GB/T 46334-2025 网络关键设备安全检测方法 可编程逻辑控制器（PLC）

　　ICS 35. 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 46334—2025

　　网络关键设备安全检测方法可编程逻辑控制器(PLC)

　　Securitytesting methodsforcriticalnetwork devices—

　　Programmablelogiccontroller(PLC)

　　2025-10-05发布 2026-05-01实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 46334—2025

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 2

　　5 测试环境 2

　　6 安全功能检测方法 3

　　6. 1 设备标识安全 3

　　6. 2 冗余 、备份恢复与异常检测 3

　　6. 3 漏洞和恶意程序防范 4

　　6. 4 预装软件启动及更新安全 4

　　6. 5 用户身份标识与鉴别 5

　　6. 6 访问控制安全 6

　　6. 7 日志审计安全 7

　　6. 8 通信安全 8

　　6. 9 数据安全 8

　　7 安全保障评估方法 9

　　7. 1 供应链安全 9

　　7. 2 设计和开发 9

　　7. 3 生产和交付 10

　　7. 4 用户数据保护 11

　　参考文献 12

　　Ⅰ

　　GB/T 46334—2025

　　前 言

　　本文件按照 GB/T 1. 1—2020《标准化工作导则 第 1部分 :标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由中国机械工业联合会提出 。

　　本文件由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归 口 。

　　本文件起草单位 : 国家工业信息安全发展研究中心 、机械工业仪器仪表综合技术经济研究所 、中国电子技术标准化研究院 、中控技术股份有限公司 、中电智能科技有限公司 、傲拓科技股份有限公司 、三菱电机自动化(中国)有限公司 、施耐德电气(中国)有限公司 、公安部第三研究所 、国家计算机网络应急技术处理协调中心 、中国网络安全审查认证和市场监管大数据中心 、中国信息通信研究院 、国家信息技术安全研究中心 、中国电子信息产业集团有限公司第六研究所 、中国软件评测中心(工业和信息化部软件与集成电路促进中 心) 、中 国 科 学 院 信 息 工 程 研 究 所 、宁 波 和 利 时 信 息 安 全 研 究 院 有 限 公 司 、西 门 子(中国)有限公司 、罗克韦尔自动化(中国)有限公司 、欧姆龙(上海)有限公司 、欧姆龙 自动化(中国) 有限公司 、北京通和实益电信科学技术研究所有限公司 、南方电网科学研究院有限责任公司 、中国人民解放军战略支援部队信息工程大学 、广州大学 、浙江大学 、安天科技集团股份有限公司 、北京华顺信安信息技术有限公司 、烽台科技(北京)有限公司 、中国电力科学研究院有限公司 、北京中关村实验室 、上海计算机软件技术开发中心 、北京腾控科技有限公司 、北京卓识网安技术股份有限公司 。

　　本文件主要起草人 :赵冉 、王 玉 敏 、姚 相 振 、程 曦 、刘 子 贺 、陆 卫 军 、霍 玉 鲜 、陈 思 宁 、崔 龙 成 、王 勇 、邹春明 、张晓明 、申永波 、夏冀 、郭春颖 、曾珍珍 、霍朝宾 、周睿康 、李琳 、王翔宇 、闫兆腾 、刘盈 、闫韬 、潘亮 、于海斌 、丁一平 、张 博 、袁 玉 东 、许 爱 东 、麻 荣 宽 、尚 文 利 、程 鹏 、王 乃 青 、邓 焕 、龚 亮 华 、贾 玲 、王 智 慧 、王雅哲 、张嘉玮 、李鹏 、王爱鹏 、杜金燃 、荆国利 、楚兵 、廖剑 、裴渊斗 、汪宇涛 、贺敏超 、车欣 、章维 、张亚薇 、林浩 、葛建新 、韩娟 、魏强 、肖钰汾 、王铁钢 、刘韧 、熊俊伟 。

　　Ⅲ

　　GB/T 46334—2025

　　网络关键设备安全检测方法可编程逻辑控制器(PLC)

　　1 范围

　　本文件描述了可编程逻辑控制器的安全功能检测方法和安全保障评估方法 。

　　本文件适用于符合网络关键设备规定范围的可编程逻辑控制器的研发 、测试等工作 。

　　注 : 符合网络关键设备规定范围是指设备的性能指标或规格符合《网络关键设备和网络安全专用产品 目录》中规定的范围 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本(包括所有的修改单) 适用于本文件 。

　　GB/T 25069 信息安全技术 术语

　　GB/T 45406—2025 网络关键设备安全技术要求 可编程逻辑控制器(PLC)

　　3 术语和定义

　　GB/T 25069界定的以及下列术语和定义适用于本文件 。

　　3. 1

　　可编程逻辑控制器 programmablelogiccontroller;PLC

　　用于工业环境的数字式操作的电子系统 。 系统用可编程的存储器作为面向用户指令的内部寄存器 ,完成规定的功能 ,如逻辑 、顺序 、定时 、计数 、运算等 ,通过数字或模拟的 I/O,控制各种类型的机械或过程 。

　　[来源 :GB/T 15969. 1—2007,3. 5,有修改] 3.2

　　预装软件 pre-installed software

　　设备出厂时安装或提供的 、保障设备正常使用必需的软件 。

　　注 : 可编程逻辑控制器的预装软件通常为设备固件 。

　　[来源 :GB 40050—2021,3. 10,有修改] 3.3

　　读取 read

　　将可编程逻辑控制器中的预装软件 、程序 、状态参数等数据上传 。

　　3.4

　　写入 write

　　将预装软件 、程序 、状态参数等数据下传至可编程逻辑控制器中 。

　　3.5

　　漏洞 vulnerability

　　可能被威胁利用的资产或控制的弱点 。

　　1

　　GB/T 46334—2025

　　[来源 :GB 40050—2021,3. 3] 3.6

　　健壮性 robustness

　　描述网络关键设备或部件在无效数据输入或者高强度输入等环境下 ,其各项功能可保持正确运行的程度 。

　　[来源 :GB 40050—2021,3. 5]

　　4 缩略语

　　下列缩略语适用于本文件 。

　　CPU : 中央处理器(CentralProcessing Unit)

　　I/O:输入/输出(Input/Output)

　　IP: 因特网协议(InternetProtocol)

　　NTP: 网络时间协议(Network Time Protocol)

　　UID:用户标识(User Identification)

　　5 测试环境

　　测试环境示意图见图 1 和图 2,其中 :

　　— 组态主机安装 PLC编程软件 ,进行可编程逻辑控制器项目工程文件编写等 ;

　　— 测试主机用于测试用例执行等 ;

　　— 测试工具主要包括网络流量分析工具 、端口扫描工具 、恶意程序扫描工具等 。

　　测试条件应在生产者声明的正常工作范围内进行 。

　　图 1 可编程逻辑控制器测试环境示意图

　　2

　　GB/T 46334—2025

　　图 2 可编程逻辑控制器整机冗余测试环境示意图

　　6 安全功能检测方法

　　6. 1 设备标识安全

　　本检测用于对 GB/T 45406—2025 中 6. 2要求内容的验证 。

　　设备标识安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 查看整体式可编程逻辑控制器的硬件整机或模块式可编程逻辑控制器的关键部件模块是否存在序列号等唯一性标识 ;

　　2) 查看可编程逻辑控制器预装软件 、补丁包/升级包是否存在版本号等唯一性标识 。

　　b) 预期结果 :

　　1) 整体式可编程逻辑控制器硬件整机或模块式可编程逻辑控制器的关键部件模块具备序列号等唯一性标识 ;

　　2) 可编程逻辑控制器预装软件 、补丁包/升级包具备版本号等唯一性标识 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.2 冗余、备份恢复与异常检测

　　本检测用于对 GB/T 45406—2025 中 6. 3要求内容的验证 。

　　冗余 、备份恢复与异常检测的检测评价方法如下 。

　　a) 检测方法 :

　　1) 参照产品手册或生产者说明对可编程逻辑控制器整机冗余测试或关键部件冗余模式进行设定 ,对配置为主机或关键部件的主模块进行异常操作(断电 、通信中断等) ,查看备机或冗余模块的工作状态是否与主模块异常操作前一致 ;

　　2) 模拟整体式可编程逻辑控制器或模块式可编程逻辑控制器的关键部件异常运行状态 ,检查可编程逻辑控制器是否支持切换到安全运行状态确保控制功能正常 ;

　　3) 分别获取或备份预装软件 、备份配置文件到可编程逻辑控制器之外的存储介质上 ,清空或重置可编程逻辑控制器配置后 ,从存储介质上恢复预装软件 、配置文件到可编程逻辑控制

　　3

　　GB/T 46334—2025

　　器 ,查看可编程逻辑控制器是否能恢复到备份前的工作状态 ,破坏备份的预装软件和配置文件的完整性 ,清空或重置可编程逻辑控制器 ,再次执行预装软件和配置文件恢复操作 ,查看设备能否检测到软件和配置已被修改 ;

　　4) 建立管理主机与可编程逻辑控制器之间的连接 , 对可编程逻辑控制器进行 I/O 模 块 断电 、网线插拔等操作 ,查看状态提示信息的有效性 。

　　b) 预期结果 :

　　1) 备机或冗余模块能按照手册或生产者说明予以正常响应 , 主备切换或冗余模块切换完成后 ,可编程逻辑控制器可恢复至正常的工作状态 ;

　　2) 整体式可编程逻辑控制器或模块式可编程逻辑控制器的关键部件运行状态异常时 ,可编程逻辑控制器支持切换到安全运行状态确保控制功能正常 ;

　　3) 预装软件 、配置文件能备份成功 ,可编程逻辑控制器重置后恢复备份的预装软件 、配置文件 ,可编程逻辑控制器能恢复到备份前的工作状态 ,恢复不完整的预装软件和配置文件到可编程逻辑控制器 ,可编程逻辑控制器能检测到软件和配置已被 破 坏 , 且 无 法 完 成 恢 复操作 ;

　　4) 异常状态提示信息与实际发生的事件一致 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.3 漏洞和恶意程序防范

　　本检测用于对 GB/T 45406—2025 中 6. 4要求内容的验证 。

　　漏洞和恶意程序防范的检测评价方法如下 。

　　a) 检测方法 :

　　1) 采用漏洞扫描工具对整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件进行漏洞扫描等方式确认是否存在已公布的漏洞 ,针对发现的安全漏洞 ,检查是否具备补救措施防范漏洞安全风险 ;

　　2) 使用至少两种恶意程序扫描工具对整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件预装软件 、补丁包/升级包进行扫描 ,查看是否存在恶意程序 ;

　　3) 生产者提供整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件所支持的网络安全相关功能和访问接口文档及相关声明文件 ,使用相关工具检查可编程逻辑控制器整机 、关键部件网络安全相关功能和访问接口是否与生产者提供的文档一致 。

　　b) 预期结果 :

　　1) 未发现已知安全漏洞 ,或针对发现的漏洞具备相应有效的补救措施防范漏洞安全风险 ;

　　2) 预装软件 、补丁包/升级包不存在恶意程序 ;

　　3) 整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件支持的功能和访问接 口(含远程调试接口)与文档一致 ,不存在未声明的功能和访问接口(含远程调试接口) 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.4 预装软件启动及更新安全

　　本检测用于对 GB/T 45406—2025 中 6. 5要求内容的验证 。

　　预装软件启动及更新安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 查看生产者提供的说明材料 ,确认整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件预装软件启动时采用的完整性校验措施 ;

　　2) 对整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件进行预装软件更新操

　　4

　　GB/T 46334—2025

　　作 ,检查是否更新成功 ;

　　3) 分别尝试使用授权用户和非授权用户执行整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件预装软件更新操作 ,检查更新过程中是否要求用户进行选择或确认 ;

　　4) 篡改生产者提供的预装软件更新包 ,尝试进行更新操作 ,检查是否能完成更新过程 ,整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件支持网络更新方式时 ,配置整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件开启网络更新方式 ,并尝试从网络获得更新包 ,在更新过程中 ,抓取数据包 ,查看是否为非明文数据 ;

　　5) 对整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件预装软件进行更新操作 ,检查是否通过文档或软件提示信息等方式对此次更新的内容进行说明 ,查看是否有告知更新过程的开始和结束的提示信息 。

　　b) 预期结果 :

　　1) 生产者提供的材料明确说明了整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件采用的预装软件启动完整性校验措施 ,支持启动时完整性校验功能 ,确保预装软件不被篡改 ;

　　2) 预装软件更新成功 ,可编程逻辑控制器可正常运行 ;

　　3) 执行更新操作时需要进行权限要求确认 ,仅有授权确认后可执行更新操作 ,非授权则不能执行更新操作 ;

　　4) 使用被篡改后的预装软件更新包无法完成更新过程 ,更新失败时可编程逻辑控制器能恢复到更新前的正常工作状态 ,支持网络更新方式时 ,整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件可从网络中获取到所需要的更新包 , 网络传输通道支持加密传输 ,数据包被加密 ,非明文传输 ;

　　5) 具备更新的内容说明 、更新过程开始提示信息和更新过程结束提示信息 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.5 用户身份标识与鉴别

　　本检测用于对 GB/T 45406—2025 中 6. 6要求内容的验证 。

　　用户身份标识与鉴别的检测评价方法如下 。

　　a) 检测方法 :

　　1) 模拟用户进行注册 、登录等操作 ,查看已登录用户是否具备唯一性用户标识(UID等) ,创建具备相同标识的新用户 ,检查能否创建成功 ,对可编程逻辑控制器执行配置文件读取及写入 、预装软件更新等管理操作 ,查看是否需要进行身份鉴别 ;

　　2) 检查可编程逻辑控制器是否采用了基于密码技术的身份鉴别机制 ,如口令 、共享密钥 、数字证书或生物特征等 ;

　　3) 可编程逻辑控制器使用口令鉴别方式时 ,可编程逻辑控制器处于出厂默认配置状态下 ,检查首次管理可编程逻辑控制器时是否强制修改默认口令或设置口令 , 或使用随机的初始口令 ,检查可编程逻辑控制器是否支持开启 口令复杂度检查功能 ,设置口令时 ,检查是否支持设置口令生 存 周 期 , 用 户 输 入 口 令 时 , 检 查 输 入 过 程 中 是 否 明 文 回 显 输 入 的 口 令信息 ;

　　4) 开启口令复杂度检查功能时 ,配置或确认口令复杂度要求 ,分别设置符合 、不符合口令复杂度要求的用户口令 ,确认口令的有效性 ;

　　5) 启用或配置用户鉴别信息猜解攻击防范策略或功能 ,查看可编程逻辑控制器是否支持默认开启口令复杂度检查功能 、限制连续的非法登录尝试次数或支持限制管理访问连接的数量 、双因素鉴别等至少一种措施 , 当出现鉴别失败时可编程逻辑控 制 器 提 供 无 差 别 反

　　5

　　GB/T 46334—2025

　　馈 ,模拟用户鉴 别 信 息 猜 解 攻 击 , 验 证 可 编 程 逻 辑 控 制 器 的 安 全 策 略 或 安 全 功 能 是 否生效 ;

　　6) 配置或确认会话空闲时长策略 ,连接登录可编程逻辑控制器 ,验证在策略规定的时间内不活动时会话是否被终止或锁定 ;

　　7) 按照生产者提供的身份鉴别信息安全存储说明材料生成用户身份鉴别信息 ,查看是否以加密方式存储 ,按照生产者提供的身份鉴别信息安全传输操作说明材料生成并传输用户身份鉴别信息 ,通过抓包或其他有效的方式查看是否具备保密性和完整性保护能力 。

　　b) 预期结果 :

　　1) 用户具备唯一性身份标识 ,无法创建具备相同标识的新用户 ,对可编程逻辑控制器执行配置文件读取及写入 、预装软件更新等管理操作前需要进行身份鉴别 ;

　　2) 可编程逻辑控制器采用了基于密码技术的身份鉴别机制 ;

　　3) 首次管理可编程逻辑控制器时 ,强制修改默认口令或设置口令 ,或支持随机的初始口令 ,可编程逻辑控制器支持开启口令复杂度检查功能 ,设置口令时 ,支持设置口令生存周期且设置生效 ,用户输入口令时 ,输入过程中无明文回显输入的口令信息 ;

　　4) 成功配置或确认口令复杂度要求 , 口令设置时口令复杂度检查包括口令长度检查 、口令字符类型检查 、口令与账号无关性检查中的至少一项 ,设置符合口令复杂度要求的用户口令成功 、不符合口令复杂度要求的用户口令失败 ,常见的口令复杂度要求长度不少于 8 位 ,口令字符类型检查要求至少包含 2种不同类型字符 ,常见的字符类型包括数字 、大小写字母 、特殊字符等 ;

　　5) 启用或配置可编程逻辑控制器支持的用户鉴别信息猜解攻击防范策略或功能成功 ,可编程逻辑控制器支持默认开启口令复杂度检查功能 、限制连续的非法登录尝试次数或支持限制管理访问连接的数量 、双因素鉴别等功能 , 当出现鉴别失败时提供无差别反馈防范用户鉴别信息猜解攻击 ;

　　6) 超过策略规定的时间时 ,会话被终止或锁定 ,需要用户重新进行登录 ;

　　7) 用户身份鉴别信息能以加密方式存储 ,具备保障传输用户身份鉴别信息保密性和完整性能力 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.6 访问控制安全

　　本检测用于对 GB/T 45406—2025 中 6. 7要求内容的验证 。

　　访问控制安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 使用端口扫描工具等对默认状态下的可编程逻辑控制器进行全端口扫描 ,查看已开放的端口 、服务等是否与生产者声明的保持一致 ,是否仅开启了必要的服务和对应的端 口 , 尝试关闭除生产者声明保持可编程逻辑控制器基本功能运行的服务和端口之外默认开启的服务和对应的端 口 ,使用端口扫描工具确认是否处于已关闭状态 ;

　　2) 检查默认状态下可编程逻辑控制器开启的端口和服务配置能否实现可编程逻辑控制器基本控制和通信功能 ,配置可编程逻辑控制器开启非默认开放的端口和服务 ,确认是否经过用户知晓且同意才可启用 ;

　　3) 设置通过 IP地址绑定等安全策略限制可访问可编程逻辑控制器受控资源的用户 ,使用配置的用户对可编程逻辑控制器受控资源进行访问 ,确认仅授权用户可访问 ,非授权用户不能访问 ;

　　4) 使用或新建不同权限级别用户 ,配置高等级权限用户具有涉及可编程逻辑控制器安全的

　　6

　　GB/T 46334—2025

　　重要功能如预装软件更新 、日志审计 、时间同步等权限 , 配置低等级权限用户不支持涉及设备安全的重要功能权限 ,分别使用高 、低等级权限用户登录可编程逻辑控制器 ,对可编程逻辑控制器进行固件更新 、日志审计 、时间同步等重要配置或操作 。

　　b) 预期结果 :

　　1) 端口扫描结果与生产者声明的保持一致 ,默认状态下 ,可编程逻辑控制器仅开启了必要的服务和对应的端 口 ,不存在声明以外的其他端口 、服务等 ,设定关闭的端口和服务处于已关闭状态 ;

　　2) 默认状态下可编程逻辑控制器开启的端口和服务配置能实现可编程逻辑控制器基本控制和通信功能 ,非默认开放的端口和服务 ,用户通过配置且知晓同意后才可启用 ,用户知晓且同意开启非默认端口和服务的方式通常可包括用户授权 、二次确认 、配置文件写入等 ;

　　3) 设置可编程逻辑控制器受控资源访问控制策略成功 ,仅授权用户可访问受控资源 ,非授权用户不能访问 ;

　　4) 高 、低等级权限用户权限配置成功 ,对涉及设备安全的预装软件更新 、日志审计 、时间同步等重要功能配置或操作 ,仅授权的高权限等级用户可执行 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.7 日志审计安全

　　本检测用于对 GB/T 45406—2025 中 6. 8要求内容的验证 。

　　日志审计安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 对可编程逻辑控制器进行设备登录 、项 目工程文件写入 、项 目工程文件读取 、预装软件更新等操作 ,查看日志是否具有相关操作记录 ,确认日志要素是否包括事件的 日期和时间 、事件的来源(UID、设备 IP地址等) 、事件的结果(成功或失败)等 ;

　　2) 查看日志是否进行了本地存储 ,触发日志信息输出操作 ,如将日志信息输出至上位机或 日志服务器等 ,查看日志信息输出操作是否成功 ,上位机或日志服务器等日志数据接收端是否有相关日志信息 ;

　　3) 反复进行触发日志记录行为的操作 ,直到 日志记录存储达到设定极限 ,如可编程逻辑控制器支持剩余日志存储空间低于阈值时进行告警功能 ,查看是否产生了告警 ,如可编程逻辑控制器支持日志循环覆盖 ,查看最新产生的 日志是否对最早产生的 日志进行了覆盖 ;

　　4) 分别使用授权 、非授权用户登录可编程逻辑控制器 ,检查该用户是否能查看 、输出或删除日志内容 ;

　　5) 查看日志的记录内容中是否包含明文或弱加密记录可编程逻辑控制器的关键配置信息等敏感数据 。

　　b) 预期结果 :

　　1) 针对可编程逻辑控制器的重要管理操作和配置变更等事件均被记录在 日志中 , 日志信息中包括事件的 日期和时间 、事件的来源(UID、设备 IP地址等) 、事件的结果(成功或失败)等必要的 日志要素 ;

　　2) 日志进行了本地存储 ,支持日志输出功能 , 日志信息输出操作成功 ,上位机或 日志服务器等日志数据接收端有相关日志信息 ;

　　3) 日志记录存储达到设定极限时 ,产生了 日志记录剩余存储空间低于阈值的告警或最新产生的 日志对最早产生的 日志实现了覆盖 ;

　　4) 只有获得授权的用户才能对日志内容进行查看 、输出或删除 ;

　　5) 日志中不存在明文或采用不安全的密码算法(如 MD5、BASE64、ASCII码转换等)记录可

　　7

　　GB/T 46334—2025

　　编程逻辑控制器的关键配置信息 、鉴别信息等敏感数据 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6. 8 通信安全

　　本检测用于对 GB/T 45406—2025 中 6. 9要求内容的验证 。

　　通信安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 检查可编程逻辑控制器是否提供保证通信安全的机制 ;

　　2) 确认可编程逻辑控制器使用的通信协议范围 ,建立测试工具与可编程逻辑控制器之间的连接 ,在可编程逻辑控制器控制功能正常运行状态下向可编程逻辑控制器发送涵盖可编程逻辑控制器支持的通信协议字段数据错误 、报文结构异常或上下文不一致等异常报文 ,查看可编程逻辑控制器各功能模块工作状态 ;

　　3) 对可编程逻辑控制器进行时间同步设置 ,检查可编程逻辑控制器与上位机 、可编程逻辑控制器之间或可编程逻辑控制器与对时装置的时间同步功能设置是否生效 ;

　　4) 检查生产者是否提供了可编程逻辑控制器支持的所有协议清单以及不存在未声明的私有协议的说明材料 ;

　　5) 配置可编程逻辑控制器开启安全的通信协议功能 ,对可编程逻辑控制器进行用户登录 、控制命令传输等操作 ,抓取过程中的数据流量并进行重放 ,确认重放攻击是否成功 。

　　b) 预期结果 :

　　1) 可编程逻辑控制器采用的通信安全机制能保障通信数据的保密性 、完整性 ;

　　2) 异常报文发送过程中 ,可编程逻辑控制器各功能模块工作正常 ,未出现 CPU故障 、I/O故障等情况 ;

　　3) 可编程逻辑控制器支持使用 NTP或其他方式实现与上位机 、其他可编程逻辑控制器或对时装置间的时间同步功能 ,且被测可编程逻辑控制器能正常完成时间同步 ;

　　4) 生产者提供了可编程逻辑控制器支持的所有协议清单以及不存在未声明的私有协议的说明材料 ;

　　5) 数据重放后 ,对应操作未被执行 , 可编程逻辑控制器能抵御通信过程中身份鉴别信息重放 、设备控制数据重放等重要通信数据常见重放类攻击 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　6.9 数据安全

　　本检测用于对 GB/T 45406—2025 中 6. 10要求内容的验证 。

　　数据安全的检测评价方法如下 。

　　a) 检测方法 :

　　1) 尝试使用非授权账户对可编程逻辑控制器进行配置信息 、项目工程文件读取和修改操作 ,检查是否成功 ,查看存储在整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件中的配置信息 、项目工程文件 、口令等敏感数据信息是否以密文形式存储或不显示 ;

　　2) 分别使用授权账户和非授权账户对整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件中的 日志 、项目工程文件等数据进行删除操作 。

　　b) 预期结果 :

　　1) 非授权用户无法读取和修改可编程逻辑控制器的配置信息 、项目工程文件 ;存储在整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件中的配置信息 、项 目工程文件 、口令等敏感数据信息均以密文形式存储或不显示 ;

　　8

　　GB/T 46334—2025

　　2) 授权账户可以成功进行整体式可编程逻辑控制器 、模块式可编程逻辑控制器的关键部件中的项目工程文件等数据的删除操作 ,删除前支持对删除操作进行确认 ,非授权账户无法删除相关数据 。

　　c) 结果判定 :实际检测结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7 安全保障评估方法

　　7. 1 供应链安全

　　本检测用于对 GB/T 45406—2025 中 7. 2要求内容的验证 。

　　供应链安全的评估方法如下 。

　　a) 评估方法 :

　　1) 查看生产者提供的说明材料 ,确认是否制定了供应商选择 、评价和 日常管理的程序 ,对供应商提出了管理要求 , 以确保其提供零部件等满足安全要求 ,并保存了对供应商选择 、评价和 日常管理的记录 ;

　　2) 查看生产者提供的说明材料 ,确认是否建立了零部件清单 、物料清单和供应商清单 ,确保各环节供应信息可追溯 ;

　　3) 查看生产者提供的说明材料 ,确认是否制定和实施了完善的供应链保障制度 ,能保障各环节关键要素稳定 ,确保供应中断风险可控 。

　　b) 预期结果 :

　　1) 说明材料中明确体现了已制定关键部件 、基础软件等的供应商选择 、评价和 日常管理的程序 ,对供应商的开发环境 、规范和人员 、开发工具 、安全测试和安全验证机制等提出了管理要求 , 以确保其提供零部件等满足安全要求 ,并保存了对供应商选择 、评价和 日 常管理的记录 ;

　　2) 说明材料中明确体现了已建立零部件清单 、物料清单和供应商清单 ,确保各环节供应信息可追溯 ;

　　3) 说明材料中明确体现了已制定和实施了完善的供应链保障制度 , 能保障各环节关键要素稳定 ,确保供应中断风险可控 。

　　c) 结果判定 :实际结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.2 设计和开发

　　本检测用于对 GB/T 45406—2025 中 7. 3要求内容的验证 。

　　设计和开发环节的评估方法如下 。

　　a) 评估方法 :

　　1) 查看生产者提供的说明材料 ,确认是否对设备在设计和开发环节的主要安全风险进行识别 ,确认是否明确相应的安全策略 ;

　　2) 查看生产者提供的说明材料 ,确认是否有设备安全设计和开发操作规程 ;

　　3) 查看生产者提供的说明材料 ,确认是否有安全功能设计文档 ;

　　4) 查看生产者提供的说明材料 ,确认是否有开发安全文档 ;

　　5) 查看生产者提供的配置管理程序及相应配置项清单 ,确认已发生的变更情况 ,查看生产者提供的变更控制记录 ;

　　6) 检查生产者提供防范设备被植入恶意程序的说明材料 ,确认是否验证防范措施的有效性 ,确认措施的实施记录 ;

　　7) 检查生产者提供防范设备被设置隐蔽的接口或功能模块的说明材料 ,确认是否验证防范

　　9

　　GB/T 46334—2025

　　措施的有效性 ,确认措施的实施记录 ;

　　8) 生产者提供防范第三方关键部件 、固件或软件可能引入的安全风险的说明材料 ,确认是否验证防范措施的有效性 ,确认措施的实施记录 ;

　　9) 查看生产者提供的说明材料 ,确认是否包含漏洞扫描 、病毒扫描 、代码审计 、健壮性测试 、渗透测试和安全功能验证等内容 ;

　　10) 选取生产者已公布的漏洞 ,查看生产者提供的说明材料 ,确认是否包含漏洞的修复说明或补救措施说明 ,如存在补救措施 ,确认是否对补救措施的有效性进行验证 。

　　b) 预期结果 :

　　1) 说明材料中明确体现了设备在设计和开发环节的主要安全风险 ,如开发环境的安全风险 、第三方组件引入的安全风险 、开发人员导致的安全风险等 ,并且明确相应的安全策略 ;

　　2) 说明材料中明确体现了设备安全设计和开发操作规程 ;

　　3) 说明材料中明确体现了已制定安全功能设计文档 ,该文档描述与可编程逻辑控制器能实现预期的安全功能一致 ;

　　4) 说明材料中明确体现了已制定开发安全文档 ,该文档描述了在可编程逻辑控制器的开发环境中 ,为保护可编程逻辑控制器设计和实现的保密性和完整性所必需的物理 、程序 、人员和其他方面的安全措施 ;

　　5) 生产者能提供具备配置管理程序及相应配置项清单 ,配置清单项中能准确记录变更控制过程 ;

　　6) 生产者能提供防范设备被植入恶意程序的说明材料 ,验证了防范措施的有效性 , 留存了措施的实施记录 ;

　　7) 生产者能提供防范设备被设置隐蔽的接口或功能模块的说明材料 ,验证了防范措施的有效性 , 留存了措施的实施记录 ;

　　8) 生产者能提供防范第三方关键部件 、固件或软件可能引入的安全风险的说明材料 ,验证了防范措施的有效性 , 留存了措施的实施记录 ;

　　9) 说明材料中明确体现了含漏洞扫描 、病毒扫描 、代码审计 、健壮性测试 、渗透测试和安全功能验证等内容 ;

　　10) 说明材料中明确体现了漏洞的修复说明或补救措施说明 ,如存在补救措施 ,存在对补救措施的有效性进行验证的记录 。

　　c) 结果判定 :实际结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.3 生产和交付

　　本检测用于对 GB/T 45406—2025 中 7. 4要求内容的验证 。

　　生产和交付环节的评估方法如下 。

　　a) 评估方法 :

　　1) 查看生产者提供的说明材料 ,确认是否识别出设备在生产和交付环节的主要安全风险 ,确认是否明确相应的安全策略 ;

　　2) 查看生产者提供的说明材料 ,确认是否已建立和执行规范的设备完整性检测流程 ;

　　3) 查看生产者提供的说明材料 ,确认是否采取措施防范自制或采购的组件被篡改 、伪造等风险 ,确认是否验证措施的有效性 ;

　　4) 查看预装软件安装前的完整性校验记录 ;

　　5) 查看生产者提供的说明材料 ,确认是否已制定交付过程文档 ;

　　6) 查看生产者提供的为用户提供验证所交付设备完整性的工具或方法 ,验证工具的有效性 ;

　　7) 查看生产者提供的用户指导性文档材料 ,确认是否包括操作指南和安全配置指南等内容 ,

　　10

　　GB/T 46334—2025

　　确认是否说明设备的安装 、生成和启动的过程 ,确认是否对设备功能的现场调试运行提供详细的描述 ;

　　8) 查看生产者提供的设备服务与默认端口号的映射关系说明材料 ,确认是否明确描述默认开放的端口信息及对应的网络服务 ;

　　9) 查看生产者提供的私有协议说明材料 ,确认是否声明设备中存在的通过设备外部接口进行通信的私有协议并说明其用途 ,确认是否说明私有协议不存在所声明范围之外的用途 ;

　　10) 检查生产者提供的设备交付前的安全漏洞处置流程说明材料 ,确认是否包括采取补救措施的内容 ,选取生产者在交付前发现的漏洞实例 ,查看生产者的补救措施和验证材料 。

　　b) 预期结果 :

　　1) 说明材料中明确体现了设备在生产和交付环节的主要安全风险 , 自制或采购的组件被篡改 、伪造等风险 ,生产环境存在的安全风险 、设备被植入的安全风险 、设备存在漏洞的安全风险 、物流运输的风险等 ,并且明确相应的安全策略 ;

　　2) 生产者提供的说明材料明确说明已建立和执行规范的设备完整性检测流程 ;

　　3) 生产者提供的说明材料明确说明已采取措施防范自制或采购的组件被篡改 、伪造等风险 ,已验证措施的有效性 ;

　　4) 生产者留存了准确一致的预装软件安装前的完整性校验记录 ;

　　5) 生产者提供的说明材料明确说明已制定交付过程文档 ,该文档描述了将可编程逻辑控制器交付给用户时 ,为保护可编程逻辑控制器完整性和可用性所采取的安全措施 ;

　　6) 生产者能为用户提供验证所交付设备完整性的工具或方法 ,使用提供的工具或方法能验证设备的完整性 ;

　　7) 生产者提供的用户指导性文档材料包括操作指南和安全配置指南等内容 ,说明设备的安装 、生成和启动的过程 ,对设备功能的现场调试运行提供详细的描述 ;

　　8) 生产者提供的设备服务与默认端口号的映射关系说明材料明确描述默认开放的端口信息及对应的网络服务 ;

　　9) 生产者能提供正式的私有协议说明材料 ,声明设备中存在的通过设备外部接口进行通信的私有协议并说明其用途 ,说明私有协议不存在所声明范围之外的用途 ;

　　10) 说明材料中明确包括采取补救措施的内容 ,生产者在交付前发现的漏洞具备补救措施及处置记录 。

　　c) 结果判定 :实际结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　7.4 用户数据保护

　　本检测用于对 GB/T 45406—2025 中 7. 5要求内容的验证 。

　　用户数据保护的评估方法如下 。

　　a) 评估方法 :

　　1) 查看生产者提供的说明材料 ,确认是否明示用户数据的收集 、使用 、加工和传输方式 ;

　　2) 查看生产者提供的说明材料 ,确认是否建立了用户数据安全管理制度 , 明确用户数据的收集 、存储 、使用 、加工 、传输 、提供 、公开等处理活动所采取的安全措施 。

　　b) 预期结果 :

　　1) 说明材料中明确体现了明示用户数据的收集 、使用 、加工和传输方式 ;

　　2) 说明材料中明确体现了已建立用户数据安全管理制度 , 明确用户数据的收集 、存储 、使用 、加工 、传输 、提供 、公开等处理活动所采取的安全措施 。

　　c) 结果判定 :实际结果与相关预期结果一致则判定为符合 ,其他情况判定为不符合 。

　　11

　　GB/T 46334—2025

　　参 考 文 献

　　[1] GB/T 15969. 1—2007 可编程序控制器 第 1部分 :通用信息

　　[2] GB/T 18336. 2—2024 网络安全技术 信息技术安全评估准则 第 2部分 :安全功能组件

　　[3] GB/T 18336. 3—2024 网络安全技术 信息技术安全评估准则 第 3部分 :安全保障组件

　　[4] GB/T 33008. 1—2016 工业自动化和控制系统网络安全 可编程序控制器(PLC) 第 1 部分 :系统要求

　　[5] GB 40050—2021 网络关键设备安全通用要求

　　[6] IEC 62443-2-1:2024 Securityforindustrialautomation and controlsystems—Part2-1:Se- curity program requirements for IACS assetowners

　　[7] 关于调整《网络关键设备和网络安全专用产品 目录》的公告(2023年第 2 号)

　　12