标准搜索结果: 'GB/T 37941-2019'
| 标准编号 | GB/T 37941-2019 (GB/T37941-2019) | | 中文名称 | 信息安全技术 工业控制系统网络审计产品安全技术要求 | | 英文名称 | Information security technology - Security technical requirements of industrial control system network audit products | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 30,381 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37941-2019: 信息安全技术 工业控制系统网络审计产品安全技术要求
GB/T 37941-2019 英文名称: Information security technology -- Security technical requirements of industrial control system network audit products
1 范围
本标准规定了工业控制系统网络审计产品的安全技术要求,包括安全功能要求、自身安全要求和安
全保障要求。
本标准适用于工业控制系统网络审计产品的设计、生产和测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2423.5-1995 电工电子产品环境试验 第2部分:试验方法 试验Ea和导则:冲击
GB/T 2423.8-1995 电工电子产品环境试验 第2部分:试验方法 试验Ed:自由跌落
GB/T 2423.10-2008 电工电子产品环境试验 第2部分:试验方法 试验Fc:振动(正弦)
GB/T 4208-2017 外壳防护等级(IP代码)
GB 4824-2013 工业、科学和医疗(ISM)射频设备 骚扰特性 限值和测量方法
GB/T 9254-2008 信息技术设备的无线电骚扰限值和测量方法
GB/T 13729-2002 远动终端设备
GB/T 15153.1-1998 远动设备及系统 第2部分:工作条件 第1篇:电源和电磁兼容性
GB/T 17214.4-2005 工业过程测量和控制装置的工作条件 第4部分:腐蚀和侵蚀影响
GB/T 17626.2-2018 电磁兼容 试验和测量技术 静电放电抗扰度试验
GB/T 17626.3-2016 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验
GB/T 17626.4-2018 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验
GB/T 17626.5-2008 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验
GB/T 17626.6-2017 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度
GB/T 17626.8-2006 电磁兼容 试验和测量技术 工频磁场抗扰度试验
GB/T 17626.10-2017 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验
GB/T 17626.11-2008 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度
试验
GB/T 17626.12-2013 电磁兼容 试验和测量技术 振铃波抗扰度试验
GB/T 17626.16-2007 电磁兼容 试验和测量技术 0Hz~150kHz共模传导骚扰抗扰度试验
GB/T 17626.17-2005 电磁兼容 试验和测量技术 直流电源输入端口纹波抗扰度试验
GB/T 17626.18-2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验
GB/T 17626.29-2006 电磁兼容 试验和测量技术 直流电源输入端口电压暂降、短时中断和
电压变化的抗扰度试验
GB/T 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法
GB/T 25069-2010 信息安全技术 术语
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
3 术语和定义
GB/T 20945-2013、GB/T 25069-2010和GB/T 32919-2016界定的以及下列术语和定义适用
于本文件。
3.1
工业控制协议
工业控制系统中,上位机与控制设备之间以及控制设备与控制设备之间的通信报文规约。
注:通常包括模拟量和数字量的读写控制。
3.2
工业控制系统网络审计产品
部署于工业控制网络中,对工业控制系统中的事件进行记录和分析,并针对特定事件采取相应匹配
动作的产品。
4 缩略语
下列缩略语适用于本文件。
MAC:媒体接入控制
SMS:短信服务
SNMP:简单网络管理协议
URL:统一资源定位符
5 产品描述
工业控制系统网络审计产品的结构一般分为两种:一种是一体化设备,将数据采集和分析功能集中
在一台硬件中,统一完成审计分析功能;另一种是由采集端和分析端两部分组成,采集端主要提供数据
采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,采取相应的响应措施,并
支持采集端分布式部署。该产品典型部署场景参见附录A。
本标准将工业控制系统网络审计产品安全技术要求分为安全功能要求、自身安全要求和安全保障
要求三个大类。安全功能要求、自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相
比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。若产品全部或部分组件部署
在工业控制现场,应根据实际需求满足附录B环境适应性要求。
6 安全技术要求
6.1 基本级安全技术要求
6.1.1 安全功能要求
6.1.1.1 审计数据采集
6.1.1.1.1 采集策略
产品应支持基于策略的数据采集:
a) 支持基于网络层要素的数据采集策略:至少包括源目的 MAC或源目的IP、传输层协议、目的
端口;
b) 支持基于工业控制协议的数据采集策略。
6.1.1.1.2 审计数据生成
产品应在实际的系统环境和网络带宽下及时生成审计数据。
6.1.1.2 审计数据还原
6.1.1.2.1 网络层通信协议还原
产品应支持对网络层通信协议的数据进行还原,至少包括源目的 MAC、源目的IP、传输层协议、源
目的端口、应用层协议。
6.1.1.2.2 应用协议还原
产品应支持对HTTP、FTP、TELNET协议的应用数据还原:
a) HTTP通信:目标URL;
b) FTP通信:使用的账号、输入命令;
c) TELNET通信:使用的账号、输入命令。
6.1.1.2.3 工业控制协议还原
产品应支持对工业控制协议应用数据进行分析和还原,支持至少一种工业控制协议。至少支持:
a) 组态变更,包括上传、下载;
b) 指令变更,包括写指令及相关参数,如控制点位地址、控制值等。
6.1.1.3 审计事件识别和分析
6.1.1.3.1 基于白名单规则分析
6.1.1.3.1.1 白名单规则定义
产品应支持白名单规则的定义:
a) 网络通信白名单:支持基于IP或 MAC等要求进行规制定义;
b) 工业控制协议通信白名单:支持基于控制命令、控制点位、控制值等要素进行规则定义。
6.1.1.3.1.2 白名单方式识别
产品应支持基于白名单机制对审计信息的识别。
6.1.1.3.2 异常事件识别
产品应支持对以下异常事件的识别:
a) 网络中出现IP或 MAC白名单之外的设备;
b) 工业控制协议通信出现异常的控制命令、控制点位、控制值。
6.1.1.4 审计记录
6.1.1.4.1 记录内容
产品应按照事件的分类和级别,生成包含以下内容的审计记录:
a) 事件主体;
b) 事件客体;
c) 事件发生的日期和时间;
d) 事件类型;
e) 事件的级别;
f) 审计源身份(分布式产品);
g) 事件的描述;
h) 工业控制协议的深度解析内容,至少包括控制命令、控制点位、控制值。
6.1.1.4.2 事件分类
产品应对事件按用户可理解的方式进行分类,方便用户浏览和策略定制。如按事件的潜在风险分
类,正常事件、异常事件;按协议类型分类等。
6.1.1.4.3 事件分级
产品应将异常事件可能的潜在危害程度划分为不同的级别,对不同级别的事件采取不同的处理方式。
6.1.1.4.4 数据库支持
产品应支持一种数据库管理软件,用于存储审计记录,方便用户查阅、检索和统计分析。
6.1......
|