国产一区二区黑丝美女_国产91透明丝袜美腿在线_99成人在线观看_久久精品欧美日韩精品

您好!歡迎光臨共立消防科技(廣東)有限公司,我們竭誠為您提供優質服務!

專注消防維保檢(jian)測

打造消防服務行業卓越品牌(pai)

消防檢(jian)測維(wei)保(bao)服務熱線:

當前位置: 主頁 > 消防資訊 > 安全標準

GB/T 37934-2019 信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求

  • 發表時間:2023-03-22
  • 來源:共立消防
  • 人氣:

1 范圍

      本標準規定了工業控制網絡安(an)全(quan)(quan)隔離與信息交換系(xi)統的安(an)全(quan)(quan)功能要(yao)求(qiu)、自身安(an)全(quan)(quan)要(yao)求(qiu)和(he)安(an)全(quan)(quan)保障要(yao)求(qiu)。

  ;    本標準適(shi)用于工業控制網絡(luo)安全隔離與信息交換系統的設計、開發及測試。

2 規范性引(yin)用文(wen)件

   ;   下(xia)列文(wen)件(jian)(jian)對于(yu)本文(wen)件(jian)(jian)的應用(yong)(yong)(yong)是(shi)必不(bu)(bu)可(ke)少的。凡是(shi)注(zhu)日期的引用(yong)(yong)(yong)文(wen)件(jian)(jian),僅注(zhu)日期的版本適(shi)(shi)用(yong)(yong)(yong)于(yu)本文(wen)件(jian)(jian)。凡是(shi)不(bu)(bu)注(zhu)日期的引用(yong)(yong)(yong)文(wen)件(jian)(jian),其最新版本(包括所有的修改單)適(shi)(shi)用(yong)(yong)(yong)于(yu)本文(wen)件(jian)(jian)。

      GB/T 20279-2015 信(xin)息安(an)全技(ji)術 網絡和終端(duan)隔離產品(pin)安(an)全技(ji)術要求(qiu)

      GB/T 20438.3-2017 電氣/電子/可編(bian)程(cheng)電子安全相關系統的功能安全 第(di)3部分:軟件要求

      GB/T 20438.4-2017 電(dian)氣/電(dian)子(zi)/可編程(cheng)電(dian)子(zi)安全相關系(xi)統(tong)的功能安全 第4部(bu)分:定義(yi)和(he)縮略語

      GB/T 25069-2010 信息安(an)全技術 術語

3 術語和定義

      GB/T 20279-2015、GB/T 20438.4-2017和GB/T 25069-2010界定的以及下列術語和定義(yi)適用(yong)于本(ben)文件。

3.1

      工業控(kong)制系統 industrial control system;ICS

      工(gong)業(ye)控(kong)制系統(tong)(ICS)是(shi)一個通用(yong)(yong)術語,它(ta)包括多種工(gong)業(ye)生產中使用(yong)(yong)的控(kong)制系統(tong),包括監(jian)控(kong)和數據采集(ji)系統(tong)(SCADA)、分布式控(kong)制系統(tong)(DCS)和其他較小(xiao)的控(kong)制系統(tong),如可編程邏輯控(kong)制器(PLC),現已廣泛應用(yong)(yong)在工(gong)業(ye)部門和關(guan)鍵基礎設施中。

      [GB/T 32919-2016,定義3.1]

3.2

      工業控制協議 industrial control protocol

      工業控制系統(tong)中,上位機與(yu)控制設(she)備(bei)之間(jian),以及控制設(she)備(bei)與(yu)控制設(she)備(bei)之間(jian)的(de)通信報文(wen)規約(yue)。注:通常包括模擬量(liang)和數字量(liang)的(de)讀寫(xie)控制。

3.3

      工業控制網絡安(an)全隔離與信息交換系統(tong) industrial control system security isolation andinformation ferry system

      部(bu)署于工(gong)業控制網絡中不同的安(an)全域之間,采(cai)用協議隔離技術實(shi)現(xian)兩個安(an)全域之間訪問控制、協議轉換、內容過濾和(he)信息交換等功能的產品。

4 縮略(lve)語(yu)

    ;  下(xia)列(lie)縮略(lve)語適(shi)用于(yu)本文件。

      MAC:媒體接入控制(Media Access Control)

   ;   OPC:用(yong)于過(guo)程控制的對象鏈(lian)接與嵌(qian)入(Object Linking and Embedding for Process Control)

5 產(chan)品描(miao)述

      工(gong)業控制網(wang)絡(luo)(luo)安全隔離與信息交(jiao)(jiao)換系統(tong)(tong)通常部署(shu)在(zai)工(gong)業控制網(wang)絡(luo)(luo)邊界,保護(hu)的(de)資(zi)產(chan)為(wei)工(gong)業控制網(wang)絡(luo)(luo);或者部署(shu)在(zai)生產(chan)管理層與過程監控層之間(jian),保護(hu)的(de)資(zi)產(chan)為(wei)過程監控層網(wang)絡(luo)(luo)及現場控制層網(wang)絡(luo)(luo)。此外,工(gong)業控制網(wang)絡(luo)(luo)安全隔離與信息交(jiao)(jiao)換系統(tong)(tong)本身及其內部的(de)重要(yao)數(shu)據(ju)也是(shi)受保護(hu)的(de)資(zi)產(chan)。

      工業控(kong)制(zhi)(zhi)(zhi)(zhi)網絡安(an)全隔(ge)(ge)離(li)(li)與信(xin)(xin)息交(jiao)換(huan)系統(tong)一(yi)般以(yi)二主(zhu)機(ji)加(jia)專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)的(de)(de)(de)方(fang)式組(zu)成(cheng)(cheng)(cheng),即由內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)處理單元、外部(bu)(bu)(bu)(bu)(bu)處理單元和(he)專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)組(zu)成(cheng)(cheng)(cheng)。其中,專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)既(ji)可以(yi)是采用(yong)(yong)(yong)包(bao)含電(dian)子開關(guan)并(bing)固(gu)化信(xin)(xin)息擺渡控(kong)制(zhi)(zhi)(zhi)(zhi)邏輯的(de)(de)(de)專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)芯片構成(cheng)(cheng)(cheng)的(de)(de)(de)隔(ge)(ge)離(li)(li)交(jiao)換(huan)板卡,也(ye)可以(yi)是經過(guo)安(an)全強化的(de)(de)(de)運行專(zhuan)(zhuan)用(yong)(yong)(yong)信(xin)(xin)息傳輸邏輯控(kong)制(zhi)(zhi)(zhi)(zhi)程序(xu)的(de)(de)(de)主(zhu)機(ji)。工業控(kong)制(zhi)(zhi)(zhi)(zhi)網絡安(an)全隔(ge)(ge)離(li)(li)與信(xin)(xin)息交(jiao)換(huan)系統(tong)中的(de)(de)(de)內(nei)(nei)、外部(bu)(bu)(bu)(bu)(bu)處理單元通(tong)(tong)過(guo)專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)相連,專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)是兩個(ge)(ge)安(an)全域之間(jian)唯一(yi)的(de)(de)(de)可信(xin)(xin)物理信(xin)(xin)道。該(gai)內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)信(xin)(xin)道裁剪了TCP/IP等公共(gong)網絡協議(yi)棧,采用(yong)(yong)(yong)私有(you)協議(yi)實(shi)現公共(gong)協議(yi)隔(ge)(ge)離(li)(li)。專(zhuan)(zhuan)用(yong)(yong)(yong)隔(ge)(ge)離(li)(li)部(bu)(bu)(bu)(bu)(bu)件(jian)(jian)(jian)通(tong)(tong)常有(you)兩種實(shi)現方(fang)式:一(yi)是采用(yong)(yong)(yong)私有(you)協議(yi)以(yi)邏輯方(fang)式實(shi)現協議(yi)隔(ge)(ge)離(li)(li)和(he)信(xin)(xin)息傳輸;二是采用(yong)(yong)(yong)一(yi)組(zu)互斥的(de)(de)(de)分(fen)時切換(huan)電(dian)子開關(guan)實(shi)現內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)物理信(xin)(xin)道的(de)(de)(de)通(tong)(tong)斷控(kong)制(zhi)(zhi)(zhi)(zhi),以(yi)分(fen)時切換(huan)連接方(fang)式完(wan)成(cheng)(cheng)(cheng)信(xin)(xin)息擺渡,從而在兩個(ge)(ge)安(an)全域之間(jian)形成(cheng)(cheng)(cheng)一(yi)個(ge)(ge)不存在實(shi)時物理連接的(de)(de)(de)隔(ge)(ge)離(li)(li)區。

      本(ben)標準將工(gong)業(ye)控制(zhi)網(wang)絡安(an)全(quan)(quan)隔離與信息交換系統安(an)全(quan)(quan)技術要(yao)求(qiu)(qiu)分(fen)為安(an)全(quan)(quan)功能、自身安(an)全(quan)(quan)要(yao)求(qiu)(qiu)和(he)安(an)全(quan)(quan)保障(zhang)要(yao)求(qiu)(qiu)三(san)個大類。安(an)全(quan)(quan)功能要(yao)求(qiu)(qiu)、自身安(an)全(quan)(quan)要(yao)求(qiu)(qiu)和(he)安(an)全(quan)(quan)保障(zhang)要(yao)求(qiu)(qiu)分(fen)為基本(ben)級(ji)和(he)增(zeng)(zeng)強(qiang)級(ji),與基本(ben)級(ji)內容(rong)相比(bi),增(zeng)(zeng)強(qiang)級(ji)中要(yao)求(qiu)(qiu)有所增(zeng)(zeng)加或變(bian)更的內容(rong)在正文中通過(guo)“黑體”表示。

6 安全技(ji)術要求

6.1 基(ji)本級安全技術(shu)要求(qiu)

6.1.1 安全(quan)功能要求

6.1.1.1 訪問控制

6.1.1.1.1 基于白名單的訪問控制

      產品應采用白名單的訪問控(kong)制(zhi)策略,即非訪問控(kong)制(zhi)策略明確允許的訪問,需(xu)默認禁(jin)止(zhi)。

6.1.1.1.2 網絡層訪問控制

      產(chan)品(pin)應支持基于源(yuan)IP、源(yuan)端口、目的IP、目的端口、傳輸層協議(yi)等要求(qiu)進行訪問控制。

6.1.1.1.3 應用層(ceng)訪(fang)問(wen)控制

      產(chan)品應支持應用(yong)層的訪問控制:

   ;   a)支持HTTP、FTP、TELNET等應(ying)用的識別與訪(fang)問(wen)控制;

      b)至少支(zhi)持一種工業控(kong)(kong)制(zhi)協議的訪(fang)問控(kong)(kong)制(zhi)。

6.1.1.1.4 工業控(kong)制協議深度檢查

      產品應支持對(dui)工(gong)業控制協議內容進行深度分析和(he)訪問控制:

      a)對所支持的工業控制(zhi)協(xie)議進行協(xie)議規(gui)約(yue)檢查,明確拒絕不符合協(xie)議規(gui)約(yue)的訪(fang)問;

      b)應支(zhi)持對工業控制協議的操(cao)作類(lei)型、操(cao)作對象、操(cao)作范(fan)圍等參數進行訪問控制;

      c)若支持OPC協(xie)議:應支持基于控制點名稱、讀(du)寫操作等要素進行(xing)控制;

      d)若(ruo)支持ModbusTCP協議:應(ying)支持基于設備ID、功能碼類型(xing)、讀寫(xie)操(cao)作、寄存器地址(zhi)、控制(zhi)值范(fan)圍等要素進(jin)行控制(zhi)。

6.1.1.2 協議隔離

      所有(you)主(zhu)客體之(zhi)間(jian)發送和(he)接收的信息流均執行網(wang)絡層協議(yi)剝(bo)離,還(huan)原成應用層數據,在兩(liang)機之(zhi)間(jian)以非TCP/IP的私有(you)協議(yi)格式傳(chuan)輸。

6.1.1.3 殘余信息保護(hu)

      在為所有內部(bu)(bu)或外部(bu)(bu)網絡上(shang)的(de)主機連接(jie)進行資(zi)源(yuan)分配(pei)時(shi),安全功能應(ying)保(bao)證其分配(pei)的(de)資(zi)源(yuan)中(zhong)不提供(gong)以(yi)前連接(jie)活動(dong)中(zhong)所產生(sheng)的(de)任何信息(xi)內容。

6.1.1.4 不可旁路

      在與安(an)全(quan)有關(guan)的操作(例如安(an)全(quan)屬性的修改、內部網絡主機向外(wai)部網絡主機傳送(song)信息等)被允(yun)許執行之(zhi)前,安(an)全(quan)功能應(ying)確保(bao)其通過安(an)全(quan)功能策略的檢查。

6.1.1.5 抗攻擊

      產(chan)品應具備抵御SYN Flood攻(gong)擊(ji)、UDP Flood攻(gong)擊(ji)、ICMP Flood攻(gong)擊(ji)、Pingofdeath攻(gong)擊(ji)等典型拒絕(jue)服務攻(gong)擊(ji)能(neng)力。

6.1.2 自身安全要求

6.1.2.1 標識和鑒(jian)別

6.1.2.1.1 唯(wei)一性標識

      產(chan)品應保證任何用戶都具(ju)有唯一的標識(shi)。

6.1.2.1.2 管理員屬性定義(yi)

      產(chan)品應為每個(ge)管理員(yuan)規(gui)定與之相關的(de)(de)安全(quan)屬性(xing),如管理員(yuan)標識、鑒別信息、隸屬組、權限等(deng),并提供使用默認值(zhi)對創建的(de)(de)每個(ge)管理員(yuan)的(de)(de)屬性(xing)進(jin)行初(chu)始化的(de)(de)功能。

6.1.2.1.3 基本鑒別

      產品應保證(zheng)任何(he)用戶在(zai)執行安全功(gong)能前(qian)都要進行身份(fen)鑒別(bie)。

6.1.2.1.4 鑒別失敗(bai)處理

      產品應為管理員(yuan)登錄(lu)設定一個授(shou)權管理員(yuan)可修改(gai)的(de)(de)鑒別嘗試閾(yu)值,當(dang)管理員(yuan)的(de)(de)不成功登錄(lu)嘗試超過閾(yu)值,系(xi)統應通(tong)過技術手段阻止管理員(yuan)的(de)(de)進一步(bu)鑒別請求。


以(yi)上為標(biao)準部分內容,如需看標(biao)準全文(wen),請到相關授權網(wang)站購買標(biao)準正版。

推薦產品
  • IG541混合氣體滅火系統 IG541混合氣體滅火系統
    IG541混合氣體滅火系統:IG-541滅火系統采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
  • 二氧化碳氣體滅火系統 二氧化碳氣體滅火系統
    二氧化碳氣體滅火系統:二氧化碳氣體滅火系統由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅動氣體瓶組、電磁驅動
  • 七氟丙烷滅火系統 七氟丙烷滅火系統
    七氟丙烷(HFC—227ea)滅火系統是一種高效能的滅火設備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
  • 手提式干粉滅火器 手提式干粉滅火器
    手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應選擇在上風方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應一手緊握噴槍、另一手提起儲氣瓶上的