《网络关键设备安全技术要求 可编程逻辑控制器（PLC）-编制说明》.pdfVIP

国家标准报批资料 一、工作简况 1.1任务来源 根据全国信息安全标准化技术委员会下达的2019年网络安全标准项目立项 清单，《信息安全技术 可编程逻辑控制器（PLC）安全技术要求和测试评价方法》 由国家工业信息安全发展研究中心负责牵头起草。 1.2主要起草单位和工作组成员 国家工业信息安全发展研究中心负责起草，中国电子技术标准化研究院、中 国网络安全审查技术与认证中心、国家计算机网络应急技术处理协调中心、国家 信息技术安全研究中心、公安部第三研究所、工业和信息化部计算机与微电子发 展研究中心 （中国软件评测中心）、中国信息通信研究院、中国电子信息产业集 团有限公司第六研究所、中国信息安全测评中心、机械工业仪器仪表综合技术经 济研究所、西门子 （中国）有限公司、施耐德电气 （中国）有限公司、浙江中控 技术股份有限公司、南大傲拓科技江苏股份有限公司、北京和利时智能技术有限 公司、烽台科技 （北京）有限公司、欧姆龙自动化 （中国）有限公司、中国电力 科学研究院有限公司、北京腾控科技有限公司、北京威努特技术有限公司、三菱 电机自动化 （中国）有限公司等单位共同参与了该标准的起草工作。 1.3 主要工作过程 2018年4月，国家工业信息安全发展研究中心对PLC产品开展调研和资料收集 工作，并对PLC产品安全功能进行了内部测试。 5月-7月，基于PLC产品实际的测试情况，结合国内和国际相关工业控制系统 及设备相关安全标准，形成PLC产品安全要求和测试评价规范的框架结构。 8月-10月，组织召开测试机构内部讨论会，对标准草案的框架架构进行调整， 并编写完成 《信息安全技术 可编程逻辑控制器 （PLC）安全技术要求和测试评价 方法》标准草案初稿。 11月-12月，组织召开PLC厂商意见座谈会，介绍标准草案初稿的编制工作及 主要内容，听取行业各厂商相关意见； 2019年1月-3月，组织标准草案初稿的专家评审会，汇总整理专家修改意见， 完成标准草案初稿修改稿编制工作。 国家标准报批资料 4月，参与全国信息安全标准化技术委员会2019年第一次标准周会议，申请 国家标准项目立项，汇总整理6条修改意见。 5月-8月，组织编制工作组对标准周反馈的修改意见进行逐项修改，组织测 试机构和PLC厂商对标准草案中的测试评价方法进行验证。 9月，公开征集 《信息安全技术 可编程逻辑控制器 （PLC）安全技术要求和 测试评价方法》标准参编单位，新增中电智能科技有限公司、中国科学院信息工 程研究所等19家单位参与标准编制工作。 二、标准编制原则和确定主要内容的论据及解决的主要问题 （一）标准编制原则 本标准编制原则是： 1.严格按照GB/T1.1-2009 《标准化工作导则》的要求起草； 2.标准的相关内容应符合国家有关法律法规、强制性标准及相关产业政策要 求； 3.标准要具有科学性、先进性、经济性和可行性。 （二）拟解决的主要问题 1.界定整体式和模块式结构的PLC测试评价对象； 2.统一PLC安全功能要求以及相应的安全保障要求； 3.规范PLC安全功能和安全保障要求所应采取的测试评价方法。 （三）标准草案主要内容 本标准规定了可编程逻辑控制器（PLC）信息安全技术要求和测试评价方法。 由于PLC本身为具有控制功能的自动化电器设备，涉及保障人身安全等安装、运 维的相关技术要求不在本标准的范围之内。本标准适用于指导PLC设计、开发、 检测和评估。 1.评价对象的确定。 明确界定整体式和模块式PLC设备安全测试评价主体，确定PLC测试评价主 体的基本结构应至少包括CPU模块、输入模块、输出模块、通信模块和电源模块， 应用于特定场景的PLC产品还应包含其专用模块（如高速计数模块、运动控制模 块等）； 2.安全功能要求和安全保障要求的确定。 研究提出PLC所应具备的安全功能要求和安全保障要求。其中，安全功能要 国家标准报批资料 求参照国外IEC 62443-4-2嵌入式产品通用安全功能要求分为用户标识与鉴别、 使用控制、数据完整性、数据保密性、数据流限制和资源可用性7类；安全保障 要求分为开发、指导性