1 范圍

      本標準規定了針對工業控制系統的漏洞檢測產品的技術要求，包括安全功能要求、自身安全要求和安全保障要求，以及相應的測試評價方法。

      本標準適用于工業控制系統漏洞檢測產品的設計、開發和測評。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      漏洞 vulnerability

      資產中能被威脅所利用的弱點。

3.2

      測試用例 test case

      為某個特定目標而編制的一組輸入、執行條件以及預期結果，以核實是否滿足某個特定需求。

3.3

      測試集合 test set

      測試用例的組合。

3.4

      工業控制組態軟件 industrial control configuration software

      在控制系統監控層的軟件平臺和開發環境，使用靈活的方式為用戶提供快速配置現場系統狀態的軟件工具。

4 縮略語

      下列縮略語適用于本文件。

      DNP：分布式網絡協議（Distributed Network Protocol）

      HTML：超文本標記語言（Hypertext Markup Language）

      HTTP：超文本傳輸協議（HyperText Transfer Protocol）

      FTP：文件傳輸協議（File Transfer Protocol）

      IP：互聯網協議（Internet Protocol）

      OLE：對象連接與嵌入（Object Linking and Embedding）

      OPC：用于過程控制的OLE（OLE forProcess Control）

      RTU：遠程控制終端（Remote Terminal Unit）

      SNMP：簡單網絡管理協議（Simple Network Management Protocol）

      TCP：傳輸控制協議（Transmission Control Protocol）

      UDP：用戶數據報協議（User Datagram Protocol）

5 產品描述

      工業控制系統漏洞檢測的目的是檢查和分析系統的安全脆弱性，發現可能被入侵者利用的漏洞，并提出防范和補救措施。工業控制系統漏洞檢測產品可以用于離線環境、工業控制系統試運行期間或工業系統維修期間，能夠對工業控制系統中的工業控制設備、通信設備、安全保護設備以及工業控制軟件等進行自動檢測，發現存在的漏洞。為防止影響正常生產，不應在工業生產現場使用工業控制系統漏洞檢測產品。

工業控制系統漏洞檢測產品分為基本級和增強級。工業控制系統漏洞檢測產品安全技術要求的分級及其要求條款見附錄A。工業控制系統漏洞檢測產品測評方法的分級及其測評項見附錄B。

6 安全技術要求

6.1 安全功能要求

6.1.1 工業控制設備識別

      漏洞檢測產品應能自動識別工業控制設備。

      漏洞檢測產品應支持手動添加工業控制設備。

6.1.2 工業控制設備端口掃描

      漏洞檢測產品應能掃描所有TCP端口，檢查其是否開啟。

      漏洞檢測產品應能掃描所有UDP端口，檢查其是否開啟。

      對于已開啟的TCP、UDP端口，漏洞檢測產品應能判斷出與之對應的公開的工業控制通信協議。

6.1.3 工業控制設備通信協議漏洞檢測

      漏洞檢測產品應能檢測使用（包括但不限于）以下通信協議的工業控制設備的已知漏洞：

      a）工業以太網協議：Modbus/TCP協議、OPC協議、DNP3.0協議、IEC-60870-5-104協議、IEC-61850 MMS協議、Siemens S7Comm 協議、PROFINET協議、IEC-61850 GOOSE協議、IEC-61850 SV協議、EtherNet/IP協議；

      b）互聯網協議：HTTP協議、FTP協議、TELNET協議、SNMP協議；

      c) 串口協議：Modbus RTU協議、IEC-60870-5-101協議；

      d）私有協議（包括行業專業協議）。

6.1.4 工業控制組態軟件漏洞檢測

      漏洞檢測產品應能檢測工業控制組態軟件的已知漏洞。

6.1.5 工業控制設備操作系統檢測

      漏洞檢測產品應能檢測工業控制設備操作系統的安全問題，檢測項目應包括但不限于以下內容：

      a）操作系統類型和版本號識別；

      b）操作系統登錄弱口令檢測；

      c）操作系統已知安全漏洞檢測。

6.1.6 工業控制數據庫漏洞檢測

      漏洞檢測產品應能檢測工業控制數據庫的已知漏洞。

6.1.7 工業控制網絡通信設備漏洞檢測

      漏洞檢測產品應能檢測工業控制網絡通信設備（例如，工業交換機等）的已知漏洞。

6.1.8 檢測結果處理要求

      漏洞檢測產品應能滿足以下要求：

      a）漏洞檢測產品應能實時查看檢測進度。

      b）漏洞檢測產品應能實時查看測試用例的執行方法和每一方法的結果。

      c）漏洞檢測產品應能監測工業控制設備的實時響應。

      d）檢測任務應能隨時暫?；蛘呓K止。

      e）漏洞檢測產品應能保存檢測結果。

      f）漏洞檢測產品應能記錄并追溯導致工業控制設備異常的數據報文。

      g）漏洞檢測產品應能根據檢測結果自動生成檢測報告。檢測報告應包括但不限于以下內容：

      1）工業控制設備的信息列表，包括設備類型、固件版本、操作系統版本等；

      2）漏洞的名稱、漏洞編號、發布日期等；

      3）潛在的漏洞；

      4）被測設備的危險等級評估，明確標出掃描出的漏洞的危險等級。

      h）檢測報告應以通用文檔格式（例如，WPS、DOC、TXT、RTF、PDF、HTML等）輸出。

      i）測試過程異常終止時，漏洞檢測產品應能生成已檢測部分的報告，并說明測試過程異常終止。注：被測設備的危險等級取決于掃描脆弱點的最高危險等級。危險等級的定義參見GB/T 30279-2013中4.2。

6.1.9 管理控制功能要求

      漏洞檢測產品應能滿足以下要求：

      a）漏洞檢測產品應能針對不同的工業控制設備和系統設置相應的檢測參數（例如，掃描地址范圍、端口范圍、漏洞類型、測試報文、測試次數、測試時間間隔等）。

      b）漏洞檢測產品應支持以下測試方式：

      1）依據工業控制通信協議將測試用例進行歸類；

      2）支持測試用例隨機組合；

      3）支持測試集合隨機組合；

      4）支持用戶編寫測試用例；

      5）根據設備類型向用戶推薦某類或某幾類測試用例。

      c）漏洞檢測產品應內置工業控制設備信息庫并允許更新。

      d）漏洞檢測產品應內置漏洞庫。

      e）漏洞檢測產品應能通過產品升級等方式更新漏洞庫，添加新發現的安全漏洞。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。