1 范圍

      本標準規定了工業控制系統網絡審計產品的安全技術要求，包括安全功能要求、自身安全要求和安全保障要求。

      本標準適用于工業控制系統網絡審計產品的設計、生產和測試。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ea和導則：沖擊

      GB/T 2423.8-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ed：自由跌落

      GB/T 2423.10-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗Fc：振動（正弦）

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB 4824-2013 工業、科學和醫療（ISM）射頻設備 騷擾特性 限值和測量方法

      GB/T 9254-2008 信息技術設備的無線電騷擾限值和測量方法

      GB/T 13729-2002 遠動終端設備

      GB/T 15153.1-1998 遠動設備及系統 第2部分：工作條件 第1篇：電源和電磁兼容性

      GB/T 17214.4-2005 工業過程測量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 17626.2-2018 電磁兼容 試驗和測量技術 靜電放電抗擾度試驗

      GB/T 17626.3-2016 電磁兼容 試驗和測量技術 射頻電磁場輻射抗擾度試驗

      GB/T 17626.4-2018 電磁兼容 試驗和測量技術 電快速瞬變脈沖群抗擾度試驗

      GB/T 17626.5-2008 電磁兼容 試驗和測量技術 浪涌（沖擊）抗擾度試驗

      GB/T 17626.6-2017 電磁兼容 試驗和測量技術 射頻場感應的傳導騷擾抗擾度

      GB/T 17626.8-2006 電磁兼容 試驗和測量技術 工頻磁場抗擾度試驗

      GB/T 17626.10-2017 電磁兼容 試驗和測量技術 阻尼振蕩磁場抗擾度試驗

      GB/T 17626.11-2008 電磁兼容 試驗和測量技術 電壓暫降、短時中斷和電壓變化的抗擾度試驗

      GB/T 17626.12-2013 電磁兼容 試驗和測量技術 振鈴波抗擾度試驗

      GB/T 17626.16-2007 電磁兼容 試驗和測量技術 0 Hz～150kHz共模傳導騷擾抗擾度試驗

      GB/T 17626.17-2005 電磁兼容 試驗和測量技術 直流電源輸入端口紋波抗擾度試驗

      GB/T 17626.18-2016 電磁兼容 試驗和測量技術 阻尼振蕩波抗擾度試驗

      GB/T 17626.29-2006 電磁兼容 試驗和測量技術 直流電源輸入端口電壓暫降、短時中斷和電壓變化的抗擾度試驗

      GB/T 20945-2013 信息安全技術 信息系統安全審計產品技術要求和測試評價方法

      GB/T 25069-2010 信息安全技術 術語

      GB/T 32919-2016 工業控制系統安全控制應用指南

3 術語和定義

      GB/T 20945-2013、GB/T 25069-2010和GB/T32919-2016界定的以及下列術語和定義適用于本文件。

3.1

      工業控制協議 industrial control protocol

      工業控制系統中，上位機與控制設備之間以及控制設備與控制設備之間的通信報文規約。

      注：通常包括模擬量和數字量的讀寫控制。

3.2

      工業控制系統網絡審計產品 industrial control system network audit products

      部署于工業控制網絡中，對工業控制系統中的事件進行記錄和分析，并針對特定事件采取相應匹配動作的產品。

4 縮略語

      下列縮略語適用于本文件。

      MAC：媒體接入控制（Media Access Control）

      SMS：短信服務（Short Message Service）

      SNMP：簡單網絡管理協議（Simple Network Management Protocol）

      URL：統一資源定位符（Uniform Resource Locator）

5 產品描述

      工業控制系統網絡審計產品的結構一般分為兩種：一種是一體化設備，將數據采集和分析功能集中在一臺硬件中，統一完成審計分析功能；另一種是由采集端和分析端兩部分組成，采集端主要提供數據采集的功能，將采集到的網絡數據發送給分析端，由分析端進一步處理和分析，采取相應的響應措施，并支持采集端分布式部署。該產品典型部署場景參見附錄A。

      本標準將工業控制系統網絡審計產品安全技術要求分為安全功能要求、自身安全要求和安全保障要求三個大類。安全功能要求、自身安全要求和安全保障要求分為基本級和增強級，與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“宋體加粗”表示。若產品全部或部分組件部署在工業控制現場，應根據實際需求滿足附錄B環境適應性要求。

6 安全技術要求

6.1 基本級安全技術要求

6.1.1 安全功能要求

6.1.1.1 審計數據采集

6.1.1.1.1 采集策略

      產品應支持基于策略的數據采集：

      a）支持基于網絡層要素的數據采集策略：至少包括源目的MAC或源目的IP、傳輸層協議、目的端口；

      b）支持基于工業控制協議的數據采集策略。

6.1.1.1.2 審計數據生成

      產品應在實際的系統環境和網絡帶寬下及時生成審計數據。

6.1.1.2 審計數據還原

6.1.1.2.1 網絡層通信協議還原

      產品應支持對網絡層通信協議的數據進行還原，至少包括源目的MAC、源目的IP、傳輸層協議、源目的端口、應用層協議。

6.1.1.2.2 應用協議還原

      產品應支持對HTTP、FTP、TELNET協議的應用數據還原：

      a） HTTP通信：目標URL；

      b）FTP通信：使用的賬號、輸入命令；

      c）TELNET通信：使用的賬號、輸入命令。

6.1.1.2.3 工業控制協議還原

      產品應支持對工業控制協議應用數據進行分析和還原，支持至少一種工業控制協議。至少支持：

      a）組態變更，包括上傳、下載；

      b）指令變更，包括寫指令及相關參數，如控制點位地址、控制值等。

6.1.1.3 審計事件識別和分析

6.1.1.3.1 基于白名單規則分析

6.1.1.3.1.1 白名單規則定義

      產品應支持白名單規則的定義：

      a）網絡通信白名單：支持基于IP或MAC等要求進行規制定義；

      b）工業控制協議通信白名單：支持基于控制命令、控制點位、控制值等要素進行規則定義。

6.1.1.3.1.2 白名單方式識別

      產品應支持基于白名單機制對審計信息的識別。

6.1.1.3.2 異常事件識別

      產品應支持對以下異常事件的識別：

      a）網絡中出現IP或MAC白名單之外的設備；

      b）工業控制協議通信出現異常的控制命令、控制點位、控制值。

6.1.1.4 審計記錄

6.1.1.4.1 記錄內容

      產品應按照事件的分類和級別，生成包含以下內容的審計記錄：

      a）事件主體；

      b）事件客體；

      c）事件發生的日期和時間；

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。