發(fā)布日期:2023-03-23 12:03 瀏覽次數(shù):
本標準規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品的安全技術(shù)要求,包括安全功能要求、自身安全要求和安全保障要求。
本標準適用于工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品的設計、生產(chǎn)和測試。
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗 第2部分:試驗方法 試驗Ea和導則:沖擊
GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗 第2部分:試驗方法 試驗Ed:自由跌落
GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗 第2部分:試驗方法 試驗Fc:振動(正弦)
GB/T 4208-2017 外殼防護等級(IP代碼)
GB 4824-2013 工業(yè)、科學和醫(yī)療(ISM)射頻設備 騷擾特性 限值和測量方法
GB/T 9254-2008 信息技術(shù)設備的無線電騷擾限值和測量方法
GB/T 13729-2002 遠動終端設備
GB/T 15153.1-1998 遠動設備及系統(tǒng) 第2部分:工作條件 第1篇:電源和電磁兼容性
GB/T 17214.4-2005 工業(yè)過程測量和控制裝置的工作條件 第4部分:腐蝕和侵蝕影響
GB/T 17626.2-2018 電磁兼容 試驗和測量技術(shù) 靜電放電抗擾度試驗
GB/T 17626.3-2016 電磁兼容 試驗和測量技術(shù) 射頻電磁場輻射抗擾度試驗
GB/T 17626.4-2018 電磁兼容 試驗和測量技術(shù) 電快速瞬變脈沖群抗擾度試驗
GB/T 17626.5-2008 電磁兼容 試驗和測量技術(shù) 浪涌(沖擊)抗擾度試驗
GB/T 17626.6-2017 電磁兼容 試驗和測量技術(shù) 射頻場感應的傳導騷擾抗擾度
GB/T 17626.8-2006 電磁兼容 試驗和測量技術(shù) 工頻磁場抗擾度試驗
GB/T 17626.10-2017 電磁兼容 試驗和測量技術(shù) 阻尼振蕩磁場抗擾度試驗
GB/T 17626.11-2008 電磁兼容 試驗和測量技術(shù) 電壓暫降、短時中斷和電壓變化的抗擾度試驗
GB/T 17626.12-2013 電磁兼容 試驗和測量技術(shù) 振鈴波抗擾度試驗
GB/T 17626.16-2007 電磁兼容 試驗和測量技術(shù) 0 Hz~150kHz共模傳導騷擾抗擾度試驗
GB/T 17626.17-2005 電磁兼容 試驗和測量技術(shù) 直流電源輸入端口紋波抗擾度試驗
GB/T 17626.18-2016 電磁兼容 試驗和測量技術(shù) 阻尼振蕩波抗擾度試驗
GB/T 17626.29-2006 電磁兼容 試驗和測量技術(shù) 直流電源輸入端口電壓暫降、短時中斷和電壓變化的抗擾度試驗
GB/T 20945-2013 信息安全技術(shù) 信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 32919-2016 工業(yè)控制系統(tǒng)安全控制應用指南
GB/T 20945-2013、GB/T 25069-2010和GB/T32919-2016界定的以及下列術(shù)語和定義適用于本文件。
3.1
工業(yè)控制協(xié)議 industrial control protocol
工業(yè)控制系統(tǒng)中,上位機與控制設備之間以及控制設備與控制設備之間的通信報文規(guī)約。
注:通常包括模擬量和數(shù)字量的讀寫控制。
3.2
工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品 industrial control system network audit products
部署于工業(yè)控制網(wǎng)絡中,對工業(yè)控制系統(tǒng)中的事件進行記錄和分析,并針對特定事件采取相應匹配動作的產(chǎn)品。
下列縮略語適用于本文件。
MAC:媒體接入控制(Media Access Control)
SMS:短信服務(Short Message Service)
SNMP:簡單網(wǎng)絡管理協(xié)議(Simple Network Management Protocol)
URL:統(tǒng)一資源定位符(Uniform Resource Locator)
工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品的結(jié)構(gòu)一般分為兩種:一種是一體化設備,將數(shù)據(jù)采集和分析功能集中在一臺硬件中,統(tǒng)一完成審計分析功能;另一種是由采集端和分析端兩部分組成,采集端主要提供數(shù)據(jù)采集的功能,將采集到的網(wǎng)絡數(shù)據(jù)發(fā)送給分析端,由分析端進一步處理和分析,采取相應的響應措施,并支持采集端分布式部署。該產(chǎn)品典型部署場景參見附錄A。
本標準將工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品安全技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求三個大類。安全功能要求、自身安全要求和安全保障要求分為基本級和增強級,與基本級內(nèi)容相比,增強級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。若產(chǎn)品全部或部分組件部署在工業(yè)控制現(xiàn)場,應根據(jù)實際需求滿足附錄B環(huán)境適應性要求。
6.1 基本級安全技術(shù)要求
6.1.1 安全功能要求
6.1.1.1 審計數(shù)據(jù)采集
6.1.1.1.1 采集策略
產(chǎn)品應支持基于策略的數(shù)據(jù)采集:
a)支持基于網(wǎng)絡層要素的數(shù)據(jù)采集策略:至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的端口;
b)支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略。
6.1.1.1.2 審計數(shù)據(jù)生成
產(chǎn)品應在實際的系統(tǒng)環(huán)境和網(wǎng)絡帶寬下及時生成審計數(shù)據(jù)。
6.1.1.2 審計數(shù)據(jù)還原
6.1.1.2.1 網(wǎng)絡層通信協(xié)議還原
產(chǎn)品應支持對網(wǎng)絡層通信協(xié)議的數(shù)據(jù)進行還原,至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源目的端口、應用層協(xié)議。
6.1.1.2.2 應用協(xié)議還原
產(chǎn)品應支持對HTTP、FTP、TELNET協(xié)議的應用數(shù)據(jù)還原:
a) HTTP通信:目標URL;
b)FTP通信:使用的賬號、輸入命令;
c)TELNET通信:使用的賬號、輸入命令。
6.1.1.2.3 工業(yè)控制協(xié)議還原
產(chǎn)品應支持對工業(yè)控制協(xié)議應用數(shù)據(jù)進行分析和還原,支持至少一種工業(yè)控制協(xié)議。至少支持:
a)組態(tài)變更,包括上傳、下載;
b)指令變更,包括寫指令及相關(guān)參數(shù),如控制點位地址、控制值等。
6.1.1.3 審計事件識別和分析
6.1.1.3.1 基于白名單規(guī)則分析
6.1.1.3.1.1 白名單規(guī)則定義
產(chǎn)品應支持白名單規(guī)則的定義:
a)網(wǎng)絡通信白名單:支持基于IP或MAC等要求進行規(guī)制定義;
b)工業(yè)控制協(xié)議通信白名單:支持基于控制命令、控制點位、控制值等要素進行規(guī)則定義。
6.1.1.3.1.2 白名單方式識別
產(chǎn)品應支持基于白名單機制對審計信息的識別。
6.1.1.3.2 異常事件識別
產(chǎn)品應支持對以下異常事件的識別:
a)網(wǎng)絡中出現(xiàn)IP或MAC白名單之外的設備;
b)工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點位、控制值。
6.1.1.4 審計記錄
6.1.1.4.1 記錄內(nèi)容
產(chǎn)品應按照事件的分類和級別,生成包含以下內(nèi)容的審計記錄:
a)事件主體;
b)事件客體;
c)事件發(fā)生的日期和時間;
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
