6.2　FUC類：使用控制

6.2.1　類描述

使用控制的目的是為了保護設備，在用戶發起請求之前，確定每個請求訪問設備的用戶標識和權限，根據權限執行所請求的操作，并進行控制和審計。

6.2.2　FUC_ACA族：訪問控制授權

6.2.2.1　族描述

工控系統現場測控設備為不同訪問用戶分配權限，只允許通過身份鑒別的用戶訪問已授權的資源。權限包括設備操控層面的運行數據查看、配置參數變更；系統應用層面的控制命令下發、定值下發、數據量采集。

6.2.2.2　FUC_ACA.1權限管理

6.2.2.2.1　要求

現場測控設備應支持對權限的管理。

6.2.2.2.2　要求說明

需要授權的典型功能包括：

——查看數據：查看數據是指查看設備的運行數據（電壓、電流、功率、狀態、報警等）。

——查看配置設置：查看設備的配置（標值、通信地址、可編程的邏輯程序、固件版本號等）。

——配置變更：下發和上傳裝置的配置文件，變更現有配置（如修改輸入值、設定值、工藝參數值等）。

——固件變更：對不需要變更其硬件的設備進行新固件加載。

——帳戶管理：創建、刪除或修改帳戶內容。

——審計日志：查看或下載審計日志。

——控制命令：上位機對設備下發控制命令。

授權項管理包括：對于設備使用、配置人員和配置軟件，依據配置、查看、審計等角色分配權限，進行權限管理；對于訪問現場設備的其他設備或進程，對其發起采集或控制（功能）命令的權限進行管理。

6.2.2.2.3　要求加強

無。

6.2.2.2.4　依賴要求

無；

6.2.2.3　FUC_ACA.2基于角色的訪問控制

6.2.2.3.1　要求

現場測控設備的訪問控制功能應提供支持基于角色的訪問控制策略的能力。

6.2.2.3.2　要求說明

基于角色的訪問控制，根據具體的用戶訪問權限級別來定義用戶角色，用戶在鑒別成功后被授予與所分配角色對應的權限。對于功能相對簡單的設備，現場測控設備的用戶角色和權限可在出廠時完成配置，如配置用戶、查看用戶、審計用戶、FTP應用訪問、控制上位機等角色。對于設備使用和配置用戶，用戶設置可固定，如只有一個查看用戶、一個配置用戶、一個審計用戶和一個管理員用戶。

6.2.2.3.3　要求加強

無。

6.2.2.3.4　依賴要求

FUC_ACA.2基于角色的訪問控制的依賴要求是FIA_IAM.1。

6.2.2.4　FUC_ACA.3管理員用戶

6.2.2.4.1　要求

現場測控設備訪問控制功能應支持管理員用戶角色，管理員主要負責用戶賬戶管理和安全功能管理。

6.2.2.4.2　要求說明

僅允許管理員角色權限建立和管理其他賬號。對于功能簡單的設備，管理員、配置用戶和審計用戶可由一個用戶承擔，不設置復雜的用戶管理模式。系統運行中可采用“操作票”等管理手段實現用戶和操作人員的對應關系。

6.2.2.4.3　要求加強

無。

6.2.2.4.4　依賴要求

FUC_ACA.3管理員用戶的依賴要求是FIA_IAM.1、FUC_ACA.1和FUC_ACA.2。

6.2.2.5　FUC_ACA.4最小權限原則

6.2.2.5.1　要求

用戶僅具備完成任務所需的最小權限。

6.2.2.5.2　要求說明

新建的操控人員用戶應由管理員來根據策略確定其權限。現場設備的對端設備（上位機或其他現場設備）對設備的訪問也應基于最小權限，如只能訪問某一服務端口、只能進行某一類操作。

6.2.2.5.3　要求加強

無。

6.2.2.5.4　依賴要求

FUC_ACA.4最小權限原則的依賴要求是FIA_IAM.1和FUC_ACA.1。

6.2.2.6　FUC_ACA.5權限分離

6.2.2.6.1　要求

現場測控設備應支持用戶修改重要參數或進行重要控制操作的權限分離管理。

6.2.2.6.2　要求說明

分權管理的典型過程是操作用戶和審核用戶合作獲得訪問設備數據或執行控制操作的權限。主要是針對重要操作流程的安全機制，實現重要控制操作的執行和確認。

6.2.2.6.3　要求加強

無。

6.2.2.6.4　依賴要求

FUC_ACA.5權限分離的依賴要求是FIA_IAM.1、FUC_ACA.1和FUC_ACA.2。

6.2.3　FUC_SEC族：會話控制

6.2.3.1　族描述

工控系統現場測控設備對設備配置軟件和操控人員用戶會話進行控制，通過終止或鎖定超時會話保證會話的安全性。

6.2.3.2　FUC_SEC.1本地會話超時

6.2.3.2.1　要求

當操控人員通過本機控制面板與設備的會話在策略規定的一段時間內不活動，設備應鎖定會話。

6.2.3.2.2　要求說明

會話鎖定應一直保持到用戶重新登錄。

6.2.3.2.3　要求加強

FUC_SEC.1本地會話超時的加強要求包括：

設備支持管理員對會話鎖定前的不活動時間進行配置。

6.2.3.2.4　依賴要求

無。

6.2.3.3　FUC_SEC.2網絡會話超時

6.2.3.3.1　要求

工控系統現場測控設備應在設備配置用戶或配置軟件與設備的會話在策略規定的一段時間內不活動時，對會話進行終止。

6.2.3.3.2　要求說明

網絡會話超時終止主要用于設備配置用戶的網絡訪問，特別是遠程訪問，不對上位機進程進行限制。如果會話建立途經網絡是具有完備物理訪問控制機制的可信網絡，也可依照本地會話超時進行控制。

6.2.3.3.3　要求加強

FUC_SEC.2網絡會話超時的加強要求包括：

a) 設備支持管理員對會話終止前的不活動時間進行配置。

6.2.3.3.4　依賴要求

無。

6.2.4　FUC_ATC族：審計蹤跡產生

6.2.4.1　族描述

工控系統現場測控設備對安全性事件和重要生產活動的進行審計，對于修正錯誤、事故恢復、事件調查等相關工作。

6.2.4.2　FUC_ATC.1審計事件

6.2.4.2.1　要求

工控系統現場測控設備應具備審計功能，對重要的安全性事件和重要生產活動進行審計。

6.2.4.2.2　要求說明

管理層面上，應根據設備和設備運行環境的風險評估結果決定需要審計的事件。

典型的重要設備操作事件包括：

——登錄成功：操控人員成功本地/遠程登錄設備；

——非法登錄嘗試：操控人員連續多次輸入口令錯誤；

——正常退出：操控人員發起的退出；

——超時退出：在預先定義好的一段時間內不活動，系統注銷操控人員此次登陸；

——訪問配置：將配置文件從設備下載存儲到外部設備中（例如，計算機，記憶棒，光盤）；

——配置更改：在設備中傳入新配置或者通過面板輸入新配置參數，使設備的配置發生改變；

——固件更換：在內存中增加新的設備運行固件；

——創建用戶名/口令或更改：創建新的操控人員用戶名/口令或者修改權限；

——刪除用戶名/口令：刪除操控人員用戶名/口令；

——訪問審計蹤跡：操控人員查看日志或將日志保存在外部設備或存儲空間（計算機、內存條、光盤）；

——修改時間/日期：用戶修改時間和日期。

典型的重要生產活動包括：

——參數修改：上位機或其它設備修改設備的開關量、檔位等參數；

——設備重啟：由于斷電、按下重啟按鈕、修改上電順序或配置修改導致的設備重啟；

——非法連接嘗試：不符合訪問控制策略的連接嘗試，如連接非法的IP、MAC或不允許訪問的端口。

審計事件要與設備具備并開啟的安全功能相對應，如不具備訪問控制功能的設備不需要記錄“非法連接嘗試”事件。

6.2.4.2.3　要求加強

FUC_ATC.1審計事件的加強要求包括：

a) 設備支持管理員對需要審計的事件清單進行配置。

6.2.4.2.4　依賴要求

FUC_ATC.1審計事件的依賴要求是FIA_LGM.2、FIA_LGM.4、FRF_NAC.2和FRA_BUC.1。

6.2.4.3　FUC_ATC.2審計蹤跡的內容

6.2.4.3.1　要求

工控系統現場測控設備或承擔審計功能的組件，其審計蹤跡中應包含足夠的可用于追蹤與分析安全事件的內容。

6.2.4.3.2　要求說明

根據審計蹤跡，用戶能夠確定有哪些事件發生，事件發生時間，事件來源和事件結果。大多數審計蹤跡內容包括：

——事件的日期和時間；

——事件的來源（例如，用戶ID、應用地址、設備IP等）；

——事件的操作；

——事件的結果（成功或失敗）。

6.2.4.3.3　要求加強

FUC_ATC.2審計蹤跡的內容的加強要求包括：

a) 設備支持管理員對審計蹤跡的內容進行配置。

6.2.4.3.4　依賴要求

FUC_ATC.2審計蹤跡的內容的依賴要求是FUC_ATC.1。

6.2.4.4　FUC_ATC.3審計的時間戳

6.2.4.4.1　要求

工控系統現場測控設備或承擔審計功能的組件，其審計蹤跡的時間應基于“系統時間”。

6.2.4.4.2　要求說明

系統時間是指工控系統內同步的時間，以便各種來源的事件都可以準確地和一個時間基準比對，準確地判斷事故。

6.2.4.4.3　要求加強

無。

6.2.4.4.4　依賴要求

無。

6.2.4.5　FUC_ATC.4用戶關聯

6.2.4.5.1　要求

工控系統現場測控設備或承擔審計功能的組件，其記錄的每個審計事件都應與引起該事件的用戶相關聯。

6.2.4.5.2　要求說明

無。

6.2.4.5.3　要求加強

無。

6.2.4.5.4　依賴要求

FUC_ATC.4用戶關聯的依賴要求是FIA_IAM.1。

6.2.5　FUC_ATS族：審計蹤跡存儲

6.2.5.1　族描述

工控系統現場測控設備存儲并保護安全性事件和重要生產活動的審計蹤跡，分析時獲得足夠的、正確的信息。

6.2.5.2　FUC_ATS.1審計存儲容量

6.2.5.2.1　要求

工控系統現場測控設備應具備一定的審計蹤跡存儲容量。

6.2.5.2.2　要求說明

如果由工控系統現場測控設備自身完成審計功能，那么設備能維護一個大小合理的存儲空間，在滿足審計功能的同時，保證不影響設備的可用性。

6.2.5.2.3　要求加強

無。

6.2.5.2.4　依賴要求

無。

6.2.5.3　FUC_ATS.2審計功能異常

6.2.5.3.1　要求

工控系統現場測控設備或從事審計功能的組件應在審計失敗時發出適當的告警。

6.2.5.3.2　要求說明

告警的方式如警示燈、鳴笛等。審計處理失敗包括軟件或硬件錯誤、生成審計蹤跡過程中的錯誤、審計蹤跡存儲空間滿載等。

6.2.5.3.3　要求加強

FUC_ATS.2審計功能異常的加強要求包括：

設備支持管理員配置設備在審計蹤跡存儲空間滿載時可自動執行的操作，如覆蓋舊的審計蹤跡或停止生成審計蹤跡等。

6.2.5.3.4　依賴要求

FUC_ATS.2審計功能異常的依賴要求是FUC_ATS.1。

6.2.5.4　FUC_ATS.3審計蹤跡保護

6.2.5.4.1　要求

工控系統現場測控設備或從事審計功能的組件應保護審計蹤跡和審計工具不被非授權訪問、修改或刪除。

6.2.5.4.2　要求說明

應保證只有授權用戶可對審計蹤跡進行操作。可通過增加校驗碼實現審計蹤跡的防篡改。

6.2.5.4.3　要求加強

FUC_ATS.3審計蹤跡保護的加強要求包括：

設備為審計蹤跡提供基于密碼的保護功能。

6.2.5.4.4　依賴要求

FUC_ATS.3審計蹤跡保護的依賴要求是FUC_ACA.1。

6.2.6　FUC_ATR族：審計蹤跡訪問

6.2.6.1　族描述

工控系統現場測控設備支持用戶對審計蹤跡進行訪問，便于查看、分析和集中處理。

6.2.6.2　FUC_ATR.1審計蹤跡讀取

6.2.6.2.1　要求

工控系統現場測控設備或從事審計功能的組件應保證以便于用戶理解的方式提供審計蹤跡，且只有授權用戶可讀取審計蹤跡。

6.2.6.2.2　要求說明

只有授權用戶具備獲得和解釋審計蹤跡的能力。用戶是操控人員時，信息必須以可理解的方式表示；用戶為外部IT實體時，信息必須以電子方式無歧義的表示。

6.2.6.2.3　要求加強

無。

6.2.6.2.4　依賴要求

FUC_ATR.1審計蹤跡讀取的依賴要求是FUC_ACA.1和FUC_ATS.3。

6.2.6.3　FUC_ATR.2審計蹤跡報送

6.2.6.3.1　要求

工控系統現場測控設備或承擔審計功能的組件應能夠將自身審計蹤跡發送給其它設備進行更高級別的審計。

6.2.6.3.2　要求說明

由于嵌入式設備的審計蹤跡存儲容量是有限的，宜從系統層面使用工具對系統范圍內所有設備和主機的審計蹤跡進行過濾和分析，設備的審計蹤跡格式應是統一的。

6.2.6.3.3　要求加強

無。

6.2.6.3.4　依賴要求

無。

6.2.6.4　FUC_ATR.3審計報告

6.2.6.4.1　要求

工控系統現場測控設備或承擔審計功能的組件應具備審計歸納和報告功能，以實現對審計蹤跡的歸納、審查。報告工具支持在不改變原始審計蹤跡的情況下作安全事件的事后調查。

6.2.6.4.2　要求說明

一般情況下，審計蹤跡的歸納和報告的生成會在一個獨立的信息系統中執行，比如在系統范圍審計工具中實現。

6.2.6.4.3　要求加強

無。

6.2.6.4.4　依賴要求

FUC_ATR.3審計報告的依賴要求是FUC_ATR.2。