GA/T 1485-2018 信息安全技术 工业控制系统入侵检测产品安全技术要求

ICS35.240

A90

中华人民共和国公共安全行业标准

/—

GAT14852018

信息安全技术工业控制系统

入侵检测产品安全技术要求

—

InformationsecurittechnoloSecurittechnicalreuirementsfor

ygyyq

industrialcontrolsstemintrusiondetectionroducts

yp

2018-05-07发布2018-05-07实施

中华人民共和国公安部发布

/—

GAT14852018

目次

前言…………………………Ⅰ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4总体说明…………………1

4.1安全技术要求分类…………………1

4.2安全等级划分………………………1

5安全功能要求……………2

5.1数据探测功能………………………2

5.2入侵分析功能………………………2

5.3入侵响应功能………………………3

5.4管理控制功能………………………3

5.5检测结果处理………………………4

5.6标识与鉴别…………………………4

5.7管理安全……………4

5.8安全审计……………5

5.9产品自身安全………………………5

6安全保障要求……………6

6.1开发…………………6

6.2指导性文档…………………………7

6.3生命周期支持………………………7

6.4测试…………………8

6.5脆弱性评定…………………………8

7安全等级划分要求………………………8

7.1概述…………………8

7.2安全功能要求等级划分……………9

7.3安全保障要求等级划分……………10

/—

GAT14852018

前言

本标准按照/—给出的规则起草。

GBT1.12009

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

:、、

本标准起草单位公安部信息系统安全产品质量监督检验中心公安部第三研究所北京神州绿盟

、。

科技有限公司启明星辰信息技术集团股份有限公司

:、、、、、、、。

本标准主要起草人沈清泓邹春明顾健张笑笑俞优邱梓华王晓鹏景晓晖

Ⅰ

/—

GAT14852018

信息安全技术工业控制系统

入侵检测产品安全技术要求

1范围

、。

本标准规定了工业控制系统入侵检测产品的安全功能要求安全保障要求和安全等级划分要求

、。

本标准适用于工业控制系统入侵检测产品的设计开发及测试

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/—:

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GBT18336.320153

/—信息安全技术术语

GBT250692010

/—:

工业控制系统信息安全第部分评估规范

GBT30976.120141

/—:

工业控制系统信息安全第部分验收规范

GBT30976.220142

3术语和定义

/—、/—、/—和/—界定的

GBT18336.32015GBT250692010GBT30976.12014GBT30976.22014

以及下列术语和定义适用于本文件。

3.1

工业控制系统入侵检测产品industrialcontrolsstemintrusiondetectionroduct

yp

,,,

面向工业控制系统旁路部署在工业控制网络中以工业控制网络上的数据包作为数据源监听所

,。

保护工业控制网络内的所有数据包并进行分析从而发现异常行为的入侵检测产品

4总体说明

4.1安全技术要求分类

。

本标准将工业控制系统入侵检测产品安全技术要求分为安全功能要求和安全保障要求两大类其

,,、

中安全功能要求对工业控制系统入侵检测产品应具备的安全功能提出具体要求包括数据探测入侵

、、、、、、、;

分析入侵响应管理控制检测结果处理标识与鉴别管理安全安全审计产品自身安全等安全保障

,、、

要求针对工业控制系统入侵检测产品的生命周期过程提出具体要求例如开发指导性文档生命周期

支持和测试等。

4.2安全等级划分

,

本标准按照工业控制系统入侵检测产品安全功能的强度划分安全功能要求的级别参照

/—。,,

GBT18336.32015划分安全保障要求的级别安全等级突出安全特性分为基本级和增强级安全

功能要求强弱和安全保障要求高低是等级划分的具体依据。

1

/—

GAT14852018

5安全功能要求

5.1数据探测功能

5.1.1数据收集

应具有实时获取受保护网段内的数据包的能力。

5.1.2协议识别

至少应识别基于以下协议的事件:

)网络层协议:/;

aTCPIP

)应用层协议:、、等。

bModBusTCPOPCS7

5.1.3行为监测

:、、,、

至少应监视以下行为端口扫描工程师站组态变更操作站数据与操作指令变更以及资产变更

通信行为等。

5.1.4流量监测

、、,。

应监视整个网络或者某一特定协议地址端口的报文流量和字节流量特别是异常流量的监测

5.1.5协议定义

,,,

除支持默认的工控协议集外支持基于应用的协议自动识别还应允许授权管理员定义新的协议

或对协议的端口进行重新定位。

5.2入侵分析功能

5.2.1数据分析

,。

应对收集的数据包进行分析发现攻击事件

5.2.2分析方式

、。

应以模式匹配协议分析等一种或多种方式进行入侵分析

5.2.3参数分析

、。

应具备过程状态参数控制信号的阈值检查功能

5.2.4恶意代码识别

,、。

应支持恶意代码识别的功能如对木马蠕虫等的识别

5.2.5防躲避能力

,、。

应能发现躲避或欺骗检测的行为如TCP流重组协议端口重定位等

5.2.6事件合并

应具有对高频度发生的相同安全事件进行合并告警的功能。

2

/—

GAT14852018

5.2.7事件关联

,。

应具有将不同的事件关联起来发现低危害事件中隐含的高危害攻击的能力

5.3入侵响应功能

5.3.1安全告警

,。

当检测到入侵时应自动采取相应动作以发出安全告警

5.3.2告警方式

、。

告警方式可以采取界面实时提示声音告警等方式中一种或多种方式

5.3.3报文留存

,。

在监测到网络上的攻击行为时应具有自动保存攻击报文的能力

5.3.4排除响应

应允许管理员定义对被检测网段中指定的主机或特定的事件不予告警。

5.3.5定制响应

,

应允许管理员对被检测网段中指定的主机或特定的事件定制不同的响应方式以对特定的事件突

出告警。

5.4管理控制功能

5.4.1事件数据库

,、、。

应提供事件数据库包括事件定义和分析详细的漏洞修补方案可采取的对策等

5.4.2事件分级

,。

应按照事件的严重程度将事件分级以使授权管理员能从大量