信息安全技术工业控制系统现场测控设备通用安全功能要求(GB-T 36470-2018).docx

ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 工业控制系统现场测控设备通用安全功能要求Information security technologyCommon security functional requirements for data acquisition and control field devices of industrial control systems点击此处添加与国际标准一致性程度的标识（本稿完成日期：2015/03/16） - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言II引言III1范围12规范性引用文件13术语和定义14缩略语25安全功能要求描述结构25.1要求类结构25.2要求族结构35.3要求项结构36通用安全功能要求46.1FIA类：用户标识与鉴别46.2FUC类：使用控制106.3FDI类：数据完整性186.4FDC类：数据保密性226.5FRF类：数据流限制246.6FRA类：资源可用性27附录A（规范性附录）要求类与要求族的分类信息简写说明30附录B（规范性附录）通用安全功能要求汇总表31附录C（规范性附录）安全功能要求依赖关系表33附录D（资料性附录）典型工业控制系统现场测控设备功能与构成35参考文献37前言请注意本标准的某些内容可能涉及专利内容，本标准发布机构不应承担识别这些专利的责任。本标准按照GB/T1.1-2009的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：国网智能电网研究院、中国电力科学研究院、北京和利时系统工程有限公司、北京四方继保自动化股份有限公司、华北电力大学、国电南瑞科技股份有限公司、辽宁省电力有限公司沈阳供电公司、中国信息安全测评中心、中国电子技术标准化研究院、北京江南天安科技有限公司、中国电子信息产业集团有限公司第六研究所。本标准主要起草人：梁潇、高昆仑、王弢、任雁铭、树娟、李焕、郑晓崑、徐茹枝、殷尧、王迪、赵婷、詹雄、李凌、张錋、谢丰、唐一鸿、陈冠直、朱建勇。引言现场测控设备是工业控制系统的基本功能执行设备，直接对工业生产过程进行监视与控制，对于生产的安全稳定运行至关重要。随着信息通信技术在工业控制系统中的应用，现场设备的智能化程度逐渐增加，网络化和处理能力的增加使得这些设备所面临的信息安全风险较传统现场设备面临的风险种类更多，范围更大，层次更为深入，一旦遭受攻击，将直接导致设备所辖区域内甚至连锁性的生产事故，因此其信息安全不仅与生产安全和经济安全密不可分，而且电力、化工、天然气等重要基础设施的现场安全水平直接关系到国计民生、社会稳定与公众利益。为提高现场设备的信息安全能力，本标准提出针对现场测控设备的通用安全功能要求，用于设备的安全设计、开发、测试与评估。使用者应根据实际或计划使用环境的安全风险分析结果，选择设备应满足的安全功能要求。37信息安全技术 工业控制系统现场测控设备通用安全功能要求1 范围本标准规定了工业控制系统现场测控设备的通用安全功能要求。本标准适用于指导设备的安全设计、开发、测试与评估。涉及设备功能实现原理、工业控制系统整体管理和运行以及信息安全外围技术的内容不在本标准范围之内。例如： 本标准不涵盖与设备自身安全功能与实现没有直接关联的行政性管理和运行安全要求，如组织管理和人员管理等。对于影响技术实施的口令策略和配置程序等管理措施，将包含在要求的描述中，不作关于管理和运行内容的强调。 本标准不涵盖与设备自身信息安全功能与实现没有直接关联的电磁辐射等物理安全方面的内容，对于影响信息安全技术防护效果的物理安全访问控制等措施，将包含在要求的描述中，不作关于物理安全内容的强调。 本标准不对传统工业控制系统中机电式、液压式和气动式等不涉及信息技术实现原理的设备的信息安全功能进行要求。 本标准不覆盖传感器、变送器、调节器、开关/断路器等生产过程设备。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 9387.21995 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构GB/T 250692010 信息安全技术 术语3 术语和定义GB/T 9387.21995、GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1工业控制系统现场测控设备 data acquisition and control field devices of industrial control systems工业控制系统中，位于现场，具有以下生产相关全部或部分功能的一种独立实体设备： 从传感器、变送器、调节器或开关等过程设备接收采集数据； 进行逻辑与控制计算； 向调节器或开关等过程执行设备发送控制指令。设备与其它同类设备、系统主站或应用进行采集数据与控制指令等数字或模拟信号通信。典型工业控制系统现场测控设备的功能与构成见附录D。注： 下列均是典型的工业控制系统现场测控设备：RTUIEDDPU3.2鉴别 authentication信息系统中，在用户、进程或设备接入资源之前，对其身份进行验证。NIST SP 800-53 R33.3泛洪 flooding通过向计算系统或其他数据处理实体提供大于其处理能力的输入，企图引起其在信息安全方面的故障的攻击。RFC 28284 缩略语下列缩略语适用于本文件。CA：认证中心（Certificate Authority）CRC：循环冗余校验（Cyclic Redundancy Check）DoS：拒绝服务攻击（Deny of Service）DPU：分散处理单元（Distributed Processing Unit）IED：智能电子装置（Intelligent Electric Device）MAC：消息鉴别码（Message Authentication Code）MMU：内存管理单元（Memory Management Unit）RTU：远程终端单元（Remote Terminal Unit）5 安全功能要求描述结构5.1 要求类结构图1以框图形式示意了要求类的结构。每个要求类包括一个类名、类描述和一个或多个要求族。 类名：提供标识和划分不同要求类所必需的信息。每个要求类都有一个唯一的名称，类的分类信息由三个字符的简写组成。要求类分类信息简写说明见附录A。类名的简写也用于该类中族的族名规范中。 类描述：总体描述类中包含的族和该类要求的主要作用。类描述用图来描述类中的族以及每个族中组件的层次结构。图1 要求类结构5.2 要求族结构图2以框图形式示意了要求族的结构。每个要求族包括一个族名、族描述和一个或多个组件。 族名：提供标识和划分不同要求族所必需的信息。每个要求族都有一个唯一的名称，族的分类信息由所属类的简写和族名三个字符的简写组成。要求族的分类信息简写说明见表附录A。 族描述：总体描述族和该族要求的主要作用。图2 要求族结构5.3 要求项结构图3以框图形式示意了要求项的结构。每个要求项包括要求名、要求的内容、要求说明、零个或多个要求加强子项和依赖要求。 要求名：用于标识、分类、分族不同的要求。每个要求都有一个唯一的名称，表明该要求的目的。用序号标识在族中的位置。 要求：描述要求的内容，表述设备为达到该项要求应满足的条件。 要求说明：描述要求的典型实现机制和技术原理。 要求加强：要求加强子项是对要求强度的加强或内容的增加，用序号标识在要求内的位置。 依赖要求：当要求项需要依赖于其他要求项，或与其他要求项共同使用才能发挥作用时，这种对其它要求项的直接关联关系在本部分中注明。要求项间的依赖关系具体见附录C。图3 要求项结构6 通用安全功能要求工业控制系统现场测控设备的通用安全功能要求归纳见附录B。6.1 FIA类：用户标识与鉴别6.1.1 类描述用户标识和鉴别的目的是确定对设备的访问行为主体（人员、进程和设备）、以及对访问行为进行控制。根据设备数字与智能化程度的不同，设备具有多种外部访问接口，典型的接口包括： 本地操作面板，用于查看或修改配置； 本地RS232或RS485接口，用于业务数据传输或设备调试、管理； 网络，用于设备调试、管理与业务数据传输。通过这些接口对设备进行访问的典型的用户包括但不限于以下几种： 设备使用、配置等操控人员； 设备配置软件； 系统上位机应用进程。6.1.2 FIA_IAM族：标识与鉴别方式6.1.2.1 族描述设备对用户身份进行标识和鉴别是对设备最基本的安全防护，也是实现权限分配和访问控制的基础。6.1.2.2 FIA_IAM.1标识及方式6.1.2.2.1 要求工控系统现场测控设备应具备标识用户的能力。6.1.2.2.2 要求说明应对重要的用户提供身份标识，如配置管理用户、上位机控制进程等。典型的用户身份标识符包括网络地址（如物理地址、IP地址）、操控人员的用户标识符等。6.1.2.2.3 要求加强FIA_IAM.1标识及方式的加强要求包括：a) 设备在所有对外接口上具有标识用户的能力；b) 设备在所有对外接口上都具备唯一标识用户的能力。6.1.2.2.4 依赖要求无。6.1.2.3 FIA_IAM.2鉴别及方式6.1.2.3.1 要求工控系统现场测控设备应具备在对外接口对用户身份进行鉴别的能力。6.1.2.3.2 要求说明设备应对开启的网络服务接口和重要的本地访问用户进行鉴别，如配置管理用户、远程访问服务等。典型的身份鉴别方式包括：口令、共享密钥、数字证书和生物特征等。6.1.2.3.3 要求加强FIA_IAM.2鉴别及方式的加强要求包括：a) 设备在远程网络访问接口上对具有控制、参数和定值修改功能的用户实施双因素鉴别；b) 设备对所有远程网络访问接口上的用户实施双因素鉴别。6.1.2.3.4 依赖要求FIA_IAM.2鉴别及方式的依赖要求是FIA_IAM.1。6.1.3 FIA_IDM族：标识符管理6.1.3.1 族描述工控系统现场测控设备能用于标识用户（人员、进程和设备）的标识包括网络层面的IP地址、物理地址、TCP/UDP端口、应用地址或操控人员标识符等。其中人员用户标识符管理的功能相当于普通IT应用系统的用户管理，针对直接使用控制面板对设备进行查看或配置的操控人员，而IP地址、物理地址和端口的管理将在访问控制中阐述。6.1.3.2 FIA_IDM.1操控人员标识符管理6.1.3.2.1 要求工控系统现场测控设备应具备向操控人员分配标识符的能力。6.1.3.2.2 要求说明设备应具备向具有运行参数或设备配置访问权限的操控人员分配标识符的能力。6.1.3.2.3 要求加强FIA_IDM.1操控人员标识符管理的加强要求包括：a) 设备支持对操控人员标识符进行添加、删除等管理；b) 设备支持对安全策略规定一段时间不使用的操控人员标识符进行锁定。6.1.3.2.4 依赖要求FIA_IDM.1操控人员标识符管理的依赖要求是FIA_IAM.1。6.1.4 FIA_ACM族：鉴别凭证管理6.1.4.1 族描述工控系统现场测控设备管理用户身份鉴别凭证的能力主要包括对鉴别凭证的强度和使用的管理。由于对设备的访问方式可能包括本地面板访问、串口访问、网络访问、上位机应用访问，因此鉴别凭证的使用和管理涵盖设备层和网络层的鉴别。6.1.4.2 FIA_ACM.1口令修改6.1.4.2.1 要求工控系统现场测控设备应支持管理员等操控人员在不影响正常操作的情况下修改他们管理范围内口令。设备应支持并提示对出厂默认口令的修改。6.1.4.2.2 要求说明主要针对管理员、配置查看用户、配置修改用户等设备操控人员口令进行管理。6.1.4.2.3 要求加强无。6.1.4.2.4 依赖要求FIA_ACM.1口令修改的依赖要求是FIA_IAM.2。6.1.4.3 FIA_ACM.2口令更换周期6.1.4.3.1 要求工控系统现场测控设备应支持安全策略中要求的口令使用周期。6.1.4.3.2 要求说明操控人员验证成功后，工控系统现场测控设备应该提供必要的自动提醒能力，通知用户距离上次修改密码时间已经超过了安全策略要求的密码使用周期。6.1.4.3.3 要求加强FIA_ACM.2口令更换周期的加强要求包括：a) 设备支持管理员对口令更换周期进行配置。6.1.4.3.4 依赖要求FIA_ACM.2口令更换周期的依赖要求是FIA_IAM.2。6.1.4.4 FIA_ACM.3口令强度控制6.1.4.4.1 要求工控系统现场测控设备应提供支持安全策略中口令强度要求的能力。6.1.4.4.2 要求说明在实现上，当用户设定口令强度不足时，工控系统现场测控设备应自动提醒用户口令强度应满足怎样的安全策略。6.1.4.4.3 要求加强FIA_ACM.3口令强度控制的加强要求包括：a) 设备支持管理员对口令的最小长度、使用周期和字母或特殊字符数量进行配置。6.1.4.4.4 依赖要求FIA_ACM.3口令强度控制的依赖要求是FIA_IAM.2。6.1.4.5 FIA_ACM.4口令失效6.1.4.5.1 要求设备的用户名/口令鉴别控制不应被绕过。6.1.4.5.2 要求说明典型的绕过机制包括但不限于以下机制和技术： 嵌入式主口令 嵌入式芯片在硬件或软件故障时自动运行的默认的管理员权限 如跳线和开关设置等的密码模块或硬件旁路厂商应说明设备上所有能绕过用户创建的用户名/口令鉴别的机制。如果设备没有这样的机制，厂商应予以声明。6.1.4.5.3 要求加强无。6.1.4.5.4 依赖要求FIA_ACM.4口令失效的依赖要求是FIA_IAM.2。6.1.4.6 FIA_ACM.5证书及公私钥管理6.1.4.6.1 要求如果使用了公私钥或证书作为鉴别机制，工控系统现场测控设备（及其配置软件）应提供对公私钥和证书进行管理的能力。6.1.4.6.2 要求说明用户使用配置软件对工业控制系统现场测控设备进行配置时，常使用证书进行身份鉴别，配置软件应能够对配置用户的公钥进行管理，并对证书进行识别。在通信层面上，公私钥可用于现场测控设备和其它设备、远程配置系统、监控后台或上位机的通信身份鉴别。设备应保证本地存储私钥的安全，应能够对证书进行正确解析，对证书的真实性和有效性进行验证。6.1.4.6.3 要求加强FIA_ACM.5证书及公私钥管理的加强要求包括：a) 现场测控设备及其配置软件应支持按照安全策略要求定期更新公私钥；b) 在工控系统层面上建立有效的公私钥管理设施，如CA。6.1.4.6.4 依赖要求FIA_ACM.5证书及公私钥管理的依赖要求是FIA_IAM.2。6.1.4.7 FIA_ACM.6对称密钥管理6.1.4.7.1 要求如果使用了对称密钥作为鉴别机制或进行传输数据加密，工控系统现场测控设备应该提供对对称密钥进行管理的能力。6.1.4.7.2 要求说明对称密钥可用于现场测控设备和其它设备、监控后台或上位机的通信身份鉴别。设备应能保证本地存储密钥的安全，同时满足密钥管理策略。6.1.4.7.3 要求加强FIA_ACM.6对称密钥管理的加强要求包括：a) 现场测控设备应支持按照安全策略要求定期更新对称密钥；b) 现场测控设备应支持工控系统层面上的密钥管理体系，支持对密钥的分发、更新和撤销的实现。6.1.4.7.4 依赖要求FIA_ACM.6对称密钥管理的依赖要求是FIA_IAM.2。6.1.4.8 FIA_ACM.7密码服务失效6.1.4.8.1 要求如果使用基于密码的鉴别机制，工控系统现场测控设备的重要用户的现场访问不得依赖于外部密码服务。6.1.4.8.2 要求说明如果外部密码（如加密、密钥验证）服务不可用，可能导致测控设备拒绝服务。本地重要用户访问关键功能不应依靠外部验证服务。对于远程访问关键功能的情况，可酌情考虑使用。6.1.4.8.3 要求加强无。6.1.4.8.4 依赖要求FIA_ACM.7密码服务失效的依赖要求是FIA_IAM.2、FIA_ACM.5和FIA_ACM.6。6.1.5 FIA_LGM族：登录管理6.1.5.1 族描述工控系统现场测控设备登录管理主要包括对管理员、配置查看用户、配置修改用户等操控人员登录行为的成功、失败和登录历史等进行管理。6.1.5.2 FIA_LGM.1登录失败管理6.1.5.2.1 要求工控系统现场测控设备应该管理和记录操控人员自从最近的成功登录后的登录失败的次数和时间。6.1.5.2.2 要求说明主要对管理员等实现鉴别了的重要用户的登录失败行为进行管理。登录方式涵盖本地面板登录、通过私有配置软件登录、网络登录等方式。6.1.5.2.3 要求加强无。6.1.5.2.4 依赖要求FIA_LGM.1登录失败管理的依赖要求是FIA_IAM.2。6.1.5.3 FIA_LGM.2登录成功记录6.1.5.3.1 要求工控系统现场测控设备应该管理和记录操控人员最后一次登录成功的日期和时间。6.1.5.3.2 要求说明主要对管理员等实现鉴别了的重要用户的登录成功进行管理。登录方式包括本地面板登录、通过私有配置软件登录、网络登录等方式。6.1.5.3.3 要求加强无。6.1.5.3.4 依赖要求FIA_LGM.2登录成功记录的依赖要求是FIA_IAM.2。6.1.5.4 FIA_LGM.3登录历史6.1.5.4.1 要求用户验证成功后，工控系统现场测控设备应显示最近的登录成功的时间，及此后该账号登录失败的次数和时间。6.1.5.4.2 要求说明主要对管理员等实现鉴别了的重要用户的登录进行管理。登录方式涵盖本地面板登录、通过私有配置软件登录、网络登录等方式。6.1.5.4.3 要求加强无。6.1.5.4.4 依赖要求FIA_LGM.3登录历史的依赖要求是FIA_IAM.2和FIA_LGM.1。6.1.5.5 FIA_LGM.4多次登录失败6.1.5.5.1 要求当操控人员在一段时间内失败的登录尝试次数超过了安全策略中的规定值，现场测控设备应执行限制机制。6.1.5.5.2 要求说明限制机制包括对操控人员进行锁定、发出警报等。6.1.5.5.3 要求加强FIA_LGM.4多次登录失败的加强要求包括：a) 设备支持管理员对锁定前的登录失败次数和解锁方式进行配置。6.1.5.5.4 依赖要求FIA_LGM.4多次登录失败的依赖要求是FIA_IAM.2和FIA_LGM.1。6.1.5.6 FIA_LGM.5鉴别反馈6.1.5.6.1 要求现场测控设备应在鉴别过程中对鉴别的返回信息模糊化，以免非授权人员利用这些信息。6.1.5.6.2 要求说明反馈信息中不应包含未授权人员可以利用的危害鉴别机制的信息。6.1.5.6.3 要求加强无。6.1.5.6.4 依赖要求FIA_LGM.5鉴别反馈的依赖要求是FIA_IAM.2。6.2 FUC类：使用控制6.2.1 类描述使用控制的目的是为了保护设备，在用户发起请求之前，确定每个请求访问设备的用户标识和权限，根据权限执行所请求的操作，并进行控制和审计。6.2.2 FUC_ACA族：访问控制授权6.2.2.1 族描述工控系统现场测控设备为不同访问用户分配权限，只允许通过身份鉴别的用户访问已授权的资源。权限包括设备操控层面的运行数据查看、配置参数变更；系统应用层面的控制命令下发、定值下发、数据量采集。6.2.2.2 FUC_ACA.1权限管理6.2.2.2.1 要求现场测控设备应支持对权限的管理。6.2.2.2.2 要求说明需要授权的典型功能包括： 查看数据：查看数据是指查看设备的运行数据（电压、电流、功率、状态、报警等）。 查看配置设置：查看设备的配置（标值、通信地址、可编程的逻辑程序、固件版本号等）。 配置变更：下发和上传装置的配置文件，变更现有配置（如修改输入值、设定值、工艺参数值等）。 固件变更：对不需要变更其硬件的设备进行新固件加载。 帐户管理：创建、删除或修改帐户内容。 审计日志：查看或下载审计日志。 控制命令：上位机对设备下发控制命令。授权项管理包括：对于设备使用、配置人员和配置软件，依据配置、查看、审计等角色分配权限，进行权限管理；对于访问现场设备的其他设备或进程，对其发起采集或控制（功能）命令的权限进行管理。6.2.2.2.3 要求加强无。6.2.2.2.4 依赖要求无；6.2.2.3 FUC_ACA.2基于角色的访问控制6.2.2.3.1 要求现场测控设备的访问控制功能应提供支持基于角色的访问控制策略的能力。6.2.2.3.2 要求说明基于角色的访问控制，根据具体的用户访问权限级别来定义用户角色，用户在鉴别成功后被授予与所分配角色对应的权限。对于功能相对简单的设备，现场测控设备的用户角色和权限可在出厂时完成配置，如配置用户、查看用户、审计用户、FTP应用访问、控制上位机等角色。对于设备使用和配置用户，用户设置可固定，如只有一个查看用户、一个配置用户、一个审计用户和一个管理员用户。6.2.2.3.3 要求加强无。6.2.2.3.4 依赖要求FUC_ACA.2基于角色的访问控制的依赖要求是FIA_IAM.1。6.2.2.4 FUC_ACA.3管理员用户6.2.2.4.1 要求现场测控设备访问控制功能应支持管理员用户角色，管理员主要负责用户账户管理和安全功能管理。6.2.2.4.2 要求说明仅允许管理员角色权限建立和管理其他账号。对于功能简单的设备，管理员、配置用户和审计用户可由一个用户承担，不设置复杂的用户管理模式。系统运行中可采用“操作票”等管理手段实现用户和操作人员的对应关系。6.2.2.4.3 要求加强无。6.2.2.4.4 依赖要求FUC_ACA.3管理员用户的依赖要求是FIA_IAM.1、FUC_ACA.1和FUC_ACA.2。6.2.2.5 FUC_ACA.4最小权限原则6.2.2.5.1 要求用户仅具备完成任务所需的最小权限。6.2.2.5.2 要求说明新建的操控人员用户应由管理员来根据策略确定其权限。现场设备的对端设备（上位机或其他现场设备）对设备的访问也应基于最小权限，如只能访问某一服务端口、只能进行某一类操作。6.2.2.5.3 要求加强无。6.2.2.5.4 依赖要求FUC_ACA.4最小权限原则的依赖要求是FIA_IAM.1和FUC_ACA.1。6.2.2.6 FUC_ACA.5权限分离6.2.2.6.1 要求现场测控设备应支持用户修改重要参数或进行重要控制操作的权限分离管理。6.2.2.6.2 要求说明分权管理的典型过程是操作用户和审核用户合作获得访问设备数据或执行控制操作的权限。主要是针对重要操作流程的安全机制，实现重要控制操作的执行和确认。6.2.2.6.3 要求加强无。6.2.2.6.4 依赖要求FUC_ACA.5权限分离的依赖要求是FIA_IAM.1、FUC_ACA.1和FUC_ACA.2。6.2.3 FUC_SEC族：会话控制6.2.3.1 族描述工控系统现场测控设备对设备配置软件和操控人员用户会话进行控制，通过终止或锁定超时会话保证会话的安全性。6.2.3.2 FUC_SEC.1本地会话超时6.2.3.2.1 要求当操控人员通过本机控制面板与设备的会话在策略规定的一段时间内不活动，设备应锁定会话。6.2.3.2.2 要求说明会话锁定应一直保持到用户重新登录。6.2.3.2.3 要求加强FUC_SEC.1本地会话超时的加强要求包括：a) 设备支持管理员对会话锁定前的不活动时间进行配置。6.2.3.2.4 依赖要求无。6.2.3.3 FUC_SEC.2网络会话超时6.2.3.3.1 要求工控系统现场测控设备应在设备配置用户或配置软件与设备的会话在策略规定的一段时间内不活动时，对会话进行终止。6.2.3.3.2 要求说明网络会话超时终止主要用于设备配置用户的网络访问，特别是远程访问，不对上位机进程进行限制。如果会话建立途经网络是具有完备物理访问控制机制的可信网络，也可依照本地会话超时进行控制。6.2.3.3.3 要求加强FUC_SEC.2网络会话超时的加强要求包括：a) 设备支持管理员对会话终止前的不活动时间进行配置。6.2.3.3.4 依赖要求无。6.2.4 FUC_ATC族：审计踪迹产生6.2.4.1 族描述工控系统现场测控设备对安全性事件和重要生产活动的进行审计，对于修正错误、事故恢复、事件调查等相关工作。6.2.4.2 FUC_ATC.1审计事件6.2.4.2.1 要求工控系统现场测控设备应具备审计功能，对重要的安全性事件和重要生产活动进行审计。6.2.4.2.2 要求说明管理层面上，应根据设备和设备运行环境的风险评估结果决定需要审计的事件。典型的重要设备操作事件包括： 登录成功：操控人员成功本地/远程登录设备； 非法登录尝试：操控人员连续多次输入口令错误； 正常退出：操控人员发起的退出； 超时退出：在预先定义好的一段时间内不活动，系统注销操控人员此次登陆； 访问配置：将配置文件从设备下载存储到外部设备中（例如，计算机，记忆棒，光盘）； 配置更改：在设备中传入新配置或者通过面板输入新配置参数，使设备的配置发生改变； 固件更换：在内存中增加新的设备运行固件； 创建用户名/口令或更改：创建新的操控人员用户名/口令或者修改权限； 删除用户名/口令：删除操控人员用户名/口令； 访问审计踪迹：操控人员查看日志或将日志保存在外部设备或存储空间（计算机、内存条、光盘）； 修改时间/日期：用户修改时间和日期。典型的重要生产活动包括： 参数修改：上位机或其它设备修改设备的开关量、档位等参数； 设备重启：由于断电、按下重启按钮、修改上电顺序或配置修改导致的设备重启； 非法连接尝试：不符合访问控制策略的连接尝试，如连接非法的IP、MAC或不允许访问的端口。审计事件要与设备具备并开启的安全功能相对应，如不具备访问控制功能的设备不需要记录“非法连接尝试”事件。6.2.4.2.3 要求加强FUC_ATC.1审计事件的加强要求包括：a) 设备支持管理员对需要审计的事件清单进行配置。6.2.4.2.4 依赖要求FUC_ATC.1审计事件的依赖要求是FIA_LGM.2、FIA_LGM.4、FRF_NAC.2和FRA_BUC.1。6.2.4.3 FUC_ATC.2审计踪迹的内容6.2.4.3.1 要求工控系统现场测控设备或承担审计功能的组件，其审计踪迹中应包含足够的可用于追踪与分析安全事件的内容。6.2.4.3.2 要求说明根据审计踪迹，用户能够确定有哪些事件发生，事件发生时间，事件来源和事件结果。大多数审计踪迹内容包括： 事件的日期和时间； 事件的来源（例如，用户ID、应用地址、设备IP等）； 事件的操作； 事件的结果（成功或失败）。6.2.4.3.3 要求加强FUC_ATC.2审计踪迹的内容的加强要求包括：a) 设备支持管理员对审计踪迹的内容进行配置。6.2.4.3.4 依赖要求FUC_ATC.2审计踪迹的内容的依赖要求是FUC_ATC.1。6.2.4.4 FUC_ATC.3审计的时间戳6.2.4.4.1 要求工控系统现场测控设备或承担审计功能的组件，其审计踪迹的时间应基于“系统时间”。6.2.4.4.2 要求说明系统时间是指工控系统内同步的时间，以便各种来源的事件都可以准确地和一个时间基准比对，准确地判断事故。6.2.4.4.3 要求加强无。6.2.4.4.4 依赖要求无。6.2.4.5 FUC_ATC.4用户关联6.2.4.5.1 要求工控系统现场测控设备或承担审计功能的组件，其记录的每个审计事件都应与引起该事件的用户相关联。6.2.4.5.2 要求说明无。6.2.4.5.3 要求加强无。6.2.4.5.4 依赖要求FUC_ATC.4用户关联的依赖要求是FIA_IAM.1。6.2.5 FUC_ATS族：审计踪迹存储6.2.5.1 族描述工控系统现场测控设备存储并保护安全性事件和重要生产活动的审计踪迹，分析时获得足够的、正确的信息。6.2.5.2 FUC_ATS.1审计存储容量6.2.5.2.1 要求工控系统现场测控设备应具备一定的审计踪迹存储容量。6.2.5.2.2 要求说明如果由工控系统现场测控设备自身完成审计功能，那么设备能维护一个大小合理的存储空间，在满足审计功能的同时，保证不影响设备的可用性。6.2.5.2.3 要求加强无。6.2.5.2.4 依赖要求无。6.2.5.3 FUC_ATS.2审计功能异常6.2.5.3.1 要求工控系统现场测控设备或从事审计功能的组件应在审计失败时发出适当的告警。6.2.5.3.2 要求说明告警的方式如警示灯、鸣笛等。审计处理失败包括软件或硬件错误、生成审计踪迹过程中的错误、审计踪迹存储空间满载等。6.2.5.3.3 要求加强FUC_ATS.2审计功能异常的加强要求包括：a) 设备支持管理员配置设备在审计踪迹存储空间满载时可自动执行的操作，如覆盖旧的审计踪迹或停止生成审计踪迹等。6.2.5.3.4 依赖要求FUC_ATS.2审计功能异常的依赖要求是FUC_ATS.1。6.2.5.4 FUC_ATS.3审计踪迹保护6.2.5.4.1 要求工控系统现场测控设备或从事审计功能的组件应保护审计踪迹和审计工具不被非授权访问、修改或删除。6.2.5.4.2 要求说明应保证只有授权用户可对审计踪迹进行操作。可通过增加校验码实现审计踪迹的防篡改。6.2.5.4.3 要求加强FUC_ATS.3审计踪迹保护的加强要求包括：a) 设备为审计踪迹提供基于密码的保护功能。6.2.5.4.4 依赖要求FUC_ATS.3审计踪迹保护的依赖要求是FUC_ACA.1。6.2.6 FUC_ATR族：审计踪迹访问6.2.6.1 族描述工控系统现场测控设备支持用户对审计踪迹进行访问，便于查看、分析和集中处理。6.2.6.2 FUC_ATR.1审计踪迹读取6.2.6.2.1 要求工控系统现场测控设备或从事审计功能的组件应保证以便于用户理解的方式提供审计踪迹，且只有授权用户可读取审计踪迹。6.2.6.2.2 要求说明只有授权用户具备获得和解释审计踪迹的能力。用户是操控人员时，信息必须以可理解的方式表示；用户为外部IT实体时，信息必须以电子方式无歧义的表示。6.2.6.2.3 要求加强无。6.2.6.2.4 依赖要求FUC_ATR.1审计踪迹读取的依赖要求是FUC_ACA.1和FUC_ATS.3。6.2.6.3 FUC_ATR.2审计踪迹报送6.2.6.3.1 要求工控系统现场测控设备或承担审计功能的组件应能够将自身审计踪迹发送给其它设备进行更高级别的审计。6.2.6.3.2 要求说明由于嵌入式设备的审计踪迹存储容量是有限的，宜从系统层面使用工具对系统范围内所有设备和主机的审计踪迹进行过滤和分析，设备的审计踪迹格式应是统一的。6.2.6.3.3 要求加强无。6.2.6.3.4 依赖要求无。6.2.6.4 FUC_ATR.3审计报告6.2.6.4.1 要求工控系统现场测控设备或承担审计功能的组件应具备审计归纳和报告功能，以实现对审计踪迹的归纳、审查。报告工具支持在不改变原始审计踪迹的情况下作安全事件的事后调查。6.2.6.4.2 要求说明一般情况下，审计踪迹的归纳和报告的生成会在一个独立的信息系统中执行，比如在系统范围审计工具中实现。6.2.6.4.3 要求加强无。6.2.6.4.4 依赖要求FUC_ATR.3审计报告的依赖要求是FUC_ATR.2。6.3 FDI类：数据完整性6.3.1 类描述对数据的完整性进行保护的目的是防止数据被篡改，主要防护对象是危险的开放环境中传输的数据或存储的数据。6.3.2 FDI_DSI族：数据存储完整性6.3.2.1 族描述在工控系统现场测控设备上对存储数据的完整性进行保护，防止软件和信息被未授权篡改。 6.3.2.2 FDI_DSI.1安全功能检测6.3.2.2.1 要求工控系统现场测控设备应具备机制验证安全保护功能的执行情况，在发生异常情况时发出报告。6.3.2.2.2 要求说明对于不具备安全功能自检的设备，应具备其他补偿机制或者判定风险是可接收的。设备厂商或集成商应提供如何测试所设计的安全措施的指南。6.3.2.2.3 要求加强FDI_DSI.1安全功能检测的加强要求包括：a) 设备提供接口并支持工控系统层面的整体安全功能自动验证与报警。6.3.2.2.4 依赖要求FDI_DSI.1安全功能检测的依赖要求是FUC_ATC.1。6.3.2.3 FDI_DSI.2异常处理6.3.2.3.1 要求工控系统现场测控设备应识别和处理异常情况并迅速产生安全相关错误消息。6.3.2.3.2 要求说明错误消息中应