1 范圍

      本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的安全技術(shù)要求，包括安全功能要求、自身安全要求和安全保障要求。

      本標(biāo)準(zhǔn)適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和測試。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ea和導(dǎo)則：沖擊

      GB/T 2423.8-1995 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Ed：自由跌落

      GB/T 2423.10-2008 電工電子產(chǎn)品環(huán)境試驗(yàn) 第2部分：試驗(yàn)方法 試驗(yàn)Fc：振動(dòng)（正弦）

      GB/T 4208-2017 外殼防護(hù)等級(jí)（IP代碼）

      GB 4824-2013 工業(yè)、科學(xué)和醫(yī)療（ISM）射頻設(shè)備 騷擾特性 限值和測量方法

      GB/T 9254-2008 信息技術(shù)設(shè)備的無線電騷擾限值和測量方法

      GB/T 13729-2002 遠(yuǎn)動(dòng)終端設(shè)備

      GB/T 15153.1-1998 遠(yuǎn)動(dòng)設(shè)備及系統(tǒng) 第2部分：工作條件 第1篇：電源和電磁兼容性

      GB/T 17214.4-2005 工業(yè)過程測量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 17626.2-2018 電磁兼容 試驗(yàn)和測量技術(shù) 靜電放電抗擾度試驗(yàn)

      GB/T 17626.3-2016 電磁兼容 試驗(yàn)和測量技術(shù) 射頻電磁場輻射抗擾度試驗(yàn)

      GB/T 17626.4-2018 電磁兼容 試驗(yàn)和測量技術(shù) 電快速瞬變脈沖群抗擾度試驗(yàn)

      GB/T 17626.5-2008 電磁兼容 試驗(yàn)和測量技術(shù) 浪涌（沖擊）抗擾度試驗(yàn)

      GB/T 17626.6-2017 電磁兼容 試驗(yàn)和測量技術(shù) 射頻場感應(yīng)的傳導(dǎo)騷擾抗擾度

      GB/T 17626.8-2006 電磁兼容 試驗(yàn)和測量技術(shù) 工頻磁場抗擾度試驗(yàn)

      GB/T 17626.10-2017 電磁兼容 試驗(yàn)和測量技術(shù) 阻尼振蕩磁場抗擾度試驗(yàn)

      GB/T 17626.11-2008 電磁兼容 試驗(yàn)和測量技術(shù) 電壓暫降、短時(shí)中斷和電壓變化的抗擾度試驗(yàn)

      GB/T 17626.12-2013 電磁兼容 試驗(yàn)和測量技術(shù) 振鈴波抗擾度試驗(yàn)

      GB/T 17626.16-2007 電磁兼容 試驗(yàn)和測量技術(shù) 0 Hz～150kHz共模傳導(dǎo)騷擾抗擾度試驗(yàn)

      GB/T 17626.17-2005 電磁兼容 試驗(yàn)和測量技術(shù) 直流電源輸入端口紋波抗擾度試驗(yàn)

      GB/T 17626.18-2016 電磁兼容 試驗(yàn)和測量技術(shù) 阻尼振蕩波抗擾度試驗(yàn)

      GB/T 17626.29-2006 電磁兼容 試驗(yàn)和測量技術(shù) 直流電源輸入端口電壓暫降、短時(shí)中斷和電壓變化的抗擾度試驗(yàn)

      GB/T 20945-2013 信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測試評(píng)價(jià)方法

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 32919-2016 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB/T 20945-2013、GB/T 25069-2010和GB/T32919-2016界定的以及下列術(shù)語和定義適用于本文件。

3.1

      工業(yè)控制協(xié)議 industrial control protocol

      工業(yè)控制系統(tǒng)中，上位機(jī)與控制設(shè)備之間以及控制設(shè)備與控制設(shè)備之間的通信報(bào)文規(guī)約。

      注：通常包括模擬量和數(shù)字量的讀寫控制。

3.2

      工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品 industrial control system network audit products

      部署于工業(yè)控制網(wǎng)絡(luò)中，對(duì)工業(yè)控制系統(tǒng)中的事件進(jìn)行記錄和分析，并針對(duì)特定事件采取相應(yīng)匹配動(dòng)作的產(chǎn)品。

4 縮略語

      下列縮略語適用于本文件。

      MAC：媒體接入控制（Media Access Control）

      SMS：短信服務(wù)（Short Message Service）

      SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      URL：統(tǒng)一資源定位符（Uniform Resource Locator）

5 產(chǎn)品描述

      工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的結(jié)構(gòu)一般分為兩種：一種是一體化設(shè)備，將數(shù)據(jù)采集和分析功能集中在一臺(tái)硬件中，統(tǒng)一完成審計(jì)分析功能；另一種是由采集端和分析端兩部分組成，采集端主要提供數(shù)據(jù)采集的功能，將采集到的網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給分析端，由分析端進(jìn)一步處理和分析，采取相應(yīng)的響應(yīng)措施，并支持采集端分布式部署。該產(chǎn)品典型部署場景參見附錄A。

      本標(biāo)準(zhǔn)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求三個(gè)大類。安全功能要求、自身安全要求和安全保障要求分為基本級(jí)和增強(qiáng)級(jí)，與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。若產(chǎn)品全部或部分組件部署在工業(yè)控制現(xiàn)場，應(yīng)根據(jù)實(shí)際需求滿足附錄B環(huán)境適應(yīng)性要求。

6 安全技術(shù)要求

6.1 基本級(jí)安全技術(shù)要求

6.1.1 安全功能要求

6.1.1.1 審計(jì)數(shù)據(jù)采集

6.1.1.1.1 采集策略

      產(chǎn)品應(yīng)支持基于策略的數(shù)據(jù)采集：

      a）支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略：至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的端口；

      b）支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略。

6.1.1.1.2 審計(jì)數(shù)據(jù)生成

      產(chǎn)品應(yīng)在實(shí)際的系統(tǒng)環(huán)境和網(wǎng)絡(luò)帶寬下及時(shí)生成審計(jì)數(shù)據(jù)。

6.1.1.2 審計(jì)數(shù)據(jù)還原

6.1.1.2.1 網(wǎng)絡(luò)層通信協(xié)議還原

      產(chǎn)品應(yīng)支持對(duì)網(wǎng)絡(luò)層通信協(xié)議的數(shù)據(jù)進(jìn)行還原，至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源目的端口、應(yīng)用層協(xié)議。

6.1.1.2.2 應(yīng)用協(xié)議還原

      產(chǎn)品應(yīng)支持對(duì)HTTP、FTP、TELNET協(xié)議的應(yīng)用數(shù)據(jù)還原：

      a） HTTP通信：目標(biāo)URL；

      b）FTP通信：使用的賬號(hào)、輸入命令；

      c）TELNET通信：使用的賬號(hào)、輸入命令。

6.1.1.2.3 工業(yè)控制協(xié)議還原

      產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進(jìn)行分析和還原，支持至少一種工業(yè)控制協(xié)議。至少支持：

      a）組態(tài)變更，包括上傳、下載；

      b）指令變更，包括寫指令及相關(guān)參數(shù)，如控制點(diǎn)位地址、控制值等。

6.1.1.3 審計(jì)事件識(shí)別和分析

6.1.1.3.1 基于白名單規(guī)則分析

6.1.1.3.1.1 白名單規(guī)則定義

      產(chǎn)品應(yīng)支持白名單規(guī)則的定義：

      a）網(wǎng)絡(luò)通信白名單：支持基于IP或MAC等要求進(jìn)行規(guī)制定義；

      b）工業(yè)控制協(xié)議通信白名單：支持基于控制命令、控制點(diǎn)位、控制值等要素進(jìn)行規(guī)則定義。

6.1.1.3.1.2 白名單方式識(shí)別

      產(chǎn)品應(yīng)支持基于白名單機(jī)制對(duì)審計(jì)信息的識(shí)別。

6.1.1.3.2 異常事件識(shí)別

      產(chǎn)品應(yīng)支持對(duì)以下異常事件的識(shí)別：

      a）網(wǎng)絡(luò)中出現(xiàn)IP或MAC白名單之外的設(shè)備；

      b）工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點(diǎn)位、控制值。

6.1.1.4 審計(jì)記錄

6.1.1.4.1 記錄內(nèi)容

      產(chǎn)品應(yīng)按照事件的分類和級(jí)別，生成包含以下內(nèi)容的審計(jì)記錄：

      a）事件主體；

      b）事件客體；

      c）事件發(fā)生的日期和時(shí)間；

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。