2022信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求

信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品

安全技術(shù)要求

目次

前言......................................................................................II

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語和定義..............................................................................1

4縮略語..................................................................................1

5工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品概述...........................................................1

6總體說明................................................................................3

7安全功能要求............................................................................3

7.1基本級要求.........................................................................3

7.2增強級要求..........................................................................7

8安全保障要求...........................................................................13

8.1基本級要求........................................................................13

8.2增強級要求........................................................................15

9安全等級...............................................................................17

附錄A（資料性附錄）環(huán)境適應(yīng)性要求......................................................20

I

信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求

1范圍

本標準規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的安全功能要求、安全保障要求和安全等級劃分要求。

本標準適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的設(shè)計、生產(chǎn)和測試。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T20945-2013信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T20945-2013和GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

工業(yè)控制系統(tǒng)industriaIcontroIsystem；ICS

工業(yè)控制系統(tǒng)(ICS)是一個通用術(shù)語，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)

采集系統(tǒng)(SCADA),分布式控制系統(tǒng)(DCS),和其他較小的控制系統(tǒng)，如可編程邏輯控制器(PLC),現(xiàn)

已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

[GB/T32919-2016,定義3.1]

3.2

工業(yè)控制協(xié)議industriaIcontroIprotocoI

工業(yè)控制系統(tǒng)中，上位機與控制設(shè)備之間、以及控制設(shè)備與控制設(shè)備之間的通信報文規(guī)約。通常包括模

擬量和數(shù)字量的讀寫控制。

4縮略語

下列縮略語適用于本文件。

DCS：集散控制系統(tǒng)(DistributedControlSystem)

HTML：超文本標記語言(HypertextMarkupLanguage)

ICS：工業(yè)控制系統(tǒng)(IndustrialControlSystem)

MAC：媒體接入控制(MediaAccessControl)

MES：制造執(zhí)行系統(tǒng)(ManufacturingExecutionSystem)

SCADA：監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SupervisoryControlAndDataAcquisitionSystem)

URL：統(tǒng)一資源定位符(UniformResourceLocator)

5工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品概述

1

對工業(yè)控制系統(tǒng)中的事件進行記錄和分析，并針對特定事件采取相應(yīng)比較動作的產(chǎn)品，一般采取旁路

接入的部署方式。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的結(jié)構(gòu)一般分為兩種：一種是一體化設(shè)備，將數(shù)據(jù)采集和分析功能集中在

一臺硬件中，統(tǒng)一完成審計分析功能；另一種是由采集端和分析端兩部分組成，采集端主要提供數(shù)據(jù)采集的

功能，將采集到的網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給分析端，由分析端進一步處理和分析，并采取相應(yīng)的響應(yīng)措施。

根據(jù)工業(yè)控制現(xiàn)場的特點和環(huán)境要求，一體式工控網(wǎng)絡(luò)審計產(chǎn)品一般部署在較為簡單的工業(yè)控制網(wǎng)絡(luò)

中，主要監(jiān)測過程控制層中的網(wǎng)絡(luò)通信，如圖1所示；分布式工控網(wǎng)絡(luò)審計產(chǎn)品主要部署在較為復雜的工

業(yè)控制網(wǎng)絡(luò)中，通常在各區(qū)域中部署采集代理設(shè)備，在上層部署分析端設(shè)備，接收各采集代理所采集的數(shù)據(jù)進

行集中分析處理，如圖2所示。

生產(chǎn)管理層

工控網(wǎng)絡(luò)

審計產(chǎn)品

過程監(jiān)控層監(jiān)控服務(wù)器

現(xiàn)場控制層

圖1一體式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品典型部署示意圖

圖2分布式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品典型部署示意圖

2

6總體說明

本標準將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求分為安全功能要求、安全保障要求兩個大類。其

中，安全功能要求是對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品應(yīng)具備的安全功能提出具體要求，包括審計數(shù)據(jù)采集、審計數(shù)

據(jù)還原、審計事件識別和分析、審計記錄、事件響應(yīng)和報警、審計查閱和報表、審計記錄存儲，以及標識和

鑒別、安全管理、時間同步、審計日志；安全保障要求針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的開發(fā)和使用文檔的內(nèi)

容提出具體的要求，例如開發(fā)、指導性文檔、生命周期支持、測試、脆^性評定等。若產(chǎn)品全部或部分組件部

署在工業(yè)控制現(xiàn)場，應(yīng)根據(jù)實際需求滿足相應(yīng)的環(huán)境適應(yīng)性要求，見附錄A。本標準將安全功能要求和安全保障

要求分為基本級和增強級，與基本級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”

表示。

7安全功能要求

7.1基本級要求

7.1.1審計數(shù)據(jù)采集

7.1.1.1采集策略

產(chǎn)品應(yīng)支持基于策略的數(shù)據(jù)采集：

a）支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略：至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的端

口；

b）支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略。

7.1,1.2審計數(shù)據(jù)生成

產(chǎn)品應(yīng)在實際的系統(tǒng)環(huán)境和網(wǎng)絡(luò)帶寬下及時生成審計數(shù)據(jù)。

7.1.2審計數(shù)據(jù)還原

7.1.2.1網(wǎng)絡(luò)層通信協(xié)議還原

產(chǎn)品應(yīng)支持對網(wǎng)絡(luò)層通信協(xié)議的數(shù)據(jù)進行還原，至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源

目的端口、應(yīng)用層協(xié)議。

7.1.2.2應(yīng)用協(xié)議還原

產(chǎn)品應(yīng)支持對HTTP、FTP、TELNET協(xié)議的應(yīng)用數(shù)據(jù)還原：

a）HTTP通信：目標URL；

b）FTP通信：使用的賬號、輸入命令；

c）TELNET通信：使用的賬號、輸入命令。

7.1.2.3工業(yè)控制協(xié)議還原

產(chǎn)品應(yīng)支持對工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進行分析和還原，支持至少一種工業(yè)控制協(xié)議。至少支持：

a）組態(tài)變更，包括上裝、下裝；

b）指令變更，包括寫指令及相關(guān)參數(shù)，如控制點位地址、控制值等。

7.1.3審計事件識別和分析

3

7.1.3.1基于白名單規(guī)則分析

7.1.3,1.1白名單規(guī)則定義

產(chǎn)品應(yīng)支持白名單規(guī)則的定義：

a）網(wǎng)絡(luò)層通信白名單：支持基于IP或MAC識別網(wǎng)絡(luò)中的異常資產(chǎn)；

b）工業(yè)控制協(xié)議通信白名單：支持基于控制命令、控制點位、控制值等要素進行規(guī)則定義。

7.1.3.1.2白名單方式識別

產(chǎn)品應(yīng)支持基于白名單機制對審計信息的識別，白名單之外的事件均為異常事件。

7.1.3.2異常事件識別

產(chǎn)品應(yīng)支持對以下異常事件的識別：

a）網(wǎng)絡(luò)中出現(xiàn)IP或MAC白名單之外的設(shè)備；

b）工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點位、控制值。

7.1.4審計記錄

7.1,4.1記錄內(nèi)容

產(chǎn)品應(yīng)按照事件的分類和級別，生成包含以下內(nèi)容的審計記錄：

a）事件主體；

b）事件客體；

c）事件發(fā)生的日期和時間；

d）事件類型；

e）事件的級別；

f）審計源身份（分布式產(chǎn)品）：

g）事件的描述

h）工業(yè)控制協(xié)議的深度解析內(nèi)容，至少包括控制命令、控制點位、控制值。

7.1.4.2事件分類

產(chǎn)品應(yīng)對事件按用戶可理解的方式進行分類，方便用戶瀏覽和策略定制。如按事件的潛在風險分類，正常

事件、異常事件；按協(xié)議類型分類等。

7.1.4.3事件分級

產(chǎn)品應(yīng)將異常事件可能的潛在危害程度劃分為不同的級別，對不同級別的事件采取不同的處理方

式。

數(shù)據(jù)庫支持

產(chǎn)品應(yīng)支持一種數(shù)據(jù)庫管理軟件，用于存儲審計記錄，方便用戶查閱、檢索和統(tǒng)計分析。

7.1.5事件響應(yīng)和報警

7.1.5.1事件告警

4

產(chǎn)品應(yīng)能對于系統(tǒng)安全策略定義的不同等級的事件采取不同方式進行告警。

7.1.5.2告警方式

產(chǎn)品應(yīng)產(chǎn)生報警，響應(yīng)報警方式至少包含以下方式中的一種：

a）管理界面告警；

b）向網(wǎng)管中心發(fā)送SNMPTrap報警消息；

c）向聲光電發(fā)生裝置發(fā)送啟動信號；

d）向網(wǎng)管人員發(fā)送SMS報警短消息。

7.1.6審計查閱和報表

7.1.6.1常規(guī)查閱

產(chǎn)品應(yīng)提供查閱審計記錄的工具，查閱的結(jié)果應(yīng)以用戶易于理解的方式和格式提供，并且能支持導出

及打印。

7.1.6.2有限查閱

產(chǎn)品應(yīng)確保除授權(quán)管理員之外，其他用戶無權(quán)對審計記錄進行查閱。

7.1.6.3可選查閱

產(chǎn)品應(yīng)為授權(quán)管理員提供將審計記錄按一定的條件進行選擇、搜索、分類和排序的功能，所得結(jié)果應(yīng)

以用戶友好的、便于理解的形式提供報告或打印。

7.1.6.4審計報表

報表生成器將審計分析器傳來的分析結(jié)果進行數(shù)據(jù)匯總報表輸出，對報表至少有以下要求：

a）產(chǎn)品應(yīng)提供審計報表模板，能夠基于模板生成審計報表；

b）報告內(nèi)容應(yīng)至少支持文字、圖像兩種描述方式；

c）審計數(shù)據(jù)報告生成格式應(yīng)至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.1.7審計記錄存儲

7.1.7.1存儲安全

產(chǎn)品應(yīng)提供安全機制保護審計記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴格的身份鑒別機制和適

合的文件讀寫權(quán)限等。任何對審計記錄數(shù)據(jù)的刪除或修改都應(yīng)生成系統(tǒng)自身安全審計記錄。應(yīng)對審計記錄進

行完整性保護。

7.1.7.2存儲空間耗盡處理

產(chǎn)品應(yīng)提供數(shù)據(jù)存儲空間耗盡處理功能，當剩余存儲空間達到預定義的閾值時進行告警。

7.1.8自身安全功能要求

5

7.1.8.1標識和鑒別

7.1.8.1.1唯一性標識

產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標識。

7.1.8.1.2管理員屬性定義

產(chǎn)品應(yīng)為每個管理員規(guī)定與之相關(guān)的安全屬性，如管理員標識、鑒別信息、、隸屬組、權(quán)限等，并提供

使用默認值對創(chuàng)建的每個管理員的屬性進行初始化的功能。

,3管理員角色

產(chǎn)品應(yīng)為管理角色進行分級，使不同級別的管理角色具有不同的管理權(quán)限。

7.1.8,1,4基本鑒別

產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進行身份鑒別。若采用口令方式鑒別，應(yīng)支持對口令強度

進行檢查，如口令長度、是否需包含數(shù)字、字母、特殊字符等。

.5超時鎖定或注銷

當已通過身份鑒別的管理角色空閑操作的時間超過規(guī)定值時，在該管理角色執(zhí)行管理功能前，產(chǎn)品應(yīng)

對該管理角色的身份重新進行鑒別。

.6鑒別失敗處理

產(chǎn)品應(yīng)為管理員登錄設(shè)定一個授權(quán)管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超過閾

值時，系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進一步鑒別請求。

,7鑒別數(shù)據(jù)保護

產(chǎn)品應(yīng)保證管理員鑒別數(shù)據(jù)以非明文形式存儲，不被未授權(quán)查看或修改。

7.1.8.2安全管理

7.1.8.2.1接口及管理安全

產(chǎn)品應(yīng)保證業(yè)務(wù)接口、管理接口、管理界面的安全：

a）業(yè)務(wù)接口和管理接口應(yīng)采用不同的網(wǎng)絡(luò)接口；

b）業(yè)務(wù)接口應(yīng)采取被動收包方式工作，不得外發(fā)數(shù)據(jù)包；

c）管理接口及管理界面應(yīng)不存在中高風險安全漏洞。

7.1.8.2.2管理信息傳輸安全

產(chǎn)品需要通過網(wǎng)絡(luò)進行管理時，產(chǎn)品應(yīng)能對管理信息進行保密傳輸。

7.1.8.2.3安全狀態(tài)監(jiān)測

產(chǎn)品應(yīng)能夠監(jiān)測產(chǎn)品自身及組件狀態(tài)，包括對產(chǎn)品CPU、內(nèi)存、存儲空間等系統(tǒng)資源使用狀態(tài)進行

監(jiān)測。

6

7.1.8.3時間同步

產(chǎn)品及組件應(yīng)支持時間同步功能：

a）若由多個組件組成，各組件應(yīng)支持與審計中心進行時間同步；

b）審計中心應(yīng)支持與外部時間服務(wù)器進行時間同步。

7.1,8.4審計日志

7.1.8.4.1審計日志生成

產(chǎn)品應(yīng)對與自身安全相關(guān)的以下事件生成審計日志：

a）身份鑒別，包括成功和失敗；

b）因鑒別失敗次數(shù)超過了閾值而采取的禁止進一步嘗試的措施；

c）審計策略的增加、刪除、修改；

7.1.8.4.2審計日志內(nèi)容

審計日志內(nèi)容至少應(yīng)包括日期、時間、事件主體、事件客體、事件描述等。

7.1.8.4.3審計日志存儲

產(chǎn)品應(yīng)將審計日志與審計記錄分開保存到不同的記錄文件或數(shù)據(jù)庫（或同一數(shù)據(jù)庫的不同表）中，

方便用戶查閱和分析。應(yīng)保證審計日志存儲的最短期限不少于6個月。

7.2增強級要求

7.2.1審計數(shù)據(jù)采集

7.2.1.1采集策略

產(chǎn)品應(yīng)支持基于策略的數(shù)據(jù)采集：

a）支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略：至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的

端口；

b）支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略；

c）支持全流量報文的采集。

7.2.1.2網(wǎng)絡(luò)流量監(jiān)測

產(chǎn)品應(yīng)能根據(jù)源目的MAC或IP地址、協(xié)議類型、日期時間段等對流量進行監(jiān)測，并以統(tǒng)計報表的形式

輸出。

7.2.1.3審計數(shù)據(jù)生成

產(chǎn)品應(yīng)在實際的系統(tǒng)環(huán)境和網(wǎng)絡(luò)帶寬下及時生成審計數(shù)據(jù)。

7.2.2審計數(shù)據(jù)還原

7.2.2.1網(wǎng)絡(luò)層通信協(xié)議還原

7

產(chǎn)品應(yīng)支持對網(wǎng)絡(luò)層通信協(xié)議的數(shù)據(jù)進行還原，至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源

目的端口、應(yīng)用層協(xié)議類型。

7.2.2.2通用應(yīng)用協(xié)議還原

產(chǎn)品應(yīng)支持對HTTP、FTP、TELNET協(xié)議的應(yīng)用數(shù)據(jù)還原：

a）HTTP通信：目標URL；

b）FTP通信：使用的賬號、輸入命令；

c）TELNET通信：使用的賬號、輸入命令。

7.2.2.3工業(yè)控制協(xié)議還原

產(chǎn)品應(yīng)支持對工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進行分析和還原，支持至少三種工業(yè)控制協(xié)議。至少支持：

a）組態(tài)變更，包括上裝、下裝；

b）指令變更，包括寫指令及相關(guān)參數(shù)，如控制點位地址、控制值等；

c）負載變更。

7.2.3審計事件識別和分析

7.2.3.1事件辨別擴展接口

產(chǎn)品應(yīng)提供一個功能接口，對自身無法辨別的工業(yè)控制協(xié)議和安全事件，用戶可通過該接口，將擴

展的事件辨別模塊以插件的形式接入事件辨別器。

7.2.3.2基于白名單規(guī)則分析

7.2.3.2.1白名單規(guī)則定義

產(chǎn)品應(yīng)支持白名單規(guī)則的定義：

a）網(wǎng)絡(luò)層通信白名單：支持基于源目的MAC或源目的IP、傳輸層協(xié)議、目的端口等要素進行規(guī)則

定義；

b）工業(yè)控制協(xié)議通信白名單：支持基于協(xié)議格式規(guī)約、控制命令、控制點位、控制值等要素進行

規(guī)則定義。

7.2.3.2.2白名單方式識別

產(chǎn)品應(yīng)支持基于白名單機制對審計信息的識別，白名單之外的事件均為異常事件。

7.2.3.2.3學習模式

產(chǎn)品應(yīng)支持學習模式，對網(wǎng)絡(luò)流量進行學習，自動生成推薦性規(guī)則，至少包括網(wǎng)絡(luò)層規(guī)則和工業(yè)控

制協(xié)議應(yīng)用層規(guī)則。

7.2.3.3異常事件

7.2.3.3.1異常事件識別

產(chǎn)品應(yīng)支持對以下異常事件的識別：

a）網(wǎng)絡(luò)層通信異常：不合規(guī)的通信鏈路，包括源IP、源MAC、目的IP、目的MAC、目的端口等;

b）工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點位、控制值；

8

c）不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報文；

d）端口報文異常：端口報文速率突變、超過閾值、長時間無報文；

e）工業(yè)控制協(xié)議應(yīng)用層斷鏈及斷鏈后重連等。

7.2.3.3.2自定義識別規(guī)則

產(chǎn)品應(yīng)維護一個與被審計信息系統(tǒng)相關(guān)的惡意事件集合，可結(jié)合控制系統(tǒng)的實際生產(chǎn)工藝進行定

義，當這些事件發(fā)生時表明信息系統(tǒng)受到了攻擊。惡意事件集合應(yīng)可定制。

7.2.3.3.3基于規(guī)則事件生成

產(chǎn)品支持基于黑名單規(guī)則對異常事件進行分析，識別并生成惡意事件。

7.2,3.4基于統(tǒng)計的分析

產(chǎn)品應(yīng)提供基于統(tǒng)計方式對審計事件進行分析，單個審計事件累計發(fā)生次數(shù)或單個審計事件發(fā)生

頻率超過閾值時，分析生成新的事件。

7.2.3.5關(guān)聯(lián)分析

產(chǎn)品應(yīng)支持事件的關(guān)聯(lián)分析，并進行以下操作：

a）對相互關(guān)聯(lián)的事件進行綜合分析和判斷；

b）向授權(quán)用戶提供自定義匹配模式。

7.2.4審計記錄

7.2.4.1記錄內(nèi)容

產(chǎn)品應(yīng)按照事件的分類和級別，生成包含以下內(nèi)容的審計記錄：

a）事件主體；

b）事件客體；

c）事件發(fā)生的日期和時間；

d）事件類型；

e）事件級別；

f）審計源身份（分布式產(chǎn)品）；

g）事件的描述；

h）工業(yè)控制協(xié)議的深度解析內(nèi)容，至少包括控制命令、控制點位、控制值。

7.2.4.2事件分類

產(chǎn)品應(yīng)對事件按用戶可理解的方式進行分類，方便用戶瀏覽和策略定制。如按事件的潛在風險分類，正

常事件、異常事件；按協(xié)議類型分類等。

7.2.4.3事件分級

產(chǎn)品應(yīng)將異常事件可能的潛在危害程度劃分為不同的級別，對不同級別的事件采取不同的處理方

式。

7.2.4.4數(shù)據(jù)庫支持

9

產(chǎn)品應(yīng)支持一種數(shù)據(jù)庫管理軟件，用于存儲審計記錄，方便用戶查閱、檢索和統(tǒng)計分析。

7.2.5事件響應(yīng)和報警

7.2.5.1事件響應(yīng)

對異常事件，應(yīng)支持全報文審計，以利于事后分析。

7.2.5.2事件告警

產(chǎn)品應(yīng)能對于系統(tǒng)安全策略定義的不同等級的事件采取不同方式進行告警。

7.2.5.3告警方式

產(chǎn)品應(yīng)產(chǎn)生報警，響應(yīng)報警方式至少包含以下方式中的兩種：

a）管理界面告警；

b）向網(wǎng)管中心發(fā)送SNMPTrap報警消息"

c）向聲光電發(fā)生裝置發(fā)送啟動信號；

d）向網(wǎng)管人員發(fā)送SMS報警短消息。

7.2.6審計查閱和報表

7.2.6.1常規(guī)查閱

產(chǎn)品應(yīng)提供查閱審計記錄的工具，查閱的結(jié)果應(yīng)以用戶易于理解的方式和格式提供，并且能支持導出

及打印。

7.2.6.2有限查閱

產(chǎn)品應(yīng)確保除授權(quán)管理員之外，其他用戶無權(quán)對審計記錄進行查閱。

7.2.6.3可選查閱

產(chǎn)品應(yīng)為授權(quán)管理員提供將審計記錄按一定的條件進行選擇、搜索、分類和排序的功能，所得結(jié)果應(yīng)

以用戶友好的、便于理解的形式提供報告或打印。

7.2.6.4審計報表

報表生成器將審計分析器傳來的分析結(jié)果進行數(shù)據(jù)匯總報表輸出，對報表至少有以下要求：

a）產(chǎn)品應(yīng)提供審計報表模板，能夠基于模板生成審計報表；

b）應(yīng)支持按時間段、源目的IP、事件級別等條件生成自定義審計報表；

c）報告內(nèi)容應(yīng)至少支持文字、圖像兩種描述方式；

d）審計數(shù)據(jù)報告生成格式應(yīng)至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.2.7審計記錄存儲

7.2.7.1審計數(shù)據(jù)外發(fā)

10

產(chǎn)品應(yīng)提供標準接口將審計數(shù)據(jù)外發(fā)至其他系統(tǒng)，以作進一步的分析處理。

7.2.7.2存儲安全

產(chǎn)品應(yīng)提供安全機制保護審計記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴格的身份鑒別機制和適

合的文件讀寫權(quán)限等。任何對審計記錄數(shù)據(jù)的刪除或修改都應(yīng)生成系統(tǒng)自身安全審計記錄。應(yīng)對審計記錄進

行完整性保護。

7.2.7.3存儲空間耗盡處理

產(chǎn)品應(yīng)提供數(shù)據(jù)存儲空間耗盡處理功能：

a）當剩余存儲空間達到預定義的閾值時進行告警；

b）在存儲空間耗盡前采取一定的措施（如：轉(zhuǎn)儲等）防止新近審計記錄丟失。

7.2.8自身安全功能要求

7.2.8.1標識和鑒別

7.2.8.1.1唯一性標識

產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標識。

7.2.8.1.2管理員屬性定義

產(chǎn)品應(yīng)為每個管理員規(guī)定與之相關(guān)的安全屬性，如管理員標識、鑒別信息、隸屬組、權(quán)限等，并提供

使用默認值對創(chuàng)建的每個管理員的屬性進行初始化的功能。

7.2.8.1.3管理員角色

產(chǎn)品應(yīng)為管理角色進行分級，使不同級別的管理角色具有不同的管理權(quán)限。各管理角色的權(quán)限應(yīng)形成

互相制約關(guān)系。

7.2.8.1.4基本鑒別

產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進行身份鑒別。若采用口令方式鑒別，應(yīng)支持對口令強度

進行檢查，如口令長度、是否需包含數(shù)字、字母、特殊字符等。若其采用網(wǎng)絡(luò)遠程方式管理，還應(yīng)對管

理地址進行識別。

7.2.8.1.5多鑒別

產(chǎn)品應(yīng)能向管理角色提供除口令身份鑒別機制以外的其他身份鑒別機制（如證書、智能IC卡、指紋、

視網(wǎng)膜等鑒別機制）。

7.2.8.1.6超時鎖定或注銷

當已通過身份鑒別的管理角色空閑操作的忖間超過規(guī)定值時，在該管理角色執(zhí)行管理功能前，產(chǎn)品應(yīng)

對該管理角色的身份重新進行鑒別。

7.2.8.1.7鑒別失敗處理

11

產(chǎn)品應(yīng)為管理員登錄設(shè)定一個授權(quán)管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超過閾

值時，系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進一步鑒別請求。

7.2.8.1.8鑒別數(shù)據(jù)保護

產(chǎn)品應(yīng)保證管理員鑒別數(shù)據(jù)以非明文形式存儲，不被未授權(quán)查看或修改。

7.2.8.2安全管理

7.2.8.2.1接口及管理安全

產(chǎn)品應(yīng)保證業(yè)務(wù)接口、管理接口、管理界面的安全：

a）業(yè)務(wù)接口和管理接口應(yīng)采用不同的網(wǎng)絡(luò)接口；

b）業(yè)務(wù)接口應(yīng)采取被動收包方式工作，不得外發(fā)數(shù)據(jù)包；

c）管理接口及管理界面應(yīng)不存在中高風險安全漏洞；

7.2.8.2.2管理信息傳輸安全

產(chǎn)品需要通過網(wǎng)絡(luò)進行管理時，產(chǎn)品應(yīng)能對管理信息進行保密傳輸。

7.2.8.2.3安全狀態(tài)監(jiān)測

產(chǎn)品應(yīng)能夠監(jiān)測產(chǎn)品自身及組件狀態(tài)，包括：

a）對產(chǎn)品CPU、內(nèi)存、存儲空間等系統(tǒng)資源使用狀態(tài)進行監(jiān)測；

b）對產(chǎn)品的主要功能模塊運行狀態(tài)進行監(jiān)測；

c）產(chǎn)品若由多個組件組成，審計中心能夠?qū)Ω鹘M件的運行狀態(tài)進行監(jiān)測。

7.2.8.2.4分布式部署

產(chǎn)品應(yīng)支持分布式部署模式，審計中心能夠?qū)Χ鄠€采集器所采集的數(shù)據(jù)進行集中分析處理。

7.2.8.3時間同步

產(chǎn)品及組件應(yīng)支持時間同步功能：

a）若由多個組件組成，各組件應(yīng)支持與審計中心進行時間同步；

b）審計中心應(yīng)支持與外部時間服務(wù)器進行時間同步。

7.2.8.4審計日志

7.2.8.4.1審計日志生成

產(chǎn)品應(yīng)對與自身安全相關(guān)的以下事件生成審計日志：

a）身份鑒別，包括成功和失?。?/p>

b）因鑒別失敗次數(shù)超過了閾值而采取的禁止進一步嘗試的措施；

c）管理員的增加、刪除、修改；

d）審計策略的增加、刪除、修改；

e）時間同步；

12

f）超過保存時限的審計記錄和自身審計日志的自動刪除;

g）審計日志和審計記錄的備份與恢復；

h）存儲空間達到閾值報警；

i）其他事件。

7.2.8.4.2審計日志內(nèi)容

審計日志內(nèi)容至少應(yīng)包括日期、時間、事件主體、事件客體、事件描述等。

7.2.8.4.3審計日志存儲

產(chǎn)品應(yīng)將審計日志與審計記錄分開保存到不同的記錄文件或數(shù)據(jù)庫（或同一數(shù)據(jù)庫的不同表）中,

方便用戶查閱和分析。應(yīng)保證審計日志存儲的最短期限不少于6個月。

8安全保障要求

8.1基本級要求

8.1.1開發(fā)

安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a）與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

b）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c）描述產(chǎn)品安全功能初始化過程為何是安全的；

d）證實產(chǎn)品安全功能能夠防止被破壞；

e）證實產(chǎn)品安全功能能夠防止安全特性被旁路。

8.1.1.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a）完全描述產(chǎn)品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d）描述安全功能接口相關(guān)的安全功能實施行為；

e）描述由安全功能實施行為處理而引起的直接錯誤消息；

f）證實安全功能要求到安全功能接口的追溯。

8.1.1.3產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：

a）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b）標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。

8.1.2指導性文檔

13

8.1.2.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致,

對每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實

體的安全特性；

e）標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f）充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

8.1.2.2準備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準備程序，準備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b）描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

8.1.3生命周期支持

8.1.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為產(chǎn)品的不同版本提供唯一的標識；

b）使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c）提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。

8.1.3.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表至少包含產(chǎn)品、安全保障要求的

評估證據(jù)和產(chǎn)品的組成部分。

8.1.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應(yīng)描述為維護安全所必需的所有程序。

8.1.4測試

8.1.4.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品

的安全功能間的對應(yīng)性。

8.1.4.2功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a）測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任

何順序依賴性；

14

b）預期的測試結(jié)果，表明測試成功后的預期輸出；

C）實際測試結(jié)果和預期的測試結(jié)果一致。

8.1.4.3獨立測試

開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

8.1.5脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗基本的攻擊。

8.2增強級要求

8.2.1開發(fā)

8.2.1.1安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求:

a）與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

b）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c）描述產(chǎn)品安全功能初始化過程為何是安全的；

d）證實產(chǎn)品安全功能能夠防止被破壞；

e）證實產(chǎn)品安全功能能夠防止安全特性被旁路。

8.2.1.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a）完全描述產(chǎn)品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d）描述安全功能接口相關(guān)的安全功能實施行為；

e）描述由安全功能實施行為處理而引起的直接錯誤消息；

f）證實安全功能要求到安全功能接口的追溯；

g）描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

h）描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

8.2.1.3實現(xiàn)表示

開發(fā)者應(yīng)提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：

a）提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

b）按詳細級別定義產(chǎn)品安全功能，詳細程度達到無須進一步設(shè)計就能生成安全功能的程度;

c）以開發(fā)人員使用的形式提供。

8.2.1.4產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：

a）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b）標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

15

e）根據(jù)模塊描述安全功能；

f）提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g）描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h）描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及

調(diào)用的接口；

i）描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

8.2.2指導性文檔

8.2.2.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致,

對每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實

體的安全特性；

e）標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f）充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

8.2.2.2準備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準備程序，準備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b）描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

8.2.3生命周期支持

8.2.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為產(chǎn)品的不同版本提供唯一的標識；

b）使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c）提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；

d）配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進

行已授權(quán)的改變；

e）配置管理文檔包括配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實施的

配置管理與配置管理計劃相一致；

f）配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。

8.2.3.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容:

a）產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；

b）實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

16

8.2.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應(yīng)描述為維護安全所必需的所有程序。

8.2.3.4開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設(shè)計和實現(xiàn)

的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

8.2.3.5生命周期定義

開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔

描述用于開發(fā)和維護產(chǎn)品的模型。

8.2.3.6工具和技術(shù)

開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含

義和所有依賴于實現(xiàn)的選項的含義。

8.2.4測試

8.2.4.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：

a）表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性；

b）表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

8.2.4.2測試深度

開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：

a）證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b）證實產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。

8.2.4.3功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a）測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任

何順序依賴性；

b）預期的測試結(jié)果，表明測試成功后的預期輸出；

c）實際測試結(jié)果和預期的測試結(jié)果一致。

8.2.4.4獨立測試

開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

8.2.5脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗較強的攻擊。

9安全等級

17

本標準按照工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全功能要求和安全保障要求的強度劃分為基本級和增強級,

如表1、表2所示。安全功能強弱和安全保障要求高低是等級劃分的具體依據(jù)。其中，達到基本級要求的產(chǎn)品,

推薦使用在安全保護等級為第一、二級的工業(yè)控制系統(tǒng)中；達到增強級要求的產(chǎn)品，推薦使用在安全保護等

級為第三、四級的工業(yè)控制系統(tǒng)中。

表1安全功能要求等級劃分

安全功能要求基本級增強級

采集策略***

審計數(shù)據(jù)采集網(wǎng)絡(luò)流量監(jiān)測—*

審計數(shù)據(jù)生成**

網(wǎng)絡(luò)層通信協(xié)議還原**

審計數(shù)據(jù)還原通用應(yīng)用協(xié)議還原**

工業(yè)控制協(xié)議還原***

事件辨別擴展接口—*

白名單規(guī)則定義***

基于白名單

白名單方式識別***

規(guī)則分析

學習模式—*

審計識別和分析異常事件識別***

異常事件自定義識別規(guī)則—*

基于規(guī)則事件生成—*

基于統(tǒng)計的分析—*

關(guān)聯(lián)分析—*

記錄內(nèi)容**

事件分類**

審計記錄

事件分級**

數(shù)據(jù)庫支持**

事件響應(yīng)—*

事件響應(yīng)和報警事件告警**

告警方式***

常規(guī)查閱**

有限查閱**

審計查閱和報表

可選查閱**

審計報表***

審計數(shù)據(jù)外發(fā)—*

審計記錄存儲存儲安全**

存儲空間耗盡處理***

唯一性標識**

管理員屬性定義**

自身安全功能要

標識和鑒別管理員角色**

求

基本鑒別***

多鑒別—*

18

表1（續(xù)）

安全功能要求基本級增強級

超時鎖定或注銷**

標識和鑒別鑒別失敗處理**

鑒別數(shù)據(jù)保護**

接口及安全管理**

管理信息傳輸安全**

自身安全功能要安全管理

安全狀態(tài)監(jiān)測***

求

分布式部署—*

時間同步**

審計日志生成***

審計日志審計日志內(nèi)容**

審計日志存儲**

注：“*”表示具有該要求，“**”表示要求有所增強，“一一”表示不適用。

表2安全保障要求等級劃分

安全保障要求基本級增強級

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實現(xiàn)表示—*

產(chǎn)品設(shè)計***

操作用戶指南**

指導性文檔

準備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全—*

生命周期定義—*

工具和技術(shù)—*

測試覆蓋***

測試深度—*

測試

功能測試**

獨立測試**

脆弱性評定***

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。