1 范围

      本标准规定了工业控制系统专用防火墙（以下简称工控防火墙）的安全功能要求、自身安全要求、性能要求和安全保障要求。

      本标准适用于工控防火墙的设计、开发和测试。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2423.5-1995 电工电子产品环境试验 第2部分：试验方法 试验Ea和导则：冲击

      GB/T 2423.8-1995 电工电子产品环境试验 第2部分：试验方法 试验Ed：自由跌落

      GB/T 2423.10-2008 电工电子产品环境试验 第2部分：试验方法 试验Fc：振动（正弦）

      GB/T 4208-2017 外壳防护等级（IP代码）

      GB 4824-2013 工业、科学和医疗（ISM）射频设备 骚扰特性 限值和测量方法

      GB/T 9254-2008 信息技术设备的无线电骚扰限值和测量方法

      GB/T 13729-2002 远动终端设备

      GB/T 15153.1-1998 远动设备及系统 第2部分：工作条件 第1篇：电源和电磁兼容性

      GB/T 17214.4-2005 工业过程测量和控制装置的工作条件 第4部分：腐蚀和侵蚀影响

      GB/T 17626.2-2018 电磁兼容 试验和测量技术 静电放电抗扰度试验

      GB/T 17626.3-2016 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验

      GB/T 17626.4-2018 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验

      GB/T 17626.5-2008 电磁兼容 试验和测量技术 浪涌（冲击）抗扰度试验

      GB/T 17626.6-2017 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度

      GB/T 17626.8-2006 电磁兼容 试验和测量技术 工频磁场抗扰度试验

      GB/T 17626.10-2017 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验

      GB/T 17626.11-2008 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度试验

      GB/T 17626.12-2013 电磁兼容 试验和测量技术 振铃波抗扰度试验

      GB/T 17626.16-2007 电磁兼容 试验和测量技术 0 Hz～150kHz共模传导骚扰抗扰度试验

      GB/T 17626.17-2005 电磁兼容 试验和测量技术 直流电源输入端口纹波抗扰度试验

      GB/T 17626.18-2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验

      GB/T 17626.29-2006 试验和测量技术 直流电源输入端口电压暂降、短时中断和电压变化的抗扰度试验

      GB/T 20281-2015 信息安全技术 防火墙安全技术要求和测试评价方法

      GB/T 20438.3-2017 电气/电子/可编程电子安全相关系统的功能安全 第3部分：软件要求

      GB/T 20438.4-2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义和缩略语

      GB/T 25069-2010 信息安全技术 术语

      GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

3 术语和定义

      GB/T 20281-2015、GB/T 20438.4-2017、GB/T 25069-2010和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。

3.1

      工业控制协议 industrial control protocol

      工业控制系统中，上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。通常包括模拟量和数字量的读写控制。

3.2

      工业控制系统专用防火墙 industrial control system dedicated firewall

      部署于工业控制系统中不同的安全域之间，或者控制器之前，具备网络层访问控制及过滤功能，工业控制协议规约检查和过滤功能，并具备高可用性，能够适用于工业控制环境的安全网关类产品。

4 缩略语

      下列缩略语适用于本文件。

      DMZ：非军事区（Demilitarized Zone）

      DNAT：目的地址转换（Destination Network Address Translation）

      ICMP：网络控制报文协议（Internet Control Message Protocol）

      MAC：介质访问控制（Media Access Control）

      NAT：网络地址转换（Network Address Translation）

      OPC：用于过程控制的对象链接与嵌入（Object Linking and Embedding for Process Control）

      SNAT：源地址转换（Source Network Address Translation）

      SNMP：简单网络管理协议（Simple Network Management Protocol）

      SYN：同步序列编号（Synchronize Sequence Numbers）

      UDP：用户数据报协议（User Datagram Protocol）

5 产品描述

      工控防火墙是应用于工业控制系统的一类特殊防火墙，其既要满足通用防火墙的基本要求，还要满足工业控制环境下的特殊要求，工控防火墙主要应用在工业控制层级间防护以及各层区域间防护。工控防火墙的典型部署场景参见附录A。

      本标准将工控防火墙安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。本标准将安全功能要求、自身安全要求和安全保障要求分为基本级和增强级，与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“黑体”表示。若工控防火墙部署在工业控制现场，应根据实际需求满足附录B环境适应性要求。

6 安全技术要求

6.1 基本级安全技术要求

6.1.1 安全功能要求

6.1.1.1 网络层控制

6.1.1.1.1 包过滤

      工控防火墙的包过滤要求如下：

      a）安全策略应使用默认禁止原则，即除非明确允许，否则就禁止；

      b）安全策略应包含基于源IP地址、目的IP地址的访问控制；

      c）安全策略应包含基于源端口、目的端口的访问控制；

      d）安全策略应包含基于协议类型的访问控制；

      e）安全策略应包含基于MAC地址的访问控制；

      f）应支持用户自定义的安全策略，安全策略可以是MAC地址、IP地址、端口的部分或全部组合。

6.1.1.1.2 NAT

      部署域间的工控防火墙应具备NAT功能，具体技术要求如下：

      a）应支持双向 NAT：SNAT和DNAT；

      b）SNAT应至少可实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源IP地址被转换。

6.1.1.1.3 状态检测

      工控防火墙应具备状态检测功能，支持基于状态检测技术的访问控制。

6.1.1.1.4 动态开放端口

      工控防火墙应具备动态开放端口功能，应至少支持 ）PC、FTP协议。

6.1.1.1.5 IP/MAC地址绑定

      工控防火墙应支持自动或手动绑定IIP/MAC 地址；应能够检测IP地址盗用事件，拦截盗用IP地址的主机经过工控防火墙的各种访问。

6.1.1.1.6 抗拒绝服务攻击

      工控防火墙应具有抗拒绝服务攻击的能力，具体技术要求如下（包括，但不限于）：

      a）ICMP Flood攻击；

      b）UDP Flood攻击；

      c) SYN Flood攻击；

      d) TearDrop攻击；

      e) Land攻击；

      f) 超大ICMP数据攻击。

6.1.1.1.7 网络扫描防护

      工控防火墙应能够检测和记录扫描行为，包括对受保护网络的扫描。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。