GA／T 1562-2019标准规范下载简介

GA／T 1562-2019 信息安全技术 工业控制系统边界安全专用网关产品安全技术要求简介：

GA/T 1562-2019《信息安全技术 工业控制系统边界安全专用网关产品安全技术要求》是由中国国家信息安全标准化技术委员会制定的一份信息安全技术标准。这份标准主要针对工业控制系统（ICS）的网络边界安全专用网关产品，提出了详细的产品安全技术要求，旨在保障工业控制系统在网络环境中的安全运行。

该标准主要包括以下几个方面的要求：

1. 功能要求：包括数据包过滤、访问控制、安全审计、入侵检测和预防、网络隔离、协议转换等基本功能，以及对工业协议（如Modbus、OPC UA等）的特殊保护。

2. 安全性要求：包括对恶意代码的防护、数据加密、用户授权、访问控制策略、安全审计日志等，确保数据在传输过程中的完整性、保密性和可用性。

3. 可靠性要求：保证网关的高可用性和稳定性，防止因故障导致的工业控制系统中断。

4. 可扩展性和互操作性：支持与不同工业设备和系统之间的兼容性，以满足工业环境的多样性。

5. 管理功能：提供用户友好的管理界面，便于配置、监控和维护网关。

6. 符合相关法规和标准：产品应符合国家和国际相关的信息安全法律法规和标准，如GB/T 22239《信息安全技术 信息系统安全等级保护基本要求》等。

总的来说，GA/T 1562-2019是规范工业控制系统专用网关产品设计、研发、生产和使用的安全准则，旨在确保工业控制系统的信息安全，防止因网络安全事件导致的潜在风险。

GA／T 1562-2019 信息安全技术 工业控制系统边界安全专用网关产品安全技术要求部分内容预览：

GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 网关gateway 在网络或各子网之间，在不同安全域内的软件应用系统之间，一种旨在按照给定的安全策略来 柯络的连接点。

3.1 网关gateway 在网络或各子网之间，在不同安全域内的软件应用系统之间，一种旨在按照给定的安全策略来保护 网络的连接点。

5.1安全技术要求分类

本标准将工业控制系统边界安全 类。其中，安全功能要求是对工业控制系统边界安全专用网关产品应具备的安全功能提出具体要求，例 如：基于白名单策略的访问控制、控制功能防护、

WM-GD02标准下载工业控制系统边界安全专用网 安全功能要求、性能要求和安全保障要 GB/T18336.3—2015

6.1基于白名单策略的访问控制

应支持基于白名单策略的访问控制，包括网络层

产品应为受保护的工控系统和设备提供控制功能防护，阻断非正常操作，同时保证正常操作的稳定 运行。

当产品可能受到攻击时，能够自动记录攻击发起人的IP地址及攻击的时间。产品安全功能应： a）生成实时报警信息； b）阻断发起攻击的IP地址的再次访间

产品应为其自身应用提供可靠的时间校对机制

6.6工业控制协议支持

产品应具备工业控制专有协议以及多种状态或指令主流格式数据的检查、过滤、交换、阻断等功能， 支持协议数量如下： a）基本级至少支持2种工业控制协议； b）增强级至少支持5种工业控制协议

6.7适用于多种现场环境

产品应适用于集散控制系统（DCS)、数据采集与监视控制系统（SCADA)或现场总线等现

产品应为其自身应用提供可靠的与时间服务器进行时间同步机制。

为其自身应用提供可靠的与时间服务器进行时间

GA/T15622019

产品应具备双机热备功能，具体技术要求如下： a）支持物理设备状态检测。当主网关自身出现断电或其他故障时，备用网关及时发现并接管主 网关进行工作。 b）具备基于链路状态检测的双机热备功能。当主网关直接相连的链路发生故障而无法正常工作 时，备用网关及时发现并接管主网关进行工作。

6.10支持IPv4/IPv6

6.10.1支持IPv4/IPv6网络环境下的产品自身管理

IPv6网络环境下的产品

产品的组件（如果有多个组件，包括远程管理终端）间的通讯应支持IPv6及过渡环境。 6.10.2支持IPv4/IPv6网络环境下的对工控系统进行防护

除支持款认的工控协议集外，产品还应充许授权管理员定义新的协议，或对协议的端口进行重新 定义。

6.12.1分布式部署

产品应具有本地或异地分布式部署、远程管理的能力

应设置集中管理中心，对分布式、多级部署的产品进行统一集中管理，形成多级管理结构

产品应配备不同的端口分别用于产品管理和提

产品应配备不同的端口分别用于产品管理和提

产品应具有多级管理的能力。

产品应具有多级管理的能

6.13.1管理员鉴别

应在管理员执行任何与安全功能相关的操作之前

6.13.2鉴别失败处理

当管理员鉴别尝试失败连续达到指定次数后，产品应锁定该帐号或登录IP。最多失败次数仅 管理员设定。

6.13.3鉴别数据保护

产品应保护鉴别数据不被未授权查阅和修改

GA/T1562=2019

产品应具有管理员登： 再次进行身份鉴别才能够重新管理 又由授权管理员设定。

6.13.5多鉴别机制

多鉴别机制应同时使用

6.14.1标识唯一性

保证所设置的管理员标识

6.14.2用户属性定义

产品应为每一个管理员保存安全属性表，属性包括但不限于：管理员标识、鉴别数据、授权 理组信息。

6.14.3安全行为管理

应仅限于指定授权角色对产品的功能具有禁止、修改的能力

6.14.4管理员角色

产品应设置多个角色，不同的管理角色具有不同的管理权限。

设置多个角色，不同的管理角色具有不同的管理相

6.14.5安全属性管理

品应仅限于指定授权角色可以对指定安全属性进行查询、修改、删除、改变其默认值等操作。

6.15.1审计数据生成

6.15.2审计数据易用性

审计数据的记录方式应便于管理员理解。

《机床电气、电子和可编程电子控制系统 保护联结电路连续性试验规范 GB/T 26679-2011》产品应为授权管理员提供从审计记录中读取全部审计信息的功能。

6.15.4受限的审计查阅

除了具有明确的读访问权限的授权管理员之外，产品应禁止所有非授权管理员对审计记录 间

6.15.5可选的审计查阅

6.16.1安全数据管理

JG∕T 106-1999 电动外部式混凝土振动器6.16.3数据存储安全

6.16.4数据存储告警

6.17.1通信完整性