信息安全技術(shù) 工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品技術(shù)要求及測(cè)試評(píng)價(jià)方法-編制說(shuō)明

工作簡(jiǎn)況任務(wù)來(lái)源《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求及測(cè)試評(píng)價(jià)方法》是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2015年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，由北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院承擔(dān)，參與單位包括中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、北京工業(yè)大學(xué)、中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所、北京和利時(shí)系統(tǒng)工程有限公司、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、北京交通大學(xué)、浙江大學(xué)、解放軍信息工程大學(xué)、中車株洲電力機(jī)車有限公司等單位。主要工作過(guò)程2015年5月到6月，聯(lián)系各個(gè)參與單位，進(jìn)行任務(wù)分工和任務(wù)組織；研究現(xiàn)有國(guó)內(nèi)外工控安全相關(guān)標(biāo)準(zhǔn)，分析各自特點(diǎn)，學(xué)習(xí)借鑒。2015年7月到8月 調(diào)研國(guó)內(nèi)工業(yè)控制系統(tǒng)安全現(xiàn)狀，學(xué)習(xí)、研究、討論國(guó)內(nèi)外相關(guān)的標(biāo)準(zhǔn)及研究成果,確定并編寫(xiě)總體框架。2015.8-2015.12 編寫(xiě)標(biāo)準(zhǔn)初稿，在工作組內(nèi)征求意見(jiàn)，根據(jù)組內(nèi)意見(jiàn)進(jìn)行修改。2016年1月，向全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)專家崔書(shū)昆老師和王立福老師、石化盈科等行業(yè)用戶、和利時(shí)等工業(yè)控制設(shè)備制造商、公安3所等科研院所、長(zhǎng)城網(wǎng)際等安全廠商征求意見(jiàn)，根據(jù)反饋意見(jiàn)多次修改。2016年1月，標(biāo)準(zhǔn)編制組召開(kāi)研討會(huì)，根據(jù)專家在會(huì)上提出的修改意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行修改。2016年5月，標(biāo)準(zhǔn)編制組在“工控系統(tǒng)信息安全標(biāo)準(zhǔn)和技術(shù)專題研討會(huì)”介紹了標(biāo)準(zhǔn)草案，聽(tīng)取了來(lái)自軌交、石化、電力、冶金、制造業(yè)、汽車等行業(yè)專家對(duì)標(biāo)準(zhǔn)草案的意見(jiàn)并根據(jù)專家在會(huì)上和會(huì)后提出的修改意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行修改。2016年6月，標(biāo)準(zhǔn)編制組召開(kāi)專題研討會(huì)介紹了標(biāo)準(zhǔn)草案，并根據(jù)專家在會(huì)上提出的修改意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行修改。2016年10月，標(biāo)準(zhǔn)編制組在信安標(biāo)委第2次會(huì)議周上介紹了標(biāo)準(zhǔn)草案，并根據(jù)專家在會(huì)前會(huì)上提出的修改意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行修改。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：（1）通用性原則本標(biāo)準(zhǔn)在編制過(guò)程中參考了國(guó)內(nèi)外諸多標(biāo)準(zhǔn)，包括：《工業(yè)過(guò)程測(cè)量與控制安全：網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)（IEC62443）、《推薦的聯(lián)邦信息系統(tǒng)和組織的安全控制措施》（NISTSP800-53）、《工業(yè)控制系統(tǒng)信息安全指南》（NISTSP800-82）和《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》，既確保標(biāo)準(zhǔn)科學(xué)性，又使得標(biāo)準(zhǔn)內(nèi)容符合我國(guó)國(guó)情。（2）可操作性和實(shí)用性原則標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，最終還需要用于實(shí)踐中，并經(jīng)得起實(shí)踐的檢驗(yàn)，做到可操作、可用與實(shí)用。為此，在本標(biāo)準(zhǔn)的制定過(guò)程中，起草組廣泛征求行業(yè)用戶意見(jiàn)。所涉及的工業(yè)控制協(xié)議是廣泛應(yīng)用于各種工業(yè)控制領(lǐng)域的，也允許根據(jù)實(shí)際情況添加新的工業(yè)控制協(xié)議。2.2主要內(nèi)容本標(biāo)準(zhǔn)的研究目標(biāo)及內(nèi)容是對(duì)工業(yè)控制系統(tǒng)漏洞檢測(cè)的功能要求等進(jìn)行研究，研究工業(yè)控制系統(tǒng)的技術(shù)架構(gòu)特點(diǎn)、存在的安全漏洞和面臨的安全威脅，確定需要檢測(cè)分析的工業(yè)控制協(xié)議和漏洞檢測(cè)產(chǎn)品應(yīng)具備的功能。本標(biāo)準(zhǔn)主要內(nèi)容如下：TOC\h\z\t"前言、引言標(biāo)題,1,參考文獻(xiàn)、索引標(biāo)題,1,章標(biāo)題,1,參考文獻(xiàn),1,附錄標(biāo)識(shí),1,一級(jí)條標(biāo)題,3,附錄章標(biāo)題,3,附錄一級(jí)條標(biāo)題,4"前言 III1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25概述 26工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品安全等級(jí)劃分 26.1基本級(jí) 26.2增強(qiáng)級(jí) 27工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品安全功能要求 37.1工業(yè)控制設(shè)備自動(dòng)識(shí)別 37.2工業(yè)控制設(shè)備端口掃描 37.3工業(yè)控制設(shè)備漏洞檢測(cè) 37.4工業(yè)控制組態(tài)軟件漏洞檢測(cè) 37.5工業(yè)控制設(shè)備操作系統(tǒng)檢測(cè) 37.6工業(yè)控制實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)漏洞檢測(cè) 37.7工業(yè)控制網(wǎng)絡(luò)設(shè)備漏洞檢測(cè) 37.8檢測(cè)結(jié)果處理要求 47.9管理控制功能要求 48工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品自身安全要求 58.1用戶管理與鑒別 58.2產(chǎn)品升級(jí) 58.3安全日志 59安全保障要求 69.1配置管理 69.2交付與運(yùn)行 69.3開(kāi)發(fā) 79.4指導(dǎo)性文檔 79.5測(cè)試 89.6脆弱性分析保證 910測(cè)試環(huán)境 911工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品安全功能測(cè)評(píng) 1011.1工業(yè)控制設(shè)備自動(dòng)識(shí)別 1011.2工業(yè)控制設(shè)備端口掃描 1011.3工業(yè)控制設(shè)備漏洞檢測(cè) 1111.4工業(yè)控制組態(tài)軟件漏洞檢測(cè) 1211.5工業(yè)控制設(shè)備操作系統(tǒng)檢測(cè) 1211.6工業(yè)控制實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)漏洞檢測(cè) 1211.7工業(yè)控制網(wǎng)絡(luò)設(shè)備漏洞檢測(cè) 1211.8檢測(cè)結(jié)果處理 1211.9管理控制功能 1312工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品自身安全功能測(cè)評(píng) 1512.1用戶管理與鑒別 1512.2產(chǎn)品升級(jí) 1612.3安全日志 1713安全保障測(cè)評(píng) 1713.1配置管理 1713.2交付與運(yùn)行 1813.3開(kāi)發(fā) 1913.4文檔要求 2013.5測(cè)試 2113.6脆弱性分析保證 22附錄A（規(guī)范性附錄）危險(xiǎn)等級(jí) 24參考文獻(xiàn) 25主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果工業(yè)控制系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的最重要組成部分，涉及一系列關(guān)系到國(guó)計(jì)民生的基礎(chǔ)性行業(yè)，包括電力電網(wǎng)、軌道交通、石油化工以及核工業(yè)等。網(wǎng)絡(luò)攻擊破壞工業(yè)網(wǎng)絡(luò)信息系統(tǒng)的同時(shí)，將極大威脅關(guān)鍵基礎(chǔ)設(shè)施的安全，導(dǎo)致國(guó)家經(jīng)濟(jì)、國(guó)防等遭受重大損失。隨著各方面對(duì)工業(yè)控制系統(tǒng)的安全日益重視，工業(yè)控制系統(tǒng)的相關(guān)公開(kāi)漏洞數(shù)量保持一個(gè)快速增長(zhǎng)的總體趨勢(shì)。新增漏洞中有大量高危漏洞，且基本上都是嚴(yán)重性程度為中危以上的漏洞。這表明當(dāng)前工控系統(tǒng)產(chǎn)品存在嚴(yán)重的安全隱患。目前針對(duì)工控系統(tǒng)的安全防護(hù)，多集中在傳統(tǒng)的IT安全解決方案，如系統(tǒng)升級(jí)、病毒查殺等，但這些方案停留在單一的防護(hù)方面，具有一定的滯后性，不足以應(yīng)對(duì)工業(yè)基礎(chǔ)設(shè)施領(lǐng)域的全新安全需求。本標(biāo)準(zhǔn)征求意見(jiàn)稿是在深入研究國(guó)外工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國(guó)內(nèi)工業(yè)控制系統(tǒng)應(yīng)用，廣泛聽(tīng)取了專家意見(jiàn)和建議的基礎(chǔ)上形成的。本標(biāo)準(zhǔn)編制期間調(diào)研和分析了國(guó)內(nèi)工業(yè)控制系統(tǒng)應(yīng)用和安全現(xiàn)狀，研究和分析了國(guó)外工業(yè)控制系統(tǒng)安全體系相關(guān)文件和標(biāo)準(zhǔn)，內(nèi)容包括對(duì)漏洞檢測(cè)產(chǎn)品的功能要求、配置管理要求、檢測(cè)結(jié)果處理要求和相應(yīng)的測(cè)試方法，適用于工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)和測(cè)評(píng)。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)在編寫(xiě)時(shí)參考了GB/T20275-2006信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法，GB/T26269-2010網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求，和GB/T26268-2010網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)測(cè)試方法等相關(guān)標(biāo)準(zhǔn)。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的編制，要與GB/T32919-2016《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》等相關(guān)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)協(xié)調(diào)一致。重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)本標(biāo)準(zhǔn)編制過(guò)程中未出現(xiàn)重大分歧。詳見(jiàn)標(biāo)準(zhǔn)意見(jiàn)匯總處理表。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容）本標(biāo)準(zhǔn)作為國(guó)家工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)體系的一部分，在具體實(shí)施時(shí)建議與管理、評(píng)估類標(biāo)準(zhǔn)配合實(shí)施。其他事項(xiàng)說(shuō)明本標(biāo)準(zhǔn)不涉及專利。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)