搜索结果: GB/T 33009.4-2016, GB/T33009.4-2016, GBT 33009.4-2016, GBT33009.4-2016
| 标准编号 | GB/T 33009.4-2016 (GB/T33009.4-2016) | | 中文名称 | 工业自动化和控制系统网络安全 集散控制系统(DCS) 第4部分:风险与脆弱性检测要求 | | 英文名称 | Industrial automation and control system security - Distributed control system (DCS) - Part 4: Risk and vulnerability detection requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 字数估计 | 20,263 | | 发布日期 | 2016-10-13 | | 实施日期 | 2017-05-01 | | 标准依据 | 国家标准公告2016年第17号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 33009.4-2016
(Industrial automation and control systems - Network security DCS (Distributed Control System) - Part 4.Requirements for risk and vulnerability detection)
ICS 25.040
N10
中华人民共和国国家标准
工业自动化和控制系统网络安全
集散控制系统(DCS)
第4部分.风险与脆弱性检测要求
2016-10-13发布
2017-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 DCS风险与脆弱性检测概述 3
4.1 DCS系统概述 3
4.2 DCS风险与脆弱性检测的目标 5
4.3 DCS风险与脆弱性检测基本原则 5
4.4 DCS风险与脆弱性检测内容 5
4.5 DCS风险与脆弱性检测基本工作单元 6
4.6 DCS风险与脆弱性检测的执行 7
4.7 DCS风险与脆弱性检测结果的处置 7
5 DCS软件安全风险与脆弱性 7
5.1 服务器和控制站的操作系统 7
5.2 数据库管理系统 8
5.3 OPC类软件 10
5.4 DCS监控软件 10
5.5 DCS组态软件 12
5.6 其他软件 12
6 DCS网络通信安全风险与脆弱性 13
6.1 商用以太网协议通信机制 13
6.2 工业网络协议通信机制 13
6.3 DCS通信数据安全 14
6.4 DCS通信服务 15
6.5 DCS状态转换 16
参考文献 17
前言
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》和GB/T 33008《工业自动
化和控制系统网络安全 可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列
标准。
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》分为4个部分.
---第1部分.防护要求;
---第2部分.管理要求;
---第3部分.评估指南;
---第4部分.风险与脆弱性检测要求。
本部分为GB/T 33009的第4部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标
准化技术委员会(SAC/TC260)归口。
本部分起草单位.浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、重
庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启
明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限
公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐
德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自
动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公
司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、
北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南
电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子
科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机(中国)有限公司北京研发中心。
本部分主要起草人.冯冬芹、施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、
许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、刘大龙、陆耿虹、刘文龙、吴彦彪、王芳、
孟雅辉、范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小淙、华镕、高昆仑、王雪、周纯杰、张莉、刘杰、
朱毅明、王弢、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、
黄敏、朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、
杨应良、杨磊。
工业自动化和控制系统网络安全
集散控制系统(DCS)
第4部分.风险与脆弱性检测要求
1 范围
GB/T 33009的本部分规定了集散控制系统(DCS)在投运前、后的风险和脆弱性检测,对DCS软
件、以太网网络通信协议与工业控制网络协议的风险与脆弱性检测提出具体的要求。
本部分适用于对DCS中的下列对象进行脆弱性检测.
a) 监控软件、组态软件、数据库软件等DCS中的应用软件;
b) DCS操作员站和控制站等操作系统;
c) DCS中的具有网络协议实现和网络通信能力的功能和组件。
本部分不适用于智能仪表和工业无线的脆弱性检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南
GB/T 30976.1-2014 工业控制系统信息安全 第1部分.评估规范
GB/T 33009.1-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分.防护
要求
GB/T 33009.2-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分.管理
要求
3 术语、定义、缩略语
3.1 术语和定义
GB/T 20984-2007和GB/T 30976.1-2014界定的以及下列术语和定义适用于本文件。为了便
于使用,以下重复列出了GB/T 20984-2007和GB/T 30976.1-2014中的一些术语和定义。
3.1.1
可用性 availability
数据或资源能被授权实体按要求访问和使用的特性。
[GB/T 20984-2007,定义3.3]
3.1.2
鉴别 authentication
验证实体所声称的身份的动作。
3.1.3
授权用户 authorizeduser
依据安全策略可以执行某项操作的用户。
3.1.4
保密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T 20984-2007,定义3.5]
3.1.5
以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性。
3.1.6
识别 identify
对某一评估要素进行标识与辨别的过程。
[GB/T 30976.1-2014,定义3.1.2]
3.1.7
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。
[GB/T 20984-2007,定义3.10]
3.1.8
生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据,
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1.此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。
注2.更多信息参见GB/T 20720.1-2006。
3.1.9
组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也
可以是一个组织。
[GB/T 20984-2007,定义3.11]
3.1.10
威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
[GB/T 20984-2007,定义3.17]
3.1.11
脆弱性 vulnerability
系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。
[GB/T 30976.1-2014,定义3.1.1]
3.1.12
嗅探 sniffing
使用嗅探器对数据流的数据截获与分组分析。
3.1.13
由于程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密造成的缓冲
区溢出。
3.1.14
强度测试 stresstesting
评价系统或部件在它规定的需求的限定或超出时情况的测试。
[GB/T 11457-2006,定义2.1599]
3.1.15
模糊测试 fuzzytesting
通过向应用提供非预期输入并监控输出异常来发现软件中故障的方法。
3.1.16
语法测试 syntextesting
根据输入域和(或)输出域的定义设计测试用例。
3.1.17
数据完整性 dataintegrity
数据完整性泛指数据库中数据的正确性和一致性,包括实体完整性、参照完整性和用户定义完
整性。
[GB/T 20273-2006,定义3.1.9]
3.2 缩略语
下列缩略语适用于本文件。
DoS.服务拒绝(DenialofService)
4 DCS风险与脆弱性检测概述
4.1 DCS系统概述
4.1.1 通用DCS系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场
设备层。各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构
如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求
进行了要求。各层的说明如下.
---过程监控层.以操作监视为主要任务,兼有部分管理功能。这一级是面向操作员和控制系统工
程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示
器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工
程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断、质量
评估。
---现场控制层.现场控制层的主要功能包括.采集过程数据,进行数据转换与处理;对生产过程进
行监测和控制,输出控制信号,实现模拟量和开关量的控制;对I/O卡件进行诊断;与过程监
控层等进行数据通信。
---现场设备层.现场设备层的主要功能包括.采集控制信号、执行控制命令,依照控制信号进行设
备动作。
图1 典型DCS系统应用的网络结构示意图
注.将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2 DCS运行安全总体要求
4.1.2.1 实时性要求
DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动。
4.1.2.2 可用性要求
DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断
操作需要提前计划。
4.1.2.3 安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故。
4.1.2.4 完整性要求
DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改。
4.1.2.5 稳定性要求
DCS具有稳定性要求。DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而
且加剧设备的损耗等。
4.1.2.6 高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许
发生停车,且具有很好的耐久性和可维修性。
4.2 DCS风险与脆弱性检测的目标
DCS风险与脆弱性检测的目的是在DCS安全风险评估的基础上,通过对DCS系统的软件和系统
通信安全的风险和脆弱性检测,发现现有DCS中潜在的安全风险和脆弱性。企业通过对潜在风险的处
置,进一步提高DCS系统的安全性。DCS风险与脆弱性检测是对DCS安全风险评估工作的补充和扩
展,主要用于对DCS系统安全性要求较高的行业和用户。
4.3 DCS风险与脆弱性检测基本原则
DCS进行风险与脆弱性检测时,应不明显影响原有系统的实时性、可用性、可靠性、安全性
(safety),而且检测应从系统的实时性、可用性、可靠性、安全性(safety)角度出发。对于DCS软件安全
风险与脆弱性的各项测试内容建议在离线或模拟环境下执行;DCS网络通信协议安全风险与脆弱性的
检测,为确保其有效性,建议在网络结构完整的DCS环境下进行,如在相同网络结构的模拟系统或目标
DCS系统检修期间。本部分的建立旨在对DCS软件安全和网络通信的风险与脆弱性进行检测,使
DCS满足DCS运行安全总体要求。
4.4 DCS风险与脆弱性检测内容
风险与脆弱性检测是DCS用户发起的,可由发起方实施或委托DCS安全服务组织支持实施。测
试内容的选择宜以检测项为单位进行,以免破坏单个测试项的完整性。检测内容包括以下几个方面.
a) DCS软件安全风险与脆弱性
1) 服务器和控制站的操作系统(见5.1)。
2) 数据库管理系统(见5.2)。
3) OPC类软件(见5.3)。
4) DCS监控软件(见5.4)。
5) DCS组态软件(见5.5)。
6) 其他软件(见5.6)。
b) DCS网络通信安全风险与脆弱性
1) 商用以太网协议通信机制(见6.1)。
2) 工业网络协议通信机制(见6.2)。
3) DCS通信数据安全(见6.3)。
4) DCS通信服务(见6.4)。
5) DCS状态转换(见6.5)。
4.5 DCS风险与脆弱性检测基本工作单元
根据DCS对稳定性、实时性和安全性的要求,结合GB/T 28449-2012关于信息系统安全等级保
护测试工作单元的描述,建立DCS的安全检测工作单元。安全检测工作单元是DCS安全检测的基本
工作单位,对应一组相对独立和完整的检测内容。DCS安全检测工作单元由检测项、检测对象、检测方
式、检测实施和结果判定组成,如图2所示。
图2 检测工作单元构成
检测项.描述检测目的和检测内容,提出具体的技术和管理要求。
检测对象.检测实施过程中涉及DCS的组成以及相关的操作与管理人员,是客观存在的人员、文
档、通信机制或者设备等。检测对象是根据该工作单元中的检测项要求提出的。一般来说,实施检测时
面临的具体检测对象可以是单个人员、文档、通信机制或者设备等,也可能是由多个人员、文档、通信机
制或者设备等构成的集合,它们分别需要使用某个特定安全控制的功能。
检测方式.检测人员依据检测目的和检测内容选取的、实施特定检测操作的方式方法;一般包括三
种基本检测方式.访谈、检查和测试。访谈是指检测人员与被测DCS系统有关人员(个人/群体)进行交
流、讨论等活动,获取相关证据,了解有关信息。检查可分为文档审查、配置检查和实地查看等几种具体
方法。文档审查是指检查操作规程、安全管理策略等文档是否齐备,是否有完整的制度执行情况记录
(如机房出入登记表)等。配置检查是指检查与DCS相关的系统、设备等是否配置正确。实地查看是指
检测人员到DCS系统运行现场通过实地观察人员行为、技术设施和物理环境判断人员的安全意识、业
务操作、管理程序等方面的安全情况。测试是指利用技术工具进行测试。
检测实施.工作单元的主要组成部分。它是依据检测目的,针对检测内容开发出来的具体的检测执
行实施的要求,涉及具体的检测方式、检测对象和操作过程。在描述检测实施过程中使用助动词“应(应
该)”,表示这些过程是强制性活动,检测人员作出结论必须完成这些过程;使用助动词“可(可以)”表示
这些过程是非强制性活动,对检测人员作出结论没有根本性影响,检测人员可根据实际情况选择完成。
本部分中的检测措施都是重要且需被考虑的,但是宜根据DCS的实际应用场景、企业或组织的DCS安
全要求确定检测措施是否合适,选择切实可行的检测措施。
结果判定.描述检测人员执行检测操作得到各种检测证据后,如何依据这些检测证据来判定被测系
统是否满足检测项要求。在给出整个工作单元的检测结论前,需要先给出单个检测实施项的结论。一
般来说,单个检测实施项的结论判定常常需要检测人员的主观判断,通常认为取得正确的、关键性证据,
则该检测实施项就得到满足。
4.6 DCS风险与脆弱性检测的执行
对于尚未部署和实施的DCS系统,DCS风险与脆弱性检测可以选择在DCS投产运行前,安全评估
后进行。
对于在现有DCS基础上进行升级或新增扩展功能的DCS,建议在新旧系统联调测试前对新增系统
部分进行风险与脆弱性检测。在新旧联调阶段对受影响的DCS关键组件和网络通信功能进行风险与
脆弱性检测。
对于在役运行的系统,可选择在DCS升级改造后或检修、停运时进行风险与脆弱性检测。实际环
境所限无法在运行环境中进行的风险与脆弱性检测项,可以在模拟环境中进行检测。
4.7 DCS风险与脆弱性检测结果的处置
通过DCS风险与脆弱性检测结果,应依照以下流程进行处置.
a) 分析各检测项的测试结果,对不符合项合并整理后形成潜在风险描述;
b) 结合系统安全要求,分析潜在风险对DCS的安全影响,依照DCS安全方针确定潜在风险是否
可接受。
对于不可接受的潜在风险,处置方法如下.
a) 采用适当的控制和管理措施(参见GB/T 33009.2-2016的5.7,技术防护措施见GB/T 33009.1-
2016的第5章~第8章);
b) 对风险环节进行调整,避免风险;
c) 相关风险转移,如.保险公司,供应商等;
d) 进行潜在风险处置结果的有效性验证,重新对各不合规项进行验证检测。对于验证无效的风
险处置应重新进行设置。
5 DCS软件安全风险与脆弱性
5.1 服务器和控制站的操作系统
5.1.1 总则
服务器和控制站操作系统的主要功能是进行DCS资源管理和提供用户界面。管理的资源包括各
种用户资源和DCS系统资源。操作系统以文件的形式对DCS的硬件资源和软件资源进行管理。文件
类型包括数据文件、可执行文件、配置文件等。
根据 DCS 对稳定性、实时性 和 安 全 性 的 要 求,结 合 GB 17859-1999 所 列 安 全 要 素 和
GB/T 20271-2006关于信息系统安全功能要素的描述,本条款重点检测DCS的主要操作节点(工程师
站、操作员站、数据库服务器、OPC服务器等连接在监控层和控制层上的人机会话接口站点)的操作系
统在系统类型版本、补丁更新、账户管理、身份鉴别等方面的脆弱性。
5......
|