信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求(GB-T 37934-2019).pdf

ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求Information security technology Security technical requirements of industrialcontrol system security isolation and information ferry system点击此处添加与国际标准一致性程度的标识（报批稿）（本稿完成日期：2017-11-29）XXXX-XX-XX 发布XXXX-XX-XX 实施GA/T XXXX20XXI目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.15 工业控制网络安全隔离与信息交换系统描述.26 总体说明.27 安全功能要求.37.1 基本级要求.37.2 增强级要求.58 安全保障要求.98.1 基本级要求.98.2 增强级要求.119 安全等级划分.14GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：公安部第三研究所、北京神州绿盟信息安全科技股份有限公司、珠海市鸿瑞软件技术有限公司、中国电子科技网络信息安全有限公司、中国信息安全研究院有限公司、济南华汉电气科技有限公司、北京匡恩网络科技有限责任公司、北京力控华康科技有限公司。本标准主要起草人：邹春明、陆臻、田原、沈清泓、顾健、刘智勇、兰昆、杨晨、张大江、杨金、叶晓虎、王晓鹏、周文奇。GB/T XXXXXXXXX1信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求1范围本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求、安全保障要求和安全等级划分要求。本标准适用于工业控制网络安全隔离与信息交换系统的设计、开发及测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求GB/T 25069-2010 信息安全技术 术语3术语和定义GB/T 20279-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1工业控制系统 industrial control system；ICS工业控制系统（ICS）是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统（SCADA），分布式控制系统（DCS），和其他较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。GB/T 32919-2016,定义3.13.2工业控制协议 industrial control protocol工业控制系统中，上位机与控制设备之间、以及控制设备与控制设备之间的通信报文规约。通常包括模拟量和数字量的读写控制。3.3无扰下装 download without disturbance安全策略下装到产品的过程中，不应干扰产品的正常通信及安全功能。4缩略语下列缩略语适用于本文件。GB/T XXXXXXXXX2DCS：分布式控制系统（Distributed Control System）ICS：工业控制系统（Industrial Control System）MAC：媒体接入控制（Media Access Control）OPC：用于过程控制的对象链接与嵌入（Object Linking and Embedding for Process Control）SCADA：监控和数据采集系统（Supervisory Control And Data Acquisition System）5工业控制网络安全隔离与信息交换系统描述工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界，保护的资产为工业控制网络；或者部署在生产管理层与过程监控层之间，保护的资产为过程监控层网络及现场控制层网络。此外，工业控制网络安全隔离与信息交换系统本身及其内部的重要数据也是受保护的资产。如图1所示，工业控制网络安全隔离与信息交换系统一般以二主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。其中，专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机。工业控制网络安全隔离与信息交换系统用于连接两个不同的安全域，实现两个安全域之间访问控制、协议转换、内容过滤和信息交换等功能。工业控制网络安全隔离与信息交换系统中的内、外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁剪了TCP/IP等公共网络协议栈，采用私有协议实现公共协议隔离。专用隔离部件通常有两种实现方式：一是采用私有协议以逻辑方式实现协议隔离和信息传输；二是采用一组互斥的分时切换电子开关实现内部物理信道的通断控制，以分时切换连接方式完成信息摆渡，从而在两个安全域之间形成一个不存在实时物理连接的隔离区。图 1产品功能模块示意图6总体说明本标准将工业控制网络安全隔离与信息交换系统安全技术要求分为安全功能、安全保障要求两个大类。其中，安全功能要求是对工业控制网络安全隔离与信息交换系统应具备的安全功能提出具体要求，包括访问控制、协议隔离、信息摆渡、残余信息保护、不可旁路、抗攻击、双机热备，以及标识和鉴别、安全管理、数据完整性、时间同步、高可用性、审计日志；安全保障要求则针对工业控制网络安全隔离与信息交换系统设备开发者和设备自身提出具体的要求，包括配置管理、交付与运行、开发安全、指导GB/T XXXXXXXXX3性文档、测试等。本标准将安全功能要求和安全保障要求分为基本级和增强级，与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗宋体加粗”表示。7安全功能要求7.1基本级要求7.1.1访问控制7.1.1.1基于白名单的访问控制产品应采用白名单的访问控制策略，即非访问控制策略明确允许的访问，需默认禁止。7.1.1.2网络层访问控制产品应支持基于源IP、源端口、目的IP、目的端口、传输层协议等要求进行访问控制。7.1.1.3应用层访问控制产品应支持应用层的访问控制：a)支持HTTP、FTP、TELNET等应用的识别与访问控制；b)至少支持一种工业控制协议的访问控制。7.1.1.4工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制：a)对所支持的工业控制协议进行协议规约检查，明确拒绝不符合协议规约的访问；b)应支持对工业控制协议的操作类型、操作对象、操作范围等参数进行访问控制；c)若支持OPC协议：应支持基于控制点名称、读写操作等要素进行控制；d)若支持ModbusTCP协议：应支持基于设备ID、功能码类型、读写操作、寄存器地址、控制值范围等要素进行控制。7.1.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离，还原成应用层数据，在两机之间以非TCP/IP的私有协议格式传输。7.1.3残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时，安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。7.1.4不可旁路在与安全有关的操作（例如安全属性的修改、内部网络主机向外部网络主机传送信息等）被允许执行之前，安全功能应确保其通过安全功能策略的检查。7.1.5抗攻击产品应具备抵御SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、Pingofdeath攻击等典型拒绝服务攻击能力。GB/T XXXXXXXXX47.1.6自身安全功能要求7.1.6.1标识和鉴别7.1.6.1.1唯一性标识产品应保证任何用户都具有唯一的标识。7.1.6.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性，如管理员标识、鉴别信息、隶属组、权限等，并提供使用默认值对创建的每个管理员的属性进行初始化的功能。7.1.6.1.3基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别。7.1.6.1.4鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超过阈值，系统应通过技术手段阻止管理员的进一步鉴别请求。7.1.6.2安全管理7.1.6.2.1接口及管理安全产品应保证业务接口、管理接口、管理界面的安全：a)业务接口和管理接口应采用不同的网络接口；b)管理接口及管理界面应不存在中高风险安全漏洞。7.1.6.2.2安全状态监测产品应能够监测产品自身及组件状态，包括对产品CPU、内存、存储空间等系统资源使用状态进行监测。7.1.6.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和破坏。7.1.6.4时间同步产品应支持与外部时间服务器进行时间同步。7.1.6.5高可用性7.1.6.5.1容错产品应具备一定的容错能力：a)重要程序及文件被破坏时，设备重启后能够自恢复；b)重要进程异常终止时，能够自启动。GB/T XXXXXXXXX57.1.6.5.2安全策略无扰下装进行访问控制安全策略应用时不应该影响正常的数据通信。7.1.6.6审计日志7.1.6.6.1业务日志生成产品应对其提供的业务功能生成审计日志：a)访问控制策略匹配的访问请求，包括允许及禁止的访问请求；b)识别及防护的各类攻击行为。7.1.6.6.2业务日志内容业务日志内容至少包括：a)日期、时间、源目的MAC、源目的IP、源目的端口、协议类型；b)工业控制协议的操作类型、操作对象、操作值等相关参数；c)攻击事件的类型及描述。7.1.6.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志：a)身份鉴别，包括成功和失败；b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施；c)访问控制策略的增加、删除、修改；7.1.6.6.4系统日志内容系统日志内容至少应包括日期、时间、事件主体、事件客体、事件描述等。7.1.6.6.5审计日志管理应支持日志管理功能，具体技术要求如下：a)应只允许授权管理员能够对审计日志进行读取、存档、导出、删除和清空等操作；b)应提供能查阅日志的工具；c)审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审计员。7.2增强级要求7.2.1访问控制7.2.1.1基于白名单的访问控制产品应采用白名单的访问控制策略，即非访问控制策略明确允许的访问，需默认禁止。7.2.1.2网络层访问控制产品应支持基于源IP、源端口源端口、目的IP、目的端口、传输层协议等要求进行访问控制。7.2.1.3IP/MAC 地址绑定GB/T XXXXXXXXX6产品应支持自动或管理员手工绑定与其进行通信的设备的产品应支持自动或管理员手工绑定与其进行通信的设备的IP/MACIP/MAC地址地址，当通信的当通信的IPIP、MACMAC地址与绑地址与绑定列表不符时，应阻止通信。定列表不符时，应阻止通信。7.2.1.4应用层访问控制产品应支持应用层的访问控制：a)支持HTTP、FTP、TELNET等应用的识别与访问控制；b)至少支持两种工业控制协议的访问控制。7.2.1.5工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制：a)对所支持的工业控制协议进行协议规约检查，明确拒绝不符合协议规约的访问；b)应支持对工业控制协议的操作类型、操作对象、操作范围等参数进行访问控制；c)若支持OPC协议：应支持基于控制点名称、读写操作等要素进行控制；d)若支持ModbusTCP协议：应支持基于设备ID、功能码类型、读写操作、寄存器地址、控制值范围等要素进行控制。7.2.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离，还原成应用层数据，在两机之间以非TCP/IP的私有协议格式传输。7.2.3信息摆渡设备双机之间应采用专用隔离部件，并确保数据传输链路物理上的时分切换，即设备的双机在物设备双机之间应采用专用隔离部件，并确保数据传输链路物理上的时分切换，即设备的双机在物理链路上不能同时与专用隔离部件连通，并完成信息摆渡。理链路上不能同时与专用隔离部件连通，并完成信息摆渡。7.2.4残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时，安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。7.2.5不可旁路在与安全有关的操作（例如安全属性的修改、内部网络主机向外部网络主机传送信息等）被允许执行之前，安全功能应确保其通过安全功能策略的检查。7.2.6抗攻击产品应具备一定的抗拒绝服务攻击能力：a)SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、Pingofdeath攻击等；b)b)TearDropTearDrop攻击攻击、LandLand攻击等攻击等。7.2.7双机热备产品应具备双机热备的能力，产品应具备双机热备的能力，当主设备出现故障时或者主设备链路故障时当主设备出现故障时或者主设备链路故障时，备设备应能及时接管备设备应能及时接管进行工作进行工作。7.2.8自身安全功能要求GB/T XXXXXXXXX77.2.8.1标识和鉴别7.2.8.1.1唯一性标识产品应保证任何用户都具有唯一的标识。7.2.8.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性，如管理员标识、鉴别信息、隶属组、权限等，并提供使用默认值对创建的每个管理员的属性进行初始化的功能。7.2.8.1.3管理员角色产品应为管理角色进行分级，使不同级别的管理角色具有不同的管理权限产品应为管理角色进行分级，使不同级别的管理角色具有不同的管理权限。各管理角色的权限应。各管理角色的权限应形成互相制约关系。形成互相制约关系。7.2.8.1.4基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别。若其采用网络远程方式管理，还应对若其采用网络远程方式管理，还应对可管理的地址进行限制。可管理的地址进行限制。7.2.8.1.5多鉴别产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制（如证书、智能产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制（如证书、智能ICIC卡、指卡、指纹等鉴别机制）。纹等鉴别机制）。7.2.8.1.6超时锁定或注销当已通过身份鉴别的管理角色空闲操作的时间超过规定值，在该管理角色需要执行管理功能前，当已通过身份鉴别的管理角色空闲操作的时间超过规定值，在该管理角色需要执行管理功能前，产品应对该管理角色的身份重新进行鉴别。产品应对该管理角色的身份重新进行鉴别。7.2.8.1.7鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超过阈值，系统应通过技术手段阻止管理员的进一步鉴别请求。7.2.8.2安全管理7.2.8.2.1接口及管理安全产品应保证业务接口、管理接口、管理界面的安全：a)应支持业务接口和管理接口应采用不同的网络接口；b)管理接口及管理界面应不存在中高风险安全漏洞。7.2.8.2.2管理信息传输安全产品需要通过网络进行管理时，产品应能对管理信息进行保密传输。产品需要通过网络进行管理时，产品应能对管理信息进行保密传输。7.2.8.2.3安全状态监测产品应能够监测产品自身及组件状态，包括：a)对产品 CPU、内存、存储空间等系统资源使用状态进行监测；GB/T XXXXXXXXX8b)对产品的主要功能模块运行状态进行监测。对产品的主要功能模块运行状态进行监测。7.2.8.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅、修改和破坏。7.2.8.4时间同步产品应支持与外部时间服务器进行时间同步。7.2.8.5高可用性7.2.8.5.1容错产品应具备一定的容错能力：a)重要程序及文件被破坏时，设备重启后能够自恢复；b)重要进程异常终止时，能够自启动。7.2.8.5.2安全策略无扰下装进行访问控制安全策略下装应用时不应影响正常的数据通信。7.2.8.6审计日志7.2.8.6.1业务日志生成产品应对其提供的业务功能生成审计日志：a)访问控制策略匹配的访问请求，包括允许及禁止的访问请求；b)识别及防护的各类攻击行为。7.2.8.6.2业务日志内容业务日志内容至少包括：a)日期、时间、源目的MAC、源目的IP、源目的端口、协议类型；b)工业控制协议的操作类型、操作对象、操作值等相关参数；c)攻击事件的类型及描述。7.2.8.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志：a)身份鉴别，包括成功和失败；b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施；c)访问控制策略的增加、删除、修改；d)d)管理员的增加、删除、修改；管理员的增加、删除、修改；e)e)时间同步；时间同步；f)f)超过保存时限的审计记录和自身审计日志的自动删除；超过保存时限的审计记录和自身审计日志的自动删除；g)g)审计日志和审计记录的备份与恢复；审计日志和审计记录的备份与恢复；GB/T XXXXXXXXX9h)h)存储空间达到阈值报警；存储空间达到阈值报警；i)i)其他事件。其他事件。7.2.8.6.4系统日志内容系统日志内容至少应包括日期、时间、事件主体、事件客体、事件描述等。7.2.8.6.5审计日志管理应支持日志管理功能，具体技术要求如下：a)应只允许授权管理员能够对审计日志进行读取、存档、导出、删除和清空等操作；b)应提供能查阅日志的工具，支持多条件对审计日志进行组合查询支持多条件对审计日志进行组合查询；c)审计事件应存储于掉电非易失性存储介质中，且在存储空间达到阈值时至少能够通知授权审计员；d)d)应支持以标准格式将审计日志外发到专用的日志服务器。应支持以标准格式将审计日志外发到专用的日志服务器。8安全保障要求8.1基本级要求8.1.1开发8.1.1.1安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)描述产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性被旁路。8.1.1.2功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯。8.1.1.3产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：a)根据子系统描述产品结构；b)标识和描述产品安全功能的所有子系统；c)描述安全功能所有子系统间的相互作用；GB/T XXXXXXXXX10d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。8.1.2指导性文档8.1.2.1操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a)描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)描述如何以安全的方式使用产品提供的可用接口；c)描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e)标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f)充分实现安全目的所必须执行的安全策略。8.1.2.2准备程序开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。8.1.3生命周期支持8.1.3.1配置管理能力开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。8.1.3.2配置管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表至少包含产品、安全保障要求的评估证据和产品的组成部分。8.1.3.3交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。8.1.4测试8.1.4.1测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性。8.1.4.2功能测试GB/T XXXXXXXXX11开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：a)测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的测试结果一致。8.1.4.3独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。8.1.5脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗基本的攻击。8.2增强级要求8.2.1开发8.2.1.1安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)描述产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性被旁路。8.2.1.2功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能；b)描述所有安全功能接口的目的与使用方法；c)标识和描述每个安全功能接口相关的所有参数；d)描述安全功能接口相关的安全功能实施行为；e)描述由安全功能实施行为处理而引起的直接错误消息；f)证实安全功能要求到安全功能接口的追溯；g)g)描述安全功能实施过程中，与安全功能接口相关的所有行为；描述安全功能实施过程中，与安全功能接口相关的所有行为；h)h)描述可能由安全功能接口的调用而引起的所有直接错误消息。描述可能由安全功能接口的调用而引起的所有直接错误消息。8.2.1.3实现表示开发者开发者应提供全部安全功能的实现表示，实现表示应提供全部安全功能的实现表示，实现表示应满足以下要求：应满足以下要求：a)a)提供产品设计描述与实现表示实例之间的映射，并证明其一致性；提供产品设计描述与实现表示实例之间的映射，并证明其一致性；b)b)按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c)c)以开发人员使用的形式提供。以开发人员使用的形式提供。8.2.1.4产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：a)根据子系统描述产品结构；GB/T XXXXXXXXX12b)标识和描述产品安全功能的所有子系统；c)描述安全功能所有子系统间的相互作用；d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；e)根据模块描述安全功能；根据模块描述安全功能；f)提供安全功能子系统到模块间的映射关系；提供安全功能子系统到模块间的映射关系；g)描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用；描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用；h)描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及调用的接口；及调用的接口；i)描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。8.2.2指导性文档8.2.2.1操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a)描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)描述如何以安全的方式使用产品提供的可用接口；c)描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；e)标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；f)充分实现安全目的所必须执行的安全策略。8.2.2.2准备程序开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b)描述安全安装产品及其运行环境必需的所有步骤。8.2.3生命周期支持8.2.3.1配置管理能力开发者的配置管理能力应满足以下要求：a)为产品的不同版本提供唯一的标识；b)使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d)配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变；进行已授权的改变；e)配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致；实施的配置管理与配置管理计划相一致；f)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。8.2.3.2配置管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：GB/T XXXXXXXXX13a)产品、安全保障要求的评估证据和产品的组成部分；b)实现表示、安全缺陷报告及其解决状态。实现表示、安全缺陷报告及其解决状态。8.2.3.3交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。8.2.3.4开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。8.2.3.5生命周期定义开发者开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。描述用于开发和维护产品的模型。8.2.3.6工具和技术开发者开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。义和所有依赖于实现的选项的含义。8.2.4测试8.2.4.1测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；b)表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。8.2.4.2测试深度开发者应提供测试深度的分析。测试深度分析描述开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：应满足以下要求：a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。8.2.4.3功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：a)测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的测试结果一致。8.2.4.4独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。8.2.5脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗较强的攻击。基于已标识的潜在脆弱性，产品能够抵抗较强的攻击。GB/T XXXXXXXXX149安全等级划分本标准按照工业控制网络安全隔离与信息交换系统安全功能要求和安全保障要求的强度划分为基本级和增强级，如表1、表2所示。安全功能强弱和安全保障要求高低是等级划分的具体依据。其中，达到基本级要求的产品，推荐使用在安全保护等级为第一、二级的工业控制系统中；达到增强级要求的产品，推荐使用在第三、四级的工业控制系统中。表 1安全功能要求等级划分表技术要求基本级增强级访问控制基于白名单的访问控制*网络层访问控制*IP/MAC 地址绑定*应用层访问控制*工业控制协议深度检查*协议隔离*信息摆渡*残余信息保护*不可旁路*抗攻击双机热备*自身安全功能要求标识和鉴别唯一性标识*管理员属性定义*管理员角色*基本鉴别*多鉴别*超时锁定或注销*鉴别失败处理*安全管理接口及安全管理*管理信息传输安全*安全状态监测*数据完整性*时间同步*高可用性容错*安全策略无扰下装*审计日志业务日志生成*业务日志内容*系统日志生成*GB/T XXXXXXXXX15表 1（续）表 2安全保障要求等级划分表安全保障要求基本级增强级开发安全架构*功能规范*实现表示*产品设计*指导性文档操作用户指南*准备程序*生命周期支持配置管理能力*配置管理范围*交付程序*开发安全*生命周期定义*工具和技术*测试覆盖*深度*功能测试*独立测试*脆弱性评定*注：“*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。技术要求基本级增强级自身安全功能要求审计日志系统日志内容*审计日志管理*注：“*”表示具有该要求，“*”表示要求有所增强，“”表示不适用。