ICS25.040

CCS點擊此處添加CCS號

團體標準

T/CAMSXXXX—XXXX

工業自動化儀表功能安全與信息安全融合

式儀表測試評價規范

IndustrialautomationinstrumentsfunctionalsafetyandSecurityintegration

instrumentTestandassessmentspecification

XXXX-XX-XX發布XXXX-XX-XX實施

中國機械工業標準化技術協會發布

T/CAMSXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定

起草。

本文件由××××提出。

本文件由××××歸口。

本文件起草單位：

本文件主要起草人：

II

T/CAMSXXXX—XXXX

工業自動化儀表功能安全與信息安全融合式儀表測試評價規范

1范圍

本文件規定了針對工業自動化儀表的功能安全、信息安全以及功能安全與信息安全融合的測試評

價要求，制定了開展安全完整性等級（SIL）、信息安全等級（SL）及其兩安融合等級的測試評價方法。

制定本規范的目的旨在通過文檔評審、技術分析與測試、型式試驗等的手段驗證供方所設計制造的儀表

產品在功能安全、信息安全要求的符合性以及在兩者間融合程度。本文件適用于在功能安全與信息安全

需求融合趨勢愈發明顯的背景下，面向工業自動化儀表開展功能安全和信息安全測試評價。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20438.1-2017電氣/電子/可編程電子安全相關系統的功能安全第1部分：一般要求

（IEC61508-1:2010,IDT）

GB/T20438.2—2017電氣/電子/可編程電子安全相關系統的功能安全第2部分：電氣/電子/可

編程電子安全相關系統的要求（IEC61508-2:2010,IDT）

GB/T20438.3—2017電氣/電子/可編程電子安全相關系統的功能安全第3部分：軟件要求

（IEC61508-3:2010,IDT）

GB/T35673-2017工業通信網絡網絡和系統安全系統安全要求和安全等級（IEC62443-3-3:2013）

IEC62443-4-2:2019工業自動化和控制系統安全第4-2部分：IACS組件的安全技術要求（Security

forindustrialautomationandcontrolsystems-Part4-2:Technicalsecurityrequirements

forIACScomponents）

3術語和定義

下列術語和定義適用于本文件。

控制系統controlsystem

對來自過程和/或操作員的輸入信號進行響應，并產生使過程以期望的方式運行的輸出信號的系統，

即IACS的軟件和硬件組件。

環境enviroment

可能影響IACS行為和/或被IACS影響的周圍對象、區域或者事件。

基本功能essentialfunction

維護受控設備健康、安全、環境和可用性所必需的功能和能力。

功能安全functionalsafety

整體安全中與EUC和EUC控制系統相關的部分，它取決于E/E/PE安全相關系統和其他風險降低措施正

確執行其功能。

工業自動化和控制系統industrialautomationandcontrolsystem

包括人員、硬件、軟件和工業過程操作的策略,其中策略可能影響工業過程的安全、信息安全和可

靠性操作。

1

T/CAMSXXXX—XXXX

抗抵賴non-repudiation

證明一個聲明的事件或行為的發生和其來源實體的能力。

注：抗抵賴的目的是為了解決關于事件是否發生、事件中的行為、接介入事件的實體等糾紛。

安全狀態safestate

達到安全時EUC的狀態。

安全功能safetyfunction

針對特定的危險事件，為達到或保持過程的安全狀態。

安全完整性safetyintegrity

在要求時執行所需SIF的SIS能力。

安全完整性等級safetyintegritylevel；SIL

為規定SIS應達到的安全完整性要求而分配給SIF的離散等級（4個等級中的一個）。

安全儀表功能safetyinstrumentedfunction；SIF

由安全儀表系統（SIS）實現的安全功能。

安全儀表系統safetyinstrumentedsystem

用于執行一個或者多個安全相關功能的系統。

信息安全等級securitylevel

IACS不受脆弱性影響并按預期方式工作的置信度。

功能安全與信息安全融合等級FunctionalSafety&CyberSecurityIntegrityLevel，FS&CSIL

用于表示功能安全與信息安全特征融合程度的等級。

硬件安全完整性hardwaresafetyintegrity

在危險失效模式中，與隨機硬件失效有關的SIS安全完整性的一部分。

儀表instrument

在執行某個動作中使用的儀器（典型的參見儀表系統）。

要求時危險失效平均概率averageprobabilityofdangerousfailureondemand；PFDavg

電氣電子可編程電子安全相關系統在EUC或EUC控制系統發出要求時執行規定安全功能的平均不可

用性。

每小時危險失效平均頻率averagefrequencyofadangerousfailureperhour；PFH

一個電氣電子可編程電子安全相關系統在一個給定的時間周期內執行規定安全功能時的危險失效

平均頻率。

4縮略語

下列縮略語適用于本文件。

CR：能力要求（Capabilityrequirements）

DoS：拒絕服務（Denialofservice）

2

T/CAMSXXXX—XXXX

EUC：受控設備（Equipmentundercontrol）

FMEDA：失效模式影響及其診斷分析（Failuremodeeffectanddiagnosticanalysis）

FR：基本要求（FundamentalRequirements）

HSE：健康、安全和環保（Health,safetyandenvironmentalprotection）

IACS：工業自動化控制系統（Industrialautomationandcontrolsystem）

PFDavg：要求時的危險失效平均概率（Averageprobabilityofdangerousfailureondemand）

PFH：每小時危險失效平均頻率（Averagefrequencyofadangerousfailureperhour）

RE：增強要求（Requirementenhancement）

HFT：硬件故障裕度（Hardwarefaulttolerance）

SIF：安全儀表功能（Safetyinstrumentfunction）

SIS：安全儀表系統（Safetyinstrumentedsystem）

SFF：安全失效分數（Safefailurefraction）

SL-C：信息安全能力等級（Capabilitysecuritylevel）

5要求

一般要求

融合儀表的說明文檔需滿足：

a)應包括功能安全與信息安全的硬件和軟件安全生命周期中各階段的有效執行各階段和驗證活

動所必需的充分信息。

b)應包括研制過程的安全管理信息。

c)應包括實現功能安全和信息安全評估所需的充分信息。

d)注：判定什么是充分的信息取決于多項因素，包括被評估對象的復雜程度、系統規模以及具體應用的相關要

求，甚至還與評估人自身的經驗和水平相關。

e)針對本標準的條款而言，文檔內容充分，便于執行相關職能。

f)文檔應該是：

——準確且簡明的；

——容易被使用者理解的；

——適用于預期目的；

——易獲取且可維護的。

g)文檔或信息集應具有標題和名稱來指示內容的范圍，以及某種形式的索引排列，便于快速的獲

取標準要求的信息。

h)文檔的結構可根據公司規程和應用領域的工作實踐來確定。

i)文檔或信息集應結構化以便于查找相關信息，以及易于識別文檔或信息集的最新修訂版（版

本）。

j)所有有關文檔應修訂、補充、復審、批準，并按照適當的文檔控制方案進行控制。

無擾性要求

儀表的基本功能是一種“維護受控設備健康、安全、環境和可用性所必需的功能和能力”。除非有

相應的風險評估，否則信息安全措施不應對儀表及其所在的高可用性的IACS基本功能產生不利影響。儀

表功能安全中確定的安全功能就是一種基本功能。

當規定和實施本標準所描述的SR時，應遵循信息安全措施不應造成保護功能喪失、控制功能喪失、

采集與顯示功能喪失或其他基本功能喪失。通過風險分析可發現，某些設施可能會導致特定安全措施終

止生產連續運行，但安全措施不應導致在健康、安全和環保(HSE)方面的保護喪失。一些具體的制約因

素有:

訪問控制(IAC和UC)不應妨礙基本功能的運行，尤其是：

——用于基本功能的賬戶不應被鎖定，即便是短暫的鎖定。

3

T/CAMSXXXX—XXXX

——驗證和記錄操作員的操作，以加強抗抵賴性，但不應顯著增加延遲而影響儀表及其系統的響

應時間。對于高可用性的控制系統，授權證書錯誤不應中斷基本功能。

——標識和鑒別和授權執行,不應妨礙SIF觸發。

——不正確的時間戳和審計記錄不應對基本功能產生不利影響。

如果區域邊界保護進入故障關閉和/或孤島模式，應保持IACS的基本功能。

發生在控制系統或安全儀表系統網絡(SIS)中的拒絕服務事件(DoS)，不應妨礙SIF的動作。

功能安全測評技術要求

功能安全評估被評估儀表的硬性安全完整性等級和系統性能力。其中硬性安全完整等級的判定應

從目標失效量和結構約束兩個角度予以評價。

5.3.1目標失效量要求

根據目標失效量的要求，在低要求運行模式下的安全功能應滿足表1的要求，在高要求或連續運行

模式下的安全功能應滿足表2的要求：

表1安全完整性等級：在低要求運行模式下安全功能的目標失效量

安全完整性等級安全功能在要求時的危險失效平均概率

（SIL）(PFDavg)

4≥10-5至＜10-4

3≥10-4至＜10-3

2≥10-3至＜10-2

1≥10-2至＜10-1

表2安全完整性等級：在高要求或連續運行模式下安全功能目標失效量

安全完整性等級安全功能的每小時危險失效平均頻率

（SIL）（PFH）

4≥10-9至＜10-8

3≥10-8至＜10-7

2≥10-7至＜10-6

1≥10-6至＜10-5

注：兩安融合儀表運行的方式的界定，采用以下方法：

——低要求模式：僅當要求時才執行將受控對象導入規定安全狀態的安全功能，并且要求的頻率不大于每年一

次；

——高要求模式：僅當要求時才執行將受控對象導入規定安全狀態的安全功能，并且要求的頻率大于每年一次；

——連續模式：安全功能將受控對象保持在安全狀態是正常運行的一部分。

5.3.2結構約束要求

根據結構約束的要求，A類安全相關組件和子系統應滿足表3的要求，B類安全相關組件和子系統應

滿足表4的要求：

4

T/CAMSXXXX—XXXX

表3A類安全相關組件或子系統執行安全功能時的最大允許安全完整性等級

硬件故障裕度

組件/子系統/系統的安全失效分數

012

<60%SIL1SIL2SIL3

60%-<90%SIL2SIL3SIL4

90%-<99%SIL3SIL4SIL4

≥99%SIL3SIL4SIL4

表4B類安全相關組件或子系統執行安全功能時的最大允許安全完整性等級

硬件故障裕度

組件/子系統/系統的安全失效分數

012

<60%不允許SIL1SIL2

60%-<90%SIL1SIL2SIL3

90%-<99%SIL2SIL3SIL4

≥99%SIL3SIL4SIL4

如果要實現安全功能的儀表元器件滿足下列全部條件，則組件可視為A類：

a)所有組成元器件的失效模式都被明確定義；

b)故障狀況下組件的行為能夠完全確定；

c)有充足而可靠的失效數據，可顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率。

如果要實現安全功能的儀表元器件滿足下列條件之一，則組件應視為B類：

a)至少一個組成元器件的失效模式未被明確定義；

b)故障狀況下組件的行為不能完全確定；

c)沒有充足而可靠的失效數據，可顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效

率。

通過表1和表2，可以從目標失效量要求層面判定儀表的PFDAVG或PFH與SIL等級適用性的符合性關系；

通過表3和表4，可以從結構約束要求層面判定儀表的硬件故障裕度HFT和安全失效分數SFF與SIL等

級適用性的符合性關系；

綜合表1至表4，則可以判定任意組件、儀表與硬件安全完整性等級的符合性關系。其中要求時的危

險失效平均概率（PFDAVG）和每小時危險失效平均頻率（PFH）、安全失效分數（SFF）等參數，需在進行

失效模式影響及其診斷分析（FMEDA）后，通過失效分類統計結果計算來獲得，硬件故障裕度（HFT）可

通過系統的通道數量和表決結構來判斷。

判定儀表的硬件安全完整性等級時，應從目標失效量獲得的SIL等級適用性和結構約束SIL等級適

用性中取較低值。

5.3.3系統性能力SC評價

功能安全與信息安全融合儀表均屬于新研制的儀表，故其評估路徑應采用GB/T20438中的路線1方

式。其系統性能力SC的評價應遵照GB/T20438標準中路線1方式下的系統性能力評估方法。

5

T/CAMSXXXX—XXXX

5.3.4SIL等級適用度的判定

被評估儀表整體SIL等級的判定，應以儀表的硬件SIL等級適用性和系統性能力SC適用性中取較低

值。

5.4.1信息安全等級

根據IEC62443-3-3，信息安全能力等級（SL-C）共可分為4級：SL-1~SL-4，其定義如下：

——SL1：防止竊聽或不經意的暴露導致的未經授權的泄露。

——SL2：防止未經授權地將信息泄露給通過少量資源、通用技能和低動機的簡單手段主動進行

信息搜索的實體。

——SL3：防止未經授權地將信息泄露給通過一般資源、IACS特殊技能和一般動機的復雜手段主

動進行信息搜索的實體。

——SL4：防止未經授權地將信息泄露給通過擴展資源、IACS特殊技能和高動機的復雜手段主動

進行信息搜索的實體。

5.4.2信息安全基本要求

在IEC62443標準體系中，將信息安全防護能力的要求劃分為了7個基本要求（FR），其定義與含義

如表所示：

表5信息安全等級評價基本要求一覽表

編號基本要求名稱設立該FR要求的總體目標

FR1標識和鑒別控制(IAC)在允許訪問控制系統之前標識和鑒別所有使用者（人員，軟件進程和設備）

FR2使用控制（UC）對已鑒權的使用者（人員、軟件進程或設備），強制制定權限以在IACS中執

行所需工作，并監視這些權限的使用。

FR3系統完整性（SI）確保IACS的完整性，防止非授權操控。

FR4數據保密性（DC）確保通信信道和數據倉庫的信息保密性。

FR5受限的數據流（RDF）通過區域與管道劃分，對控制系統進行分段來限制非必需的數據流。

FR6對事件的及時響（TRE）在事故被發現時，對安全違規的響應，包括通知權利部門，匯報所需的安全

違規證據，并及時采取糾正措施。

FR7資源可用性（RA）確?？刂葡到y的可用性，以應對基本服務降級或拒絕

每個FR又擴展成為一系列的能力要求（CR），每個CR包含一個基線要求以及零個或多個加強安全型

的增強要求（RE）。每個基線要求和RE（如存在），隨后會被映射到對應的能力安全等級SL-C1級至4級。

各SL-C等級與FR、CR、RE的要求的映射關系如表6~表12所示：

表6信息安全等級評價FR1–標識和鑒別控制(IAC)

CR和RE要求說明SL1SL2SL3SL4

CR1.1-人員標識和鑒別儀表應對所有人員可訪問的接口都提供標識和鑒別所有√√√√

人員的能力

RE1–唯一標識和鑒別儀表應提供唯一標識和鑒別所有人員用戶的能力。√√√

RE2–對所有接口的多儀表應提供對所有接入儀表的人員用戶進行多因子鑒別√√

因子鑒別的能力。

CR1.2–軟件進程以及儀表應提供自我標識、并對任何其他儀表（軟件應用、嵌√√√

設備標識和鑒別入式設備、主機設備和網絡設備）進行身份鑒別的能力。

6

T/CAMSXXXX—XXXX

RE1–唯一標識和鑒別儀表應提供向任何其他儀表唯一自我標識和鑒別的能力。√√

儀表應提供支持直接管理所有賬號，或者采用系統集成的√√√√

方式實現管理賬號的能力。

CR1.3–賬戶管理

注：儀表可以通過集成到更高級別的賬戶管理系統來提供

這種能力

儀表應提供集成到支持管理標識符的系統的能力和/或直√√√√

CR1.4–標識符管理接提供對使用者、組、角色或者控制系統接口的標識符管

理的能力。

儀表應提供以下能力：√√√√

a）支持對鑒別器初始內容的使用；

b)支持在安裝時對默認鑒別器更改的識別;

CR1.5–鑒別器管理

c)在周期性對鑒別器進行更新/改變操作時功能正常；

d)保護鑒別器在儲存、使用、傳送時防止未經授權的披

露和修改。

RE1–鑒別器的硬件安全儀表所依賴的鑒別器應通過硬件機制加以保護?！獭?/p>

對于使用基于口令鑒別的儀表，應提供或集成到一個可以√√√√

CR1.7–基于口令的鑒別

根據國際認可和驗證的口令指引程序來配置密碼強度的

強度

系統。

RE1–人員用戶的口令生人員用戶的口令生成和使用有效期限制√√

成和使用有效期限制

RE2–所有用戶（人員、所有用戶（人員、軟件進程或設備）的口令使用有效期限√

軟件進程或設備）的口令制

使用有效期限制

CR1.8–公鑰基礎設施當使用公鑰基礎設施（PKI）時，儀表應提供或集成到系統√√√

證書中以提供操作PIK或者從PKI中獲得公鑰證書的能力。

對于利用基于公鑰鑒別的儀表，儀表應直接提供或可集成√√√

到一個系統中，該系統在相同的工業自動化和控制系統環

境中可提供以下功能：

通過檢查給定證書的簽名的有效性來驗證證書;

CR1.9–基于公鑰鑒別通過將證書部署到所有與證書頒發主體進行通信的主機

的強度來驗證證書鏈，或者是自簽名;

通過檢查給定證書的撤銷狀態來驗證證書;

建立相應私鑰的用戶（人員、軟件進程或設備）控制;

將被鑒別的身份映射到用戶（人員、軟件進程或設備）;

確保用于公鑰鑒別的算法和密鑰符合8.5加密的使用。

RE1–基于公鑰鑒別的儀表應提供采用硬件機制保護關鍵的、使用期較長的私鑰√√

硬件安全性的能力。

當儀表提供鑒別功能時，儀表應提供在鑒別過程中隱藏鑒√√√√

CR1.10–鑒別器反饋

別信息反饋的能力。

當一個儀表提供鑒別能力時，該儀表應能夠提供以下能√√√√

力：

在可配置的時間段內，強制設置任意用戶（人員、軟件進

CR1.11–失敗的登錄

程或設備）連續無效訪問嘗試的可配置數量的限制；

嘗試

在指定的時間段內拒絕訪問，或直到當該限制已經到期后

由管理員解鎖為止。管理員可以在超時期限到期之前解鎖

帳戶。

當一個儀表提供本地人員用戶訪問/人機界面時，它應該√√√√

CR1.12–系統使用提

提供在鑒別之前顯示系統使用提示消息的能力。系統使用

示

提示消息應可由授權人員配置。

對于使用對稱密鑰的儀表，儀表應提供以下功能：√√√

使用對稱密鑰建立互信；

CR1.14-基于對稱密鑰鑒

安全地存儲共享密鑰（只要共享密鑰保密，鑒別有效）；

別的強度

限制對共享密鑰的訪問；

確保用于對稱密鑰鑒別的算法和密鑰符合8.5。

7

T/CAMSXXXX—XXXX

RE（1）基于對稱密鑰鑒儀表應提供通過硬件機制保護關鍵的、使用期長的對稱密√√

別的硬件安全性鑰的能力。

表7信息安全等級評價FR2–使用控制（UC）

CR和RE要求說明SL1SL2SL3SL4

√√√√

儀表應根據其分配的責任為所有經過識別和鑒別的人員提供

CR2.1–授權執行

授權執行機制。

√√√

RE1–所有用戶（人儀表應根據用戶所分配的責任和最小權限為所有用戶提供授

員、軟件進程和設備）

的授權執行權執行機制。

√√√

儀表應直接或通過補償性安全機制提供授權角色來定義和修

RE2–許可映射到角改所有人員對角色映射的許可。角色不應限于固定的嵌套層

色

次結構，其中較高級別角色是較小特權角色的超集。例如，系

統管理員不一定包含操作員權限。

√√

RE3–管理員超馳儀表應支持管理員手動超馳一個可配置的時間或事件順序。

√

當行動可能導致對工業過程的嚴重影響時，儀表應支持雙重

確認。雙重確認宜限于需要非常高置信度的，被可靠和正確地

執行的行動。要求雙重確認強調了由于未能采取正確行動而

RE4–雙重確認

導致的嚴重后果。需要雙重確認的一個例子就是改變一個關

鍵工業流程的設定點。如果需要立即采取措施來保障HSE的

后果，例如工業過程的緊急關閉，則不應采用雙重確認機制。

√√√√

CR2.2–無線使用控如果儀表支持通過無線接口使用，則應具備根據公認的行業

制

慣例支持在系統中集成能夠使用授權、監控和限制的能力。

CR2.3–便攜式和移

尚無與此相關聯的儀表層次的要求。

動設備使用控制

√√√√

在軟件應用/嵌入式設備/主機設備/網絡設備使用移動代碼

技術的情況下，應用程序應提供實施與移動代碼技術應用相

關的安全策略的能力。安全策略應至少允許對在軟件應用

上所使用的每一種移動代碼技術采取以下行為：

SAR2.4–移動代碼a）控制移動代碼的執行；

b）控制哪些用戶（人員、軟件進程或設備）被允許從應用程

序傳輸移動代碼，或將移動代碼傳輸到應用程序；

c）根據代碼執行之前的完整性校驗結果控制移動代碼的執

行。

8

T/CAMSXXXX—XXXX

√√√

應用程序/嵌入式設備/主機設備/網絡設備應提供實施安全

√√

RE1–移動代碼真實策略的功能，該安全策略允許設備根據代碼執行之前的真實

性檢查

性檢查結果來控制移動代碼的執行。

如果一個儀表提供一個用戶界面，無論是本地訪問還是通過

網絡訪問，儀表都應提供以下功能：

a）通過在可配置的非活動時間段后啟動會話鎖定或由用戶

CR2.5–會話鎖定√√√√

（人員、軟件進程或設備）手動啟動來防止進一步的訪問;

b）會話鎖定在擁有會話的用戶之前保持有效，或者其他授權

的用戶使用適當的標識和鑒別程序重新建立訪問。

如果一個儀表支持遠程會話，儀表應提供以下功能：在一個可

CR2.6–遠程會話終配置的非活動時間段后自動終止，或者由本地管理員手動終

√√√

止

止，或者由發起會話的用戶（人員、軟件進程或設備）手動終

止。

CR2.7–并發會話控儀表應能夠限制任何給定用戶（人員、軟件進程或設備）每個

√√

制

接口的并發會話數。

儀表應提供生成與以下類別的安全相關的審計記錄的能力：

a)訪問控制;

b)請求錯誤;

c)控制系統事件;

d)備份和恢復事件;

e)配置更改;

審計日志事件。

CR2.8–審計事件f)√√√√

個人審計記錄應包括：

a)時間戳;

b)源（發起設備、軟件進程或人員用戶帳戶）;

c)類別;

d)類型;

e)事件ID;

f)事件結果。

√√√√

儀表應：

CR2.9–審計存儲容a)根據公認的日志管理建議，提供分配審計記錄存儲容量

量的能力；

b)提供機制以防止儀表到達或超過審計存儲容量時發生

故障。

√√

RE1–當審計記錄存當分配的審計記錄存儲達到可配置的閾值時，儀表應提供發

儲容量達到閾值時發

出警告出警告的能力。

CR2.10–審計處理√√√√

儀表應：

失敗的響應

9

T/CAMSXXXX—XXXX

a）在發生審計處理失敗事件時提供防止失去基本服務和

功能的能力；

b）根據公認的行業實踐和建議，提供支持適當行動的能

力，以響應審計處理失敗。

√√√

儀表應提供為審計記錄創建時間戳（包括日期和時間）的功

CR2.11–時間戳

能。

√√

RE1–時間同步儀表應提供創建與全系統時間源同步的時間戳的能力。

√

RE2–保護時間源完時間同步機制應提供檢測未授權變更以及由此變更引發審計

整性

事件的能力。

√√√√

如果儀表提供人員用戶界面，則儀表應有能力確定給定人員

CR2.12–抗抵賴性用戶是否具備特定的操作權限。不能支持這種能力的控制元

件應在儀表文檔中列出。

√

RE1–針對所有用戶儀表應提供確定給定用戶（人員、軟件進程或設備）是否采取

的抗抵賴性

了特定行動的能力。

√√√

EDR2.13-使用物理診網絡設備應防止未經授權使用工廠診斷和測試的物理接口

斷和測試接口

（如JTAG調試）。

√√

網絡設備應提供對設備診斷和測試接口的主動監視并在檢測

RE（1）主動監視

到訪問這些接口的嘗試時生成審計日志。

表8信息安全等級評價FR3–系統完整性（SI）

CR和RE要求說明SL1SL2SL3SL4

CR3.1–通信完整性儀表應該提供保護傳輸信息的完整性的能力。√√√√

RE1–通信鑒別儀表應提供在通信期間驗證信息的能力?！獭?/p>

嵌入式設備應提供防止安裝和執行未授權軟件的能力?！獭獭獭?/p>

主機設備上應有經IACS產品供應商認定的惡意代碼防護機

EDR3.2–惡意代碼防

制。IACS產品供應商應將與惡意代碼防護有關的任何特定配

護

置要求文檔化。

網絡設備應提供對惡意代碼的防護。

√√√

RE1–報告代碼防護主機設備應自動報告使用中的防護惡意代碼的軟件和文件

版本

版本（作為整體日志記錄功能的一部分）。

CR3.3–信息安全功儀表應能提供在FAT、SAT及那個維護時，支持安全功能操作√√√√

能驗證的驗證和報告異常事件的能力。

RE1–在正常運行時儀表應提供能力以支持在正常運行期間驗證安全功能預期操√

的信息安全功能驗證作的能力。

儀表應提供對軟件、配置和其他信息進行完整性檢查或支持√√√√

CR3.4–軟件和信息

完整性檢查的能力，以及記錄和報告這些檢查的結果，或集

完整性

成到能夠執行或支持完整性檢查的系統中。

10

T/CAMSXXXX—XXXX

儀表應提供執行或支持對軟件、配置和其他信息進行真實性√√√

RE1–軟件和信息的

校驗，以及記錄和報告校驗結果的能力，或者集成到可以執

驗證

行或支持執行真實性校驗的系統中。

RE2–完整性破壞的如果儀表正在執行完整性校驗，應能在發現嘗試進行未經授√√

自動通知權更改時向可配置實體提供自動通知。

儀表應檢驗用于工業過程控制輸入或直接影響儀表動作的外√√√√

CR3.5–輸入檢驗

部接口輸入的任何輸入數據的語法、長度和內容。

如果物理或邏輯上連接到自動化過程的儀表無法維持儀表供√√√√

CR3.6–確定性輸出應商規定的正常運行狀態，則應提供將輸出設置為預定狀態

的能力。

儀表應以不提供可被攻擊者利用以攻擊IACS的信息的方式來√√√√

CR3.7–出錯處理

識別和處理錯誤信息。

儀表應提供保護通信會話完整性的機制，包括：√√√

a）在用戶注銷或因其他會話終止時(包括瀏覽器會話)，使會

話標識符失效的能力;

CR3.8–會話完整性

b）能夠為每個會話生成唯一的會話標識符，并且僅識別系統

生成的會話標識符；

c）能夠利用普遍接受的方式隨機性生成唯一會話標識符。

CR3.9–審計信息保儀表應保護審計信息，審計日志和審計工具（如果有的話），√√√

護防止未授權情況下的訪問、修改和刪除。

RE1–在一次性寫入儀表應提供在強制一次性寫入硬件介質中存儲審計記錄的能√

介質上的審計記錄力。

EDR3.10-支持更新嵌入式設備應支持更新和升級的能力?！獭獭獭?/p>

RE（1）-更新真實性和在安裝任一軟件更新和升級前，嵌入式設備應驗證其真實性√√√

完整性和完整性。

EDR3.11-物理防破壞嵌入式設備應提供防破壞和檢測機制來防止對設備的未授權√√√

和檢測物理訪問。

在發現有未經授權的物理訪問嘗試時，嵌入式設備應能夠向√√

RE（1）-破壞嘗試的通

可配置的一組接收人自動提供通知。所有破壞通知都應作為

知

整體審計日志功能的一部分進行記錄。

嵌入式設備/主機設備/網絡設備應：√√√

EDR3.12-置備產品供提供或支持置備和保護產品供應商密鑰和數據的機密性、完

應商信任根整性和真實性的能力，這些密鑰和數據在制造設備時被用作

一個或多個“信任根”。

嵌入式設備/主機設備/網絡設備應：√√√

a）提供置備和保護資產所有者密鑰和被用作“信任根”的數

EDR3.13-置備資產所

據的機密性、完整性和真實性的能力;

有者信任根