1 范圍

      本標準規定了工業控制網絡監測產品的安全技術要求和測試評價方法。

      本標準適用于工業控制網絡監測產品的設計生產方對其設計、開發及測評等提供指導，同時也可為工業控制系統設計、建設和運維方開展工業控制系統安全防護工作提供指導。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 2423.5-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ea和導則：沖擊

      GB/T 2423.8-1995 電工電子產品環境試驗 第2部分：試驗方法 試驗Ed：自由跌落

      GB/T 2423.10-2008 電工電子產品環境試驗 第2部分：試驗方法 試驗Fc：振動（正弦）

      GB/T 4208-2017 外殼防護等級（IP代碼）

      GB/T 17214.4-2005 工業過程測量和控制裝置的工作條件 第4部分：腐蝕和侵蝕影響

      GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第1部分：簡介和一般模型

      GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求

      GB/T 25069-2010 信息安全技術 術語

      GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南

3 術語和定義

      GB/T 25069-2010、GB/T 32919-2016和GB/T 18336.1-2015界定的以及下列術語和定義適用于本文件。

3.1

      工業控制系統 industrial control system

      多種工業生產中使用的控制系統。

      注：包括監控和數據采集系統（SCADA）、分布式控制系統（DCS）和其他較小的控制系統，如可編程邏輯控制器（PLC），現已廣泛應用在工業部門和關鍵基礎設施中。

3.2

      工業控制網絡監測 industrial control netwvork monitoring

      部署于工業控制網絡中，以實現針對工業控制網絡中網絡行為的安全事件監測、審計和管理等功能的技術。

      注1：用于監測和分析工業控制網絡中的數據報文，發現違反安全策略的行為、異常操作、工業控制設備被攻擊的跡象，或工業生產受到影響的跡象。

      注2：本標準所指“工業控制網絡監測”即“工業控制網絡監測產品”。工業控制網絡監測產品是部署于工業控制網絡中，用于實現工業控制網絡監測功能的設備產品。

4 縮略語

      下列縮略語適用于本文件。

      DNP 分布式網絡協議（Distributed Network Protocol）

      FTP 文件傳輸協議（File Transfer Protocol）

      HTTP 超文本傳輸協議（Hypertext Transfer Protocol）

      NTP 網絡時間協議（Network Time Protocol）

      OLE 對象連接與嵌入（Object Linking and Embedding）

      OPC 用于過程控制的OLE（OLE for Process Control）

5 產品描述

      工業控制網絡監測產品是應用于工業控制環境，通過監視工業控制網絡內的數據報文，實時獲取數據包進行深度解析，監測工業控制網絡中的入侵行為和異常行為，并及時告警的設備。該設備需滿足特定工業環境和安全功能要求，可對工業控制網絡邊界或工業控制網絡內部不同控制區域之間進行監測保護，發現非法入侵活動，并根據監測結果實時報警、響應，達到主動發現入侵活動、確保網絡安全目的。該設備產品可以硬件或者軟件形式實現。

      本標準按照工業控制網絡監測產品安全功能要求強度，對工業控制網路監測產品分為基本級和增強級，安全功能強弱和安全保證要求高低是等級劃分的具體依據。其中基本級安全功能要求應具備GB/T 22239-2019中第二級安全保護能力，增強級安全功能要求應具備GB/T 22239-2019中第三級安全保護能力。在增強級中新增的要求會通過黑體標識。

      工業控制網絡監測安全技術要求的分級及其要求條款見附錄A，工業控制網絡監測測評方法的分級及其測評項見附錄B，工業環境應用要求見附錄C。

6 安全技術要求

6.1 安全功能要求

6.1.1 功能要求

6.1.1.1 安全事件監測

6.1.1.1.1 流量監測

      產品應能夠具有流量監測的功能，具體滿足下述要求：

      a）應能夠監視網絡內的流量數據包，實時獲取數據包用于檢測分析，且不影響工控設備正常運行。

      b）應能夠監測指定的協議或IP地址的流量數據包，且不影響工控設備正常運行。

6.1.1.1.2 工業控制協議分析

      對于在工業控制網絡內獲取的數據包，產品應能夠分析其承載的工業控制協議報文，滿足下述一種要求：

      a) 分析以下（但不限于）通用協議：Modbus/TCP協議、OPC Classic 協議、DNP3.0協議、IEC-60875-5-104協議、SIEMENS S7Comm 協議、PROFINET協議、EtherNet/IP協議；

      b）一種行業專業協議，例如，IEC-61850 MMS協議、IEC-61850 GOOSE協議、IEC-61850 SV協議、軌道交通專業協議等。

6.1.1.1.3 互聯網協議分析

      對于在工業控制網絡內獲取的互聯網協議流量，產品應能夠分析其承載的數據報文，分析以下（但不限于）互聯網協議報文：

      a) HTTP;

      b) FTP;

      c) TELNET;

      d) SNMP。

6.1.1.1.4 攻擊行為監測

      產品應能夠通過分析、對比等方法，包括但不限于發現以下攻擊行為：

      a）工業協議漏洞攻擊；

      b）工業控制應用漏洞攻擊；

      c）操作系統漏洞攻擊；

      d）工業控制設備漏洞攻擊；

      e）應能夠監測網絡中蠕蟲病毒、木馬等攻擊行為的發生，且不影響工控設備正常運行。注：安全漏洞和攻擊參見國家信息安全漏洞共享平臺發布的信息。

6.1.1.2 安全事件響應

6.1.1.2.1 事件告警

      對于攻擊行為或異常行為，產品應按照事件的嚴重程度將事件分級，采取屏幕實時提示等直觀有效的方式傳達告警訊息。

6.1.1.2.2 告警過濾

      產品應允許管理員定義安全策略，對工業控制網絡中的指定事件不予告警。

6.1.1.2.3 事件合并

      產品應對高頻度發生的相同安全事件進行合并告警，避免出現告警風暴。

6.1.1.2.4 定制響應

      產品應允許管理員定義安全策略，對工業控制網絡中的事件定制響應方式。

6.1.1.3 安全配置管理

6.1.1.3.1 安全策略配置

      產品應提供安全策略配置功能。

6.1.1.3.2 工業控制漏洞知識庫

      產品應內置工業控制漏洞知識庫，內容應包括工業控制協議漏洞、工業控制應用漏洞、操作系統漏洞和工業控制設備漏洞，詳細的漏洞修補方案和可采取的對策。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。