信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法-编制说明

工作简况任务来源《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》是全国信息安全标准化技术委员会2015年下达的信息安全国家标准制定项目，由北京匡恩网络科技有限责任公司中国电子技术标准化研究院承担，参与单位包括中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。主要工作过程2015年5月到6月，联系各个参与单位，进行任务分工和任务组织；研究现有国内外工控安全相关标准，分析各自特点，学习借鉴。2015年7月到8月 调研国内工业控制系统安全现状，学习、研究、讨论国内外相关的标准及研究成果,确定并编写总体框架。2015.8-2015.12 编写标准初稿，在工作组内征求意见，根据组内意见进行修改。2016年1月，向全国信息安全标准化技术委员会专家崔书昆老师和王立福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见，根据反馈意见多次修改。2016年1月，标准编制组召开研讨会，根据专家在会上提出的修改意见对标准进行修改。2016年5月，标准编制组在“工控系统信息安全标准和技术专题研讨会”介绍了标准草案，听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见对标准进行修改。2016年6月，标准编制组召开专题研讨会介绍了标准草案，并根据专家在会上提出的修改意见对标准进行修改。2016年10月，标准编制组在信安标委第2次会议周上介绍了标准草案，并根据专家在会前会上提出的修改意见对标准进行修改。编制原则和主要内容2.1编制原则本标准的研究与编制工作遵循以下原则：（1）通用性原则本标准在编制过程中参考了国内外诸多标准，包括：《工业过程测量与控制安全：网络与系统信息安全》系列标准（IEC62443）、《推荐的联邦信息系统和组织的安全控制措施》（NISTSP800-53）、《工业控制系统信息安全指南》（NISTSP800-82）和《信息安全技术工业控制系统安全控制应用指南》，既确保标准科学性，又使得标准内容符合我国国情。（2）可操作性和实用性原则标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检验，做到可操作、可用与实用。为此，在本标准的制定过程中，起草组广泛征求行业用户意见。所涉及的工业控制协议是广泛应用于各种工业控制领域的，也允许根据实际情况添加新的工业控制协议。2.2主要内容本标准的研究目标及内容是对工业控制系统漏洞检测的功能要求等进行研究，研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁，确定需要检测分析的工业控制协议和漏洞检测产品应具备的功能。本标准主要内容如下：TOC\h\z\t"前言、引言标题,1,参考文献、索引标题,1,章标题,1,参考文献,1,附录标识,1,一级条标题,3,附录章标题,3,附录一级条标题,4"前言 III1范围 12规范性引用文件 13术语和定义 14缩略语 25概述 26工业控制系统漏洞检测产品安全等级划分 26.1基本级 26.2增强级 27工业控制系统漏洞检测产品安全功能要求 37.1工业控制设备自动识别 37.2工业控制设备端口扫描 37.3工业控制设备漏洞检测 37.4工业控制组态软件漏洞检测 37.5工业控制设备操作系统检测 37.6工业控制实时/历史数据库漏洞检测 37.7工业控制网络设备漏洞检测 37.8检测结果处理要求 47.9管理控制功能要求 48工业控制系统漏洞检测产品自身安全要求 58.1用户管理与鉴别 58.2产品升级 58.3安全日志 59安全保障要求 69.1配置管理 69.2交付与运行 69.3开发 79.4指导性文档 79.5测试 89.6脆弱性分析保证 910测试环境 911工业控制系统漏洞检测产品安全功能测评 1011.1工业控制设备自动识别 1011.2工业控制设备端口扫描 1011.3工业控制设备漏洞检测 1111.4工业控制组态软件漏洞检测 1211.5工业控制设备操作系统检测 1211.6工业控制实时/历史数据库漏洞检测 1211.7工业控制网络设备漏洞检测 1211.8检测结果处理 1211.9管理控制功能 1312工业控制系统漏洞检测产品自身安全功能测评 1512.1用户管理与鉴别 1512.2产品升级 1612.3安全日志 1713安全保障测评 1713.1配置管理 1713.2交付与运行 1813.3开发 1913.4文档要求 2013.5测试 2113.6脆弱性分析保证 22附录A（规范性附录）危险等级 24参考文献 25主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果工业控制系统是国家关键基础设施的最重要组成部分，涉及一系列关系到国计民生的基础性行业，包括电力电网、轨道交通、石油化工以及核工业等。网络攻击破坏工业网络信息系统的同时，将极大威胁关键基础设施的安全，导致国家经济、国防等遭受重大损失。随着各方面对工业控制系统的安全日益重视，工业控制系统的相关公开漏洞数量保持一个快速增长的总体趋势。新增漏洞中有大量高危漏洞，且基本上都是严重性程度为中危以上的漏洞。这表明当前工控系统产品存在严重的安全隐患。目前针对工控系统的安全防护，多集中在传统的IT安全解决方案，如系统升级、病毒查杀等，但这些方案停留在单一的防护方面，具有一定的滞后性，不足以应对工业基础设施领域的全新安全需求。本标准征求意见稿是在深入研究国外工业控制系统相关标准的基础上，充分调研国内工业控制系统应用，广泛听取了专家意见和建议的基础上形成的。本标准编制期间调研和分析了国内工业控制系统应用和安全现状，研究和分析了国外工业控制系统安全体系相关文件和标准，内容包括对漏洞检测产品的功能要求、配置管理要求、检测结果处理要求和相应的测试方法，适用于工业控制系统漏洞检测产品的设计、开发和测评。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准在编写时参考了GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法，GB/T26269-2010网络入侵检测系统技术要求，和GB/T26268-2010网络入侵检测系统测试方法等相关标准。与有关的现行法律、法规和强制性国家标准的关系本标准的编制，要与GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》等相关工业控制系统信息安全标准协调一致。重大分歧意见的处理经过和依据本标准编制过程中未出现重大分歧。详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准作为国家工业控制系统相关标准体系的一部分，在具体实施时建议与管理、评估类标准配合实施。其他事项说明本标准不涉及专利。国家标准《信息安全技术