2022信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求

信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品

安全技術(shù)要求

目次

前言......................................................................................II

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語和定義..............................................................................1

4縮略語..................................................................................1

5工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品概述...........................................................1

6總體說明................................................................................3

7安全功能要求............................................................................3

7.1基本級(jí)要求.........................................................................3

7.2增強(qiáng)級(jí)要求..........................................................................7

8安全保障要求...........................................................................13

8.1基本級(jí)要求........................................................................13

8.2增強(qiáng)級(jí)要求........................................................................15

9安全等級(jí)...............................................................................17

附錄A（資料性附錄）環(huán)境適應(yīng)性要求......................................................20

I

信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的安全功能要求、安全保障要求和安全等級(jí)劃分要求。

本標(biāo)準(zhǔn)適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和測(cè)試。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T20945-2013信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T20945-2013和GB/T25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

工業(yè)控制系統(tǒng)industriaIcontroIsystem；ICS

工業(yè)控制系統(tǒng)(ICS)是一個(gè)通用術(shù)語，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)

采集系統(tǒng)(SCADA),分布式控制系統(tǒng)(DCS),和其他較小的控制系統(tǒng)，如可編程邏輯控制器(PLC),現(xiàn)

已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

[GB/T32919-2016,定義3.1]

3.2

工業(yè)控制協(xié)議industriaIcontroIprotocoI

工業(yè)控制系統(tǒng)中，上位機(jī)與控制設(shè)備之間、以及控制設(shè)備與控制設(shè)備之間的通信報(bào)文規(guī)約。通常包括模

擬量和數(shù)字量的讀寫控制。

4縮略語

下列縮略語適用于本文件。

DCS：集散控制系統(tǒng)(DistributedControlSystem)

HTML：超文本標(biāo)記語言(HypertextMarkupLanguage)

ICS：工業(yè)控制系統(tǒng)(IndustrialControlSystem)

MAC：媒體接入控制(MediaAccessControl)

MES：制造執(zhí)行系統(tǒng)(ManufacturingExecutionSystem)

SCADA：監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SupervisoryControlAndDataAcquisitionSystem)

URL：統(tǒng)一資源定位符(UniformResourceLocator)

5工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品概述

1

對(duì)工業(yè)控制系統(tǒng)中的事件進(jìn)行記錄和分析，并針對(duì)特定事件采取相應(yīng)比較動(dòng)作的產(chǎn)品，一般采取旁路

接入的部署方式。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的結(jié)構(gòu)一般分為兩種：一種是一體化設(shè)備，將數(shù)據(jù)采集和分析功能集中在

一臺(tái)硬件中，統(tǒng)一完成審計(jì)分析功能；另一種是由采集端和分析端兩部分組成，采集端主要提供數(shù)據(jù)采集的

功能，將采集到的網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給分析端，由分析端進(jìn)一步處理和分析，并采取相應(yīng)的響應(yīng)措施。

根據(jù)工業(yè)控制現(xiàn)場(chǎng)的特點(diǎn)和環(huán)境要求，一體式工控網(wǎng)絡(luò)審計(jì)產(chǎn)品一般部署在較為簡(jiǎn)單的工業(yè)控制網(wǎng)絡(luò)

中，主要監(jiān)測(cè)過程控制層中的網(wǎng)絡(luò)通信，如圖1所示；分布式工控網(wǎng)絡(luò)審計(jì)產(chǎn)品主要部署在較為復(fù)雜的工

業(yè)控制網(wǎng)絡(luò)中，通常在各區(qū)域中部署采集代理設(shè)備，在上層部署分析端設(shè)備，接收各采集代理所采集的數(shù)據(jù)進(jìn)

行集中分析處理，如圖2所示。

生產(chǎn)管理層

工控網(wǎng)絡(luò)

審計(jì)產(chǎn)品

過程監(jiān)控層監(jiān)控服務(wù)器

現(xiàn)場(chǎng)控制層

圖1一體式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品典型部署示意圖

圖2分布式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品典型部署示意圖

2

6總體說明

本標(biāo)準(zhǔn)將工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求分為安全功能要求、安全保障要求兩個(gè)大類。其

中，安全功能要求是對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品應(yīng)具備的安全功能提出具體要求，包括審計(jì)數(shù)據(jù)采集、審計(jì)數(shù)

據(jù)還原、審計(jì)事件識(shí)別和分析、審計(jì)記錄、事件響應(yīng)和報(bào)警、審計(jì)查閱和報(bào)表、審計(jì)記錄存儲(chǔ)，以及標(biāo)識(shí)和

鑒別、安全管理、時(shí)間同步、審計(jì)日志；安全保障要求針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的開發(fā)和使用文檔的內(nèi)

容提出具體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試、脆^性評(píng)定等。若產(chǎn)品全部或部分組件部

署在工業(yè)控制現(xiàn)場(chǎng)，應(yīng)根據(jù)實(shí)際需求滿足相應(yīng)的環(huán)境適應(yīng)性要求，見附錄A。本標(biāo)準(zhǔn)將安全功能要求和安全保障

要求分為基本級(jí)和增強(qiáng)級(jí)，與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”

表示。

7安全功能要求

7.1基本級(jí)要求

7.1.1審計(jì)數(shù)據(jù)采集

7.1.1.1采集策略

產(chǎn)品應(yīng)支持基于策略的數(shù)據(jù)采集：

a）支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略：至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的端

口；

b）支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略。

7.1,1.2審計(jì)數(shù)據(jù)生成

產(chǎn)品應(yīng)在實(shí)際的系統(tǒng)環(huán)境和網(wǎng)絡(luò)帶寬下及時(shí)生成審計(jì)數(shù)據(jù)。

7.1.2審計(jì)數(shù)據(jù)還原

7.1.2.1網(wǎng)絡(luò)層通信協(xié)議還原

產(chǎn)品應(yīng)支持對(duì)網(wǎng)絡(luò)層通信協(xié)議的數(shù)據(jù)進(jìn)行還原，至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源

目的端口、應(yīng)用層協(xié)議。

7.1.2.2應(yīng)用協(xié)議還原

產(chǎn)品應(yīng)支持對(duì)HTTP、FTP、TELNET協(xié)議的應(yīng)用數(shù)據(jù)還原：

a）HTTP通信：目標(biāo)URL；

b）FTP通信：使用的賬號(hào)、輸入命令；

c）TELNET通信：使用的賬號(hào)、輸入命令。

7.1.2.3工業(yè)控制協(xié)議還原

產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進(jìn)行分析和還原，支持至少一種工業(yè)控制協(xié)議。至少支持：

a）組態(tài)變更，包括上裝、下裝；

b）指令變更，包括寫指令及相關(guān)參數(shù)，如控制點(diǎn)位地址、控制值等。

7.1.3審計(jì)事件識(shí)別和分析

3

7.1.3.1基于白名單規(guī)則分析

7.1.3,1.1白名單規(guī)則定義

產(chǎn)品應(yīng)支持白名單規(guī)則的定義：

a）網(wǎng)絡(luò)層通信白名單：支持基于IP或MAC識(shí)別網(wǎng)絡(luò)中的異常資產(chǎn)；

b）工業(yè)控制協(xié)議通信白名單：支持基于控制命令、控制點(diǎn)位、控制值等要素進(jìn)行規(guī)則定義。

7.1.3.1.2白名單方式識(shí)別

產(chǎn)品應(yīng)支持基于白名單機(jī)制對(duì)審計(jì)信息的識(shí)別，白名單之外的事件均為異常事件。

7.1.3.2異常事件識(shí)別

產(chǎn)品應(yīng)支持對(duì)以下異常事件的識(shí)別：

a）網(wǎng)絡(luò)中出現(xiàn)IP或MAC白名單之外的設(shè)備；

b）工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點(diǎn)位、控制值。

7.1.4審計(jì)記錄

7.1,4.1記錄內(nèi)容

產(chǎn)品應(yīng)按照事件的分類和級(jí)別，生成包含以下內(nèi)容的審計(jì)記錄：

a）事件主體；

b）事件客體；

c）事件發(fā)生的日期和時(shí)間；

d）事件類型；

e）事件的級(jí)別；

f）審計(jì)源身份（分布式產(chǎn)品）：

g）事件的描述

h）工業(yè)控制協(xié)議的深度解析內(nèi)容，至少包括控制命令、控制點(diǎn)位、控制值。

7.1.4.2事件分類

產(chǎn)品應(yīng)對(duì)事件按用戶可理解的方式進(jìn)行分類，方便用戶瀏覽和策略定制。如按事件的潛在風(fēng)險(xiǎn)分類，正常

事件、異常事件；按協(xié)議類型分類等。

7.1.4.3事件分級(jí)

產(chǎn)品應(yīng)將異常事件可能的潛在危害程度劃分為不同的級(jí)別，對(duì)不同級(jí)別的事件采取不同的處理方

式。

數(shù)據(jù)庫支持

產(chǎn)品應(yīng)支持一種數(shù)據(jù)庫管理軟件，用于存儲(chǔ)審計(jì)記錄，方便用戶查閱、檢索和統(tǒng)計(jì)分析。

7.1.5事件響應(yīng)和報(bào)警

7.1.5.1事件告警

4

產(chǎn)品應(yīng)能對(duì)于系統(tǒng)安全策略定義的不同等級(jí)的事件采取不同方式進(jìn)行告警。

7.1.5.2告警方式

產(chǎn)品應(yīng)產(chǎn)生報(bào)警，響應(yīng)報(bào)警方式至少包含以下方式中的一種：

a）管理界面告警；

b）向網(wǎng)管中心發(fā)送SNMPTrap報(bào)警消息；

c）向聲光電發(fā)生裝置發(fā)送啟動(dòng)信號(hào)；

d）向網(wǎng)管人員發(fā)送SMS報(bào)警短消息。

7.1.6審計(jì)查閱和報(bào)表

7.1.6.1常規(guī)查閱

產(chǎn)品應(yīng)提供查閱審計(jì)記錄的工具，查閱的結(jié)果應(yīng)以用戶易于理解的方式和格式提供，并且能支持導(dǎo)出

及打印。

7.1.6.2有限查閱

產(chǎn)品應(yīng)確保除授權(quán)管理員之外，其他用戶無權(quán)對(duì)審計(jì)記錄進(jìn)行查閱。

7.1.6.3可選查閱

產(chǎn)品應(yīng)為授權(quán)管理員提供將審計(jì)記錄按一定的條件進(jìn)行選擇、搜索、分類和排序的功能，所得結(jié)果應(yīng)

以用戶友好的、便于理解的形式提供報(bào)告或打印。

7.1.6.4審計(jì)報(bào)表

報(bào)表生成器將審計(jì)分析器傳來的分析結(jié)果進(jìn)行數(shù)據(jù)匯總報(bào)表輸出，對(duì)報(bào)表至少有以下要求：

a）產(chǎn)品應(yīng)提供審計(jì)報(bào)表模板，能夠基于模板生成審計(jì)報(bào)表；

b）報(bào)告內(nèi)容應(yīng)至少支持文字、圖像兩種描述方式；

c）審計(jì)數(shù)據(jù)報(bào)告生成格式應(yīng)至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.1.7審計(jì)記錄存儲(chǔ)

7.1.7.1存儲(chǔ)安全

產(chǎn)品應(yīng)提供安全機(jī)制保護(hù)審計(jì)記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴(yán)格的身份鑒別機(jī)制和適

合的文件讀寫權(quán)限等。任何對(duì)審計(jì)記錄數(shù)據(jù)的刪除或修改都應(yīng)生成系統(tǒng)自身安全審計(jì)記錄。應(yīng)對(duì)審計(jì)記錄進(jìn)

行完整性保護(hù)。

7.1.7.2存儲(chǔ)空間耗盡處理

產(chǎn)品應(yīng)提供數(shù)據(jù)存儲(chǔ)空間耗盡處理功能，當(dāng)剩余存儲(chǔ)空間達(dá)到預(yù)定義的閾值時(shí)進(jìn)行告警。

7.1.8自身安全功能要求

5

7.1.8.1標(biāo)識(shí)和鑒別

7.1.8.1.1唯一性標(biāo)識(shí)

產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識(shí)。

7.1.8.1.2管理員屬性定義

產(chǎn)品應(yīng)為每個(gè)管理員規(guī)定與之相關(guān)的安全屬性，如管理員標(biāo)識(shí)、鑒別信息、、隸屬組、權(quán)限等，并提供

使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理員的屬性進(jìn)行初始化的功能。

,3管理員角色

產(chǎn)品應(yīng)為管理角色進(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限。

7.1.8,1,4基本鑒別

產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進(jìn)行身份鑒別。若采用口令方式鑒別，應(yīng)支持對(duì)口令強(qiáng)度

進(jìn)行檢查，如口令長(zhǎng)度、是否需包含數(shù)字、字母、特殊字符等。

.5超時(shí)鎖定或注銷

當(dāng)已通過身份鑒別的管理角色空閑操作的時(shí)間超過規(guī)定值時(shí)，在該管理角色執(zhí)行管理功能前，產(chǎn)品應(yīng)

對(duì)該管理角色的身份重新進(jìn)行鑒別。

.6鑒別失敗處理

產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超過閾

值時(shí)，系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進(jìn)一步鑒別請(qǐng)求。

,7鑒別數(shù)據(jù)保護(hù)

產(chǎn)品應(yīng)保證管理員鑒別數(shù)據(jù)以非明文形式存儲(chǔ)，不被未授權(quán)查看或修改。

7.1.8.2安全管理

7.1.8.2.1接口及管理安全

產(chǎn)品應(yīng)保證業(yè)務(wù)接口、管理接口、管理界面的安全：

a）業(yè)務(wù)接口和管理接口應(yīng)采用不同的網(wǎng)絡(luò)接口；

b）業(yè)務(wù)接口應(yīng)采取被動(dòng)收包方式工作，不得外發(fā)數(shù)據(jù)包；

c）管理接口及管理界面應(yīng)不存在中高風(fēng)險(xiǎn)安全漏洞。

7.1.8.2.2管理信息傳輸安全

產(chǎn)品需要通過網(wǎng)絡(luò)進(jìn)行管理時(shí)，產(chǎn)品應(yīng)能對(duì)管理信息進(jìn)行保密傳輸。

7.1.8.2.3安全狀態(tài)監(jiān)測(cè)

產(chǎn)品應(yīng)能夠監(jiān)測(cè)產(chǎn)品自身及組件狀態(tài)，包括對(duì)產(chǎn)品CPU、內(nèi)存、存儲(chǔ)空間等系統(tǒng)資源使用狀態(tài)進(jìn)行

監(jiān)測(cè)。

6

7.1.8.3時(shí)間同步

產(chǎn)品及組件應(yīng)支持時(shí)間同步功能：

a）若由多個(gè)組件組成，各組件應(yīng)支持與審計(jì)中心進(jìn)行時(shí)間同步；

b）審計(jì)中心應(yīng)支持與外部時(shí)間服務(wù)器進(jìn)行時(shí)間同步。

7.1,8.4審計(jì)日志

7.1.8.4.1審計(jì)日志生成

產(chǎn)品應(yīng)對(duì)與自身安全相關(guān)的以下事件生成審計(jì)日志：

a）身份鑒別，包括成功和失?。?/p>

b）因鑒別失敗次數(shù)超過了閾值而采取的禁止進(jìn)一步嘗試的措施；

c）審計(jì)策略的增加、刪除、修改；

7.1.8.4.2審計(jì)日志內(nèi)容

審計(jì)日志內(nèi)容至少應(yīng)包括日期、時(shí)間、事件主體、事件客體、事件描述等。

7.1.8.4.3審計(jì)日志存儲(chǔ)

產(chǎn)品應(yīng)將審計(jì)日志與審計(jì)記錄分開保存到不同的記錄文件或數(shù)據(jù)庫（或同一數(shù)據(jù)庫的不同表）中，

方便用戶查閱和分析。應(yīng)保證審計(jì)日志存儲(chǔ)的最短期限不少于6個(gè)月。

7.2增強(qiáng)級(jí)要求

7.2.1審計(jì)數(shù)據(jù)采集

7.2.1.1采集策略

產(chǎn)品應(yīng)支持基于策略的數(shù)據(jù)采集：

a）支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略：至少包括源目的MAC或源目的IP、傳輸層協(xié)議、目的

端口；

b）支持基于工業(yè)控制協(xié)議的數(shù)據(jù)采集策略；

c）支持全流量報(bào)文的采集。

7.2.1.2網(wǎng)絡(luò)流量監(jiān)測(cè)

產(chǎn)品應(yīng)能根據(jù)源目的MAC或IP地址、協(xié)議類型、日期時(shí)間段等對(duì)流量進(jìn)行監(jiān)測(cè)，并以統(tǒng)計(jì)報(bào)表的形式

輸出。

7.2.1.3審計(jì)數(shù)據(jù)生成

產(chǎn)品應(yīng)在實(shí)際的系統(tǒng)環(huán)境和網(wǎng)絡(luò)帶寬下及時(shí)生成審計(jì)數(shù)據(jù)。

7.2.2審計(jì)數(shù)據(jù)還原

7.2.2.1網(wǎng)絡(luò)層通信協(xié)議還原

7

產(chǎn)品應(yīng)支持對(duì)網(wǎng)絡(luò)層通信協(xié)議的數(shù)據(jù)進(jìn)行還原，至少包括源目的MAC、源目的IP、傳輸層協(xié)議、源

目的端口、應(yīng)用層協(xié)議類型。

7.2.2.2通用應(yīng)用協(xié)議還原

產(chǎn)品應(yīng)支持對(duì)HTTP、FTP、TELNET協(xié)議的應(yīng)用數(shù)據(jù)還原：

a）HTTP通信：目標(biāo)URL；

b）FTP通信：使用的賬號(hào)、輸入命令；

c）TELNET通信：使用的賬號(hào)、輸入命令。

7.2.2.3工業(yè)控制協(xié)議還原

產(chǎn)品應(yīng)支持對(duì)工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進(jìn)行分析和還原，支持至少三種工業(yè)控制協(xié)議。至少支持：

a）組態(tài)變更，包括上裝、下裝；

b）指令變更，包括寫指令及相關(guān)參數(shù)，如控制點(diǎn)位地址、控制值等；

c）負(fù)載變更。

7.2.3審計(jì)事件識(shí)別和分析

7.2.3.1事件辨別擴(kuò)展接口

產(chǎn)品應(yīng)提供一個(gè)功能接口，對(duì)自身無法辨別的工業(yè)控制協(xié)議和安全事件，用戶可通過該接口，將擴(kuò)

展的事件辨別模塊以插件的形式接入事件辨別器。

7.2.3.2基于白名單規(guī)則分析

7.2.3.2.1白名單規(guī)則定義

產(chǎn)品應(yīng)支持白名單規(guī)則的定義：

a）網(wǎng)絡(luò)層通信白名單：支持基于源目的MAC或源目的IP、傳輸層協(xié)議、目的端口等要素進(jìn)行規(guī)則

定義；

b）工業(yè)控制協(xié)議通信白名單：支持基于協(xié)議格式規(guī)約、控制命令、控制點(diǎn)位、控制值等要素進(jìn)行

規(guī)則定義。

7.2.3.2.2白名單方式識(shí)別

產(chǎn)品應(yīng)支持基于白名單機(jī)制對(duì)審計(jì)信息的識(shí)別，白名單之外的事件均為異常事件。

7.2.3.2.3學(xué)習(xí)模式

產(chǎn)品應(yīng)支持學(xué)習(xí)模式，對(duì)網(wǎng)絡(luò)流量進(jìn)行學(xué)習(xí)，自動(dòng)生成推薦性規(guī)則，至少包括網(wǎng)絡(luò)層規(guī)則和工業(yè)控

制協(xié)議應(yīng)用層規(guī)則。

7.2.3.3異常事件

7.2.3.3.1異常事件識(shí)別

產(chǎn)品應(yīng)支持對(duì)以下異常事件的識(shí)別：

a）網(wǎng)絡(luò)層通信異常：不合規(guī)的通信鏈路，包括源IP、源MAC、目的IP、目的MAC、目的端口等;

b）工業(yè)控制協(xié)議通信出現(xiàn)異常的控制命令、控制點(diǎn)位、控制值；

8

c）不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報(bào)文；

d）端口報(bào)文異常：端口報(bào)文速率突變、超過閾值、長(zhǎng)時(shí)間無報(bào)文；

e）工業(yè)控制協(xié)議應(yīng)用層斷鏈及斷鏈后重連等。

7.2.3.3.2自定義識(shí)別規(guī)則

產(chǎn)品應(yīng)維護(hù)一個(gè)與被審計(jì)信息系統(tǒng)相關(guān)的惡意事件集合，可結(jié)合控制系統(tǒng)的實(shí)際生產(chǎn)工藝進(jìn)行定

義，當(dāng)這些事件發(fā)生時(shí)表明信息系統(tǒng)受到了攻擊。惡意事件集合應(yīng)可定制。

7.2.3.3.3基于規(guī)則事件生成

產(chǎn)品支持基于黑名單規(guī)則對(duì)異常事件進(jìn)行分析，識(shí)別并生成惡意事件。

7.2,3.4基于統(tǒng)計(jì)的分析

產(chǎn)品應(yīng)提供基于統(tǒng)計(jì)方式對(duì)審計(jì)事件進(jìn)行分析，單個(gè)審計(jì)事件累計(jì)發(fā)生次數(shù)或單個(gè)審計(jì)事件發(fā)生

頻率超過閾值時(shí)，分析生成新的事件。

7.2.3.5關(guān)聯(lián)分析

產(chǎn)品應(yīng)支持事件的關(guān)聯(lián)分析，并進(jìn)行以下操作：

a）對(duì)相互關(guān)聯(lián)的事件進(jìn)行綜合分析和判斷；

b）向授權(quán)用戶提供自定義匹配模式。

7.2.4審計(jì)記錄

7.2.4.1記錄內(nèi)容

產(chǎn)品應(yīng)按照事件的分類和級(jí)別，生成包含以下內(nèi)容的審計(jì)記錄：

a）事件主體；

b）事件客體；

c）事件發(fā)生的日期和時(shí)間；

d）事件類型；

e）事件級(jí)別；

f）審計(jì)源身份（分布式產(chǎn)品）；

g）事件的描述；

h）工業(yè)控制協(xié)議的深度解析內(nèi)容，至少包括控制命令、控制點(diǎn)位、控制值。

7.2.4.2事件分類

產(chǎn)品應(yīng)對(duì)事件按用戶可理解的方式進(jìn)行分類，方便用戶瀏覽和策略定制。如按事件的潛在風(fēng)險(xiǎn)分類，正

常事件、異常事件；按協(xié)議類型分類等。

7.2.4.3事件分級(jí)

產(chǎn)品應(yīng)將異常事件可能的潛在危害程度劃分為不同的級(jí)別，對(duì)不同級(jí)別的事件采取不同的處理方

式。

7.2.4.4數(shù)據(jù)庫支持

9

產(chǎn)品應(yīng)支持一種數(shù)據(jù)庫管理軟件，用于存儲(chǔ)審計(jì)記錄，方便用戶查閱、檢索和統(tǒng)計(jì)分析。

7.2.5事件響應(yīng)和報(bào)警

7.2.5.1事件響應(yīng)

對(duì)異常事件，應(yīng)支持全報(bào)文審計(jì)，以利于事后分析。

7.2.5.2事件告警

產(chǎn)品應(yīng)能對(duì)于系統(tǒng)安全策略定義的不同等級(jí)的事件采取不同方式進(jìn)行告警。

7.2.5.3告警方式

產(chǎn)品應(yīng)產(chǎn)生報(bào)警，響應(yīng)報(bào)警方式至少包含以下方式中的兩種：

a）管理界面告警；

b）向網(wǎng)管中心發(fā)送SNMPTrap報(bào)警消息"

c）向聲光電發(fā)生裝置發(fā)送啟動(dòng)信號(hào)；

d）向網(wǎng)管人員發(fā)送SMS報(bào)警短消息。

7.2.6審計(jì)查閱和報(bào)表

7.2.6.1常規(guī)查閱

產(chǎn)品應(yīng)提供查閱審計(jì)記錄的工具，查閱的結(jié)果應(yīng)以用戶易于理解的方式和格式提供，并且能支持導(dǎo)出

及打印。

7.2.6.2有限查閱

產(chǎn)品應(yīng)確保除授權(quán)管理員之外，其他用戶無權(quán)對(duì)審計(jì)記錄進(jìn)行查閱。

7.2.6.3可選查閱

產(chǎn)品應(yīng)為授權(quán)管理員提供將審計(jì)記錄按一定的條件進(jìn)行選擇、搜索、分類和排序的功能，所得結(jié)果應(yīng)

以用戶友好的、便于理解的形式提供報(bào)告或打印。

7.2.6.4審計(jì)報(bào)表

報(bào)表生成器將審計(jì)分析器傳來的分析結(jié)果進(jìn)行數(shù)據(jù)匯總報(bào)表輸出，對(duì)報(bào)表至少有以下要求：

a）產(chǎn)品應(yīng)提供審計(jì)報(bào)表模板，能夠基于模板生成審計(jì)報(bào)表；

b）應(yīng)支持按時(shí)間段、源目的IP、事件級(jí)別等條件生成自定義審計(jì)報(bào)表；

c）報(bào)告內(nèi)容應(yīng)至少支持文字、圖像兩種描述方式；

d）審計(jì)數(shù)據(jù)報(bào)告生成格式應(yīng)至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.2.7審計(jì)記錄存儲(chǔ)

7.2.7.1審計(jì)數(shù)據(jù)外發(fā)

10

產(chǎn)品應(yīng)提供標(biāo)準(zhǔn)接口將審計(jì)數(shù)據(jù)外發(fā)至其他系統(tǒng)，以作進(jìn)一步的分析處理。

7.2.7.2存儲(chǔ)安全

產(chǎn)品應(yīng)提供安全機(jī)制保護(hù)審計(jì)記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴(yán)格的身份鑒別機(jī)制和適

合的文件讀寫權(quán)限等。任何對(duì)審計(jì)記錄數(shù)據(jù)的刪除或修改都應(yīng)生成系統(tǒng)自身安全審計(jì)記錄。應(yīng)對(duì)審計(jì)記錄進(jìn)

行完整性保護(hù)。

7.2.7.3存儲(chǔ)空間耗盡處理

產(chǎn)品應(yīng)提供數(shù)據(jù)存儲(chǔ)空間耗盡處理功能：

a）當(dāng)剩余存儲(chǔ)空間達(dá)到預(yù)定義的閾值時(shí)進(jìn)行告警；

b）在存儲(chǔ)空間耗盡前采取一定的措施（如：轉(zhuǎn)儲(chǔ)等）防止新近審計(jì)記錄丟失。

7.2.8自身安全功能要求

7.2.8.1標(biāo)識(shí)和鑒別

7.2.8.1.1唯一性標(biāo)識(shí)

產(chǎn)品應(yīng)保證任何用戶都具有全局唯一的標(biāo)識(shí)。

7.2.8.1.2管理員屬性定義

產(chǎn)品應(yīng)為每個(gè)管理員規(guī)定與之相關(guān)的安全屬性，如管理員標(biāo)識(shí)、鑒別信息、隸屬組、權(quán)限等，并提供

使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理員的屬性進(jìn)行初始化的功能。

7.2.8.1.3管理員角色

產(chǎn)品應(yīng)為管理角色進(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限。各管理角色的權(quán)限應(yīng)形成

互相制約關(guān)系。

7.2.8.1.4基本鑒別

產(chǎn)品應(yīng)保證任何用戶在執(zhí)行安全功能前都要進(jìn)行身份鑒別。若采用口令方式鑒別，應(yīng)支持對(duì)口令強(qiáng)度

進(jìn)行檢查，如口令長(zhǎng)度、是否需包含數(shù)字、字母、特殊字符等。若其采用網(wǎng)絡(luò)遠(yuǎn)程方式管理，還應(yīng)對(duì)管

理地址進(jìn)行識(shí)別。

7.2.8.1.5多鑒別

產(chǎn)品應(yīng)能向管理角色提供除口令身份鑒別機(jī)制以外的其他身份鑒別機(jī)制（如證書、智能IC卡、指紋、

視網(wǎng)膜等鑒別機(jī)制）。

7.2.8.1.6超時(shí)鎖定或注銷

當(dāng)已通過身份鑒別的管理角色空閑操作的忖間超過規(guī)定值時(shí)，在該管理角色執(zhí)行管理功能前，產(chǎn)品應(yīng)

對(duì)該管理角色的身份重新進(jìn)行鑒別。

7.2.8.1.7鑒別失敗處理

11

產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超過閾

值時(shí)，系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進(jìn)一步鑒別請(qǐng)求。

7.2.8.1.8鑒別數(shù)據(jù)保護(hù)

產(chǎn)品應(yīng)保證管理員鑒別數(shù)據(jù)以非明文形式存儲(chǔ)，不被未授權(quán)查看或修改。

7.2.8.2安全管理

7.2.8.2.1接口及管理安全

產(chǎn)品應(yīng)保證業(yè)務(wù)接口、管理接口、管理界面的安全：

a）業(yè)務(wù)接口和管理接口應(yīng)采用不同的網(wǎng)絡(luò)接口；

b）業(yè)務(wù)接口應(yīng)采取被動(dòng)收包方式工作，不得外發(fā)數(shù)據(jù)包；

c）管理接口及管理界面應(yīng)不存在中高風(fēng)險(xiǎn)安全漏洞；

7.2.8.2.2管理信息傳輸安全

產(chǎn)品需要通過網(wǎng)絡(luò)進(jìn)行管理時(shí)，產(chǎn)品應(yīng)能對(duì)管理信息進(jìn)行保密傳輸。

7.2.8.2.3安全狀態(tài)監(jiān)測(cè)

產(chǎn)品應(yīng)能夠監(jiān)測(cè)產(chǎn)品自身及組件狀態(tài)，包括：

a）對(duì)產(chǎn)品CPU、內(nèi)存、存儲(chǔ)空間等系統(tǒng)資源使用狀態(tài)進(jìn)行監(jiān)測(cè)；

b）對(duì)產(chǎn)品的主要功能模塊運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)；

c）產(chǎn)品若由多個(gè)組件組成，審計(jì)中心能夠?qū)Ω鹘M件的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)。

7.2.8.2.4分布式部署

產(chǎn)品應(yīng)支持分布式部署模式，審計(jì)中心能夠?qū)Χ鄠€(gè)采集器所采集的數(shù)據(jù)進(jìn)行集中分析處理。

7.2.8.3時(shí)間同步

產(chǎn)品及組件應(yīng)支持時(shí)間同步功能：

a）若由多個(gè)組件組成，各組件應(yīng)支持與審計(jì)中心進(jìn)行時(shí)間同步；

b）審計(jì)中心應(yīng)支持與外部時(shí)間服務(wù)器進(jìn)行時(shí)間同步。

7.2.8.4審計(jì)日志

7.2.8.4.1審計(jì)日志生成

產(chǎn)品應(yīng)對(duì)與自身安全相關(guān)的以下事件生成審計(jì)日志：

a）身份鑒別，包括成功和失?。?/p>

b）因鑒別失敗次數(shù)超過了閾值而采取的禁止進(jìn)一步嘗試的措施；

c）管理員的增加、刪除、修改；

d）審計(jì)策略的增加、刪除、修改；

e）時(shí)間同步；

12

f）超過保存時(shí)限的審計(jì)記錄和自身審計(jì)日志的自動(dòng)刪除;

g）審計(jì)日志和審計(jì)記錄的備份與恢復(fù)；

h）存儲(chǔ)空間達(dá)到閾值報(bào)警；

i）其他事件。

7.2.8.4.2審計(jì)日志內(nèi)容

審計(jì)日志內(nèi)容至少應(yīng)包括日期、時(shí)間、事件主體、事件客體、事件描述等。

7.2.8.4.3審計(jì)日志存儲(chǔ)

產(chǎn)品應(yīng)將審計(jì)日志與審計(jì)記錄分開保存到不同的記錄文件或數(shù)據(jù)庫（或同一數(shù)據(jù)庫的不同表）中,

方便用戶查閱和分析。應(yīng)保證審計(jì)日志存儲(chǔ)的最短期限不少于6個(gè)月。

8安全保障要求

8.1基本級(jí)要求

8.1.1開發(fā)

安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a）與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；

b）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c）描述產(chǎn)品安全功能初始化過程為何是安全的；

d）證實(shí)產(chǎn)品安全功能能夠防止被破壞；

e）證實(shí)產(chǎn)品安全功能能夠防止安全特性被旁路。

8.1.1.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a）完全描述產(chǎn)品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；

d）描述安全功能接口相關(guān)的安全功能實(shí)施行為；

e）描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；

f）證實(shí)安全功能要求到安全功能接口的追溯。

8.1.1.3產(chǎn)品設(shè)計(jì)

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：

a）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b）標(biāo)識(shí)和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口。

8.1.2指導(dǎo)性文檔

13

8.1.2.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一致,

對(duì)每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)

體的安全特性；

e）標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；

f）充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。

8.1.2.2準(zhǔn)備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b）描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

8.1.3生命周期支持

8.1.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；

b）使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)；

c）提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。

8.1.3.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表至少包含產(chǎn)品、安全保障要求的

評(píng)估證據(jù)和產(chǎn)品的組成部分。

8.1.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，

交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

8.1.4測(cè)試

8.1.4.1測(cè)試覆蓋

開發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品

的安全功能間的對(duì)應(yīng)性。

8.1.4.2功能測(cè)試

開發(fā)者應(yīng)測(cè)試產(chǎn)品安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容：

a）測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其它測(cè)試結(jié)果的任

何順序依賴性；

14

b）預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出；

C）實(shí)際測(cè)試結(jié)果和預(yù)期的測(cè)試結(jié)果一致。

8.1.4.3獨(dú)立測(cè)試

開發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。

8.1.5脆弱性評(píng)定

基于已標(biāo)識(shí)的潛在脆弱性，產(chǎn)品能夠抵抗基本的攻擊。

8.2增強(qiáng)級(jí)要求

8.2.1開發(fā)

8.2.1.1安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求:

a）與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；

b）描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c）描述產(chǎn)品安全功能初始化過程為何是安全的；

d）證實(shí)產(chǎn)品安全功能能夠防止被破壞；

e）證實(shí)產(chǎn)品安全功能能夠防止安全特性被旁路。

8.2.1.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a）完全描述產(chǎn)品的安全功能；

b）描述所有安全功能接口的目的與使用方法；

c）標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；

d）描述安全功能接口相關(guān)的安全功能實(shí)施行為；

e）描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；

f）證實(shí)安全功能要求到安全功能接口的追溯；

g）描述安全功能實(shí)施過程中，與安全功能接口相關(guān)的所有行為；

h）描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。

8.2.1.3實(shí)現(xiàn)表示

開發(fā)者應(yīng)提供全部安全功能的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿足以下要求：

a）提供產(chǎn)品設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射，并證明其一致性；

b）按詳細(xì)級(jí)別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計(jì)就能生成安全功能的程度;

c）以開發(fā)人員使用的形式提供。

8.2.1.4產(chǎn)品設(shè)計(jì)

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：

a）根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b）標(biāo)識(shí)和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c）描述安全功能所有子系統(tǒng)間的相互作用；

d）提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

15

e）根據(jù)模塊描述安全功能；

f）提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g）描述所有安全功能實(shí)現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h）描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及

調(diào)用的接口；

i）描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

8.2.2指導(dǎo)性文檔

8.2.2.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一致,

對(duì)每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b）描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c）描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；

d）明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)

體的安全特性；

e）標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；

f）充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。

8.2.2.2準(zhǔn)備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b）描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

8.2.3生命周期支持

8.2.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；

b）使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)；

c）提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法；

d）配置管理系統(tǒng)提供一種自動(dòng)方式來支持產(chǎn)品的生成，通過該方式確保只能對(duì)產(chǎn)品的實(shí)現(xiàn)表示進(jìn)

行已授權(quán)的改變；

e）配置管理文檔包括配置管理計(jì)劃，配置管理計(jì)劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實(shí)施的

配置管理與配置管理計(jì)劃相一致；

f）配置管理計(jì)劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。

8.2.3.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容:

a）產(chǎn)品、安全保障要求的評(píng)估證據(jù)和產(chǎn)品的組成部分；

b）實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。

16

8.2.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，

交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

8.2.3.4開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)

的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

8.2.3.5生命周期定義

開發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔

描述用于開發(fā)和維護(hù)產(chǎn)品的模型。

8.2.3.6工具和技術(shù)

開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含

義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。

8.2.4測(cè)試

8.2.4.1測(cè)試覆蓋

開發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)滿足以下要求：

a）表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對(duì)應(yīng)性；

b）表明上述對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測(cè)試。

8.2.4.2測(cè)試深度

開發(fā)者應(yīng)提供測(cè)試深度的分析。測(cè)試深度分析描述應(yīng)滿足以下要求：

a）證實(shí)測(cè)試文檔中的測(cè)試與產(chǎn)品設(shè)計(jì)中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性；

b）證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測(cè)試。

8.2.4.3功能測(cè)試

開發(fā)者應(yīng)測(cè)試產(chǎn)品安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容：

a）測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其它測(cè)試結(jié)果的任

何順序依賴性；

b）預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出；

c）實(shí)際測(cè)試結(jié)果和預(yù)期的測(cè)試結(jié)果一致。

8.2.4.4獨(dú)立測(cè)試

開發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。

8.2.5脆弱性評(píng)定

基于已標(biāo)識(shí)的潛在脆弱性，產(chǎn)品能夠抵抗較強(qiáng)的攻擊。

9安全等級(jí)

17

本標(biāo)準(zhǔn)按照工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全功能要求和安全保障要求的強(qiáng)度劃分為基本級(jí)和增強(qiáng)級(jí),

如表1、表2所示。安全功能強(qiáng)弱和安全保障要求高低是等級(jí)劃分的具體依據(jù)。其中，達(dá)到基本級(jí)要求的產(chǎn)品,

推薦使用在安全保護(hù)等級(jí)為第一、二級(jí)的工業(yè)控制系統(tǒng)中；達(dá)到增強(qiáng)級(jí)要求的產(chǎn)品，推薦使用在安全保護(hù)等

級(jí)為第三、四級(jí)的工業(yè)控制系統(tǒng)中。

表1安全功能要求等級(jí)劃分

安全功能要求基本級(jí)增強(qiáng)級(jí)

采集策略***

審計(jì)數(shù)據(jù)采集網(wǎng)絡(luò)流量監(jiān)測(cè)—*

審計(jì)數(shù)據(jù)生成**

網(wǎng)絡(luò)層通信協(xié)議還原**

審計(jì)數(shù)據(jù)還原通用應(yīng)用協(xié)議還原**

工業(yè)控制協(xié)議還原***

事件辨別擴(kuò)展接口—*

白名單規(guī)則定義***

基于白名單

白名單方式識(shí)別***

規(guī)則分析

學(xué)習(xí)模式—*

審計(jì)識(shí)別和分析異常事件識(shí)別***

異常事件自定義識(shí)別規(guī)則—*

基于規(guī)則事件生成—*

基于統(tǒng)計(jì)的分析—*

關(guān)聯(lián)分析—*

記錄內(nèi)容**

事件分類**

審計(jì)記錄

事件分級(jí)**

數(shù)據(jù)庫支持**

事件響應(yīng)—*

事件響應(yīng)和報(bào)警事件告警**

告警方式***

常規(guī)查閱**

有限查閱**

審計(jì)查閱和報(bào)表

可選查閱**

審計(jì)報(bào)表***

審計(jì)數(shù)據(jù)外發(fā)—*

審計(jì)記錄存儲(chǔ)存儲(chǔ)安全**

存儲(chǔ)空間耗盡處理***

唯一性標(biāo)識(shí)**

管理員屬性定義**

自身安全功能要

標(biāo)識(shí)和鑒別管理員角色**

求

基本鑒別***

多鑒別—*

18

表1（續(xù)）

安全功能要求基本級(jí)增強(qiáng)級(jí)

超時(shí)鎖定或注銷**

標(biāo)識(shí)和鑒別鑒別失敗處理**

鑒別數(shù)據(jù)保護(hù)**

接口及安全管理**

管理信息傳輸安全**

自身安全功能要安全管理

安全狀態(tài)監(jiān)測(cè)***

求

分布式部署—*

時(shí)間同步**

審計(jì)日志生成***

審計(jì)日志審計(jì)日志內(nèi)容**

審計(jì)日志存儲(chǔ)**

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“一一”表示不適用。

表2安全保障要求等級(jí)劃分

安全保障要求基本級(jí)增強(qiáng)級(jí)

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實(shí)現(xiàn)表示—*

產(chǎn)品設(shè)計(jì)***

操作用戶指南**

指導(dǎo)性文檔

準(zhǔn)備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全—*

生命周期定義—*

工具和技術(shù)—*

測(cè)試覆蓋***

測(cè)試深度—*

測(cè)試

功能測(cè)試**

獨(dú)立測(cè)試**

脆弱性評(píng)定***

注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“——”表示不適用。