1、书 书 书犐 犆犛 犔?犌犅犜?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犆狅犿犿狅 狀犮 狉 犻 狋 犲 狉 犻 犪犳 狅 狉犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿狆 狉 狅 犱 狌 犮 狋 狊狊 犲 犮 狌 狉 犻 狋 狔?目次前言范围规范性引用文件术语和定义缩略语概述评估对象扩展组件定义 安全组件扩展列表 安全功能组件扩展定义 安全保障组件扩展定义 工业控制系统产品安全要求 安全功能要求 安全保障要求 工业控制系统产品评估准则 评估模型 评估方法 评估内容 附录(资料性附录)工业
2、控制系统产品与传统产品的差异 附录(资料性附录)安全问题定义 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会()提出并归口。本标准起草单位:中国信息安全测评中心、上海三零卫士信息安全有限公司、北京匡恩网络科技有限责任公司、中国电子信息产业集团有限公司第六研究所、北京江南天安科技有限公司、北京交通大学、网神信息技术(北京)股份有限公司。本标准主要起草人:邸丽清、李斌、张普含、谢丰、李智林、谢新勤、张大江、王峥、陈冠直、高洋、伊胜伟、张尼、燕飞、李航。犌犅犜 信息安全技术工业控制系
3、统产品信息安全通用评估准则范围本标准定义了工业控制系统产品信息安全评估的通用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则。本标准适用于工业控制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息技术安全技术信息技术安全评估准则第部分:简介和一般模型 信息技术安全技术信息技术安全评估准则第部分:安全功能组件 信息技术安全技术信息技术安全评估准则第部分:安全保障组件 信息安全技
4、术术语 信息技术安全技术信息技术安全性评估方法术语和定义 和 界定的以及下列术语和定义适用于本文件。工业控制系统犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿多种工业生产中使用的控制系统。注:包括监控和数据采集系统()、分布式控制系统()、可编程逻辑控制器()等,现已广泛应用在工业部门和关键基础设施中。注:改写 ,定义。工控上位机犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾犺 狅 狊 狋在工业控制环境中,管理、控制工业控制设备的主机。注:通常运行通用的操作系统,如 、等。工业控制设备犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋
5、狉 狅 犾犱 犲 狏 犻 犮 犲对工业生产过程及装置进行检测与控制的设备。工业控制协议犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狆 狉 狅 狋 狅 犮 狅 犾工业控制系统中,工控上位机与工业控制设备之间以及工业控制设备与工业控制设备之间的通信报文规约。犌犅犜 注:通常包括模拟量和数字量的读写控制。缩略语 界定的以及下列缩略语适用于本文件。:配置管理():分布式控制系统():评估技术报告():人机界面():工业控制系统():信息技术():可编程逻辑控制器():远程终端单元():安全目标():安全功能要求():评估对象():安全功能():接口()概述本标准主要包括评估对象、扩
6、展组件定义、工业控制系统产品安全要求和工业控制系统产品安全评估准则等。本标准凡涉及采用密码技术解决机密性、完整性、真实性、不可否认性的应遵循密码相关国家标准和行业标准。第章描述了本标准适用的评估对象,包括但不限于 控制类产品和 网络安全类产品。第章参考 安全功能组件、安全保障组件相关要求,围绕 产品与传统产品的差异(参见附录),针对 产品的特性,对组件进行了扩展和重新定义,扩展和重新定义组件在组件名称后加上“”表示,对新增扩展组件要求的描述用粗体表示,对组件要求中选择赋值的选项用斜体表示。第章基于安全问题(参见附录)定义了适用于 产品的通用安全要求,开发者根据的预期使用环境及边界定义,根据威胁
7、分析结果选择适用的安全功能要求和安全保障等级。在选择安全功能组件时,应考虑到组件的依赖关系。第章描述了工业控制系统产品评估准则。评估对象本标准适用于采用信息技术的工业控制系统产品,产品类型包括但不限于:)控制类产品:、等;)网络安全类产品:工控防火墙、网闸、主机防护设备、监测审计设备等。被定义为一组可能包含指南的软件、固件和或硬件的集合。的定义较灵活,未局限于公共理解的工业控制系统产品,可以是一个产品、一个产品的一部分、一种不可能形成产品的独特技术等。因此对于的范围确定尤为重要,对只包含产品某部分的评估不应与整个产品的评估相混淆。对于产品不涉及信息技术的部分可以不纳入评估范围,如对于未采用通信
8、及信息处理等信犌犅犜 息技术的工业控制系统执行机构等产品是不适合作为评估对象的。对于存在多种方法配置的产品,如以不同的方法安装、使用不同的启用或禁用选项等,应明确的安全配置,其中每种配置应满足的指定要求,并写入指南文档,指南(仅允许一种配置或在安全相关方面没有不同的配置)通常与产品指南(允许多种配置)有所不同。扩展组件定义 安全组件扩展列表安全功能组件扩展如表所示。表安全功能扩展组件列表安全功能类组件标识符组件名称类:安全审计 基于白名单策略的异常检测 工业控制协议解析 审计数据报送类:用户数据保护 输入数据验证 输入数据双重确认 软件固件和信息完整性 存储数据保密性 与外部实体传送数据完整性
9、 内部传送数据完整性 与外部实体传送数据保密性 内部传送数据保密性 类:标识和鉴别 外部实体鉴别 唯一性标识类:保护 物理环境要求 物理篡改防护 确定性输出 时间同步类:资源利用 数据备份安全保障组件扩展如表所示。表安全保障扩展组件列表安全保障类组件标识符组件名称类:测试 测试人员 独立的测试人员犌犅犜 安全功能组件扩展定义 安全审计分析(犉犃犝犛犃犃)类别所属类别为 中定义的类:安全审计。族行为本族定义了一些采用自动化手段分析系统活动和审计数据以寻找可能的或真正的安全侵害的要求。这种分析通过入侵检测来实现,或对潜在的安全侵害作出自动响应。基于检测而采取的动作,可用“安全审计自动响应”族来规范
10、。的基于白名单的监视探测保护策略与原有的“基于轮廓的异常检测”不同,其内容不仅包含用户操作行为,还包括进程、信息流等其他实体,故扩展了组件“基于白名单策略的异常监测”。基于 状态数据和通信数据进行行为分析前,需要对工业控制协议进行解析,本族扩展了组件“工业控制协议解析”。组件层次“基于白名单策略的异常监测”,提供基于信任列表的对异常行为进行监测的能力。“工业控制协议解析”,要求具备解析工业控制协议的能力。犉犃犝犛犃犃犈犡犜 管理中的管理功能可考虑下列行为:对信任列表的维护(添加、修改、删除)。犉犃犝犛犃犃犈犡犜 管理尚无预见的管理活动。犉犃犝犛犃犃犈犡犜 审计如果中包含“安全审计数据产生”,下
11、列行为应是可审计的:)最小级:开启和关闭任何分析机制;)最小级:通过工具软件实现自动响应。犉犃犝犛犃犃犈犡犜 审计尚无预见的可审计事件。犉犃犝犛犃犃犈犡犜 基于白名单策略的异常检测从属于:无其他组件。依赖关系:无依赖关系。犉犃犝犛犃犃犈犡犜 犜犛 犉应能定义和维护基于赋值:被信任的实体的信任列表,并仅允许符合信任列表要求的行为通过,一旦检测到异常,应采取赋值:动作列表。应用说明:)被信任的实体可以是应用程序、用户组、信息流特征等;犌犅犜 )动作列表可以赋值无。犉犃犝犛犃犃犈犡犜 工业控制协议解析从属于:无其他组件。依赖关系:无依赖关系。犉犃犝犛犃犃犈犡犜 犜犛 犉应支持赋值:工业控制协议名称的
12、解析,解析协议的深度包括选择:工业控制协议的协议名称、指令格式、指令类型和指令参数、赋值:其他参数。应用说明:)常见的工业控制协议包括(但不限于)协议、协议、协议、协议、协议、协议、协议和 协议等;互联网协议主要包括(但不限于)、等协议。除上述协议外,还可以支持串行总线网络、工业无线网络、工业互联网等与 网络技术不同的协议。)赋值协议名称可以是一种或多种。)选择可以选择一个或多个。安全审计查阅(犉犃犝犛犃犚)类别所属类别为 中定义的类:安全审计。族行为本族定义了一些有关审计工具的要求,授权用户可使用这些审计工具查阅审计数据。由于部分 产品存储和处理能力有限,可采用集中审计模式,本族扩展了“审计
13、数据报送”组件。组件层次“审计数据报送”,可将审计发数据报送给其他设备。犉犃犝犛犃犚犈犡犜 管理中的管理功能可考虑下列行为:)维护(删除、修改、添加)接受报送审计数据的设备组;)维护根据审计数据属性过滤需要发送的审计数据。犉犃犝犛犃犚犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:基本级:审计数据报送的失败动作。犉犃犝犛犃犚犈犡犜 审计数据报送从属于:无其他组件。依赖关系:可信信道。犉犃犝犛犃犚犈犡犜 犜犛 犉应能够将自身审计记录通过可信信道报送给其他设备,进行更高级别的审计。应用说明:有些嵌入式设备的审计信息存储容量是有限的,宜从系统层面使用工具对系统范围内所犌犅犜 有设备
14、和主机的审计记录进行过滤和分析,设备的审计信息格式应是统一的。输入数据保护(犉犇犘犐 犇犘犈犡犜)类别所属类别为 中定义的类:用户数据保护。族行为本族为扩展的 族,以描述关键数据安全功能的保护能力。要求对输入到的关键数据或动作进行输入内容和语法的合法性、安全性进行验证,并对关键操作执行双重批准确认。组件层次 “输入数据验证”,要求检测输入信息的安全性和合法性,一旦检测到错误后,应采取相关的动作。“输入数据双重确认”,要求对输入到的关键数据或动作执行双重确认操作。犉犇犘犐 犇犘犈犡犜 管理中的管理功能可考虑下列行为:对行为的管理(添加、删除或修改)。犉犇犘犐 犇犘犈犡犜 管理尚无预见的管理活动。
15、犉犇犘犐 犇犘犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:最小级:检测到错误后而采取的动作。犉犇犘犐 犇犘犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:)最小级:双重确认的成功执行;)基本级:双重确认的未成功执行。犉犇犘犐 犇犘 犈犡犜 输入数据验证从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犐 犇犘犈犡犜 犜犗犈应检测输入信息的安全性和合法性,一旦检测到错误后,犜犗犈应采取相关的动作赋值:动作列表。应用说明:)输入信息包括但不限于应用输入(如输入或其他传输设备传输的数据)和参数配置(如授权人员通过配置界面控制面板输入的参数);)系统输入信息的检测
16、包括超出预定义字段值的范围、无效字符、缺失或不完整的数据和缓冲区溢出等。犌犅犜 犉犇犘犐 犇犘犈犡犜 输入数据双重确认从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犐 犇犘犈犡犜 犜犗犈应对输入到犜犗犈的关键数据或动作执行双重确认操作。应用说明:)当需要很高级别可靠性和正确性执行的操作时,限制双重确认是一个普遍接受的良好实践;)要求双重批准强调正确操作失败所导致后果的严重性。如对关键工业过程的设定值进行改变或紧急关停装置等。存储数据的完整性(犉犇犘犛犇 犐)类别所属类别为 中定义的类:用户数据保护。族行为本族将存储数据的完整性扩展到了固件、可执行代码等在初始启动阶段、运行阶段或更新阶段的完整
17、性保护。组件层次 “软件固件和信息完整性”,要求在初始阶段、运行阶段或更新阶段可以对固件、可执行代码、关键配置数据等的完整性错误进行检测。犉犇犘犛犇 犐犈犡犜 管理尚无预见的管理活动。犉犇犘犛犇 犐犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:)最小级:检查数据固件代码完整性的成功尝试,包括检测的结果;)基本级:检查数据固件代码的所有尝试,如果成功的话,还包括加测的结果;)详细级:出现的完整性错误的类型。犉犇犘犛犇 犐犈犡犜 软件固件和信息完整性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犇犛 犐 犈犡犜 犜犗犈应在选择:初始化启动、正常运行期间、代码固件更新时,对犜犗
18、犈选择:关键配置数据、可执行代码、固件的未授权修改、删除或插入等完整性错误进行检测。犉犇犘犇犛 犐 犈犡犜 当检测到完整性错误后,犜犗犈应采取相关的动作赋值:动作列表。应用说明:)本要求针对当存储数据、软件固件被未授权更改后的检测和防护;)更新中检测到加载的不是厂商授权版本情况应进行防护。犌犅犜 存储数据的保密性(犉犇犘犛犇犆犈犡犜)类别所属类别为 中定义的类:用户数据保护。族行为本族为扩展的族,以描述可保护敏感数据安全的能力。规定了存储数据的保密性,如鉴别数据、密钥、证书、关键配置等敏感数据。组件层次 “存储数据的保密性”,要求有能力保护存储在中的敏感数据不被未授权泄露。犉犇犘犛犇犆犈犡犜
19、管理尚无预见的管理活动。犉犇犘犛犇犆犈犡犜 审计尚无预见的审计活动。犉犇犘犛犇犆犈犡犜 存储数据保密性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犛犇犆犈犡犜 犜犛 犉应具备能力保护存储在犜犛 犉中的敏感数据不被未授权泄露。应用说明:保密性机制可以采取非明文或加密存储等。数据传输完整性(犉犇犘犇犜 犐犈犡犜)类别所属类别为 中定义的类:用户数据保护。族行为本族为扩展的 族,确保数据在内部及与外部实体之间传送时不被非法篡改,数据的错误传输对 系统基本功能的运行会产生严重影响,应能提供数据完整性保护及验证数据完整性的能力。组件层次 “与外部实体传送数据完整性”,应在与外部实体之间发送及接收数据
20、时提供数据完整性保护的能力。“内部传送数据完整性”,应在内部发送和接收数据时提供数据完整性保护的能力。犉犇犘犇犜 犐犈犡犜、犉犇犘犇犜 犐犈犡犜 管理尚无预见的管理活动。犌犅犜 犉犇犘犇犜 犐犈犡犜、犉犇犘犇犜 犐犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:最小级:数据传输失败的记录。犉犇犘犇犜 犐犈犡犜 犜犗犈与外部实体传送数据完整性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犇犜 犐犈犡犜 当犜犗犈传送赋值:数据类型到赋值:外部实体时,犜犗犈应能对所传送数据进行完整性保护(如采用校验码或密码算法等)。犉犇犘犇犜 犐犈犡犜 当犜犗犈接收赋值:外部实体传送数据时,犜犗
21、犈应能检测所传送数据的修改、替换、重排、重放、删除、延迟等完整性错误,当检测到完整性错误后,犜犗犈应采取相应的动作赋值:动作列表。应用说明:)赋值数据类型,如鉴别数据、控制数据等;)赋值与通信的外部实体,如果有多个,应进行识别,然后分别进行描述;)赋值动作列表,如丢弃接收到的错误数据等。犉犇犘犇犜 犐犈犡犜 犜犗犈内部传送数据完整性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犇犜 犐犈犡犜 犜犗犈应能检测在犜犗犈内部不同部分间传送数据的选择:修改、替换、重排、重放、删除、延迟等完整性错误,当检测到完整性错误后,犜犗犈应采取相关的动作赋值:动作列表。应用说明:)选择一个或多个完整性错误类型,
22、根据实体情况来定,如果属于分布式,两个部分位于不同的地方,应考虑全面的完整性错误类型;)赋值动作列表,如丢弃接收到的错误数据等。数据传输保密性(犉犇犘犇犜犆犈犡犜)类别所属类别为 中定义的类:用户数据保护。族行为本族规定了传输数据的保密性,防止未授权的通信数据窃听,主要针对敏感数据(如鉴别数据、密钥、安全配置等)和系统重要的应用通信数据(如控制参数等)。组件层次“与外部实体传送数据保密性”,应在与外部实体之间发送及接收数据时提供数据保密性保护的能力。“内部传送数据保密性”,应在内部发送和接收数据时提供数据保密性保护的能力。犌犅犜 犉犇犘犇犜犆犈犡犜、犉犇犘犇犜犆犈犡犜 管理尚无预见的管理活动。
23、犉犇犘犇犜犆犈犡犜、犉犇犘犇犜犆犈犡犜 审计尚无预见的可审计事件。犉犇犘犇犜犆犈犡犜 犜犗犈与外部实体传送数据保密性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犇犜犆犈犡犜 当犜犗犈与赋值:外部实体传送赋值:数据类型时,犜犗犈应具备能力保护传送数据免遭未授权泄露(如对传送数据进行加密防护等)。应用说明:)赋值与通信的外部实体,如果有多个,应进行识别,然后分别进行描述;)本要求指通信应用层的加密防护,而 可信信道侧重传输层的加密防护。犉犇犘犇犜犆犈犡犜 犜犗犈内部传送数据保密性从属于:无其他组件。依赖关系:无依赖关系。犉犇犘犇犜犆犈犡犜 犜犗犈应保护敏感数据在犜犗犈不同部分间传送时不被泄露。
24、应用说明:)的不同部分物理上可以在一起或不在一起(如分布式);)可以采取加密传输或可信信道。用户标识(犉 犐 犃犝犐 犇)类别所属类别为 中定义的 类:标识和鉴别。族行为本族定义了在执行任何其他有促成的且需要用户标识的动作前,要求用户标识其身份的条件。对于访问的外部实体标识应具备唯一性,本族扩展了 “唯一性标识”组件。组件层次 “唯一性标识”,应在对外接口提供唯一性标识用户的能力。犉 犐 犃犝犐 犇犈犡犜 管理尚无预见的管理活动。犉 犐 犃犝犐 犇犈犡犜 审计尚无预见的审计活动。犉 犐 犃犝犐 犇犈犡犜 唯一性标识从属于:无其他组件。犌犅犜 依赖关系:无依赖关系。犉 犐 犃犝犐 犇犈犡犜 犜犛
25、 犉应在对外接口提供唯一性标识用户(人员、软件进程和设备)的能力,且标识不可被篡改和分离。应用说明:应对外部接口用户提供标识,如远程网络接口、上位机控制进程等,典型的标识方式如设备的、地址、用户 等,如有些不能进行标识的实体应进行说明。用户鉴别(犉 犐 犃犝犃犝)类别所属类别为 中定义的 类:标识和鉴别。族行为本族在既有组件的基础上,重新定义了外部实体在允许访问之前需满足的行为活动。开发者应制定所有外部实体列表(人员、软件进程或设备等),并在通信前通过对任何请求访问的外部实体进行身份验证来保护,任何请求访问的外部实体,应在验证身份后才能激活通信。组件层次 “外部实体鉴别”,外部实体在被鉴别前可
26、执行部分由促成的动作列表,但若执行任何其他由促成的动作前,应成功被鉴别。犉 犐 犃犝犃犝犈犡犜 管理尚无预见的管理活动。犉 犐 犃犝犃犝犈犡犜 审计尚无预见的审计活动。犉 犐 犃犝犃犝犈犡犜 外部实体鉴别从属于:无其他组件。依赖关系:无依赖关系。犉 犐 犃犝犃犝犈犡犜 在外部实体选择:人员、软件进程、设备被鉴别前,犜犗犈应允许执行代表外部实体的赋值:由犜犗犈促成的动作列表。犉 犐 犃犝犃犝犈犡犜 在允许执行代表该外部实体的任何其他由犜犗犈促成的动作前,犜犗犈应要求每个外部实体都已被成功鉴别。应用说明:)赋值动作列表可以填无或允许的动作列表;)应分析和分类所有通过外部接口与进行交互的外部实体,分
27、别对这些外部实体的鉴别进行说明。犜犛 犉物理保护(犉犘犜犘犎犘)类别所属类别为 中定义的类:保护。族行为物理保护组件涉及限制对进行未授权的物理访问,以及阻止和抵抗对进行未授权 犌犅犜 的物理修改或替换。本族中组件的要求确保了不被物理侵害和干扰。若满足了这些组件要求,就可以被封装起来使用,并可检测出物理侵害或抵抗物理侵害。如果没有这些组件,在物理性损害无法避免的环境中,的保护功能就会失效。关于如何对物理侵害尝试作出反应,本族也提供了要求。为实现适应 现场环境对的要求,扩展了“物理环境要求”,“物理篡改防护”。组件层次“物理环境要求”,规定了设备在 中应满足的物理环境指标要求。“物理篡改防护”,规
28、定了设备可以通过封装和设计使得难以对其进行物理篡改。犉犘犜犘犎犘犈犡犜、犉犘犜犘犎犘犈犡犜 管理尚无预见的管理活动。犉犘犜犘犎犘犈犡犜、犉犘犜犘犎犘犈犡犜 审计尚无预见的可审计事件。犉犘犜犘犎犘犈犡犜 物理环境要求从属于:无其他组件。依赖关系:无依赖关系。犉犘犜犘犎犘犈犡犜 犜犛 犉应具备符合下列标准赋值:标准列表中规定的赋值:物理侵害类型的赋值:度量或等级的防护能力。应用说明:)不同行业有不同的针对物理环境的要求,应赋值具体的标准;)物理侵害类型可以包含电磁辐射、抗浪涌(冲击)、高低温、化学品侵害、防护等等;)针对每种物理侵害有些标准会规定不同的防护等级。犉犘犜犘犎犘犈犡犜 物理篡改防护从属
29、于:无其他组件。依赖关系:无依赖关系。犉犘犜犘犎犘犈犡犜 犜犗犈应针对未授权的物理破坏提供物理防篡改的机制。应用说明:防篡改机制可以防止攻击者对进行未授权的物理访问,防篡改机制可以通过使用特殊材料或设计来实现,如封装、锁闭等。失效保护(犉犘犜犉犔犛)类别所属类别为 中定义的类:保护。族行为本族要求确保当中已确定的失效类型出现时,该总是执行它的。在 中,当失效后应以不影响 系统自身的功能安全为首要目标,因此是否继续维持执行应根据具 犌犅犜 体情况进行分析。本族扩展了组件“确定性输出”。组件层次“确定性输出”,要求在受到攻击或失效后正常操作不能保持时,设定输出为预定义状态的能力。犉犘犜犉犔犛犈犡犜
30、 管理中的管理功能可考虑下列行为:对预定义状态的管理(添加、删除或修改)。犉犘犜犉犔犛犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:基本级:失效。犉犘犜犉犔犛犈犡犜 确定性输出从属于:无其他组件。依赖关系:无依赖关系。犉犘犜犉犔犛犈犡犜 犜犗犈在受到攻击或失效后,如果不能维持正常操作,应输出预先设定的安全状态,该状态的输出应考虑犜犗犈在工业控制系统中的应用,不应对工业控制系统的安全性和可用性造成影响。应用说明:)失效类型可以包括硬件故障、软件故障、断电等;)预先设定的失败状态由开发者根据工业控制系统应用环境定义,如输出保持某一状态或某一固定值等。示例,如工控防火墙失效后输出
31、导通状态或阻断状态等。时间戳(犉犘犜犛犜犕)类别所属类别为 中定义的类:保护。族行为本族对一个内可靠的时间戳功能提出要求,系统的正常运行大部分依靠时间同步服务器来同步时间,如果时间同步失败,会影响系统的正常运行,本族扩展了组件“时间同步”。组件层次“时间同步”,应提供可靠的时间戳,并可实现时钟同步功能。犉犘犜犛犜犕犈犡犜 管理尚无预见的管理活动。犉犘犜犛犜犕犈犡犜 审计如果中包含“安全审计数据产生”,下列行为应是可审计的:犌犅犜 )基本级:时间同步失败;)基本级:时间源被篡改。犉犘犜犛犜犕犈犡犜 时间同步从属于:无其他组件。依赖关系:无依赖关系。犉犘犜犛犜犕犈犡犜 犜犗犈应具备同步犜犗犈内部各
32、部分系统时钟的能力,并提供统一的时间基准。犉犘犜犛犜犕犈犡犜 犜犗犈应保护时间源防止非授权改动,一旦改动则生成审计事件。应用说明:系统通常具备统一的时钟源,各部分的通信需要时间同步,因此应确保时间同步的能力。资源备份(犉犚犝犚犝犅犈犡犜)类别所属类别为 中定义的类:资源利用。族行为本族为扩展的 族,要求设备应在不影响正常设备使用的前提下,提供关键文件的识别和定位,以及信息备份(包括系统状态信息)的能力。组件层次 “数据备份”,要求在不影响设备正常适应的情况下,设备可对信息进行备份。犉犚犝犚犝犅犈犡犜 管理尚无预见的管理活动。犉 犐 犃犚犝犅犈犡犜 审计尚无预见的审计活动。犉犚犝犚犝犅 犈犡犜
33、数据备份从属于:无其他组件。依赖关系:无依赖关系。犉犚犝犚犝犅犈犡犜 犜犗犈设备应在不影响正常设备使用的前提下,提供关键文件的识别和定位,并根据可配置的频率进行信息备份的能力。安全保障组件扩展定义 测试人员(犃犜犈犜犈犛)类别所属类别为 中定义的类:测试。目的本族的组件涉及测试人员的组成。测试人员的独立性会影响测试结果的准确性。本族的目的是降低测试人员在测试中存在的人为错误风险,有助于保障未知缺陷出现的可能性相对较小。犌犅犜 组件分级本族中的组件分级是基于测试独立性的严格程度分级的。应用注释在执行测试的过程中最好确保测试人员的独立性,可以有效地避免因开发者和测试者来自同一人或同一部门导致的测试结果异议。组件定义 犃犜犈犜犈犛犈犡犜 测试人员 目的本组件的目的是避免开发人员对进行测试导致的测试结果误差。依赖关系:功能测试。开发者行为元素犃犜犈犜犈犛犈犡犜 犇开发者应提供测试文档。内容和形式元
