国家标准计划《工业防火墙信息安全技术要求》由 TC124（全国工业过程测量控制和自动化标准化技术委员会）归口 ，主管部门为中国机械工业联合会。

主要起草单位 中国信息安全测评中心 、北京和利时系统工程有限公司 、机械工业仪器仪表综合技术经济研究所 。

随着信息化与工业化深度融合的快速发展，工业控制系统面临日益增强的信息安全问题。

第一，从工业控制系统自身来看，工业控制系统本身的漏洞和攻击面日益增加。

第二，从外部环境来看，针对工业控制系统的漏洞发现技术、攻击技术和攻击人员能力正在不断增强。

面对上述情况，为了增强工业控制系统信息安全，国内外安全厂商相继推出了工控安全防护产品，其中工业防火墙是进展较为迅速，研发较为成熟的一类产品。

本标准针对工业防火墙的安全测评进行研究，研制相关标准，是为了规范和促进高质量、安全和可控的工业防火墙产品的开发；进一步加强在涉及国家安全的工业自动化生产领域中工控产品的安全性和可控性，维护国家和用户的安全利益；促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。

具体表现为： (1)IT防火墙测评标准不适用于工业防火墙 工业防火墙与IT防火墙存在差异，主要由于两者的应用环境不同，工业控制系统采用工业专有通信协议，强调实时性、可用性，保护的重点在于控制单元和人。

而IT系统采用TCP/IP等标准通信协议，强调保密性，允许一定的时延，保护的重点是IT资产和数据。

同时，工业防火墙针对工业协议进行过滤，并且不同于IT防火墙的黑名单机制，工业防火墙为白名单机制，因此现有的传统防火墙标准都不能较好的适用于工业防火墙。

(2) 规范市场及产业的发展 随着工业控制领域攻击事件的增多，工控防护产品得到迅猛发展。

各大控制系统厂商和安全厂商纷纷研究开发针对工业控制系统的安全防护产品，在竞争激烈的市场中，人们逐渐发现市场上的产品质量参差不齐，其主要原因还在于厂商无章可循，用户认知不足，评定标准缺失，服务质量难以规范等诸多障碍。

工业防火墙标准的制定能够规范工业防火墙市场的健康发展，推动产品规模化和产业化的发展。

。

1．范围 本标准规定了采用工业控制协议工业防火墙的安全技术要求，技术要求包括安全功能要求、安全保障要求及安全性能要求。 本标准适用于采用工业控制协议工业防火墙的研制、开发、测试、评估和产品的采购。 2 规范性引用文件 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准。 ？ GB/T 18336.1 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型 GB/T 18336.2 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能组件 GB/T 18336.3 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保障组件 GB/T 25069-2010 信息安全技术 术语 3 术语、定义和缩略语 3.1 术语和定义 本节描述了在本标准中使用到的有关术语。 工业防火墙 Industrial Control Firewall 一个或一组能够在工业控制网络中实施针对工业协议访问控制和监控的系统。 根据工业防火墙应用及部署环境的不同，分为现场级工业防火墙和区域级工业防火墙。其中现场级工业防火墙部署在现场设备和上位机之间；区域级工业防火墙部署在工业控制系统的控制边界或控制子系统的边界。 3.2 缩略语 SF 安全功能 Security Function SFP 安全功能策略 Security Fu nction Policy 4. 评估对象（TOE）描述 工业防火墙的用途是通过允许、拒绝和/或重定向通过工业防火墙的数据流，提供对一个组织的不同工业网络之间服务访问的控制和审计。本标准阐述了作为一个工业防火墙的TOE的最低安全要求。TOE根据网络中各点的安全规则策略，有选择地在不同网络间发送信息流。默认的安全规则策略拒绝所有入站和出站的信息流。仅授权管理员具有改变安全规则策略的权限。工业防火墙一般部署在工控设备前端、工控网络边界位置，根据安全策略对数据进行安全控制，保障工控设备和工控网络内的信息安全。 5. 安全问题定义 5.1假设 本节包含关于安全环境和TOE使用的假设。 5.1.1 用法假设 A.GENPUR TOE不具备通用用途的处理能力（例如，处理随机代码或应用程序的能力）和存储知识库的能力。 5.1.2 物理假设 A.SINGEN 信息在内部网络与外部网络间传输必须通过TOE。 5.1.3 人员假设 A.NOEVIL 授权管理员是值得信任、无恶意的，其操作遵循所有的管理员指南；然而，他们是有可能出错的。 5.2 威胁 本节描述针对TOE或环境的威胁。 5.2.1 TOE所对抗的威胁 威胁的行为者是未经授权的人或未经授权使用TOE本身的外部实体。 T.NOAUTH 未经授权的人可能试图旁路TOE的安全，来访问和使用TOE提供的安全功能和/或非安全功能。 T.REPEAT 未经授权的人可能反复尝试猜测鉴别数据，以便使用此信息发起对TOE的攻击。 5.2.2 运行环境所对抗的威胁 下面所讨论的可能发生的威胁必须使用程序的手段和/或管理的方式来对抗。 T.TUSAGE 已授权的或未授权的人可能以不安全的方式不负责任的配置、使用和管理TOE 5.3 组织安全策略 P.CRYPTO 为了保护远程管理功能，ST作者应当制定加密算法的依据标准。相关的加密模块应当最低限度地遵循ST作者规定或指定的相关标准，并阐明密码算法所依据的国家相关管理规定。 6 安全目的 6.1 TOE安全目的 下面是TOE的安全目的： O.IDAUTH 在允许用户访问TOE功能以前，TOE对所有用户所生成的身份必须进行唯一的标识和鉴别。 O.SINUSE 用于用户从所连接的网络中尝试在TOE上的鉴别，TOE必须阻止鉴别数据的重用。 6.2 环境安全目的 O.PHYSEC TOE在物理上是安全的。 O.MODEXP 针对发现可开发利用的脆弱性的恶意攻击的威胁被认为是基本级别的。 7. 安全功能要求 本标准的安全功能要求由以下组件构成 FIA类：标识和鉴别 FIA_ATD.1 用户属性定义 FIA.UID.2 任何动作前的用户标识 FIA_AFL.1 鉴别失败处理 FIA_UAU.2 任何动作前的用户鉴别 FDP类：用户数据保护 FDP_IFC.1 子集信息流控制 FDP_IFF.1 简单安全属性 FMT类：安全管理 FMT_SMR.1 安全角色 FMT_MSA.1 安全属性管理 FMT_MSA.3 静态属性初始化 FMT_MTD.1 TSF数据的管理 FMT_MTD.2 TSF数据限制的管理 FMT_SMF.1 管理功能规范 FMT_MOF.1 安全功能行为的管理 FPT类：TSF保护 FPT_FLS.1 失效保护 FPT_RVM.1 TSP的不可旁路性 FPT_STM.1 可靠的时间戳 FAU类：安全审计 FAU_GEN.1 审计数据产生 FAU_SAR.1 审计查询 FAU_SAR.3 可选审计查询 FAU_STG.1 受保护的审计迹存储 FAU_STG.4 防止审计数据丢失 FTA类：TOE访问 FTA_SSL.3 TSF原发会话终止 FTP类：可信路径/信道 FTP_TRP.1 可信路径 8. 安全保障要求 ACM类：配置管理 ACM_CAP.3授权控制 ACM_SCP.1 TOE CM覆盖 ADO类：交付和运行 ADO_DEL.1 交付程序 ADO_IGS.1 安装、生成和启动程序 ADV类：开发 ADV_FSP.1 非形式化功能规范 ADV_HLD.2 安全加强的高层设计 ADV_RCR.1 非形式化对应性证实 AGD类：指导性文档 AGD_ADM.1 管理员指南 AGD_USR.1 用户指南 ALC类：生命周期支持 ALC_DVS.1 安全措施标识 ATE类：测试 ATE_COV.2 覆盖分析 ATE_DPT.1 测试：高层设计 ATE_FUN.1 功能测试 ATE_IND.2 独立测试----抽样 AVA类：脆弱性评定 AVA_MSU.1 指南审查 AVA_SOF.1 TOE安全功能强度评估 AVA_VLA.1 开发者脆弱性分析 9. 基本原理 9.1安全目的基本原理 9.2安全要求基本原理 10. 性能测试 10.1 测试环境 10.2 测试内容 10.2.1 整机UDP吞吐量 10.2.2 整机UDP延迟 10.2.3 TCP 最大连接速率 10.2.4 TCP 最大并发连接数