6.1　FIA類：用戶標識與鑒別

工業控制系統現場測控設備的通用安全功能要求歸納見附錄B。

6.1　FIA類：用戶標識與鑒別

6.1.1　類描述

用戶標識和鑒別的目的是確定對設備的訪問行為主體（人員、進程和設備）、以及對訪問行為進行控制。

根據設備數字與智能化程度的不同，設備具有多種外部訪問接口，典型的接口包括：

——本地操作面板，用于查看或修改配置；

——本地RS232或RS485接口，用于業務數據傳輸或設備調試、管理；

——網絡，用于設備調試、管理與業務數據傳輸。

通過這些接口對設備進行訪問的典型的用戶包括但不限于以下幾種：

——設備使用、配置等操控人員；

——設備配置軟件；

——系統上位機應用進程。

6.1.2　FIA_IAM族：標識與鑒別方式

6.1.2.1　族描述

設備對用戶身份進行標識和鑒別是對設備最基本的安全防護，也是實現權限分配和訪問控制的基礎。

6.1.2.2　FIA_IAM.1標識及方式

6.1.2.2.1　要求

工控系統現場測控設備應具備標識用戶的能力。

6.1.2.2.2　要求說明

應對重要的用戶提供身份標識，如配置管理用戶、上位機控制進程等。典型的用戶身份標識符包括網絡地址（如物理地址、IP地址）、操控人員的用戶標識符等。

6.1.2.2.3　要求加強

FIA_IAM.1標識及方式的加強要求包括：

a) 設備在所有對外接口上具有標識用戶的能力；

b) 設備在所有對外接口上都具備唯一標識用戶的能力。

6.1.2.2.4　依賴要求

無。

6.1.2.3　FIA_IAM.2鑒別及方式

6.1.2.3.1　要求

工控系統現場測控設備應具備在對外接口對用戶身份進行鑒別的能力。

6.1.2.3.2　要求說明

設備應對開啟的網絡服務接口和重要的本地訪問用戶進行鑒別，如配置管理用戶、遠程訪問服務等。典型的身份鑒別方式包括：口令、共享密鑰、數字證書和生物特征等。

6.1.2.3.3　要求加強

FIA_IAM.2鑒別及方式的加強要求包括：

設備在遠程網絡訪問接口上對具有控制、參數和定值修改功能的用戶實施雙因素鑒別；

設備對所有遠程網絡訪問接口上的用戶實施雙因素鑒別。

6.1.2.3.4　依賴要求

FIA_IAM.2鑒別及方式的依賴要求是FIA_IAM.1。

6.1.3　FIA_IDM族：標識符管理

6.1.3.1　族描述

工控系統現場測控設備能用于標識用戶（人員、進程和設備）的標識包括網絡層面的IP地址、物理地址、TCP/UDP端口、應用地址或操控人員標識符等。

其中人員用戶標識符管理的功能相當于普通IT應用系統的用戶管理，針對直接使用控制面板對設備進行查看或配置的操控人員，而IP地址、物理地址和端口的管理將在訪問控制中闡述。

6.1.3.2　FIA_IDM.1操控人員標識符管理

6.1.3.2.1　要求

工控系統現場測控設備應具備向操控人員分配標識符的能力。

6.1.3.2.2　要求說明

設備應具備向具有運行參數或設備配置訪問權限的操控人員分配標識符的能力。

6.1.3.2.3　要求加強

FIA_IDM.1操控人員標識符管理的加強要求包括：

設備支持對操控人員標識符進行添加、刪除等管理；

設備支持對安全策略規定一段時間不使用的操控人員標識符進行鎖定。

6.1.3.2.4　依賴要求

FIA_IDM.1操控人員標識符管理的依賴要求是FIA_IAM.1。

6.1.4　FIA_ACM族：鑒別憑證管理

6.1.4.1　族描述

工控系統現場測控設備管理用戶身份鑒別憑證的能力主要包括對鑒別憑證的強度和使用的管理。由于對設備的訪問方式可能包括本地面板訪問、串口訪問、網絡訪問、上位機應用訪問，因此鑒別憑證的使用和管理涵蓋設備層和網絡層的鑒別。

6.1.4.2　FIA_ACM.1口令修改

6.1.4.2.1　要求

工控系統現場測控設備應支持管理員等操控人員在不影響正常操作的情況下修改他們管理范圍內口令。設備應支持并提示對出廠默認口令的修改。

6.1.4.2.2　要求說明

主要針對管理員、配置查看用戶、配置修改用戶等設備操控人員口令進行管理。

6.1.4.2.3　要求加強

無。

6.1.4.2.4　依賴要求

FIA_ACM.1口令修改的依賴要求是FIA_IAM.2。

6.1.4.3　FIA_ACM.2口令更換周期

6.1.4.3.1　要求

工控系統現場測控設備應支持安全策略中要求的口令使用周期。

6.1.4.3.2　要求說明

操控人員驗證成功后，工控系統現場測控設備應該提供必要的自動提醒能力，通知用戶距離上次修改密碼時間已經超過了安全策略要求的密碼使用周期。

6.1.4.3.3　要求加強

FIA_ACM.2口令更換周期的加強要求包括：

設備支持管理員對口令更換周期進行配置。

6.1.4.3.4　依賴要求

FIA_ACM.2口令更換周期的依賴要求是FIA_IAM.2。

6.1.4.4　FIA_ACM.3口令強度控制

6.1.4.4.1　要求

工控系統現場測控設備應提供支持安全策略中口令強度要求的能力。

6.1.4.4.2　要求說明

在實現上，當用戶設定口令強度不足時，工控系統現場測控設備應自動提醒用戶口令強度應滿足怎樣的安全策略。

6.1.4.4.3　要求加強

FIA_ACM.3口令強度控制的加強要求包括：

設備支持管理員對口令的最小長度、使用周期和字母或特殊字符數量進行配置。

6.1.4.4.4　依賴要求

FIA_ACM.3口令強度控制的依賴要求是FIA_IAM.2。

6.1.4.5　FIA_ACM.4口令失效

6.1.4.5.1　要求

設備的用戶名/口令鑒別控制不應被繞過。

6.1.4.5.2　要求說明

典型的繞過機制包括但不限于以下機制和技術：

——嵌入式主口令

——嵌入式芯片在硬件或軟件故障時自動運行的默認的管理員權限

——如跳線和開關設置等的密碼模塊或硬件旁路

廠商應說明設備上所有能繞過用戶創建的用戶名/口令鑒別的機制。如果設備沒有這樣的機制，廠商應予以聲明。

6.1.4.5.3　要求加強

無。

6.1.4.5.4　依賴要求

FIA_ACM.4口令失效的依賴要求是FIA_IAM.2。

6.1.4.6　FIA_ACM.5證書及公私鑰管理

6.1.4.6.1　要求

如果使用了公私鑰或證書作為鑒別機制，工控系統現場測控設備（及其配置軟件）應提供對公私鑰和證書進行管理的能力。

6.1.4.6.2　要求說明

用戶使用配置軟件對工業控制系統現場測控設備進行配置時，常使用證書進行身份鑒別，配置軟件應能夠對配置用戶的公鑰進行管理，并對證書進行識別。

在通信層面上，公私鑰可用于現場測控設備和其它設備、遠程配置系統、監控后臺或上位機的通信身份鑒別。設備應保證本地存儲私鑰的安全，應能夠對證書進行正確解析，對證書的真實性和有效性進行驗證。

6.1.4.6.3　要求加強

FIA_ACM.5證書及公私鑰管理的加強要求包括：

a) 現場測控設備及其配置軟件應支持按照安全策略要求定期更新公私鑰；

b) 在工控系統層面上建立有效的公私鑰管理設施，如CA。

6.1.4.6.4　依賴要求

FIA_ACM.5證書及公私鑰管理的依賴要求是FIA_IAM.2。

6.1.4.7　FIA_ACM.6對稱密鑰管理

6.1.4.7.1　要求

如果使用了對稱密鑰作為鑒別機制或進行傳輸數據加密，工控系統現場測控設備應該提供對對稱密鑰進行管理的能力。

6.1.4.7.2　要求說明

對稱密鑰可用于現場測控設備和其它設備、監控后臺或上位機的通信身份鑒別。設備應能保證本地存儲密鑰的安全，同時滿足密鑰管理策略。

6.1.4.7.3　要求加強

FIA_ACM.6對稱密鑰管理的加強要求包括：

現場測控設備應支持按照安全策略要求定期更新對稱密鑰；

現場測控設備應支持工控系統層面上的密鑰管理體系，支持對密鑰的分發、更新和撤銷的實現。

6.1.4.7.4　依賴要求

FIA_ACM.6對稱密鑰管理的依賴要求是FIA_IAM.2。

6.1.4.8　FIA_ACM.7密碼服務失效

6.1.4.8.1　要求

如果使用基于密碼的鑒別機制，工控系統現場測控設備的重要用戶的現場訪問不得依賴于外部密碼服務。

6.1.4.8.2　要求說明

如果外部密碼（如加密、密鑰驗證）服務不可用，可能導致測控設備拒絕服務。本地重要用戶訪問關鍵功能不應依靠外部驗證服務。對于遠程訪問關鍵功能的情況，可酌情考慮使用。

6.1.4.8.3　要求加強

無。

6.1.4.8.4　依賴要求

FIA_ACM.7密碼服務失效的依賴要求是FIA_IAM.2、FIA_ACM.5和FIA_ACM.6。

6.1.5　FIA_LGM族：登錄管理

6.1.5.1　族描述

工控系統現場測控設備登錄管理主要包括對管理員、配置查看用戶、配置修改用戶等操控人員登錄行為的成功、失敗和登錄歷史等進行管理。

6.1.5.2　FIA_LGM.1登錄失敗管理

6.1.5.2.1　要求

工控系統現場測控設備應該管理和記錄操控人員自從最近的成功登錄后的登錄失敗的次數和時間。

6.1.5.2.2　要求說明

主要對管理員等實現鑒別了的重要用戶的登錄失敗行為進行管理。登錄方式涵蓋本地面板登錄、通過私有配置軟件登錄、網絡登錄等方式。

6.1.5.2.3　要求加強

無。

6.1.5.2.4　依賴要求

FIA_LGM.1登錄失敗管理的依賴要求是FIA_IAM.2。

6.1.5.3　FIA_LGM.2登錄成功記錄

6.1.5.3.1　要求

工控系統現場測控設備應該管理和記錄操控人員最后一次登錄成功的日期和時間。

6.1.5.3.2　要求說明

主要對管理員等實現鑒別了的重要用戶的登錄成功進行管理。登錄方式包括本地面板登錄、通過私有配置軟件登錄、網絡登錄等方式。

6.1.5.3.3　要求加強

無。

6.1.5.3.4　依賴要求

FIA_LGM.2登錄成功記錄的依賴要求是FIA_IAM.2。

6.1.5.4　FIA_LGM.3登錄歷史

6.1.5.4.1　要求

用戶驗證成功后，工控系統現場測控設備應顯示最近的登錄成功的時間，及此后該賬號登錄失敗的次數和時間。

6.1.5.4.2　要求說明

主要對管理員等實現鑒別了的重要用戶的登錄進行管理。登錄方式涵蓋本地面板登錄、通過私有配置軟件登錄、網絡登錄等方式。

6.1.5.4.3　要求加強

無。

6.1.5.4.4　依賴要求

FIA_LGM.3登錄歷史的依賴要求是FIA_IAM.2和FIA_LGM.1。

6.1.5.5　FIA_LGM.4多次登錄失敗

6.1.5.5.1　要求

當操控人員在一段時間內失敗的登錄嘗試次數超過了安全策略中的規定值，現場測控設備應執行限制機制。

6.1.5.5.2　要求說明

限制機制包括對操控人員進行鎖定、發出警報等。

6.1.5.5.3　要求加強

FIA_LGM.4多次登錄失敗的加強要求包括：

設備支持管理員對鎖定前的登錄失敗次數和解鎖方式進行配置。

6.1.5.5.4　依賴要求

FIA_LGM.4多次登錄失敗的依賴要求是FIA_IAM.2和FIA_LGM.1。

6.1.5.6　FIA_LGM.5鑒別反饋

6.1.5.6.1　要求

現場測控設備應在鑒別過程中對鑒別的返回信息模糊化，以免非授權人員利用這些信息。

6.1.5.6.2　要求說明

反饋信息中不應包含未授權人員可以利用的危害鑒別機制的信息。

6.1.5.6.3　要求加強

無。

6.1.5.6.4　依賴要求

FIA_LGM.5鑒別反饋的依賴要求是FIA_IAM.2。