1 范圍
本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的安全技術(shù)要求和測試評價(jià)方法�����。
本標(biāo)準(zhǔn)適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的設(shè)計(jì)生產(chǎn)方對其設(shè)計(jì)、開發(fā)及測評等提供指導(dǎo)��,同時(shí)也可為工業(yè)控制系統(tǒng)設(shè)計(jì)�、建設(shè)和運(yùn)維方開展工業(yè)控制系統(tǒng)安全防護(hù)工作提供指導(dǎo)��。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的��。凡是注日期的引用文件����,僅注日期的版本適用于本文件�。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�。
GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分:試驗(yàn)方法 試驗(yàn)Ea和導(dǎo)則:沖擊
GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分:試驗(yàn)方法 試驗(yàn)Ed:自由跌落
GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分:試驗(yàn)方法 試驗(yàn)Fc:振動(正弦)
GB/T 4208-2017 外殼防護(hù)等級(IP代碼)
GB/T 17214.4-2005 工業(yè)過程測量和控制裝置的工作條件 第4部分:腐蝕和侵蝕影響
GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第1部分:簡介和一般模型
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南
3 術(shù)語和定義
GB/T 25069-2010、GB/T 32919-2016和GB/T 18336.1-2015界定的以及下列術(shù)語和定義適用于本文件�。
3.1
工業(yè)控制系統(tǒng) industrial control system
多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)。
注:包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)�����、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng)����,如可編程邏輯控制器(PLC),現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中�。
3.2
工業(yè)控制網(wǎng)絡(luò)監(jiān)測 industrial control netwvork monitoring
部署于工業(yè)控制網(wǎng)絡(luò)中,以實(shí)現(xiàn)針對工業(yè)控制網(wǎng)絡(luò)中網(wǎng)絡(luò)行為的安全事件監(jiān)測��、審計(jì)和管理等功能的技術(shù)��。
注1:用于監(jiān)測和分析工業(yè)控制網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文,發(fā)現(xiàn)違反安全策略的行為�����、異常操作�、工業(yè)控制設(shè)備被攻擊的跡象����,或工業(yè)生產(chǎn)受到影響的跡象。
注2:本標(biāo)準(zhǔn)所指“工業(yè)控制網(wǎng)絡(luò)監(jiān)測”即“工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品”�����。工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品是部署于工業(yè)控制網(wǎng)絡(luò)中�,用于實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)監(jiān)測功能的設(shè)備產(chǎn)品。
4 縮略語
下列縮略語適用于本文件�����。
DNP 分布式網(wǎng)絡(luò)協(xié)議(Distributed Network Protocol)
FTP 文件傳輸協(xié)議(File Transfer Protocol)
HTTP 超文本傳輸協(xié)議(Hypertext Transfer Protocol)
NTP 網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol)
OLE 對象連接與嵌入(Object Linking and Embedding)
OPC 用于過程控制的OLE(OLE for Process Control)
5 產(chǎn)品描述
工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品是應(yīng)用于工業(yè)控制環(huán)境����,通過監(jiān)視工業(yè)控制網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)報(bào)文,實(shí)時(shí)獲取數(shù)據(jù)包進(jìn)行深度解析����,監(jiān)測工業(yè)控制網(wǎng)絡(luò)中的入侵行為和異常行為���,并及時(shí)告警的設(shè)備。該設(shè)備需滿足特定工業(yè)環(huán)境和安全功能要求���,可對工業(yè)控制網(wǎng)絡(luò)邊界或工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同控制區(qū)域之間進(jìn)行監(jiān)測保護(hù)����,發(fā)現(xiàn)非法入侵活動�����,并根據(jù)監(jiān)測結(jié)果實(shí)時(shí)報(bào)警���、響應(yīng)�����,達(dá)到主動發(fā)現(xiàn)入侵活動�����、確保網(wǎng)絡(luò)安全目的�����。該設(shè)備產(chǎn)品可以硬件或者軟件形式實(shí)現(xiàn)����。
本標(biāo)準(zhǔn)按照工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品安全功能要求強(qiáng)度,對工業(yè)控制網(wǎng)路監(jiān)測產(chǎn)品分為基本級和增強(qiáng)級��,安全功能強(qiáng)弱和安全保證要求高低是等級劃分的具體依據(jù)�。其中基本級安全功能要求應(yīng)具備GB/T 22239-2019中第二級安全保護(hù)能力���,增強(qiáng)級安全功能要求應(yīng)具備GB/T 22239-2019中第三級安全保護(hù)能力��。在增強(qiáng)級中新增的要求會通過黑體標(biāo)識��。
工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求的分級及其要求條款見附錄A����,工業(yè)控制網(wǎng)絡(luò)監(jiān)測測評方法的分級及其測評項(xiàng)見附錄B�����,工業(yè)環(huán)境應(yīng)用要求見附錄C��。
6 安全技術(shù)要求
6.1 安全功能要求
6.1.1 功能要求
6.1.1.1 安全事件監(jiān)測
6.1.1.1.1 流量監(jiān)測
產(chǎn)品應(yīng)能夠具有流量監(jiān)測的功能,具體滿足下述要求:
a)應(yīng)能夠監(jiān)視網(wǎng)絡(luò)內(nèi)的流量數(shù)據(jù)包�����,實(shí)時(shí)獲取數(shù)據(jù)包用于檢測分析�,且不影響工控設(shè)備正常運(yùn)行。
b)應(yīng)能夠監(jiān)測指定的協(xié)議或IP地址的流量數(shù)據(jù)包����,且不影響工控設(shè)備正常運(yùn)行。
6.1.1.1.2 工業(yè)控制協(xié)議分析
對于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的數(shù)據(jù)包���,產(chǎn)品應(yīng)能夠分析其承載的工業(yè)控制協(xié)議報(bào)文�,滿足下述一種要求:
a) 分析以下(但不限于)通用協(xié)議:Modbus/TCP協(xié)議�����、OPC Classic 協(xié)議��、DNP3.0協(xié)議��、IEC-60875-5-104協(xié)議����、SIEMENS S7Comm 協(xié)議��、PROFINET協(xié)議���、EtherNet/IP協(xié)議;
b)一種行業(yè)專業(yè)協(xié)議�����,例如��,IEC-61850 MMS協(xié)議�����、IEC-61850 GOOSE協(xié)議���、IEC-61850 SV協(xié)議、軌道交通專業(yè)協(xié)議等����。
6.1.1.1.3 互聯(lián)網(wǎng)協(xié)議分析
對于在工業(yè)控制網(wǎng)絡(luò)內(nèi)獲取的互聯(lián)網(wǎng)協(xié)議流量,產(chǎn)品應(yīng)能夠分析其承載的數(shù)據(jù)報(bào)文�����,分析以下(但不限于)互聯(lián)網(wǎng)協(xié)議報(bào)文:
a) HTTP;
b) FTP;
c) TELNET;
d) SNMP。
6.1.1.1.4 攻擊行為監(jiān)測
產(chǎn)品應(yīng)能夠通過分析�����、對比等方法����,包括但不限于發(fā)現(xiàn)以下攻擊行為:
a)工業(yè)協(xié)議漏洞攻擊;
b)工業(yè)控制應(yīng)用漏洞攻擊�;
c)操作系統(tǒng)漏洞攻擊;
d)工業(yè)控制設(shè)備漏洞攻擊��;
e)應(yīng)能夠監(jiān)測網(wǎng)絡(luò)中蠕蟲病毒��、木馬等攻擊行為的發(fā)生��,且不影響工控設(shè)備正常運(yùn)行�����。注:安全漏洞和攻擊參見國家信息安全漏洞共享平臺發(fā)布的信息��。
6.1.1.2 安全事件響應(yīng)
6.1.1.2.1 事件告警
對于攻擊行為或異常行為�����,產(chǎn)品應(yīng)按照事件的嚴(yán)重程度將事件分級,采取屏幕實(shí)時(shí)提示等直觀有效的方式傳達(dá)告警訊息���。
6.1.1.2.2 告警過濾
產(chǎn)品應(yīng)允許管理員定義安全策略�����,對工業(yè)控制網(wǎng)絡(luò)中的指定事件不予告警���。
6.1.1.2.3 事件合并
產(chǎn)品應(yīng)對高頻度發(fā)生的相同安全事件進(jìn)行合并告警,避免出現(xiàn)告警風(fēng)暴��。
6.1.1.2.4 定制響應(yīng)
產(chǎn)品應(yīng)允許管理員定義安全策略����,對工業(yè)控制網(wǎng)絡(luò)中的事件定制響應(yīng)方式。
6.1.1.3 安全配置管理
6.1.1.3.1 安全策略配置
產(chǎn)品應(yīng)提供安全策略配置功能���。
6.1.1.3.2 工業(yè)控制漏洞知識庫
產(chǎn)品應(yīng)內(nèi)置工業(yè)控制漏洞知識庫,內(nèi)容應(yīng)包括工業(yè)控制協(xié)議漏洞�����、工業(yè)控制應(yīng)用漏洞、操作系統(tǒng)漏洞和工業(yè)控制設(shè)備漏洞�,詳細(xì)的漏洞修補(bǔ)方案和可采取的對策。
以上為標(biāo)準(zhǔn)部分內(nèi)容��,如需看標(biāo)準(zhǔn)全文�����,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版�。
