GB/T 37941-2019
基本信息
标准号: GB/T 37941-2019
中文名称:信息安全技术 工业控制系统网络审计产品安全技术要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 信息安全 技术 工业 控制系统 网络 审计 产品安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准编号:GB/T 37941-2019
标准名称:信息安全技术 工业控制系统网络审计产品安全技术要求
英文名称:Information security technology-Security technical requiremenls of industrial control system network audit products
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:2213K
标准介绍:本标准按照GB/T1.1-209给出的规则起草
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安
全威胁,通用安全审计产品在面对工业控制系统的安全防护时显得力不从心,因此急需要一种能应用于
工业控制环境的安全审计产品对工业控制系统进行安全防护
应用于工业控制环境的安全审计产品与通用安全审计产品的主要差异体现在:
通用安全审计产品主要针对应用于互联网的通用协议进行分析和记录。用于工业控制环境的安全审计产品除了能够分析部分互联网的通用协议外,还应具有对工业控制协议的深度解释能力。而无需对电子邮件等工业控制系统中不会使用的通用协议。
用于工业控制环境的安全审计产品可能有部分组件部署在工业现场环境,因此比通用安全审计产品需具有更高的环境适应能力
工业控制环境中,通常流量相对较小,流量类型相对固定,对可靠性要求更高,用于工业控制环境的安全审计产品能够支持全流量审计,并要求支持采用基于白名单方式对审计信息进行分析
1 范围
本标准规定了工业控制系统网络审计产品的安全技术要求,包括安全功能要求、自身安全要求和安
全保障要求
本标准适用于工业控制系统网络审计产品的设计、生产和测试
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T242351995电工电子产品环境试验第2部分:试验方法试验Ea和导则:冲击GB/T2423.8—1995电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落GB/T2423.10—2008电工电子产品环境试验第2部分:试验方法试验Fc:振动(正弦)GB/T4208-2017外壳防护等级(IP代码)
GBA824-2013工业、科学和医疗(ISM)射频设备骚扰特性限值和测量方法B/T92542008倍息技术设备的无线电骚扰限值和测量方法
GB/T137292002远动终端设备
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T37941—2019
信息安全技术
工业控制系统网络审计
产品安全技术要求
Information security technologySecurity technical requirements of industrialcontrolsystemnetworkauditproducts2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
产品描述
6安全技术要求
基本级安全技术要求
安全功能要求
自身安全要求
6.1.3安全保障要求
6.2增强级安全技术要求
安全功能要求
自身安全要求
安全保障要求
附录A(资料性附录)
工业控制系统网络审计产品的应用附录B(规范性附录)
环境适应性要求
参考文献
GB/T37941—2019
本标准按照GB/T1.12009给出的规则起草。GB/T37941—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、公安部网络安全保卫局、珠海市鸿瑞软件技术有限公司、北京天地和兴科技有限公司,上海三零卫士信息安全有限公司、北京神州绿盟信息安全科技股份有限公司、中国信息安全研究院有限公司,北京天融信网络安全技术有限公司、中国电子技术标准化研究院、济南华汉电气科技有限公司、北京和利时系统工程有限公司、上海电力学院本标准主要起草人:邹春明、沈清泓、刘瑞、陆臻、陆磊、范春玲、田原、孟双、俞优、顾健、康天娇、王勇、刘智勇、陈敏超、金光宇、倪华、叶晓虎、王晓鹏、周文奇、雷晓锋、范科峰、姚相振、李琳、周睿康、朱毅明、杨晨。
GB/T37941—2019
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用安全审计产品在面对工业控制系统的安全防护时显得力不从心,因此急需要一种能应用于工业控制环境的安全审计产品对工业控制系统进行安全防护。应用于工业控制环境的安全审计产品与通用安全审计产品的主要差异体现在:通用安全审计产品主要针对应用手互联网的通用协议进行分析和记录。用手工业控制环境的安全审计产品除了能够分析部分互联网的通用协议外,还应具有对工业控制协议的深度解释能力,而无需对电子邮件等工业控制系统中不会使用的通用协议用于工业控制环境的安全审计产品可能有部分组件部署在工业现场环境,因此比通用安全审计产品需具有更高的环境适应能力。工业控制环境中,通常流量相对较小,流量类型相对固定,对可靠性要求更高,用于工业控制环境的安全审计产品能够支持全流量审计,并要求支持采用基于白名单方式对审计信息进行分析。
1范围
信息安全技术
工业控制系统网络审计
产品安全技术要求
GB/T37941—2019
本标准规定了工业控制系统网络审计产品的安全技术要求,包括安全功能要求、自身安全要求和安全保障要求
本标准适用于工业控制系统网络审计产品的设计,生产和测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.51995
GB/T2423.8—1995
电工电子产品环境试验第2部分:试验方法试验Ea和导则:冲击电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落GB/T2423.10—2008
电工电子产品环境试验
第2部分:试验方法试验Fc:振动(正弦)GB/T4208—2017外壳防护等级(IP代码)GB4824—2013
工业,科学和医疗(ISM)射频设备骚扰特性限值和测量方法GB/T92542008
信息技术设备的无线电骚扰限值和测量方法GB/T13729—2002
远动终端设备
GB/T15153.1—1998
GB/T17214.4—2005
GB/T17626.2—2018
GB/T17626.3—2016
GB/T17626.4
GB/T17626.5—2008
GB/T17626.6—2017
GB/T17626.8
GB/T17626.10—2017
GB/T17626.11—2008
GB/T17626.12—2013
GB/T17626.162007
GB/T17626.17—2005
GB/T17626.18—2016
GB/T17626.29—2006
电压变化的抗扰度试验
GB/T20945—2013
GB/T25069—2010
GB/T32919—2016
远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容性工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
静电放电抗扰度试验
射频电磁场辐射抗扰度试验
电快速瞬变脉冲群抗扰度试验
浪涌(冲击)抗扰度试验
射频场感应的传导骚扰抗扰度
工频磁场抗扰度试验
试验和测量技术
试验和测量技术
试验和测量技术
阻尼振荡磁场抗扰度试验
电压暂降、短时中断和电压变化的抗扰度振铃波抗扰度试验
试验和测量技术。
0Hz~150kHz共模传导骚扰抗扰度试验试验和测量技术
直流电源输入端口纹波抗扰度试验试验和测量技术
阻尼振荡波抗扰度试验
试验和测量技术直流电源输人端口电压暂降、短时中断和信息系统安全审计产品技术要求和测试评价方法信息安全技术
信息安全技术
工业控制系统安全控制应用指南信息安全技术
GB/T37941—2019
3术语和定义
GB/T20945—2013,GB/T25069—2010和GB/T32919—2016界定的以及下列术语和定义适用于本文件。
工业控制协议industrial controlprotocol工业控制系统中,上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。注:通常包括模拟量和数字量的读写控制。3.2
工业控制系统网络审计产品industrial control systemnetworkauditproducts部署于工业控制网络中,对工业控制系统中的事件进行记录和分析,并针对特定事件采取相应匹配动作的产品。
4缩略语Www.bzxZ.net
下列缩略语适用于本文件。
MAC:媒体接控制(MediaAccessControl)SMS:短信服务(ShortMessageService)SNMP:筒单网络管理协议(SimpleNetworkManagementProtocol)URL:统一资源定位符(UniformResourceLocator)5产品描述
工业控制系统网络审计产品的结构一般分为两种:一种是一体化设备,将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能,另一种是由采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,采取相应的响应措施,并支持采集端分布式部署。该产品典型部署场景参见附录A本标准将工业控制系统网络审计产品安全技术要求分为安全功能要求,自身安全要求和安全保障要求三个大类。安全功能要求,自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。若产品全部或部分组件部署在工业控制现场,应根据实际需求满足附录B环境适应性要求。6安全技术要求
6.1基本级安全技术要求
6.1.1安全功能要求
6.1.1.1审计数据采集
6.1.1.1.1采集策略
产品应支持基于策略的数据采集:a)支持基于网络层要素的数据采集策略:至少包括源目的MAC或源目的IP、传输层协议、目的端口;
b)支持基于工业控制协议的数据采集策略2审计数据生成
6.1.1.1.2
产品应在实际的系统环境和网络带宽下及时生成审计数据。6.1.1.2审计数据还原
6.1.1.2.1
网络层通信协议还原
GB/T37941—2019
产品应支持对网络层通信协议的数据进行还原,至少包括源目的MAC、源目的IP、传输层协议、源目的端口、应用层协议。
6.1.1.2.2应用协议还原
产品应支持对HTTPFTP,TELNET协议的应用数据还原:a)HTTP通信:目标URL;
b)FTP通信:使用的账号、输人命令;c
TELNET通信:使用的账号,输入命令。6.1.1.2.3工业控制协议还原
产品应支持对工业控制协议应用数据进行分析和还原,支持至少一种工业控制协议。至少支持:a)组态变更,包括上传、下载;b)指令变更,包括写指令及相关参数,如控制点位地址、控制值等。6.1.1.3审计事件识别和分析
6.1.1.3.1基于白名单规则分析
6.1.1.3.1.1白名单规则定义
产品应支持白名单规则的定义:网络通信白名单:支持基于IP或MAC等要求进行规制定义;a)
b)工业控制协议通信白名单:支持基于控制命令、控制点位、控制值等要素进行规则定义。6.1.1.3.1.2白名单方式识别
产品应支持基于白名单机制对审计信息的识别。6.1.1.3.2异常事件识别
产品应支持对以下异常事件的识别:网络中出现IP或MAC白名单之外的设备;a)
b)工业控制协议通信出现异常的控制命令、控制点位、控制值。4审计记录
6.1.1.4.1记录内容
产品应按照事件的分类和级别,生成包含以下内容的审计记录:a)事件主体;
b)事件客体;
事件发生的日期和时间;
GB/T37941—2019
事件类型;
事件的级别;
审计源身份(分布式产品);
事件的描述;
h)工业控制协议的深度解析内容,至少包括控制命令、控制点位、控制值。2事件分类
6.1.1.4.2
产品应对事件按用户可理解的方式进行分类,方便用户浏览和策略定制。如按事件的潜在风险分类,正常事件、异常事件;按协议类型分类等。6.1.1.4.3事件分级
产品应将异常事件可能的潜在危害程度划分为不同的级别,对不同级别的事件采取不同的处理方式。6.1.1.4.4数据库支持
产品应支持一种数据库管理软件,用于存储审计记录,方便用户查阅、检索和统计分析6.1.1.5事件响应和报警
6.1.1.5.1事件告警
产品应能对系统安全策略定义的不同等级的事件采取不同方式进行告警,6.1.1.5.2告警方式
产品应产生报警,响应报警方式至少包含以下方式中的一种:a)
管理界面告警;
向网管中心发送SNMPTrap报警消息;b)
向声光电发生装置发送启动信号;向网管人员发送SMS报警短消息。d)
审计查阅和报表
6.1.1.6.1常规查阅
产品应提供查阅审计记录的工具,查阅的结果应以用户易于理解的方式和格式提供,并且能支持导出及打印。
6.1.1.6.2有限查阅
产品应确保除授权管理员之外,其他用户无权对审计记录进行查阅6.1.1.6.3可选查阅
产品应为授权管理员提供将审计记录按一定的条件进行选择、搜索、分类和排序的功能,所得结果应以用户友好的、使于理解的形式提供报告或打印6.1.1.6.4审计报表
报表生成器将审计分析器传来的分析结果进行数据汇总报表输出,对报表至少有以下要求:a)产品应提供审计报表模板,能够基于模板生成审计报表;b)报告内容应至少支持文字、图像两种描述方式;4
GB/T37941—2019
审计数据报告生成格式应至少支持txt、html、doc、xls、pdf等通用文件格式中的一种。c
6.1.1.7审计记录存储
6.1.1.7.1存储安全
产品应提供安全机制保护审计记录数据免遭未经授权的删除或修改,如采取严格的身份鉴别机制和适合的文件读写权限等。任何对审计记录数据的删除或修改都应生成系统自身安全审计记录。应对审计记录进行完整性保护。
6.1.1.7.2存储空间耗尽处理
产品应提供数据存储空间耗尽处理功能,当剩余存储空间达到预定义的值时进行告警6.1.2自身安全要求
6.1.2.1标识和鉴别
6.1.2.1.1唯一性标识
产品应保证任何用户都具有全局唯一的标识。6.1.2.1.2管理员属性定义
产品应为每个管理员规定与之相关的安全属性,如管理员标识、鉴别信息、隶属组、权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能。6.1.2.1.3管理员角色
产品应为管理角色进行分级,使不同级别的管理角色具有不同的管理权限6.1.2.1.4基本鉴别
产品应保证任何用户在执行安全功能前都要进行身份鉴别,若采用口令方式鉴别,应支持对口会强度进行检查,如口令长度,是否需包含数字,字母,特殊字符等。6.1.2.1.5超时锁定或注销
当已通过身份鉴别的管理角色空闲操作的时间超过规定值时,在该管理角色执行管理功能前,产品应对该管理角色的身份重新进行鉴别。6.1.2.1.6鉴别失败处理
产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值时,系统应通过技术手段阻止管理员的进一步鉴别请求。6.1.2.1.7鉴别数据保护
产品应保证管理员鉴别数据以非明文形式存储,不被未授权查看或修改。6.1.2.2安全管理
6.1.2.2.1接口及管理安全
产品应保证业务接口、管理接口、管理界面的安全:a)业务接口和管理接口采用不同的网络接口;5
GB/T37941—2019
b)业务接口采取被动收包方式工作,不得外发数据包;c)管理接口及管理界面不存在中高风险安全漏洞6.1.2.2.2管理信息传输安全
产品需要通过网络进行管理时,产品应能对管理信息进行保密传输6.1.2.2.3安全状态监测
产品应能够监测产品自身及组件状态,包括对产品CPU、内存、存储空间等系统资源使用状态进行监测。
6.1.2.3时间同步
产品及组件应支持以下时间同步功能:a)若由多个组件组成,各组件支持与审计中心进行时间同步;b)审计中心支持与外部时间服务器进行时间同步。6.1.2.4
审计日志
6.1.2.4.1审计日志生成
产品应对与自身安全相关的以下事件生成审计日志:a)身份鉴别,包括成功和失败;因鉴别失败次数超过了阈值而采取的禁止进一步尝试的措施;b)
审计策略的增加、删除、修改。c)
6.1.2.4.2审计日志内容
审计日志内容至少应包括日期、时间、事件主体、事件客体、事件描述等。3审计日志存储
6.1.2.4.3
产品应将自身审计日志与审计记录分开保存到不同的记录文件或数据库(或同一数据库的不同表)中,方便用户查阅和分析。应保证自身审计日志存储的最短期限不少于6个月6.1.3安全保障要求
6.1.3.1开发
6.1.3.1.1安全架构
开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;描述产品安全功能初始化过程及安全措施:证实产品安全功能能够防止被破坏;d)
证实产品安全功能能够防止安全策略被旁路6.1.3.1.2功能规范
开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;
b)描述所有安全功能接口的目的与使用方法;6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T37941—2019
信息安全技术
工业控制系统网络审计
产品安全技术要求
Information security technologySecurity technical requirements of industrialcontrolsystemnetworkauditproducts2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
产品描述
6安全技术要求
基本级安全技术要求
安全功能要求
自身安全要求
6.1.3安全保障要求
6.2增强级安全技术要求
安全功能要求
自身安全要求
安全保障要求
附录A(资料性附录)
工业控制系统网络审计产品的应用附录B(规范性附录)
环境适应性要求
参考文献
GB/T37941—2019
本标准按照GB/T1.12009给出的规则起草。GB/T37941—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、公安部网络安全保卫局、珠海市鸿瑞软件技术有限公司、北京天地和兴科技有限公司,上海三零卫士信息安全有限公司、北京神州绿盟信息安全科技股份有限公司、中国信息安全研究院有限公司,北京天融信网络安全技术有限公司、中国电子技术标准化研究院、济南华汉电气科技有限公司、北京和利时系统工程有限公司、上海电力学院本标准主要起草人:邹春明、沈清泓、刘瑞、陆臻、陆磊、范春玲、田原、孟双、俞优、顾健、康天娇、王勇、刘智勇、陈敏超、金光宇、倪华、叶晓虎、王晓鹏、周文奇、雷晓锋、范科峰、姚相振、李琳、周睿康、朱毅明、杨晨。
GB/T37941—2019
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用安全审计产品在面对工业控制系统的安全防护时显得力不从心,因此急需要一种能应用于工业控制环境的安全审计产品对工业控制系统进行安全防护。应用于工业控制环境的安全审计产品与通用安全审计产品的主要差异体现在:通用安全审计产品主要针对应用手互联网的通用协议进行分析和记录。用手工业控制环境的安全审计产品除了能够分析部分互联网的通用协议外,还应具有对工业控制协议的深度解释能力,而无需对电子邮件等工业控制系统中不会使用的通用协议用于工业控制环境的安全审计产品可能有部分组件部署在工业现场环境,因此比通用安全审计产品需具有更高的环境适应能力。工业控制环境中,通常流量相对较小,流量类型相对固定,对可靠性要求更高,用于工业控制环境的安全审计产品能够支持全流量审计,并要求支持采用基于白名单方式对审计信息进行分析。
1范围
信息安全技术
工业控制系统网络审计
产品安全技术要求
GB/T37941—2019
本标准规定了工业控制系统网络审计产品的安全技术要求,包括安全功能要求、自身安全要求和安全保障要求
本标准适用于工业控制系统网络审计产品的设计,生产和测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.51995
GB/T2423.8—1995
电工电子产品环境试验第2部分:试验方法试验Ea和导则:冲击电工电子产品环境试验第2部分:试验方法试验Ed:自由跌落GB/T2423.10—2008
电工电子产品环境试验
第2部分:试验方法试验Fc:振动(正弦)GB/T4208—2017外壳防护等级(IP代码)GB4824—2013
工业,科学和医疗(ISM)射频设备骚扰特性限值和测量方法GB/T92542008
信息技术设备的无线电骚扰限值和测量方法GB/T13729—2002
远动终端设备
GB/T15153.1—1998
GB/T17214.4—2005
GB/T17626.2—2018
GB/T17626.3—2016
GB/T17626.4
GB/T17626.5—2008
GB/T17626.6—2017
GB/T17626.8
GB/T17626.10—2017
GB/T17626.11—2008
GB/T17626.12—2013
GB/T17626.162007
GB/T17626.17—2005
GB/T17626.18—2016
GB/T17626.29—2006
电压变化的抗扰度试验
GB/T20945—2013
GB/T25069—2010
GB/T32919—2016
远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容性工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
电磁兼容
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
试验和测量技术
静电放电抗扰度试验
射频电磁场辐射抗扰度试验
电快速瞬变脉冲群抗扰度试验
浪涌(冲击)抗扰度试验
射频场感应的传导骚扰抗扰度
工频磁场抗扰度试验
试验和测量技术
试验和测量技术
试验和测量技术
阻尼振荡磁场抗扰度试验
电压暂降、短时中断和电压变化的抗扰度振铃波抗扰度试验
试验和测量技术。
0Hz~150kHz共模传导骚扰抗扰度试验试验和测量技术
直流电源输入端口纹波抗扰度试验试验和测量技术
阻尼振荡波抗扰度试验
试验和测量技术直流电源输人端口电压暂降、短时中断和信息系统安全审计产品技术要求和测试评价方法信息安全技术
信息安全技术
工业控制系统安全控制应用指南信息安全技术
GB/T37941—2019
3术语和定义
GB/T20945—2013,GB/T25069—2010和GB/T32919—2016界定的以及下列术语和定义适用于本文件。
工业控制协议industrial controlprotocol工业控制系统中,上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。注:通常包括模拟量和数字量的读写控制。3.2
工业控制系统网络审计产品industrial control systemnetworkauditproducts部署于工业控制网络中,对工业控制系统中的事件进行记录和分析,并针对特定事件采取相应匹配动作的产品。
4缩略语Www.bzxZ.net
下列缩略语适用于本文件。
MAC:媒体接控制(MediaAccessControl)SMS:短信服务(ShortMessageService)SNMP:筒单网络管理协议(SimpleNetworkManagementProtocol)URL:统一资源定位符(UniformResourceLocator)5产品描述
工业控制系统网络审计产品的结构一般分为两种:一种是一体化设备,将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能,另一种是由采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,采取相应的响应措施,并支持采集端分布式部署。该产品典型部署场景参见附录A本标准将工业控制系统网络审计产品安全技术要求分为安全功能要求,自身安全要求和安全保障要求三个大类。安全功能要求,自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。若产品全部或部分组件部署在工业控制现场,应根据实际需求满足附录B环境适应性要求。6安全技术要求
6.1基本级安全技术要求
6.1.1安全功能要求
6.1.1.1审计数据采集
6.1.1.1.1采集策略
产品应支持基于策略的数据采集:a)支持基于网络层要素的数据采集策略:至少包括源目的MAC或源目的IP、传输层协议、目的端口;
b)支持基于工业控制协议的数据采集策略2审计数据生成
6.1.1.1.2
产品应在实际的系统环境和网络带宽下及时生成审计数据。6.1.1.2审计数据还原
6.1.1.2.1
网络层通信协议还原
GB/T37941—2019
产品应支持对网络层通信协议的数据进行还原,至少包括源目的MAC、源目的IP、传输层协议、源目的端口、应用层协议。
6.1.1.2.2应用协议还原
产品应支持对HTTPFTP,TELNET协议的应用数据还原:a)HTTP通信:目标URL;
b)FTP通信:使用的账号、输人命令;c
TELNET通信:使用的账号,输入命令。6.1.1.2.3工业控制协议还原
产品应支持对工业控制协议应用数据进行分析和还原,支持至少一种工业控制协议。至少支持:a)组态变更,包括上传、下载;b)指令变更,包括写指令及相关参数,如控制点位地址、控制值等。6.1.1.3审计事件识别和分析
6.1.1.3.1基于白名单规则分析
6.1.1.3.1.1白名单规则定义
产品应支持白名单规则的定义:网络通信白名单:支持基于IP或MAC等要求进行规制定义;a)
b)工业控制协议通信白名单:支持基于控制命令、控制点位、控制值等要素进行规则定义。6.1.1.3.1.2白名单方式识别
产品应支持基于白名单机制对审计信息的识别。6.1.1.3.2异常事件识别
产品应支持对以下异常事件的识别:网络中出现IP或MAC白名单之外的设备;a)
b)工业控制协议通信出现异常的控制命令、控制点位、控制值。4审计记录
6.1.1.4.1记录内容
产品应按照事件的分类和级别,生成包含以下内容的审计记录:a)事件主体;
b)事件客体;
事件发生的日期和时间;
GB/T37941—2019
事件类型;
事件的级别;
审计源身份(分布式产品);
事件的描述;
h)工业控制协议的深度解析内容,至少包括控制命令、控制点位、控制值。2事件分类
6.1.1.4.2
产品应对事件按用户可理解的方式进行分类,方便用户浏览和策略定制。如按事件的潜在风险分类,正常事件、异常事件;按协议类型分类等。6.1.1.4.3事件分级
产品应将异常事件可能的潜在危害程度划分为不同的级别,对不同级别的事件采取不同的处理方式。6.1.1.4.4数据库支持
产品应支持一种数据库管理软件,用于存储审计记录,方便用户查阅、检索和统计分析6.1.1.5事件响应和报警
6.1.1.5.1事件告警
产品应能对系统安全策略定义的不同等级的事件采取不同方式进行告警,6.1.1.5.2告警方式
产品应产生报警,响应报警方式至少包含以下方式中的一种:a)
管理界面告警;
向网管中心发送SNMPTrap报警消息;b)
向声光电发生装置发送启动信号;向网管人员发送SMS报警短消息。d)
审计查阅和报表
6.1.1.6.1常规查阅
产品应提供查阅审计记录的工具,查阅的结果应以用户易于理解的方式和格式提供,并且能支持导出及打印。
6.1.1.6.2有限查阅
产品应确保除授权管理员之外,其他用户无权对审计记录进行查阅6.1.1.6.3可选查阅
产品应为授权管理员提供将审计记录按一定的条件进行选择、搜索、分类和排序的功能,所得结果应以用户友好的、使于理解的形式提供报告或打印6.1.1.6.4审计报表
报表生成器将审计分析器传来的分析结果进行数据汇总报表输出,对报表至少有以下要求:a)产品应提供审计报表模板,能够基于模板生成审计报表;b)报告内容应至少支持文字、图像两种描述方式;4
GB/T37941—2019
审计数据报告生成格式应至少支持txt、html、doc、xls、pdf等通用文件格式中的一种。c
6.1.1.7审计记录存储
6.1.1.7.1存储安全
产品应提供安全机制保护审计记录数据免遭未经授权的删除或修改,如采取严格的身份鉴别机制和适合的文件读写权限等。任何对审计记录数据的删除或修改都应生成系统自身安全审计记录。应对审计记录进行完整性保护。
6.1.1.7.2存储空间耗尽处理
产品应提供数据存储空间耗尽处理功能,当剩余存储空间达到预定义的值时进行告警6.1.2自身安全要求
6.1.2.1标识和鉴别
6.1.2.1.1唯一性标识
产品应保证任何用户都具有全局唯一的标识。6.1.2.1.2管理员属性定义
产品应为每个管理员规定与之相关的安全属性,如管理员标识、鉴别信息、隶属组、权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能。6.1.2.1.3管理员角色
产品应为管理角色进行分级,使不同级别的管理角色具有不同的管理权限6.1.2.1.4基本鉴别
产品应保证任何用户在执行安全功能前都要进行身份鉴别,若采用口令方式鉴别,应支持对口会强度进行检查,如口令长度,是否需包含数字,字母,特殊字符等。6.1.2.1.5超时锁定或注销
当已通过身份鉴别的管理角色空闲操作的时间超过规定值时,在该管理角色执行管理功能前,产品应对该管理角色的身份重新进行鉴别。6.1.2.1.6鉴别失败处理
产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值时,系统应通过技术手段阻止管理员的进一步鉴别请求。6.1.2.1.7鉴别数据保护
产品应保证管理员鉴别数据以非明文形式存储,不被未授权查看或修改。6.1.2.2安全管理
6.1.2.2.1接口及管理安全
产品应保证业务接口、管理接口、管理界面的安全:a)业务接口和管理接口采用不同的网络接口;5
GB/T37941—2019
b)业务接口采取被动收包方式工作,不得外发数据包;c)管理接口及管理界面不存在中高风险安全漏洞6.1.2.2.2管理信息传输安全
产品需要通过网络进行管理时,产品应能对管理信息进行保密传输6.1.2.2.3安全状态监测
产品应能够监测产品自身及组件状态,包括对产品CPU、内存、存储空间等系统资源使用状态进行监测。
6.1.2.3时间同步
产品及组件应支持以下时间同步功能:a)若由多个组件组成,各组件支持与审计中心进行时间同步;b)审计中心支持与外部时间服务器进行时间同步。6.1.2.4
审计日志
6.1.2.4.1审计日志生成
产品应对与自身安全相关的以下事件生成审计日志:a)身份鉴别,包括成功和失败;因鉴别失败次数超过了阈值而采取的禁止进一步尝试的措施;b)
审计策略的增加、删除、修改。c)
6.1.2.4.2审计日志内容
审计日志内容至少应包括日期、时间、事件主体、事件客体、事件描述等。3审计日志存储
6.1.2.4.3
产品应将自身审计日志与审计记录分开保存到不同的记录文件或数据库(或同一数据库的不同表)中,方便用户查阅和分析。应保证自身审计日志存储的最短期限不少于6个月6.1.3安全保障要求
6.1.3.1开发
6.1.3.1.1安全架构
开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;描述产品安全功能初始化过程及安全措施:证实产品安全功能能够防止被破坏;d)
证实产品安全功能能够防止安全策略被旁路6.1.3.1.2功能规范
开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;
b)描述所有安全功能接口的目的与使用方法;6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。