6.2 增強級要求

6.2 增強級要求

6.2.1　網絡層控制

6.2.1.1　包過濾

工控防火墻的包過濾要求如下：
a) 安全策略應使用默認禁止原則，即除非明確允許，否則就禁止；
b) 安全策略應包含基于源IP地址、目的IP地址的訪問控制；
c) 安全策略應包含基于源端口、目的端口的訪問控制；
d) 安全策略應包含基于協議類型的訪問控制；
e) 安全策略可包含基于MAC地址的訪問控制；
f) 安全策略可包含基于時間的訪問控制；

6.2.1.2　NAT

部署域間的工控防火墻應具備NAT功能，具體技術要求如下：
a） 應支持雙向NAT：SNAT和DNAT；
b） SNAT應至少可實現“多對一”地址轉換，使得內部網絡主機訪問外部網絡時，其源IP地址被轉換；

6.2.1.3　狀態檢測

工控防火墻應具備狀態檢測功能，支持基于狀態檢測技術的訪問控制。

6.2.1.4　動態開放端口

工控防火墻應具備動態開放端口功能，應至少支持OPC、FTP。

6.2.1.5　IP/MAC地址綁定

工控防火墻應支持自動或管理員手動綁定IP/MAC地址；應能夠檢測IP地址盜用，攔截盜用IP地址的主機經過工控防火墻的各種訪問。

6.2.1.6　流量監測

部署域間的工控防火墻應具備流量統計功能：
a) 能夠通過IP地址、網絡服務、時間和協議類型等參數或它們的組合對流量進行正確的統計；
b) 能夠實時或者以報表形式輸出流量統計結果；

6.2.1.7　帶寬管理

部署域間的工控防火墻應具備帶寬保障功能，使得在帶寬出現擁堵時，能夠保障重要終端的網絡通信。

6.2.1.8　抗拒絕服務攻擊

工控防火墻具有抗拒絕服務攻擊的能力，具體技術要求如下（包括，但不限于）：
a) ICMP Flood攻擊；
b) UDP Flood攻擊；
c) SYN Flood攻擊；
d) TearDrop攻擊；
e) Land攻擊；

#### 6.2.1.9　網絡掃描防護

工控防火墻應能夠檢測和記錄掃描行為，包括對工控防火墻自身和受保護網絡的掃描。

6.2.2　應用層控制

6.2.2.1　應用協議控制

工控防火墻應能識別并控制各種應用類型，具體技術要求如下：
a） 支持HTTP、FTP、Telnet等通用應用層協議；
b） 支持常用工業控制協議，如OPC、ModBus TCP、Profinet、BACnet、DNP3、IEC104等；

6.2.2.2　工業協議深度內容檢測

工控防火墻應能對主流工業協議進行深度內容檢測，具體技術要求如下：
a） 工控協議格式規約檢查，禁止不符合協議規約的通信；
b） 工業協議的操作類型、操作對象、操作范圍等參數進行控制；
c） 至少支持三種主流工控協議。

6.2.3　自身安全功能要求

6.2.3.1　運維管理

6.2.3.1.1　管理安全

工控防火墻應具備相應措施保證管理安全，具體技術要求如下：
a) 支持對授權管理員的口令鑒別方式，且口令設置滿足安全要求；
b) 應在所有授權管理員請求執行任何操作之前，對每個授權管理員進行唯一的身份鑒別；
c) 應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別；
d) 應具有登錄失敗處理功能，身份鑒別在經過一個可設定的鑒別失敗最大次數后，工控防火墻應終止管理主機或用戶建立的會話；

6.2.3.1.2　管理方式

工控防火墻應具備多種管理方式，具體技術要求如下：
a) 應支持進行本地管理工控防火墻；
b) 應支持通過安全管理平臺方式對工控防火墻進行集中管理；
c) 應支持通過網絡接口進行遠程管理，并可限定可進行遠程管理的網絡接口；
d) 應支持對可遠程管理的主機地址（IP或MAC）進行限制；
e) 應支持通過標準協議（如SNMP）對工控防火墻的狀態進行監測，如CPU、內存使用率，接口狀態等；

6.2.3.1.3　管理能力

工控防火墻應具備相應的管理能力，具體技術要求如下：
a） 向授權管理員提供設置和修改安全管理相關的數據參數的功能；
b） 向授權管理員提供設置、查詢和修改各種安全策略的功能；
c） 向授權管理員提供管理審計日志的功能；

6.2.3.2　安全審計

6.2.3.2.1　記錄事件類型

工控防火墻應具備安全審計功能，記錄事件類型要求如下：
a） 工控防火墻訪問控制策略匹配的訪問請求；
b） 訪問控制策略默認禁止的訪問請求，包括試圖穿越或到達防火墻的訪問請求；
c） 檢測到的攻擊行為；
d） 試圖登錄工控防火墻管理端口和管理身份鑒別請求；
e） 對工控防火墻系統重要管理配置操作，如增加/刪除/修改管理員、保存/刪除審計日志、更改安全策略和配置參數等；

6.2.3.2.2　日志內容

工控防火墻應具備安全審計功能，日志內容要求如下：
a） 事件發生的日期時間，日期應包括年、月、日，時間應包括時、分、秒；
b） 訪問控制日志應包括數據包的協議類型、源地址、目標地址、源端口、目標端口，允許或禁止；
c） 工控協議的深度內容檢查信息；
d） 管理日志應包括事件主體、事件客體、事件描述；

6.2.3.2.3　日志管理

工控防火墻應支持日志管理功能，具體技術要求如下：
a) 應只允許授權審計員能夠對日志進行讀取、存檔、導出、刪除和清空等操作；
b) 應提供能查閱日志的工具，具備對審計事件以時間、日期、主體標識、客體標識等條件檢索的能力，并且只允許授權管理員使用查閱工具；
c) 審計事件應存儲于掉電非易失性存儲介質中，且在存儲空間達到閾值時至少能夠通知授權管理員；

6.2.3.3　安全管理

6.2.3.3.1　安全支撐系統

工控防火墻的底層支撐系統應滿足以下要求：
a) 確保其支撐系統不提供多余的網絡服務；

6.2.3.3.2　異常處理機制

工控防火墻在非正常條件（比如掉電、強行關機）關機再重新啟動后，應滿足如下技術要求：
a) 安全策略恢復到關機前的狀態；
b) 日志信息不會丟失；
c) 管理員重新鑒別。

6.2.3.4.1　可用性保障

部署在現場控制層的工控防火墻應具備Bypass功能，當工控防火墻自身出現斷電或其他軟硬件故障時，應使工控防火墻內部接口與外部接口直接物理連通，保持內部網絡與外部網絡之間的正常通信，并及時告警。

6.2.3.4.2　設備自檢

工控防火墻應具備一定的自檢功能：
a) 在初始化或啟動期間，應能對設備硬件、程序或功能模塊、重要配置文件等進行檢測，當發現異常時能夠及時告警，并對程序文件或者配置文件的異常提供一定的恢復功能；

6.2.3.4.3　多工作模式

工控防火墻應支持多種工作模式，保證工控防火墻區分部署和工作過程以實現對被防護系統的最小影響，具體技術要求如下：
a) 支持學習模式，工控防火墻記錄運行過程中經過防火墻的所有策略、資產等信息，形成白名單策略集；
b) 應支持工控協議的深度內容檢測策略學習，學習深度與工業協議深度內容檢測深度一致；
c) 支持驗證模式或測試模式，該模式下工控防火墻對禁止策略進行告警，但不攔截；

6.2.3.4.4　安全策略無擾下裝

工控防火墻安全策略應用時不應影響正常的數據通信。

6.2.3.4.5　時間同步

工控防火墻應支持與時鐘服務器自動同步時鐘功能。

6.2.3.4.6　電源冗余

部署現場控制層的工控防火墻應提供雙電源冗余功能；

6.2.3.4.7　散熱方式

部署現場控制層的工控防火墻應采用自然散熱，無風扇方式設計。

6.2.3.4.8　雙機熱備

部署域間的工控防火墻應具備雙機熱備的能力，當主防火墻自身出現斷電或其他軟硬件故障時，備防火墻應及時發現并接管主防火墻進行工作