1 范圍

      本標(biāo)準規(guī)定了針對工業(yè)控制系統(tǒng)的漏洞檢測產(chǎn)品的技術(shù)要求，包括安全功能要求、自身安全要求和安全保障要求，以及相應(yīng)的測試評價方法。

      本標(biāo)準適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計、開發(fā)和測評。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

3 術(shù)語和定義

      GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      漏洞 vulnerability

      資產(chǎn)中能被威脅所利用的弱點。

3.2

      測試用例 test case

      為某個特定目標(biāo)而編制的一組輸入、執(zhí)行條件以及預(yù)期結(jié)果，以核實是否滿足某個特定需求。

3.3

      測試集合 test set

      測試用例的組合。

3.4

      工業(yè)控制組態(tài)軟件 industrial control configuration software

      在控制系統(tǒng)監(jiān)控層的軟件平臺和開發(fā)環(huán)境，使用靈活的方式為用戶提供快速配置現(xiàn)場系統(tǒng)狀態(tài)的軟件工具。

4 縮略語

      下列縮略語適用于本文件。

      DNP：分布式網(wǎng)絡(luò)協(xié)議（Distributed Network Protocol）

      HTML：超文本標(biāo)記語言（Hypertext Markup Language）

      HTTP：超文本傳輸協(xié)議（HyperText Transfer Protocol）

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      OLE：對象連接與嵌入（Object Linking and Embedding）

      OPC：用于過程控制的OLE（OLE forProcess Control）

      RTU：遠程控制終端（Remote Terminal Unit）

      SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      TCP：傳輸控制協(xié)議（Transmission Control Protocol）

      UDP：用戶數(shù)據(jù)報協(xié)議（User Datagram Protocol）

5 產(chǎn)品描述

      工業(yè)控制系統(tǒng)漏洞檢測的目的是檢查和分析系統(tǒng)的安全脆弱性，發(fā)現(xiàn)可能被入侵者利用的漏洞，并提出防范和補救措施。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品可以用于離線環(huán)境、工業(yè)控制系統(tǒng)試運行期間或工業(yè)系統(tǒng)維修期間，能夠?qū)I(yè)控制系統(tǒng)中的工業(yè)控制設(shè)備、通信設(shè)備、安全保護設(shè)備以及工業(yè)控制軟件等進行自動檢測，發(fā)現(xiàn)存在的漏洞。為防止影響正常生產(chǎn)，不應(yīng)在工業(yè)生產(chǎn)現(xiàn)場使用工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品。

工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品分為基本級和增強級。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品安全技術(shù)要求的分級及其要求條款見附錄A。工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品測評方法的分級及其測評項見附錄B。

6 安全技術(shù)要求

6.1 安全功能要求

6.1.1 工業(yè)控制設(shè)備識別

      漏洞檢測產(chǎn)品應(yīng)能自動識別工業(yè)控制設(shè)備。

      漏洞檢測產(chǎn)品應(yīng)支持手動添加工業(yè)控制設(shè)備。

6.1.2 工業(yè)控制設(shè)備端口掃描

      漏洞檢測產(chǎn)品應(yīng)能掃描所有TCP端口，檢查其是否開啟。

      漏洞檢測產(chǎn)品應(yīng)能掃描所有UDP端口，檢查其是否開啟。

      對于已開啟的TCP、UDP端口，漏洞檢測產(chǎn)品應(yīng)能判斷出與之對應(yīng)的公開的工業(yè)控制通信協(xié)議。

6.1.3 工業(yè)控制設(shè)備通信協(xié)議漏洞檢測

      漏洞檢測產(chǎn)品應(yīng)能檢測使用（包括但不限于）以下通信協(xié)議的工業(yè)控制設(shè)備的已知漏洞：

      a）工業(yè)以太網(wǎng)協(xié)議：Modbus/TCP協(xié)議、OPC協(xié)議、DNP3.0協(xié)議、IEC-60870-5-104協(xié)議、IEC-61850 MMS協(xié)議、Siemens S7Comm 協(xié)議、PROFINET協(xié)議、IEC-61850 GOOSE協(xié)議、IEC-61850 SV協(xié)議、EtherNet/IP協(xié)議；

      b）互聯(lián)網(wǎng)協(xié)議：HTTP協(xié)議、FTP協(xié)議、TELNET協(xié)議、SNMP協(xié)議；

      c) 串口協(xié)議：Modbus RTU協(xié)議、IEC-60870-5-101協(xié)議；

      d）私有協(xié)議（包括行業(yè)專業(yè)協(xié)議）。

6.1.4 工業(yè)控制組態(tài)軟件漏洞檢測

      漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制組態(tài)軟件的已知漏洞。

6.1.5 工業(yè)控制設(shè)備操作系統(tǒng)檢測

      漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制設(shè)備操作系統(tǒng)的安全問題，檢測項目應(yīng)包括但不限于以下內(nèi)容：

      a）操作系統(tǒng)類型和版本號識別；

      b）操作系統(tǒng)登錄弱口令檢測；

      c）操作系統(tǒng)已知安全漏洞檢測。

6.1.6 工業(yè)控制數(shù)據(jù)庫漏洞檢測

      漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制數(shù)據(jù)庫的已知漏洞。

6.1.7 工業(yè)控制網(wǎng)絡(luò)通信設(shè)備漏洞檢測

      漏洞檢測產(chǎn)品應(yīng)能檢測工業(yè)控制網(wǎng)絡(luò)通信設(shè)備（例如，工業(yè)交換機等）的已知漏洞。

6.1.8 檢測結(jié)果處理要求

      漏洞檢測產(chǎn)品應(yīng)能滿足以下要求：

      a）漏洞檢測產(chǎn)品應(yīng)能實時查看檢測進度。

      b）漏洞檢測產(chǎn)品應(yīng)能實時查看測試用例的執(zhí)行方法和每一方法的結(jié)果。

      c）漏洞檢測產(chǎn)品應(yīng)能監(jiān)測工業(yè)控制設(shè)備的實時響應(yīng)。

      d）檢測任務(wù)應(yīng)能隨時暫?；蛘呓K止。

      e）漏洞檢測產(chǎn)品應(yīng)能保存檢測結(jié)果。

      f）漏洞檢測產(chǎn)品應(yīng)能記錄并追溯導(dǎo)致工業(yè)控制設(shè)備異常的數(shù)據(jù)報文。

      g）漏洞檢測產(chǎn)品應(yīng)能根據(jù)檢測結(jié)果自動生成檢測報告。檢測報告應(yīng)包括但不限于以下內(nèi)容：

      1）工業(yè)控制設(shè)備的信息列表，包括設(shè)備類型、固件版本、操作系統(tǒng)版本等；

      2）漏洞的名稱、漏洞編號、發(fā)布日期等；

      3）潛在的漏洞；

      4）被測設(shè)備的危險等級評估，明確標(biāo)出掃描出的漏洞的危險等級。

      h）檢測報告應(yīng)以通用文檔格式（例如，WPS、DOC、TXT、RTF、PDF、HTML等）輸出。

      i）測試過程異常終止時，漏洞檢測產(chǎn)品應(yīng)能生成已檢測部分的報告，并說明測試過程異常終止。注：被測設(shè)備的危險等級取決于掃描脆弱點的最高危險等級。危險等級的定義參見GB/T 30279-2013中4.2。

6.1.9 管理控制功能要求

      漏洞檢測產(chǎn)品應(yīng)能滿足以下要求：

      a）漏洞檢測產(chǎn)品應(yīng)能針對不同的工業(yè)控制設(shè)備和系統(tǒng)設(shè)置相應(yīng)的檢測參數(shù)（例如，掃描地址范圍、端口范圍、漏洞類型、測試報文、測試次數(shù)、測試時間間隔等）。

      b）漏洞檢測產(chǎn)品應(yīng)支持以下測試方式：

      1）依據(jù)工業(yè)控制通信協(xié)議將測試用例進行歸類；

      2）支持測試用例隨機組合；

      3）支持測試集合隨機組合；

      4）支持用戶編寫測試用例；

      5）根據(jù)設(shè)備類型向用戶推薦某類或某幾類測試用例。

      c）漏洞檢測產(chǎn)品應(yīng)內(nèi)置工業(yè)控制設(shè)備信息庫并允許更新。

      d）漏洞檢測產(chǎn)品應(yīng)內(nèi)置漏洞庫。

      e）漏洞檢測產(chǎn)品應(yīng)能通過產(chǎn)品升級等方式更新漏洞庫，添加新發(fā)現(xiàn)的安全漏洞。

以上為標(biāo)準部分內(nèi)容，如需看標(biāo)準全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準正版。