1 范围

      本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求、自身安全要求和安全保障要求。

      本标准适用于工业控制网络安全隔离与信息交换系统的设计、开发及测试。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技术要求

      GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求

      GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语

      GB/T 25069-2010 信息安全技术 术语

3 术语和定义

      GB/T 20279-2015、GB/T 20438.4-2017和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      工业控制系统 industrial control system；ICS

      工业控制系统（ICS）是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）和其他较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。

      ［GB/T 32919-2016，定义3.1］

3.2

      工业控制协议 industrial control protocol

      工业控制系统中，上位机与控制设备之间，以及控制设备与控制设备之间的通信报文规约。注：通常包括模拟量和数字量的读写控制。

3.3

      工业控制网络安全隔离与信息交换系统 industrial control system security isolation andinformation ferry system

      部署于工业控制网络中不同的安全域之间，采用协议隔离技术实现两个安全域之间访问控制、协议转换、内容过滤和信息交换等功能的产品。

4 缩略语

      下列缩略语适用于本文件。

      MAC：媒体接入控制（Media Access Control）

      OPC：用于过程控制的对象链接与嵌入（Object Linking and Embedding for Process Control）

5 产品描述

      工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界，保护的资产为工业控制网络；或者部署在生产管理层与过程监控层之间，保护的资产为过程监控层网络及现场控制层网络。此外，工业控制网络安全隔离与信息交换系统本身及其内部的重要数据也是受保护的资产。

      工业控制网络安全隔离与信息交换系统一般以二主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。其中，专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机。工业控制网络安全隔离与信息交换系统中的内、外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁剪了TCP/IP等公共网络协议栈，采用私有协议实现公共协议隔离。专用隔离部件通常有两种实现方式：一是采用私有协议以逻辑方式实现协议隔离和信息传输；二是采用一组互斥的分时切换电子开关实现内部物理信道的通断控制，以分时切换连接方式完成信息摆渡，从而在两个安全域之间形成一个不存在实时物理连接的隔离区。

      本标准将工业控制网络安全隔离与信息交换系统安全技术要求分为安全功能、自身安全要求和安全保障要求三个大类。安全功能要求、自身安全要求和安全保障要求分为基本级和增强级，与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“黑体”表示。

6 安全技术要求

6.1 基本级安全技术要求

6.1.1 安全功能要求

6.1.1.1 访问控制

6.1.1.1.1 基于白名单的访问控制

      产品应采用白名单的访问控制策略，即非访问控制策略明确允许的访问，需默认禁止。

6.1.1.1.2 网络层访问控制

      产品应支持基于源IP、源端口、目的IP、目的端口、传输层协议等要求进行访问控制。

6.1.1.1.3 应用层访问控制

      产品应支持应用层的访问控制：

      a）支持HTTP、FTP、TELNET等应用的识别与访问控制；

      b）至少支持一种工业控制协议的访问控制。

6.1.1.1.4 工业控制协议深度检查

      产品应支持对工业控制协议内容进行深度分析和访问控制：

      a）对所支持的工业控制协议进行协议规约检查，明确拒绝不符合协议规约的访问；

      b）应支持对工业控制协议的操作类型、操作对象、操作范围等参数进行访问控制；

      c）若支持OPC协议：应支持基于控制点名称、读写操作等要素进行控制；

      d）若支持ModbusTCP协议：应支持基于设备ID、功能码类型、读写操作、寄存器地址、控制值范围等要素进行控制。

6.1.1.2 协议隔离

      所有主客体之间发送和接收的信息流均执行网络层协议剥离，还原成应用层数据，在两机之间以非TCP/IP的私有协议格式传输。

6.1.1.3 残余信息保护

      在为所有内部或外部网络上的主机连接进行资源分配时，安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容。

6.1.1.4 不可旁路

      在与安全有关的操作（例如安全属性的修改、内部网络主机向外部网络主机传送信息等）被允许执行之前，安全功能应确保其通过安全功能策略的检查。

6.1.1.5 抗攻击

      产品应具备抵御SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、Pingofdeath攻击等典型拒绝服务攻击能力。

6.1.2 自身安全要求

6.1.2.1 标识和鉴别

6.1.2.1.1 唯一性标识

      产品应保证任何用户都具有唯一的标识。

6.1.2.1.2 管理员属性定义

      产品应为每个管理员规定与之相关的安全属性，如管理员标识、鉴别信息、隶属组、权限等，并提供使用默认值对创建的每个管理员的属性进行初始化的功能。

6.1.2.1.3 基本鉴别

      产品应保证任何用户在执行安全功能前都要进行身份鉴别。

6.1.2.1.4 鉴别失败处理

      产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超过阈值，系统应通过技术手段阻止管理员的进一步鉴别请求。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37934-2019 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》