对公银行账号/支付宝 中国标准英文版 技术翻译  数据库收录: 159759 更新: 2021-01-06  
现货的,9秒内发货  

GB/T 33009.4-2016

标准搜索结果: 'GB/T 33009.4-2016'
标准号码内文价格美元第2步交付天数标准名称状态
GB/T 33009.4-2016 英文版 150 购买 3分钟内自动发货[PDF],有增值税发票。 工业自动化和控制系统网络安全 集散控制系统(DCS) 第4部分:风险与脆弱性检测要求 有效

   
基本信息
标准编号 GB/T 33009.4-2016 (GB/T33009.4-2016)
中文名称 工业自动化和控制系统网络安全 集散控制系统(DCS) 第4部分:风险与脆弱性检测要求
英文名称 (Industrial automation and control systems - Network security DCS (Distributed Control System) - Part 4: Requirements for risk and vulnerability detection)
行业 国家标准 (推荐)
中标分类 N10
字数估计 20,235
发布日期 2016-10-13
实施日期 2017-05-01
标准依据 国家标准公告2016年第17号

GB/T 33009.4-2016
(Industrial automation and control systems - Network security DCS (Distributed Control System) - Part 4.Requirements for risk and vulnerability detection)
ICS 25.040
N10
中华人民共和国国家标准
工业自动化和控制系统网络安全
集散控制系统(DCS)
第4部分.风险与脆弱性检测要求
2016-10-13发布
2017-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 DCS风险与脆弱性检测概述 3
4.1 DCS系统概述 3
4.2 DCS风险与脆弱性检测的目标 5
4.3 DCS风险与脆弱性检测基本原则 5
4.4 DCS风险与脆弱性检测内容 5
4.5 DCS风险与脆弱性检测基本工作单元 6
4.6 DCS风险与脆弱性检测的执行 7
4.7 DCS风险与脆弱性检测结果的处置 7
5 DCS软件安全风险与脆弱性 7
5.1 服务器和控制站的操作系统 7
5.2 数据库管理系统 8
5.3 OPC类软件 10
5.4 DCS监控软件 10
5.5 DCS组态软件 12
5.6 其他软件 12
6 DCS网络通信安全风险与脆弱性 13
6.1 商用以太网协议通信机制 13
6.2 工业网络协议通信机制 13
6.3 DCS通信数据安全 14
6.4 DCS通信服务 15
6.5 DCS状态转换 16
参考文献 17
前言
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》和GB/T 33008《工业自动
化和控制系统网络安全 可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列
标准。
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》分为4个部分.
---第1部分.防护要求;
---第2部分.管理要求;
---第3部分.评估指南;
---第4部分.风险与脆弱性检测要求。
本部分为GB/T 33009的第4部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标
准化技术委员会(SAC/TC260)归口。
本部分起草单位.浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、重
庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启
明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限
公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐
德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自
动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公
司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、
北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南
电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子
科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机(中国)有限公司北京研发中心。
本部分主要起草人.冯冬芹、施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、
许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、刘大龙、陆耿虹、刘文龙、吴彦彪、王芳、
孟雅辉、范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小淙、华镕、高昆仑、王雪、周纯杰、张莉、刘杰、
朱毅明、王弢、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、
黄敏、朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、
杨应良、杨磊。
工业自动化和控制系统网络安全
集散控制系统(DCS)
第4部分.风险与脆弱性检测要求
1 范围
GB/T 33009的本部分规定了集散控制系统(DCS)在投运前、后的风险和脆弱性检测,对DCS软
件、以太网网络通信协议与工业控制网络协议的风险与脆弱性检测提出具体的要求。
本部分适用于对DCS中的下列对象进行脆弱性检测.
a) 监控软件、组态软件、数据库软件等DCS中的应用软件;
b) DCS操作员站和控制站等操作系统;
c) DCS中的具有网络协议实现和网络通信能力的功能和组件。
本部分不适用于智能仪表和工业无线的脆弱性检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
GB/T 30976.1-2014 工业控制系统信息安全 第1部分.评估规范
GB/T 33009.1-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分.防护
要求
GB/T 33009.2-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分.管理
要求
3 术语、定义、缩略语
3.1 术语和定义
GB/T 20984-2007和GB/T 30976.1-2014界定的以及下列术语和定义适用于本文件。为了便
于使用,以下重复列出了GB/T 20984-2007和GB/T 30976.1-2014中的一些术语和定义。
3.1.1
可用性 availability
数据或资源能被授权实体按要求访问和使用的特性。
[GB/T 20984-2007,定义3.3]
3.1.2
鉴别 authentication
验证实体所声称的身份的动作。
3.1.3
授权用户 authorizeduser
依据安全策略可以执行某项操作的用户。
3.1.4
保密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T 20984-2007,定义3.5]
3.1.5
控制系统网络安全 controlsystemsecurity
以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性。
3.1.6
识别 identify
对某一评估要素进行标识与辨别的过程。
[GB/T 30976.1-2014,定义3.1.2]
3.1.7
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。
[GB/T 20984-2007,定义3.10]
3.1.8
制造执行系统 manufacturingexecutionsystem
生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据,
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1.此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。
注2.更多信息参见GB/T 20720.1-2006。
3.1.9
组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也
可以是一个组织。
[GB/T 20984-2007,定义3.11]
3.1.10
威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
[GB/T 20984-2007,定义3.17]
3.1.11
脆弱性 vulnerability
系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。
[GB/T 30976.1-2014,定义3.1.1]
3.1.12
嗅探 sniffing
使用嗅探器对数据流的数据截获与分组分析。
3.1.13
溢出漏洞 overflowvulnerability
由于程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密造成的缓冲
区溢出。
3.1.14
强度测试 stresstesting
评价系统或部件在它规定的需求的限定或超出时情况的测试。
[GB/T 11457-2006,定义2.1599]
3.1.15
模糊测试 fuzzytesting
通过向应用提供非预期输入并监控输出异常来发现软件中故障的方法。
3.1.16
语法测试 syntextesting
根据输入域和(或)输出域的定义设计测试用例。
3.1.17
数据完整性 dataintegrity
数据完整性泛指数据库中数据的正确性和一致性,包括实体完整性、参照完整性和用户定义完
整性。
[GB/T 20273-2006,定义3.1.9]
3.2 缩略语
下列缩略语适用于本文件。
DCS.集散控制系统(DistributedControlSystem)
DoS.服务拒绝(DenialofService)
ERP.企业资源计划(EnterpriseResourcePlanning)
HMI.人机界面(HumanMachineInterface)
MES.制造执行系统(ManufacturingExecutionSystem)
OPC.用于过程控制的对象链接与嵌入[ObjectLinkingandEmbedding(OLE)forProcessControl]
4 DCS风险与脆弱性检测概述
4.1 DCS系统概述
4.1.1 通用DCS系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场
设备层。各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构
如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求
进行了要求。各层的说明如下.
---过程监控层.以操作监视为主要任务,兼有部分管理功能。这一级是面向操作员和控制系统工
程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示
器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工
程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断、质量
评估。
---现场控制层.现场控制层的主要功能包括.采集过程数据,进行数据转换与处理;对生产过程进
行监测和控制,输出控制信号,实现模拟量和开关量的控制;对I/O卡件进行诊断;与过程监
控层等进行数据通信。
---现场设备层.现场设备层的主要功能包括.采集控制信号、执行控制命令,依照控制信号进行设
备动作。
图1 典型DCS系统应用的网络结构示意图
注.将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2 DCS运行安全总体要求
4.1.2.1 实时性要求
DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动。
4.1.2.2 可用性要求
DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断
操作需要提前计划。
4.1.2.3 安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故。
4.1.2.4 完整性要求
DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改。
4.1.2.5 稳定性要求
DCS具有稳定性要求。DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而
且加剧设备的损耗等。
4.1.2.6 高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许
发生停车,且具有很好的耐久性和可维修性。
4.2 DCS风险与脆弱性检测的目标
DCS风险与脆弱性检测的目的是在DCS安全风险评估的基础上,通过对DCS系统的软件和系统
通信安全的风险和脆弱性检测,发现现有DCS中潜在的安全风险和脆弱性。企业通过对潜在风险的处
置,进一步提高DCS系统的安全性。DCS风险与脆弱性检测是对DCS安全风险评估工作的补充和扩
展,主要用于对DCS系统安全性要求较高的行业和用户。
4.3 DCS风险与脆弱性检测基本原则
DCS进行风险与脆弱性检测时,应不明显影响原有系统的实时性、可用性、可靠性、安全性
(safety),而且检测应从系统的实时性、可用性、可靠性、安全性(safety)角度出发。对于DCS软件安全
风险与脆弱性的各项测试内容建议在离线或模拟环境下执行;DCS网络通信协议安全风险与脆弱性的
检测,为确保其有效性,建议在网络结构完整的DCS环境下进行,如在相同网络结构的模拟系统或目标
DCS系统检修期间。本部分的建立旨在对DCS软件安全和网络通信的风险与脆弱性进行检测,使
DCS满足DCS运行安全总体要求。
4.4 DCS风险与脆弱性检测内容
风险与脆弱性检测是DCS用户发起的,可由发起方实施或委托DCS安全服务组织支持实施。测
试内容的选择宜以检测项为单位进行,以免破坏单个测试项的完整性。检测内容包括以下几个方面.
a) DCS软件安全风险与脆弱性
1) 服务器和控制站的操作系统(见5.1)。
2) 数据库管理系统(见5.2)。
3) OPC类软件(见5.3)。
4) DCS监控软件(见5.4)。
5) DCS组态软件(见5.5)。
6) 其他软件(见5.6)。
b) DCS网络通信安全风险与脆弱性
1) 商用以太网协议通信机制(见6.1)。
2) 工业网络协议通信机制(见6.2)。
3) DCS通信数据安全(见6.3)。
4) DCS通信服务(见6.4)。
5) DCS状态转换(见6.5)。
4.5 DCS风险与脆弱性检测基本工作单元
根据DCS对稳定性、实时性和安全性的要求,结合GB/T 28449-2012关于信息系统安全等级保
护测试工作单元的描述,建立DCS的安全检测工作单元。安全检测工作单元是DCS安全检测的基本
工作单位,对应一组相对独立和完整的检测内容。DCS安全检测工作单元由检测项、检测对象、检测方
式、检测实施和结果判定组成,如图2所示。
图2 检测工作单元构成
检测项.描述检测目的和检测内容,提出具体的技术和管理要求。
检测对象.检测实施过程中涉及DCS的组成以及相关的操作与管理人员,是客观存在的人员、文
档、通信机制或者设备等。检测对象是根据该工作单元中的检测项要求提出的。一般来说,实施检测时
面临的具体检测对象可以是单个人员、文档、通信机制或者设备等,也可能是由多个人员、文档、通信机
制或者设备等构成的集合,它们分别需要使用某个特定安全控制的功能。
检测方式.检测人员依据检测目的和检测内容选取的、实施特定检测操作的方式方法;一般包括三
种基本检测方式.访谈、检查和测试。访谈是指检测人员与被测DCS系统有关人员(个人/群体)进行交
流、讨论等活动,获取相关证据,了解有关信息。检查可分为文档审查、配置检查和实地查看等几种具体
方法。文档审查是指检查操作规程、安全管理策略等文档是否齐备,是否有完整的制度执行情况记录
(如机房出入登记表)等。配置检查是指检查与DCS相关的系统、设备等是否配置正确。实地查看是指
检测人员到DCS系统运行现场通过实地观察人员行为、技术设施和物理环境判断人员的安全意识、业
务操作、管理程序等方面的安全情况。测试是指利用技术工具进行测试。
检测实施.工作单元的主要组成部分。它是依据检测目的,针对检测内容开发出来的具体的检测执
行实施的要求,涉及具体的检测方式、检测对象和操作过程。在描述检测实施过程中使用助动词“应(应
该)”,表示这些过程是强制性活动,检测人员作出结论必须完成这些过程;使用助动词“可(可以)”表示
这些过程是非强制性活动,对检测人员作出结论没有根本性影响,检测人员可根据实际情况选择完成。
本部分中的检测措施都是重要且需被考虑的,但是宜根据DCS的实际应用场景、企业或组织的DCS安
全要求确定检测措施是否合适,选择切实可行的检测措施。
结果判定.描述检测人员执行检测操作得到各种检测证据后,如何依据这些检测证据来判定被测系
统是否满足检测项要求。在给出整个工作单元的检测结论前,需要先给出单个检测实施项的结论。一
般来说,单个检测实施项的结论判定常常需要检测人员的主观判断,通常认为取得正确的、关键性证据,
则该检测实施项就得到满足。
4.6 DCS风险与脆弱性检测的执行
对于尚未部署和实施的DCS系统,DCS风险与脆弱性检测可以选择在DCS投产运行前,安全评估
后进行。
对于在现有DCS基础上进行升级或新增扩展功能的DCS,建议在新旧系统联调测试前对新增系统
部分进行风险与脆弱性检测。在新旧联调阶段对受影响的DCS关键组件和网络通信功能进行风险与
脆弱性检测。
对于在役运行的系统,可选择在DCS升级改造后或检修、停运时进行风险与脆弱性检测。实际环
境所限无法在运行环境中进行的风险与脆弱性检测项,可以在模拟环境中进行检测。
4.7 DCS风险与脆弱性检测结果的处置
通过DCS风险与脆弱性检测结果,应依照以下流程进行处置.
a) 分析各检测项的测试结果,对不符合项合并整理后形成潜在风险描述;
b) 结合系统安全要求,分析潜在风险对DCS的安全影响,依照DCS安全方针确定潜在风险是否
可接受。
对于不可接受的潜在风险,处置方法如下.
a) 采用适当的控制和管理措施(参见GB/T 33009.2-2016的5.7,技术防护措施见GB/T 33009.1-
2016的第5章~第8章);
b) 对风险环节进行调整,避免风险;
c) 相关风险转移,如.保险公司,供应商等;
d) 进行潜在风险处置结果的有效性验证,重新对各不合规项进行验证检测。对于验证无效的风
险处置应重新进行设置。
5 DCS软件安全风险与脆弱性
5.1 服务器和控制站的操作系统
5.1.1 总则
服务器和控制站操作系统的主要功能是进行DCS资源管理和提供用户界面。管理的资源包括各
种用户资源和DCS系统资源。操作系统以文件的形式对DCS的硬件资源和软件资源进行管理。文件
类型包括数据文件、可执行文件、配置文件等。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测DCS的主要操作节点(工程师
站、操作员站、数据库服务器、OPC服务器等连接在监控层和控制层上的人机会话接口站点)的操作系
统在系统类型版本、补丁更新、账户管理、身份鉴别等方面的脆弱性。
5.1.2 检测项
检测项包括但不仅限于.
a) 操作系统类型和版本;
b) 操作系统补丁更新;
c) 账户管理;
d) 身份鉴别;
e) 访问控制;
f) 隐蔽信道;
g) 日志记录;
h) 审计;
i) 数据完整性。
5.1.3 检测对象
DCS工程师站、DCS操作员站、各类服务器的计算机主机,权限控制、升级记录和日志记录。
5.1.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈操作系统管理人员,检查操作系统类型和版本是否经过安全认证;
b) 应查看操作系统补丁更新记录,检查操作系统是否进行及时的补丁更新;
c) 应检查普通用户账户的账户权限,确定普通用户是否无法对操作系统的安全设置、系统文件和
软件安装与卸载进行人为的更改与干预;
d) 应检查每一个授权账户的密码是否包含有限时间的有效期,确保该账户逾期无法登录;
e) 应检查员工职位变动后,是否删除与该员工相关的原账户;
f) 应检查账户的授权与注销是否由相关的安全管理人员按照安全管理规范进行集中管理;
g) 应检查是否对账户口令设置进行强制规定,如口令应具有一定的长度,并使用数字、大小写字
母和特殊字符的组合,以及口令不能与个人信息相关等;
h) 应检测系统是否能阻止非授权用户的访问;
i) 应检测是否存在隐蔽信道,并确认信道危害在系统可容忍范围内;
j) 应检查系统日志是否准确记录系统事件、账户登录次数和时间与账户访问对象;
k) 应检查系统的安全审计记录是否完整;检测系统能否保护审计记录不被未授权的访问、修改和
破坏;
l) 应检测储存在系统储存介质上的用户数据是否出现完整性错误。
5.1.5 结果判定
如果5.1.4a)~l)均满足要求,则DCS系统符合本单元检测指标要求。否则,信息系统不符合或部
分符合本单元检测指标要求。
5.2 数据库管理系统
5.2.1 总则
数据库管理系统为DCS的数据采集、操作、监视、报表生成、报警、记录等功能提供支持。DCS数据
库管理系统包括实时数据库,报警数据库和历史数据库等。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测DCS数据库管理系统对过滤
恶意输入数据、数据连接安全、数据完整性、抵御DoS攻击等方面的脆弱性。
5.2.2 检测项
检测项包括但不仅限于.
a) 软件类型和版本;
b) 软件完整性;
c) 身份鉴别;
d) 访问控制;
e) 系统服务;
f) 数据连接;
g) 用户数据完整性;
h) 用户数据保密性;
i) 恶意输入;
j) 补丁更新;
k) 服务拒绝漏洞;
l) 溢出漏洞。
5.2.3 检测对象
数据库管理系统。
5.2.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈数据库管理人员,询问数据库软件的软件版本、软件授权属性,确认其为官方发布的正
式版;
b) 应检查数据库管理系统功能实现所需的组件或文件的完整性,检测文件的大小及安装时间;
c) 应访谈数据库管理员,询问数据库软件的身份标识与鉴别机制采取何种措施实现;
d) 应检查数据库管理系统的鉴别信息是否具有不易被冒用的特点,口令的易猜测程度和复杂程
度,确认登录用户和数据访问用户的口令是否相同,口令是否同时包括数字、大小写字母和符
号三种字符,长度是否满足规定要求;
e) 应检测数据库管理系统能否根据不同的操作和对象,开放不同的访问权限,并限制具有某一权
限的用户将该权限传给其他用户;
f) 检测数据库服务器上是否启动DCS中未使用的服务;
g) 应访谈数据库管理人员,询问是否采用了远程管理。若采用远程管理,查看是否采用了防止鉴
别信息在网络传输过程中被窃听的措施;
h) 应检测数据库管理系统中用户数据的数据完整性;
i) 应检测数据库管理系统中数据库传输、储存的用户数据的保密性;
j) 通过构造格式错误的恶意非法输入,检测数据库管理系统的响应情况;
k) 应查看数据库管理系统补丁更新记录,检查数据库管理系统是否进行及时的补丁更新;
l) 检测数据库管理系统在DoS攻击下的可靠性和实时性,是否满足企业或组织的要求;验证数
据库管理系统在被攻击环境下的数据操作响应时延;
m) 检测数据库管理系统的堆/栈溢出漏洞。
5.2.5 结果判定
如果5.2.4a)-b),d)~m)均满足要求,则DCS系统符合本单元检测指标要求。否则,信息系统不
符合或部分符合本单元检测指标要求。
5.3 OPC类软件
5.3.1 总则
OPC类软件用于实现不同控制系统之间的数据交换,能够实现 HMI工作站、企业数据库、ERP系
统和其他面向企业的软件应用之间的数据交换。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测 OPC类软件(服务器与客户
端)在访问控制、数据完整性等方面的脆弱性。
5.3.2 检测项
检测项包括但不仅限于.
a) 软件版本和类型;
b) 软件完整性;
c) 身份鉴别;
d) 恶意输入;
e) 补丁更新;
f) 服务拒绝漏洞;
g) 溢出漏洞。
5.3.3 检测对象
DCS中OPC类软件服务器端、客户端。
5.3.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈OPC类软件管理人员,询问OPC类软件的软件版本、软件授权属性,确认其为官方发
布的正式版;
b) 检测OPC类软件功能实现所需的组件或文件的完整性;
c) 访谈OPC类软件管理人员,询问OPC类软件的身份标识与鉴别机制采取何种措施实现,检测
关键OPC类软件是否提供身份鉴别措施;
d) 检测OPC类软件口令的易猜测程度和复杂程度是否满足企业或组织的密码管理要求;
e) 通过构造格式错误的恶意非法输入,检测数据库软件的响应情况;
f) 应查看OPC类软件补丁更新记录,检查数据库软件是否进行及时的补丁更新;
g) 检测在DoS攻击下,OPC类软件的可靠性和实时性;验证软件在被攻击状态下数据响应的时
延是否在可接受范围内,是否出现不响应请求的情况;
h) 检测OPC类软件的堆/栈溢出漏洞。
5.3.5 结果判定
如果5.3.4a)~h)均满足要求,则DCS系统符合本单元检测指标要求。否则,信息系统不符合或部
分符合本单元检测指标要求。
5.4 DCS监控软件
5.4.1 总则
监控软件用于实现对整个生产过程的监控。监控软件反映的生产过程信息直接影响操作员对整个
生产过程状态的认识和判断。监控软件反应信息的真实性对操作员的决策行为至关重要。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测监控软件在身份鉴别、数据完
整性、真实反映现场信息等方面的脆弱性。
5.4.2 检测项
检测项包括但不仅限于.
a) 软件版本和类型;
b) 软件完整性;
c) 身份鉴别;
d) 恶意输入;
e) 信息真实性;
f) 服务拒绝漏洞;
g) 异常告警;
h) 监控数据保密性;
i) 溢出漏洞。
5.4.3 检测对象
DCS工程师站、操作员站。
5.4.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈DCS监控软件管理人员,询问监控软件的软件版本、软件授权属性,确认其为官方发布
的正式版;
b) 检测监控软件功能实现所需的组件或文件的完整性;
c) 访谈监控软件管理人员,询问监控软件的身份标识与鉴别机制采取何种措施实现,检测关键软
件是否提供身份鉴别措施;
d) 检测监控软件口令的易猜测程度和复杂程度,确认口令复杂程度是否满足要求;
e) 通过构造格式错误的恶意非法输入,检测监控软件的响应情况;
f) 检测现场生产过程和设备状态信息与监控软件显示的信息的相符性;
g) 检测在DoS攻击下,监控软件的可靠性和实时性;验证软件在被攻击状态下数据响应的时延
是否在可接受范围内,是否出现不响应请求的情况;
h) 在出现实时数据异常等情况时,检测监控软件是否能正常告警,并将异常数据记录到日志中;
i) 应检查是否对数据进行分类处理,并针对不同数据类型进行不同程度的保密性,检测除具有
访问权限的合法用户外的其他用户是否能访问保密性数据;
j) 检测监控软件的堆/栈溢出漏洞。
5.4.5 结果判定
如果5.4.4a)~j)均满足要求,则DCS系统符合本单元检测指标要求。否则,信息系统不符合或部
分符合本单元检测指标要求。
5.5 DCS组态软件
5.5.1 总则
组态软件一般安装于工程师站,用于实现对DCS的应用组态。通用的DCS经过组态成为针对特
定具体控制应用的可运行系统。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测组态软件在身份鉴别、数据完
整性等方面的脆弱性。
5.5.2 检测项
检测项包括但不仅限于.
a) 软件版本和类型;
b) 软件完整性;
c) 身份鉴别;
d) 恶意输入;
e) 组态下载验证;
f) 服务拒绝漏洞;
g) 溢出漏洞。
5.5.3 检测对象
DCS工程师站、DCS操作员站。
5.5.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈DCS组态软件管理人员,询问组态软件的软件版本、软件授权属性,确认其为官方发布
的正式版;
b) 检测组态软件功能实现所需的组件或文件的完整性;
c) 访谈组态软件管理人员,询问组态软件的身份标识与鉴别机制采取何种措施实现,查看关键软
件是否提供身份鉴别措施;
d) 检测组态软件口令的易猜测程度和复杂程度,用信息嗅探手段,对组态软件的口令进行检测,
验证软件口令是否存在易被获取和破解的风险;
e) 通过构造格式错误的恶意非法输入数据,检测组态软件的响应;
f) 检测组态下载前,是否具备安全验证机制防止非法组态的发生;
g) 检测在DoS攻击下,组态软件的可靠性和实时性;验证软件在被攻击状态下数据响应的时延
是否在可接受范围内,是否出现不响应请求的情况;
h) 检测组态软件堆/栈溢出漏洞。
5.5.5 结果判定
如果5.5.4a)~h)均满足要求,则DCS系统符合本单元检测指标要求。否则,信息系统不符合或部
分符合本单元检测指标要求。
5.6 其他软件
涉及DCS的其他软件的检测,可参照上述软件的检测方法实施检测。
6 DCS网络通信安全风险与脆弱性
6.1 商用以太网协议通信机制
6.1.1 总则
商用以太网通信协议的实现都具有不同程度的脆弱性,应该对DCS中广泛存在的商用以太网通信
协议进行脆弱性检测。商用以太网协议通信机制检测针对DCS过程监控层网络与上层网络结构,以及
协议服务的事件机制进行脆弱性检测。
6.1.2 检测项
检测项包括但不仅限于.
a) 商用以太网协议的实现;
b) 商用以太网协议和TCP/IP协议的健壮性。
6.1.3 检测对象
DCS过程监控层网络所应用的商用以太网协议和TCP/IP协议。
6.1.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 应访谈DCS系统安全管理员,询问是否存在相应措施防止过程监控层用户私自连接到外部网
络的行为;
b) 应询问DCS系统安全管理员,在过程监控层和企业管理层之间的通信边界是否具有相应的安
全防护措施,检测这些措施对网络“非法连接”“非法访问”是否有效;
c) 应检测所应用的以太网协议和TCP/IP协议抵抗强度测试的能力,是否满足企业或组织的安
全要求;
d) 应检测所应用的以太网协议和TCP/IP协议抵抗模糊测试的能力,是否满足企业或组织的安
全要求;
e) 应检测所应用的以太网协议和TCP/IP协议抵抗语法测试的能力,是否满足企业或组织的安
全要求。
6.1.5 结果判定
如果6.1.4b)~e)均满足要求,则DCS系统符合本单元测评指标要求。否则,信息系统不符合或部
分符合本单元测评指标要求。
6.2 工业网络协议通信机制
6.2.1 总则
常用的DCS工业网络通信协议在制定的时候未考虑安全因素,并且在控制设备上进行远程操控命
令并不需要传统意义上的任何鉴别。对工业网络协议的检测主要从协议的实现是否满足通信协议本身
规定的要求,以及协议会对网络实时性、可靠性、稳定性的影响出发。针对不同工业网络协议,其具体的
检测方法可由检测机构与产品供应商、系统集成商、生产商以及协议制定者共同商讨确认。
6.2.2 检测项
检测项包括但不仅限于.
a) 工业网络协议的实现;
b) 工业网络协议的健壮性。
6.2.3 检测对象
检测对象为工业网络协议。
6.2.4 检测方式与实施
检测方式与实施包括但不仅限于.
a) 在工业网络协议的硬件......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版