6.3.2.1通信完整性

通信完整性（SR3.1)应符合GB/T30976.1一2014中6.4.1的要求。CU应保护通信信道上传转 息的完整性。

6.3.2.2基于密码技术的完整性保护

基于密码技术的完整性保护[SR3.1RE(1)］应符合GB/T30976.1一2014中6.4.1.1的要求。 提供能力，采用密码学机制识别信息在通信过程中的变更锅炉标准规范范本，除非信息已被其他可替换的物理 护。

6.3.2.3软件和信息完整性

软件和信息完整性（SR3.4)应符合GB/T30976.1一2014中6.4.4的要求。CU应提供能力检测 和保护软件和信息不受未经授权的变更

6.3.2.4对破坏完整性进行自动通知

对破坏完整性进行自动通知SR3. 供能力，使用自动化工具在完整性验证期间发现不符时通知人员

6.3.2.5输入验证

输入验证（SR3.5)应符合GB/T30976.1一2014中6.4.5的要求。CU应验证任何输人的语法和 这些输入是作为工业过程控制输入或直接影响CU行为的输入

6.3.2.6确定性的输出

确定性的输出（SR3.6）应符合GB/T30976.1一2014中6.4.6的要求。CU应提供能力，在遭受攻击 无法保持正常运行时能够将输出设为预先定义的状态。这些状态包括： a）未上电状态； b）可知最后的确定值； C）由资产属主或应用确定的固定值

6.3.2.7错误处理

错误处理（SR3.7)应符合GB/T30976.1一2014中6.4.7的要求。CU应能够识别和处理错误条件 的方式，应能够实施有效的补救，这一方式不能提供可能被利用来攻击CU的信息，除非泄露这一信息 为及时发现并修理问题的必要条件

6.3.2.8会话完整性

会话完整性（SR3.8）应符合GB/T30976 1中6.4.8的要求。CU应提供保护通信会话完 机制，能为通信会话的每一端提供端对端身份和传输信息正确性的信任

6.3.2.9会话终止后会话ID的失效

会话终止后会话ID的失效[SR3.8RE(1)]应符合GB/T30976.1一2014中6.4.8.1的要求。在 出或会话终止（包括浏览器会话）后，CU应提供使其会话标识失效的能力

6.3.2.10唯一会话 ID 的产生和承认

2014中6.4.8.2的要求。CU 能力，为每个会话生成唯一的会话标识ID 系统生成的会话标识

6.3.2.11会话ID的随机性

会话ID的随机性[SR3.8RE（3)J应符合GB/T30976.1一2014中6.4.8.3的要求。CU应提供使 接受的随机源生成唯一的会话标识的能力

6.3.3.1信息保密性

信息保密性（SR4.1)应符合GB/T30976.1一2014中6.5.1的要求。CU应提供能力，对有读授权 在静态和传输中进行保密性保护。CU应： a）通过维护具有可控物理访问的可信网络来保护敏感信息的保密性：

b）识别敏感信息； c）对敏感信息的访问和传输进行控制，以防止窃听和篡改 示例：认证信息，例如用户名和口令应考虑保密。

3.2静态和经由不可信网络传输的数据的保密

GB/T39404—2020

静态和经由不可信网络传输的数据的保密性保护[SR4.1RE（1)J应符合GB/T30976. 5.5.1.1的要求。CU应提供能力保护静态信息和穿越不可信网络的远程访问连接的保密性 密敏感的CU信息，包括口令，在存储和穿过外部网络传输时是加密的

6.3.3.3区域边界的保密性保折

区域边界的保密性保护LSR4.1RE（2)应符合GB/T30976.1一2014中6.5.1.2的要求。CU 能力保护穿越所有区域边界的信息的保密性，敏感的CU数据包括口令在存储和穿越区域边界日 密

6.3.3.4信息存留

信息存留（SR4.2)应符合GB/T30976.1一2014中6.5.2的要求。CU应提供退役能力，清除被不 务所释放的部件中所有与安全相关的资料

6.3.3.5共享内存资源的清除

共享内存资源的清除[SR4.2RE（1）应符合 GB/T30976.1一2014中6.5.2.1的要求。CU应图 助易失性存储资源进行的未经授权的和无意的信息传输，当易失性共享存储释放回CU供不同月 用时，所有的特有数据及特有数据的关联都应 资源中清除，从而便新用户对其不可见和不可访

6.3.3.6密码的使用

密码的使用（SR4.3)应符合GB/T30976.1一2014中6.5.3的要求。当需要密码时，CU应根据 受的工业实践和推荐来使用密码算法、密钥长度以及密钥创建和管理机制

6.3.4通信信息安全要求

6.3.4.1总线拓扑结构

CU通信采用的高速通信总线可组成的站点网络结构应符合树状、链式、星形或环状等网络结构中 的一种或一种以上。

6.3.4.2差错检查

速通信总线数据链路层协议应包含对传输的数据

6.3.4.3最大通信延迟

6.3.4.4时间同步精度

为保证CU中各站点的时间一致性、通信稳定性，CU应进行时间同步。CU高速通信总线的 步精度应满足具体应用的实时通信要求

6.3.4.5总线仲裁

CU高速通信总线控制权的仲裁方式可采用主站管理从站、无主站协调管理多从站、无主站管理 占点抢占等方式。

6.3.4.6网络容错与自愈

CU应具备为工业机器人提供以下能力： a）CU高速通信总线应具有网络容错功能，在偶然性外部干扰影响下，通信总线应能对数据传输 过程中造成的数据错误进行容错处理，不因偶发性错误造成通信过程的中断或停止； b）在通信站点短时异常造成网络通信中断情况下，在站点恢复正常后，高速通信总线应具有自愈 功能，恢复通信总线正常通信所需的时间应满足具体应用要求

6.3.5.1持续监视

持续监视（SR6.2)应符合GB/T30976.1一2014中6.7.2的要求。CU应使用普遍接受的安全工 和推荐来提供持续监视所有安全机制的性能的能力，以及时检测、特征化、削减和报告对安全

6.3.5.2拒绝服务的防护

拒绝服务的防护（SR7.1)应符合GB/T30976.1一2014中6.8.1的要求。CU应对拒绝服务攻击 的防护能力

6.3.5.3管理通信负荷

管理通信负荷[SR7.1RE(1)应符合GB/T30976.1一2014中6.8.1.1的要求。CU应提供管理 荷的能力来消减信息泛洪类的拒绝服务攻击事件 示例：管理通信负荷的能力，例如使用限速

6.3.5.4限制拒绝服务攻击对其他系统和网络的影响

限制拒绝服务攻击对其他系统和网络的影响［SR7.1RE（2)应符合GB/T30976.1一2014中 6.8.1.2的要求。CU应提供能力限制所有用户引发拒绝服务攻击事件的能力，这些事件可能影响其他 CU和网络

6.3.5.5资源管理

资源管理（SR7.2)应符合GB/T30976.1一2014中6.8.2的要求。CU应对资源的使用提供安全功 能，防止资源耗尽。

6.3.5.6数据备份

6.3.5.7备份验证

备份验证[SR7.3RE(1)应符合GB/T30976.1一2014中6.8.3.1的要求。CU应提供验证备份机

6.3.5.8备份自动化

GB/T39404—2020

备份自动化[SR7.3RE（2)应符合GB/T30976.1—2014中6.8.3.2的要求。CU应提供按照可配 置的频率自动备份的能力。

6.3.5.9恢复和重构

恢复和重构（SR7.4)应符合GB/T30976.1一2014中6.8.4的要求。当遭受攻击而造成系统故障， CU应提供恢复和重构到已知的安全状态的能力

6.3.6.1网络和安全配置设置

网络和安全配置设置（SR7.6)应符合GB/T30976.1一2014中6.8.6的要求。CU应提供能力，按照 CU提供商规定的指南中描述的推荐网络和安全配置进行配置。CU应提供与现有部署网络和安全配 置设置之间的一个接口。CU应具备为工业机器人提供以下能力： a）能为配置设置提供可调节的参数； b）能根据安全策略和规程对配置变更进行监视和控制

6.3.6.2最小功能化

最小功能化（SR7.7)应符合GB/T30976.1 2014中6.8.7的要求。CU应提供必要的能力，明 和（或）限制对非必要的功能、端口、协议和（或）服务的使用

6.3.6.3部件清单

部件清单（SR7.8)应符合GB/T30976.1一2014中6.8.8的要求。CU应提供报告当前已安装的部 件及其关联属性的列表的能力。CU应： a）提供报告已安装部件及其关联属性的方法； b）确保已安装部件在系统部件清单目录中是正确的； c）在部件增加、移除或部件属性变更时，正确更新系统部件清单目录

6.4主控与CU之间的信息安全要求

6.4.1编程代码要求

6.4.1.1编程代码

编程代码（SR2.4)应符合GB/T30976.1一2014中6.3.4的要求。CU应提供对编辑、修改编程代码 的人员进行权限管理和身份认证，

1.1.2编程代码的完整性

编程代码的完整性检查[SR2.4RE(1)]应符合GB/T30976.1一2014中6.3.4.1的要求。CU应提 供能力，在允许代码执行之前验证代码的完整性

.4.1.3编程代码的使用

编程代码的使用限制[SR2.4RE（2)应符合GB/T33008.1一2016中5.3.2.8的要求。CU应具备

为工业机器人提供以下能力： a）对代码源要求适当的认证和授权； b）限制代码传人/传出CU； C）监视代码的使用。

为工业机器人提供以下能力： a）对代码源要求适当的认证和授权； b）限制代码传人/传出CU； C）监视代码的使用。

6.4.2并发连接控制

时间戳（SR2.11)应符合GB/T30976.1一2014中6.3.11的要求。CU应提供时间戳用于生成审

6.4.3.2内部时间同步

内部时间同步LSR2.11RE（1)J应符合GB/T30976.1一2014中6.3.11.1的要求。CU应提供以 的频率同步内部系统时钟的能力

6.4.3.3时间源的完整性保护

时间源的完整性保护[SR2.11RE(2)应符合GB/T30976.1一2014中6.3.11.2的要求。时间源 护不受未授权的变更，其变更应触发审计事件

6.4.4标识和认证要求

6.4.4.1用户（人）的标识和认证

用户（人）的标识和认证（SR1.1)应符合GB/T30976.1一2014中6.2.1的要求。CU应具备为工业 机器人提供以下能力： a）提供标识和认证所有用户（人）的能力。这一能力应在访问CU的所有访问接口上实施，以支 持符合相应安全策略和规程的职责分离和最小特权原则； b）使用户标识符能在所有访问接口上被认证，无效用户标识符在所有访问接口上被拒绝

6.4.4.2非可信网络的多因子认证

非可信网络的多因子认证SR1.1RE（2）应符合GB/T30976.1一2014中6.2.1.2的要求。当人通 过非可信网络访问CU时，系统应为其提供多因子认证的能力。对于经由非可信网络的远程访问的认 正方法应多于一种 示例：非可信网络访问.例如远程访问。

6.4.4.3软件进程的标识和认证

软件进程的标识和认证（SR1.2)应符合GB/T30976.1一2014中6.2.2的要求。CU应提供标识和 认证所有软件进程的能力。这一能力应在访问CU的所有访问接口上实施，以支持符合相应安全策略 和规程的职责分离和最小特权原则

4.4.4唯一标识和认证

唯一标识和认证[SR1.2RE(1)应符合GB/T30976.1一2014中6.2.2.1的要求。CU应具备为工

a）对所有合法软件进程拥有唯一标识认证的能力

6.4.4.5账号管理

GB/T39404—2020

账号管理（SR1.3)应符合GB/T30976.1一2014中6.2.3的要求。CU应提供对所有账号 括创建、激活、修改、禁用和移除账号的能力，当一个或多个号被修改或移除时，未被修改的 活和账号权限不变。

.4.4.6统一的账号管理

6.4.4.7标识符管理

标识符管理（SR1.4)应符合GB/T30976.1一2014中6.2.4的要求。CU应提供按照角色或CU 管理标识符的能力。 示例：标识符，例如用户1ID

6.4.4.8认证码管理

认证码管理（SR1.5)应符合GB/T30976.1一2014中6.2.5的要求。CU应具备为工业机器人提供 以下能力： a）CU应提供能力定义初始的认证码内容； b）CU应提供能力周期的变更/更新认证码； c）CU应保护认证码存储和传输时不被未经授权的泄露和更改

6.4.4.9软件进程标识凭证的硬件安全

软件进程标识凭证的硬件安全 GB/T30976.1一2014中6.2.5.1的要求。对 于软件进程和设备用户，CU应提供 户相关认证码的能力

6.4.4.10口令认证

口令认证（SR1.7)应符合GB/T30976.1一2014中6.2.7的要求。对于使用口令认证的CU，CU应 提供能力，实施可配置的基于最小长度和不同字符类型的口令强度，

对用户（人）的口令生成和口令有效期的限制［SR1.7RE（1)J应符合GB/T30976.1 一2014中 6.2.7.1的要求。CU应为用户（人）提供口令重用次数、口令有效期可配置的能力，这些能力符合普遍接 受的安全工业实践。

6.4.4.12对所有用户的口令有效期的限制

对所有用户的口令有效期的限制[SR1.7RE（2)］应符合GB/T30976.1一2014中6.2.7.2的要求。 CU应为所有用户提供实施口令最小和最大有效期限制的能力。

4.13公钥基础设施证

公钥基础设施证书（SR1.8）应符合GB/T30976.1一2014中6.2.8的要求。当使用公钥基础设

PKI时，CU应提供接照普遍接受的最1 能力。

6.4.4.14公钥认证的加强

公钥认证的加强（SR1.9）应符合GB/T30976.1一2014中6.2.9的要求。对于使用公钥认证的CU， CU应具备为工业机器人提供以下能力： a） 系统应通过检查给定证书的签名的有效性来证实证书； 通过可接受的证书认证机构（CA)证实证书，或在自签名证书情况下，以某种事先定义的方式 证实证书； C） 通过给定证书的撤销状态证实证书； d） 建立用户对相应私钥的控制； e 将已认证的标识映射为用户

6.4.4.15公钥认证的硬件安全

公钥认证的硬件安全[SR1.9RE(1)J应符合GB/T30976.1一2014中6.2.9.1的要求。CU应提 ，按照普遍接受的安全工业实践和推荐，通过硬件机制保护相关的私钥。

6.4.4.16认证反馈

认证反馈（SR1.10）应符合GB/T 使得当一个或多个凭证无效时，失败的认证尝试不提供任何合法凭证有效性的信息。 示例：合法凭证有效性的信息，例如用户名和口令

6.4.4.17失败的登录尝试

失败的登录尝试（SR1.11)应符合GB/T30976.1一2014中6.2.11的要求。CU应具备为工业机器 人提供以下能力： a）对任何用户在可配置的时间周期内连续无效访问尝试的次数限制为一个可配置的数目； b）在可配置时间周期内未成功尝试次数超过上限时，在指定时间内拒绝访问直到由管理员解锁； c）不应允许关键服务或服务器运行的系统账号交互式登录

6.4.5授权和访问要求

6.4.5.1经由非可信网络的访间

6.4.5.2明确地对访问请求的批准

明确地对访问请求的批准[SR1.13RE(1)应符合GB/T30976.1—2014中6.2.13.1的要求。默 问，CU应提供拒绝来自不可信网络的访问，除非被指定角色批准。 示例：拒绝来自不可信网络的访问，例如限制未授权的IP地址接人，

6.4.5.3授权的执行

GB/T39404—2020

a) 浏览权限用户； b) 操作员； c) 控制应用工程师； d) 系统管理员； e）操作主管。

浏览权限用户； b) 操作员； c 控制应用工程师； d) 系统管理员； e）操作主管。

住宅楼标准规范范本6.4.5.4无线使用控制

无线使用控制（SR2.2）应符合GB/T30976.1 2014中6.3.2的要求。CU应提供能力，对CU的无 线连接应依据普遍接受的安全工业实践进行授权、监视和限时使用，CU应具备为工业机器人提供以下 能力： a）能授权、监视和限制对CU的无线访问； b）能使用适当的认证机制保护无线访问

6.4.5.5对未授权的无线设备进行识别和报告

对未授权的无线设备进行识别和报告「SR2.2RE(1）应符合GB/T30976.1一2014中6 求。CU应提供识别和报告未授权的与CU相关的无线设备在CU物理环境内发射信号的能

6.5CU内部的信息安全要求

6.5.1标识和认证要求

6.5.1.1用户（人）的标识和认证

用户（人）的标识和认证（SR1.1)应符合GB/T30976.1一2014中6.2.1的要求。CU应提供标识和 认证所有用户（人）的能力，这一能力应在访问CU的所有访问接口上实施槽钢标准，以支持符合相应安全策略的 规程的职责分离和最小特权原则