内容发布更新时间 : 2024/7/1 21:55:26星期一 下面是文章的全部内容请认真阅读。
国家标准《信息安全技术 工业控制系统漏洞检测技术要求及测
试评价方法》(征求意见稿)编制说明
一、 工作简况 1.1 任务来源
《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》是全国信息安全标准化技术委员会 2015年下达的信息安全国家标准制定项目,由北京匡恩网络科技有限责任公司中国电子技术标准化研究院承担,参与单位包括中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。 1.2 主要工作过程
1. 2015年5月到6月,联系各个参与单位,进行任务分工和任务组织;研
究现有国内外工控安全相关标准,分析各自特点,学习借鉴。 2. 2015年7月到8月 调研国内工业控制系统安全现状,学习、研究、讨
论国内外相关的标准及研究成果, 确定并编写总体框架。 3. 2015.8-2015.12
见进行修改。
4. 2016年1月,向全国信息安全标准化技术委员会专家崔书昆老师和王立
福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见,根据反馈意见多次修改。 5. 2016年1月,标准编制组召开研讨会,根据专家在会上提出的修改意见
对标准进行修改。
6. 2016年5月,标准编制组在“工控系统信息安全标准和技术专题研讨
会”介绍了标准草案,听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见对标准进行修改。
7. 2016年6月,标准编制组召开专题研讨会介绍了标准草案,并根据专家
在会上提出的修改意见对标准进行修改。
8. 2016年10月,标准编制组在信安标委第2次会议周上介绍了标准草案,
编写标准初稿,在工作组内征求意见,根据组内意
并根据专家在会前会上提出的修改意见对标准进行修改。
二、 编制原则和主要内容 2.1 编制原则
本标准的研究与编制工作遵循以下原则:
(1)通用性原则
本标准在编制过程中参考了国内外诸多标准,包括:《工业过程测量与控制安全:网络与系统信息安全》系列标准(IEC 62443)、《推荐的联邦信息系统和组织的安全控制措施》(NIST SP 800-53)、《工业控制系统信息安全指南》(NIST SP 800-82)和《信息安全技术 工业控制系统安全控制应用指南》,既确保标准科学性,又使得标准内容符合我国国情。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。为此,在本标准的制定过程中,起草组广泛征求行业用户意见。所涉及的工业控制协议是广泛应用于各种工业控制领域的,也允许根据实际情况添加新的工业控制协议。
2.2 主要内容
本标准的研究目标及内容是对工业控制系统漏洞检测的功能要求等进行研究,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,确定需要检测分析的工业控制协议和漏洞检测产品应具备的功能。
本标准主要内容如下:
前言 ............................................................................... III 1 范围............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语............................................................................. 2 5 概述............................................................................... 2 6 工业控制系统漏洞检测产品安全等级划分 ............................................... 2 6.1 基本级 ......................................................................... 2 6.2 增强级 ......................................................................... 2 7 工业控制系统漏洞检测产品安全功能要求 ............................................... 3 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9
工业控制设备自动识别 ........................................................... 3 工业控制设备端口扫描 ........................................................... 3 工业控制设备漏洞检测 ........................................................... 3 工业控制组态软件漏洞检测 ....................................................... 3 工业控制设备操作系统检测 ....................................................... 3 工业控制实时/历史数据库漏洞检测 ................................................ 3 工业控制网络设备漏洞检测 ....................................................... 3 检测结果处理要求 ............................................................... 4 管理控制功能要求 ............................................................... 4
8 工业控制系统漏洞检测产品自身安全要求 ............................................... 5
8.1 用户管理与鉴别 ................................................................. 5 8.2 产品升级 ....................................................................... 5 8.3 安全日志 ....................................................................... 5 9 安全保障要求 ....................................................................... 6 9.1 9.2 9.3 9.4 9.5 9.6
配置管理 ....................................................................... 6 交付与运行 ..................................................................... 6 开发........................................................................... 7 指导性文档 ..................................................................... 7 测试........................................................................... 8 脆弱性分析保证 ................................................................. 9
10 测试环境 .......................................................................... 9 11 工业控制系统漏洞检测产品安全功能测评 ............................................. 10 11.1 11.2 11.3 11.4 11.5 11.6 11.7 11.8 11.9
工业控制设备自动识别 ......................................................... 10 工业控制设备端口扫描 ......................................................... 10 工业控制设备漏洞检测 ......................................................... 11 工业控制组态软件漏洞检测 ..................................................... 12 工业控制设备操作系统检测 ..................................................... 12 工业控制实时/历史数据库漏洞检测 .............................................. 12 工业控制网络设备漏洞检测 ..................................................... 12 检测结果处理 ................................................................. 12 管理控制功能 ................................................................. 13
12 工业控制系统漏洞检测产品自身安全功能测评 ......................................... 15 12.1 用户管理与鉴别 ............................................................... 15 12.2 产品升级 ..................................................................... 16 12.3 安全日志 ..................................................................... 17 13 安全保障测评 ..................................................................... 17 13.1 13.2 13.3 13.4 13.5 13.6
配置管理 ..................................................................... 17 交付与运行 ................................................................... 18 开发......................................................................... 19 文档要求 ..................................................................... 20 测试......................................................................... 21 脆弱性分析保证 ............................................................... 22
附录A(规范性附录) 危险等级 ....................................................... 24 参考文献............................................................................. 25
三、 主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
工业控制系统是国家关键基础设施的最重要组成部分,涉及一系列关系到国计民生的基础性行业,包括电力电网、轨道交通、石油化工以及核工业等。网络攻击破坏工业网络信息系统的同时,将极大威胁关键基础设施的安全,导致国家