GA/T 1559-2019 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求

ICS35.240

A90

GA

中华人民共和国公共安全行业标准

GA/TXXXX—XXXX

信息安全技术工业控制系统软件脆弱性扫

描产品安全技术要求

InformationsecuritytechnologySecuritytechnicalrequirementsforindustrialcontrol

systemsoftwarevulnerabilityscanners

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国公安部发布

GA/TXXXX—XXXX

目次

前言I

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5总体说明2

5.1安全技术要求分类2

5.2安全等级划分2

6安全功能要求2

6.1信息获取2

6.2脆弱性扫描内容2

6.3扫描结果分析处理3

6.4扫描配置3

6.5目标对象的安全性4

6.6升级能力4

6.7扫描IP地址限制4

6.8自身安全要求4

7安全保障要求5

7.1开发6

7.2指导性文档6

7.3生命周期支持7

7.4测试8

7.5脆弱性评定8

8不同安全等级的要求8

8.1安全功能要求8

8.2安全保障要求9

I

GA/TXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。

本标准主要起草人：李曦、沈清泓、俞优、邹春明、陆臻、顾健。

I

GA/TXXXX—XXXX

信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求

1范围

本标准规定了工业控制系统软件脆弱性扫描产品的安全功能要求、安全保障要求和等级划分要求。

本标准适用于工业控制系统软件脆弱性扫描产品的设计、开发和测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T25069-2010信息安全技术术语

GB/T30976.1-2014工业控制系统信息安全第1部分：评估规范

3术语和定义

GB/T25069-2010和GB/T30976.1-2014界定的以及下列术语和定义适用于本文件。

3.1

工业控制系统软件industrialcontrolsystemsoftware

工业控制系统上位机软件和下位机软件的集合。

3.2

脆弱性vulnerability

系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安全策略。

3.3

旗标banner

由应用程序发送的一段信息，通常包括欢迎语、应用程序名称和版本等信息。

4缩略语

下列缩略语适用于本文件。

DCS：集散控制系统（DistributedControlSystem）

HMI：人机接口（HumanMachineInterface）

PLC：可编程逻辑控制器（ProgrammableLogicController）

SCADA：数据采集与监控系统（SupervisoryControlAndDataAcquisition）

1

GA/TXXXX—XXXX

5总体说明

5.1安全技术要求分类

本标准将工业控制系统软件脆弱性扫描产品安全技术要求分为安全功能和安全保障要求。其中，安

全功能要求是对工业控制系统软件脆弱性扫描产品应具备的安全功能提出具体要求，通过一定的用户标

识和鉴别来限制对产品功能的使用和数据访问的控制，使产品具备自主安全保护的能力，保证工业控制

系统软件脆弱性扫描产品的正常运行，具备审计功能要求，使得管理员的各项操作行为和扫描事件都是

可追踪的。安全保障要求针对工业控制系统软件脆弱性扫描产品的开发和使用文档的内容提出具体的要

求，例如开发、测试和指导性文档等。

5.2安全等级划分

工业控制系统软件脆弱性扫描产品的安全等级按照其安全功能要求和安全保障要求的强度划分为

基本级和增强级，其中安全保障要求参考了GB/T18336.3—2015。

6安全功能要求

6.1信息获取

6.1.1支撑系统信息

应能对工业控制系统软件所在支撑平台的操作系统类型、版本号进行探测，能够获取已开启的各项

TCP/IP服务的旗标。

6.1.2开放端口

应能探测到工业控制系统软件所在操作系统开放的TCP、UDP端口，并能判断相应端口对应的通用

服务或使用的协议

6.1.3协议支持

应能支持典型工业控制协议，如MODBUSTCP、OPC、西门子S7、IEC60870-5-104、IEC61850等。

6.2脆弱性扫描内容

6.2.1漏洞发现

应能发现公开的工业控制系统软件的安全脆弱性问题。

6.2.2漏洞挖掘

应能发现未知的工业控制系统软件的安全脆弱性问题。

6.2.3弱口令

应能采用字典或穷举等方法检查系统用户口令的健壮性，检查项目应包括：

a)系统是否使用了用户名称经过简单变换后的口令；

b)系统是否使用了易猜测口令。

6.2.4文件共享

10

GA/TXXXX—XXXX

应能检查文件共享机制，发现危险的设置，检查项目应包括：

a)重要目录被共享；

b)共享目录可被匿名用户写入；

c)是否使用了缺省或过于简单的共享口令。

6.3扫描结果分析处理

6.3.1扫描结果浏览及导出

应提供扫描结果浏览功能，并支持对扫描结果数据进行导出操作。

6.3.2报告生成

能根据扫描结果生成相应的报告，报告具备要求包括如下内容：

a)各脆弱点的漏洞名称、漏洞描述、影响范围等；

b)目标的风险等级评估，将扫描脆弱点按风险严重程度分级，并明确标出；

c)多个目标扫描后的结果的总体报告；

d)对脆弱性扫描信息可生成摘要报告；

e)应可输出为通用的文档格式。

6.3.3报告定制

应提供报告内容定制功能。

6.3.4脆弱性修补建议

能对发现的脆弱性提出修补建议，脆弱性修补建议满足下列要求：

a)对不同的安全脆弱性问题提出针对性的脆弱性修补方法；

b)脆弱性描述应详细，提供的脆弱性修补方法应确保其合理性和可用性。

6.3