發(fā)布日期:2023-03-23 15:47 瀏覽次數(shù):
本標(biāo)準規(guī)定了針對工業(yè)控制系統(tǒng)的漏洞檢測產(chǎn)品的技術(shù)要求,包括安全功能要求、自身安全要求和安全保障要求,以及相應(yīng)的測試評價方法。
本標(biāo)準適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計、開發(fā)和測評。
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。
3.1
漏洞 vulnerability
資產(chǎn)中能被威脅所利用的弱點。
3.2
測試用例 test case
為某個特定目標(biāo)而編制的一組輸入、執(zhí)行條件以及預(yù)期結(jié)果,以核實是否滿足某個特定需求。
3.3
測試集合 test set
測試用例的組合。
3.4
工業(yè)控制組態(tài)軟件 industrial control configuration software
在控制系統(tǒng)監(jiān)控層的軟件平臺和開發(fā)環(huán)境,使用靈活的方式為用戶提供快速配置現(xiàn)場系統(tǒng)狀態(tài)的軟件工具。
下列縮略語適用于本文件。
DNP:分布式網(wǎng)絡(luò)協(xié)議(Distributed Network Protocol)
HTML:超文本標(biāo)記語言(Hypertext Markup Language)
HTTP:超文本傳輸協(xié)議(HyperText Transfer Protocol)
FTP:文件傳輸協(xié)議(File Transfer Protocol)
IP:互聯(lián)網(wǎng)協(xié)議(Internet Protocol)
OLE:對象連接與嵌入(Object Linking and Embedding)
OPC:用于過程控制的OLE(OLE forProcess Control)
RTU:遠程控制終端(Remote Terminal Unit)
SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol)
TCP:傳輸控制協(xié)議(Transmission Control Protocol)
UDP:用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol)
工業(yè)控制系統(tǒng)漏洞檢測的目的是檢查和分析系統(tǒng)的安全脆弱性,發(fā)現(xiàn)可能被入侵者利用的漏洞,并提出防范和補救措施。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品可以用于離線環(huán)境、工業(yè)控制系統(tǒng)試運行期間或工業(yè)系統(tǒng)維修期間,能夠?qū)I(yè)控制系統(tǒng)中的工業(yè)控制設(shè)備、通信設(shè)備、安全保護設(shè)備以及工業(yè)控制軟件等進行自動檢測,發(fā)現(xiàn)存在的漏洞。為防止影響正常生產(chǎn),不應(yīng)在工業(yè)生產(chǎn)現(xiàn)場使用工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品。
工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品分為基本級和增強級。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品安全技術(shù)要求的分級及其要求條款見附錄A。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品測評方法的分級及其測評項見附錄B。
6.1 安全功能要求
6.1.1 工業(yè)控制設(shè)備識別
漏洞檢測產(chǎn)品應(yīng)能自動識別工業(yè)控制設(shè)備。
漏洞檢測產(chǎn)品應(yīng)支持手動添加工業(yè)控制設(shè)備。
6.1.2 工業(yè)控制設(shè)備端口掃描
漏洞檢測產(chǎn)品應(yīng)能掃描所有TCP端口,檢查其是否開啟。
漏洞檢測產(chǎn)品應(yīng)能掃描所有UDP端口,檢查其是否開啟。
對于已開啟的TCP、UDP端口,漏洞檢測產(chǎn)品應(yīng)能判斷出與之對應(yīng)的公開的工業(yè)控制通信協(xié)議。
6.1.3 工業(yè)控制設(shè)備通信協(xié)議漏洞檢測
漏洞檢測產(chǎn)品應(yīng)能檢測使用(包括但不限于)以下通信協(xié)議的工業(yè)控制設(shè)備的已知漏洞:
a)工業(yè)以太網(wǎng)協(xié)議:Modbus/TCP協(xié)議、OPC協(xié)議、DNP3.0協(xié)議、IEC-60870-5-104協(xié)議、IEC-61850 MMS協(xié)議、Siemens S7Comm 協(xié)議、PROFINET協(xié)議、IEC-61850 GOOSE協(xié)議、IEC-61850 SV協(xié)議、EtherNet/IP協(xié)議;
b)互聯(lián)網(wǎng)協(xié)議:HTTP協(xié)議、FTP協(xié)議、TELNET協(xié)議、SNMP協(xié)議;
c) 串口協(xié)議:Modbus RTU協(xié)議、IEC-60870-5-101協(xié)議;
d)私有協(xié)議(包括行業(yè)專業(yè)協(xié)議)。
6.1.4 工業(yè)控制組態(tài)軟件漏洞檢測
漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制組態(tài)軟件的已知漏洞。
6.1.5 工業(yè)控制設(shè)備操作系統(tǒng)檢測
漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制設(shè)備操作系統(tǒng)的安全問題,檢測項目應(yīng)包括但不限于以下內(nèi)容:
a)操作系統(tǒng)類型和版本號識別;
b)操作系統(tǒng)登錄弱口令檢測;
c)操作系統(tǒng)已知安全漏洞檢測。
6.1.6 工業(yè)控制數(shù)據(jù)庫漏洞檢測
漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制數(shù)據(jù)庫的已知漏洞。
6.1.7 工業(yè)控制網(wǎng)絡(luò)通信設(shè)備漏洞檢測
漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制網(wǎng)絡(luò)通信設(shè)備(例如,工業(yè)交換機等)的已知漏洞。
6.1.8 檢測結(jié)果處理要求
漏洞檢測產(chǎn)品應(yīng)能滿足以下要求:
a)漏洞檢測產(chǎn)品應(yīng)能實時查看檢測進度。
b)漏洞檢測產(chǎn)品應(yīng)能實時查看測試用例的執(zhí)行方法和每一方法的結(jié)果。
c)漏洞檢測產(chǎn)品應(yīng)能監(jiān)測工業(yè)控制設(shè)備的實時響應(yīng)。
d)檢測任務(wù)應(yīng)能隨時暫停或者終止。
e)漏洞檢測產(chǎn)品應(yīng)能保存檢測結(jié)果。
f)漏洞檢測產(chǎn)品應(yīng)能記錄并追溯導(dǎo)致工業(yè)控制設(shè)備異常的數(shù)據(jù)報文。
g)漏洞檢測產(chǎn)品應(yīng)能根據(jù)檢測結(jié)果自動生成檢測報告。檢測報告應(yīng)包括但不限于以下內(nèi)容:
1)工業(yè)控制設(shè)備的信息列表,包括設(shè)備類型、固件版本、操作系統(tǒng)版本等;
2)漏洞的名稱、漏洞編號、發(fā)布日期等;
3)潛在的漏洞;
4)被測設(shè)備的危險等級評估,明確標(biāo)出掃描出的漏洞的危險等級。
h)檢測報告應(yīng)以通用文檔格式(例如,WPS、DOC、TXT、RTF、PDF、HTML等)輸出。
i)測試過程異常終止時,漏洞檢測產(chǎn)品應(yīng)能生成已檢測部分的報告,并說明測試過程異常終止。注:被測設(shè)備的危險等級取決于掃描脆弱點的最高危險等級。危險等級的定義參見GB/T 30279-2013中4.2。
6.1.9 管理控制功能要求
漏洞檢測產(chǎn)品應(yīng)能滿足以下要求:
a)漏洞檢測產(chǎn)品應(yīng)能針對不同的工業(yè)控制設(shè)備和系統(tǒng)設(shè)置相應(yīng)的檢測參數(shù)(例如,掃描地址范圍、端口范圍、漏洞類型、測試報文、測試次數(shù)、測試時間間隔等)。
b)漏洞檢測產(chǎn)品應(yīng)支持以下測試方式:
1)依據(jù)工業(yè)控制通信協(xié)議將測試用例進行歸類;
2)支持測試用例隨機組合;
3)支持測試集合隨機組合;
4)支持用戶編寫測試用例;
5)根據(jù)設(shè)備類型向用戶推薦某類或某幾類測試用例。
c)漏洞檢測產(chǎn)品應(yīng)內(nèi)置工業(yè)控制設(shè)備信息庫并允許更新。
d)漏洞檢測產(chǎn)品應(yīng)內(nèi)置漏洞庫。
e)漏洞檢測產(chǎn)品應(yīng)能通過產(chǎn)品升級等方式更新漏洞庫,添加新發(fā)現(xiàn)的安全漏洞。
以上為標(biāo)準部分內(nèi)容,如需看標(biāo)準全文,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準正版。
