DB32/T 4274-2022工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測(cè)規(guī)范

ICS25040

CCSN.10

江蘇省地方標(biāo)準(zhǔn)

DB32/T4274—2022

工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測(cè)規(guī)范

Industrialinternetsecurityvulnerabilityanalysisandtestingstandards

2022-05-20發(fā)布2022-06-20實(shí)施

江蘇省市場(chǎng)監(jiān)督管理局發(fā)布

中國(guó)標(biāo)準(zhǔn)出版社出版

DB32/T4274—2022

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

總則

4………………………2

分析與檢測(cè)流程

5…………………………2

分析

6………………………3

威脅分類與樣本庫(kù)的構(gòu)建

6.1…………3

攻擊樣本庫(kù)構(gòu)建

6.2……………………5

分析步驟與要求

6.3……………………7

檢測(cè)

7………………………12

弱點(diǎn)脆弱性檢測(cè)總體要求

7.1…………12

環(huán)境與封裝

7.2…………………………12

調(diào)用

7.3API……………13

指針安全

7.4……………14

初始化與清理環(huán)節(jié)

7.5…………………14

錯(cuò)誤處理

7.6……………16

時(shí)間和狀態(tài)

7.7…………………………16

通用安全特性

7.8………………………18

數(shù)據(jù)處理

7.9……………20

代碼質(zhì)量

7.10…………………………25

弱點(diǎn)脆弱性檢測(cè)列表

7.11……………27

安全脆弱性檢測(cè)流程與方法

7.12……………………27

服務(wù)

8………………………28

服務(wù)機(jī)構(gòu)基本能力要求

8.1……………28

服務(wù)流程

8.2……………28

附錄規(guī)范性弱點(diǎn)脆弱性檢測(cè)列表

A()…………………30

附錄資料性工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性檢測(cè)記錄表

B()…………………33

附錄資料性工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性漏洞訪談信息記錄表

C()………34

附錄資料性模型的建立

D()……………35

附錄資料性工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性漏洞檢測(cè)指標(biāo)及參考權(quán)重

E()()………………37

Ⅰ

DB32/T4274—2022

附錄規(guī)范性工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性檢測(cè)專家打分指標(biāo)值分類說(shuō)明

F()……………38

附錄資料性判斷矩陣表

G()……………40

附錄資料性工業(yè)互聯(lián)網(wǎng)系統(tǒng)漏洞嚴(yán)重性等級(jí)評(píng)定表

H()……………42

附錄資料性工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性計(jì)算示例

I()……………………43

參考文獻(xiàn)

……………………47

Ⅱ

DB32/T4274—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由江蘇省信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

。

本文件起草單位南京理工大學(xué)南京工業(yè)職業(yè)技術(shù)大學(xué)五邑大學(xué)東南大學(xué)南京航空航天大學(xué)

:、、、、、

江蘇省工業(yè)與信息化廳江蘇省產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院江蘇大象信息技術(shù)服務(wù)有限公司江蘇省中

、、、

天互聯(lián)科技有限公司江蘇三臺(tái)山數(shù)據(jù)應(yīng)用研究院有限公司江蘇遠(yuǎn)恒教育科技有限公司江蘇省信息

、、、

網(wǎng)絡(luò)安全協(xié)會(huì)

。

本文件主要起草人李千目侯君金雷戴晟武斌張建航龍華秋曹玖新時(shí)宗勝蔣劍練智超

:、、、、、、、、、、、

韓皓李冬成牛博威孟慶杰蔡文杰袁鍵鄧高見(jiàn)陳彥文

、、、、、、、。

Ⅲ

DB32/T4274—2022

工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測(cè)規(guī)范

1范圍

本文件規(guī)定了工業(yè)互聯(lián)網(wǎng)系統(tǒng)威脅分類與攻擊樣本庫(kù)構(gòu)建的步驟和一般要求以及安全脆弱性檢

,

測(cè)流程與方法分析與檢測(cè)服務(wù)機(jī)構(gòu)基本能力要求與服務(wù)流程要求

、。

本文件適用于工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性分析與檢測(cè)脆弱性嚴(yán)重性綜合指數(shù)計(jì)算與等級(jí)劃分

,

檢測(cè)

。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件

。

3術(shù)語(yǔ)定義和縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

下列術(shù)語(yǔ)和定義適用于本文件

。

311

..

工業(yè)互聯(lián)網(wǎng)industrialinternet

通過(guò)對(duì)人數(shù)據(jù)與機(jī)器等的全面連接激發(fā)工業(yè)化生產(chǎn)力的新型基礎(chǔ)設(shè)施應(yīng)用模式和工業(yè)生態(tài)

、,、。

注屬于泛互聯(lián)網(wǎng)的目錄分類

:。

312

..

工業(yè)互聯(lián)網(wǎng)系統(tǒng)industrialinternetsystem

面向工業(yè)全生命周期依托工業(yè)互聯(lián)網(wǎng)在傳感網(wǎng)絡(luò)技術(shù)大數(shù)據(jù)技術(shù)云計(jì)算技術(shù)邊緣計(jì)算技術(shù)

,,、、、、

自動(dòng)化技術(shù)人工智能等基礎(chǔ)上通過(guò)智能化的感知人機(jī)交互決策和執(zhí)行技術(shù)實(shí)現(xiàn)設(shè)計(jì)過(guò)程制造過(guò)

、,、、,、

程和制造裝備智能化信息技術(shù)智能技術(shù)與裝備制造技術(shù)深度融合與集成的系統(tǒng)

,、。

313

..

漏洞vulnerability

計(jì)算機(jī)信息系統(tǒng)在需求設(shè)計(jì)實(shí)現(xiàn)配置運(yùn)行等過(guò)程中有意或無(wú)意產(chǎn)生的缺陷

、、、、,。

注這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中一旦被惡意主體所利用就會(huì)對(duì)計(jì)算機(jī)信

:,,

息系統(tǒng)的安全造成損害