发布日期:2023-03-23 12:03 浏览次数:
本标准规定了工业控制系统网络审计产品的安全技术要求,包括安全功能要求、自身安全要求和安全保障要求。
本标准适用于工业控制系统网络审计产品的设计、生产和测试。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2423.5-1995 电工电子产品环境试验 第2部分:试验方法 试验Ea和导则:冲击
GB/T 2423.8-1995 电工电子产品环境试验 第2部分:试验方法 试验Ed:自由跌落
GB/T 2423.10-2008 电工电子产品环境试验 第2部分:试验方法 试验Fc:振动(正弦)
GB/T 4208-2017 外壳防护等级(IP代码)
GB 4824-2013 工业、科学和医疗(ISM)射频设备 骚扰特性 限值和测量方法
GB/T 9254-2008 信息技术设备的无线电骚扰限值和测量方法
GB/T 13729-2002 远动终端设备
GB/T 15153.1-1998 远动设备及系统 第2部分:工作条件 第1篇:电源和电磁兼容性
GB/T 17214.4-2005 工业过程测量和控制装置的工作条件 第4部分:腐蚀和侵蚀影响
GB/T 17626.2-2018 电磁兼容 试验和测量技术 静电放电抗扰度试验
GB/T 17626.3-2016 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验
GB/T 17626.4-2018 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验
GB/T 17626.5-2008 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验
GB/T 17626.6-2017 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度
GB/T 17626.8-2006 电磁兼容 试验和测量技术 工频磁场抗扰度试验
GB/T 17626.10-2017 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验
GB/T 17626.11-2008 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度试验
GB/T 17626.12-2013 电磁兼容 试验和测量技术 振铃波抗扰度试验
GB/T 17626.16-2007 电磁兼容 试验和测量技术 0 Hz~150kHz共模传导骚扰抗扰度试验
GB/T 17626.17-2005 电磁兼容 试验和测量技术 直流电源输入端口纹波抗扰度试验
GB/T 17626.18-2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验
GB/T 17626.29-2006 电磁兼容 试验和测量技术 直流电源输入端口电压暂降、短时中断和电压变化的抗扰度试验
GB/T 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法
GB/T 25069-2010 信息安全技术 术语
GB/T 32919-2016 工业控制系统安全控制应用指南
GB/T 20945-2013、GB/T 25069-2010和GB/T32919-2016界定的以及下列术语和定义适用于本文件。
3.1
工业控制协议 industrial control protocol
工业控制系统中,上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。
注:通常包括模拟量和数字量的读写控制。
3.2
工业控制系统网络审计产品 industrial control system network audit products
部署于工业控制网络中,对工业控制系统中的事件进行记录和分析,并针对特定事件采取相应匹配动作的产品。
下列缩略语适用于本文件。
MAC:媒体接入控制(Media Access Control)
SMS:短信服务(Short Message Service)
SNMP:简单网络管理协议(Simple Network Management Protocol)
URL:统一资源定位符(Uniform Resource Locator)
工业控制系统网络审计产品的结构一般分为两种:一种是一体化设备,将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能;另一种是由采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,采取相应的响应措施,并支持采集端分布式部署。该产品典型部署场景参见附录A。
本标准将工业控制系统网络审计产品安全技术要求分为安全功能要求、自身安全要求和安全保障要求三个大类。安全功能要求、自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。若产品全部或部分组件部署在工业控制现场,应根据实际需求满足附录B环境适应性要求。
6.1 基本级安全技术要求
6.1.1 安全功能要求
6.1.1.1 审计数据采集
6.1.1.1.1 采集策略
产品应支持基于策略的数据采集:
a)支持基于网络层要素的数据采集策略:至少包括源目的MAC或源目的IP、传输层协议、目的端口;
b)支持基于工业控制协议的数据采集策略。
6.1.1.1.2 审计数据生成
产品应在实际的系统环境和网络带宽下及时生成审计数据。
6.1.1.2 审计数据还原
6.1.1.2.1 网络层通信协议还原
产品应支持对网络层通信协议的数据进行还原,至少包括源目的MAC、源目的IP、传输层协议、源目的端口、应用层协议。
6.1.1.2.2 应用协议还原
产品应支持对HTTP、FTP、TELNET协议的应用数据还原:
a) HTTP通信:目标URL;
b)FTP通信:使用的账号、输入命令;
c)TELNET通信:使用的账号、输入命令。
6.1.1.2.3 工业控制协议还原
产品应支持对工业控制协议应用数据进行分析和还原,支持至少一种工业控制协议。至少支持:
a)组态变更,包括上传、下载;
b)指令变更,包括写指令及相关参数,如控制点位地址、控制值等。
6.1.1.3 审计事件识别和分析
6.1.1.3.1 基于白名单规则分析
6.1.1.3.1.1 白名单规则定义
产品应支持白名单规则的定义:
a)网络通信白名单:支持基于IP或MAC等要求进行规制定义;
b)工业控制协议通信白名单:支持基于控制命令、控制点位、控制值等要素进行规则定义。
6.1.1.3.1.2 白名单方式识别
产品应支持基于白名单机制对审计信息的识别。
6.1.1.3.2 异常事件识别
产品应支持对以下异常事件的识别:
a)网络中出现IP或MAC白名单之外的设备;
b)工业控制协议通信出现异常的控制命令、控制点位、控制值。
6.1.1.4 审计记录
6.1.1.4.1 记录内容
产品应按照事件的分类和级别,生成包含以下内容的审计记录:
a)事件主体;
b)事件客体;
c)事件发生的日期和时间;
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
