《网络关键设备安全技术要求 可编程逻辑控制器(PLC)编制说明.docx》由会员分享,可在线阅读,更多相关《网络关键设备安全技术要求 可编程逻辑控制器(PLC)编制说明.docx(3页珍藏版)》请在课桌文档上搜索。
1、国家标准网络关键设备安全检测方法可编程逻辑控制器(PLC)(征求意见稿)编制说明一、工作简况1.1 任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划,网络关键设备安全检测方法可编程逻辑控制器(PLC)由国家工业信息安全发展研究中心负责承办,计划号:20230258-T-469o本文件由全国信息安全标准化委员会(SAC/TC260)提出,由全国信息安全标准化委员会(SAC/TC260)和全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)共同归口。1.2 制定背景本文件为落实中华人民共和国网络安全法第二十三条对网络关键设备的相关要求,为第三方检测认证机构开展PLC
2、设备安全检测、安全认证工作提供标准依据,也可为网络关键设备用户采购提供依据。1.3 3起草过程2018年-2019年期间,国家工业信息安全发展研究中心组织开展对PLC设备调研和资料收集工作,并对PLC设备安全功能进行了内部测试,基于PLC设备实际的测试情况,结合国内和国际相关工业控制系统及设备相关安全标准,形成PLC设备安全要求和测试评价规范的框架结构。2020-2021年期间,本文件内容完成在全国信息安全标准化技术委员会(TC260)内部标准研究项目的立项和推进过程,形成信息安全技术可编程逻辑控制器(PLC)安全技术要求和测试评价方法。2022年9月,在工信部网安局组织协调下召开标准工作推进
3、会,信息安全技术可编程逻辑控制器(PLC)安全技术规范由TC260和TC124两个标委会共同推进,其中网络关键设备安全技术要求可编程逻辑控制器(PLC)由TC260作为第一归口标准委员会。2023年2月,工作组组织召开标准启动会,研究形成网络关键设备安全技术要求可编程逻辑控制器(PLC)标准草案。2023年5月,在TC260第一次全国标准周研讨会期间组织开展网络关键设备安全技术要求可编程逻辑控制器(PLC)草案研讨工作,形成网络关键设备安全技术要求可编程逻辑控制器(PLC)(征求意见稿)。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准编制原则是:1 .严格按照GB/T1.1-2
4、020标准化工作导则第1部分:标准化文件的结构和起草规则的要求起草;2 .标准的相关内容应符合国家有关法律法规、强制性标准及相关产业政策要求;3 .标准要具有科学性、先进性、经济性和可行性。4 .2主要内容及其确定依据本文件规定了可编程逻辑控制器(PLC)信息安全技术要求。本文件适用于指导PLC设计、开发、检测和评估。PLC设备安全技术要求分为安全功能要求和安全保障要求两大类。其中,安全功能要求是对PLC设备自身安全和防护能力提出的具体要求,功能框架参照GB40050-2021网络关键设备安全通用要求,具体包括设备标识安全,冗余、备份恢复与异常检测,漏洞和恶意程序防范,预装软件启动及更新安全,
5、用户身份标识与鉴别,访问控制安全,日志审计安全,通信安全,数据安全,密码要求等10个方面。安全保障要求是对PLC设备厂商在开发PLC设备过程中提出的具体要求,相关要求和GB40050-2021中第6章的规定保持一致。5 .3修订前后技术内容的对比仅适用于国家标准修订项目本文件不涉及。三、试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告编制组分别组织组内国内外PLC生产厂商和第三方测试机构对标准中设备标识安全,冗余、备份恢复与异常检测,漏洞和恶意程序防范,预装软件启动及更新安全,用户身份标识与鉴别,访问控制安全等标准条目进行了试验,试验供挑
6、选了4家厂商11类型号的PLC进行安全测试验证,试验结果发现标准要求基本合理。3. 2技术经济论证本文件的起草能够统一和规范第三方测试机构在开展安全检测和安全认证工作,减少PLC厂商的重复开发和安全检测、安全认证环节,避免PLC厂商的测试验证成本。3.3预期的经济效益、社会效益和生态效益本文件的推行有利于协助国内外PLC厂商提升自身设备的安全防护能力,促进PLC设备的安全健康发展,减少由于网络攻击对我国工业控制系统的破坏。四、与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况本文件不涉及。五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并
7、说明未采用国际标准的原因本文件不涉及。六、与有关法律、行政法规及相关标准的关系本文件与现行法律、法规以及国家标准没有冲突与矛盾的地方。本文件在编制过程中参考了GB40050-2021网络关键设备安全通用要求。七、重大分歧意见的处理经过和依据本文件不涉及。八、涉及专利的有关说明本文件不涉及。九、实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的建议等措施建议本文件可作为列入网络关键设备的可编程逻辑控制器(PLC)设备的安全检测依据,建议国内PLC设备安全检测机构、安全认证机构等相关单位采用。十、其他应当说明的事项无。国家标准网络关键设备安全技术要求可编程逻辑控制器(PLC)编制工作组2023年07月10B