1 范圍

      本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品的安全技術(shù)要求和測(cè)試評(píng)價(jià)方法。

      本標(biāo)準(zhǔn)適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品的設(shè)計(jì)生產(chǎn)方對(duì)其設(shè)計(jì)、開發(fā)及測(cè)評(píng)等提供指導(dǎo)，同時(shí)也可為工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維方開展工業(yè)控制系統(tǒng)安全防護(hù)工作提供指導(dǎo)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ea和導(dǎo)則：沖擊

      GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ed：自由跌落

      GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Fc：振動(dòng)（正弦）

      GB/T 4208-2017 外殼防護(hù)等級(jí)（IP代碼）

      GB/T 17214.4-2005 工業(yè)過程測(cè)量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 32919-2016和GB/T 18336.1-2015界定的以及下列術(shù)語和定義適用于本文件。

3.1

      工業(yè)控制系統(tǒng) industrial control system

      多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)。

      注：包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

3.2

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè) industrial control netwvork monitoring

      部署于工業(yè)控制網(wǎng)絡(luò)中，以實(shí)現(xiàn)針對(duì)工業(yè)控制網(wǎng)絡(luò)中網(wǎng)絡(luò)行為的安全事件監(jiān)測(cè)、審計(jì)和管理等功能的技術(shù)。

      注1：用于監(jiān)測(cè)和分析工業(yè)控制網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)違反安全策略的行為、異常操作、工業(yè)控制設(shè)備被攻擊的跡象，或工業(yè)生產(chǎn)受到影響的跡象。

      注2：本標(biāo)準(zhǔn)所指“工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)”即“工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品”。工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品是部署于工業(yè)控制網(wǎng)絡(luò)中，用于實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)功能的設(shè)備產(chǎn)品。

4 縮略語

      下列縮略語適用于本文件。

      DNP 分布式網(wǎng)絡(luò)協(xié)議（Distributed Network Protocol）

      FTP 文件傳輸協(xié)議（File Transfer Protocol）

      HTTP 超文本傳輸協(xié)議（Hypertext Transfer Protocol）

      NTP 網(wǎng)絡(luò)時(shí)間協(xié)議（Network Time Protocol）

      OLE 對(duì)象連接與嵌入（Object Linking and Embedding）

      OPC 用于過程控制的OLE（OLE for Process Control）

5 產(chǎn)品描述

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品是應(yīng)用于工業(yè)控制環(huán)境，通過監(jiān)視工業(yè)控制網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)報(bào)文，實(shí)時(shí)獲取數(shù)據(jù)包進(jìn)行深度解析，監(jiān)測(cè)工業(yè)控制網(wǎng)絡(luò)中的入侵行為和異常行為，并及時(shí)告警的設(shè)備。該設(shè)備需滿足特定工業(yè)環(huán)境和安全功能要求，可對(duì)工業(yè)控制網(wǎng)絡(luò)邊界或工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同控制區(qū)域之間進(jìn)行監(jiān)測(cè)保護(hù)，發(fā)現(xiàn)非法入侵活動(dòng)，并根據(jù)監(jiān)測(cè)結(jié)果實(shí)時(shí)報(bào)警、響應(yīng)，達(dá)到主動(dòng)發(fā)現(xiàn)入侵活動(dòng)、確保網(wǎng)絡(luò)安全目的。該設(shè)備產(chǎn)品可以硬件或者軟件形式實(shí)現(xiàn)。

      本標(biāo)準(zhǔn)按照工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品安全功能要求強(qiáng)度，對(duì)工業(yè)控制網(wǎng)路監(jiān)測(cè)產(chǎn)品分為基本級(jí)和增強(qiáng)級(jí)，安全功能強(qiáng)弱和安全保證要求高低是等級(jí)劃分的具體依據(jù)。其中基本級(jí)安全功能要求應(yīng)具備GB/T 22239-2019中第二級(jí)安全保護(hù)能力，增強(qiáng)級(jí)安全功能要求應(yīng)具備GB/T 22239-2019中第三級(jí)安全保護(hù)能力。在增強(qiáng)級(jí)中新增的要求會(huì)通過黑體標(biāo)識(shí)。

      工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求的分級(jí)及其要求條款見附錄A，工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)測(cè)評(píng)方法的分級(jí)及其測(cè)評(píng)項(xiàng)見附錄B，工業(yè)環(huán)境應(yīng)用要求見附錄C。

6 安全技術(shù)要求

6.1 安全功能要求

6.1.1 功能要求

6.1.1.1 安全事件監(jiān)測(cè)

6.1.1.1.1 流量監(jiān)測(cè)

      產(chǎn)品應(yīng)能夠具有流量監(jiān)測(cè)的功能，具體滿足下述要求：

      a）應(yīng)能夠監(jiān)視網(wǎng)絡(luò)內(nèi)的流量數(shù)據(jù)包，實(shí)時(shí)獲取數(shù)據(jù)包用于檢測(cè)分析，且不影響工控設(shè)備正常運(yùn)行。

      b）應(yīng)能夠監(jiān)測(cè)指定的協(xié)議或IP地址的流量數(shù)據(jù)包，且不影響工控設(shè)備正常運(yùn)行。

6.1.1.1.2 工業(yè)控制協(xié)議分析

      對(duì)于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的數(shù)據(jù)包，產(chǎn)品應(yīng)能夠分析其承載的工業(yè)控制協(xié)議報(bào)文，滿足下述一種要求：

      a) 分析以下（但不限于）通用協(xié)議：Modbus/TCP協(xié)議、OPC Classic 協(xié)議、DNP3.0協(xié)議、IEC-60875-5-104協(xié)議、SIEMENS S7Comm 協(xié)議、PROFINET協(xié)議、EtherNet/IP協(xié)議；

      b）一種行業(yè)專業(yè)協(xié)議，例如，IEC-61850 MMS協(xié)議、IEC-61850 GOOSE協(xié)議、IEC-61850 SV協(xié)議、軌道交通專業(yè)協(xié)議等。

6.1.1.1.3 互聯(lián)網(wǎng)協(xié)議分析

      對(duì)于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的互聯(lián)網(wǎng)協(xié)議流量，產(chǎn)品應(yīng)能夠分析其承載的數(shù)據(jù)報(bào)文，分析以下（但不限于）互聯(lián)網(wǎng)協(xié)議報(bào)文：

      a) HTTP;

      b) FTP;

      c) TELNET;

      d) SNMP。

6.1.1.1.4 攻擊行為監(jiān)測(cè)

      產(chǎn)品應(yīng)能夠通過分析、對(duì)比等方法，包括但不限于發(fā)現(xiàn)以下攻擊行為：

      a）工業(yè)協(xié)議漏洞攻擊；

      b）工業(yè)控制應(yīng)用漏洞攻擊；

      c）操作系統(tǒng)漏洞攻擊；

      d）工業(yè)控制設(shè)備漏洞攻擊；

      e）應(yīng)能夠監(jiān)測(cè)網(wǎng)絡(luò)中蠕蟲病毒、木馬等攻擊行為的發(fā)生，且不影響工控設(shè)備正常運(yùn)行。注：安全漏洞和攻擊參見國(guó)家信息安全漏洞共享平臺(tái)發(fā)布的信息。

6.1.1.2 安全事件響應(yīng)

6.1.1.2.1 事件告警

      對(duì)于攻擊行為或異常行為，產(chǎn)品應(yīng)按照事件的嚴(yán)重程度將事件分級(jí)，采取屏幕實(shí)時(shí)提示等直觀有效的方式傳達(dá)告警訊息。

6.1.1.2.2 告警過濾

      產(chǎn)品應(yīng)允許管理員定義安全策略，對(duì)工業(yè)控制網(wǎng)絡(luò)中的指定事件不予告警。

6.1.1.2.3 事件合并

      產(chǎn)品應(yīng)對(duì)高頻度發(fā)生的相同安全事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴。

6.1.1.2.4 定制響應(yīng)

      產(chǎn)品應(yīng)允許管理員定義安全策略，對(duì)工業(yè)控制網(wǎng)絡(luò)中的事件定制響應(yīng)方式。

6.1.1.3 安全配置管理

6.1.1.3.1 安全策略配置

      產(chǎn)品應(yīng)提供安全策略配置功能。

6.1.1.3.2 工業(yè)控制漏洞知識(shí)庫(kù)

      產(chǎn)品應(yīng)內(nèi)置工業(yè)控制漏洞知識(shí)庫(kù)，內(nèi)容應(yīng)包括工業(yè)控制協(xié)議漏洞、工業(yè)控制應(yīng)用漏洞、操作系統(tǒng)漏洞和工業(yè)控制設(shè)備漏洞，詳細(xì)的漏洞修補(bǔ)方案和可采取的對(duì)策。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。