1 范围

      本标准规定了工业控制网络监测产品的安全技术要求和测试评价方法。

      本标准适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提供指导，同时也可为工业控制系统设计、建设和运维方开展工业控制系统安全防护工作提供指导。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2423.5-1995 电工电子产品环境试验 第2部分：试验方法 试验Ea和导则：冲击

      GB/T 2423.8-1995 电工电子产品环境试验 第2部分：试验方法 试验Ed：自由跌落

      GB/T 2423.10-2008 电工电子产品环境试验 第2部分：试验方法 试验Fc：振动（正弦）

      GB/T 4208-2017 外壳防护等级（IP代码）

      GB/T 17214.4-2005 工业过程测量和控制装置的工作条件 第4部分：腐蚀和侵蚀影响

      GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型

      GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

      GB/T 25069-2010 信息安全技术 术语

      GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

3 术语和定义

      GB/T 25069-2010、GB/T 32919-2016和GB/T 18336.1-2015界定的以及下列术语和定义适用于本文件。

3.1

      工业控制系统 industrial control system

      多种工业生产中使用的控制系统。

      注：包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）和其他较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。

3.2

      工业控制网络监测 industrial control netwvork monitoring

      部署于工业控制网络中，以实现针对工业控制网络中网络行为的安全事件监测、审计和管理等功能的技术。

      注1：用于监测和分析工业控制网络中的数据报文，发现违反安全策略的行为、异常操作、工业控制设备被攻击的迹象，或工业生产受到影响的迹象。

      注2：本标准所指“工业控制网络监测”即“工业控制网络监测产品”。工业控制网络监测产品是部署于工业控制网络中，用于实现工业控制网络监测功能的设备产品。

4 缩略语

      下列缩略语适用于本文件。

      DNP 分布式网络协议（Distributed Network Protocol）

      FTP 文件传输协议（File Transfer Protocol）

      HTTP 超文本传输协议（Hypertext Transfer Protocol）

      NTP 网络时间协议（Network Time Protocol）

      OLE 对象连接与嵌入（Object Linking and Embedding）

      OPC 用于过程控制的OLE（OLE for Process Control）

5 产品描述

      工业控制网络监测产品是应用于工业控制环境，通过监视工业控制网络内的数据报文，实时获取数据包进行深度解析，监测工业控制网络中的入侵行为和异常行为，并及时告警的设备。该设备需满足特定工业环境和安全功能要求，可对工业控制网络边界或工业控制网络内部不同控制区域之间进行监测保护，发现非法入侵活动，并根据监测结果实时报警、响应，达到主动发现入侵活动、确保网络安全目的。该设备产品可以硬件或者软件形式实现。

      本标准按照工业控制网络监测产品安全功能要求强度，对工业控制网路监测产品分为基本级和增强级，安全功能强弱和安全保证要求高低是等级划分的具体依据。其中基本级安全功能要求应具备GB/T 22239-2019中第二级安全保护能力，增强级安全功能要求应具备GB/T 22239-2019中第三级安全保护能力。在增强级中新增的要求会通过黑体标识。

      工业控制网络监测安全技术要求的分级及其要求条款见附录A，工业控制网络监测测评方法的分级及其测评项见附录B，工业环境应用要求见附录C。

6 安全技术要求

6.1 安全功能要求

6.1.1 功能要求

6.1.1.1 安全事件监测

6.1.1.1.1 流量监测

      产品应能够具有流量监测的功能，具体满足下述要求：

      a）应能够监视网络内的流量数据包，实时获取数据包用于检测分析，且不影响工控设备正常运行。

      b）应能够监测指定的协议或IP地址的流量数据包，且不影响工控设备正常运行。

6.1.1.1.2 工业控制协议分析

      对于在工业控制网络内获取的数据包，产品应能够分析其承载的工业控制协议报文，满足下述一种要求：

      a) 分析以下（但不限于）通用协议：Modbus/TCP协议、OPC Classic 协议、DNP3.0协议、IEC-60875-5-104协议、SIEMENS S7Comm 协议、PROFINET协议、EtherNet/IP协议；

      b）一种行业专业协议，例如，IEC-61850 MMS协议、IEC-61850 GOOSE协议、IEC-61850 SV协议、轨道交通专业协议等。

6.1.1.1.3 互联网协议分析

      对于在工业控制网络内获取的互联网协议流量，产品应能够分析其承载的数据报文，分析以下（但不限于）互联网协议报文：

      a) HTTP;

      b) FTP;

      c) TELNET;

      d) SNMP。

6.1.1.1.4 攻击行为监测

      产品应能够通过分析、对比等方法，包括但不限于发现以下攻击行为：

      a）工业协议漏洞攻击；

      b）工业控制应用漏洞攻击；

      c）操作系统漏洞攻击；

      d）工业控制设备漏洞攻击；

      e）应能够监测网络中蠕虫病毒、木马等攻击行为的发生，且不影响工控设备正常运行。注：安全漏洞和攻击参见国家信息安全漏洞共享平台发布的信息。

6.1.1.2 安全事件响应

6.1.1.2.1 事件告警

      对于攻击行为或异常行为，产品应按照事件的严重程度将事件分级，采取屏幕实时提示等直观有效的方式传达告警讯息。

6.1.1.2.2 告警过滤

      产品应允许管理员定义安全策略，对工业控制网络中的指定事件不予告警。

6.1.1.2.3 事件合并

      产品应对高频度发生的相同安全事件进行合并告警，避免出现告警风暴。

6.1.1.2.4 定制响应

      产品应允许管理员定义安全策略，对工业控制网络中的事件定制响应方式。

6.1.1.3 安全配置管理

6.1.1.3.1 安全策略配置

      产品应提供安全策略配置功能。

6.1.1.3.2 工业控制漏洞知识库

      产品应内置工业控制漏洞知识库，内容应包括工业控制协议漏洞、工业控制应用漏洞、操作系统漏洞和工业控制设备漏洞，详细的漏洞修补方案和可采取的对策。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37953-2019 信息安全技术 工业控制网络监测安全技术要求及测试评价方法》