GB_T 42456-2023 工业自动化和控制系统信息安全 IACS组件的安全技术要求.docx

ICS25.040CCSN10G日中华人民共和家标准GB/T424562023/IEC62443-4-2:2019工业自动化和控制系统信息安全IACS组件的安全技术要求Securityforindustria1.automationandcontro1.systemsTechnica1.securityrequirementsforIACScomponents(IEC62443-4-2:20193ecurityforindustria1.automationandcontro1.systemsPart42:TeChniCa1.securityrequirementsforIACScomponents,!DT)1103-17发布2023-10-01雌国家市场监督管理总局国家标准化管理委员会前言V引言V1范阳12规范性引用文件13术语、定义、三W沛槛例23.1 术语和定义23.2 缩略语73.3 惯例94通用原则IO1.1 概述IO1.2 CCSC1:基本功能的支持101.3 CCSC2:补偿性对抗措施IO1.4 CCSC3:最小权限IO1.5 CCSC4:软件开发过程105 FR1.一一标识和签别控制IO5.1 目的和S1.C(IAC)描述IO52原由I1.5.2 CR1.1-人员标识和鉴别115.4 CR1.2一一软件进程以及设备标识和签别125.5 CR1.3一一账户管理125.6 CR1.4一标识符管理135.7 CR1.5签别器管理145.8 CR1.6一一无我访问管理155.9 CR1.7一一基于11令的鉴别强度155.10 CR1.8公钥基础设施(PKUiE书155.11 CR1.9一一基于公用貌别的胆度165.12 CR1.10鉴别器反馈175.13 CR1.11失败的登录尝试175.14 CRI.12系统使用提示185.15 CR1.13一一泡过不受信任网络的访问195.16 CR1.14一一嘱于对称密钥器别的强度196 FR2一一使用控制206.1 目的和S1.-C(Uo描述2014.1 目的4814.2 HDR2.1一一移动代码4814.3 HDR2.13使用物理诊断和测试接口4914.4 HDR3.2忠意代码防护5014.5 HDR3.10支持更新5014.6 HDR3.11物理防破坏和检测5114.7 HDR3.12置符产品供应商信任根5114.8 HDR3.13-置备资产所有者的信任根5214.9 HDR3.I1.启动过程完整性5315网络设备要求5315.1 目的5315.2 NDR1.6无线访问管理5415.3 NDR1.13通过不受怕任网络的访问5415.4 NDR2.4移动代码5515.5 NDR2.13使用物理诊断和测试接口5615.6 NDR3.2恶意代码防护5615.7 NDR3.10支持更新5715.8 NDR3.11物理防破坏和检测5715.9 NDR3.12置的产品供应商信任根5815.10 NDR3.13置符资产所有者的信任根5815.11 NDR3.14扇动过程完整性5915.12 NDR5.2区域边界防护6015.13 NDR5.3普通FI的个人间通信限制60附录A（资料性）设需分类62A.1概述62A2设符分类：嵌Aj弋设符62AJ设备分类：网络设备63A.4设备分类：主机设备/应用63附录B（资料性）CR和RE与FRS1.1-4的映射MB1.概述64B.2S1.映射表6470参考文献O1.I雌IEC62W3是应用于工业自动化和控制系统安全的系列标准，目前我国已采用该系列标准发布GBzT330072016E工业通信网络网络和系统安全建立工业白动化和控制系统安全程序(1EC62443-2-1:2010.IDT»,GBT356732017£工业通信网络网络和系统安全系统安全要求和安全等级:J(IHC62443-3-3:2013,11)1),GBT4(>2112021工业通信网络网络和系统安全术语、概述和模型B(IECTS62443-1-1:2009JDT)、GBT402182021打:业通信网络网络和系统安全工业白动化和控制系统信息安全技术3(IEC.TR62443-3-k2009,IDT),GB,T4()6822021工业白动化和控制系统网络安全笫2-1部分：IACS服务提供商的安金程序要求3<IEC62443-2-4:2015.1DT).GB.T424452023d工业自动化和控制系统安全IACS环境下的补丁管理？(IEGTR62443-2-3:2OI5.IDT),GB.T424572023E工业自动化和控制系统信总安全产品安全开发生命周期要求?(IEC6244341:2018.1DT)和木文件。这些标准共同构成应用F工业自动化和控制系统安全的系列国家标准。工业自动化和控制系统(IA组织越来越多地使用便宜、高效和高度自动化的商用现成(COTS)网络设翁.出于合理的商业原因，控制系统也越来越多地与非IACS网络相U连接.这些设翁、开放的网络技术以及增加的连通性都给控制系统的软硬件提供了日益增加的遭受网络攻山的机会.该弱点可能导致部*的控制系统中的健康、安全和环境(HSF：)、财务和/或声誉的系列后果.利用商业信息技术(IT)网络安全解决方案来解决IAeS安全问题的组织，可能尚未完全理解这一决定的结果，同时，许多商业IT应用和安全解决方案可以应用于IMS,因此游要以适当的方式应用这些解决方案以消除无意的后果。出于这个原因，定义系统要求的方法燎合考虑功能要求和风险坪估，通常也包括对操作问题的认识.IACS安全对策包括应急程序，宜避免造成必要的服务和功链缺失的可能性(通常利用的IT安全对策确实有这个潜在可能性).IACS安全目标集中在控制系统的可用性、工厂保护、工厂操作(即使在降级模式2和对时间要求严格的系统里应。FT安全目标通常并不同等电视这些因索：他们可能更关心保护信息而不是物理资产,不管工厂集成的程度如何,这些不同的目标都需要明确地表述为安全目标。根据IEC6244321的要求，风险评估的一个关键步骤宜是确定哪些服务和功能时,运首是直正必要的(例如，在某些设施中，工程支持可能被确定为非.基本服务或功能)。与必要服务或功能不宜受到不利影响不同，在某些情况下，信息安全持旅可能会导致的传时丢失非必果服务或功能是可以接受的，本文件为组成IAcS的组件提供网络安全要求,特别是嵌入式设饴、网络组件.主件和软件应用,附录A描述门ACS常用设备的分类.本文件的要求参考IEC6244333描述的IACS系统安全要求.本文件的日的是指定安全功能，使组件能修作给定的安全等级(SIJ下集成到系统环境中,附录B中的表格汇总了本文件定义的要求和增强要求的S1.IRC62443系列标准的主要目标是提供一个灵活的框架，有助于解决IACS当前和未来的脆弱性，并以系统的、可防御的方式应用必要的缓辄措施,IEC62443的日的是构建适应企业IT系统需求的企业安全扩展，并将其与IACS所褂的高完整性和可用性的独特要求和睇合，这点十分Ift要。Q2目断目本文件在IACS社区的目标读者是资产所有者、系统笫成商、产品供应商以及合适的合规茄门。合物销会、密伺分发和加密密饮备份.公认的实践和建议可以在N1.STSPIwO-57E密的管理建议第I部分：通川要求18找到。实施要求可以在诸如：F1.PS140-2£密码模块的安全要求§17或ISQ'IEC1979():2012信息技术安全技术密码模块的安全要求B中找到.此CR与5.10.CR1.8公共密钥基础谀施证书一起可能适用于满足木文件中定义的许多其他要求.&83无.a5.4与CR4.3有关的四个安全等级的要求是： S1.C(DCJfHt)1.CR4.3; S1.C(DC祖件)2:CR4.3; S1.CDC器件3:CR4.3： S1.CDC.组件)4:CR4.3.9FR5受的HX9.1 目的和S1.-C(RDF1.描逑通过区域和管道对控制系统分区以防止不必要的数据流动。 S1.I-防止不经意地、或巧合地规避区域与管道划分措施. SI.2防止实体采用少豉资源、通用技能、低动机的简单方法来有意规避区域与管道划分措施. S1.3防止实体采用中等资源、IACS特殊技能、中等动机的复杂方法未有意规避区域与管道划分措施， S1.4防止实体采川扩展资源、IACS特殊技能、而动机的更杂方法来有意现避区域与管道划分措施.9.2 *9使用其在IEC62443-3-2中定义的风险评估方法,资产所有者需要倘定必要的信息流动限制.jf由此决定用于传递这些信理的柔道的配捏,派生的规范性建议和指导方针应包括将控制系统网络从业务或公共网络断开到使用单向网关、状态悔测的防火墙和DMZ来管理信足流的机制.9.3 CR5.1anKX组件应通过对分段脚络的支持来实现对区域和管道的支扑以便根据需要支持基于逻辑分段和关城性的更广泛的河络架构.9.3.2蜃由和附加指南组织使用网络分段是出于多种目的的.其中包括网络安全在内.网络分段的主要原因是减少流入控制系统的网络流城的暴正或进入，井减少来白于控制系统的网络流僦的扩散或流HkM络分段提而供司法证据进行事故响应.i2忌由利用加指南即使系统从安全状态进入运行，为确保系统继续保持该安全状态，能够对系统进行监视也是羽要的，如果一个货件影响了系统的安全，M件的及时通知对于降低相关风险可能是关键的,资产所有者宜建立应对安全违规所需的相关安全政策和程序以及适当的通信和控制线路。海生的建议和指南宜包括收集、报告、保存以及自动关联司法证据的机制,以确保及时的纠正描66.监视工具和技术的使用宣不会对控制系统的操作性能造成负面影响。10.3CR6.1计日志可访问性a赎批件应提供授权人员和/或工具以只读方式访问审计日志的能力.10.&2朦由和附加指甯应用程序和设i可以生成关于在其中发生的本件的审计记录(见6.10屋访问这些审计H志时于支持过滤审计1志、标识和捌除冗余的信息、申森和报告安全小件”后调我期间的活动是必要的。一般而宫，减少审计和报告编制应在单独的信息系统上迸行，手动访问审计记录例如屏幕视图或打印输出)足以满足基本要求，但不足以满足更曲的S1.要求,编程式访问通肺用于将审计口志信息提供给安全信息和4件管理(SIEM)等分析机制。183.3审计日志的编程访问组件应通过使用应用程序接11(API),或发送审计记录到集中系统.提供编程访问审计记录.1a14与CR6.1有关的四个安全等级的要求是: S1.C（TRE.组件八：CR6.1： S1.-C（TRE.组件）2:CR6.1; S1.C（TRE,组件）3:CR6.1（1）; S1.-C（TRE.组件）4:CR6.1（1）.10.4CR62141”组件应采用普遍接受的安全行业实践和建议，提供被连续监视的能力，以便及时检测、描述和报告安全漏洞-10.4.2*MMimm控制系统的监控能力可以通过各种工具和技术来实现如IDS、入侵防御系统(IPS)、防恐意代码机制和网络监控机制。随着攻击变得越来越女杂，这些监控工具和技术也需要变得更加复杂，例如包括基于行为分析的IDSAPS宜在控制系统内策略性地部冲监测设备(例如，在选定的周边地点和支持关键应用的服务器群附近）以收集基本信,监视机制也可以部潜在控制系统内的特定位跣以追踪特定的事务.赛祝宜包括适当的报告机制以便及时回应事件.为了保持报告的聚焦和报告信息Ift达到接收者所能处理的程度，类似于S1.EM的机制被广泛用于关联各个事件的汇总报告，用于记录大量发生的原始事件内容.无.144与CR6.2有关的四个安全等级的要求是： S1.-CcrKR组件）1：不选择； S1.-OTRE.组件）2:CR62 S1.-C（TRE,组件>3:CR6.2; SIC<TRE.组件）4:CR6.2,HFR7黄毒可用性11.1 目的和S1.C（RA>三述确保组件在防止关圾服务的降级或拒绝方面的可用性. S1.1.-I一确保组件在正常生产条件下可靠运行，并防止由一个实体的不经意的或巧合的行为导致的DOS状况。 S1.2确保组件在正常和界常生产条件下可舔运行，并防止由实体使用少吊货源、通用技能和低动机的简单手段导致的DOS状况. S1.3确保组件在正常、异常和极端生产条件下可靠运行，并防止由实体使川中等优滥、IACS特殊技能和中等动机的发杂手段悖致的DoS状况。 SU确保组件在正常、异常和极端生产条件下可能运行，并防止由实体使川扩展资源、IACS特殊技能和高动机的红柴手段导致的DOS状况.I1.2本系列CR的目的是在应对各种DoS事件时，确保组件是能熨原的.这包括部分或全部系统功能在不同级别上的不可用性。特别是，控蒯系统中的安全少收不宜对SIS或者其他功能安全相关功能造成影响。11.3 CR7.1Itai要求当组件运行在DOS犷件仔致的降级帙式时,应提供处持她本功能的能力.11.3.2 腰由E加指南祖件可能会受到不同形式的DOS情况的影响，当发生这些情况时，祖件的设计应保持其在降级帙式下继续安全运行所必需的璃本功能.11.3.3 IeM*（1）纲件管理通信负荷组件应提供战轻信息和/或消息泛滥类型的DoS事件影响的能力.I1.&4与CR7.1有关的四个安全等级的要求是： S1.-QRA.组件）1:CR7.1; S1.C（RA.组件）2:CR7.1（1）： S1.C（RA.组件）3:CR7.1（1）; S1.-C（RA,组件）4:CR7.1（1）.11.4 CR72一资3RI1.4.1”组件应提供能力限制安全性功能对资源的使用以防止资源耗尽.11.4.2 由和附师南资源管理（例如,网络分段或优先级方案）防止较低优先级的软件进程延迟或干扰服务于任何较高优先组软件进程的控制系统,例如，在操作系统上启动网络扫描，打补J，和/或防病毒检查可能会对正常操作造成严曳干扰.液J速率限制方案宜被视为一种缓解技术.11.4.3无.11.4.4与CR7.2有关的四个安全等级的要求是： S1.C（RA,组件）1:CR7.2; S1.C（RA.组件）2:CR7.2; S1.V（RA,组件）3:CR7.2; SIC（RA.殂件）1:CR7.2。11.5 CR73一I1.M要求组件应提供参与系统级备份操作的能力,以保护组件状态（川户和系统级信息）,备份过程应不行影响正常的组件相作。11.5.2蜃由和附蹄常以新爸份的可用性对于从控制系统故障和/或错误妃巴中恢坡至关正要，白动执行此功能可确保捕获所有必需的文件从而减少操作员的开销，在设计支持瞽价功能时，宜考虑将要存储在备份中的信息.其中一些信息可能包含加密密钥和其他被系统的一部分通过安全控制进行保护的信息，一旦将信息放入备份中，最有可能不会有相向的控制措施来保护它.因此，组件备份能力衢要包括支持备份中包含的信息的必要保护机制.这可能包括加南备份，加密欹感数据作为备份过程的一部分，或者不包括敏感信息作为备份的一部分.如果备份是加密的.重要的是不要将加密密钥作为的份的一部分.而是作为单独的更安全的备份过程的一部分备份加密密钥.11.&3JffiH»（D备份完整性验证在启动核复信息之前，组件应提供验证备份信恩完整性的能力.i1.84与CR7.3有关的四个安全等线的要求是： S1.C（RA,祖件）1：CR7.3; S1.-C（RA.组件）2:CR7,3（1）; S1.-C（RX.mf）3CR7.3（1）: S1.C（RA.组件）4:CR7.3（1）,11.6CR7.4fiMJKtt*ftHM11.a1”在中断或失败后，组件应提供恢红和重构为已知安全状态的能力.11.a2祖件饯制和正构到已知的安全状态意味著所有的系统参数（默认或可配置）被设以为安全值，王新安装关键的安全补丁程序，重新建立安全相关的配置设附，系统文档和操作程序可用,纲件被重新安装并配置广已建立的设置.加载来自最新的已知安全备份的信息,并且系统已经过全面测试和功能验证.11.&3无.I1.64与CR7.4有关的四个安全等级的要求是： S1.-C（RA.81ft）1.CR7.4; SIC（RA,组件）2:CR7.4： S1.C（RA,组件）3:CR7.4; S1.-C（RA.组件）4:CR7.4.11.7CR7.5没有与IEC62443-3-3SR75相关的组件级别要求，11.«CR7.网络和安全配置设JtItai棘组件应提供这样的能力，根据控制系统供应商提供的指南中推荐的网络和安全配置进行系统设设.该组件应为当前部署的网络和安全配置谀置提供一个接11.H.&2*mwM这些配置设置是控制系统组件的可谓参数.默认情况下，组件应泡置为推荐的设置.为了使组件检测并纠正与批准的和/或推荐的配置设河的偏差,组件需要支持根据安全策略和程序来监视和捽制对鼠置设况的改变，11.&3mH球（1）当前安全设置的机器可读报告组件应提供以机器可读格式生成当前安全设置列表报告的能力.113.4与CR7.6有关的四个安全等娘的要求是： S1.C<RA.组件）1:CR7.6: S1.-C（RA.组件）2:CR7.6: S1.-C（RA.加件）3:CR7.6（1）; S1.2（RA.组件）4:CR7.6（1）.11.9CR7.7小功能11.9.1赎组件应提供具体地限制不必要的功能、）11-1.协议和/或服务使用的能力.11.9.2原由和毗曲南组件能坊提供各种各样的功能和服务。所提供的一些功能和服务可能并不是支持IACS功能所必需的.因此.默认情况下，应禁用超出基准配置的功能.此外,从控制系统的单个组件提供多个服务有时是方便的,但与限制任何一个组件提供的服务相比，这样唯会增加风险.11.9.3无.I1.94!½*ft与CR7.7有关的四个安全等级的要求是： S1.-QRA.组件）1:CR7.7; S1.-QRA.组件）2:CR7.7: S1.C（RA.组件）3:CR7.7; S1.C（RA.组件M:CR7.7.11.10CR7K控»（利隔件详细目录I1.iai要求组件应提供根据IEC62H3-3-3CR7.8支持控制系统组件详细目录的能力.11.1 2原由利附加撷«祖件可能会将他们自己的一组组件集成到整体控制系统中，在这种情况下，那些祖件衙要提供一个机制来增加与IEC62413-2-43SP.06.02戏容的整体纲件详细目录，I1.ia3无。11.KU与CR7.8有关的四个安全等级的要求是： S1.C（RA,祖件）1:不选择； S1.-C（RA.山件2:CR7.8: S1.-C（RA.祖件3:CR7.8; S1.-C（RA.组件）4:CR7.8.12软件应用要求121目的本章要求的目的是将与软件应用相关的要求文档化，122SAR2.WttfW12.21KHt在软件应用使用移动代码技术的情况下，应用程序应提供实施与移动代码技术应用相关的安全策略的能力。安全策略应至少允许对在软件应用上所使用的每种移动代码技术采取以下行为：a）控制移动代码的执行：b）控制哪些用户（人员、软件进程或设备）被允许从应用程序传给移动代码，期3移动代码传输到应用程序：c）根据代码执行之前的完整性校验结果控制移动代码的执行.12.2.2移动代码技术包括但不限于Java、JaYaSCript、ActiveX,使携式文档格式（PD机Postscript-Shoek-vac电影、Hash动画和VBSCript.使用限制适用于服务器上安装的格动代码的选择和使用.及在每个工作站上下找和执行的移动代码.控制程序宜防止在机件所在的控制系统内开发、扶取或引入不可接受的移动代码。例如，移动代码交换在控制系统内可能不被宜接允许,但是可以在由IACS人员维护的受控相邻环境中被允许.12.23 痴期（D移动代码真实性检杳应用程序应提供实施安全策略的功能,该安全策略允许设备根据代码执行之前的典实性检查结果来控制杼动代码的执行。12.24 安全等吸与SAR2.4有关的四个安全等缎的要求是： S1.C（UC,组件1:SAR2.4； S1.-C（UC.组件）2:SAR2.4（1）： S1.C（UC组件）3:SAR2.4（1）： S1.C（UC.加件）4:SAR2.4（I）.12.3SAR3.2恩代码防护12.11 要求应用程序产品供应商应认定和文档化哪些恶意代码防护机制与应用程序就容，并注明任何特殊的配置要求，12.12 2原由和附加指南恶意代码（例如，病毒、蜻虫、特洛伊木马和问谍软件）的防护可由控制系统应用程序或外部服务或附用程序提供.控制系统应用程序需要与旨在保护其免受恶意代码的机制兼容.此要求并不意味着产品供应商饕时所有与应用程序兼容的恶意代码防护机制进行认定和文档化,而意味芾产品供应商要对至少一种机制进行认定和文档化。12.13 JMKX无.12.14 安全IRft与SAR3.2有关的四个安全等欲的要求是： S1.-C（S1.姐件八：SAR3.2; S1.-C（S1.组件）2:SAR3.2: S1.-C（S1.f1.1.ft）3:SAR3.2; S1.c（S1.组件4:SAR3.2.13QsNMH竦H1.目的本章要求的口的是将与嵌入式设备相关的要求文档化。13.2 EDR2.4移动代码H2.1聂求在嵌入式设备使用移动代码技术的情况下,嵌入式设符应提供实施与移动代码技术应用相关的安全策略的能力.安全策略应至少允许对在嵌入式设备上所使刖的每一种移动代码技术果取以F行为：a）控制移动代码的执行：b）控制就"用户（人员、软件进程或设备）被允许将移动代码上载到设备；c)根据代码执行之前的完整性校验结果控制移动代码的执行.1X2,2朦由和谢加指南移动代码技术包括但不限于JaYa、JavaScript»AC1.iVeX、PPI；、Posiscript,ShoCkwave电影、F1.aSh动亘和VBsaiP1.使用限制玷用于服务器上安装的移动代码的选择和使用，及每个工作站上下裁和执行的移动代码.控制程序宜防止在组件所在的控制系统内开发、获取或引入不可接受的移动代码.例如，移动代码交换在控制系统内可能不被宜接允许，但是可以在由IMS人员处护的受控相邻环境中被允许。13.2.3t9OX(D移动代码真实性检查嵌入式设备应提供实俺安全策略的能力，该安全策略允许设备根据代码执行之前的真实性检查结果来控制移动代码的执行。Ii2.4与EDR2.4有关的四个安全等级的要求是： S1.C(UC.组件八：EDR2.4; S1.C(UCS1件)2:EDR2.4(1)： S1.-C(Ue,组件)3：EDR2.4(1); S1.CUC殂件M：EDR2.4(Dc13.3 EDR2.13皿4»帆丽Rg口1131三*嵌入式谀备应防止未腔授权使用工厂诊断和测试的物理接口(如JTAG调试).113.2原由和附蚓*|工厂诊断和测试接口是在嵌入式设备内的不同位置创建的，以帮助嵌入式设备的开发人员和工厂人员测试功能实现，以及当发现错误时，随后将其从嵌入式设备中移除.然而,宜小心保护这些相同的接口，防止未羟授权的实体访问，以保护嵌入式设备向IACS提供明本功能，如果诊断和测试接口不提供控制嵌入式设备或访问非公共信息的能力,则它不需要鉴别机制.这应通过威胁和风险评估来确定.例如：JTAG网试，JTAG是刖于控制处理器并执行任意命令：而JTAG边界扫描,JTAG是用于简单地读取信息(可能是公开可用的佑息).可能存在工厂诊断和测试接口会使用网络与设备通信的情况.在这种情况下,这些接口将遵循本文件的所有要求.1X3.3墉曰求(1)主动监视嵌入式设备应提供对设备诊断和测试接口的主动监视,并在检刈到对这些接口的访问密试时生成审计H志.1.i141JEDR2.13有关的四个安全等被的要求是: S1.-C(S1.组件)1:不选择： S1.C函件)2:EDR2.13; S1.-C(SI.姐件)3:EDR2.13(1); S1.C(SI,组件)3:EDR2.13(1).13.4EDR3.2代码防妒1.1.1 9»嵌入式设需应提供防止安装和执行未授权软件的能力。1.1.2 原由和附蹄南未经授权的软件可旎包含恶意代码因此对组件有害.如果嵌入式设备能峥使用补偿控制,则不偌要直接支持对怨意代码的防护.牧定IACS负贲提供所需的防护措施.无论如何,对于如具行木地通用串行总线(USB)主机访问等情形,宜通过风险评估来确定是否需要防范超通代码.检测机制宜能新检测应用程序：进制和数据文件的完整性,技术可以包括但不限F：进剜完整性和属性监视、哈希和技名技术，预防技术可以包括但不限于可移动媒体控制、沙箱技术和特定的计算平台机制，例如受限的固件更新能力、不执行(NX)位、数据执行预防(DEP)、地址空间布局陵机化(AS1.R)、堆栈损坏检测和强制访问控制.有关涉及控制系统监视工具和技术的相关要求.见IO.4.1.1.3 IffiHE*无.与EDR3.2有关的四个安全等级的要求是： S1.-C(S1.组件)1:EDR3.2; SI-C(SIJI1.ft)2:EDR3.2; S1.C(S1.组件)3：EDR3.2; S1.-C(SI.组件)4:EDR3.2.13.5EDR3.10支持更新13.61 M嵌入式设备应支持更新和升级的能力。13.62 2蜃由和啷啪南嵌入式设备在其被安装后的整个生命周期中可能需要更新和升级,存在更新和升级时嵌入式设备正在支持或执行携木功能的情况，在这种情况下，嵌入式设备需要有适当的机制来避免补丁和更新对离可用系统的基本功能产生影响(见4.2)。提供这种能力的一个例子是嵌入式设备支持冗余.13&3(1)更新真实性和完匏性在安笠任-软件更新和升级前，嵌入式役备应验证其真实性和完整性.13.&4知»与EDR3.10有关的四个安全等级的要求是： SI-C（SI,组件）1:EDR3.10; S1.-C（SI.组件）2:EDR3.10（1）; S1.C（S1.组件）3:EDR3.10（1）; S1.-C（SI,组件4:EDR3.10（1）.13.6EDR3.11物防破坏iaai嵌入式设备W提供防破坏和检刈机制来防止对设备的未授权物理访问.116.2 .由利用加持甯防破坏机制的目的是防止攻击者对IACS设备执行未经授权的物理操作尝试.若破坏事件发生,除预防之外.检测和响应也是必需的.最有效的防破坏机制是使用组合手段防止对关圾组件的访问.防破坏包括使用专门的材料来使设符或模块的破坏变得困难，这可以包括坚固的外充、锁、包装或安全螺理等特征.放置在严密的气流通道上会增加探测产品内部的难度.破坏留证的目的是确保在发生破坏事件时保留可见的或电子的证据.许多简单的证据技术都是由密封件和胶带组成的,以便明显行到物理破坏.更精妙的技术包括开关。116.3 0M求（D破坏尝试的通知在发现有未经授权的物理访问会试时,嵌入式设备应能峪向可配置的一组接收人白动提供通知.所有假坏通知都应作为整体审计11志功能的一部分诳行记录。116.4 安全等。与EDR3.11有关的四个安全等级的要求是： S1.-C（S1.,组件）1:不选择： S1.-C（SI,组件）2:EDR3.11; S1.C（SI.组件）3：EDR3.11（1）; S1.C（SI.组件）4:EDR3.11（1）.13.7EDR3.12鲁产品供应商任总1.1.1 IE求嵌入式谀备应提供置备和保护产品供应商密钥和数据的机密性、完整性和真实性的旎力.这些密例和数据在制造设备时被用作一个或多个“信任根”.1.1.2 JK由和附加指甯为了使组件能修验证的产品供应商提供的硬件、软件和数据的真实性和完整性.宜抓有可信的数据源来执行验证过程。这个可信的数据源被称为系统的“信任根”。这个可信的数据源可以是“已如良好”软件的组密码哈希侑，或者它可以是用于验证密码签名的非对称密钥时的公共部分。在俎件的固件或操作系统启动之前，此可信数据通常用于验证美滋的软件、固件和数据，以验i掰1件将启动到，个“己知良好”的状态，在该状态下，所有安全机制已知是正常运行和未受到损坏的.“伯任根”数据通常通过硬件机制进行保妒,以防止在组件正常运行期间对数据进行任何修改.产品供应商信任根数据的他改通常局限于产品供应商的置备过程,供应商有一个值得信赖的过程来执行数掘的设备.相反，需要利用信任根进行验证的信息则通过硬件或软件AP1.提交给验证过程.该AP1.执行脸证并返回结果而不步效受保护的数据.1.1.3 府陵求无1374安全警畿与EDR3.12有关的四个安全等级的要求是： S1.-C（SI.组件）1:不选择： S1.-C（S1.,组件）2:EDR3.12： S1.C（S1.如件）3:EDR3.12; S1.-C（S1.组件3:EDR3.12.13KEDR3.13量备责产所看者的任根Ha1.X*嵌入式设箸应：a）提供置莅和保护资产所有者定例和被用作“信任根”的数据的机密性、完整性和真实性的能力；b）支持在不依梭设备安全域之外细件的情况卜进行置存的能力。18&2*由和次啪*产品供应商建立机制来确保其组件上的软件和固件是口实的，井且该软件和固件的完整性没有受到损害.这使得产品供应商旎够向资产所有者提供一个“已知良好”状态来运行.但是,许多产品供应商还提供了资产所有者通过使用移动代码、用户程序或其他类似手段来扩展其设在功能的机制.为了保护组件的安全性,验证这些扩展的组件功能也是重要的.以确保它们被授权并且资产所有者已经证实了它们的来源.为执行这些5金证,组件宜包含提供区分有效和无效源的方法的数据.不同资产所有者的有效和无效来源列表各不相同，并且产品供应商不可能在制造时就拥有f个可能的有效来源的完整列去，因此，产品供应商为资产所有者提供一种方法来安全地置符他们白己的“信仟根是非常重要的，这种信任根”能够区分出是否符合资产所有者的安全策珞所允许的来源.宜保护这些“信任极”的真实性和先整性，以使恶意行为者不能通过添加额外的信任根来授予他们自己对组件iM行操作的能力，信任根也能被用作通信安全的班础，例如：CR3.1通信完整性（见7.3）中的通信完整性要求或CR4.1信息机密性（见8.3）中的通信机带性要求。诸如EDR2.4移动代码（见13.2）要求组件在执行移动代码之的完成时移动代码的真实性检查.由此要求提供的信任根提供了验证移动代码的来源和完整性所必需的数据.允许组件独立地确定代码是否被允许执行。1&&3无*13.44½W与EDR33仃关的四个安全等级的要求是： S1.C（S1.组件）1:不选择： S1.-C（SI,组件）2:EDR3.13； S1.CS1.祖件3:EDR3.13; S1.-C（SI.蛆件）4:EDR3.13.13.9EDR3.14JB动过UE三性Hft1.罢求嵌入式设茁在启动过程之前，应验证启动过程中使用的祖件的固件、软件和配置数据的完整性。13.9.2为了向资产所有者保证殂件的安全功能没有受到损杏，有必要确保祖件的软件和固件没有被套改，并且软件和囿件对组件的执行是有效的.因此，组件宜执行以在引导过程之的验证组件的固件和/或软件的完整性校龄，以确保组件不会启动到可能损坏组件的不安全或无收的操作状态或为恶意行为并提供获取其他祖件、资产或数据访问权限的路径。13.9.3 IeH*D启动过程的真实性在组件后动过程所需的固件、软件和配置数据使用之前嵌入式设备应使用组件的产品供应商信任根来验证配件启动过程所需的固件、软件和归置数据的真实性.13.9.4与EDR3.14行关的四个安全等级的要求是： S1.-C（SI.aif-）1：EDR3.14; S1.-C（SI,组件）2:EDR3.14（1）; S1.-C（S1.,组件）3:EDR3.14（1）; S1.-C（SI.组件4:EDR3.14（1）“14主机设的竦141目的本章要求的目的是将与主机设备相关的要求文档化.142HDR2.4移动代码142.1 K*在主机设备使用移动代码技术的情况下,K机设备应提供实施与移动代码技术应用相关的安全策145.3 iWK(D更新的口实性和完整性在安装任软件更新或升级的，主机设品应验证其真实性和完整性.145.4 ½4Hft与HDR3.10有关的四个安全等城的要求是： S1.-C(S1.组件)1:HDR3.10: S1.CSMH件)2:HDR3.10(1); S1.-C(SI.组件)3:HDR3.10(1); SI-C(S1.,组件)4:HDR3.10(1).14.6HDR3.11物防破坏和检震14a1赎主机设备应提供对防破坏和检测机制支持的能力来防止对设备的未羟授权的物理访问.14.&2.由和附喻K防破坏机制的月的是防止攻击者企图对IACS设备执行未姓授权的物理操作。若破坏产件发生，除预防之外，检测和响应也是必需的,最有效的防破坏机制是使用组合手段防止对关键组件的访问.防破坏包括使用专门的材料来使设备或模块的破坏变得困难，这可以包括坚固的外壳、锁、包装或安全螭丝等特征。放置在严密的气流通道上会增加探测产品内部的难度。破坏用证的目的是确保在发生破坏事件时保留可见的或电子的证据，许多简单的证据技术都是由密封件和胶带加成的,以便明显看到物理破坏,更精妙的技术包括开关。14.4341(D破坏尝试的通知在