2022工业信息安全应急处置工具箱

II工业信息安全应急处置工具箱目次前言 II引言 III1范围 12规性用件 13术和义 14组与号 24.1成 24.2号 25技要求 35.1本求 35.2能 35.3能 45.4全 46试方法 5验件 5验具 5本求验 5能验 5能验 6全验 67检规则 6验目 6厂验 6式验 68标、装运和存 78.1牌 78.2装 78.3输 78.4存 7参考献 8PAGEPAGE1工业信息安全应急处置工具箱范围本文件规定了工业信息安全应急处置工具箱（简称“工具箱”）的组成与型号、技术要求、试验方法，检验规则及标牌、包装、运输和贮存等。本文件适用于工业信息安全应急处置工具箱的设计、研发、生产、检验检测和验收，可应用于军工、市政、冶金、电力、医药、化工、石油石化、交通运输和机械装备制造等各类工业行业的信息安全应急处置。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T191包装储运图示标志GB/T4208（IPGB/T9969GB/T13306GB16796安全防范报警设备安全要求和试验方法GB/T20275信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20280信息安全技术网络脆弱性扫描产品测试评价方法GB/T2094524363GB/T26268网络入侵检测系统测试方法GB/T28451GB/T29766GB/T34990设备可靠性可靠性评估方法GB/T37954信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法GB/T39786信息安全技术信息系统密码应用基本要求GA/T911信息安全技术日志分析产品安全技术要求GA/T1536信息安全技术计算机主机安全检测产品测评准则QB/T4399手提式工具箱QB/T5536工具箱柜通用技术条件下列术语和定义适用于本文件。3.1工业信息安全应急处置工具箱 emergencydisposaltoolboxforindustrialinformationsecurity集成工业信息安全应急处置全流程所需的软硬件工具，对接国家级工控安全远程应急支援服务平台（3.3）的一体化、工业级的专用型安全产品。3.2现场应急处置技术平台on-siteemergencytechnologyplatform将集成应急处置所需的各类软件工具和关键数据资源内置于工具箱应急处置终端中的流程化技术平台。3.3工控全程急援务平台 remoteserviceplatformofemergencysupportforsecurity集成工业信息安全远程应急支援所需的威胁情报、分析引擎、数据资源、安全专家等功能资源，为工具箱提供远程技术支撑，为现场应急人员提供远程支援的服务平台。3.4信息安全事件informationsecurityincidentGB/T20985.1—2017，3.4]3.5工业控制系统industrialcontrolsystem多种工业生产中使用的控制系统。注：包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）等，现已广泛应用在工业部门和关键基础设施中。[来源：GB/T37962—2019，3.1]3.6应急处置emergencydisposal对突发险情、事故、事件等采取紧急应对的措施或行动。3.7工业协议指纹industrialprotocolfingerprint用来远程识别工业控制系统（3.5）的设备硬件、操作系统、运行软件和网络协议类型等信息的特征参数。组成工具箱由箱体、应急处置终端、辅助工具三部分组成。每部分具体组成如下：辅助工具由安全U盘）型号QB/T4399TBS注1：参见QB/T4399的相关规定，本文件规定的工具箱的型式为简易型（H型）。GB/T4754分级代号指的是工具箱的应急处置能力级别，采用各级别的英文名称表示。根据工具箱面向（Light）（Standard）和增强级（Enhanced）：注2：关于工具箱面向不同规模和级别的应急处置对象时的配置水平要求将在后续系列标准中进行规定。图1工具箱型号编码规则示例1：适用于军工的增强级工具箱型号为：TBS-JG-Enhanced-ABCD-001示例2：适用于电力的轻量级工具箱型号为：TBS-DL-Light-EFGH-28ABS箱体外壳防护等级(IP)应不小于IP54，符合露天、装置区和生产厂房等运输或储藏环境的要（）USB2.0，以及RS232、RS422RS485（DVD）功能应急处置终端中的现场应急处置技术平台及辅助工具应采用“准备、检测、抑制、根除、恢复、跟踪”应急响应模型，集成全流程功能模块及关键数据资源，具备工业信息安全应急处置各阶段所需的功能模块。各个功能模块包含内容如下：注：参考NISTSP800-61，应急响应模型（Prepare-Detection-Containment-Eradication-Recovery-Follow-Up，PDCERF）将应急响应流程分成准备、检测、抑制、根除、恢复、跟踪阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。应急处置终端应支持主流工业主机、工业软件、工业控制器、物联网设备、工业网络设备、安全设备和工业互联网平台等软硬件系统的识别检测和应急处置功能。现场应急处置技术平台应具备应急资源库，并支持在线、离线更新功能。应急资源库包括但不限于：现场应急处置技术平台应具备数据融合分析能力，支持对处置过程中采集数据的关联分析和统计对比功能，预置多种应急处置技术分析报告模板。现场应急处置技术平台应具备与国家级工控安全远程应急支援服务平台的对接功能，协同平台的专家资源、威胁情报和分析引擎等，提供现场处置与远程支援相结合的一体化技术支撑。对于爆炸危险环境、高温高压、电磁辐射等特殊领域工业环境，应根据工具箱的不同类别和级别增加相应功能要求。性能现场应急处置技术平台的正常启动可靠性应大于99.99%。现场应急处置技术平台的硬件启动时间应小于3min。应急处置终端应满足24h连续性工作，不发生故障。应急处置终端在额定工况下，续航时间应不小于6h；在借助辅助工具中移动电源的情况下，续航时间应不小于12h。现场应急处置技术平台内置的应急资源库，应预置工业协议指纹不少于50种，包含工业控制器、工业组态软件等多种工业资产漏洞不少于105个、工控漏洞不少于800个、恶意代码特征不少于2×106个；应内置工业勒索、挖矿等典型工业信息安全事件应急处置模板不少于5种等。对于爆炸危险环境、高温高压、电磁辐射等特殊领域工业环境，应根据工具箱的不同类别和级别增加相应性能要求。安全应急处置终端应支持身份鉴别、访问控制、日志审计、通信安全防护、漏洞检测和恶意程序防范等安全防护功能，以保障自身网络安全。GB/T39786工具箱应确保软硬件的预装及更新安全，宜采用国产操作系统、软件组件或开源组件进行部署集成。GB/T349902060CNASGB/T4208GB/T24363GB/T29766GB/T20280、GB/T37954GB/T20275、GB/T26268、GB/T28451GB/T20945、GA/T911GA/T1536GB/T37079GB/T34990物理和电气安全按GB16796工具箱检验项目分为出厂检验和型式检验。检验项目应符合表2的要求。表2检验项目检验项目序号检验内容出厂检验型式检验技术要求试验方法基本要求1箱体材料--Δ5.1.16.3.12箱体表面及装配ΔΔ5.1.2、5.1.36.3.23箱体焊缝ΔΔ5.1.46.3.24箱体外壳ΔΔ5.1.56.3.35应急处置终端和辅助工具接口ΔΔ5.1.66.3.4功能1处置功能、适配功能、应急资源储备、分析功能--Δ5.2.1、5.2.2、5.2.3、5.2.46.4.12后端平台对接--Δ5.2.56.4.23特殊功能要求--Δ5.2.66.4.3性能1可靠性与敏捷性ΔΔ5.3.16.5.12续航与供电ΔΔ5.3.26.5.23应急资源库容量ΔΔ5.3.36.5.34特殊性能要求ΔΔ5.3.46.5.4安全1网络安全、数据安全、供应链安全--Δ5.4.1、5.4.2、5.4.36.6.12物理和电气安全ΔΔ5.4.46.6.2注：“Δ”为必检验项目，“--”为非检验项目。1标牌应在工具箱箱体和应急处置终端的明显位置处装设标牌。标牌应符