3.3安全功能和安全完整性

安全功能safety function

电力标准GB/T 412742022

安全完整性等级safetyintegritylevel;SIL 一种离散的等级（4个可能等级之一），对应安全完整性量值的范围。安全完整性等级4是最高的， 安全完整性等级1是最低的。 注1：4个安全完整性等级对应的目标失效量（见GB/T20438.4—2017中3.5.17)参见GB/T20438.1—2017中表2 和表3。 注2：安全完整性等级用于规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。 注3：安全完整性等级（SIL)并非系统、子系统、组件或元器件的属性。对"SILn安全相关系统”（n=1、2、3、4)的正 确解释是系统具有支持安全功能的安全完整性等级达到的潜在能力

4可编程控制系统内生安全体系架构

可编程控制系统的系统架构与内生安全部署如图1所示，主要包括可编程电子模块或工业控制系 充、实时工业网络、安全增强控制软件平台3部分，通过组合部署或分层递阶，可构成嵌入式可编程控制 器单机系统、模块式工业控制系统及分布式计算机控制系统，分别满足小型、中型及大型工业装备、工业 装置及工业系统的自动化需要。内生安全包括信息安全和功能安全，其中信息安全包括认证授权、黑白 名单、数据加密、权限控制等

可编程控制系统的系统架构与内生安全部署

4.2可编程控制系统内生安全特性

可编程控制系统硬件资源、软件环境与应用程序应具有完整性保障检测与保护措施 注1：该保护措施能监测可编程电子部件的硬件功能、配置信息、固件程序等静态完整性 注2：该保护措施能监测进程列表、堆栈数据、全局符号表等系统资源，构建安全进程与资源列表，及时发现代码注 入、堆栈溢出、数据宴改等异常行为。 注3：该保护措施能制定线程及资源的创建、分配、回收等进程调度安全策略，实现安全进程与资源列表的动态 维护。 注4：控制器内核架构及资源受限访问控制与应用隔离机制，能拦截非法跨进程资源访问请求，实现运行空间的隔 离与保护。

4.2.2应用程序的全生命周期安全保护

应用程序编辑、编译、发布、运行、维护等应具有全生命周期的安全保护。 注1：应用程序的多样化生成方法包括动态多样化混淆编辑、异构等价二进制数据动态生成等方法。 注2：通过构建应用程序文件的安全存储与发布系统，实现应用程序文件完整性校验与传输方法 注3：结合基于时间多变性、空间多样性等动态轻量加密方法，实现被攻击视图的动态随机化分配与非明文表达

4.2.3可编程控制系统的综合诊断与高可用实现

可编程控制系统的综合诊断与表决穴余等方法，应保障控制器的高可用性。 注1：综合诊断方法包括控制系统模件/模块/功能电路的随机失效与安全威胁综合诊断、故障隔离与在线修复等 注2：控制器组件或模块的在线配置、在线诊断、联机调试等方法，能设计随机失效与安全威胁在线综合诊断技术， 实现故障或失效的自动识别及快速定位 注3：结合硬件部件、操作系统、工程程序运行空间分布、算法调度等异构多样化方法，通过控制运算节奏同步与数 据同步及异构多模元余表决，能实现异构动态与元余容错，保障控制装备的高安全性与高可用性

4.3可编程控制系统工业网络

4.3.1控制网络的安全机制

控制网络信息的安全传输，应确保数据的机密性、完整性、安全性。

4.3.2控制网络与现场总线安全监测与异常预

控制网络与现场总线安全监测与异常预警应通过数据流场景序列关联分析、数据包分类基线检测、 控制系统编程时或运行时的网络行为分析等技术实现。 注：基于控制网络与现场总线协议的深度理解，通过通信包完整性分析、数据字段合法性监测等方法，能实现非法 数据包的检测与过滤

应用软件开发与运行平台的总体架构示意图如图2所示，图2左侧为不同层次的硬件平台，主要 程师站图形组态与控制编程软件、操作员站实时监控软件、控制器或控制站实时控制软件等，通 网络交互各种数据、管理和控制信息，协调一致地完成整个控制系统的各种功能；主要功能包括 （据采集、算法执行、实时数据和历史数据处理、报警和安全机制、流程控制、动画显示、趋势曲线和

表输出以及监控网络等

GB/T412742022

4.4.2监控操作功能

4.4.2.1用户权限管理

图2应用软件开发与运行平台的总体架构示意图

用户登录权限管理，应建立用户权限授权管理机制。 注1：通过构建授权管理组，管理组仅能实现用户权限的建立、管理、授权和变更，但无操作权限。 注2：用户登录安全管理机制的建立能实现用户授权密码复杂性、差异性、使用期限、尝试次数、单操作站/工程师 站登录绑定、登录主动退出、无操作超时自动退出等安全功能。 注3：用户身份信息的轻量标识方法能实现动态轻量加解密策略，进而实现快速身份识别。 注4：用户权限分配方法能实现授权链安全管理与查询优化策略，进而实现快速用户权限鉴别

4.4.2.2监控操作运行模块

监控操作运行模块应实现人机交互画面的动态显示与操作管理。 基于实时数据库应实现画面显示、在线操作、趋势曲线、报警处理等图形化监视功能；用户操作安全 区与系统软件功能区的授权配置，应支持安全区与功能区操作的访问受控；基于实时数据库逐点权限访 可控制、图形操作单元权限访问控制、图形操作单元关键数据输人值的范围限制与关键数据二次确认 应保证关键操作的访问受控。 注1：按周期记录或变差记录能生成历史数据序列。 注2：依据设置的报警条件，能生成实时数据事件报警记录，同时能支持多种报警响应处理。 注3：依据报表组态信息生成报表记录，能形成报表管理系统

4.4.2.3监控操作生成模块

用户操作权限管理应支持用户操作安全区与系统软件功能区的多级多组授权配置；应支持实时数 据库逐点权限访问控制、图形操作单元权限访问控制、图形操作单元关键数据输人值的范围限制与关键 数据二次确认机制。 注1：工程程序与运行数据所采用的分级动态轻量加密方法，能适应工业场景安全性与可用性多级多样的需求。 注2：数据完整性校验和动态恢复方法能实现关键数据代码的安全存储与周期性校验，确保非法篡改的及时发现 与快速恢复

4.4.2.4监控操作脚本语言模块

画面操作相关的数值计算与逻辑操作等功能 注1：模块能自动检测脚本中错误的位号或语法并实现错误定位 核安全区与功能区、数据点与图形单元等非授权操作

4.4.2.5基于网络的远程操作信息的审计模块

基于网络的远程操作信息的审计模块应基于远程操作相关授权与配置信息，审计

4.4.2.6软件环境升级代码安全保护模块

软件环境升级代码安全保护模块应支持引导程序或软件环境升级代码的安全保护

4.4.3应用程序编程功能

卫生标准4.4.3应用程序编程功能

4.4.3.2应用程序生命周期安全管理机制

应用程序编辑、编译、发布、运行、更新应具有全生命周期安全管理机制。 注1：基于控制算法编程规则的人为失误审核、基于哈希函数（MD5、CRC32等）等的工程程序源码，及工程程序目 标码的完整性检测、最小化安全相关FBD算法功能块集合等的安全相关措施，能实现控制算法编辑器的存 储介质随机失效、控制算法编辑器软件设计缺陷、人为恶意篡改等的安全防范。 注2：用户项目工程密码授权、工程程序页密码授权能防范非授权工程程序访间。 注3：基础元件、单元设备、行业装备等工程特性的抽取，典型控制工程的模型库、方法库、界面库等的逐级构建，能 实现信息物理系统智能封装与流程可信重构：集成、派生、重用、重构机制能实现工程程序的自动生成与行业 流程的复用重构，防范关键控制程序与核心工艺参数的篡改与泄露

4.4.4实时控制功能

排水管道标准规范范本GB/T412742022

4.4.5事件记录功能

事件记录功能应支持可编程控制系统相关编程、操作、运行事件的记录。 注1：操作事件的记录及查询功能，能支持基于用户自定义配置对象及操作，通过时间、模块、用户等信息查询操作 事件；能支持配方事件的记录及查询，配方事件是产品配方在生产过程中所产生的事件记录信息；能支持 SOE顺序事件响应的记录及查询，结合NTP时钟服务器，精确记录设备跳变的事件；能支持过程事件的记录 及查询，过程事件是某一工艺在生产过程中所产生的事件记录信息。 注2：安全相关关键参数与数据的受控可靠记录，能保证数据清晰、可读、易懂、可追溯，确保完整地重现数据产生 的步骤和顺序；数据操作审计能防范并发现对安全相关关键参数与数据有意或无意篡改、删除、替换等不规 范的操作，包括系统配置及时间截的修改。 注3：审计追踪能安全地记录关键数据的生命周期细节，如在记录中创建、补充、删除或变更信息，同时保留原始 记录。 注4：事件记录功能能支持所有事件记录点单向导出至第三方格式，如EXCEL，进行分析、存档，同时能支持事件 记录打印