1 范围

      本标准规定了针对工业控制系统的漏洞检测产品的技术要求，包括安全功能要求、自身安全要求和安全保障要求，以及相应的测试评价方法。

      本标准适用于工业控制系统漏洞检测产品的设计、开发和测评。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 25069-2010 信息安全技术 术语

3 术语和定义

      GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      漏洞 vulnerability

      资产中能被威胁所利用的弱点。

3.2

      测试用例 test case

      为某个特定目标而编制的一组输入、执行条件以及预期结果，以核实是否满足某个特定需求。

3.3

      测试集合 test set

      测试用例的组合。

3.4

      工业控制组态软件 industrial control configuration software

      在控制系统监控层的软件平台和开发环境，使用灵活的方式为用户提供快速配置现场系统状态的软件工具。

4 缩略语

      下列缩略语适用于本文件。

      DNP：分布式网络协议（Distributed Network Protocol）

      HTML：超文本标记语言（Hypertext Markup Language）

      HTTP：超文本传输协议（HyperText Transfer Protocol）

      FTP：文件传输协议（File Transfer Protocol）

      IP：互联网协议（Internet Protocol）

      OLE：对象连接与嵌入（Object Linking and Embedding）

      OPC：用于过程控制的OLE（OLE forProcess Control）

      RTU：远程控制终端（Remote Terminal Unit）

      SNMP：简单网络管理协议（Simple Network Management Protocol）

      TCP：传输控制协议（Transmission Control Protocol）

      UDP：用户数据报协议（User Datagram Protocol）

5 产品描述

      工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性，发现可能被入侵者利用的漏洞，并提出防范和补救措施。工业控制系统漏洞检测产品可以用于离线环境、工业控制系统试运行期间或工业系统维修期间，能够对工业控制系统中的工业控制设备、通信设备、安全保护设备以及工业控制软件等进行自动检测，发现存在的漏洞。为防止影响正常生产，不应在工业生产现场使用工业控制系统漏洞检测产品。

工业控制系统漏洞检测产品分为基本级和增强级。工业控制系统漏洞检测产品安全技术要求的分级及其要求条款见附录A。工业控制系统漏洞检测产品测评方法的分级及其测评项见附录B。

6 安全技术要求

6.1 安全功能要求

6.1.1 工业控制设备识别

      漏洞检测产品应能自动识别工业控制设备。

      漏洞检测产品应支持手动添加工业控制设备。

6.1.2 工业控制设备端口扫描

      漏洞检测产品应能扫描所有TCP端口，检查其是否开启。

      漏洞检测产品应能扫描所有UDP端口，检查其是否开启。

      对于已开启的TCP、UDP端口，漏洞检测产品应能判断出与之对应的公开的工业控制通信协议。

6.1.3 工业控制设备通信协议漏洞检测

      漏洞检测产品应能检测使用（包括但不限于）以下通信协议的工业控制设备的已知漏洞：

      a）工业以太网协议：Modbus/TCP协议、OPC协议、DNP3.0协议、IEC-60870-5-104协议、IEC-61850 MMS协议、Siemens S7Comm 协议、PROFINET协议、IEC-61850 GOOSE协议、IEC-61850 SV协议、EtherNet/IP协议；

      b）互联网协议：HTTP协议、FTP协议、TELNET协议、SNMP协议；

      c) 串口协议：Modbus RTU协议、IEC-60870-5-101协议；

      d）私有协议（包括行业专业协议）。

6.1.4 工业控制组态软件漏洞检测

      漏洞检测产品应能检测工业控制组态软件的已知漏洞。

6.1.5 工业控制设备操作系统检测

      漏洞检测产品应能检测工业控制设备操作系统的安全问题，检测项目应包括但不限于以下内容：

      a）操作系统类型和版本号识别；

      b）操作系统登录弱口令检测；

      c）操作系统已知安全漏洞检测。

6.1.6 工业控制数据库漏洞检测

      漏洞检测产品应能检测工业控制数据库的已知漏洞。

6.1.7 工业控制网络通信设备漏洞检测

      漏洞检测产品应能检测工业控制网络通信设备（例如，工业交换机等）的已知漏洞。

6.1.8 检测结果处理要求

      漏洞检测产品应能满足以下要求：

      a）漏洞检测产品应能实时查看检测进度。

      b）漏洞检测产品应能实时查看测试用例的执行方法和每一方法的结果。

      c）漏洞检测产品应能监测工业控制设备的实时响应。

      d）检测任务应能随时暂停或者终止。

      e）漏洞检测产品应能保存检测结果。

      f）漏洞检测产品应能记录并追溯导致工业控制设备异常的数据报文。

      g）漏洞检测产品应能根据检测结果自动生成检测报告。检测报告应包括但不限于以下内容：

      1）工业控制设备的信息列表，包括设备类型、固件版本、操作系统版本等；

      2）漏洞的名称、漏洞编号、发布日期等；

      3）潜在的漏洞；

      4）被测设备的危险等级评估，明确标出扫描出的漏洞的危险等级。

      h）检测报告应以通用文档格式（例如，WPS、DOC、TXT、RTF、PDF、HTML等）输出。

      i）测试过程异常终止时，漏洞检测产品应能生成已检测部分的报告，并说明测试过程异常终止。注：被测设备的危险等级取决于扫描脆弱点的最高危险等级。危险等级的定义参见GB/T 30279-2013中4.2。

6.1.9 管理控制功能要求

      漏洞检测产品应能满足以下要求：

      a）漏洞检测产品应能针对不同的工业控制设备和系统设置相应的检测参数（例如，扫描地址范围、端口范围、漏洞类型、测试报文、测试次数、测试时间间隔等）。

      b）漏洞检测产品应支持以下测试方式：

      1）依据工业控制通信协议将测试用例进行归类；

      2）支持测试用例随机组合；

      3）支持测试集合随机组合；

      4）支持用户编写测试用例；

      5）根据设备类型向用户推荐某类或某几类测试用例。

      c）漏洞检测产品应内置工业控制设备信息库并允许更新。

      d）漏洞检测产品应内置漏洞库。

      e）漏洞检测产品应能通过产品升级等方式更新漏洞库，添加新发现的安全漏洞。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37954-2019 信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》