国家标准 GB/T37954一2019 信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法 lnformmationsecuritytechnology Techniquereguirementsandtestingandevaluationapproachesforindustrial oantrlsystemvulnerahttydetetioproducts 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/37954一2019 目次前言范围 2 规范性引用文件术语和定义缩略语产品描述安全技术要求 6.1安全功能要求 6.2 自身安全要求 6.3安全保障要求测评方法 7.1！安全功能测试 7.2 自身安全测试 7.3安全保障评估方法附录A(规范性附录)工业控制系统漏洞检测产品安全功能等级划分 18 工业控制系统漏洞检测产品测评方法分级及其测评项附录B规范性附录 19 参考文献 20
GB/37954一2019 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:信息安全测评中心、电子技术标准化研究院、北京工业大学、北京国恩网络科技有限责任公司、科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部第三研究所(国家网络与信息系统安全产品质量监督检验中心),北京交通大学、解放军战略支援部队信息工程大学、中车株洲电力机车有限公司本标准主要起草人:张大江、胡仁豪、范科峰、周睿康赖英旭、谢丰邸丽清、叶润国尚文利赵剑明、陆臻、邹春明、谢安明、郑伟、魏强、安高峰、王春霞、梁猛、汪义舟、王嗖、张胜、刘勇
GB/37954一2019 信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法范围本标准规定了针对工业控制系统的漏洞检测产品的技术要求,包括安全功能要求、自身安全要求和安全保障要求,以及相应的测试评价方法本标准适用于工业控制系统漏洞检测产品的设计、开发和测评规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T250692010信息安全技术术语术语和定义 GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1 漏洞vulnerability 资产中能被威胁所利用的弱点 3.2 测试用例testcase 为某个特定目标而编制的一组输人、执行条件以及预期结果,以核实是否满足某个特定需求 3.3 测试集合testset 测试用例的组合 3.4 工业控制组态软件indwstrialeontrolconfigurationsofware 在控制系统监控层的软件平台和开发环境,使用灵活的方式为用户提供快速配置现场系统状态的软件工具缩略语下列缩略语适用于本文件 DNP:分布式网络协议(DistributedNetworkProtocolD) HTML超文本标记语言(HyperextMMakup -anguage HTTP;超文本传输协议(HyperTextTransferProtocol)
GB/T37954一2019 < ransferProtocolD F:TP;文件传输协议(File P;互联网协议(InternetProtocoD oLE,对象连接与嵌人(ObjectLinkimg.andEmbedding) oPC用于过程控制的oLE(oLEforProessControl < erminalUnit RTU;远程控制终端(Re emote NetworkMe Protocol SNIMP;简单网络管理协议(Simple lanagement ransmissionControlProtocol TCP:传输控制协议(Tra serDatagramProtocol UDP;用户数据报协议(Us 5 产品描述工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性,发现可能被人侵者利用的漏洞,并提出防范和补救措施工业控制系统漏洞检测产品可以用于离线环境、工业控制系统试运行期间或工业系统维修期间,能够对工业控制系统中的工业控制设备,通信设备、安全保护设备以及工业控制软件等进行自动检测,发现存在的漏洞为防止影响正常生产,不应在工业生产现场使用工业控制系统漏洞检测产品工业控制系统漏洞检测产品分为基本级和增强级工业控制系统漏洞检测产品安全技术要求的分级及其要求条款见附录A 工业控制系统漏洞检测产品测评方法的分级及其测评项见附录B. 6 安全技术要求 6.1安全功能要求 6.1.1工业控制设备识别漏洞检测产品应能自动识别工业控制设备漏洞检测产品应支持手动添加工业控制设备 6.1.2工业控制设备端口扫描漏洞检测产品应能扫描所有TCP端口,检查其是否开启漏洞检测产品应能扫描所有UDP端口,检查其是否开启对于已开启的TCP,UDP端口,漏洞检测产品应能判断出与之对应的公开的工业控制通信协议 6.1.3工业控制设备通信协议漏洞检测漏洞检测产品应能检测使用(包括但不限于)以下通信协议的工业控制设备的已知漏洞工业以太网协议:Modbus/TCP协议、OPC协议、DNP3.0协议、IEC-60870-5-104协议、IEC a emensS7Comm 61850MMS协议,Sie 协议、PROFINET协议,IEC-61850GooSE协议,IEC 61850sV协议、EtherNet/IP协议; b 互联网协议:HTTP协议、FTP协议、TELNET协议、SNMP协议 c 串口协议:ModbusRTU协议、,IEC-60870-5-101协议: d)私有协议包括行业专业协议). 6.1.4工业控制组态软件漏洞检测漏洞检测产品应能检测工业控制组态软件的已知漏洞
GB/37954一2019 6.1.5工业控制设备操作系统检测漏洞检测产品应能检测工业控制设备操作系统的安全问题,检测项目应包括但不限于以下内容操作系统类型和版本号识别; a b 操作系统登录弱口令检测; 操作系统已知安全漏洞检测 c 6.1.6工业控制数据库漏洞检测漏洞检测产品应能检测工业控制数据库的已知漏洞 6.1.7工业控制网络通信设备漏洞检测漏洞检测产品应能检测工业控制网络通信设备(例如,工业交换机等)的已知漏洞 6.1.8检测结果处理要求漏洞检测产品应能满足以下要求漏洞检测产品应能实时查看检测进度 a b 漏洞检测产品应能实时查看测试用例的执行方法和每一方法的结果漏洞检测产品应能监测工业控制设备的实时响应 d 检测任务应能随时暂停或者终止漏洞检测产品应能保存检测结果漏洞检测产品应能记录并追溯导致工业控制设备异常的数据报文漏洞检测产品应能根据检测结果自动生成检测报告检测报告应包括但不限于以下内容: g 1 工业控制设备的信息列表,包括设备类型、固件版本、操作系统版本等; 漏洞的名称、漏洞编号、发布日期等; 22 33 潜在的漏洞; 被测设备的危险等级评估,明确标出扫描出的漏洞的危险等级. 4 h)检测报告应以通用文档格式(例如,wPs,D0c、TXT,RTF、,PDF,HTMI等)输出 i 测试过程异常终止时,漏洞检测产品应能生成已检测部分的报告,并说明测试过程异常终止注被测设备的危险等级取决于扫描脆弱点的最高危险等级危险等级的定义参见GB/T30279一2013中4.2 6.1.9管理控制功能要求漏洞检测产品应能满足以下要求: 漏洞检测产品应能针对不同的工业控制设备和系统设置相应的检测参数(例如,扫描地址范 a 围、端口范围、漏洞类型、测试报文、测试次数、测试时间间隔等. b 漏洞检测产品应支持以下测试方式依据工业控制通信协议将测试用例进行归类; 1 2 支持测试用例随机组合; 33 支持测试集合随机组合; 4 支持用户编写测试用例 5 根据设备类型向用户推荐某类或某几类测试用例漏洞检测产品应内置工业控制设备信息库并允许更新 c d 漏洞检测产品应内置漏洞库漏洞检测产品应能通过产品升级等方式更新漏洞库,添加新发现的安全漏洞
GB/T37954一2019 漏洞检测产品应内置测试用例库,包含测试用例和测试集合,用于检测已知漏洞和发现未知漏洞 6.2自身安全要求 6.2.1用户管理与鉴别漏洞检测产品应能满足以下要求漏洞检测产品应支持用户管理,包括添加、删除、激活、禁止用户; a b 漏洞检测产品应为每个用户设定标识、权限等安全属性; 漏洞检测产品应在用户登录时进行鉴别 c 当用户鉴别尝试失败连续达到指定次数后,漏洞检测产品应阻止用户进一步的鉴别请求 d 漏洞检测产品应具有登录超时锁定或注销功能; e 若漏洞检测产品的控制台提供远程管理功能,应能对可远程管理的主机地址进行身份鉴别和 f) 访问控制,并保证传输数据的保密性和完整性 6.2.2产品升级漏洞检测产品应能满足以下要求漏洞检测产品应具有升级的功能(包括修复自身缺陷等: a b 漏洞检测产品应具有升级包校验机制,防止得到错误的或伪造的升级包 6.2.3 日志管理漏洞检测产品应能满足以下要求漏洞检测产品应对相关安全事件生成安全日志,包括但不限于以下内容: a 登录成功和退出、登录失败 22 重启 3 鉴别连续尝试不成功的次数超出了设定的限值增加、删除管理员角色和对管理员角色的属性进行修改的操作; 4 5 对上述审计事件的备份和删除升级 6 检测操作 7 每条安全日志应包括事件发生的日期,时间用户标识、事件类型,事件描述和结果若采用 b 远程登录方式对漏洞检测产品进行管理还应记录管理主机的地址漏洞检测产品应提供下列安全日志管理功能 1 只允许授权管理员访问安全日志; 提供对安全日志的查询功能 22 授权管理员应能保存或删除安全日志; 3 ！安全日志应能够以通用格式例如,Excel)导出 6.2.4安全存储漏洞检测产品应能满足以下要求漏洞检测产品应只允许用户读取自己创建的测试任务数据 a b 用户删除测试任务时,漏洞检测产品应删除与测试任务相关的数据漏洞检测产品应允许用户导出或导人测试任务数据 c
GB/37954一2019 6.3安全保障要求 6.3.1配置管理 6.3.1.1 版本号开发者应为产品的不同版本提供唯一的标识 6.3.1.2配置项开发者应提供配置管理文档配置管理文档应包括一个配置清单,配置清单应唯一标识产品的所有配置项并对配置项进行描述 6.3.2交付与运行 6.3.2.1交付程序开发者交付产品时应将交付过程文档化 6.3.2.2安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程 6.3.3开发 6.3.3.1功能规范开发者应提供一个功能规范,功能规范应满足以下要求描述产品安全功能及其外部接口 aa 是内在一致的; b) 描述所有外部接口的用途与使用方法 c d)效果、例外情况和错误消息的细节; 完备地表示产品安全功能 e 6.3.3.2高层设计开发者应提供产品安全功能的高层设计,高层设计应满足以下要求是内在一致的; a b) 按子系统描述安全功能的结构描述每个安全功能子系统所提供的安全功能性; c 标识安全功能所要求的任何基础性的硬件、固件或软件; d 标识安全功能子系统的所有接口 e 标识安全功能子系统的哪些接口是外部可见的 6.3.4指导性文档 6.3.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致管理员指南应说明以下内容管理员可使用的管理功能和接口;
GB/T37954一2019 b 安全地管理产品; 在安全处理环境中应被控制的功能和权限 c 对与产品的安全操作有关的用户行为的假设 d) 受管理员控制的安全参数; e f 与管理功能有关的安全相关事件与管理员有关的IT环境安全要求 g 6.3.4.2用户指南开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致用户指南应说明以下内容产品的非管理员用户可使用的安全功能和接口; a b 产品提供给用户的安全功能和接口的使用方法; 用户可获取但应受安全处理环境所控制的所有功能和权限; c d 产品安全操作中用户所应承担的职责; 与用户有关的IT环境的所有安全要求 6.3.5测试 6.3.5.1测试覆盖开发者应提供测试覆盖的证据在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的 6.3.5.2功能测试开发者应测试安全功能,将结果文档化并提供测试文档测试文档应包括以下内容测试计划,应标识要测试的安全功能,并描述测试的目标; a 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况 b 预期的测试结果,应表明测试成功后的预期输出 c 实际测试结果,应表明每个被测试的安全功能能按照规定进行运作 d 测评方法 7.1安全功能测试 7.1.1工业控制设备识别对工业控制设备自动识别的测试方法与预期结果如下测试方法 a 在漏洞检测产品上输人IP地址,漏洞检测产品向该IP地址发送测试报文 b预期结果对于有效的IP地址,漏洞检测产品能够自动识别工业控制设备、正确显示设备厂商名称和设备类型,或提示用户手动添加工业控制设备对于无效的IP地址,漏洞检测产品报错
GB/37954一2019 7.1.2工业控制设备端口扫描对工业控制设备端口扫描的测试方法与预期结果如下测试方法 aa 漏洞检测产品向工业控制设备的所有TCP端口和UDP端口发送测试报文 b 预期结果漏洞检测产品能够根据工业控制设备的响应报文识别出所有开启的TCP端口和UDP 端口; 对于已知的TCP端口,UDP端口,漏洞检测产品能够显示出与之对应的工业控制通信协议 7.1.3工业控制设备通信协议漏洞检测 7.1.3.1工业以太网协议漏洞检测工业以太网协议漏洞检测的测试方法与预期结果如下测试方法 a 1)漏洞检测产品逐一选取6.1.3a)中的工业以太网协议 22 漏洞检测产品向工业控制设备发送包含工业以太网协议已知漏洞的测试报文预期结果 b 漏洞检测产品能够支持6.1.3a)中的全部工业以太网协议; 22 漏洞检测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞; 33 漏洞检测产品能够记录所发现的已知漏洞 7.1.3.2互联网协议漏洞检测用于工业控制的互联网协议漏洞检测的测试方法与预期结果如下测试方法: a 1)漏洞检测产品逐一选取6.1.3b)的互联网协议 22 漏洞检测产品向工业控制设备发送包含互联网协议已知漏洞的测试报文预期结果 b 漏洞检测产品能够支持6.1.3b)中的互联网协议 1 22 漏洞检测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞 33 漏洞检测产品能够记录所发现的已知漏洞 7.1.3.3串口协议漏洞检测用于工业控制的串口协议漏洞检测的测试方法与预期结果如下: 测试方法 a 1 漏洞检测产品逐一选取6.1.3e)中的串口协议; 22 漏洞检测产品向工业控制设备发送包含串口协议已知漏洞的测试报文预期结果 b 漏洞检测产品能够支持6.1.3c)中的串口协议; 1 22 漏洞检测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞 33 漏洞检测产品能够记录所发现的已知漏洞
GB/T37954一2019 7.1.3.4工业控制私有协议漏洞检测工业控制私有协议漏洞检测的测试方法与预期结果如下测试方法 a l)漏洞检测产品逐一选取所支持的私有协议; 22 漏洞检测产品向工业控制设备发送包含该协议已知漏洞的测试报文 b 预期结果 1 漏洞检测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞 22 漏洞检测产品能够记录所发现的已知漏洞 7.1.4工业控制组态软件漏洞检测工业控制组态软件漏洞检测的测试方法与预期结果如下测试方法 a 在漏洞检测产品上运行针对工业控制组态软件漏洞的测试用例 b 预期结果漏洞检测产品能通过工业控制设备的响应,来发现工业控制设备是否存在已知工业控制组态软件漏洞; 漏洞检测产品能够记录所发现的已知漏洞 7.1.5工业控制设备操作系统检测工业控制设备操作系统检测的测试方法与预期结果如下测试方法 a 工业控制设备预置登录弱口令,并开放被测端口; 1) 2) 在漏洞检测产品上运行弱口令测试用例 3)在漏洞检测产品上运行操作系统安全漏洞测试用例 b)预期结果漏洞检测产品能够识别工业控制设备的操作系统类型和版本号， 1 漏洞检测产品能够检测出登录弱口令 2 3) 漏洞检测产品能够检测出并记录工业控制设备操作系统的已知安全漏洞 7.1.6工业控制数据库漏洞检测工业控制数据库漏洞检测的测试方法与预期结果如下测试方法 a 漏洞检测产品向工业控制数据库服务器发送包含数据库已知漏洞的报文预期结果 b 漏洞检测产品能够检测出并记录工业控制数据库的已知漏洞 7.1.7工业控制网络通信设备漏洞检测工业控制网络通信设备漏洞检测的测试方法与预期结果如下: 测试方法 a 漏洞检测产品向工业控制网络通信设备发送包含该型号设备已知漏洞的报文 b 预期结果漏洞检测产品能够检测出并记录工业控制网络通信设备存在的已知漏洞
GB/37954一2019 7.1.8漏报测试漏报测试方法与预期结果如下测试方法 l)选取某型号具有已知安全漏洞的工业控制设备,记录其已知安全漏洞; 2)使用检测产品对该设备进行漏洞检测; 3)对比检测报告中列出的安全漏洞和该设备的已知安全漏洞 b)预期结果如果检测报告中列出的安全漏洞包括该设备的全部已知安全漏洞,则无漏报,否则有漏报注，该测试需要对多种类型的工业控制设备进行测试,以保证测试结论的有效性 7.1.9 误报测试误报测试方法与预期结果如下测试方法 a 选取某型号具有已知安全漏洞的工业控制设备,记录其已知安全漏洞 1 使用漏洞检测产品对该设备进行漏洞检测 2 33) 对比检测报告中列出的已知安全漏洞和该设备的已知安全漏洞预期结果 b 如果检测报告中列出的已知安全漏洞超出该设备的全部已知安全漏洞,或者将A漏洞判别为 B漏洞,则有误报,否则无误报注:该测试需要对多种类型的工业控制设备进行测试,以保证测试结论的有效性 7.1.10检测结果处理 7.1.10.1工业控制设备状态监测工业控制设备状态监测的测试方法与预期结果如下测试方法 a 在漏洞检测产品上运行测试集合; lD" 22 暂停或者终止测试集合 b 预期结果 1 能够在漏洞检测产品上实时查看检测进度; 22 能够在漏洞检测产品上实时查看测试用例每一步骤的执行结果; 能够在漏洞检测产品上监测工业控制设备的实时响应 33 能够在漏洞检测产品上随时暂停或者终止测试！ 7.1.10.2检测结果记录检测结果记录的测试方法与预期结果如下测试方法: a 1检查漏洞检测产品是否具有记录检测结果的数据库或数据文件 22) 检查漏洞检测产品的数据库或数据文件中是否包含导致工业控制设备异常响应的测试报文 b 预期结果漏洞检测产品具有记录检测结果的数据库或数据文件; lD 22 数据库或数据文件中包含导致工业控制设备异常响应的测试报文
GB/T37954一2019 7.1.10.3检测报告生成检测报告生成的测试方法与预期结果如下测试方法 a 查看漏洞检测产品的报告生成功能 1 2 查看报告的生成方式; 查看报告的内容 33) 预期结果 b 漏洞检测产品具有生成报告的功能漏洞检测产品提供默认的模板以供快速生成报告漏洞检测产品的报告可支持多种图形表格形式,并可生成日报、周报等汇总报告 4 漏洞检测产品的报告支持多种文档格式 55 漏洞检测产品的报告包括所有检测出的漏洞的名称、类型、编号、漏洞发布日期、漏洞概要描述等信息; 6 漏洞检测产品的报告包括对被检测设备的危险等级评估,扫描脆弱点按风险严重程度分级,并明确标出 7.1.10.4检测中断时的报告生成检测中断时的报告生成的测试方法与预期结果如下测试方法 a 1) 在漏洞检测产品上运行测试集合; 2)随机终止测试 b 预期结果终止测试后,漏洞检测产品能生产成已检测部分的报告,并说明测试终止的情况 7.1.11管理控制功能 7.1.11.1检测参数设置检测参数设置的测试方法与预期结果如下测试方法 a 检查漏洞检测产品是否可以设置检测参数预期结果 b) 漏洞检测产品能够设置检测参数(例如,扫描地址范围、端口范围、漏洞类型、测试报文、测试次数、测试时间间隔等) 7.1.11.2检测方式检测方式的测试方法与预期结果如下测试方法: a 1) 检查漏洞检测产品是否能够依据工业控制通信协议将测试用例进行归类 22 检查漏洞检测产品是否支持测试用例随机组合; 3 检查漏洞检测产品是否支持测试集合随机组合！检查漏洞检测产品是否支持用户编写测试用例; 5 检查漏洞检测产品是否根据设备类型向用户推荐某类或某几类测试用例 10
GB/37954一2019 b)预期结果 1) 漏洞检测产品能够依据工业控制通信协议将测试用例进行归类漏洞检测产品支持测试用例随机组合 2 3 漏洞检测产品支持测试集合随机组合！漏洞检测产品支持用户编写测试用例 5 漏洞检测产品能够根据设备类型向用户推荐某类或某几类测试用例 7.1.11.3设备信息库管理设备信息库管理的测试方法与预期结果如下测试方法: 1) 检查漏洞检测产品是否具有工业控制设备信息库 22 检查漏洞检测产品是否允许用户自定义及增删设备型号; 33 检查漏洞检测产品是否能够添加新增设备的特征信息 b 预期结果漏洞检测产品具有工业控制设备信息库 1 漏洞检测产品允许用户自定义及增删设备型号 22 漏洞检测产品能够添加新增设备的特征信息 33 7.1.11.4漏洞库管理漏洞库管理的测试方法与预期结果如下测试方法 a 1检查漏洞检测产品是否具有漏洞管理库; 2)检查是否能够在漏洞检测产品中添加新的安全漏洞 b)预期结果: 1漏洞检测产品具有漏洞管理库漏洞检测产品能够添加新的安全漏洞 22 7.1.11.5测试用例库管理测试用例库管理的测试方法与预期结果如下测试方法 a 1)检查漏洞检测产品是否具有测试用例库检查是否能够修改,增加、删除测试用例或测试集合 22 预期结果 b 漏洞检测产品具有测试用例库; 1 库中包含测试用例和测试集合 2 33 检查漏洞检测产品允许用户修改,增加,删除测试用例或测试集合 7.2自身安全测试 7.2.1用户管理与鉴别 7.2.1.1用户管理用户管理的测试方法与预期结果如下测试方法 a 11
GB/T37954一2019 检查漏洞检测产品是否具有用户管理功能 1 22 检查漏洞检测产品是否能够为用户设置安全属性 b)预期结果漏洞检测产品能够添加、制除、激活,禁止用户 1！漏洞检测产品能够设置用户的安全属性 2 7.2.1.2用户鉴别用户鉴别的测试方法与预期结果如下 a 测试方法: 登录控制台,检查要求进行身份鉴别 b)预期结果 1) 当用户登录对用户进行鉴别,拒绝未通过鉴别的用户登录 2 登录之前允许做的操作,仅限于输人登录信息、查看登录帮助等操作; 33 允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别 7.2.1.3鉴别失败处理鉴别失败处理的测试方法与预期结果如下测试方法 a 检查漏洞检测产品的安全功能是否可定义用户鉴别尝试的最大允许失败次数 2 检查漏洞检测产品的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取相应的措施、阻止用户进一步的鉴别请求; 3 尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,漏洞检测产品是否采取了相应的措施,并生成了审计事件预期结果 b) 1 漏洞检测产品具备定义用户鉴别尝试的最大允许失败次数的功能 22 当用户鉴别尝试失败连续达到指定次数后,漏洞检测产品能够锁定该账号,并将有关信息生成审计事件; 最多失败次数仅由授权用户设定 33 7.2.1.4超时设置超时设置的测试方法与预期结果如下测试方法 a 检查漏洞检测产品是否具有用户登录超时重新鉴别功能 1 2 设定用户登录超时重新鉴别的时间段,检查登录用户在设定的时间段内没有任何操作的情况下,漏洞检测产品是否锁定或终止了会话,用户是否需要再次进行身份鉴别才能够重新管理和使用漏洞检测产品 b 预期结果 1 漏洞检测产品具有登录超时重新鉴别功能任何登录用户在设定的时间段内没有任何操作的情况下,应被锁定或终止了会话,管理员 22 需要再次进行身份鉴别才能够重新管理和使用漏洞检测产品; 最大超时时间仅由授权管理员设定 3 7.2.1.5远程管理远程管理的测试方法与预期结果如下 12
GB/37954一2019 测试方法 a 1)通过控制台设置可以进行远程管理的主机地址; 22 检查是否在执行所有功能之前要求首先进行主机地址; 33 检查传输过程是否采用了保密性和完整性保护手段 b)预期结果可以设置远程管理主机地址 1 22 在通过远程主机进行任何与安全功能相关的操作之前都应进行鉴别,拒绝未通过鉴别的管理请求; 传输过程采用了保密性和完整性保护手段 7.2.2产品升级 7.2.2.1升级功能升级功能的测试方法与预期结果如下测试方法 a 1)检查漏洞检测产品的升级方式进行产品升级 2 b)预期结果 l)可以对漏洞检测产品进行升级; 漏洞检测产品在升级的过程中可以正常工作; 2 漏洞检测产品在升级后可以正常工作 3 7.2.2.2升级包校验升级包校验功能的测试方法与预期结果如下: 测试方法 a 使用经过破坏性修改的升级包进行升级 b 预期结果漏洞检测产品无法升级并显示将完整性校验结果 7.2.3 日志管理 7.2.3.1 安全日志生成安全日志生成的测试方法与预期结果如下测试方法 a )结合开发者文档,使用不同角色管理员模拟对漏洞检测产品进行访间、运行、修改,关闭以及重复失败尝试等相关操作,检查漏洞检测产品提供了对哪些事件的审计; 审查安全日志的正确性 b 预期结果漏洞检测产品至少为下述可审计事件产生安全日志;用户登录、用户退出、鉴别失败、设备重启、安全配置更改等重大事件,产品升级时间和版本号等 22 在每条安全日志中至少记录如下信息;事件发生的日期、时间,用户标识,事件类型,事件描述和结果、远程登录的管理主机的地址 13
GB/T37954一2019 7.2.3.2安全日志管理安全日志管理的测试方法与预期结果如下测试方法 a 模拟授权与非授权管理员访问安全日志,检查是否仅允许授权管理员访问安全日志检查是否可以进行日志查询 33 检查是否可以修改日志; ！检查日志是否能够导出 b 预期结果 1 除了具有明确的访问权限的授权管理员之外,禁止所有其他用户对安全日志的访问 22 提供日志查询功能; 3 允许授权管理员保存或删除安全日志; ！日志能够以通用格式导出 7.2.4安全存储安全存储的测试方法与预期结果如下测试方法 a 用户登录后,尝试读取其他用户创建的测试任务的数据 2 用户删除测试任务后,检查是否存在相关的测试数据用户导出测试任务数据,用户导人测试任务数据 3 b)预期结果 1用户无法读取其他用户创建的测试任务的数据; 2)相关的测试数据已被删除相关的测试任务数据可以被正确的导人和导出 3 7.3安全保障评估方法 7.3.1配置管理 7.3.1.1版本号版本号的测试方法与预期结果如下测试方法 a 评价者应审查开发者提供的配置管理支持文件是否包含以下内容;版本号,要求开发者所使用的版本号与所应表示的产品样本完全对应,没有歧义 b)预期结果: 审查记录以及最后结果符合测试方法要求,开发者应提供唯一版本号 7.3.1.2配置项配置项的测试方法与预期结果如下 a 测试方法评价者应审查开发者所提供的信息是否满足如下要求 1) 配置管理功能应对所有的配置项定义唯一的标识 22 配置管理文档应包括配置清单、配置管理计划配置清单用来描述组成系统的配置项 33 配置管理文档还应描述对配置项给出唯一标识的方法 14
GB/37954一2019 b)预期结果审查记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的3个方面 7.3.2交付与运行 7.3.2.1 交付程序交付程序的测试方法与预期结果如下测试方法: a 评价者应审查开发者是否使用一定的交付程序交付系统,并使用文档描述交付过程,并且评价者应审查开发者交付的文档是否包含以下内容:在给用户方交付系统的各版本时,为维护安全所必需的所有程序预期结果测试记录以及最后结果符合测试方法要求,开发者应提供完整的文档描述所有交付的过程(文档和程序交付. 安装生成和启动程序 7.3.2.2 安装、生成和启动程序的测试方法与预期结果如下测试方法: a 评价者应审查开发者是否提供了文档说明系统的安装、生成、启动和使用的过程用户能够画过此文档了解安装、生成、启动和使用过程预期结果 b 审查记录以及最后结果符合测试方法要求 7.3.3开发 7.3.3.1功能规范功能规范的测试方法与预期结果如下测试方法 a 评价者应审查开发者所提供的信息是否满足如下要求功能设计应描述产品安全功能与其外部接口; 1 22) 功能设计应是内在一致的; 功能设计应描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结果 3 影响例外情况和出错信息的细节; 功能设计应完整地表示产品安全功能; 4 5 评价者应确认功能设计是否是系统安全要求的精确和完整的示例预期结果 b 审查记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的4个方面开发者提供的内容应精确和完整 7.3.3.2高层设计描述性高层设计的测试方法与预期结果如下测试方法 a 评价者应审查开发者所提供的信息是否满足如下要求 l是内在一致的; 15
GB/T37954一2019 按子系统描述安全功能的结构 2 描述每个安全功能子系统所提供的安全功能性; 标识安全功能所要求的任何基础性的硬件、固件或软件.以及在这些硬件、固件或软件中 4 实现的支持性保护机制所提供功能的一个表示; 标识安全功能子系统的所有接口; 5 6 标识安全功能子系统的哪些接口是外部可见的 b 预期结果审查记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的6个方面开发者提供的高层设计内容应精确和完整 7.3.4指导性文档 7.3.4.1 管理员指南管理员指南的测试方法与预期结果如下测试方法 a 评价者应审查开发者是否提供了供授权管理员使用的管理员指南,并且此管理员指南是否包括如下内容产品可以使用的管理功能和接口; 安全地管理产品; 3 在安全处理环境中应进行控制的功能和权限; 对与产品的安全操作有关的用户行为的假设 44 5 受管理员控制的安全参数,如果可能,应指明安全值; 与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变 6 7 与授权管理员有关的IT环境的安全要求 b 预期结果测试记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的7个方面开发者提供的管理员指南应完整 7.3.4.2用户指南用户指南的测试方法与预期结果如下测试方法 a 评价者应审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内容 1) 产品的非管理用户可使用的安全功能和接口; 产品提供给用户的安全功能和接口的用法; 2 用户可获取但应受安全处理环境控制的所有功能和权限 3 产品安全操作中用户所应承担的职责; 4 5与用户有关的IT环境的所有安全要求 b)预期结果测试记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的5个方面开发者提供的用户指南应完整 7.3.5测试 7.3.5.1测试覆盖测试覆盖的测试方法与预期结果如下 16
GB/37954一2019 测试方法 a 评价者应审查开发者提供的测试覆盖证据,在测试覆盖证据中,是否表明测试文档中所标识的测试与功能规范中所描述的系统的安全功能是对应的 b 预期结果: 审查记录以及最后结果符合测试方法要求,开发者提供的测试覆盖证据,应表明测试文档中所标识的测试与功能规范中所描述的系统的安全功能是对应的 7.3.5.2功能测试功能测试的测试方法与预期结果如下测试方法: a 1 评价开发者提供的测试文档,是否包括测试计划,测试规程、预期的测试结果和实际测试结果; 22 评价测试计划是否标识了要渊试的安全功能,是青描述了测试的目标 33 评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性) 评价期望的测试结果是否表明测试成功后的预期输出 4 5)评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作预期结果 b 测试记录以及最后结果符合测试方法要求,评价者审查内容至少包括测试方法中的5个方面开发者提供的内容应完整 17
GB/T37954一2019 附录 A 规范性附录) 工业控制系统漏洞检测产品安全功能等级划分工业控制系统漏洞检测产品的安全功能等级划分如表A.1所示表A.1安全功能等级划分安全技术要求基本级增强级工业控制设备识别 6.l.1 6.1. 工业控制设备端口扫描 6.1.2 6.1.2 工业控制设备通信协议谢洞检测 6.1.3a),b) 6.l.3a)d 工业控制组态软件漏洞检测 6.l.4 6.l.4 6.1.5 6.1.5 安全功能要求工业控制设备操作系统检测 6.1.6 工业控制数据库漏洞检测 6,1.6 工业控制网络通信设备漏洞检测 6.1.7 6,1.7 检测结果处理要求 6.1.8 6,1.8 管理控制功能要求 6.1.9 6,1.9 用户管理与鉴别 6.2.1afD 6.2.1a)~d 产品升级 6.2.2 6.2.2 自身安全要求 6.2.3 6.2.3 日志管理安全存储 6.2.4 6.2.4 配置管理 6.3.1 6.3.1 交付与运行 6.3.2 6.3.2 6.3.3 安全保障要求开发 6.3.3 指导性文档 6,3.4 6,3,4 测试 6.3.5 6.3.5 18
GB/37954一2019 附录B 规范性附录工业控制系统漏洞检测产品测评方法分级及其测评项工业控制系统漏洞检测产品测评方法的分级及其测评项如表B.1所示表B.1工业控制系统漏洞检测产品测评方法分级及其测评项安全技术要求基本级增强级工业控制设备识别 7.1.l 7.1.l 工业控制设备端口扫描 7.1.2 7.1.2 工业控制设备通信协议漏洞检测 7.13.1、7.1.3.2 7.1l.3.l一7.l.3.4 7.1. 7.1.4 工业控制组态软件漏洞检测 7.1.5 7.1.5 工业控制设备操作系统检测安全功能测试工业控制数据库漏洞检测 7.1.6 7.1.6 工业控制网络通信设备漏洞检测 7.1.7 7.1.7 漏报测试 7.1.8 7.1.8 误报测试 7.1.9 7.1.9 检测结果处理 7.1. 10 7.1.1o 管理控制功能 7.l.l 7.1.1m 7.2.1.1一7.2.1.3 7.2.1.17.2.1.5 用户管理与鉴别产品升级 7.2.2 7.2.2 自身安全测试日志管理 7.2.3 7.2.3 安全存储 7.2.4 7.2.4 配置管理 7.3.1 7.3.1 交付与运行 7.3.,2 7.3. 7.3.3 安全保障评估方法开发 73 7.3,.4 7.3,4 指导性文档测试 7.3,5 7.3,5 19
GB/T37954一2019 参考文献 [[1]GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分;安全保障组件 [2幻 GB/T20275一2013信息安全技术网络人侵检测系统技术要求和测试评价方法 [3幻 GB/T20278一2013信息安全技术网络脆弱性扫描产品安全技术要求 [4]GB/T30279一2013信息安全技术安全漏洞等级划分指南 [们 GB/T32919-2016信息安全技术工业控制系统安全控制应用指南 [6]sSsA-420VulnerabilityIdenifeationTest(VIT) PolieySpeifeationm 20

GB/T37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法

工业控制系统是指用于实时监控和操作工业过程的计算机系统，它们广泛应用于石油、化工、电力、交通等领域。然而，由于历史遗留问题和技术原因，这些系统在安全性方面存在很多漏洞和缺陷。这些漏洞一旦被攻击者利用，就可能导致设备损坏、生产中断或环境污染等重大后果。

为了解决这一问题，GB/T37954-2019标准提出了一系列技术要求，主要包括以下几个方面：

1. 漏洞检测

标准要求，漏洞检测产品应该能够全面、准确地发现 ICS 中存在的漏洞和缺陷。同时，产品应该支持多种协议和设备类型，以满足不同用户的需求。

2. 安全评估

标准要求，漏洞检测产品应该能够对 ICS 的安全性进行客观评估，并给出相应的安全建议和措施。此外，产品还应该具备风险分析和管理的能力，及时发现并处理潜在的安全威胁。

3. 数据保护

标准要求，在漏洞检测过程中，产品应该严格保护用户的数据隐私和知识产权。同时，产品还应该具备数据备份和恢复的能力，以防止数据丢失或损坏。

4. 用户体验

标准要求，漏洞检测产品应该易于使用，界面友好，支持多语言，并提供详细的操作指南和技术支持。

总之，GB/T37954-2019标准为工业控制系统漏洞检测产品提出了一系列具体的技术要求，这些要求涵盖了从漏洞检测到安全评估等各个环节。漏洞检测产品供应商应该根据该标准认真落实相关要求，提高产品质量和用户体验。