《信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求》全文

本標準規定了工業控制網絡安全隔離和信息交換系統的安全功能要求、自身安全要求和安全保障要求。本標準適用于工業控制網絡安全隔離和信息交換系統的設計、開發和測試。。

工業控制網絡安全隔離和信息交換系統通常部署在工業控制網絡的邊界，保護的資產是工業控制網絡；或者部署在生產管理層和過程監控層之間，保護的資產是過程監控層網絡和現場控制層網絡。此外，工業控制網絡安全隔離和信息交換系統本身及其內部的重要數據也是受保護的資產。

本標準將工業控制網絡安全隔離和信息交換系統的安全技術要求分為三類:安全功能、自身安全要求和安全醫院要求。安全功能、自身安全和安全間隙分為基本級和增強級。與基本級內容相比，增強級中要求增加或變更的內容在文本中用粗體表示。

信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求

▼

工業控制網絡安全隔離與信息交換系統一般以二主機加專用隔離部件的方式組成，即由內部處理單元、外部處理單元和專用隔離部件組成。其中，專用隔離部件既可以是采用包含電子開關并固化信息擺渡控制邏輯的專用隔離芯片構成的隔離交換板卡，也可以是經過安全強化的運行專用信息傳輸邏輯控制程序的主機。工業控制網絡安全隔離與信息交換系統中的內、外部處理單元通過專用隔離部件相連，專用隔離部件是兩個安全域之間唯一的可信物理信道。該內部信道裁剪了TCP/IP等公共網絡協議棧，采用私有協議實現公共協議隔離。專用脫離部件通常有兩種實現方式：一是采用私有協議以邏輯方式實現協議隔離和信息傳輸；二是采用一組互斥的分時切換電子開關實現內部物理信道的通斷控制、以分時切換連接方式完成信息擺渡，從而在兩個安全域之間形成一個不存在實時物理連接的隔離區 。