标准规范下载简介
T/SIOT 023-2021 工业物联网安全网闸技术要求.pdfICS 35.240.50 CCS L67 登记号:51310000501782151B
ICS 35.240.50 CCS L67 登记号:51310000501782151B
11 范围... 规范性引用文件 术语和定义 基本要求, 4.1概述... 4.2硬件. 4.3内核软件 4.4配置软件.. 4.5监视软件. 4.6工作环境 4.7高可靠性 4.8串口支持., 安全技术要求, 5.1接入安全要求 5.1.1资产识别 5.1.2协议识别 5.1.3安全通道 5.1.4访问控制 5.1.5入侵检测 5.1.6漏洞扫描 5.1.7行为分析 5.2自身安全要求 5.3安全保障要求
范围... 规范性引用文件 术语和定义 基本要求, 4.1概述... 4.2硬件. 4.3内核软件 4.4配置软件.. 4.5监视软件. 4.6工作环境 4.7高可靠性 4.8串口支持., 安全技术要求, 5.1接入安全要求 5.1.1资产识别 5.1.2协议识别 5.1.3安全通道 5.1.4访问控制 5.1.5入侵检测 5.1.6漏洞扫描 5.1.7行为分析 5.2自身安全要求 5.3安全保障要求
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海市物联网行业协会提出并归口。 本文件起草单位:上海旋思智能科技有限公司、上海天融信网络安全技术有限公司、上海安网络 科技有限公司、上海宝信软件股份有限公司、上海电气数智生态科技有限公司、上海众达信息产业有限 公司、宝钢工程技术集团有限公司、上海帆一尚行科技有限公司、慧电子系统工程股份有限公司、飞 眼网络科技(上海)有限公司、上海地铁电子科技有限公司、上海形拓科技有限公司、上海昊沧系统控 制技术有限责任公司、江苏金恒信息科技有限公司、上海市物联网行业协会。 本文件主要起草人:李磊、刘林、陈钢、刘芬、魏茗飞、安高峰、张超、马霄、沈雯、代真虎、 黄钰梅、龚炜、时美、范昀、魏巍、何绮青、汪姗姗、贺志龙、王凯、方铠、朱维奇、魏玲、姚海东、 汪晓风、姚钟麟、耿东升、欧阳树生。 本文件首批承诺实施单位:上海旋思智能科技有限公司摩擦压力机作业安全技术交底,上海天融信网络安全技术有限公司、上海 安网络科技有限公司、上海地铁电子科技有限公司、上海形拓科技有限公司。
本文件规定了工业物联网安全网闸的基本要求,包括内核软件、配置软件监视软件、串口支持,规 定了安全技术要求,包括接入安全要求、自身安全要求和安全保障要求。 本文件适用于工业物联网产品的研制、开发、应用。
本文件没有规范性引用文件
工业物联网安全网闸是一种具备工业协议转换能力的单向安全通信设备。工业物联网安全网闸在支 持常见工业标准规约数据采集的同时,采用两套主机加隔离装置的结构,隔离装置介于两套主机之间, 实现物理级的隔离功能,使工业生产网络得到有力的安全保障。工业物联网安全网闸硬件结构如图1所 示。
图1工业物联网安全网闸结构
隔离装置将工业物联网安全网闸内的两个主机TCP网络断开,一般使用485总线、CAN总线、USB 内网侧主机到外网侧主机数据的传输。 网主机宜采用低功耗无风扇设计,在保证稳定性的情况下兼顾性能。
内核软件分别安装在内网侧主机和外网侧主机上。内网侧内核软件采集工业设备数据,实现协议适 配、协议剥离、数据归集。归集数据经隔离装置单向传输到外网侧主机。外网侧软件对归集数据进行封 装,以标准协议将数据发送给第三方系统。针对现场可能发生的传输网络故障,上层系统故障等情况, 建议内核软件实现断线缓存
配置软件与内网侧内核软件交互,实现网闸配置、工程管理。配置软件应简单易用,支持设备协议 驱动库、协议转发库。协议驱动库应支持主流的行业协议,可支持定制和扩展。协议转发库应支持主流 的行业标准协议,可支持定制和扩展。
监视软件可与内外网侧内核软件交互,监视网闸运行状态。监视软件应具备数据查看、日志查看功 能
工业物联网闸需要具备高可靠性,具备软硬看门技术,异常问题出现后第一时间可以进行自快 时硬件设计建议采用双电源供电设计,一路接电网,一路接UPS,有效避免断电。
工业物联网闸兼备工业数据采集功能,内网侧宜配置多个串口,串口需要有多重隔离机制,以扩展 工业安全网闸的数据接入能力
基于终端节点业务数据特征或用户自定义规则进行节点识别,标注资产地址,指纹信息等其它关联 信息。 a) 支持识别工业物联网设备类型、厂商、操作系统、开放服务等; b 识别技术支持设备特征,主动学习并发现新添加设备
基于数据流的工业物联网协议识别,支持针对协议进行策略控制
基于数据流的工业物联网协议识别某住宅楼桩基静压桩专项施工方案,支持针对协议进行策略控制
安全通道要求包括: a 支持设备间数据通道加密,支持网关、总部之间的全加密互联,点到点,点到多点的安全VPN 通道连接; b) 支持配置成星形、全连通或用户自定义组网。
支持入侵检测,对威胁自动告警。
支持定期对工业物联网终端进行漏洞扫描
行为分析要求包括: 根据业务流量生成物联网设备行为基线; 2 基于设备行为基线,根据用户策略进行设备业务流量监控,发现行为异常的设备并进行告警
工业物联网安全网闸启动时应: a) 支持Boot校验,防止镜像篡改或损坏; b) 支持系统文件启动检查; C) 支持启动状态检查。
工业物联网安全网闸启动时应: 日 支持Boot校验,防止镜像纂改或损坏; 0 支持系统文件启动检查; C) 支持启动状态检查。
深圳市某标段建筑装修工程施工组织设计3100国际单位制及其压