1 范圍

      本標準規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的安全技術(shù)要求和測試評價方法。

      本標準適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的設(shè)計生產(chǎn)方對其設(shè)計、開發(fā)及測評等提供指導，同時也可為工業(yè)控制系統(tǒng)設(shè)計、建設(shè)和運維方開展工業(yè)控制系統(tǒng)安全防護工作提供指導。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗 第2部分：試驗方法 試驗Ea和導則：沖擊

      GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗 第2部分：試驗方法 試驗Ed：自由跌落

      GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗 第2部分：試驗方法 試驗Fc：振動（正弦）

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB/T 17214.4-2005 工業(yè)過程測量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準則 第1部分：簡介和一般模型

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應用指南

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 32919-2016和GB/T 18336.1-2015界定的以及下列術(shù)語和定義適用于本文件。

3.1

      工業(yè)控制系統(tǒng) industrial control system

      多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)。

      注：包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），現(xiàn)已廣泛應用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

3.2

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測 industrial control netwvork monitoring

      部署于工業(yè)控制網(wǎng)絡(luò)中，以實現(xiàn)針對工業(yè)控制網(wǎng)絡(luò)中網(wǎng)絡(luò)行為的安全事件監(jiān)測、審計和管理等功能的技術(shù)。

      注1：用于監(jiān)測和分析工業(yè)控制網(wǎng)絡(luò)中的數(shù)據(jù)報文，發(fā)現(xiàn)違反安全策略的行為、異常操作、工業(yè)控制設(shè)備被攻擊的跡象，或工業(yè)生產(chǎn)受到影響的跡象。

      注2：本標準所指“工業(yè)控制網(wǎng)絡(luò)監(jiān)測”即“工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品”。工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品是部署于工業(yè)控制網(wǎng)絡(luò)中，用于實現(xiàn)工業(yè)控制網(wǎng)絡(luò)監(jiān)測功能的設(shè)備產(chǎn)品。

4 縮略語

      下列縮略語適用于本文件。

      DNP 分布式網(wǎng)絡(luò)協(xié)議（Distributed Network Protocol）

      FTP 文件傳輸協(xié)議（File Transfer Protocol）

      HTTP 超文本傳輸協(xié)議（Hypertext Transfer Protocol）

      NTP 網(wǎng)絡(luò)時間協(xié)議（Network Time Protocol）

      OLE 對象連接與嵌入（Object Linking and Embedding）

      OPC 用于過程控制的OLE（OLE for Process Control）

5 產(chǎn)品描述

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品是應用于工業(yè)控制環(huán)境，通過監(jiān)視工業(yè)控制網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)報文，實時獲取數(shù)據(jù)包進行深度解析，監(jiān)測工業(yè)控制網(wǎng)絡(luò)中的入侵行為和異常行為，并及時告警的設(shè)備。該設(shè)備需滿足特定工業(yè)環(huán)境和安全功能要求，可對工業(yè)控制網(wǎng)絡(luò)邊界或工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同控制區(qū)域之間進行監(jiān)測保護，發(fā)現(xiàn)非法入侵活動，并根據(jù)監(jiān)測結(jié)果實時報警、響應，達到主動發(fā)現(xiàn)入侵活動、確保網(wǎng)絡(luò)安全目的。該設(shè)備產(chǎn)品可以硬件或者軟件形式實現(xiàn)。

      本標準按照工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品安全功能要求強度，對工業(yè)控制網(wǎng)路監(jiān)測產(chǎn)品分為基本級和增強級，安全功能強弱和安全保證要求高低是等級劃分的具體依據(jù)。其中基本級安全功能要求應具備GB/T 22239-2019中第二級安全保護能力，增強級安全功能要求應具備GB/T 22239-2019中第三級安全保護能力。在增強級中新增的要求會通過黑體標識。

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求的分級及其要求條款見附錄A，工業(yè)控制網(wǎng)絡(luò)監(jiān)測測評方法的分級及其測評項見附錄B，工業(yè)環(huán)境應用要求見附錄C。

6 安全技術(shù)要求

6.1 安全功能要求

6.1.1 功能要求

6.1.1.1 安全事件監(jiān)測

6.1.1.1.1 流量監(jiān)測

      產(chǎn)品應能夠具有流量監(jiān)測的功能，具體滿足下述要求：

      a）應能夠監(jiān)視網(wǎng)絡(luò)內(nèi)的流量數(shù)據(jù)包，實時獲取數(shù)據(jù)包用于檢測分析，且不影響工控設(shè)備正常運行。

      b）應能夠監(jiān)測指定的協(xié)議或IP地址的流量數(shù)據(jù)包，且不影響工控設(shè)備正常運行。

6.1.1.1.2 工業(yè)控制協(xié)議分析

      對于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的數(shù)據(jù)包，產(chǎn)品應能夠分析其承載的工業(yè)控制協(xié)議報文，滿足下述一種要求：

      a) 分析以下（但不限于）通用協(xié)議：Modbus/TCP協(xié)議、OPC Classic 協(xié)議、DNP3.0協(xié)議、IEC-60875-5-104協(xié)議、SIEMENS S7Comm 協(xié)議、PROFINET協(xié)議、EtherNet/IP協(xié)議；

      b）一種行業(yè)專業(yè)協(xié)議，例如，IEC-61850 MMS協(xié)議、IEC-61850 GOOSE協(xié)議、IEC-61850 SV協(xié)議、軌道交通專業(yè)協(xié)議等。

6.1.1.1.3 互聯(lián)網(wǎng)協(xié)議分析

      對于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的互聯(lián)網(wǎng)協(xié)議流量，產(chǎn)品應能夠分析其承載的數(shù)據(jù)報文，分析以下（但不限于）互聯(lián)網(wǎng)協(xié)議報文：

      a) HTTP;

      b) FTP;

      c) TELNET;

      d) SNMP。

6.1.1.1.4 攻擊行為監(jiān)測

      產(chǎn)品應能夠通過分析、對比等方法，包括但不限于發(fā)現(xiàn)以下攻擊行為：

      a）工業(yè)協(xié)議漏洞攻擊；

      b）工業(yè)控制應用漏洞攻擊；

      c）操作系統(tǒng)漏洞攻擊；

      d）工業(yè)控制設(shè)備漏洞攻擊；

      e）應能夠監(jiān)測網(wǎng)絡(luò)中蠕蟲病毒、木馬等攻擊行為的發(fā)生，且不影響工控設(shè)備正常運行。注：安全漏洞和攻擊參見國家信息安全漏洞共享平臺發(fā)布的信息。

6.1.1.2 安全事件響應

6.1.1.2.1 事件告警

      對于攻擊行為或異常行為，產(chǎn)品應按照事件的嚴重程度將事件分級，采取屏幕實時提示等直觀有效的方式傳達告警訊息。

6.1.1.2.2 告警過濾

      產(chǎn)品應允許管理員定義安全策略，對工業(yè)控制網(wǎng)絡(luò)中的指定事件不予告警。

6.1.1.2.3 事件合并

      產(chǎn)品應對高頻度發(fā)生的相同安全事件進行合并告警，避免出現(xiàn)告警風暴。

6.1.1.2.4 定制響應

      產(chǎn)品應允許管理員定義安全策略，對工業(yè)控制網(wǎng)絡(luò)中的事件定制響應方式。

6.1.1.3 安全配置管理

6.1.1.3.1 安全策略配置

      產(chǎn)品應提供安全策略配置功能。

6.1.1.3.2 工業(yè)控制漏洞知識庫

      產(chǎn)品應內(nèi)置工業(yè)控制漏洞知識庫，內(nèi)容應包括工業(yè)控制協(xié)議漏洞、工業(yè)控制應用漏洞、操作系統(tǒng)漏洞和工業(yè)控制設(shè)備漏洞，詳細的漏洞修補方案和可采取的對策。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。