GB/T 37953-2019 信息安全技术 工业控制网络监测安全技术要求及测试评价方法

ICS35.040

L80

中华人民共和国国家标准

/—

GBT379532019

信息安全技术工业控制网络监测

安全技术要求及测试评价方法

—

InformationsecurittechnoloSecuritreuirementsandevaluationaroaches

ygyyqpp

forindustrialcontrolnetworkmonitor

2019-08-30发布2020-03-01实施

国家市场监督管理总局

发布

中国国家标准化管理委员会

/—

GBT379532019

目次

前言…………………………Ⅰ

引言…………………………Ⅱ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5产品描述…………………2

6安全技术要求……………2

6.1安全功能要求………………………2

6.2安全保障要求………………………7

7测评方法…………………11

7.1安全功能测评方法…………………11

7.2安全保障测评方法…………………22

()………

附录规范性附录工业控制网络监测安全技术要求的分级及其要求条款

A29

()………………

附录规范性附录工业控制网络监测测评方法的分级及其测评项

B32

()………………

附录规范性附录工业环境应用要求

C35

参考文献……………………39

/—

GBT379532019

前言

本标准按照/—给出的规则起草。

GBT1.12009

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

本标准由全国信息安全标准化技术委员会(/)提出并归口。

SACTC260

:、、

本标准起草单位中国电子技术标准化研究院中国科学院沈阳自动化研究所深圳赛西信息技术

、、、、

有限公司北京工业大学公安部第三研究所浙江浙能台州第二发电有限责任公司中国信息安全测评

、、、、、

中心上海三零卫士信息安全有限公司上海交通大学国家信息技术安全研究中心和利时集团北京

、()、

启明星辰信息安全技术有限公司烽台科技北京有限公司国网浙江省电力有限公司电力科学研究

、、、()

院华大半导体有限公司中国电力工程顾问集团西南电力设计院有限公司中国平安保险集团股份

、。

有限公司北京匡恩网络科技有限责任公司

:、、、、、、、、、、

本标准主要起草人范科峰周睿康姚相振李琳刘贤刚龚洁中张大江尚文利赖英旭顾健

、、、、、、、、、、、、、、

陆臻邹春明夏克晁朱青国谢丰邸丽清戴忠华赵剑明仵大奎谷大武夏正敏李冰王弢孟雅辉

、、、、、、。

龚亮华魏钦志罗志浩兰天张晋宾于惊涛毕思文

Ⅰ

/—

GBT379532019

引言

,

随着工业化与信息化的深度融合来自信息网络的安全威胁正逐步对工业控制系统造成极大的安

,,

全威胁通用网络监测产品在面对工业控制系统的安全防护时显得力不从心因此需要一种能应用于工

业控制环境的网络监测产品对工业控制系统进行安全防护。

应用于工业控制环境的网络监测产品与通用网络监测产品的主要差异体现在:

———。

通用网络监测产品主要针对互联网通用协议进行分析和响应应用于工业控制环境的网络监

,,

测产品除了能够分析部分互联网通用协议外还具有对工业控制协议的深度解析能力而无需

对工业控制系统中不会使用的通用协议进行分析。

———,

应用于工业控制环境的网络监测产品可能有部分组件需部署在工业现场环境因此比通用网

络监测产品具有更高的环境适应能力。

———、、

应用于工业控制环境的网络监测产品比通用网络监测产品具有更高的可用性可靠性稳

定性。

Ⅱ

/—

GBT379532019

信息安全技术工业控制网络监测

安全技术要求及测试评价方法

1范围

本标准规定了工业控制网络监测产品的安全技术要求和测试评价方法。

、,

本标准适用于工业控制网络监测产品的设计生产方对其设计开发及测评等提供指导同时也可为

、。

工业控制系统设计建设和运维方开展工业控制系统安全防护工作提供指导

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/—::

电工电子产品环境试验第部分试验方法试验和导则冲击

GBT2423.519952Ea

/—::

电工电子产品环境试验第部分试验方法试验自由跌落

GBT2423.819952Ed

/—::()

电工电子产品环境试验第部分试验方法试验振动正弦

GBT2423.1020082Fc

/—()

外壳防护等级代码

GBT42082017IP

/—:

工业过程测量和控制装置的工作条件第部分腐蚀和侵蚀影响

GBT17214.420054

/—:

信息技术安全技术信息技术安全评估准则第部分简介和一般

GBT18336.120151

模型

/—信息安全技术网络安全等级保护基本要求

GBT222392019

/—信息安全技术术语

GBT250692010

/—信息安全技术工业控制系统安全控制应用指南

GBT329192016

3术语和定义

/—、/—和/—界定的以及下列术语和定义适

GBT250692010GBT329192016GBT18336.12015

用于本文件。

3.1

工业控制系统industrialcontrolsstem

y

多种工业生产中使用的控制系统。

:()、(),

注包括监控和数据采集系统SCADA分布式控制系统DCS和其他较小的控制系统如可编程逻辑控制器

(),。

PLC现已广泛应用在工业部门和关键基础设施中

3.2

工业控制网络监测industrialcontrolnetworkmonitoring

,、

部署于工业控制网络中以实现针对工业控制网络中网络行为的安全事件监测审计和管理等功能

的技术。

:,、、

注用于监测和分析工业控制网络中的数据报文发现违反安全策略的行为异常操作工业控制设备被攻击的迹

1

,。

象或工业生产受到影响的迹象

:“”“”。

注本标准所指工业控制网络监测即工业控制网络监测产品工业控制网络监测产品是部署于工业控制网

2

,。

络中用于实现工业控制网络监测功能的设备产品

1

/—

GBT379532019

4缩略语

下列缩略语适用于本文件。

分布式网络协议()

DNPDistributedNetworkProtocol

文件传输协议()

FTPFileTransferProtocol

超文本传输协议()

HTTPHertextTransferProtocol

yp

网络时间协议()

NTPNetworkTimeProtocol

对象连接与嵌入()

OLEObectLinkinandEmbeddin

jgg

用于过程控制的()

OPCOLEOLEforProcessControl

5产品描述

,,

工业控制网络监测产品是应用于工业控制环境通过监视工业控制网络内的数据报文实时获取数

,,。

据包进行深度解析监测工业控制网络中的入侵行为和异常行为并及时告警的设备该设备需满足特

,

定工业环境和安全功能要求可对工业控制网络边界或工业控制网络内部不同控制区域之间进行监测

,,、,、

保护发现非法入侵活动并根据监测结果实时报警响应达到主动发现入侵活动确保网络安全目

。。

的该设备产品可以硬件或者软件形式实现

,

本标准按照工业控制网络监测产品安全功能要求强度对工业控制网路监测产品分为基本级和增

,。

强级安全功能强弱和安全保证要求高低是等级划分的具体依据其中基本级安全功能要求应具备

/—,/—

GBT222392019中第二级安全保护能力增强级安全功能要求应具备GBT222392019中第三级

。。

安全保护能力在增强级中新增的要求会通过黑体标识

,

工业控制网络监测安全技术要求的分级及其要求条款见附录工业控制网络监测测评方法的分

A

,。

级及其测评项见附录工业环境应用要求见附录

BC

6安全技术要求

6.1安全功能要求

6.1.1功能要求

安全事件监测

.1流量监测

,:

产品应能够具有流量监测的功能具体满足下述要求

),,

a应能够监视网络内的流量数据包实时获取数据包用于检测分析且不影响工控设备正常

运行。

),。

应能够监测指定的协议或地址的流量数据包且不影响工控设备正常运行

bIP

.2工业控制协议分析

,,

对于在工业控制网络内获取的数据包产品应能够分析其承载的工业控制协议报文满足下述一种

要求:

)():/、、、

a分析以下但不限于通用协议ModbusTCP协议OPCClassic协议DNP3.0协议

协议、协议、协议、/协议;

IEC-60875-5-104SIEMENSS7CommPROFINETEtherNetIP

2

/—

GBT379532019

),,、、

b一种行业专业协议例如IEC-61850MMS协议IEC-61850GOOSE协议IEC-61850SV协

、。

议轨道交通专业协议等

.3互联网协议分析

,,(

对于在工业控制网络内获取的互联网协议流量产品应能够分析其承载的数据报文分析以下但

):

不限于互联网协议报文

);

aHTTP

);

bFTP

);

cTELNET

)。

dSNMP

.4攻击行为监测

、,:

产品应能够通过分析对比等方法包括但不限于发现以下攻击行为

)工业协议漏洞攻击;

a

b)工业控制应用漏洞攻击;

)操作系统漏洞攻击;

c

d)工业控制设备漏洞攻击;

)、,。

e应能够监测网络中蠕虫病毒木马等攻击行为的发生且不影响工控设备正常运行

:。

注安全漏洞和攻击参见国家信息安全漏洞共享平台发布的信息

安全事件响应

.1事件告警

,,

对于攻击行为或异常行为产品应按照事件的严重程度将事件分级采取屏幕实时提示等直观有效

的方式传达告警讯息。

.2告警过滤

,。

产品应允许管理员定义安全策略对工业控制网络中的指定事件不予告警

.3事件合并

,。

产品应对高频度发生的相同安全事件进行合并告警避免出现告警风暴

.4定制响应

,。

产品应允许管理员定义安全策略对工业控制网络中的事件定制响应方式

安全配置管理

.1安全策略配置

产品应提供安全策略配置功能。

.2工业控制漏洞知识库

,、、

产品应内置工业控制漏洞知识库内容应包括工业控制协议漏洞工业控制应用漏洞操作系统漏

,。

洞和工业控制设备漏洞详细的漏洞修补方案和可采取的对策

3

/—

GBT379532019

.3工业控制检测特征库

,。

产品应内置工业控制检测特征库详细的修补方案和可采取的对策

.4工业控制协议端口设定

,

除支持基于默认端口的工业控制网络协议解析外产品应能对现有工业控制协议和扩展工业控制

协议的端口进行重新设定。

.5自定义攻击事件

,、。

产品应允许管理员对攻击事件进行自定义自定义的内容应包括攻击目标攻击特征和事件等级

.6工业控制协议扩展

,。

除支持默认的工业控制网络协议外产品应支持添加新的工业控制协议

产品功能管理

.1界面管理

。

产品应提供友好的管理员界面用于管理和配置管理配置界面应包含配置和管理产品所需的所有

功能。

.2硬件管理

.2.1分布式部署和集中管理

产品应具有分布式部署的能力。

,。

产品应设置集中管理平台对同一系列不同型号监测设备进行统一管理

.2.2端口分离

,。

监测设备应配备不同的物理端口分别用于配置管理和网络数据监听

.2.3产品自检

,,、

产品在启动和正常工作时应具备运行状态自检机制包括硬件工作状态监测组件连接状态监测

,。

等以验证产品自身状态是否正常

.2.4时钟同步

产品应提供与外部的时钟服务器进行时钟同步的功能。

.2.5时钟设置

,。

产品应提供手动设置时钟的功能以便在没有外部时钟服务器时设置正确时间

.2.6电源冗余

产品应提供电源冗余功能。

.2.7掉电物理导通

,。

串联部署时产品应能够在突发掉电的情况下自动实现每一对输入输出通信端口的物理导通

4

/—

GBT379532019

.2.8硬件故障处理

,。

产品应能够监测自身硬件是否工作正常并在出现故障时及时向管理员告警

.3配置信息恢复

,。

替换监测设备后产品应能够通过本地或远程进行配置信息恢复

.4数据存储空间管理

,。

在存储器空间将耗尽时产品应自动产生告警触发告警的剩余存储空间限值应由管理员自主设

。(,、

定产品应采取措施保证已存储的事件记录可用和后续事件记录的存储例如转存已有事件记录仅

)。。

记录重要的事件数据等产品应允许用户设定在空间耗尽时的处理策略

.5升级管理

.5.1库升级

产品应具有本地和远程升级工业控制漏洞知识库和工业控制检测特征库的功能。

产品应具有通过控制台或管理平台对监测设备的工业控制漏洞知识库和工业控制检测特征库进行

统一升级的功能。

.5.2产品升级

产品应具有通过本地和远程进行升级的功能。

.5.3产品统一升级

产品应具有通过控制台或管理平台对监测设备进行统一升级的功能。

.5.4升级包校验

,,

产品应确保事件库和产品升级时的安全应具有升级包校验机制防止得到错误的或伪造的升级

。。

包升级过程须进行双向身份鉴别

.6用户管理

.6.1标识管理

,,、、

产品应支持权限划分为每一使用者设置安全属性信息包括标识鉴别数据授权信息或管理组信

、。

息其他安全属性等

.6.2超时设置

。,

产品应具有使用者登录超时重新鉴别功能在安全策略设定的时间段内没有任何操作的情况下

,。

锁定或终止会话需要再次进行身份鉴别才能够重新登录

.6.3控制台鉴别

产品应在使用者通过控制台对监测设备执行任何与安全功能相关的操作之前对控制台进行鉴别。

.6.4会话锁定

,。

产品应允许使用者锁定当前的交互会话锁定后需要再次进行身份鉴别才能够重新登录

5

/—

GBT379532019

.6.5鉴别数据保护

产品应保护鉴别数据不被未授权查阅和修改。

通信安全

.1通信保密性

,。

产品若由多个组件构成应保证各组件之间通信的保密性

.2通信完整性

,。,

产品若由多个组件构成应保证各组件之间通信的完整性如果数据的完整性被破坏产品应确保

及时发现并通知管理员。

6.1.2自身安全要求

用户管理与鉴别

.1用户管理

,、、、。

产品应支持用户管理包括添加删除激活禁止用户

、。

产品应为每个用户设定标识权限等安全属性

.2用户鉴别

产品应在用户登录时进行鉴别。

.3鉴别失败处理

,。

当用户鉴别尝试失败连续达到指定次数后产品应阻止用户进一步的鉴别请求

.4超时设置

产品应具有登录超时锁定或注销功能。

.5远程管理

,,

若产品的控制台提供远程管理功能应能对可远程管理的主机地址进行身份鉴别和访问控制并保

证传输数据的保密性和完整性。

产品升级

.1升级功能

()。

产品应具有升级的功能包括修复自身缺陷等

.2升级包校验

,。

产品应具有升级包校验机制防止得到错误的或伪造的升级包

日志管理

.1安全日志生成

,:

产品应对相关安全事件生成安全日志包括但不限于

6

/—

GBT379532019

)、;

a登录成功和退出登录失败

b)重启;

)鉴别连续尝试不成功的次数超出了设定的限值;

c

)、;

d增加删除管理员角色和对管理员角色的属性进行修改的操作

)升级;

e

)监测操作。

f

、、、、。

每一条安全日志应包括事件发生的日期时间用户标识事件类型事件描述和结果若采用远程

登录方式对产品进行管理还应记录管理主机的地址。

.2安全日志管理

产品应提供下列安全日志管理功能:

)只允许授权管理员访问安全日志;

a

b)提供对安全日志的查询功能;

)授权管理员应能保存或删除安全日志;

c

)(,)。

d安全日志应能够以通用格式例如Excel导出

策略安全管理

、、、。

产品应对监测策略的创建修改删除应用提供访问控制等安全措施

时钟同步

产品及组件应支持时间同步功能:

),;

a若由多个组件组成各组件应支持与中心监测组件进行时间同步

b)中心监测组件应支持与外部时间服务器进行时间同步。

敏感信息保护

,,,

定制监测策略时一些敏感信息可能被涉及应采取相应措施来保证敏感信息的保密性和完整性

,。

例如对用户口令进行加密存储

产品应只允许具有权限的用户读取监测数据。

6.2安全保障要求

6.2.1产品配置管理

配置管理能力

.1版本号

开发者应为产品的不同版本提供唯一的标识。

.2配置项

工业控制系统网络监测产品应满足以下要求:

)开发者应使用配置管理系统并提供配置管理文档。

a

),

b配置管理文档应包括一个配置清单配置清单应唯一标识组成产品的所有配置项并对配置项

,,

进行描述还应描述对配置项给出唯一标识的方法并提供所有的配置项得到有效维护的

证据。

7

/—

GBT379532019

.3授权控制

工业控制系统网络监测产品应满足以下要求:

),

a开发者提供的配置管理文档应包括一个配置管理计划配置管理计划应描述如何使用配置管

。。

理系统实施的配置管理应与配置管理计划相一致

),。

b开发者应提供所有的配置项得到有效地维护的证据并应保证只有经过授权才能修改配置项

配置管理覆盖

工业控制系统网络监测产品应满足以下要求:

)、、、、,

a配置管理范围至少应包括产品实现表示设计文档测试文档指导性文档配置管理文档从

而确保它们的修改是在一个正确授权的可控方式下进行的。

),。

b配置管理文档至少应能跟踪上述内容并描述配置管理系统是如何跟踪这些配置项的

6.2.2交付与运行

交付程序

工业控制系统网络监测产品在交付时应满足以下要求:

),。

a开发者应使用一定的交付程序交付产品并将交付过程文档化

),。

b交付文档应描述在给用户方交付产品的各版本时为维护安全所必需的所有程序

、

安装生成和启动程序

、,

开发者应提供文档说明产品的安装生成和启动的过程并对产品的现场调试运行提供详细的

说明。

6.2.3开发

描述性高层设计

,:

开发者应提供产品安全功能的高层设计高层设计应满足以下要求

)按子系统描述安全功能的结构;

a

b)描述每个安全功能子系统所提供的安全功能性;

)、,、

c标识安全功能所要求的任何基础性的硬件固件或软件以及在这些硬件固件或软件中实现

的支持性保护机制所提供功能的一个表示;

d)标识安全功能子系统的所有接口;

)标识安全功能子系统的哪些接口是外部可见的。

e

安全加强的高层设计

开发者提供的安全加强的高层设计应满足以下要求:

),、

a描述产品的功能子系统所有接口的用途与使用方法适当时应提供效果例外情况和错误消息

的细节;

b)把产品分成安全策略实施和其他子系统来描述。

6.2.4指导性文档

管理员指南

,。

开发者应提供管理员指南管理员指南应与为评估而提供的其他所有文档保持一致

8

/—

GBT379532019

管理员指南应说明以下内容:

)管理员可使用的管理功能和接口;

a

)、,;

b怎样安全地管理配置产品防止产品对工业控制系统实时性等造成影响

)在安全处理环境中应被控制的功能和权限;

c

d)所有与产品的安全操作有关的用户行为的假设;

),,;

e所有受管理员控制的安全参数