计划。 f) 记录可能影响PLC系统网络安全的有效性或执行情况的措施和事态。 4.4.5保持和改进 组织应经常： a) 实施易识别的网络安全管理改进； b) 采取纠正和预防措施，从其他组织和组织自身的安全经验中吸取教训； c) 向所有相关方沟通措施和改进情况，其详细程度与环境相适应，需要时，商定如何进行； d)确保改进达到了预期目标。 5 PLC系统网络安全技术要求 5.1 网络安全技术要求说明 本部分关注从第2层到第1层的网络安全技术要求。 PLC系统安全要求包括基本要求(FR)、系统要求(SR)和系统增强要求(RE)，每一项基本要求分为若干个系统要求(SR)，其中有些系统要求还包含了增强要求(RE)。其与能力等级(CL)的映射见附录A。 本部分引用GB/T 30976.1—2014的部分内容，并针对PLC系统进行了裁剪和细化。为方便对照和使用，本部分FR、SR、RE的编号与GB/T 30976.1—2014保持一致。 5.2对第2层和第1层的总体要求 5.2.1 FR 5：限制的数据流 5.2.1.1 SR 5.1：网络分区 应将PLC系统网络与非PLC系统网络进行逻辑分区，将关键PLC系统网络和其他PLC系统网络进行逻辑分区。 5.2.1.2 SR 5.1 RE(1)：物理网络分区 应将PLC系统网络与非PLC系统网络进行物理分区，将关键PLC系统网络和其他PLC系统网络进行物理分区。 5.2.1.3 SR 5.1 RE(2)：与非PLC系统网络的独立性 PLC系统网络服务可独立运行，不依靠非PLC系统设备网络连接。 5.2.1.4 SR 5.1 RE(3)：关键网络的逻辑或物理隔离 关键PLC系统网络与其他PLC系统网络进行逻辑或物理隔离。 5.2.1.5 SR 5.2：区域边界防护 PLC系统应提供监视和控制区域边界通信的能力： a) 能监视区域边界的通信； b) 能控制区域边界的通信。 5.2.1.6 SR 5.2 RE(1)：默认拒绝，例外允许 PLC系统应提供默认拒绝所有网络流量、例外允许网络流量(也称为拒绝所有，允许例外)的能力。 5.2.1.7 SR 5.2 RE(2)：孤岛模型 PLC系统应提供能力防止任何通过PLC系统边界的通信(也称为孤岛模型)。 5.2.1.8 SR 5.2 RE(3)：故障关闭 当边界防护机制出现操作故障时，PLC系统应提供阻止所有PLC系统边界通信(也称为故障关闭)的能力。故障关闭功能的设计应不干扰功能安全系统或其他功能安全相关功能的运行。 5.2.1.9 SR 5.3：一般目的的内部节点间通信限制 PLC系统应提供能力防止一般目的的内部节点间通信消息被PLC系统外部的用户或系统接收到。 5.2.1.10 SR 5.4：应用分离 PLC系统应基于实现分区模型的关键程度提供对数据、应用和服务进行分离的能力。 5.2.1.11 SR 5.5：网络分层 应将PLC系统根据实际应用场景进行逻辑分层。 5.2.1.12 SR 5.5 RE(1)：层间边界防护 PLC系统应提供监视和控制第2层与第1层通信的能力。 5.3对第2层的要求 5.3.1 FR 1：标识和认证控制 5.3.1.1 SR 1.1：用户(人)的标识和认证 PLC系统应提供标识和认证所有用户(人)的能力。这一能力应在访问PLC系统的所有访问接口上实施，以支持符合相应安全策略和规程的职责分离和最小特权原则。PLC系统应使： a) 用户标识符能在所有访问接口上被认证。 b) 无效用户标识符在所有访问接口上被拒绝。 5.3.1.2 SR 1.1 RE(1)：唯一标识和认证 PLC系统应对所有用户(人)提供唯一标识和认证的能力。 5.3.1.3 SR 1.1 RE(2)：非可信网络的多因子认证 当人通过非可信网络访问(例如远程访问)PLC系统时，PLC系统应为其提供多因子认证的能力。对于经由非可信网络的远程访问的认证方法要求多于一种。 5.3.1.4 SR 1.2：软件进程的标识和认证 PLC系统宜提供标识和认证所有软件进程的能力。这一能力应在访问PLC系统的所有访问接口上实施，以支持符合相应安全策略和规程的职责分离和最小特权原则。 5.3.1.5 SR 1.2 RE(1)：唯一标识和认证 PLC系统应对所有合法软件进程拥有唯一标识认证的能力。 5.3.1.6 SR 1.3：账号管理 PLC系统应提供对所有账号的管理，包括创建、激活、修改、禁用和移除账号的能力，当一个或多个账号被修改或移除时，未被修改的账号保持激活和账号权限不变。 5.3.1.7 SR 1.3 RE(1)：统一的账号管理 PLC系统应提供能力支持统一的账号管理。 5.3.1.8 SR 1.4：标识符管理 PLC系统应提供按照用户、组、角色和/或PLC系统接口管理标识符(例如用户ID)的能力。 5.3.1.9 SR 1.5：认证码管理 PLC系统应保护认证码存储和传输时不被未经授权的泄露和更改。 5.3.1.10 SR 1.5 RE(1)：软件进程标识凭证的硬件安全 对于软件进程和设备用户，PLC系统应提供使用硬件机制保护相关认证码的能力。 5.3.1.11 SR 1.6：无线访问管理 对参与无线通信的所有的用户，PLC系统应提供标识和认证的能力。PLC系统应使： a) 合法用户标识符能在无线访问接口上被认证； b) 无效用户标识符在无线访问接口上被拒绝。 5.3.1.12 SR 1.6 RE(1)：唯一标识和认证 对参与无线通信的所有的用户，PLC系统应提供唯一标识和认证的能力。 5.3.1.13 SR 1.7：口令认证 对于使用口令认证的PLC系统，PLC系统应提供能力，实施可配置的基于最小长度和不同字符类型的口令强度。PLC系统应： a) 提供实施口令的最小长度的能力。验证小于最小长度的口令被拒绝用于认证。 b) 提供能力，实施口令中除字母字符外至少还要包含最小数目的特殊字符。验证不符合最小字符集的口令被拒绝用于认证。 5.3.1.14 SR 1.7 RE(1)：对用户(人)的口令生成和口令有效期的限制 PLC系统应为用户(人)提供口令重用次数、口令有效期可配置的能力，这些能力符合普遍接受的安全工业实践。 5.3.1.15 SR 1.8：公钥基础设施证书 当使用公钥基础设施PKI时，PLC系统应提供能力按照普遍接受的最佳实践运行PKI或从现有PKI中获取公钥证书。 5.3.1.16 SR 1.9：公钥认证的加强 对于使用公钥认证的PLC系统，PLC系统应提供以下能力： a) 通过检查给定证书的签名的有效性来证实证书； b) 通过可接受的证书认证机构(CA)证实证书，或在自签名证书情况下，以某种事先定义的方式证实证书； c) 通过给定证书的撤销状态证实证书； d) 建立用户对相应私钥的控制； e) 将已认证的标识映射为用户。 5.3.1.17 SR 1.9 RE(1)：公钥认证的硬件安全 PLC系统应提供能力，按照普遍接受的安全工业实践和推荐，通过硬件机制保护相关的私钥。 5.3.1.18 SR 1.10：认证反馈 PLC系统将认证信息的反馈模糊化，使得当一个或多个凭证无效时，失败的认证尝试不提供任何合法凭证有效性的信息(例如用户名和口令)。 5.3.1.19 SR 1.11：失败的登录尝试 PLC系统应： a) 对任何用户在可配置的时间周期内连续无效访问尝试的次数限制为一个可配置的数目； b) 在可配置时间周期内未成功尝试次数超过上限时，在指定时间内拒绝访问直到由管理员解锁； c) 不应允许关键服务或服务器运行的系统账号交互式登录。 5.3.1.20 SR 1.13：经由非可信网络的访问 PLC系统应： a) 能监视和控制所有经由不可信网络对控制系统的访问； b) 拒绝来自不可信网络的访问，除非被指定角色批准。 5.3.1.21 SR 1.13 RE(1)：明确的对访问请求的批准 默认的，PLC系统应提供能力拒绝来自不可信网络的访问，除非被指定角色批准，例如限制未授权的IP地址接入。 5.3.2 FR 2：使用控制 5.3.2.1 SR 2.1：授权的执行 在所有接口上，PLC系统应提供能力执行分配给所有用户(人)的授权，按照职责分离和最小特权来控制对PLC系统的使用。 PLC系统应为资产所有者提供修改许可到角色的映射的能力。包括但不限于： a)浏览权限用户； b) 操作员； c)控制应用工程师； d)PLC系统管理员； e) 操作主管； f)仪表技术员。 5.3.2.2 SR 2.2：无线使用控制 PLC系统应提供能力，对PLC系统的无线连接应依据普遍接受的安全工业实践进行授权、监视和限制使用。PLC系统应： a) 能授权、监视和限制对PLC系统的无线访问； b) 能使用适当的认证机制保护无线访问。 5.3.2.3 SR 2.2 RE(1)：对未授权的无线设备进行识别和报告 PLC系统应提供识别和报告未授权的与PLC系统相关的无线设备在PLC系统物理环境内发射信号的能力。 5.3.2.4 SR 2.3：对便携和移动设备的使用控制 对于便携和移动设备，PLC系统应提供使用限制的能力，包括： a)PLC系统提供手段来禁用/控制便携或移动设备的使用； b)PLC系统监视和记录便携和移动设备的访问和使用； c)PLC系统安全手册提供了对便携和移动设备使用限制的列表。 5.3.2.5 SR 2.3 RE(1)：便携和移动设备的安全状态的实施 PLC系统应提供能力，确保便携和移动设备连接到一个区域之前，其安全状态符合该区域的安全策略和规程。包括： a)PLC系统提供在授权连接之前对便携和移动设备进行扫描； b)PLC系统监视和记录扫描结果； c)PLC系统安全手册提供对移动设备合规扫描进行配置的指示。 5.3.2.6 SR 2.4：移动代码 基于移动代码破坏控制系统的潜在可能性，控制系统应提供以下能力：对编辑、修改移动代码的人员进行权限管理和身份认证。 5.3.2.7 SR 2.4 RE(1)：移动代码的完整性检查 控制系统应提供能力，在允许代码执行之前验证移动代码的完整性。 5.3.2.8 SR 2.4 RE(2)：移动代码的使用限制 PLC系统应： a) 预防移动代码的执行； b) 对代码源要求适当的认证和授权； c) 限制移动代码传入/传出控制系统； d)监视移动代码的使用。 5.3.2.9 SR 2.7：并发连接控制 对任意给定用户，PLC系统应提供将每个接口的并发连接的数目限制为一个可配置的数目的能力。 5.3.2.10 SR 2.8：可审计的事件 PLC系统应提供为以下类别生成审计记录的能力：访问控制、请求错误、系统事件、备份和存储事件、配置变更、潜在的侦查行为和审计日志事件。 5.3.2.11 SR 2.8 RE(1)：中央管理的、系统范围的审计跟踪 PLC系统应提供能力，对审计事件进行中央管理，并将来自整个PLC系统内多个部件的审计记录汇聚为系统范围的、时间相关的审计跟踪。PLC系统应提供按照工业标准格式输出审计记录的能力，以便标准的商业日志分析工具对其分析。 5.3.2.12 SR 2.9：审计存储容量 PLC系统应根据日志管理和系统配置普遍认可的推荐值来分配足够的审计记录存储容量。PLC系统应提供审计机制减少超出该容量的可能性。 当分配的审计记录存储量达到最大审计记录存储容量的某个可配置比例时，PLC系统应提供发出警告的能力。 5.3.2.13 SR 2.10：对审计流程失败时的响应 PLC系统应： a) 在审计流程失败时，提供向人员告警并防止技术服务和功能丢失的能力； b) 当审计流程失败时，提供以下响应的能力：覆盖最老的审计记录、停止生成审计记录。 5.3.2.14 SR 2.11：时间戳 PLC系统应提供时间戳用于生成审计记录。 5.3.2.15 SR 2.11 RE(1)：内部时间同步 PLC系统应提供以可配置的频率同步内部系统时钟的能力。 5.3.2.16 SR 2.11 RE(2)：时间源的完整性的保护 时间源应被保护不受未授权的变更，其变更应触发审计事件。 5.3.2.17 SR 2.12：不可否认性 PLC系统应提供对给定用户(人)是否实施了某个特定行为进行判定的能力。 5.3.2.18 SR 2.12 RE(1)：所有用户的不可否认性 PLC系统应提供对所有用户是否执行了某个行为进行判定的能力。 5.3.3 FR 3：系统完整性 5.3.3.1 SR 3.1：通信完整性 PLC系统应保护通信信道上传输的信息的完整性。 5.3.3.2 SR 3.1 RE(1)：基于密码技术的完整性保护 PLC系统应提供能力采用密码学机制识别信息在通信过程中的变更，除非信息已被其他可替换的物理措施保护。 5.3.3.3 SR 3.2：恶意代码的防护 PLC系统应提供能力，采用防护机制来防止、检测、报告和消减恶意代码或非授权软件的影响。PLC系统应： a) 采用一定的防护机制以防护恶意代码； b)配置、启用防护产品； c) 更新防护产品到软件最新版本； d) 提供防护产品防护的恶意代码类型的列表或说明。 5.3.3.4 SR 3.2 RE(1)：在入口和出口点防护恶意代码 PLC系统应提供在所有入口和出口点上采用恶意代码防护机制的能力。PLC系统应： a) 在区域边界提供恶意代码的防护； b) 配置和启用防护产品； c) 更新防护产品到软件最新的版本； d) 提供防护产品防护的恶意代码类型的列表或说明。 5.3.3.5 SR 3.2 RE(2)：恶意代码防护的集中管理和报告 PLC系统应提供集中管理恶意代码防护机制的能力。 5.3.3.6 SR 3.4：软件和信息完整性 PLC系统应提供能力检测、记录和保护软件和信息不受未经授权的变更。 5.3.3.7 SR 3.4 RE(1)：对破坏完整性进行自动通知 PLC系统应提供能力，使用自动化工具在完整性验证期间发现不符时通知人员。 5.3.3.8 SR 3.5：输入验证 PLC系统应验证任何输入的语法和内容，这些输入是作为工业过程控制输入或直接影响PLC系统行为的输入。 5.3.3.9 SR 3.6：确定性的输出 控制系统提供能力，在遭受攻击无法保持正常运行时能够将输出设为预先定义的状态。 这些状态包括： a)未上电状态； b) 可知的最后的好值； c) 由资产属主或应用确定的固定值。 5.3.3.10 SR 3.7：错误处理 PLC系统识别和处理错误条件的方式应能够实施有效的补救，这一方式不能提供可能被敌人利用来攻击工业PLC系统的信息，除非泄露这一信息对于及时发现并修理问题是必须的。 PLC系统能规定错误信息的适当的结构和内容，以提供及时有用的信息而不暴露潜在的有害信息。 5.3.3.1 1 SR 3.8：会话完整性 PLC系统应提供保护通信会话完整性的机制，能为通信会话的每一端提供端对端身份和传输信息正确性的信任。 5.3.3.12 SR 3.8 RE(1)：会话终止后会话ID的失效 在用户登出或会话终止(包括浏览器会话)后，系统应提供使其会话标识失效的能力。 5.3.3.13 SR 3.8 RE(2)：唯一会话ID的产生和承认 系统应提供能力，为每个会话生成唯一的会话标识ID，并且只认可系统生成的会话标识。 5.3.3.14 SR 3.8 RE(3)：会话ID的随机性 控制系统应提供使用普遍接受的随机源生成唯一的会话标识的能力。 5.3.3.15 SR 3.9：审计信息的保护 PLC系统应保护审计信息和审计工具不被未授权地访问、修改和删除。 5.3.3.16 SR 3.9 RE(1)：一次性写入介质上的审计记录 PLC系统应提供在基于硬件的、一次性写入介质上生成审计记录的能力。 5.3.4 FR 4：数据保密性 5.3.4.1 SR 4.1：信息保密性 PLC系统应提供能力，对有读授权的信息在静态和传输中进行保密性保护。PLC系统应： a)通过维护具有可控物理访问的可信网络来保护敏感信息的保密性(认证信息，例如用户名和口令应考虑保密)； b)识别敏感信息； c) 对敏感信息的访问和传输进行控制，以防止窃听和篡改。 5.3.4.2 SR 4.1 RE(1)：静态和经由不可信网络传输的数据的保密性保护 PLC系统应： a) 提供能力保护静态信息和穿越不可信网络的远程访问连接的保密性； b)加密敏感的PLC系统信息，例如口令，在存储和穿过外部网络传输时是加密的。 5.3.4.3 SR 4.1 RE(2)：区域边界的机密性保护 PLC系统应提供能力保护穿越所有区域边界的信息的机密性，敏感的PLC系统数据例如口令在存储和穿越区域边界时是加密的。 5.3.4.4 SR 4.2：信息存留 PLC系统应提供退役能力，清除被在用服务所释放的部件中所有与安全相关的资料。 5.3.4.5 SR 4.2 RE(1)：共享内存资源的清除 PLC系统应防止借助易失性存储资源进行的未经授权的和无意的信息传输，当易失性共享存储释放回PLC系统供不同用户使用时，所有的特有数据及特有数据的关联都应从资源中清除，从而使新用户对其不可见和不可访问。 5.3.4.6 SR 4.3：密码的使用 如果需要密码，PLC系统应根据普遍接受的工业实践和推荐来使用密码算法、密钥长度以及密钥创建和管理机制。 5.3.5 FR 6：对事件的及时响应 5.3.5.1 SR 6.1：审计日志的可访问性 PLC系统应为已授权的人和/或工具提供访问审计日志的能力。 5.3.5.2 SR 6.1 RE(1)：对审计日志的编程式访问 PLC系统应使用应用编程接口API提供对审计记录的访问。 5.3.5.3 SR 6.2：持续监视 PLC系统应使用普遍接受的安全工业实践和推荐来提供持续监视所有安全机制的性能的能力，以及时检测、特征化、削减和报告对安全的违背。 5.3.6 FR 7：资源可用性 5.3.6.1 SR 7.1：拒绝服务的防护 PLC系统应对拒绝服务攻击有一定的防护能力。 5.3.6.2 SR 7.1 RE(1)：管理通信负荷 PLC系统应提供管理通信负荷的能力(例如使用限速)来消减信息泛洪类的拒绝服务攻击事件。 5.3.6.3 SR 7.1 RE(2)：限制拒绝服务攻击对其他系统和网络的影响 PLC系统应提供能力限制所有用户引发拒绝服务攻击事件的能力，这些事件可能影响其他PLC系统和网络。 5.3.6.4 SR 7.2：资源管理 PLC系统应对资源的使用提供安全功能，防止资源耗尽。 5.3.6.5 SR 7.3：数据备份 系统应在不影响工厂正常运行情况下，支持识别和定位关键文件，并有能力执行用户级和系统级备份(包含系统状态信息)。控制系统应提供以可配置的频率自动实现上述功能的能力。 5.3.6.6 SR 7.3 RE(1)：备份验证 控制系统应提供验证备份机制的可靠性的能力。 5.3.6.7 SR 7.3 RE(2)：备份自动化 控制系统应提供按照可配置的频率自动备份的能力。 5.3.6.8 SR 7.4：PLC系统恢复和重构 当遭受攻击而造成系统中断或故障，PLC系统应提供恢复和重构到已知的安全状态的能力。 5.3.6.9 SR 7.5：紧急电源 PLC系统应在不影响现有安全状态条件下提供与紧急电源之间进行切换的能力。 5.3.6.10 SR 7.6：网络和安全配置设置 PLC系统应提供能力，按照PLC系统提供商规定的指南中描述的推荐网络和安全配置进行配置。PLC系统应提供与现有部署网络和安全配置设置之间的一个接口。PLC系统应： a) 能为配置设置提供可调节的参数； b) 能根据安全策略和规程对配置变更进行监视和控制。 5.3.6.1 1 SR 7.7：最小功能化 PLC系统应提供必要的能力，明确禁止和/或限制对非必要的功能、端口、协议和/或服务的使用。 5.3.6.12 SR 7.8：PLC系统部件清单 PLC系统应提供报告当前已安装的部件及其关联属性的列表的能力。PLC系统应： a) 提供报告已安装部件及其关联属性的方法； b) 确保已安装部件在系统部件清单目录中是正确的； c) 在部件增加、移除或部件属性变更时，正确更新系统部件清单目录。 5.4对第1层的要求 5.4.1 FR 1：标识和认证控制 5.4.1.1 SR 1.1：用户(人)的标识和认证 PLC系统应提供标识和认证所有用户(人)的能力。这一能力应在访问控制器的所有访问接口上实施，以支持符合相应安全策略和规程的职责分离和最小特权原则。 5.4.1.2 SR 1.6：无线访问管理 对参与无线通信的所有的用户，控制器应提供标识和认证的能力。PLC系统应： a) 能在无线访问接口上验证合法用户标识符，认证为正确； b) 能在无线访问接口上验证无效用户标识符，无效用户被拒绝。 5.4.1.3 SR 1.13：经由非可信网络的访问 PLC系统应提供能力控制所有经由不可信网络对控制器的访问方法，例如可限制未授权的IP地址接入。 5.4.2 FR 2：使用控制 5.4.2.1 SR 2.1：授权的执行 在所有逻辑接口上，控制器应提供能力执行分配给所有用户(人)的授权，按照职责分离和最小特权来控制对控制系统的使用。 5.4.2.2 SR 2.2：无线使用控制 PLC系统应提供能力，对控制系统的无线连接应依据普遍接受的安全工业实践进行授权、监视和限制使用。