GA/T 1559-2019 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求
GA/T 1559-2019 Information security technology—Security technical requirements for industrial control system software vulnerability scanners
基本信息
本标准适用于工业控制系统软件脆弱性扫描产品的设计、开发和测试。
发布历史
-
2019年04月
研制信息
- 起草单位:
- 公安部计算机信息系统安全产品质量监督检验中心
- 起草人:
- 李曦、沈清泓、俞优、邹春明、陆臻、顾健
- 出版信息:
- 页数:13页 | 字数:22 千字 | 开本: 大16开
内容描述
ICS35.240
A90
GA
中华人民共和国公共安全行业标准
GA/TXXXX—XXXX
信息安全技术工业控制系统软件脆弱性扫
描产品安全技术要求
InformationsecuritytechnologySecuritytechnicalrequirementsforindustrialcontrol
systemsoftwarevulnerabilityscanners
(报批稿)
XXXX-XX-XX发布XXXX-XX-XX实施
中华人民共和国公安部发布
GA/TXXXX—XXXX
目次
前言I
1范围1
2规范性引用文件1
3术语和定义1
4缩略语1
5总体说明2
5.1安全技术要求分类2
5.2安全等级划分2
6安全功能要求2
6.1信息获取2
6.2脆弱性扫描内容2
6.3扫描结果分析处理3
6.4扫描配置3
6.5目标对象的安全性4
6.6升级能力4
6.7扫描IP地址限制4
6.8自身安全要求4
7安全保障要求5
7.1开发6
7.2指导性文档6
7.3生命周期支持7
7.4测试8
7.5脆弱性评定8
8不同安全等级的要求8
8.1安全功能要求8
8.2安全保障要求9
I
GA/TXXXX—XXXX
前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。
本标准主要起草人:李曦、沈清泓、俞优、邹春明、陆臻、顾健。
I
GA/TXXXX—XXXX
信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求
1范围
本标准规定了工业控制系统软件脆弱性扫描产品的安全功能要求、安全保障要求和等级划分要求。
本标准适用于工业控制系统软件脆弱性扫描产品的设计、开发和测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件
GB/T25069-2010信息安全技术术语
GB/T30976.1-2014工业控制系统信息安全第1部分:评估规范
3术语和定义
GB/T25069-2010和GB/T30976.1-2014界定的以及下列术语和定义适用于本文件。
3.1
工业控制系统软件industrialcontrolsystemsoftware
工业控制系统上位机软件和下位机软件的集合。
3.2
脆弱性vulnerability
系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安全策略。
3.3
旗标banner
由应用程序发送的一段信息,通常包括欢迎语、应用程序名称和版本等信息。
4缩略语
下列缩略语适用于本文件。
DCS:集散控制系统(DistributedControlSystem)
HMI:人机接口(HumanMachineInterface)
PLC:可编程逻辑控制器(ProgrammableLogicController)
SCADA:数据采集与监控系统(SupervisoryControlAndDataAcquisition)
1
GA/TXXXX—XXXX
5总体说明
5.1安全技术要求分类
本标准将工业控制系统软件脆弱性扫描产品安全技术要求分为安全功能和安全保障要求。其中,安
全功能要求是对工业控制系统软件脆弱性扫描产品应具备的安全功能提出具体要求,通过一定的用户标
识和鉴别来限制对产品功能的使用和数据访问的控制,使产品具备自主安全保护的能力,保证工业控制
系统软件脆弱性扫描产品的正常运行,具备审计功能要求,使得管理员的各项操作行为和扫描事件都是
可追踪的。安全保障要求针对工业控制系统软件脆弱性扫描产品的开发和使用文档的内容提出具体的要
求,例如开发、测试和指导性文档等。
5.2安全等级划分
工业控制系统软件脆弱性扫描产品的安全等级按照其安全功能要求和安全保障要求的强度划分为
基本级和增强级,其中安全保障要求参考了GB/T18336.3—2015。
6安全功能要求
6.1信息获取
6.1.1支撑系统信息
应能对工业控制系统软件所在支撑平台的操作系统类型、版本号进行探测,能够获取已开启的各项
TCP/IP服务的旗标。
6.1.2开放端口
应能探测到工业控制系统软件所在操作系统开放的TCP、UDP端口,并能判断相应端口对应的通用
服务或使用的协议
6.1.3协议支持
应能支持典型工业控制协议,如MODBUSTCP、OPC、西门子S7、IEC60870-5-104、IEC61850等。
6.2脆弱性扫描内容
6.2.1漏洞发现
应能发现公开的工业控制系统软件的安全脆弱性问题。
6.2.2漏洞挖掘
应能发现未知的工业控制系统软件的安全脆弱性问题。
6.2.3弱口令
应能采用字典或穷举等方法检查系统用户口令的健壮性,检查项目应包括:
a)系统是否使用了用户名称经过简单变换后的口令;
b)系统是否使用了易猜测口令。
6.2.4文件共享
10
GA/TXXXX—XXXX
应能检查文件共享机制,发现危险的设置,检查项目应包括:
a)重要目录被共享;
b)共享目录可被匿名用户写入;
c)是否使用了缺省或过于简单的共享口令。
6.3扫描结果分析处理
6.3.1扫描结果浏览及导出
应提供扫描结果浏览功能,并支持对扫描结果数据进行导出操作。
6.3.2报告生成
能根据扫描结果生成相应的报告,报告具备要求包括如下内容:
a)各脆弱点的漏洞名称、漏洞描述、影响范围等;
b)目标的风险等级评估,将扫描脆弱点按风险严重程度分级,并明确标出;
c)多个目标扫描后的结果的总体报告;
d)对脆弱性扫描信息可生成摘要报告;
e)应可输出为通用的文档格式。
6.3.3报告定制
应提供报告内容定制功能。
6.3.4脆弱性修补建议
能对发现的脆弱性提出修补建议,脆弱性修补建议满足下列要求:
a)对不同的安全脆弱性问题提出针对性的脆弱性修补方法;
b)脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性。
6.3
定制服务
推荐标准
- DL/T 2660-2023 煤粉锅炉燃烧调整试验技术导则 2023-10-11
- DL/T 2668-2023 电力系统调峰能力评价技术规范 2023-10-11
- DL/T 2666-2023 变电站噪声仿真分析技术导则 2023-10-11
- DL/T 2659-2023 电站高加三通阀选型导则 2023-10-11
- DL/T 2658-2023 快速动态响应同步调相机技术规范 2023-10-11
- DL/T 2662-2023 燃煤发电机组供热改造技术条件 2023-10-11
- DL/T 2663-2023 高压直流保护试验装置通用技术条件 2023-10-11
- DL/T 2661-2023 循环流化床锅炉煤泥添加系统技术规范 2023-10-11
- DL/T 2665-2023 变电站厂界噪声排放测量方法 多重相干函数法 2023-10-11
- DL/T 2667-2023 电力资产全寿命周期管理体系实施指南 2023-10-11