1 范圍

      本標(biāo)準(zhǔn)規(guī)定了針對(duì)工業(yè)控制系統(tǒng)的漏洞檢測(cè)產(chǎn)品的技術(shù)要求，包括安全功能要求、自身安全要求和安全保障要求，以及相應(yīng)的測(cè)試評(píng)價(jià)方法。

      本標(biāo)準(zhǔn)適用于工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)和測(cè)評(píng)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      漏洞 vulnerability

      資產(chǎn)中能被威脅所利用的弱點(diǎn)。

3.2

      測(cè)試用例 test case

      為某個(gè)特定目標(biāo)而編制的一組輸入、執(zhí)行條件以及預(yù)期結(jié)果，以核實(shí)是否滿足某個(gè)特定需求。

3.3

      測(cè)試集合 test set

      測(cè)試用例的組合。

3.4

      工業(yè)控制組態(tài)軟件 industrial control configuration software

      在控制系統(tǒng)監(jiān)控層的軟件平臺(tái)和開(kāi)發(fā)環(huán)境，使用靈活的方式為用戶提供快速配置現(xiàn)場(chǎng)系統(tǒng)狀態(tài)的軟件工具。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      DNP：分布式網(wǎng)絡(luò)協(xié)議（Distributed Network Protocol）

      HTML：超文本標(biāo)記語(yǔ)言（Hypertext Markup Language）

      HTTP：超文本傳輸協(xié)議（HyperText Transfer Protocol）

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      OLE：對(duì)象連接與嵌入（Object Linking and Embedding）

      OPC：用于過(guò)程控制的OLE（OLE forProcess Control）

      RTU：遠(yuǎn)程控制終端（Remote Terminal Unit）

      SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      TCP：傳輸控制協(xié)議（Transmission Control Protocol）

      UDP：用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol）

5 產(chǎn)品描述

      工業(yè)控制系統(tǒng)漏洞檢測(cè)的目的是檢查和分析系統(tǒng)的安全脆弱性，發(fā)現(xiàn)可能被入侵者利用的漏洞，并提出防范和補(bǔ)救措施。工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品可以用于離線環(huán)境、工業(yè)控制系統(tǒng)試運(yùn)行期間或工業(yè)系統(tǒng)維修期間，能夠?qū)I(yè)控制系統(tǒng)中的工業(yè)控制設(shè)備、通信設(shè)備、安全保護(hù)設(shè)備以及工業(yè)控制軟件等進(jìn)行自動(dòng)檢測(cè)，發(fā)現(xiàn)存在的漏洞。為防止影響正常生產(chǎn)，不應(yīng)在工業(yè)生產(chǎn)現(xiàn)場(chǎng)使用工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品。

工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品分為基本級(jí)和增強(qiáng)級(jí)。工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品安全技術(shù)要求的分級(jí)及其要求條款見(jiàn)附錄A。工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品測(cè)評(píng)方法的分級(jí)及其測(cè)評(píng)項(xiàng)見(jiàn)附錄B。

6 安全技術(shù)要求

6.1 安全功能要求

6.1.1 工業(yè)控制設(shè)備識(shí)別

      漏洞檢測(cè)產(chǎn)品應(yīng)能自動(dòng)識(shí)別工業(yè)控制設(shè)備。

      漏洞檢測(cè)產(chǎn)品應(yīng)支持手動(dòng)添加工業(yè)控制設(shè)備。

6.1.2 工業(yè)控制設(shè)備端口掃描

      漏洞檢測(cè)產(chǎn)品應(yīng)能掃描所有TCP端口，檢查其是否開(kāi)啟。

      漏洞檢測(cè)產(chǎn)品應(yīng)能掃描所有UDP端口，檢查其是否開(kāi)啟。

      對(duì)于已開(kāi)啟的TCP、UDP端口，漏洞檢測(cè)產(chǎn)品應(yīng)能判斷出與之對(duì)應(yīng)的公開(kāi)的工業(yè)控制通信協(xié)議。

6.1.3 工業(yè)控制設(shè)備通信協(xié)議漏洞檢測(cè)

      漏洞檢測(cè)產(chǎn)品應(yīng)能檢測(cè)使用（包括但不限于）以下通信協(xié)議的工業(yè)控制設(shè)備的已知漏洞：

      a）工業(yè)以太網(wǎng)協(xié)議：Modbus/TCP協(xié)議、OPC協(xié)議、DNP3.0協(xié)議、IEC-60870-5-104協(xié)議、IEC-61850 MMS協(xié)議、Siemens S7Comm 協(xié)議、PROFINET協(xié)議、IEC-61850 GOOSE協(xié)議、IEC-61850 SV協(xié)議、EtherNet/IP協(xié)議；

      b）互聯(lián)網(wǎng)協(xié)議：HTTP協(xié)議、FTP協(xié)議、TELNET協(xié)議、SNMP協(xié)議；

      c) 串口協(xié)議：Modbus RTU協(xié)議、IEC-60870-5-101協(xié)議；

      d）私有協(xié)議（包括行業(yè)專業(yè)協(xié)議）。

6.1.4 工業(yè)控制組態(tài)軟件漏洞檢測(cè)

      漏洞檢測(cè)產(chǎn)品應(yīng)能檢測(cè)工業(yè)控制組態(tài)軟件的已知漏洞。

6.1.5 工業(yè)控制設(shè)備操作系統(tǒng)檢測(cè)

      漏洞檢測(cè)產(chǎn)品應(yīng)能檢測(cè)工業(yè)控制設(shè)備操作系統(tǒng)的安全問(wèn)題，檢測(cè)項(xiàng)目應(yīng)包括但不限于以下內(nèi)容：

      a）操作系統(tǒng)類型和版本號(hào)識(shí)別；

      b）操作系統(tǒng)登錄弱口令檢測(cè)；

      c）操作系統(tǒng)已知安全漏洞檢測(cè)。

6.1.6 工業(yè)控制數(shù)據(jù)庫(kù)漏洞檢測(cè)

      漏洞檢測(cè)產(chǎn)品應(yīng)能檢測(cè)工業(yè)控制數(shù)據(jù)庫(kù)的已知漏洞。

6.1.7 工業(yè)控制網(wǎng)絡(luò)通信設(shè)備漏洞檢測(cè)

      漏洞檢測(cè)產(chǎn)品應(yīng)能檢測(cè)工業(yè)控制網(wǎng)絡(luò)通信設(shè)備（例如，工業(yè)交換機(jī)等）的已知漏洞。

6.1.8 檢測(cè)結(jié)果處理要求

      漏洞檢測(cè)產(chǎn)品應(yīng)能滿足以下要求：

      a）漏洞檢測(cè)產(chǎn)品應(yīng)能實(shí)時(shí)查看檢測(cè)進(jìn)度。

      b）漏洞檢測(cè)產(chǎn)品應(yīng)能實(shí)時(shí)查看測(cè)試用例的執(zhí)行方法和每一方法的結(jié)果。

      c）漏洞檢測(cè)產(chǎn)品應(yīng)能監(jiān)測(cè)工業(yè)控制設(shè)備的實(shí)時(shí)響應(yīng)。

      d）檢測(cè)任務(wù)應(yīng)能隨時(shí)暫停或者終止。

      e）漏洞檢測(cè)產(chǎn)品應(yīng)能保存檢測(cè)結(jié)果。

      f）漏洞檢測(cè)產(chǎn)品應(yīng)能記錄并追溯導(dǎo)致工業(yè)控制設(shè)備異常的數(shù)據(jù)報(bào)文。

      g）漏洞檢測(cè)產(chǎn)品應(yīng)能根據(jù)檢測(cè)結(jié)果自動(dòng)生成檢測(cè)報(bào)告。檢測(cè)報(bào)告應(yīng)包括但不限于以下內(nèi)容：

      1）工業(yè)控制設(shè)備的信息列表，包括設(shè)備類型、固件版本、操作系統(tǒng)版本等；

      2）漏洞的名稱、漏洞編號(hào)、發(fā)布日期等；

      3）潛在的漏洞；

      4）被測(cè)設(shè)備的危險(xiǎn)等級(jí)評(píng)估，明確標(biāo)出掃描出的漏洞的危險(xiǎn)等級(jí)。

      h）檢測(cè)報(bào)告應(yīng)以通用文檔格式（例如，WPS、DOC、TXT、RTF、PDF、HTML等）輸出。

      i）測(cè)試過(guò)程異常終止時(shí)，漏洞檢測(cè)產(chǎn)品應(yīng)能生成已檢測(cè)部分的報(bào)告，并說(shuō)明測(cè)試過(guò)程異常終止。注：被測(cè)設(shè)備的危險(xiǎn)等級(jí)取決于掃描脆弱點(diǎn)的最高危險(xiǎn)等級(jí)。危險(xiǎn)等級(jí)的定義參見(jiàn)GB/T 30279-2013中4.2。

6.1.9 管理控制功能要求

      漏洞檢測(cè)產(chǎn)品應(yīng)能滿足以下要求：

      a）漏洞檢測(cè)產(chǎn)品應(yīng)能針對(duì)不同的工業(yè)控制設(shè)備和系統(tǒng)設(shè)置相應(yīng)的檢測(cè)參數(shù)（例如，掃描地址范圍、端口范圍、漏洞類型、測(cè)試報(bào)文、測(cè)試次數(shù)、測(cè)試時(shí)間間隔等）。

      b）漏洞檢測(cè)產(chǎn)品應(yīng)支持以下測(cè)試方式：

      1）依據(jù)工業(yè)控制通信協(xié)議將測(cè)試用例進(jìn)行歸類；

      2）支持測(cè)試用例隨機(jī)組合；

      3）支持測(cè)試集合隨機(jī)組合；

      4）支持用戶編寫(xiě)測(cè)試用例；

      5）根據(jù)設(shè)備類型向用戶推薦某類或某幾類測(cè)試用例。

      c）漏洞檢測(cè)產(chǎn)品應(yīng)內(nèi)置工業(yè)控制設(shè)備信息庫(kù)并允許更新。

      d）漏洞檢測(cè)產(chǎn)品應(yīng)內(nèi)置漏洞庫(kù)。

      e）漏洞檢測(cè)產(chǎn)品應(yīng)能通過(guò)產(chǎn)品升級(jí)等方式更新漏洞庫(kù)，添加新發(fā)現(xiàn)的安全漏洞。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。