ICS25.040

CCS點(diǎn)擊此處添加CCS號

團(tuán)體標(biāo)準(zhǔn)

T/CAMSXXXX—XXXX

工業(yè)自動化儀表功能安全與信息安全融合

式儀表測試評價(jià)規(guī)范

IndustrialautomationinstrumentsfunctionalsafetyandSecurityintegration

instrumentTestandassessmentspecification

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國機(jī)械工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會發(fā)布

T/CAMSXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由××××提出。

本文件由××××歸口。

本文件起草單位：

本文件主要起草人：

II

T/CAMSXXXX—XXXX

工業(yè)自動化儀表功能安全與信息安全融合式儀表測試評價(jià)規(guī)范

1范圍

本文件規(guī)定了針對工業(yè)自動化儀表的功能安全、信息安全以及功能安全與信息安全融合的測試評

價(jià)要求，制定了開展安全完整性等級（SIL）、信息安全等級（SL）及其兩安融合等級的測試評價(jià)方法。

制定本規(guī)范的目的旨在通過文檔評審、技術(shù)分析與測試、型式試驗(yàn)等的手段驗(yàn)證供方所設(shè)計(jì)制造的儀表

產(chǎn)品在功能安全、信息安全要求的符合性以及在兩者間融合程度。本文件適用于在功能安全與信息安全

需求融合趨勢愈發(fā)明顯的背景下，面向工業(yè)自動化儀表開展功能安全和信息安全測試評價(jià)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20438.1-2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第1部分：一般要求

（IEC61508-1:2010,IDT）

GB/T20438.2—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分：電氣/電子/可

編程電子安全相關(guān)系統(tǒng)的要求（IEC61508-2:2010,IDT）

GB/T20438.3—2017電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第3部分：軟件要求

（IEC61508-3:2010,IDT）

GB/T35673-2017工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全系統(tǒng)安全要求和安全等級（IEC62443-3-3:2013）

IEC62443-4-2:2019工業(yè)自動化和控制系統(tǒng)安全第4-2部分：IACS組件的安全技術(shù)要求（Security

forindustrialautomationandcontrolsystems-Part4-2:Technicalsecurityrequirements

forIACScomponents）

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

控制系統(tǒng)controlsystem

對來自過程和/或操作員的輸入信號進(jìn)行響應(yīng)，并產(chǎn)生使過程以期望的方式運(yùn)行的輸出信號的系統(tǒng)，

即IACS的軟件和硬件組件。

環(huán)境enviroment

可能影響IACS行為和/或被IACS影響的周圍對象、區(qū)域或者事件。

基本功能essentialfunction

維護(hù)受控設(shè)備健康、安全、環(huán)境和可用性所必需的功能和能力。

功能安全functionalsafety

整體安全中與EUC和EUC控制系統(tǒng)相關(guān)的部分，它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正

確執(zhí)行其功能。

工業(yè)自動化和控制系統(tǒng)industrialautomationandcontrolsystem

包括人員、硬件、軟件和工業(yè)過程操作的策略,其中策略可能影響工業(yè)過程的安全、信息安全和可

靠性操作。

1

T/CAMSXXXX—XXXX

抗抵賴non-repudiation

證明一個(gè)聲明的事件或行為的發(fā)生和其來源實(shí)體的能力。

注：抗抵賴的目的是為了解決關(guān)于事件是否發(fā)生、事件中的行為、接介入事件的實(shí)體等糾紛。

安全狀態(tài)safestate

達(dá)到安全時(shí)EUC的狀態(tài)。

安全功能safetyfunction

針對特定的危險(xiǎn)事件，為達(dá)到或保持過程的安全狀態(tài)。

安全完整性safetyintegrity

在要求時(shí)執(zhí)行所需SIF的SIS能力。

安全完整性等級safetyintegritylevel；SIL

為規(guī)定SIS應(yīng)達(dá)到的安全完整性要求而分配給SIF的離散等級（4個(gè)等級中的一個(gè)）。

安全儀表功能safetyinstrumentedfunction；SIF

由安全儀表系統(tǒng)（SIS）實(shí)現(xiàn)的安全功能。

安全儀表系統(tǒng)safetyinstrumentedsystem

用于執(zhí)行一個(gè)或者多個(gè)安全相關(guān)功能的系統(tǒng)。

信息安全等級securitylevel

IACS不受脆弱性影響并按預(yù)期方式工作的置信度。

功能安全與信息安全融合等級FunctionalSafety&CyberSecurityIntegrityLevel，F(xiàn)S&CSIL

用于表示功能安全與信息安全特征融合程度的等級。

硬件安全完整性hardwaresafetyintegrity

在危險(xiǎn)失效模式中，與隨機(jī)硬件失效有關(guān)的SIS安全完整性的一部分。

儀表instrument

在執(zhí)行某個(gè)動作中使用的儀器（典型的參見儀表系統(tǒng)）。

要求時(shí)危險(xiǎn)失效平均概率averageprobabilityofdangerousfailureondemand；PFDavg

電氣電子可編程電子安全相關(guān)系統(tǒng)在EUC或EUC控制系統(tǒng)發(fā)出要求時(shí)執(zhí)行規(guī)定安全功能的平均不可

用性。

每小時(shí)危險(xiǎn)失效平均頻率averagefrequencyofadangerousfailureperhour；PFH

一個(gè)電氣電子可編程電子安全相關(guān)系統(tǒng)在一個(gè)給定的時(shí)間周期內(nèi)執(zhí)行規(guī)定安全功能時(shí)的危險(xiǎn)失效

平均頻率。

4縮略語

下列縮略語適用于本文件。

CR：能力要求（Capabilityrequirements）

DoS：拒絕服務(wù)（Denialofservice）

2

T/CAMSXXXX—XXXX

EUC：受控設(shè)備（Equipmentundercontrol）

FMEDA：失效模式影響及其診斷分析（Failuremodeeffectanddiagnosticanalysis）

FR：基本要求（FundamentalRequirements）

HSE：健康、安全和環(huán)保（Health,safetyandenvironmentalprotection）

IACS：工業(yè)自動化控制系統(tǒng)（Industrialautomationandcontrolsystem）

PFDavg：要求時(shí)的危險(xiǎn)失效平均概率（Averageprobabilityofdangerousfailureondemand）

PFH：每小時(shí)危險(xiǎn)失效平均頻率（Averagefrequencyofadangerousfailureperhour）

RE：增強(qiáng)要求（Requirementenhancement）

HFT：硬件故障裕度（Hardwarefaulttolerance）

SIF：安全儀表功能（Safetyinstrumentfunction）

SIS：安全儀表系統(tǒng)（Safetyinstrumentedsystem）

SFF：安全失效分?jǐn)?shù)（Safefailurefraction）

SL-C：信息安全能力等級（Capabilitysecuritylevel）

5要求

一般要求

融合儀表的說明文檔需滿足：

a)應(yīng)包括功能安全與信息安全的硬件和軟件安全生命周期中各階段的有效執(zhí)行各階段和驗(yàn)證活

動所必需的充分信息。

b)應(yīng)包括研制過程的安全管理信息。

c)應(yīng)包括實(shí)現(xiàn)功能安全和信息安全評估所需的充分信息。

d)注：判定什么是充分的信息取決于多項(xiàng)因素，包括被評估對象的復(fù)雜程度、系統(tǒng)規(guī)模以及具體應(yīng)用的相關(guān)要

求，甚至還與評估人自身的經(jīng)驗(yàn)和水平相關(guān)。

e)針對本標(biāo)準(zhǔn)的條款而言，文檔內(nèi)容充分，便于執(zhí)行相關(guān)職能。

f)文檔應(yīng)該是：

——準(zhǔn)確且簡明的；

——容易被使用者理解的；

——適用于預(yù)期目的；

——易獲取且可維護(hù)的。

g)文檔或信息集應(yīng)具有標(biāo)題和名稱來指示內(nèi)容的范圍，以及某種形式的索引排列，便于快速的獲

取標(biāo)準(zhǔn)要求的信息。

h)文檔的結(jié)構(gòu)可根據(jù)公司規(guī)程和應(yīng)用領(lǐng)域的工作實(shí)踐來確定。

i)文檔或信息集應(yīng)結(jié)構(gòu)化以便于查找相關(guān)信息，以及易于識別文檔或信息集的最新修訂版（版

本）。

j)所有有關(guān)文檔應(yīng)修訂、補(bǔ)充、復(fù)審、批準(zhǔn)，并按照適當(dāng)?shù)奈臋n控制方案進(jìn)行控制。

無擾性要求

儀表的基本功能是一種“維護(hù)受控設(shè)備健康、安全、環(huán)境和可用性所必需的功能和能力”。除非有

相應(yīng)的風(fēng)險(xiǎn)評估，否則信息安全措施不應(yīng)對儀表及其所在的高可用性的IACS基本功能產(chǎn)生不利影響。儀

表功能安全中確定的安全功能就是一種基本功能。

當(dāng)規(guī)定和實(shí)施本標(biāo)準(zhǔn)所描述的SR時(shí)，應(yīng)遵循信息安全措施不應(yīng)造成保護(hù)功能喪失、控制功能喪失、

采集與顯示功能喪失或其他基本功能喪失。通過風(fēng)險(xiǎn)分析可發(fā)現(xiàn)，某些設(shè)施可能會導(dǎo)致特定安全措施終

止生產(chǎn)連續(xù)運(yùn)行，但安全措施不應(yīng)導(dǎo)致在健康、安全和環(huán)保(HSE)方面的保護(hù)喪失。一些具體的制約因

素有:

訪問控制(IAC和UC)不應(yīng)妨礙基本功能的運(yùn)行，尤其是：

——用于基本功能的賬戶不應(yīng)被鎖定，即便是短暫的鎖定。

3

T/CAMSXXXX—XXXX

——驗(yàn)證和記錄操作員的操作，以加強(qiáng)抗抵賴性，但不應(yīng)顯著增加延遲而影響儀表及其系統(tǒng)的響

應(yīng)時(shí)間。對于高可用性的控制系統(tǒng)，授權(quán)證書錯(cuò)誤不應(yīng)中斷基本功能。

——標(biāo)識和鑒別和授權(quán)執(zhí)行,不應(yīng)妨礙SIF觸發(fā)。

——不正確的時(shí)間戳和審計(jì)記錄不應(yīng)對基本功能產(chǎn)生不利影響。

如果區(qū)域邊界保護(hù)進(jìn)入故障關(guān)閉和/或孤島模式，應(yīng)保持IACS的基本功能。

發(fā)生在控制系統(tǒng)或安全儀表系統(tǒng)網(wǎng)絡(luò)(SIS)中的拒絕服務(wù)事件(DoS)，不應(yīng)妨礙SIF的動作。

功能安全測評技術(shù)要求

功能安全評估被評估儀表的硬性安全完整性等級和系統(tǒng)性能力。其中硬性安全完整等級的判定應(yīng)

從目標(biāo)失效量和結(jié)構(gòu)約束兩個(gè)角度予以評價(jià)。

5.3.1目標(biāo)失效量要求

根據(jù)目標(biāo)失效量的要求，在低要求運(yùn)行模式下的安全功能應(yīng)滿足表1的要求，在高要求或連續(xù)運(yùn)行

模式下的安全功能應(yīng)滿足表2的要求：

表1安全完整性等級：在低要求運(yùn)行模式下安全功能的目標(biāo)失效量

安全完整性等級安全功能在要求時(shí)的危險(xiǎn)失效平均概率

（SIL）(PFDavg)

4≥10-5至＜10-4

3≥10-4至＜10-3

2≥10-3至＜10-2

1≥10-2至＜10-1

表2安全完整性等級：在高要求或連續(xù)運(yùn)行模式下安全功能目標(biāo)失效量

安全完整性等級安全功能的每小時(shí)危險(xiǎn)失效平均頻率

（SIL）（PFH）

4≥10-9至＜10-8

3≥10-8至＜10-7

2≥10-7至＜10-6

1≥10-6至＜10-5

注：兩安融合儀表運(yùn)行的方式的界定，采用以下方法：

——低要求模式：僅當(dāng)要求時(shí)才執(zhí)行將受控對象導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率不大于每年一

次；

——高要求模式：僅當(dāng)要求時(shí)才執(zhí)行將受控對象導(dǎo)入規(guī)定安全狀態(tài)的安全功能，并且要求的頻率大于每年一次；

——連續(xù)模式：安全功能將受控對象保持在安全狀態(tài)是正常運(yùn)行的一部分。

5.3.2結(jié)構(gòu)約束要求

根據(jù)結(jié)構(gòu)約束的要求，A類安全相關(guān)組件和子系統(tǒng)應(yīng)滿足表3的要求，B類安全相關(guān)組件和子系統(tǒng)應(yīng)

滿足表4的要求：

4

T/CAMSXXXX—XXXX

表3A類安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級

硬件故障裕度

組件/子系統(tǒng)/系統(tǒng)的安全失效分?jǐn)?shù)

012

<60%SIL1SIL2SIL3

60%-<90%SIL2SIL3SIL4

90%-<99%SIL3SIL4SIL4

≥99%SIL3SIL4SIL4

表4B類安全相關(guān)組件或子系統(tǒng)執(zhí)行安全功能時(shí)的最大允許安全完整性等級

硬件故障裕度

組件/子系統(tǒng)/系統(tǒng)的安全失效分?jǐn)?shù)

012

<60%不允許SIL1SIL2

60%-<90%SIL1SIL2SIL3

90%-<99%SIL2SIL3SIL4

≥99%SIL3SIL4SIL4

如果要實(shí)現(xiàn)安全功能的儀表元器件滿足下列全部條件，則組件可視為A類：

a)所有組成元器件的失效模式都被明確定義；

b)故障狀況下組件的行為能夠完全確定；

c)有充足而可靠的失效數(shù)據(jù)，可顯示出滿足所聲明的檢測到的和未檢測到的危險(xiǎn)失效的失效率。

如果要實(shí)現(xiàn)安全功能的儀表元器件滿足下列條件之一，則組件應(yīng)視為B類：

a)至少一個(gè)組成元器件的失效模式未被明確定義；

b)故障狀況下組件的行為不能完全確定；

c)沒有充足而可靠的失效數(shù)據(jù)，可顯示出滿足所聲明的檢測到的和未檢測到的危險(xiǎn)失效的失效

率。

通過表1和表2，可以從目標(biāo)失效量要求層面判定儀表的PFDAVG或PFH與SIL等級適用性的符合性關(guān)系；

通過表3和表4，可以從結(jié)構(gòu)約束要求層面判定儀表的硬件故障裕度HFT和安全失效分?jǐn)?shù)SFF與SIL等

級適用性的符合性關(guān)系；

綜合表1至表4，則可以判定任意組件、儀表與硬件安全完整性等級的符合性關(guān)系。其中要求時(shí)的危

險(xiǎn)失效平均概率（PFDAVG）和每小時(shí)危險(xiǎn)失效平均頻率（PFH）、安全失效分?jǐn)?shù)（SFF）等參數(shù)，需在進(jìn)行

失效模式影響及其診斷分析（FMEDA）后，通過失效分類統(tǒng)計(jì)結(jié)果計(jì)算來獲得，硬件故障裕度（HFT）可

通過系統(tǒng)的通道數(shù)量和表決結(jié)構(gòu)來判斷。

判定儀表的硬件安全完整性等級時(shí)，應(yīng)從目標(biāo)失效量獲得的SIL等級適用性和結(jié)構(gòu)約束SIL等級適

用性中取較低值。

5.3.3系統(tǒng)性能力SC評價(jià)

功能安全與信息安全融合儀表均屬于新研制的儀表，故其評估路徑應(yīng)采用GB/T20438中的路線1方

式。其系統(tǒng)性能力SC的評價(jià)應(yīng)遵照GB/T20438標(biāo)準(zhǔn)中路線1方式下的系統(tǒng)性能力評估方法。

5

T/CAMSXXXX—XXXX

5.3.4SIL等級適用度的判定

被評估儀表整體SIL等級的判定，應(yīng)以儀表的硬件SIL等級適用性和系統(tǒng)性能力SC適用性中取較低

值。

5.4.1信息安全等級

根據(jù)IEC62443-3-3，信息安全能力等級（SL-C）共可分為4級：SL-1~SL-4，其定義如下：

——SL1：防止竊聽或不經(jīng)意的暴露導(dǎo)致的未經(jīng)授權(quán)的泄露。

——SL2：防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動機(jī)的簡單手段主動進(jìn)行

信息搜索的實(shí)體。

——SL3：防止未經(jīng)授權(quán)地將信息泄露給通過一般資源、IACS特殊技能和一般動機(jī)的復(fù)雜手段主

動進(jìn)行信息搜索的實(shí)體。

——SL4：防止未經(jīng)授權(quán)地將信息泄露給通過擴(kuò)展資源、IACS特殊技能和高動機(jī)的復(fù)雜手段主動

進(jìn)行信息搜索的實(shí)體。

5.4.2信息安全基本要求

在IEC62443標(biāo)準(zhǔn)體系中，將信息安全防護(hù)能力的要求劃分為了7個(gè)基本要求（FR），其定義與含義

如表所示：

表5信息安全等級評價(jià)基本要求一覽表

編號基本要求名稱設(shè)立該FR要求的總體目標(biāo)

FR1標(biāo)識和鑒別控制(IAC)在允許訪問控制系統(tǒng)之前標(biāo)識和鑒別所有使用者（人員，軟件進(jìn)程和設(shè)備）

FR2使用控制（UC）對已鑒權(quán)的使用者（人員、軟件進(jìn)程或設(shè)備），強(qiáng)制制定權(quán)限以在IACS中執(zhí)

行所需工作，并監(jiān)視這些權(quán)限的使用。

FR3系統(tǒng)完整性（SI）確保IACS的完整性，防止非授權(quán)操控。

FR4數(shù)據(jù)保密性（DC）確保通信信道和數(shù)據(jù)倉庫的信息保密性。

FR5受限的數(shù)據(jù)流（RDF）通過區(qū)域與管道劃分，對控制系統(tǒng)進(jìn)行分段來限制非必需的數(shù)據(jù)流。

FR6對事件的及時(shí)響（TRE）在事故被發(fā)現(xiàn)時(shí)，對安全違規(guī)的響應(yīng)，包括通知權(quán)利部門，匯報(bào)所需的安全

違規(guī)證據(jù)，并及時(shí)采取糾正措施。

FR7資源可用性（RA）確保控制系統(tǒng)的可用性，以應(yīng)對基本服務(wù)降級或拒絕

每個(gè)FR又?jǐn)U展成為一系列的能力要求（CR），每個(gè)CR包含一個(gè)基線要求以及零個(gè)或多個(gè)加強(qiáng)安全型

的增強(qiáng)要求（RE）。每個(gè)基線要求和RE（如存在），隨后會被映射到對應(yīng)的能力安全等級SL-C1級至4級。

各SL-C等級與FR、CR、RE的要求的映射關(guān)系如表6~表12所示：

表6信息安全等級評價(jià)FR1–標(biāo)識和鑒別控制(IAC)

CR和RE要求說明SL1SL2SL3SL4

CR1.1-人員標(biāo)識和鑒別儀表應(yīng)對所有人員可訪問的接口都提供標(biāo)識和鑒別所有√√√√

人員的能力

RE1–唯一標(biāo)識和鑒別儀表應(yīng)提供唯一標(biāo)識和鑒別所有人員用戶的能力。√√√

RE2–對所有接口的多儀表應(yīng)提供對所有接入儀表的人員用戶進(jìn)行多因子鑒別√√

因子鑒別的能力。

CR1.2–軟件進(jìn)程以及儀表應(yīng)提供自我標(biāo)識、并對任何其他儀表（軟件應(yīng)用、嵌√√√

設(shè)備標(biāo)識和鑒別入式設(shè)備、主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備）進(jìn)行身份鑒別的能力。

6

T/CAMSXXXX—XXXX

RE1–唯一標(biāo)識和鑒別儀表應(yīng)提供向任何其他儀表唯一自我標(biāo)識和鑒別的能力。√√

儀表應(yīng)提供支持直接管理所有賬號，或者采用系統(tǒng)集成的√√√√

方式實(shí)現(xiàn)管理賬號的能力。

CR1.3–賬戶管理

注：儀表可以通過集成到更高級別的賬戶管理系統(tǒng)來提供

這種能力

儀表應(yīng)提供集成到支持管理標(biāo)識符的系統(tǒng)的能力和/或直√√√√

CR1.4–標(biāo)識符管理接提供對使用者、組、角色或者控制系統(tǒng)接口的標(biāo)識符管

理的能力。

儀表應(yīng)提供以下能力：√√√√

a）支持對鑒別器初始內(nèi)容的使用；

b)支持在安裝時(shí)對默認(rèn)鑒別器更改的識別;

CR1.5–鑒別器管理

c)在周期性對鑒別器進(jìn)行更新/改變操作時(shí)功能正常；

d)保護(hù)鑒別器在儲存、使用、傳送時(shí)防止未經(jīng)授權(quán)的披

露和修改。

RE1–鑒別器的硬件安全儀表所依賴的鑒別器應(yīng)通過硬件機(jī)制加以保護(hù)。√√

對于使用基于口令鑒別的儀表，應(yīng)提供或集成到一個(gè)可以√√√√

CR1.7–基于口令的鑒別

根據(jù)國際認(rèn)可和驗(yàn)證的口令指引程序來配置密碼強(qiáng)度的

強(qiáng)度

系統(tǒng)。

RE1–人員用戶的口令生人員用戶的口令生成和使用有效期限制√√

成和使用有效期限制

RE2–所有用戶（人員、所有用戶（人員、軟件進(jìn)程或設(shè)備）的口令使用有效期限√

軟件進(jìn)程或設(shè)備）的口令制

使用有效期限制

CR1.8–公鑰基礎(chǔ)設(shè)施當(dāng)使用公鑰基礎(chǔ)設(shè)施（PKI）時(shí)，儀表應(yīng)提供或集成到系統(tǒng)√√√

證書中以提供操作PIK或者從PKI中獲得公鑰證書的能力。

對于利用基于公鑰鑒別的儀表，儀表應(yīng)直接提供或可集成√√√

到一個(gè)系統(tǒng)中，該系統(tǒng)在相同的工業(yè)自動化和控制系統(tǒng)環(huán)

境中可提供以下功能：

通過檢查給定證書的簽名的有效性來驗(yàn)證證書;

CR1.9–基于公鑰鑒別通過將證書部署到所有與證書頒發(fā)主體進(jìn)行通信的主機(jī)

的強(qiáng)度來驗(yàn)證證書鏈，或者是自簽名;

通過檢查給定證書的撤銷狀態(tài)來驗(yàn)證證書;

建立相應(yīng)私鑰的用戶（人員、軟件進(jìn)程或設(shè)備）控制;

將被鑒別的身份映射到用戶（人員、軟件進(jìn)程或設(shè)備）;

確保用于公鑰鑒別的算法和密鑰符合8.5加密的使用。

RE1–基于公鑰鑒別的儀表應(yīng)提供采用硬件機(jī)制保護(hù)關(guān)鍵的、使用期較長的私鑰√√

硬件安全性的能力。

當(dāng)儀表提供鑒別功能時(shí)，儀表應(yīng)提供在鑒別過程中隱藏鑒√√√√

CR1.10–鑒別器反饋

別信息反饋的能力。

當(dāng)一個(gè)儀表提供鑒別能力時(shí)，該儀表應(yīng)能夠提供以下能√√√√

力：

在可配置的時(shí)間段內(nèi)，強(qiáng)制設(shè)置任意用戶（人員、軟件進(jìn)

CR1.11–失敗的登錄

程或設(shè)備）連續(xù)無效訪問嘗試的可配置數(shù)量的限制；

嘗試

在指定的時(shí)間段內(nèi)拒絕訪問，或直到當(dāng)該限制已經(jīng)到期后

由管理員解鎖為止。管理員可以在超時(shí)期限到期之前解鎖

帳戶。

當(dāng)一個(gè)儀表提供本地人員用戶訪問/人機(jī)界面時(shí)，它應(yīng)該√√√√

CR1.12–系統(tǒng)使用提

提供在鑒別之前顯示系統(tǒng)使用提示消息的能力。系統(tǒng)使用

示

提示消息應(yīng)可由授權(quán)人員配置。

對于使用對稱密鑰的儀表，儀表應(yīng)提供以下功能：√√√

使用對稱密鑰建立互信；

CR1.14-基于對稱密鑰鑒

安全地存儲共享密鑰（只要共享密鑰保密，鑒別有效）；

別的強(qiáng)度

限制對共享密鑰的訪問；

確保用于對稱密鑰鑒別的算法和密鑰符合8.5。

7

T/CAMSXXXX—XXXX

RE（1）基于對稱密鑰鑒儀表應(yīng)提供通過硬件機(jī)制保護(hù)關(guān)鍵的、使用期長的對稱密√√

別的硬件安全性鑰的能力。

表7信息安全等級評價(jià)FR2–使用控制（UC）

CR和RE要求說明SL1SL2SL3SL4

√√√√

儀表應(yīng)根據(jù)其分配的責(zé)任為所有經(jīng)過識別和鑒別的人員提供

CR2.1–授權(quán)執(zhí)行

授權(quán)執(zhí)行機(jī)制。

√√√

RE1–所有用戶（人儀表應(yīng)根據(jù)用戶所分配的責(zé)任和最小權(quán)限為所有用戶提供授

員、軟件進(jìn)程和設(shè)備）

的授權(quán)執(zhí)行權(quán)執(zhí)行機(jī)制。

√√√

儀表應(yīng)直接或通過補(bǔ)償性安全機(jī)制提供授權(quán)角色來定義和修

RE2–許可映射到角改所有人員對角色映射的許可。角色不應(yīng)限于固定的嵌套層

色

次結(jié)構(gòu)，其中較高級別角色是較小特權(quán)角色的超集。例如，系

統(tǒng)管理員不一定包含操作員權(quán)限。

√√

RE3–管理員超馳儀表應(yīng)支持管理員手動超馳一個(gè)可配置的時(shí)間或事件順序。

√

當(dāng)行動可能導(dǎo)致對工業(yè)過程的嚴(yán)重影響時(shí)，儀表應(yīng)支持雙重

確認(rèn)。雙重確認(rèn)宜限于需要非常高置信度的，被可靠和正確地

執(zhí)行的行動。要求雙重確認(rèn)強(qiáng)調(diào)了由于未能采取正確行動而

RE4–雙重確認(rèn)

導(dǎo)致的嚴(yán)重后果。需要雙重確認(rèn)的一個(gè)例子就是改變一個(gè)關(guān)

鍵工業(yè)流程的設(shè)定點(diǎn)。如果需要立即采取措施來保障HSE的

后果，例如工業(yè)過程的緊急關(guān)閉，則不應(yīng)采用雙重確認(rèn)機(jī)制。

√√√√

CR2.2–無線使用控如果儀表支持通過無線接口使用，則應(yīng)具備根據(jù)公認(rèn)的行業(yè)

制

慣例支持在系統(tǒng)中集成能夠使用授權(quán)、監(jiān)控和限制的能力。

CR2.3–便攜式和移

尚無與此相關(guān)聯(lián)的儀表層次的要求。

動設(shè)備使用控制

√√√√

在軟件應(yīng)用/嵌入式設(shè)備/主機(jī)設(shè)備/網(wǎng)絡(luò)設(shè)備使用移動代碼

技術(shù)的情況下，應(yīng)用程序應(yīng)提供實(shí)施與移動代碼技術(shù)應(yīng)用相

關(guān)的安全策略的能力。安全策略應(yīng)至少允許對在軟件應(yīng)用

上所使用的每一種移動代碼技術(shù)采取以下行為：

SAR2.4–移動代碼a）控制移動代碼的執(zhí)行；

b）控制哪些用戶（人員、軟件進(jìn)程或設(shè)備）被允許從應(yīng)用程

序傳輸移動代碼，或?qū)⒁苿哟a傳輸?shù)綉?yīng)用程序；

c）根據(jù)代碼執(zhí)行之前的完整性校驗(yàn)結(jié)果控制移動代碼的執(zhí)

行。

8

T/CAMSXXXX—XXXX

√√√

應(yīng)用程序/嵌入式設(shè)備/主機(jī)設(shè)備/網(wǎng)絡(luò)設(shè)備應(yīng)提供實(shí)施安全

√√

RE1–移動代碼真實(shí)策略的功能，該安全策略允許設(shè)備根據(jù)代碼執(zhí)行之前的真實(shí)

性檢查

性檢查結(jié)果來控制移動代碼的執(zhí)行。

如果一個(gè)儀表提供一個(gè)用戶界面，無論是本地訪問還是通過

網(wǎng)絡(luò)訪問，儀表都應(yīng)提供以下功能：

a）通過在可配置的非活動時(shí)間段后啟動會話鎖定或由用戶

CR2.5–會話鎖定√√√√

（人員、軟件進(jìn)程或設(shè)備）手動啟動來防止進(jìn)一步的訪問;

b）會話鎖定在擁有會話的用戶之前保持有效，或者其他授權(quán)

的用戶使用適當(dāng)?shù)臉?biāo)識和鑒別程序重新建立訪問。

如果一個(gè)儀表支持遠(yuǎn)程會話，儀表應(yīng)提供以下功能：在一個(gè)可

CR2.6–遠(yuǎn)程會話終配置的非活動時(shí)間段后自動終止，或者由本地管理員手動終

√√√

止

止，或者由發(fā)起會話的用戶（人員、軟件進(jìn)程或設(shè)備）手動終

止。

CR2.7–并發(fā)會話控儀表應(yīng)能夠限制任何給定用戶（人員、軟件進(jìn)程或設(shè)備）每個(gè)

√√

制

接口的并發(fā)會話數(shù)。

儀表應(yīng)提供生成與以下類別的安全相關(guān)的審計(jì)記錄的能力：

a)訪問控制;

b)請求錯(cuò)誤;

c)控制系統(tǒng)事件;

d)備份和恢復(fù)事件;

e)配置更改;

審計(jì)日志事件。

CR2.8–審計(jì)事件f)√√√√

個(gè)人審計(jì)記錄應(yīng)包括：

a)時(shí)間戳;

b)源（發(fā)起設(shè)備、軟件進(jìn)程或人員用戶帳戶）;

c)類別;

d)類型;

e)事件ID;

f)事件結(jié)果。

√√√√

儀表應(yīng)：

CR2.9–審計(jì)存儲容a)根據(jù)公認(rèn)的日志管理建議，提供分配審計(jì)記錄存儲容量

量的能力；

b)提供機(jī)制以防止儀表到達(dá)或超過審計(jì)存儲容量時(shí)發(fā)生

故障。

√√

RE1–當(dāng)審計(jì)記錄存當(dāng)分配的審計(jì)記錄存儲達(dá)到可配置的閾值時(shí)，儀表應(yīng)提供發(fā)

儲容量達(dá)到閾值時(shí)發(fā)

出警告出警告的能力。

CR2.10–審計(jì)處理√√√√

儀表應(yīng)：

失敗的響應(yīng)

9

T/CAMSXXXX—XXXX

a）在發(fā)生審計(jì)處理失敗事件時(shí)提供防止失去基本服務(wù)和

功能的能力；

b）根據(jù)公認(rèn)的行業(yè)實(shí)踐和建議，提供支持適當(dāng)行動的能

力，以響應(yīng)審計(jì)處理失敗。

√√√

儀表應(yīng)提供為審計(jì)記錄創(chuàng)建時(shí)間戳（包括日期和時(shí)間）的功

CR2.11–時(shí)間戳

能。

√√

RE1–時(shí)間同步儀表應(yīng)提供創(chuàng)建與全系統(tǒng)時(shí)間源同步的時(shí)間戳的能力。

√

RE2–保護(hù)時(shí)間源完時(shí)間同步機(jī)制應(yīng)提供檢測未授權(quán)變更以及由此變更引發(fā)審計(jì)

整性

事件的能力。

√√√√

如果儀表提供人員用戶界面，則儀表應(yīng)有能力確定給定人員

CR2.12–抗抵賴性用戶是否具備特定的操作權(quán)限。不能支持這種能力的控制元

件應(yīng)在儀表文檔中列出。

√

RE1–針對所有用戶儀表應(yīng)提供確定給定用戶（人員、軟件進(jìn)程或設(shè)備）是否采取

的抗抵賴性

了特定行動的能力。

√√√

EDR2.13-使用物理診網(wǎng)絡(luò)設(shè)備應(yīng)防止未經(jīng)授權(quán)使用工廠診斷和測試的物理接口

斷和測試接口

（如JTAG調(diào)試）。

√√

網(wǎng)絡(luò)設(shè)備應(yīng)提供對設(shè)備診斷和測試接口的主動監(jiān)視并在檢測

RE（1）主動監(jiān)視

到訪問這些接口的嘗試時(shí)生成審計(jì)日志。

表8信息安全等級評價(jià)FR3–系統(tǒng)完整性（SI）

CR和RE要求說明SL1SL2SL3SL4

CR3.1–通信完整性儀表應(yīng)該提供保護(hù)傳輸信息的完整性的能力。√√√√

RE1–通信鑒別儀表應(yīng)提供在通信期間驗(yàn)證信息的能力。√√

嵌入式設(shè)備應(yīng)提供防止安裝和執(zhí)行未授權(quán)軟件的能力。√√√√

主機(jī)設(shè)備上應(yīng)有經(jīng)IACS產(chǎn)品供應(yīng)商認(rèn)定的惡意代碼防護(hù)機(jī)

EDR3.2–惡意代碼防

制。IACS產(chǎn)品供應(yīng)商應(yīng)將與惡意代碼防護(hù)有關(guān)的任何特定配

護(hù)

置要求文檔化。

網(wǎng)絡(luò)設(shè)備應(yīng)提供對惡意代碼的防護(hù)。

√√√

RE1–報(bào)告代碼防護(hù)主機(jī)設(shè)備應(yīng)自動報(bào)告使用中的防護(hù)惡意代碼的軟件和文件

版本

版本（作為整體日志記錄功能的一部分）。

CR3.3–信息安全功儀表應(yīng)能提供在FAT、SAT及那個(gè)維護(hù)時(shí)，支持安全功能操作√√√√

能驗(yàn)證的驗(yàn)證和報(bào)告異常事件的能力。

RE1–在正常運(yùn)行時(shí)儀表應(yīng)提供能力以支持在正常運(yùn)行期間驗(yàn)證安全功能預(yù)期操√

的信息安全功能驗(yàn)證作的能力。

儀表應(yīng)提供對軟件、配置和其他信息進(jìn)行完整性檢查或支持√√√√

CR3.4–軟件和信息

完整性檢查的能力，以及記錄和報(bào)告這些檢查的結(jié)果，或集

完整性

成到能夠執(zhí)行或支持完整性檢查的系統(tǒng)中。

10

T/CAMSXXXX—XXXX

儀表應(yīng)提供執(zhí)行或支持對軟件、配置和其他信息進(jìn)行真實(shí)性√√√

RE1–軟件和信息的

校驗(yàn)，以及記錄和報(bào)告校驗(yàn)結(jié)果的能力，或者集成到可以執(zhí)

驗(yàn)證

行或支持執(zhí)行真實(shí)性校驗(yàn)的系統(tǒng)中。

RE2–完整性破壞的如果儀表正在執(zhí)行完整性校驗(yàn)，應(yīng)能在發(fā)現(xiàn)嘗試進(jìn)行未經(jīng)授√√

自動通知權(quán)更改時(shí)向可配置實(shí)體提供自動通知。

儀表應(yīng)檢驗(yàn)用于工業(yè)過程控制輸入或直接影響儀表動作的外√√√√

CR3.5–輸入檢驗(yàn)

部接口輸入的任何輸入數(shù)據(jù)的語法、長度和內(nèi)容。

如果物理或邏輯上連接到自動化過程的儀表無法維持儀表供√√√√

CR3.6–確定性輸出應(yīng)商規(guī)定的正常運(yùn)行狀態(tài)，則應(yīng)提供將輸出設(shè)置為預(yù)定狀態(tài)

的能力。

儀表應(yīng)以不提供可被攻擊者利用以攻擊IACS的信息的方式來√√√√

CR3.7–出錯(cuò)處理

識別和處理錯(cuò)誤信息。

儀表應(yīng)提供保護(hù)通信會話完整性的機(jī)制，包括：√√√

a）在用戶注銷或因其他會話終止時(shí)(包括瀏覽器會話)，使會

話標(biāo)識符失效的能力;

CR3.8–會話完整性

b）能夠?yàn)槊總€(gè)會話生成唯一的會話標(biāo)識符，并且僅識別系統(tǒng)

生成的會話標(biāo)識符；

c）能夠利用普遍接受的方式隨機(jī)性生成唯一會話標(biāo)識符。

CR3.9–審計(jì)信息保儀表應(yīng)保護(hù)審計(jì)信息，審計(jì)日志和審計(jì)工具（如果有的話），√√√

護(hù)防止未授權(quán)情況下的訪問、修改和刪除。

RE1–在一次性寫入儀表應(yīng)提供在強(qiáng)制一次性寫入硬件介質(zhì)中存儲審計(jì)記錄的能√

介質(zhì)上的審計(jì)記錄力。

EDR3.10-支持更新嵌入式設(shè)備應(yīng)支持更新和升級的能力。√√√√

RE（1）-更新真實(shí)性和在安裝任一軟件更新和升級前，嵌入式設(shè)備應(yīng)驗(yàn)證其真實(shí)性√√√

完整性和完整性。

EDR3.11-物理防破壞嵌入式設(shè)備應(yīng)提供防破壞和檢測機(jī)制來防止對設(shè)備的未授權(quán)√√√

和檢測物理訪問。

在發(fā)現(xiàn)有未經(jīng)授權(quán)的物理訪問嘗試時(shí)，嵌入式設(shè)備應(yīng)能夠向√√

RE（1）-破壞嘗試的通

可配置的一組接收人自動提供通知。所有破壞通知都應(yīng)作為

知

整體審計(jì)日志功能的一部分進(jìn)行記錄。

嵌入式設(shè)備/主機(jī)設(shè)備/網(wǎng)絡(luò)設(shè)備應(yīng)：√√√

EDR3.12-置備產(chǎn)品供提供或支持置備和保護(hù)產(chǎn)品供應(yīng)商密鑰和數(shù)據(jù)的機(jī)密性、完

應(yīng)商信任根整性和真實(shí)性的能力，這些密鑰和數(shù)據(jù)在制造設(shè)備時(shí)被用作

一個(gè)或多個(gè)“信任根”。

嵌入式設(shè)備/主機(jī)設(shè)備/網(wǎng)絡(luò)設(shè)備應(yīng)：√√√

a）提供置備和保護(hù)資產(chǎn)所有者密鑰和被用作“信任根”的數(shù)

EDR3.13-置備資產(chǎn)所

據(jù)的機(jī)密性、完整性和真實(shí)性的能力;

有者信任根