《信息安全技术工业控制网络监测安全技术要求及测试评价方法(GB-T 37953-2019).docx》由会员分享,可在线阅读,更多相关《信息安全技术工业控制网络监测安全技术要求及测试评价方法(GB-T 37953-2019).docx(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 工业控制网络监测安全技术要求及测试评价方法Information security technologySecurity requirements and evaluation approaches for industrial control network monitor点击此处添加与国际标准一致性程度的标识报批稿(本稿完成日期:2017/9/16)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言I引言61 范围72 规范性引用文件73 术语和定义7
2、4 缩略语85 概述86 工业控制网络监测安全功能要求86.1 安全事件监测86.2 安全事件响应96.3 安全配置管理96.4 产品功能管理106.5 通信安全127 工业控制网络监测自身安全功能和安全保障要求127.1 产品配置管理127.2 交付与运行137.3 开发137.4 指导性文档137.5 生命周期支持147.6 测试147.7 脆弱性分析保证158 网络监测设备测试环境159 工业控制网络监测安全功能测评方法169.1 安全事件监测169.2 安全事件响应179.3 安全配置管理189.4 产品功能管理199.5 通信安全2410 网络监测产品安全保障测评方法2510.1 配
3、置管理2510.2 交付与运行2610.3 开发2610.4 指导性文档2710.5 生命周期支持2810.6 测试2810.7 脆弱性分析保证29附录A(资料性附录) 工业环境应用要求31 A.1 温度要求31 A.2 湿度要求31 A.3 防尘要求31 A.4 电磁兼容要求32 A.5 抗盐雾要求32 A.6 抗霉菌要求33 A.7 抗振动要求33 A.8 工业控制网络监测产品性能判据33参考文献35前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息
4、安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院,北京匡恩网络科技有限责任公司,北京工业大学,中国信息安全测评中心、中科院沈阳自动化所、和利时集团、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、上海三零卫士信息安全有限公司、北京启明星辰信息技术有限公司、烽台科技(北京)有限公司、浙江浙能台州第二发号有限责任公司、北京中电华大电子设计有限责任公司、西南电力设计研究院、华北电力设计院有限公司、北京机械工业自动化研究所。 本标准主要起草人:范科峰、周睿康、姚相振、刘贤刚、李琳、张大江、康伟、汪义舟、赖英旭、谢丰
5、、邸丽清、尚文利、赵剑明、夏克晁、仵大奎、王春霞、梁猛、杨阳、王弢、陆臻、郑伟、阮伟、魏强、张胜、刘勇、孟雅辉、龚亮华、魏钦志、孙长生、岳秀江、兰天、张晋宾、马欣欣。引 言随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统,包括分布式控制系统(DCS)、监控与数据采集(SCADA)系统和可编程逻辑控制器(PLC)等产品广泛应用于核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等国家重要领域。工业控制系统(ICS)由单机走向互联、从封闭走向开放、从自动化走向智能化进程的加快,使得工业控制系统的信息安全问题日益突出,工业
6、控制系统一旦遭受攻击,将严重威胁人民生命财产安全和国家政权稳定。当前,工业企业多采用工业控制系统网络监测设备产品,监测工业网络中的异常行为等,以抵御工业控制系统面临的安全威胁。对此,全国信息安全标准化技术委员会(SAC/TC 260)立项研制了工业控制系统信息安全分级、管理要求、控制应用指南等多项标准。本标准针对工业控制网络监测安全产品提出安全技术要求和测试评价方法,将工业控制网络监测产品的安全要求分为安全功能要求和安全保障要求。其中,安全功能要求是对工业控制网络监测产品应具备的安全功能提出具体要求。安全保障要求针对工业控制网络监测产品开发和使用文档的内容提出具体的要求,例如配置管理、交付和运
7、行、开发和指南文件等。30信息安全技术 工业控制网络监测安全技术要求及测试评价方法1 范围本标准规定了工业控制网络监测产品的安全技术要求和测试评价方法。本标准适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提供指导,同时也可为工业控制系统设计、建设和运维方开展工业控制系统安全防护工作提供指导。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件GB/T 22239
8、-2008 信息系统安全等级保护基本要求GB/T 25069-2010 信息安全技术 术语GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南3 术语和定义GB/T 25069-2010、GB/T 32919-2016、GB/T 18336.1-2015界定的以及下列术语和定义适用于本文件。3.1 工业控制系统 industrial Control System (ICS)工业控制系统(ICS)包括多种工业生产中使用的控制系统,如监控和数据采集系统(SCADA),分布式控制系统(DCS),可编程逻辑控制器(PLC)等。3.2 工业控制网络监测 industrial Con
9、trol Network Monitoring部署于工业控制网络中,以实现针对工业控制网络中网络行为的安全事件监测、审计和管理等功能的技术,用于监测和分析工业控制网络中的数据报文,发现违反安全策略的行为、异常操作、工业控制设备被攻击的迹象、或工业生产受到影响的迹象。3.3 工业控制网络监测产品 industrial Control Network Monitoring Device部署于工业控制网络中,用于实现工业控制网络监测功能的设备产品。4 缩略语下列缩略语适用于本标准。DoS Deny of Service 拒绝服务FTP File Transfer Protocol 文件传输协议HTT
10、P Hypertext Transfer Protocol 超文本传输协议 ICS Industrial Control Systems 工业控制系统NTP Network Time Protocol 网络时间协议OLE Object Linking and Embedding 对象连接与嵌入OPC OLE for Process Control 用于过程控制的OLEDNP Distributed Network Protocol 分布式网络协议5 概述工业控制网络监测产品是应用于工业控制环境,通过监视工业控制网络内的数据报文,实时获取数据包进行深度解析,监测工业控制网络中的入侵行为和异常行为
11、,并及时告警的设备。该设备需满足特定工业环境和安全功能要求,可对工业控制网络边界或工业控制网络内部不同控制区域之间进行监测保护,发现非法入侵活动,并根据监测结果实时报警、 响应,达到主动发现入侵活动、确保网络安全目的。该设备产品可以硬件或者软件形式实现。本标准按照工业控制网络监测产品安全功能要求强度,对工业控制网路监测产品分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据。其中基本级安全功能要求应具备GB/T 22239-2008信息系统安全等级保护基本要求中第二级安全保护能力,增强级安全功能要求应具备GB/T 22239-2008信息系统安全等级保护基本要求中第三级安全保
12、护能力。在增强级中新增的要求会通过加粗字体标识。6 工业控制网络监测安全功能要求6.1 安全事件监测6.1.1 流量监测产品应能够具有流量监测的功能,具体满足下述要求:a) 应能够监视网络内的流量数据包,实时获取数据包用于检测分析,且不影响工控设备正常运行。b) 应能够监测指定的协议或IP地址的流量数据包,且不影响工控设备正常运行。6.1.2 工业控制协议分析对于在工业控制网络内获取的数据包,产品应能够分析其承载的工业控制协议报文,满足下述一种要求:a) 分析以下(但不限于)通用协议:Modbus/TCP协议、OPC Classic协议、DNP3.0协议、IEC-60875-5-104协议、S
13、IEMENS S7Comm协议、PROFINET协议、EtherNet/IP协议;b) 一种行业专业协议,例如IEC-61850 MMS协议、IEC-61850 GOOSE协议、IEC-61850 SV协议、轨道交通专业协议等。6.1.3 互联网协议分析对于在工业控制网络内获取的互联网协议流量,产品应能够分析其承载的数据报文,分析以下(但不限于)互联网协议报文:a) HTTPb) FTPc) TELNETd) SNMP6.1.4 攻击行为监测产品应能够通过分析、对比等方法,包括但不限于发现以下攻击行为:a) 工业协议漏洞攻击b) 工业控制应用漏洞攻击c) 操作系统漏洞攻击d) 工业控制设备漏洞
14、攻击e) 应能够监测网络中蠕虫病毒、木马等攻击行为的发生,且不影响工控设备正常运行。注: 安全漏洞和攻击参见国家信息安全漏洞共享平台发布的信息。6.2 安全事件响应6.2.1 事件告警对于攻击行为或异常行为,产品应按照事件的严重程度将事件分级,采取屏幕实时提示等直观有效的方式传达告警讯息。6.2.2 告警过滤产品应允许管理员定义安全策略,对工业控制网络中的指定事件不予告警。6.2.3 事件合并产品应对高频度发生的相同安全事件进行合并告警,避免出现告警风暴。6.2.4 定制响应产品应允许管理员定义安全策略,对工业控制网络中的事件定制响应方式。6.3 安全配置管理6.3.1 安全策略配置产品应提供
15、安全策略配置功能。6.3.2 工业控制漏洞知识库产品应内置工业控制漏洞知识库,内容应包括工业控制协议漏洞、工业控制应用漏洞、操作系统漏洞和工业控制设备漏洞,详细的漏洞修补方案和可采取的对策。6.3.3 工业控制检测特征库产品应内置工业控制检测特征库,详细的修补方案和可采取的对策。 6.3.4 工业控制协议端口设定除支持基于默认端口的工业控制网络协议解析外,产品应能对现有工业控制协议和扩展工业控制协议的端口进行重新设定。6.3.5 自定义攻击事件产品应允许管理员对攻击事件进行自定义,自定义的内容应包括攻击目标、攻击特征和事件等级。6.3.6 工业控制协议扩展除支持默认的工业控制网络协议外,产品应
16、支持添加新的工业控制协议。6.4 产品功能管理6.4.1 界面管理产品应提供友好的管理员界面用于管理和配置。管理配置界面应包含配置和管理产品所需的所有功能。6.4.2 硬件管理6.4.2.1 分布式部署和集中管理产品应具有分布式部署的能力。产品应设置集中管理平台,对同一系列不同型号监测设备进行统一管理。6.4.2.2 端口分离监测设备应配备不同的物理端口,分别用于配置管理和网络数据监听。6.4.2.3 产品自检产品在启动和正常工作时,应具备运行状态自检机制,包括硬件工作状态监测、组件连接状态监测等,以验证产品自身状态是否正常。6.4.2.4 时钟同步产品应提供与外部的时钟服务器进行时钟同步的功
17、能。6.4.2.5 时钟设置产品应提供手动设置时钟的功能,以便在没有外部时钟服务器时设置正确时间。6.4.2.6 电源冗余产品应提供电源冗余功能。6.4.2.7 掉电物理导通串联部署时产品应能够在突发掉电的情况下,自动实现每一对输入输出通信端口的物理导通。6.4.2.8 硬件故障处理产品应能够监测自身硬件是否工作正常,并在出现故障时及时向管理员告警。6.4.3 配置信息恢复替换监测设备后,产品应能够通过本地或远程进行配置信息恢复。6.4.4 数据存储空间管理在存储器空间将耗尽时,产品应自动产生告警。触发告警的剩余存储空间限值应由管理员自主设定。产品应采取措施保证已存储的事件记录可用和后续事件记
18、录的存储(例如转存已有事件记录、仅记录重要的事件数据等)。产品应允许用户设定在空间耗尽时的处理策略。6.4.5 升级管理6.4.5.1 库升级产品应具有本地和远程升级工业控制漏洞知识库和工业控制检测特征库的功能。产品应具有通过控制台或管理平台对监测设备的工业控制漏洞知识库和工业控制检测特征库进行统一升级的功能。6.4.5.2 产品升级产品应具有通过本地和远程进行升级的功能。6.4.5.3 产品统一升级产品应具有通过控制台或管理平台对监测设备进行统一升级的功能。6.4.5.4 升级包校验产品应确保事件库和产品升级时的安全,应具有升级包校验机制,防止得到错误的或伪造的升级包。升级过程须进行双向身份
19、鉴别。6.4.6 用户管理6.4.6.1 标识管理 产品应支持权限划分,为每一使用者设置安全属性信息,包括标识、鉴别数据、授权信息或管理组信息、其它安全属性等。6.4.6.2 超时设置产品应具有使用者登录超时重新鉴别功能。在安全策略设定的时间段内没有任何操作的情况下,锁定或终止会话,需要再次进行身份鉴别才能够重新登录。6.4.6.3 控制台鉴别产品应在使用者通过控制台对监测设备执行任何与安全功能相关的操作之前对控制台进行鉴别。6.4.6.4 会话锁定产品应允许使用者锁定当前的交互会话,锁定后需要再次进行身份鉴别才能够重新登录。6.4.6.5 鉴别数据保护产品应保护鉴别数据不被未授权查阅和修改。
20、6.5 通信安全6.5.1 通信保密性产品若由多个组件构成,应保证各组件之间通信的保密性。6.5.2 通信完整性产品若由多个组件构成,应保证各组件之间通信的完整性。如果数据的完整性被破坏,产品应确保及时发现并通知管理员。7 工业控制网络监测安全保障要求7.1 产品配置管理7.1.1 配置管理能力7.1.1.1 版本号开发者应为产品的不同版本提供唯一的标识。7.1.1.2 配置项工业控制系统网络监测产品应满足以下要求:a) 开发者应使用配置管理系统并提供配置管理文档。b) 配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法
21、,并提供所有的配置项得到有效维护的证据。7.1.1.3 授权控制工业控制系统网络监测产品应满足以下要求:a) 开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。b) 开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项。7.1.2 配置管理覆盖工业控制系统网络监测产品应满足以下要求:a) 配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的。b) 配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这
22、些配置项的。7.2 交付与运行7.2.1 交付程序工业控制系统网络监测产品在交付时应满足以下要求:a) 开发者应使用一定的交付程序交付产品,并将交付过程文档化。b) 交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。7.2.2 安装、生成和启动程序开发者应提供文档说明产品的安装、生成和启动的过程。7.3 开发7.3.1 描述性高层设计开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:a) 表示应是非形式化的;b) 按子系统描述安全功能的结构;c) 描述每个安全功能子系统所提供的安全功能性;d) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固
23、件或软件中实现的支持性保护机制所提供功能的一个表示;e) 标识安全功能子系统的所有接口;f) 标识安全功能子系统的哪些接口是外部可见的。7.3.2 安全加强的高层设计开发者提供的安全加强的高层设计应满足以下要求:a) 描述产品的功能子系统所有接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;b) 把产品分成安全策略实施和其他子系统来描述。7.4 指导性文档7.4.1 管理员指南开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容:a) 管理员可使用的管理功能和接口;b) 怎样安全地管理产品;c) 在安全处理环境中应被控制的功能和权限
24、;d) 所有与产品的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;g) 所有与管理员有关的IT环境安全要求。7.4.2 用户指南开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容:a) 产品的非管理员用户可使用的安全功能和接口;b) 产品提供给用户的安全功能和接口的使用方法;c) 用户可获取但应受安全处理环境所控制的所有功能和权限;d) 产品安全操作中用户所应承担的职责;e) 与用户有关的IT环境的所有安全要求。7.5 生命
25、周期支持开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施的证据。7.6 测试7.6.1 测试覆盖7.6.1.1 覆盖证据开发者应提供测试覆盖的证据。在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。7.6.1.2 覆盖分析开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的。7.6.2 测试深度开发者应提供测试深度的分析。深度
26、分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。7.6.3 功能测试开发者应测试安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:a) 测试计划,应标识要测试的安全功能,并描述测试的目标;b) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他测试结果的顺序依赖性;c) 预期的测试结果,应表明测试成功后的预期输出;d) 实际测试结果,应表明每个被测试的安全功能能按照规定进行运作。7.6.4 独立测试7.6.4.1 一致性开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致。7.6.4.2 抽样
27、开发者应提供一组相当的资源,用于安全功能的抽样测试。7.7 脆弱性分析保证7.7.1 指南审查开发者应提供指导性文档,指导性文档应满足以下要求:a) 标识所有可能的产品运行模式(包括失败或操作失误后的运行)、它们的后果以及对于保持安全运行的意义;b) 是完备的、清晰的、一致的、合理的;c) 列出关于预期使用环境的所有假设;d) 列出对外部安全措施(包括外部程序的、物理的或人员的控制)的所有要求。7.7.2 产品安全功能强度评估开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。7.7.3 开发者脆弱
28、性分析开发者应开展脆弱性分析,以确保功能的有效实现,具体应满足如下要求:a) 开发者应执行脆弱性分析,并提供脆弱性分析文档;b) 开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施;c) 对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用;d) 开发者应提供文档证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。7.8 自身安全功能要求7.8.1 恶意软件防护产品应具备恶意软件防护等功能,以确保产品的自身安全。7.8.2 用户鉴别 产品应在使用者执行任何与安全功能相关的操作之前进行鉴别。7.8.3 多重鉴
29、别机制产品应提供两种(含)以上鉴别方式,以实现多重身份鉴别措施。7.8.4 鉴别失败的处理当使用者鉴别尝试失败连续达到指定次数后,产品应阻止进一步的鉴别请求,并将有关信息生成审计事件。最多失败次数取决于用户的安全策略。8 网络监测设备测试环境网络监测产品功能测试的典型网络拓扑结构如图1所示。主要由测试仪、工业交换机、管理平台和相互独立的监测设备组成,主要以旁路接入等方式接入。其中,工业控制网络是包含工业控制系统在内的工业网络,由PLC、DCS等工业控制系统、上位机等终端设备和连接上述设备的网络设备构成,是工业控制网络监测的基础环境;工业交换机等网络设备为被监测设备,是工控网络监测设备的接入点;
30、工控网络监测设备是网络监控的主体,同时也是本标准被测试的对象;测试仪和管理平台是测试工具,测试仪向被测设备发送相关数据报文,测试人员由管理控制台发送相关指令,通过监测设备对整个工控系统进行监测,以达到相应的预期测评结果。图1 网络监测产品功能测试拓扑结构9 工业控制网络监测安全功能测评方法9.1 安全事件监测9.1.1 流量监测对网络监测产品的流量监测功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 测试仪向被测设备随机发送工业控制协议报文,且可做数据包解析;2) 测试人员通过被测设备的控制台指定协议和目标IP地址。b) 预期结果:1) 被测设备能够实时获取全部数据包,数据完整,解析
31、正确;2) 测试人员可以通过控制台监测指定协议或目标IP地址的数据包。9.1.2 工业控制协议分析对网络监测产品的工业控制协议分析功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 测试仪向被测设备发送6.1.2所述的工业控制协议的合法报文,以测试测试仪对数据报文的识别情况。b) 预期结果:1) 被测设备能够识别并正确解析测试仪发送的合法报文。9.1.3 互联网协议分析对网络监测产品的互联网协议功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 测试仪向被测设备发送6.1.3所述的互联网协议的合法报文,以测试测试仪对数据报文的识别情况。b) 预期结果:1) 被测设备能够识别并正
32、确解析解析测试仪发送的报文。9.1.4 攻击行为监测对网络监测产品的攻击行为监测功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 测试仪向被测设备发送包含6.1.4所述的漏洞的攻击报文。b) 预期结果:1) 被测设备能够识别攻击报文。9.2 安全事件响应9.2.1 事件告警对网络监测产品的事件警告功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 打开产品的事件库,检查是否每个事件都有分级信息;2) 检查界面显示的安全事件是否具备事件级别信息;3) 测试仪向被测设备发送攻击报文。b) 预期结果:1) 被测设备能够对收集到的数据包进行分析,发现入侵事件;2) 被测设备以直观有效
33、的方式(例如屏幕实时提示)传达告警讯息;3) 被测设备能够按照事件的严重程度将事件分级并报告给管理员;4) 事件库的所有事件都具有分级信息;5) 界面显示的安全事件,都以文字等形式显示事件级别。9.2.2 告警过滤对网络监测产品的告警过滤功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 通过被测设备的控制台界面选取工业控制设备IP地址,指定不予告警。b) 预期结果:1) 可以对工业控制设备指定不予告警。9.2.3 事件合并对网络监测产品的事件合并功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 设置事件合并规则,将某些内容进行合并,如只显示告警信息的事件名称、发生的次数、源
34、IP地址等;2) 连续触发同一事件,查看告警显示的情况,是否是将同一事件进行合并显示。b) 预期结果:1) 可以根据需要进行同类事件的合并;2) 可以按照设置显示告警信息的事件名称、发生的次数、源IP地址等信息。9.2.4 定制响应对网络监测产品的定制响应功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 打开控制台界面,检查产品是否允许管理员设置仅对被检测网段中指定的设备进行告警;2) 通过被测设备的控制台界面选取IP地址,指定响应方式。b) 预期结果:1) 可以对工业控制设备指定不同的响应方式。9.3 安全配置管理9.3.1 安全策略配置对网络监测产品的安全策略配置功能的测试评价方
35、法与预期结果如下:a) 测试评价方法:1) 登录控制台界面,查看产品提供的默认策略;2) 查看是否允许编辑或修改生成新的策略。b) 预期结果:1) 产品应提供默认的策略,并可以直接应用;2) 允许管理员编辑策略;3) 具有供管理员编辑策略的向导功能;4) 支持策略的导入、导出;5) 记录产品提供的策略种类和名称。9.3.2 工业控制漏洞知识库对网络监测产品的工业控制漏洞知识库功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查产品是否有漏洞知识库,漏洞知识库是否包含国家信息安全漏洞共享平台等相关组织机构发布的工控相关漏洞;2) 检查漏洞知识库的内容。b) 预期结果:1) 产品有漏洞
36、知识库,且包含国家信息安全漏洞共享平台等相关组织机构发布的工控相关漏洞;2) 漏洞知识库的内容应包括漏洞的定义、详细的漏洞修补方案、可采取的对策等内容。9.3.3 工业控制检测特征库对网络监测产品的工业控制检测特征库功能的测试评价方法与预期结果如下:c) 测试评价方法:1) 检查产品是否有检测特征库;2) 检查检测特征库的内容。d) 预期结果:1) 产品有检测特征库;2) 检测特征库的内容应包括详细的修补方案、可采取的对策等内容。9.3.4 工业控制协议端口设定对网络监测产品的工业控制协议端口设定功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 查看产品是否提供自定义协议的界面,是否
37、允许对协议的端口进行重新定义。b) 预期结果:1) 可以对协议的端口进行重新定义。9.3.5 自定义攻击事件对网络监测产品的自定义攻击事件功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 查看产品设置,是否提供自定义事件的界面。b) 预期结果:1) 可以自定义的攻击事件;2) 可以自定义的攻击事件的特征应包括攻击对象、攻击特征、告警等级等。9.3.6 工业控制协议扩展对网络监测产品的工业控制协议扩展功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 查看协议管理功能;2) 添加新的工业控制协议。b) 预期结果:1) 可以添加新的工业控制协议,并对协议的内容进行正确解析。9.4
38、 产品功能管理9.4.1 界面管理对网络监测产品的图形界面功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 查看管理员界面的功能,包括管理配置界面、告警显示界面等;2) 通过界面配置控制台和监测设备的连接。b) 预期结果:1) 具备独立的控制台;2) 具有图形化的管理界面;3) 具备划分清晰功能区域的告警显示界面。9.4.2 硬件管理9.4.2.1 分布式部署和集中管理对网络监测产品的分布式部署和集中管理功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 登录控制台界面;2) 编辑网络拓扑图。b) 预期结果:1) 集中管理平台的拓扑图上应可进行分级部署。9.4.2.2 端口分
39、离对网络监测产品的端口分离功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 查看被测设备的物理端口。b) 预期结果:1) 用于产品管理的物理端口和用于网络数据监听的物理端口不同。9.4.2.3 产品自检对网络监测产品的产品自检功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查被测设备是否在启动和正常工作时能够周期性地、或者按照授权管理员的要求执行自检,包括硬件工作状态检测、组件连接状态检测等。b) 预期结果:1) 产品在启动和正常工作时,可以周期性地、或者按照授权管理员的要求执行自检。9.4.2.4 时钟同步对网络监测产品的时钟同步功能的测试评价方法与预期结果如下:a)
40、 预置条件:1) 部署NTP时钟源服务器b) 测试评价方法:1) 配置产品的NTP时钟同步的方式和提供NTP时钟源服务器的IP地址;2) 手动执行时钟同步;3) 断开被测设备的电源,切断时钟源的连接;4) 重新启动被测设备,查看被测设备的时钟和时钟源的时钟是否一致。c) 预期结果:1) 配置提示无出错,时钟同步成功;2) 产品显示时钟同步的事件和结果;3) 被测设备的时钟和时钟源上的时间一致。9.4.2.5 时钟设置对网络监测产品的时钟设置功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查网络监测产品是否可以手动设置产品时钟。b) 预期结果:1) 可以手动设置产品时钟。9.4.2
41、.6 电源冗余对网络监测产品的电源冗余功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 物理识别被测设备是否具备电源冗余,断开被测设备的主电源。b) 预期结果:1) 被测设备具备双路电源,并且冗余电源其作用。9.4.2.7 掉电物理导通对网络监测产品的掉电物理导通功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 测试仪向被测设备发送报文;2) 断开被测设备的所有电源。b) 预期结果:1) 测试仪可以在一段时间内收到报文。9.4.2.8 硬件故障处理对网络监测产品的硬件故障处理功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查产品的硬件失效处理机制;2) 使被测
42、设备的硬件暂时失效,查看设备情况。b) 预期结果:1) 具有硬件失效处理机制;2) 硬件失效触发告警。9.4.3 配置信息恢复对网络监测产品的配置信息恢复功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 将被测设备的配置信息导出;2) 替换被测设备;3) 导入配置信息。b) 预期结果:1) 新被测设备的配置信息与原被测设备相同。9.4.4 数据存储空间管理对网络监测产品的数据存储空间管理功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 将存储器空间耗至产品默认的告警值以下,查看产品是否可以保证已存储事件记录可用和后续事件记录的存储。b) 预期结果:1) 可以保证已存储事件记
43、录可用和后续事件记录的存储;2) 提醒管理员采取措施保证已存储事件记录可用和后续事件记录的存储。9.4.5 升级管理9.4.5.1 库升级对网络监测产品的库升级功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查工业控制漏洞知识库和工业控制检测特征库的升级方式;2) 升级工业控制漏洞知识库和工业控制检测特征库。3) 在控制台进行工业控制漏洞知识库和工业控制检测特征库统一升级。b) 预期结果:1) 可以手动或自动升级工业控制漏洞知识库和工业控制检测特征库;2) 升级过程中被测设备可以正常工作。3) 可以将升级后的工业控制漏洞知识库和工业控制检测特征库下发给所有被测设备。9.4.5.2
44、 产品升级对网络监测产品的产品升级功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查产品的升级方式;2) 启动产品升级功能,进行产品升级。b) 预期结果:1) 可以手动或自动升级产品;2) 升级的过程中被测设备可以正常工作;3) 升级后被测设备可以正常工作。9.4.5.3 产品统一升级对网络监测产品的产品统一升级功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 在控制台进行产品统一升级。b) 预期结果:1) 可以统一对所有被测设备进行产品升级;2) 升级的过程中被测设备可以正常工作;3) 升级后被测设备可以正常工作。9.4.5.4 升级包校验对网络监测产品的升级包较验功
45、能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查产品是否具有升级包校验机制。b) 预期结果:1) 产品具有升级包校验机制。9.4.6 用户管理9.4.6.1 标识管理 对网络监测产品的管理员管理功能的测试评价方法与预期结果如下:a) 测试评价方法:1) 检查产品是否支持权限划分;2) 检查产品是否为每一使用者设置安全属性信息,包括标识、鉴别数据、授权信息或管理组信息、其它安全属性等。b) 预期结果:1) 被测产品支持权限用户划分;2) 被测产品能够为每一使用者设置安全属性信息,该安全属性信息包括标识、鉴别数据、授权信息或管理组信息、其它安全属性等,这些属性信息只有具有一定权限的用户才能修改。9.4.6.2 超时设置对