GB∕T 37953-2019
基本信息
标准号: GB∕T 37953-2019
中文名称:信息安全技术 工业控制网络监测安全技术要求及测试评价方法
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2742KB
相关标签: 信息安全 技术 工业 控制 网络 监测 安全 测试 评价 方法
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 37953-2019 信息安全技术 工业控制网络监测安全技术要求及测试评价方法
GB∕T37953-2019
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T37953—2019
信息安全技术
工业控制网络监测
安全技术要求及测试评价方法
Information security technologySecurity requirements and evaluation approachesforindustrialcontrolnetworkmonitor2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
GB/T37953—2019
规范性引用文件
术语和定义
缩略语
产品描述
6安全技术要求
安全功能要求
6.2安全保障要求
7测评方法
安全功能测评方法
7.2安全保障测评方法
工业控制网络监测安全技术要求的分级及其要求条款附录A(规范性附录)
附录B(规范性附录)工业控制网络监测测评方法的分级及其测评项附录C(规范性附录)工业环境应用要求参考文献
本标准按照GB/T1.1一2009给出的规则起草。GB/T37953—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国科学院沈阳自动化研究所、深圳赛西信息技术有限公司、北京工业大学、公安部第三研究所、浙江浙能台州第二发电有限责任公司、中国信息安全测评中心、上海三零卫士信息安全有限公司、上海交通大学、国家信息技术安全研究中心、和利时集团、北京启明星辰信息安全技术有限公司、烽台科技(北京)有限公司、国网浙江省电力有限公司电力科学研究院、华大半导体有限公司、中国电力工程顾问集团西南电力设计院有限公司、中国平安保险(集团)股份有限公司、北京匡恩网络科技有限责任公司。本标准主要起草人:范科峰、周睿康、姚相振、李琳、刘贤刚、龚洁中、张大江、尚文利、赖英旭、顾健、陆臻、邹春明、夏克晃、朱青国、谢丰、邸丽清、戴忠华、赵剑明、件大奎、谷大武、夏正敏、李冰、王斐、孟雅辉、奎亮华、魏钦志、罗志浩、兰天、张晋宾、于惊涛、毕思文I
GB/T37953—2019
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用网络监测产品在面对工业控制系统的安全防护时显得力不从心,因此需要一种能应用于工业控制环境的网络监测产品对工业控制系统进行安全防护。应用于工业控制环境的网络监测产品与通用网络监测产品的主要差异体现在:通用网络监测产品主要针对互联网通用协议进行分析和响应。应用于工业控制环境的网络监测产品除了能够分析部分互联网通用协议外,还具有对工业控制协议的深度解析能力,而无需对工业控制系统中不会使用的通用协议进行分析应用于工业控制环境的网络监测产品可能有部分组件需部署在工业现场环境,因此比通用网络监测产品具有更高的环境适应能力应用于工业控制环境的网络监测产品比通用网络监测产品具有更高的可用性、可靠性,稳定性。
1范围
信息安全技术工业控制网络监测安全技术要求及测试评价方法
本标准规定了工业控制网络监测产品的安全技术要求和测试评价方法,GB/T37953—2019
本标准适用于工业控制网络监测产品的设计生产方对其设计,开发及测评等提供指导,同时也可为工业控制系统设计、建设和运维方开展工业控制系统安全防护工作提供指导。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.5一1995电工电子产品环境试验第2部分:试验方法试验Ea和导则:冲击电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落GB/T2423.8—1995
GB/T2423.10一2008电工电子产品环境试验第2部分:试验方法试验Fc:振动(正弦)GB/T4208—2017外壳防护等级(IP代码)GB/T17214.4一2005工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型
GB/T22239—2019
信息安全技术网络安全等级保护基本要求信息安全技术术语
GB/T25069—20101
5信息安全技术工业控制系统安全控制应用指南GB/T32919—2016
3术语和定义
GB/T25069—2010,GB/T32919—2016和GB/T18336.1—2015界定的以及下列术语和定义适用于本文件。
工业控制系统industrial control system多种工业生产中使用的控制系统。注:包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器PLC),现已广泛应用在工业部门和关键基础设施中3.2
工业控制网络监测industrial control networkmonitoring部署于工业控制网络中,以实现针对工业控制网络中网络行为的安全事件监测、审计和管理等功能的技术。
注1:用于监测和分析工业控制网络中的数据报文,发现违反安全策略的行为、异常操作、工业控制设备被攻击的迹象,或工业生产受到影响的迹象。注2:本标准所指“工业控制网络监测\即“工业控制网络监测产品”,工业控制网络监测产品是部署于工业控制网络中,用于实现工业控制网络监测功能的设备产品。1
GB/T37953—2019bZxz.net
4缩略语
下列缩略语适用于本文件。
5产品描述
分布式网络协议(DistributedNetworkProtocol)文件传输协议(FileTransferProtocol)超文本传输协议(HypertextTransferProtocol)网络时间协议(NetworkTimeProtocol)对象连接与嵌人(ObjectLinkingandEmbedding)用于过程控制的OLE(OLEforProcessControl)工业控制网络监测产品是应用于工业控制环境,通过监视工业控制网络内的数据报文,实时获取数据包进行深度解析,监测工业控制网络中的入侵行为和异常行为,并及时告警的设备。该设备需满足特定工业环境和安全功能要求,可对工业控制网络边界或工业控制网络内部不同控制区域之间进行监测保护,发现非法人侵活动,并根据监测结果实时报警、响应,达到主动发现入侵活动、确保网络安全目的。该设备产品可以硬件或者软件形式实现。本标准按照工业控制网络监测产品安全功能要求强度,对工业控制网路监测产品分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据。其中基本级安全功能要求应具备GB/T22239—2019中第二级安全保护能力,增强级安全功能要求应具备GB/T22239—2019中第三级安全保护能力。在增强级中新增的要求会通过黑体标识工业控制网络监测安全技术要求的分级及其要求条款见附录A,工业控制网络监测测评方法的分级及其测评项见附录B,工业环境应用要求见附录C。6安全技术要求
6.1安全功能要求
6.1.1功能要求
安全事件监测
6.1.1.1.1流量监测
产品应能够具有流量监测的功能,具体满足下述要求:a)应能够监视网络内的流量数据包,实时获取数据包用于检测分析,且不影响工控设备正常运行。
b)应能够监测指定的协议或IP地址的流量数据包,且不影响工控设备正常运行。6.1.1.1.2工业控制协议分析
对于在工业控制网络内获取的数据包,产品应能够分析其承载的工业控制协议报文,满足下述一种要求:
分析以下(但不限于)通用协议:Modbus/TCP协议、OPCClassic协议、DNP3.0协议、a)
IEC-60875-5-104协议,SIEMENSS7Comm协议、PROFINET协议、EtherNet/IP协议;2
GB/T37953—2019
b)一种行业专业协议,例如,IEC-61850MMS协议、IEC-61850GOOSE协议、IEC-61850SV协议、轨道交通专业协议等。
6.1.1.1.3互联网协议分析
对于在工业控制网络内获取的互联网协议流量,产品应能够分析其承载的数据报文,分析以下(但不限于)互联网协议报文:
HTTP:
b)FTP;
TELNET;
d)SNMP。
6.1.1.1.4
攻击行为监测
产品应能够通过分析、对比等方法,包括但不限于发现以下攻击行为:a)
工业协议漏洞攻击;
b)工业控制应用漏洞攻击;
操作系统漏洞攻击;
工业控制设备漏洞攻击;
应能够监测网络中螺虫病毒、木马等攻击行为的发生,且不影响工控设备正常运行。e)
注:安全漏洞和攻击参见国家信息安全漏洞共享平台发布的信息。6.1.1.2
安全事件响应
6.1.1.2.1事件告警
对于攻击行为或异常行为,产品应按照事件的严重程度将事件分级,采取屏幕实时提示等直观有效的方式传达告警讯息。
6.1.1.2.2
2告警过滤
产品应允许管理员定义安全策略,对工业控制网络中的指定事件不予告警。6.1.1.2.3事件合并
产品应对高频度发生的相同安全事件进行合并告警,避免出现告警风暴。6.1.1.2.4定制响应
产品应允许管理员定义安全策略,对工业控制网络中的事件定制响应方式。6.1.1.3安全配置管理
6.1.1.3.1安全策略配置
产品应提供安全策略配置功能。6.1.1.3.2工业控制漏洞知识库
产品应内置工业控制漏洞知识库,内容应包括工业控制协议漏洞、工业控制应用漏洞、操作系统漏洞和工业控制设备漏洞,详细的漏洞修补方案和可采取的对策。3
GB/T37953—2019
6.1.1.3.3工业控制检测特征库
产品应内置工业控制检测特征库,详细的修补方案和可采取的对策6.1.1.3.4工业控制协议端口设定除支持基于默认端口的工业控制网络协议解析外,产品应能对现有工业控制协议和扩展工业控制协议的端口进行重新设定。
6.1.1.3.5自定义攻击事件
产品应允许管理员对攻击事件进行自定义,自定义的内容应包括攻击目标、攻击特征和事件等级。6.1.1.3.6工业控制协议扩展
除支持默认的工业控制网络协议外,产品应支持添加新的工业控制协议。6.1.1.4产品功能管理
6.1.1.4.1界面管理
产品应提供友好的管理员界面用于管理和配置。管理配置界面应包含配置和管理产品所需的所有功能。
6.1.1.4.2硬件管理
6.1.1.4.2.1分布式部署和集中管理产品应具有分布式部署的能力
产品应设置集中管理平台,对同一系列不同型号监测设备进行统一管理。6.1.1.4.2.2端口分离
监测设备应配备不同的物理端口,分别用于配置管理和网络数据监听。6.1.1.4.2.3产品自检
产品在启动和正常工作时,应具备运行状态自检机制,包括硬件工作状态监测、组件连接状态监测等,以验证产品自身状态是否正常6.1.1.4.2.4时钟同步
产品应提供与外部的时钟服务器进行时钟同步的功能。6.1.1.4.2.5时钟设置
产品应提供手动设置时钟的功能,以便在没有外部时钟服务器时设置正确时间。6.1.1.4.2.6电源穴余
产品应提供电源元余功能
6.1.1.4.2.7掉电物理导通
串联部署时产品应能够在突发掉电的情况下,自动实现每一对输入输出通信端口的物理导通。4
6.1.1.4.2.8硬件故障处理
产品应能够监测自身硬件是否工作正常,并在出现故障时及时向管理员告警。6.1.1.4.3配置信息恢复
替换监测设备后,产品应能够通过本地或远程进行配置信息恢复6.1.1.4.4数据存储空间管理
GB/T37953—2019
在存储器空间将耗尽时,产品应自动产生告警。触发告警的剩余存储空间限值应由管理员自主设定。产品应采取措施保证已存储的事件记录可用和后续事件记录的存储(例如,转存已有事件记录、仅记录重要的事件数据等)。产品应充许用户设定在空间耗尽时的处理策略,6.1.1.4.5升级管理
6.1.1.4.5.1库升级
产品应具有本地和远程升级工业控制漏洞知识库和工业控制检测特征库的功能。产品应具有通过控制台或管理平台对监测设备的工业控制漏洞知识库和工业控制检测特征库进行统一升级的功能。
6.1.1.4.5.2产品升级
产品应具有通过本地和远程进行升级的功能6.1.1.4.5.3产品统一升级
产品应具有通过控制台或管理平台对监测设备进行统一升级的功能。6.1.1.4.5.4升级包校验
产品应确保事件库和产品升级时的安全,应具有升级包校验机制,防止得到错误的或伪造的升级包。升级过程须进行双向身份鉴别6.1.1.4.6用户管理
6.1.1.4.6.1标识管理
产品应支持权限划分,为每一使用者设置安全属性信息,包括标识、鉴别数据、授权信息或管理组信息、其他安全属性等。
6.1.1.4.6.2超时设置
产品应具有使用者登录超时重新鉴别功能。在安全策略设定的时间段内没有任何操作的情况下,锁定或终止会话,需要再次进行身份鉴别才能够重新登录。6.1.1.4.6.3控制台鉴别
产品应在使用者通过控制台对监测设备执行任何与安全功能相关的操作之前对控制台进行鉴别。6.1.1.4.6.4会话锁定
产品应允许使用者锁定当前的交互会话,锁定后需要再次进行身份鉴别才能够重新登录。5
GB/T37953—2019
6.1.1.4.6.5
鉴别数据保护
产品应保护鉴别数据不被未授权查阅和修改。6.1.1.5通信安全
6.1.1.5.1通信保密性
产品若由多个组件构成,应保证各组件之间通信的保密性,6.1.1.5.2通信完整性
产品若由多个组件构成,应保证各组件之间通信的完整性。如果数据的完整性被破坏,产品应确保及时发现并通知管理员。
6.1.2自身安全要求
6.1.2.1用户管理与鉴别
6.1.2.1.1用户管理
产品应支持用户管理,包括添加、删除、激活、禁止用户。产品应为每个用户设定标识、权限等安全属性。6.1.2.1.2用户鉴别
产品应在用户登录时进行鉴别。6.1.2.1.3鉴别失败处理
当用户鉴别尝试失败连续达到指定次数后,产品应阻止用户进一步的鉴别请求6.1.2.1.4超时设置
产品应具有登录超时锁定或注销功能。6.1.2.1.5
5远程管理
若产品的控制台提供远程管理功能,应能对可远程管理的主机地址进行身份鉴别和访问控制,并保证传输数据的保密性和完整性。6.1.2.2产品升级
升级功能
6.1.2.2.1
产品应具有升级的功能(包括修复自身缺陷等)。6.1.2.2.2升级包校验
产品应具有升级包校验机制,防止得到错误的或伪造的升级包6.1.2.3
日志管理
6.1.2.3.1安全日志生成
产品应对相关安全事件生成安全日志,包括但不限于:6
登录成功和退出、登录失败;
b)重启;
鉴别连续尝试不成功的次数超出了设定的限值;d)
增加、删除管理员角色和对管理员角色的属性进行修改的操作;e)升级;
监测操作。
GB/T37953—2019
每一条安全日志应包括事件发生的日期、时间、用户标识、事件类型、事件描述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。2安全日志管理
6.1.2.3.2
产品应提供下列安全日志管理功能:只允许授权管理员访问安全日志;a
提供对安全日志的查询功能;
授权管理员应能保存或删除安全日志:d)
安全日志应能够以通用格式(例如,Excel)导出。6.1.2.4
策略安全管理
产品应对监测策略的创建、修改、删除、应用提供访问控制等安全措施。6.1.2.5
时钟同步
产品及组件应支持时间同步功能:若由多个组件组成,各组件应支持与中心监测组件进行时间同步;a)
中心监测组件应支持与外部时间服务器进行时间同步。敏感信息保护
定制监测策略时,一些敏感信息可能被涉及,应采取相应措施来保证敏感信息的保密性和完整性例如,对用户口令进行加密存储。产品应只允许具有权限的用户读取监测数据6.2安全保障要求
6.2.1产品配置管理
6.2.1.1配置管理能力
6.2.1.1.1版本号
开发者应为产品的不同版本提供唯一的标识。6.2.1.1.2配置项
工业控制系统网络监测产品应满足以下要求:a)开发者应使用配置管理系统并提供配置管理文档。b)
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。
GB/T37953—2019
6.2.1.1.3
3授权控制
工业控制系统网络监测产品应满足以下要求a)开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。b)开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项!6.2.1.2配置管理覆盖
工业控制系统网络监测产品应满足以下要求:a)配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的b)
6.2.2交付与运行
交付程序
工业控制系统网络监测产品在交付时应满足以下要求:a)开发者应使用一定的交付程序交付产品,并将交付过程文档化b)交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。2安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程,并对产品的现场调试运行提供详细的说明。
6.2.3开发
6.2.3.1描述性高层设计
开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:a)按子系统描述安全功能的结构;b)描述每个安全功能子系统所提供的安全功能性;c)
标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件,固件或软件中实现的支持性保护机制所提供功能的一个表示;d)标识安全功能子系统的所有接口;标识安全功能子系统的哪些接口是外部可见的。e)
安全加强的高层设计
开发者提供的安全加强的高层设计应满足以下要求a)
描述产品的功能子系统所有接口的用途与使用方法,适当时应提供效果,例外情况和错误消息的细节:
把产品分成安全策略实施和其他子系统来描述!b))
6.2.4指导性文档
6.2.4.1管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T37953—2019
信息安全技术
工业控制网络监测
安全技术要求及测试评价方法
Information security technologySecurity requirements and evaluation approachesforindustrialcontrolnetworkmonitor2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
GB/T37953—2019
规范性引用文件
术语和定义
缩略语
产品描述
6安全技术要求
安全功能要求
6.2安全保障要求
7测评方法
安全功能测评方法
7.2安全保障测评方法
工业控制网络监测安全技术要求的分级及其要求条款附录A(规范性附录)
附录B(规范性附录)工业控制网络监测测评方法的分级及其测评项附录C(规范性附录)工业环境应用要求参考文献
本标准按照GB/T1.1一2009给出的规则起草。GB/T37953—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国科学院沈阳自动化研究所、深圳赛西信息技术有限公司、北京工业大学、公安部第三研究所、浙江浙能台州第二发电有限责任公司、中国信息安全测评中心、上海三零卫士信息安全有限公司、上海交通大学、国家信息技术安全研究中心、和利时集团、北京启明星辰信息安全技术有限公司、烽台科技(北京)有限公司、国网浙江省电力有限公司电力科学研究院、华大半导体有限公司、中国电力工程顾问集团西南电力设计院有限公司、中国平安保险(集团)股份有限公司、北京匡恩网络科技有限责任公司。本标准主要起草人:范科峰、周睿康、姚相振、李琳、刘贤刚、龚洁中、张大江、尚文利、赖英旭、顾健、陆臻、邹春明、夏克晃、朱青国、谢丰、邸丽清、戴忠华、赵剑明、件大奎、谷大武、夏正敏、李冰、王斐、孟雅辉、奎亮华、魏钦志、罗志浩、兰天、张晋宾、于惊涛、毕思文I
GB/T37953—2019
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用网络监测产品在面对工业控制系统的安全防护时显得力不从心,因此需要一种能应用于工业控制环境的网络监测产品对工业控制系统进行安全防护。应用于工业控制环境的网络监测产品与通用网络监测产品的主要差异体现在:通用网络监测产品主要针对互联网通用协议进行分析和响应。应用于工业控制环境的网络监测产品除了能够分析部分互联网通用协议外,还具有对工业控制协议的深度解析能力,而无需对工业控制系统中不会使用的通用协议进行分析应用于工业控制环境的网络监测产品可能有部分组件需部署在工业现场环境,因此比通用网络监测产品具有更高的环境适应能力应用于工业控制环境的网络监测产品比通用网络监测产品具有更高的可用性、可靠性,稳定性。
1范围
信息安全技术工业控制网络监测安全技术要求及测试评价方法
本标准规定了工业控制网络监测产品的安全技术要求和测试评价方法,GB/T37953—2019
本标准适用于工业控制网络监测产品的设计生产方对其设计,开发及测评等提供指导,同时也可为工业控制系统设计、建设和运维方开展工业控制系统安全防护工作提供指导。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.5一1995电工电子产品环境试验第2部分:试验方法试验Ea和导则:冲击电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落GB/T2423.8—1995
GB/T2423.10一2008电工电子产品环境试验第2部分:试验方法试验Fc:振动(正弦)GB/T4208—2017外壳防护等级(IP代码)GB/T17214.4一2005工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分:简介和一般模型
GB/T22239—2019
信息安全技术网络安全等级保护基本要求信息安全技术术语
GB/T25069—20101
5信息安全技术工业控制系统安全控制应用指南GB/T32919—2016
3术语和定义
GB/T25069—2010,GB/T32919—2016和GB/T18336.1—2015界定的以及下列术语和定义适用于本文件。
工业控制系统industrial control system多种工业生产中使用的控制系统。注:包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器PLC),现已广泛应用在工业部门和关键基础设施中3.2
工业控制网络监测industrial control networkmonitoring部署于工业控制网络中,以实现针对工业控制网络中网络行为的安全事件监测、审计和管理等功能的技术。
注1:用于监测和分析工业控制网络中的数据报文,发现违反安全策略的行为、异常操作、工业控制设备被攻击的迹象,或工业生产受到影响的迹象。注2:本标准所指“工业控制网络监测\即“工业控制网络监测产品”,工业控制网络监测产品是部署于工业控制网络中,用于实现工业控制网络监测功能的设备产品。1
GB/T37953—2019bZxz.net
4缩略语
下列缩略语适用于本文件。
5产品描述
分布式网络协议(DistributedNetworkProtocol)文件传输协议(FileTransferProtocol)超文本传输协议(HypertextTransferProtocol)网络时间协议(NetworkTimeProtocol)对象连接与嵌人(ObjectLinkingandEmbedding)用于过程控制的OLE(OLEforProcessControl)工业控制网络监测产品是应用于工业控制环境,通过监视工业控制网络内的数据报文,实时获取数据包进行深度解析,监测工业控制网络中的入侵行为和异常行为,并及时告警的设备。该设备需满足特定工业环境和安全功能要求,可对工业控制网络边界或工业控制网络内部不同控制区域之间进行监测保护,发现非法人侵活动,并根据监测结果实时报警、响应,达到主动发现入侵活动、确保网络安全目的。该设备产品可以硬件或者软件形式实现。本标准按照工业控制网络监测产品安全功能要求强度,对工业控制网路监测产品分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据。其中基本级安全功能要求应具备GB/T22239—2019中第二级安全保护能力,增强级安全功能要求应具备GB/T22239—2019中第三级安全保护能力。在增强级中新增的要求会通过黑体标识工业控制网络监测安全技术要求的分级及其要求条款见附录A,工业控制网络监测测评方法的分级及其测评项见附录B,工业环境应用要求见附录C。6安全技术要求
6.1安全功能要求
6.1.1功能要求
安全事件监测
6.1.1.1.1流量监测
产品应能够具有流量监测的功能,具体满足下述要求:a)应能够监视网络内的流量数据包,实时获取数据包用于检测分析,且不影响工控设备正常运行。
b)应能够监测指定的协议或IP地址的流量数据包,且不影响工控设备正常运行。6.1.1.1.2工业控制协议分析
对于在工业控制网络内获取的数据包,产品应能够分析其承载的工业控制协议报文,满足下述一种要求:
分析以下(但不限于)通用协议:Modbus/TCP协议、OPCClassic协议、DNP3.0协议、a)
IEC-60875-5-104协议,SIEMENSS7Comm协议、PROFINET协议、EtherNet/IP协议;2
GB/T37953—2019
b)一种行业专业协议,例如,IEC-61850MMS协议、IEC-61850GOOSE协议、IEC-61850SV协议、轨道交通专业协议等。
6.1.1.1.3互联网协议分析
对于在工业控制网络内获取的互联网协议流量,产品应能够分析其承载的数据报文,分析以下(但不限于)互联网协议报文:
HTTP:
b)FTP;
TELNET;
d)SNMP。
6.1.1.1.4
攻击行为监测
产品应能够通过分析、对比等方法,包括但不限于发现以下攻击行为:a)
工业协议漏洞攻击;
b)工业控制应用漏洞攻击;
操作系统漏洞攻击;
工业控制设备漏洞攻击;
应能够监测网络中螺虫病毒、木马等攻击行为的发生,且不影响工控设备正常运行。e)
注:安全漏洞和攻击参见国家信息安全漏洞共享平台发布的信息。6.1.1.2
安全事件响应
6.1.1.2.1事件告警
对于攻击行为或异常行为,产品应按照事件的严重程度将事件分级,采取屏幕实时提示等直观有效的方式传达告警讯息。
6.1.1.2.2
2告警过滤
产品应允许管理员定义安全策略,对工业控制网络中的指定事件不予告警。6.1.1.2.3事件合并
产品应对高频度发生的相同安全事件进行合并告警,避免出现告警风暴。6.1.1.2.4定制响应
产品应允许管理员定义安全策略,对工业控制网络中的事件定制响应方式。6.1.1.3安全配置管理
6.1.1.3.1安全策略配置
产品应提供安全策略配置功能。6.1.1.3.2工业控制漏洞知识库
产品应内置工业控制漏洞知识库,内容应包括工业控制协议漏洞、工业控制应用漏洞、操作系统漏洞和工业控制设备漏洞,详细的漏洞修补方案和可采取的对策。3
GB/T37953—2019
6.1.1.3.3工业控制检测特征库
产品应内置工业控制检测特征库,详细的修补方案和可采取的对策6.1.1.3.4工业控制协议端口设定除支持基于默认端口的工业控制网络协议解析外,产品应能对现有工业控制协议和扩展工业控制协议的端口进行重新设定。
6.1.1.3.5自定义攻击事件
产品应允许管理员对攻击事件进行自定义,自定义的内容应包括攻击目标、攻击特征和事件等级。6.1.1.3.6工业控制协议扩展
除支持默认的工业控制网络协议外,产品应支持添加新的工业控制协议。6.1.1.4产品功能管理
6.1.1.4.1界面管理
产品应提供友好的管理员界面用于管理和配置。管理配置界面应包含配置和管理产品所需的所有功能。
6.1.1.4.2硬件管理
6.1.1.4.2.1分布式部署和集中管理产品应具有分布式部署的能力
产品应设置集中管理平台,对同一系列不同型号监测设备进行统一管理。6.1.1.4.2.2端口分离
监测设备应配备不同的物理端口,分别用于配置管理和网络数据监听。6.1.1.4.2.3产品自检
产品在启动和正常工作时,应具备运行状态自检机制,包括硬件工作状态监测、组件连接状态监测等,以验证产品自身状态是否正常6.1.1.4.2.4时钟同步
产品应提供与外部的时钟服务器进行时钟同步的功能。6.1.1.4.2.5时钟设置
产品应提供手动设置时钟的功能,以便在没有外部时钟服务器时设置正确时间。6.1.1.4.2.6电源穴余
产品应提供电源元余功能
6.1.1.4.2.7掉电物理导通
串联部署时产品应能够在突发掉电的情况下,自动实现每一对输入输出通信端口的物理导通。4
6.1.1.4.2.8硬件故障处理
产品应能够监测自身硬件是否工作正常,并在出现故障时及时向管理员告警。6.1.1.4.3配置信息恢复
替换监测设备后,产品应能够通过本地或远程进行配置信息恢复6.1.1.4.4数据存储空间管理
GB/T37953—2019
在存储器空间将耗尽时,产品应自动产生告警。触发告警的剩余存储空间限值应由管理员自主设定。产品应采取措施保证已存储的事件记录可用和后续事件记录的存储(例如,转存已有事件记录、仅记录重要的事件数据等)。产品应充许用户设定在空间耗尽时的处理策略,6.1.1.4.5升级管理
6.1.1.4.5.1库升级
产品应具有本地和远程升级工业控制漏洞知识库和工业控制检测特征库的功能。产品应具有通过控制台或管理平台对监测设备的工业控制漏洞知识库和工业控制检测特征库进行统一升级的功能。
6.1.1.4.5.2产品升级
产品应具有通过本地和远程进行升级的功能6.1.1.4.5.3产品统一升级
产品应具有通过控制台或管理平台对监测设备进行统一升级的功能。6.1.1.4.5.4升级包校验
产品应确保事件库和产品升级时的安全,应具有升级包校验机制,防止得到错误的或伪造的升级包。升级过程须进行双向身份鉴别6.1.1.4.6用户管理
6.1.1.4.6.1标识管理
产品应支持权限划分,为每一使用者设置安全属性信息,包括标识、鉴别数据、授权信息或管理组信息、其他安全属性等。
6.1.1.4.6.2超时设置
产品应具有使用者登录超时重新鉴别功能。在安全策略设定的时间段内没有任何操作的情况下,锁定或终止会话,需要再次进行身份鉴别才能够重新登录。6.1.1.4.6.3控制台鉴别
产品应在使用者通过控制台对监测设备执行任何与安全功能相关的操作之前对控制台进行鉴别。6.1.1.4.6.4会话锁定
产品应允许使用者锁定当前的交互会话,锁定后需要再次进行身份鉴别才能够重新登录。5
GB/T37953—2019
6.1.1.4.6.5
鉴别数据保护
产品应保护鉴别数据不被未授权查阅和修改。6.1.1.5通信安全
6.1.1.5.1通信保密性
产品若由多个组件构成,应保证各组件之间通信的保密性,6.1.1.5.2通信完整性
产品若由多个组件构成,应保证各组件之间通信的完整性。如果数据的完整性被破坏,产品应确保及时发现并通知管理员。
6.1.2自身安全要求
6.1.2.1用户管理与鉴别
6.1.2.1.1用户管理
产品应支持用户管理,包括添加、删除、激活、禁止用户。产品应为每个用户设定标识、权限等安全属性。6.1.2.1.2用户鉴别
产品应在用户登录时进行鉴别。6.1.2.1.3鉴别失败处理
当用户鉴别尝试失败连续达到指定次数后,产品应阻止用户进一步的鉴别请求6.1.2.1.4超时设置
产品应具有登录超时锁定或注销功能。6.1.2.1.5
5远程管理
若产品的控制台提供远程管理功能,应能对可远程管理的主机地址进行身份鉴别和访问控制,并保证传输数据的保密性和完整性。6.1.2.2产品升级
升级功能
6.1.2.2.1
产品应具有升级的功能(包括修复自身缺陷等)。6.1.2.2.2升级包校验
产品应具有升级包校验机制,防止得到错误的或伪造的升级包6.1.2.3
日志管理
6.1.2.3.1安全日志生成
产品应对相关安全事件生成安全日志,包括但不限于:6
登录成功和退出、登录失败;
b)重启;
鉴别连续尝试不成功的次数超出了设定的限值;d)
增加、删除管理员角色和对管理员角色的属性进行修改的操作;e)升级;
监测操作。
GB/T37953—2019
每一条安全日志应包括事件发生的日期、时间、用户标识、事件类型、事件描述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。2安全日志管理
6.1.2.3.2
产品应提供下列安全日志管理功能:只允许授权管理员访问安全日志;a
提供对安全日志的查询功能;
授权管理员应能保存或删除安全日志:d)
安全日志应能够以通用格式(例如,Excel)导出。6.1.2.4
策略安全管理
产品应对监测策略的创建、修改、删除、应用提供访问控制等安全措施。6.1.2.5
时钟同步
产品及组件应支持时间同步功能:若由多个组件组成,各组件应支持与中心监测组件进行时间同步;a)
中心监测组件应支持与外部时间服务器进行时间同步。敏感信息保护
定制监测策略时,一些敏感信息可能被涉及,应采取相应措施来保证敏感信息的保密性和完整性例如,对用户口令进行加密存储。产品应只允许具有权限的用户读取监测数据6.2安全保障要求
6.2.1产品配置管理
6.2.1.1配置管理能力
6.2.1.1.1版本号
开发者应为产品的不同版本提供唯一的标识。6.2.1.1.2配置项
工业控制系统网络监测产品应满足以下要求:a)开发者应使用配置管理系统并提供配置管理文档。b)
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。
GB/T37953—2019
6.2.1.1.3
3授权控制
工业控制系统网络监测产品应满足以下要求a)开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。b)开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项!6.2.1.2配置管理覆盖
工业控制系统网络监测产品应满足以下要求:a)配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的b)
6.2.2交付与运行
交付程序
工业控制系统网络监测产品在交付时应满足以下要求:a)开发者应使用一定的交付程序交付产品,并将交付过程文档化b)交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。2安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程,并对产品的现场调试运行提供详细的说明。
6.2.3开发
6.2.3.1描述性高层设计
开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:a)按子系统描述安全功能的结构;b)描述每个安全功能子系统所提供的安全功能性;c)
标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件,固件或软件中实现的支持性保护机制所提供功能的一个表示;d)标识安全功能子系统的所有接口;标识安全功能子系统的哪些接口是外部可见的。e)
安全加强的高层设计
开发者提供的安全加强的高层设计应满足以下要求a)
描述产品的功能子系统所有接口的用途与使用方法,适当时应提供效果,例外情况和错误消息的细节:
把产品分成安全策略实施和其他子系统来描述!b))
6.2.4指导性文档
6.2.4.1管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。