《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法.docx》由会员分享,可在线阅读,更多相关《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法.docx(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全技术工业控制系统漏洞检测技术要求及测试评价方法1范围本标准规定了针对工业控制系统的漏洞检测产品的技术要求和测试评价方法,包括安全功能要求、 自身安全要求和安全保证要求,以及相应的测试评价方法。本标准适用于工业控制系统漏洞检测产品的设计、开发和测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010信息安全技术 术语GB/T 32919-2016信息安全技术 工业控制系统安全控制应用指南3术语和定义3. 1漏洞 vuInerabi I
2、 ity即脆弱性,资产中能被威胁所利用的弱点。测试用例test case为某个特定目标而编制的一组输入、执行条件以及预期结果,以核实是否满足某个特定需求。测试脚本test scr ipt测试用例的集合。测试套件test suite测试脚本的集合。直连 d i rect connect i on漏洞检测系统与被测工业控制设备点对点连接,直接向被测工业控制设备发送测试报文。3.6代理proxy1)扫描工业控制设备的所有TCP端口;2)扫描工业控制设备的所有UDP端口。b)预期结果:1)漏洞检测产品能够扫描所有TCP端口,检查其是否开启;2)漏洞检测产品能够扫描所有UDP端口,检查其是否开启;3)对
3、于已周知的TCP、UDP端口,漏洞检测产品能够判断出与之对应的工业控制通信协议。1.1.1 业控制设备漏洞检测1.1.2 工业以太网协议漏洞检测工业以太网协议漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:1)在直连方式下,漏洞检测产品向工业控制设备发送包含已知漏洞的报文;2)在代理方式下,漏洞检测产品将测试仪发送的数据报文加以变异后发送给工业控制设备。 b)预期结果:1)漏洞检测产品能够通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞;2)漏洞检测产品能够将测试仪发出的数据报文加以变异后发送给工业控制设备;并探测工业 控制设备对异常报文的响应。当工业控制设备不能对异常报文做
4、出正确响应时,漏洞检测 产品能够发现。1.1.3 2互联网协议漏洞检测用于工业控制的互联网协议漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:1)在直连方式下,漏洞检测产品向工业控制设备发送包含已知漏洞的报文;2)在代理方式下,漏洞检测产品将测试仪发送的数据报文加以变异后发送给工业控制设备。 b)预期结果:1)漏洞检测产品能够通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞;2)漏洞检测产品能够将测试仪发出的数据报文加以变异后发送给工业控制设备;并探测工业 控制设备对异常报文的响应。当工业控制设备不能对异常报文做出正确响应时,漏洞检测 产品能够发现。1.1.4 串口协议漏洞检
5、测用于工业控制的串口协议漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:1)在直连方式下,漏洞检测产品向工业控制设备发送包含已知漏洞的报文;2)在代理方式下,漏洞检测产品将测试仪发送的数据报文加以变异后发送给工业控制设备。 b)预期结果:1)漏洞检测产品能够通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞;2)漏洞检测产品能够将测试仪发出的数据报文加以变异后发送给工业控制设备;并探测工 业控制设备对异常报文的响应。当工业控制设备不能对异常报文做出正确响应时,漏洞 检测产品能够发现。1.1.5 工业控制私有协议漏洞检测工业控制私有协议漏洞检测的测试评价方法与预期结果如下:a)测
6、试评价方法:在代理方式下,漏洞检测产品将测试仪发送的数据报文加以变异后发送给工业控制设备;b)预期结果:漏洞检测产品能够将测试仪发出的数据报文加以变异后发送给工业控制设备;并探测工业控 制设备对异常输入的响应。当工业控制设备不能对异常输入做出正确响应时,漏洞检测产品 能够发现。11.4工业控制组态软件漏洞检测工业控制组态软件漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:在直连方式下,在漏洞检测产品上运行针对工业控制组态软件漏洞的测试用例。b)预期结果:漏洞检测产品能够扫描出工业控制设备存在的工业控制组态软件漏洞。11.5工业控制设备操作系统检测工业控制设备操作系统检测的测试评价方法与
7、预期结果如下:a)测试评价方法:1)工业控制设备预置登录弱口令,并开放被测端口;2)在漏洞检测产品上运行操作系统登录弱口令检测;3)在漏洞检测产品上运行操作系统安全漏洞检测。b)预期结果:1)漏洞检测产品能够识别工业控制设备的操作系统类型和版本号;2)漏洞检测产品能够检测出登录弱口令;3)漏洞检测产品能够根据工业控制设备的操作系统类型运行测试用例,并检测出已知安全漏 洞。11.6 工业控制实时/历史数据库漏洞检测工业控制实时/历史数据库漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:在直连方式下,漏洞检测产品向工业控制实时/历史数据库服务器发送包含实时/历史数据库已 知漏洞的报文。b)
8、预期结果:漏洞检测产品能够通过工业控制实时./历史数据库服务器的响应来发现工业控制实时/历史数 据库是否存在的已知漏洞。11.7 工业控制网络设备漏洞检测工业控制网络设备漏洞检测的测试评价方法与预期结果如下:a)测试评价方法:在直连方式下,漏洞检测产品向工业控制网络设备发送包含已知漏洞的报文。b)预期结果:漏洞检测产品能够通过工业控制网络设备的响应来发现工业控制网络设备是否存在的已知漏 洞。11.8 检测结果处理11.9 .1工业控制设备状态监控工业控制设备状态监控的测试评价方法与预期结果如下: a)测试评价方法:1)登录控制台界面;2)选定工业控制设备并运行测试脚本;3)暂停或者终止测试脚本
9、。b)预期结果:1)能够实时查看检测进度;2)能够实时查看检测过程中执行测试用例步骤和每一步骤的结果;3)能够监测到工业控制设备的实时响应;4)可以随时暂停或者终止测试;5)当工业控制设备不能对异常输入做出正确响应时,能够发现并向用户告警。11.10 2检则结果记录检测结果记录的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台界面;2)检查是否具有记录检测结果的数据库;3)检查是否可以记录导致工业控制设备异常的非法输入数据报文。b)预期结果:1)漏洞检测产品具有记录检测结果的数据库;2)数据库可以记录导致工业控制设备异常的非法输入数据报文。11.11 3检测报告生成检测报告生成的测
10、试评价方法与预期结果如下:a)测试评价方法:1)查看报告生成功能;2)查看报告的生成方式;3)查看生成报告的内容;4)查看是否可以指定报告内容。b)预期结果:1)具有生成报告的功能;2)提供默认的模板以供快速生成报告;3)生成的报告包含表格形式、柱状图、饼图等,并可生成日报、周报等汇总报告;4)生成的报告支持多种文档格式(例如DOC、TXT、RTF、PDF等);5)生成的报告包括所有检测出的漏洞的名称、类型、CVE编号、漏洞发布日期等信息;6)能够在检测报告生成页面上添加新发现的漏洞;7)生成的报告包括对被检测设备的危险等级评估,扫描脆弱点按风险严重程度分级,并明确 标出;8)可以指定报告内容
11、。11.9管理控制功能11.9.1 检测参数设置检测参数设置的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台管理界面;2)检查是否可以设置检测参数。b)预期结果:能够设置检测参数(例如扫描地址范围、端口范围、漏洞类型、测试报文、测试次数、测试时 间间隔等)。11.9.2 计划任务计划任务的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台管理界面;2)检查是否能够依据工业控制通信协议将测试用例进行归类;3)检查是否支持测试用例随机组合;4)检查是否支持测试脚本随机组合;5)检查是否支持测试用例编写;6)选择工业控制设备,检查是否根据设备类型向用户推荐某(几)类测试用例;
12、7)检查是否能够以任务方式进行项目管理和定制检测任务。b)预期结果:1)能够依据工业控制通信协议将测试用例进行归类;2)支持测试用例随机组合;3)支持测试脚本随机组合;4)支持测试用例编写;5)能够根据设备类型向用户推荐某(几)类测试用例;6)能够以任务方式进行项目管理和定制检测任务。11.9.3 设备信息库管理设备信息库的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台管理界面;2)检查是否具有工业控制设备信息库;3)检查是否允许用户自定义及增删设备型号。b)预期结果:1)具有工业控制设备信息库;2)允许用户自定义及增删设备型号;3)对于新增设备,可以添加设备特征信息。11.9.
13、4 漏洞库管理漏洞库管理的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台管理界面;2)检查是否具漏洞管理库;3)检查是否可以添加新的安全漏洞。b)预期结果:1)具有漏洞管理库;2)可以添加新的安全漏洞。11.9.5 测试用例库管理测试用例库管理的测试评价方法与预期结果如下:a)测试评价方法:1)登录控制台管理界面;2)检查是否具有测试用例库。b)预期结果:1)具有测试用例库;2)库中包含测试用例和测试脚本。12工业控制系统漏洞检测产品自身安全功能测评12.1 用户管理与鉴别12.1.1 用户管理用户管理的测试评价方法与预期结果如下:a)测试评价方法:1)检查漏洞检测产品是否能够设
14、置不同的用户角色;2)增加用户并设置安全属性;3)删除用户。b)预期结果:1)漏洞检测产品能够设置不同的用户角色;2)漏洞检测产品能够添加用户并设置安全属性;3)漏洞检测产品能够删除用户。12.1.2 用户鉴别对用户鉴别的测试评价方法与预期结果如下:a)测试评价方法:登录控制台,检查是否在执行所有功能之前要求首先进行身份鉴别。b)预期结果:1)在用户执行任何与安全功能相关的操作之前都应对用户进行鉴别;2)登录之前允许做的操作,仅限于输入登录信息、查看登录帮助等操作;3)允许用户在登录后执行与其安全功能相关的各类操作时,不再重复鉴别。12.1.3 鉴别失败处理对鉴别失败的处理的测试评价方法与预期
15、结果如下:a)测试评价方法:1)检查漏洞检测产品的安全功能是否可定义用户鉴别尝试的最大允许失败次数;2)检查漏洞检测产品的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后,采取 相应的措施、阻止用户进一步的鉴别请求;3)尝试多次失败的用户鉴别行为,检查到达指定的鉴别失败次数后,漏洞检测产品是否采取 了相应的措施,并生成了审计事件。b)预期结果:1)漏洞检测产品具备定义用户鉴别尝试的最大允许失败次数的功能;2)当用户鉴别尝试失败连续达到指定次数后,漏洞检测产品能够锁定该帐号,并将有关信息 生成审计事件;3)最多失败次数仅由授权用户设定。12.1.4 超时设置对超时设置的测试评价方法与预期结
16、果如下:a)测试评价方法:1)检查漏洞检测产品是否具有用户登录超时重新鉴别功能;2)设定用户登录超时重新鉴别的时间段,检查登录用户在设定的时间段内没有任何操作3)的情况下,漏洞检测产品是否锁定或终止了会话,用户是否需要再次进行身份鉴别才能 够重新管理和使用漏洞检测产品。b)预期结果:1)漏洞检测产品具有登录超时重新鉴别功能;2)任何登录用户在设定的时间段内没有任何操作的情况下,应被锁定或终止了会话,管理3)员需要再次进行身份鉴别才能够重新管理和使用漏洞检测产品;4)最大超时时间仅由授权管理员设定。12.1.5 远程管理对控制台鉴别的测试评价方法与预期结果如下:a)测试评价方法:1)通过控制台设
17、置可以进行远程管理的主机地址;2)检查是否在执行所有功能之前要求首先进行主机地址鉴别。b)预期结果:1)可以设置远程管理主机地址;2)在通过远程主机进行任何与安全功能相关的操作之前都应进行鉴别。12.2 产品升级12.2.1 产品升级对漏洞检测产品的产品升级功能的测试评价方法与预期结果如下:a)测试评价方法:1)检查产品的升级方式;2)进行产品升级。b)预期结果:1)可以升级产品;2)升级的过程中被测设备可以正常工作;3)升级后可以正常工作。12.2.2 升级包校验对漏洞检测产品的升级包较验功能的测试评价方法与预期结果如下:a)测试评价方法:检查产品是否具有升级包校验机制。b)预期结果:产品具
18、有升级包校验机制。12.3 安全日志12.4 . 1安全日志生成a)测试评价方法:1)结合开发者文档,使用不同角色管理员模拟对漏洞检测产品进行访问、运行、修改、关闭 以及重复失败尝试等相关操作,检查漏洞检测产品提供了对哪些事件的审计;1. 审查安全日志的正确性。b)预期结果:1)漏洞检测产品至少为下述可审计事件产生安全日志:用户登录、用户退出、鉴别失败、设 备重启、安全配置更改等重大事件,产品升级时间和版本号等;2)在每个安全日志中至少记录如下信息:事件主体、事件类型、事件发生的日期、时间、源 地址,和事件描述等;3)日志能够以通用格式(如Excel)导出。12. 3.2安全日志管理对受限的安
19、全日志查阅的测试评价方法与预期结果如下:a)测试评价方法:1)模拟授权与非授权管理员访问安全日志,检查是否仅允许授权管理员访问安全日志;2)检查是否可以进行日志查询;3)检查是否可以修改日志。b)预期结果:1)除了具有明确的访问权限的授权管理员之外,禁止所有其它用户对安全日志的访问;2)提供日志查询功能;3)允许授权管理员保存或删除安全日志。13安全保障测评13. 1配置管理13.1.1 配置管理能力13.1.1.1 1. 1版本号对版本号的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者提供的配置管理支持文件是否包含以下内容:版本号,要求开发者所使用 的版本号与所应表示的产品
20、样本完全对应,没有歧义。b)预期结果:审查记录以及最后结果(符合/不符合),开发者应提供唯一版本号。13.1.1.2 配置项对配置项的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:1)配置管理功能应对所有的配置项定义唯一的标识;2)配置管理文档应包括配置清单、配置管理计划。配置清单用来描述组成系统的配置项;3)配置管理文档还应描述对配置项给出唯一标识的方法。b)预期结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的三方面。13.1.1.3 授权控制对授权控制的测试评价方法与预期结果如下:a)测试评价方法:评价者应审
21、查开发者所提供的信息是否满足如下要求:1)配置管理系统应保证只有经过授权才能修改配置项;2)在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计 划相一致;3)配置管理文档还应提供所有的配置项得到有效地维护的证据。b)预期结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的三方面。 开发者提供的配置管理内容应完整。13.1.2 配置管理覆盖对配置管理覆盖的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者提供的配置管理支持文件是否包含以下内容:1)产品配置管理范围,要求将系统的交付与运行文档、开发文档、指导性文档、生命周期支
22、 持文档、测试文档、脆弱性分析文档和配置管理文档等置于配置管理之下,从而确保它们 的修改是在一个正确授权的可控方式下进行的。为此要求:开发者所提供的配置管理文档应展示配置管理系统至少能跟踪上述配置管理之下的 内容;文档应描述配置管理系统是如何跟踪这些配置项的;文档还应提供足够的信息表明达到所有要求。2)问题跟踪配置管理范围,除产品配置管理范围描述的内容外,要求特别强调对安全缺陷的 跟踪。b)预期结果:审查记录以及最后结果(符合/不符合)符合测试评价方法要求,评价者应审查产品受控于配 置管理。13.2 交付与运行13.2.1 交付程序对交付程序的测试评价方法与预期结果如下:a)测试评价方法:评价
23、者应审查开发者是否使用一定的交付程序交付系统,并使用文档描述交付过程,并且评价 者应审查开发者交付的文档是否包含以下内容:在给用户方交付系统的各版本时,为维护安全 所必需的所有程序。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,开发者应提供完整的文档 描述所有交付的过程(文档和程序交付)。13.2.2 安装、生成和启动程序对安装、生成和启动程序的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者是否提供了文档说明系统的安装、生成、启动和使用的过程。用户能够通 过此文档了解安装、生成、启动和使用过程。b)预期结果:审查记录以及最后结果(符合/不符合)应符
24、合测试评价方法要求。13.3 开发13.3.1 非形式化功能规范对非形式化功能规范的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:1)功能设计应当使用非形式化风格来描述产品安全功能与其外部接口;2)功能设计应当是内在一致的;3)功能设计应当描述使用所有外部产品安全功能接口的目的与方法,适当的时候,要提供结 果影响例外情况和出错信息的细节;4)功能设计应当完整地表示产品安全功能。评价者应确认功能设计是否是系统安全要求的精确和完整的示例。b)预期结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的四个方 面。开发者提供的
25、内容应精确和完整。13.3.2 高层设计13.3.2.1 描述性高层设计对描述性高层设计的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者所提供的信息是否满足如下要求:13.3.3 表示应是非形式化的;2)是内在一致的;3)按子系统描述安全功能的结构;4)描述每个安全功能子系统所提供的安全功能性;5)标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中 实现的支持性保护机制所提供功能的一个表示;6)标识安全功能子系统的所有接口 ;7)标识安全功能子系统的哪些接口是外部可见的。b)预期结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试
26、评价方法中的七个方 面。开发者提供的高层设计内容应精确和完整。安全加强的高层设计对安全加强的高层设计的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者所提供的安全加强高层设计是否满足如下要求:1)描述系统的功能子系统所有接口的用途与使用方法,适当时应提供效果、例外情况和错误 消息的细节;2)把系统分成安全策略实施和其它子系统来描述。b)预期结果:审查记录以及最后结果(符合/不符合),评价者审查内容至少包括测试评价方法中的两个方 面。13.4 文档要求13.4.1 管理员指南对管理员指南的测试评价方法与预期结果如下: a)测试评价方法:评价者应审查开发者是否提供了供授权管理员使用
27、的管理员指南,并且此管理员指南是否包括 如下内容:1)产品可以使用的管理功能和接口;2)怎样安全地管理产品;3)在安全处理环境中应进行控制的功能和权限;4)所有对与产品的安全操作有关的用户行为的假设;5)所有受管理员控制的安全参数,如果可能,应指明安全值;6)每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的 改变;7)所有与授权管理员有关的IT环境的安全要求。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,评价者审查内容至少包括 测试评价方法中的七方面。开发者提供的管理员指南应完整。13.4.2 用户指南对用户指南的测试评价方法与预期结果
28、如下:a)测试评价方法:评价者应审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是否包括如下内 容:1)产品的非管理用户可使用的安全功能和接口;2)产品提供给用户的安全功能和接口的用法;3)用户可获取但应受安全处理环境控制的所有功能和权限;4)产品安全操作中用户所应承担的职责;5)与用户有关的IT环境的所有安全要求。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,评价者审查内容至少包括 测试评价方法中的五方面。开发者提供的用户指南应完整。13.4.3 生命周期支持对生命周期支持的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者所提供的开发安
29、全文档是否满足如下要求:描述在系统的开发环境中,为 保护系统设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其它方面的安 全措施,并应提供在系统的开发和维护过程中执行安全措施的证据。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,开发者提供的开发安全文 档应完整。13.5 测试1.1 5.1测试覆盖13.5 . 1. 1 覆盖证据对覆盖证据的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者提供的测试覆盖证据,在测试覆盖证据中,是否表明测试文档中所标识的 测试与功能规范中所描述的系统的安全功能是对应的。漏洞检测系统部署在测试仪和被测工业控制
30、设备之间,目的是将测试仪发出的数据报文进行变异后 发送给被测工业控制设备。3.7工业控制组态软件 i ndustr i a I contro I conf i gurat i on software在控制系统监控层的软件平台和开发环境,使用灵活的组态方式,为用户提供快速构建工业控制系 统监控功能的通用的软件工具。4缩略语下列缩略语适用于本文件。CVE通用漏洞披露 Common Vulnerabilities and ExposuresHTTP超文本传输协议 HyperText Transfer ProtocolFTP文件传输协议 File Transfer ProtocolIP互联网协议 In
31、ternet ProtocolTCP传输控制协议 Transmission Control ProtocolUDP用户数据报协议 User Datagram Protocol5概述工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性,发现可能被入侵者利用的漏洞,并 提出一定的防范和补救措施建议。工业控制系统漏洞检测产品应用于工业控制环境,能够对工业控制系 统、工业控制设备、工业控制网络中的安全保护设备以及工业控制软件等进行自动检测,能够检测出工 业控制网络中存在的已知漏洞和潜在漏洞,能够提高工业控制系统的安全性。6工业控制系统漏洞检测产品安全等级划分6.1 基本级本级规定了工业控制系统漏洞检
32、测产品的基本功能要求,通过一定的用户标识和鉴别来限制对产品 功能配置的使用和数据访问的控制,使用户具备自主安全保护的能力,保证漏洞检测产品的正常运行。 通过检测信息的获取,针对检测结果提供基本的分析处理能力,并能生成报告,提出了基本的安全保证 要求内容,以保证产品的正常使用。6.2 增强级本级的工业控制系统漏洞检测产品除具备上述基本级产品要求的全部功能以外,可以对管理员进一 步划分不同的安全管理角色,以细化对产品管理权限的控制,加入了审计功能,使得管理员的各项操作 行为都是可追踪的。同时,还增加了支持行业专业协议和私有工业控制通信协议、异常报文检测和处理、 测试用例编写、测试用例推荐等内容,使
33、得产品具备的功能耍求更加全面,使用更加方便,产品自身的 安全要求进一步提高,产品的安全保证要求也更加系统化。在增强级中新增的要求通过加粗字体标识。7工业控制系统漏洞检测产品安全功能要求7.1 工业控制设备自动识别b)预期结果:审查记录以及最后结果(符合/不符合),开发者提供的测试覆盖证据,应表明测试文档中所 标识的测试与功能规范中所描述的系统的安全功能是对应的。7.2 覆盖分析对覆盖分析的测试评价方法与预期结果如下:a)测试评价方法:1)评价者应审查开发者提供的测试覆盖分析结果,是否表明了测试文档中所标识的测试与安 全功能设计中所描述的安全功能是对应的;2)评价测试文档中所标识的测试,是否完整
34、。b)预期结果:审查记录以及最后结果(符合/不符合),开发者提供的测试文档中所标识的测试与安全功能 设计中所描述的安全功能应对应,并且标识的测试应覆盖所有安全功能。测试深度对测试深度的测试评价方法与预期结果如下:a)测试评价方法:评价开发者提供的测试深度分析,是否说明了测试文档中所标识的对安全功能的测试,足以表 明该安全功能和高层设计是一致的。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,评价者测试和审查与安全 功能相对应的测试,这些测试应能正确保证测试出的安全功能符合高层设计的要求。功能测试对功能测试的测试评价方法与预期结果如下:a)测试评价方法:1)评价开发者提
35、供的测试文档,是否包括测试计划、测试规程、预期的测试结果和实际测试 结果;2)评价测试计划是否标识了要测试的安全功能,是否描述了测试的目标;3)评价测试规程是否标识了要执行的测试,是否描述了每个安全功能的测试概况(这些概况 包括对其它测试结果的顺序依赖性);4)评价期望的测试结果是否表明测试成功后的预期输出;5)评价实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求,评价者审查内容至少包括 测试评价方法中的五方面。开发者提供的内容应完整。独立测试13.5.4. 1 一致性对一致性的测试评价方法与预期结果如下:a)
36、测试评价方法:评价者应评价开发者提供的测试系统,提供的测试集合是否与其自测系统功能时使用的测试集 合相一致,提供的执行测试及其结果是否与其自测系统功能时执行的测试及其结果相一致。b)预期结果:审查记录以及最后结果(符合/不符合),开发者应提供适合测试的系统,提供的测试集合应 与其自测系统功能时使用的测试集合相一致,提供的执行测试及其结果与其自测系统功能时执 行的测试及其结果相一致。13.5.4.2 抽样对抽样的测试评价方法与预期结果如下:a)测试评价方法:评价开发者是否提供一组相当的资源,用于安全功能的抽样测试。b)预期结果:审查记录以及最后结果(符合/不符合),开发者应提供一组相当的资源,用
37、于安全功能的抽 样测试。13.6脆弱性分析保证13.6.1 指南审查对指南审查的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者提供的文档,是否满足了以下要求:1)评价文档,是否确定了对产品的所有可能的操作方式(包括失败和操作失误后的操作), 是否确定了它们的后果,以及是否确定了对于保持安全操作的意义;2)评价文档,是否列出了所有目标环境的假设以及所有外部安全措施(包括外部程序的、物 理的或人员的控制)的要求;3)评价文档是否完整、清晰、一致、合理;4)评价开发者提供的分析文档,是否阐明文档是完整的。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求。开发
38、者提供的评价文档应 完整,并且通过分析文档等方式阐明文档是完整的。13.6.2 系统安全功能强度评估对系统安全功能强度评估的测试评价方法与预期结果如下:a)测试评价方法:评价者应审查开发者提供的指导性文档,是否对所标识的每个具有安全功能强度声明的安全机 制进行了安全功能强度分析,是否说明了安全机制达到或超过定义的最低强度级别或特定功能 强度度量。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求。开发者应对指导性文档 中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达 到或超过定义的最低强度级别或特定功能强度度量。13.6.3 开发者脆弱性
39、分析对开发者脆弱性分析的测试评价方法与预期结果如下:a)测试评价方法:1)评价开发者提供的脆弱性分析文档,是否从用户可能破坏安全策略的明显途径出发,对系 统的各种功能进行了分析;2)对被确定的脆弱性,评价开发者是否明确记录了采取的措施;3)对每一条脆弱性,评价是否能够显示在使用系统的环境中该脆弱性不能被利用。b)预期结果:测试记录以及最后结果(符合/不符合)应符合测试评价方法要求。开发者提供的脆弱性分析 文档应完整。附录B (规范性附录)附录C危险等级工业控制设备存在的漏洞分为高危、中危、和低危三个等级,如表A.1所示。表A. 1工业控制设备漏洞危险等级划分高危攻击者利用漏洞能够远程操作任意代
40、码或指令; 攻击者利用漏洞能够远程控制设备;攻击者利用漏洞能够进行远程拒绝服务攻击。中危攻击者利用漏洞能够远程创建、修改、删除文件;攻击者利用漏洞能够远程读取文件;攻击者利用漏洞能够获取用户名、密码等敏感信息。低危攻击者利用漏洞能够开启端口、获取相关系统和服务的信息等。参考文献1 GB/T 20278-2013信息安全技术网络脆弱性扫描产品安全技术要求2 GB/T 20275-2013信息安全技术网路入侵检测系统技术要求和测试评价方法3 SSA-420 Vulnerability Identification Test (VIT) Policy Specification检测产品应支持手动添加
41、工业控制设备。检测产品应能够通过IP地址识别工业控制设备。7.2 工业控制设备端口扫描检测产品应能扫描所有TCP端口,检查其是否开启。检测产品应能扫描所有UDP端口,检查其是否开启。对于已开启的TCP、UDP端口,检测产品应能判断出与之对应的公开的工业控制通信协议。7.3 工业控制设备漏洞检测检测产品应能够检测使用(包括但不限于)以下协议的工业控制设备的安全问题:a) 工业以太网协议:Modbus/TCP协议、0PC协议、DNP3. 0协议、IEC-608以太-104协议、IEC-618以 MMS 协议、Siemens S7comm 协议、PR0FINET 协议、IEC-61850 GOOSE
42、 协议、IEC-61850 SV 协 议、EtherNet/IP 协议;b)互联网协议:HTTP协议、FTP协议、TELNET协议;c) 串口协议:Modbus RTU 协议、止060870-5-101 协议;d)私有协议(包括行业专业协议);注:本标准只收录了广泛使用的工业控制通信协议。由于工业控制设备的配置和管理可以使用互联网协议,因此也 需要进行相应的测试。检测产品应支持以下检测模式中的一种:a)检测采用公开协议的工业控制设备的已知漏洞;b)生成异常输入并探测工业控制设备对异常输入的响应,从而发现潜在漏洞。注:第2种检测方式可能会影响工业控制设备的正常工作,在进行在线检测前应明确提醒用户
43、。1.2 4工业控制组态软件漏洞检测检测产品应能够检测工业控制组态软件(例如SIMATIC WinCC、KingView等)的已知漏洞。7.5 工业控制设备操作系统检测检测产品应能检测工业控制设备操作系统(如Vxworks、Windows Linux等)的安全问题,检测项 目应包括(但不限于):a)操作系统类型和版本号识别;b)操作系统登录弱口令检测;c)操作系统已知安全漏洞检测。7.6 工业控制实时/历史数据库漏洞检测检测产品应能够检测工业控制实时/历史数据库(例如PI、KingHistorian等)的已知漏洞。7.7 工业控制网络设备漏洞检测检测产品应能够检测工业控制网络设备(例如工业交换
44、机等)的已知漏洞。7.8 检测结果处理要求7.9 8. 1工业控制设备状态监控检测产品应能够实时查看检测进度。检测产品应能够实时查看测试用例的执行步骤和每一步骤的结果。检测产品应能够监测工业控制设备的实时响应。检测任务应可以随时暂停或者终止。当工业控制设备不能对异常输入做出正确响应时,检测产品应能够发现,并向用户告警。7. 8. 2检则结果记录检测结果应能写入结果数据库。检测产品应能记录导致工业控制设备和系统异常的数据报文。7. 8.3检测报告生成检测产品应能根据检测结果自动生成检测报告。检测报告应包括以下内容:a)漏洞的名称、CVE编号、发布日期等;b)潜在的漏洞;c)被测设备的危险等级评估
45、,明确标出扫描出的漏洞的危险等级;注:被测设备的危险等级取决于扫描脆弱点的最高危险等级。危险等级的定义见附录A。d)检测报告应以通用文档格式(例如DOC、TXT、RTF、PDF等)输出。报告内容应能根据用户要求进行定制。7.9管理控制功能要求7.9.1 检测参数设置检测产品应能够针对目标工业控制设备和系统设置相应的检测参数(例如扫描地址范围、端口范围、 漏洞类型、测试报文、测试次数、测试时间间隔等)。7.9.2 计划任务检测产品应支持以下测试方式:a)检测产品应能够依据工业控制通信协议将测试用例进行归类;b)检测产品应支持测试用例随机组合;c)检测产品应支持测试脚本随机组合;d)检测产品应支持
46、测试用例编写;e)检测产品应根据设备类型向用户推荐某(几)类测试用例,以便更有针对性、更高效地发现 问题;.f)检测产品应能以任务方式进行项目管理和定制检测任务。7.9.3 设备信息库管理检测产品应内置工业控制设备信息库并允许更新。7.9.4 漏洞库管理检测产品应内置漏洞管理库。检测产品应能更新漏洞库,添加新发现的安全漏洞。7.9.5 测试用例库管理检测产品应内置测试用例库,包含测试用例和测试脚本,用于检测已知漏洞和发现未知漏洞。8工业控制系统漏洞检测产品自身安全要求8.1 用户管理与鉴别8.1.1 用户管理检测产品应可添加、删除、激活、禁止用户。检测产品应为每个管理角色设定标识、权限等安全属性。8.1.2 用户鉴别检测产品应在执行任何与安全功能相关的操作之前对用户进行鉴别。8.1.3 鉴别失败处理当用户鉴别尝试失败连续达到指定次数后,