信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法(GB-T 37954-2019).pdf

《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法(GB-T 37954-2019).pdf》由会员分享，可在线阅读，更多相关《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法(GB-T 37954-2019).pdf（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040 L 80 中 华 人 民 共 和 国 国 家 标 准 中 华 人 民 共 和 国 国 家 标 准 GB/T XXXXXXXXX 信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法 Information security technology Technique requirements and testing and evaluation approaches for industrial control system vulnerability detection products 点击此处添加与国际标准一致性程度的标识（报批稿）（本稿完成日期：2017/1

2、1/27）XXXX-XX-XX 发布 XXXX-XX-XX 实施GB/T XXXXXXXXX I 目次 前言.V 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2 5 概述.2 6 工业控制系统漏洞检测产品等级划分.2 7 安全功能要求.2 7.1 工业控制设备识别.3 7.2 工业控制设备端口扫描.3 7.3 工业控制设备通信协议漏洞检测.3 7.4 工业控制组态软件漏洞检测.3 7.5 工业控制设备操作系统检测.3 7.6 工业控制数据库漏洞检测.3 7.7 工业控制网络通信设备漏洞检测.3 7.8 检测结果处理要求.3 7.9 管理控制功能要求.4 8 自身安全要

3、求.4 8.1 用户管理与鉴别.4 8.2 产品升级.5 8.3 日志管理.5 8.4 安全存储.6 9 安全保障要求.6 9.1 配置管理.6 9.2 交付与运行.6 9.3 开发.6 9.4 指导性文档.7 9.5 测试.8 9.6 漏洞分析保证.8 10 安全功能测评.9 10.1 工业控制设备识别.9 10.2 工业控制设备端口扫描.9 10.3 工业控制设备通信协议漏洞检测.9 10.4 工业控制组态软件漏洞检测.10 GB/T XXXXXXXXX II 10.5 工业控制设备操作系统检测.11 10.6 工业控制数据库漏洞检测.11 10.7 工业控制网络通信设备漏洞检测.11 1

4、0.8 漏报测试.11 10.9 误报测试.11 10.10 检测结果处理.12 10.11 管理控制功能.13 11 产品自身安全测评.14 11.1 用户管理与鉴别.14 11.2 产品升级.15 11.3 日志管理.16 11.4 安全存储.17 12 安全保障测评.17 12.1 配置管理.17 12.2 交付与运行.18 12.3 开发.19 12.4 文档要求.20 12.5 测试.20 12.6 漏洞分析保证.22 附录 A（资料性附录）工业控制系统漏洞检测产品等级划分表.24 参考文献.27 GB/T XXXXXXXXX III 前 言 本标准按照GB/T 1.1-2009标准

5、化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：北京匡恩网络科技有限责任公司、中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司、北京机械工业自动化研究所。本标准主要起草人：张大江、胡仁豪、范科峰、周睿康、赖英旭、谢丰、邸丽清、尚文利、赵剑明、钟诚

6、、李江力、安高峰、王春霞、王弢、陆臻、郑伟、阮伟、魏强、张胜、刘勇、岳秀江。GB/T XXXXXXXXX 1 信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法 1 范围 本标准规定了针对工业控制系统的漏洞检测产品的技术要求和测试评价方法，包括安全功能要求、自身安全要求和安全保障要求，以及相应的测试评价方法。本标准适用于工业控制系统漏洞检测产品的设计、开发和测评。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.3-2015 信息技术 安

7、全技术 信息技术安全评估准则 第3部分：安全保障组件 GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南 GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南 3 术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1 漏洞 vulnerability 即脆弱性，资产中能被威胁所利用的弱点。GB/T 25069-2010，定义2.3.30 3.2 测试用例 test case 为某个特定目标而编制的一组输入、执行条件以及预期结果，以核实是否满足某个特定需求。3.3 测试集合 test set 测试用例的组合。3.4 测试套件

8、 test suite GB/T XXXXXXXXX 2 将服务于同一个测试目的或同一运行环境下的一系列测试用例有机地组合起来。3.5 工业控制组态软件 industrial control configuration software 在控制系统监控层的软件平台和开发环境，使用灵活的方式为用户提供快速配置现场系统状态的软件工具。4 缩略语 下列缩略语适用于本文件。DNP:分布式网络协议(Distributed Network Protocol)HTTP:超文本传输协议（HyperText Transfer Protocol）FTP：文件传输协议（File Transfer Protocol）

9、IP：互联网协议（Internet Protocol）OLE：对象连接与嵌入（Object Linking and Embedding）OPC：用于过程控制的OLE（OLE for Process Control）SNMP：简单网络管理协议（Simple Network Management Protocol）TCP：传输控制协议（Transmission Control Protocol）5 概述 工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性，发现可能被入侵者利用的漏洞，并提出防范和补救措施。工业控制系统漏洞检测产品可以用于离线环境、工业控制系统试运行期间或工业系统维修期间，能够对

10、工业控制系统中的工业控制设备、通信设备、安全保护设备以及工业控制软件等进行自动检测，发现存在的漏洞。为防止影响正常生产，不应在工业生产现场使用工业控制系统漏洞检测产品。6 工业控制系统漏洞检测产品等级划分 工业控制系统漏洞检测产品分为基本级和增强级。基本级的工业控制系统漏洞检测产品能够实现工业控制设备识别、工业以太网协议漏洞检测、工业控制组态软件漏洞检测等检测功能，能够通过用户鉴别和管理来实现对产品的使用限制和对数据的访问控制、保证漏洞检测产品的正常运行，能够针对检测结果提供基本的分析处理能力、并生成报告，能够满足基本的安全保障要求、保证产品的正常使用。增强级的工业控制系统漏洞检测产品除具备基

11、本级的全部功能以外，增加了对工业控制系统串口通信协议和私有通信协议的漏洞检测允许用户编写测试用例、和对产品的远程管理等功能，使得产品具备的功能要求更加全面，使用更加方便，产品自身的安全性要求和产品的安全保障要求也进一步提高。在增强级中新增的要求通过加粗字体标识。工业控制系统漏洞检测产品具体的等级划分表见附录A。7 安全功能要求 GB/T XXXXXXXXX 3 7.1 工业控制设备识别 检测产品应能自动识别工业控制设备。检测产品应支持手动添加工业控制设备。7.2 工业控制设备端口扫描 检测产品应能扫描所有TCP端口，检查其是否开启。检测产品应能扫描所有UDP端口，检查其是否开启。对于已开启的T

12、CP、UDP端口，检测产品应能判断出与之对应的公开的工业控制通信协议。7.3 工业控制设备通信协议漏洞检测 检测产品应能检测使用(包括但不限于)以下通信协议的工业控制设备的已知漏洞：a)工业以太网协议：Modbus/TCP 协议、OPC 协议、DNP3.0 协议、IEC-60870-5-104 协议、IEC-61850 MMS 协议、Siemens S7Comm 协议、PROFINET 协议、IEC-61850 GOOSE 协议、IEC-61850 SV 协议、EtherNet/IP 协议；b)互联网协议：HTTP 协议、FTP 协议、TELNET 协议、SNMP 协议；c)c)串口协议：Mo

13、dbus RTU 协议、IEC-60870-5-101 协议；d)串口协议：Modbus RTU 协议、IEC-60870-5-101 协议；d)私有协议(包括行业专业协议，例如 FOCAS、RSSP-I、RSSP-II 等)；私有协议(包括行业专业协议，例如 FOCAS、RSSP-I、RSSP-II 等)；注：本标准只收录了广泛使用的工业控制通信协议。由于工业控制设备的配置和管理可以使用互联网协议，因此也需要进行相应的测试。7.4 工业控制组态软件漏洞检测 检测产品应能检测工业控制组态软件（例如SIMATIC WinCC、KingView等）的已知漏洞。7.5 工业控制设备操作系统检测 检测

14、产品应能检测工业控制设备操作系统（例如Vxworks、Windows、Linux等）的安全问题，检测项目应包括（但不限于）：a)操作系统类型和版本号识别；b)操作系统登录弱口令检测；c)操作系统已知安全漏洞检测。7.6 工业控制数据库漏洞检测 检测产品应能检测工业控制数据库（例如PI、KingHistorian等）的已知漏洞。7.7 工业控制网络通信设备漏洞检测 检测产品应能检测工业控制网络通信设备（例如工业交换机等）的已知漏洞。7.8 检测结果处理要求 7.8.1 检测过程监测 检测产品应能实时查看检测进度。检测产品应能实时查看测试用例的执行方法和每一方法的结果。检测产品应能监测工业控制设备

15、的实时响应。检测任务应能随时暂停或者终止。GB/T XXXXXXXXX 4 7.8.2 检测结果记录 检测产品应能保存检测结果。检测产品应能记录并追溯导致工业控制设备异常的数据报文。7.8.3 检测报告生成 检测产品应能根据检测结果自动生成检测报告。检测报告应包括但不限于以下内容：a)工业控制设备的信息列表，包括设备类型、固件版本、操作系统版本等；b)漏洞的名称、漏洞编号、发布日期等；c)潜在的漏洞；d)被测设备的危险等级评估，明确标出扫描出的漏洞的危险等级；注：被测设备的危险等级取决于扫描脆弱点的最高危险等级。危险等级的定义见GB/T 30279-2013第4.2节。检测报告应以通用文档格式

16、（例如WPS、DOC、TXT、RTF、PDF等）输出。测试过程异常终止时，检测产品应能生成已检测部分的报告，并说明测试过程异常终止。7.9 管理控制功能要求 7.9.1 检测参数设置 检测产品应能针对不同的工业控制设备和系统设置相应的检测参数（例如扫描地址范围、端口范围、漏洞类型、测试报文、测试次数、测试时间间隔等）。7.9.2 检测方式管理 检测产品应支持以下测试方式：a)检测产品应能依据工业控制通信协议将测试用例进行归类；b)检测产品应支持测试用例随机组合；c)检测产品应支持测试集合随机组合；d)d)检测产品应支持用户编写测试用例；e)检测产品应支持用户编写测试用例；e)检测产品应根据设备

17、类型向用户推荐某类或某几类测试用例。检测产品应根据设备类型向用户推荐某类或某几类测试用例。7.9.3 设备信息库管理 检测产品应内置工业控制设备信息库并允许更新。7.9.4 漏洞库管理 检测产品应内置漏洞库。检测产品应能通过产品升级等方式更新漏洞库，添加新发现的安全漏洞。7.9.5 测试用例库管理 检测产品应内置测试用例库，包含测试用例和测试集合，用于检测已知漏洞和发现未知漏洞。8 自身安全要求 8.1 用户管理与鉴别 GB/T XXXXXXXXX 5 8.1.1 用户管理 检测产品应支持用户管理，包括添加、删除、激活、禁止用户。检测产品应为每个用户设定标识、权限等安全属性。8.1.2 用户鉴

18、别 检测产品应在用户登录时进行鉴别。8.1.3 鉴别失败处理 当用户鉴别尝试失败连续达到指定次数后，检测产品应阻止用户进一步的鉴别请求。8.1.4 超时设置 检测产品应具有登录超时锁定或注销功能。超时设置 检测产品应具有登录超时锁定或注销功能。8.1.5 远程管理 若检测产品的控制台提供远程管理功能，应能对可远程管理的主机地址进行身份鉴别和访问控制，并保证传输数据的保密性和完整性。远程管理 若检测产品的控制台提供远程管理功能，应能对可远程管理的主机地址进行身份鉴别和访问控制，并保证传输数据的保密性和完整性。8.2 产品升级 8.2.1 产品升级 产品应具有升级的功能（包括修复自身缺陷、更新漏洞

19、库等）。8.2.2 升级包校验 产品应确保升级时的安全，应具有升级包校验机制，防止得到错误的或伪造的升级包。8.3 日志管理 8.3.1 安全日志生成 检测产品应对相关安全事件生成安全日志，包括但不限于：a)登录成功和退出、登录失败；b)检测产品重启；c)鉴别连续尝试不成功的次数超出了设定的限值；d)增加、删除管理员角色和对管理员角色的属性进行修改的操作；e)对上述审计事件的备份和删除；f)产品升级；g)检测操作。每一条安全日志应包括事件发生的日期、时间、用户标识、事件类型、事件描述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。8.3.2 安全日志管理 安全日志管理 检测产品

20、应提供下列安全日志管理功能：a)只允许授权管理员访问安全日志；GB/T XXXXXXXXX 6 b)提供对安全日志的查询功能；c)授权管理员应能保存或删除安全日志；d)安全日志应能够以通用格式（例如 Excel）导出。8.4 安全存储 检测产品应只允许用户读取自己创建的测试任务数据。用户删除测试任务时，检测产品应删除与测试任务相关的数据。检测产品应允许用户导出或导入测试任务数据。9 安全保障要求 9.1 配置管理 9.1.1 配置管理能力 9.1.1.1 版本号 开发者应为产品的不同版本提供唯一的标识。9.1.1.2 配置项 开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配

21、置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行描述，还应描述对配置项给出唯一标识的方法，并提供所有的配置项得到有效维护的证据。9.1.1.3 授权控制 开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者应提供所有的配置项得到有效维护的证据，并应保证只有经过授权才能修改配置项。开发者应提供所有的配置项得到有效维护的证据，并应保证只有经过授权才能修改配置项。9.1.2 配置管理覆

22、盖 配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。9.2 交付与运行 9.2.1 交付程序 开发者应使用一定的交付程序交付产品，并将交付过程文档化。交付文档应描述在给用户方交付产品的各版本时为维护安全所必需的所有程序。9.

23、2.2 安装、生成和启动程序 开发者应提供文档说明产品的安装、生成和启动的过程。9.3 开发 9.3.1 功能规范 GB/T XXXXXXXXX 7 开发者应提供一个功能规范，功能规范应满足以下要求：a)描述产品安全功能及其外部接口；b)是内在一致的；c)描述所有外部接口的用途与使用方法，适当时应提供效果、例外情况和错误消息的细节；d)完备地表示产品安全功能。9.3.2 高层设计 9.3.2.1 描述性高层设计 开发者应提供产品安全功能的高层设计，高层设计应满足以下要求：a)是内在一致的；b)按子系统描述安全功能的结构；c)描述每个安全功能子系统所提供的安全功能性；d)标识安全功能所要求的任何

24、基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现的支持性保护机制所提供功能的一个表示；e)标识安全功能子系统的所有接口；f)标识安全功能子系统的哪些接口是外部可见的。9.3.2.2 安全加强的高层设计 开发者提供的安全加强的高层设计应满足以下要求：开发者提供的安全加强的高层设计应满足以下要求：a)描述产品的功能子系统所有接口的用途与使用方法，适当时应提供效果、例外情况和错误消息的细节；描述产品的功能子系统所有接口的用途与使用方法，适当时应提供效果、例外情况和错误消息的细节；b)把产品分成安全策略实施和其他子系统来描述。把产品分成安全策略实施和其他子系统来描述。9.4 指导性文档 9.

25、4.1 管理员指南 开发者应提供管理员指南，管理员指南应与为评估而提供的其他所有文档保持一致。管理员指南应说明以下内容：a)管理员可使用的管理功能和接口；b)安全地管理产品；c)在安全处理环境中应被控制的功能和权限；d)对与产品的安全操作有关的用户行为的假设；e)受管理员控制的安全参数，如果可能，应指明安全值；f)与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全特性进行的改变；g)与管理员有关的 IT 环境安全要求。9.4.2 用户指南 开发者应提供用户指南，用户指南应与为评估而提供的其他所有文档保持一致。用户指南应说明以下内容：a)产品的非管理员用户可使用的安全功能和接口；b)产

26、品提供给用户的安全功能和接口的使用方法；c)用户可获取但应受安全处理环境所控制的所有功能和权限；d)产品安全操作中用户所应承担的职责；GB/T XXXXXXXXX 8 e)与用户有关的 IT 环境的所有安全要求。9.4.3 生命周期支持 开发者应提供开发安全文档。开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施，并应提供在产品的开发和维护过程中执行安全措施的证据。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施

27、，并应提供在产品的开发和维护过程中执行安全措施的证据。9.5 测试 9.5.1 测试覆盖 9.5.1.1 覆盖证据 开发者应提供测试覆盖的证据。在测试覆盖证据中，应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。9.5.1.2 覆盖分析 开发者应提供测试覆盖的分析结果。开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的。测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应性是完备的。9.5.2 测试深度 开发者应提供测试深度的分析。开发者应提供测试深度的

28、分析。深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。9.5.3 功能测试 开发者应测试安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：a)测试计划，应标识要测试的安全功能，并描述测试的目标；b)测试过程，应标识要执行的测试，并描述每个安全功能的测试概况，这些概况应包括对于其他测试结果的顺序依赖性；c)预期的测试结果，应表明测试成功后的预期输出；d)实际测试结果，应表明每个被测试的安全功能能按照规定进行运作。9.5.4 独立测试 9.5.4.1 一致性 开发者应提供适合

29、测试的产品，提供的测试集合应与其自测产品功能时使用的测试集合相一致。9.5.4.2 抽样 开发者应提供一组相当的资源，用于安全功能的抽样测试。9.6 漏洞分析保证 GB/T XXXXXXXXX 9 9.6.1 指南审查 开发者应提供指导性文档，指导性文档应满足以下要求：开发者应提供指导性文档，指导性文档应满足以下要求：a)标识所有可能的产品运行模式（包括失败或操作失误后的运行）、它们的后果以及对于保持安全运行的意义；标识所有可能的产品运行模式（包括失败或操作失误后的运行）、它们的后果以及对于保持安全运行的意义；b)是完备的、清晰的、一致的、合理的；是完备的、清晰的、一致的、合理的；c)列出关于

30、预期使用环境的所有假设；列出关于预期使用环境的所有假设；d)列出对外部安全措施（包括外部程序的、物理的或人员的控制）的所有要求。列出对外部安全措施（包括外部程序的、物理的或人员的控制）的所有要求。9.6.2 产品安全功能强度评估 开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分析，并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量。9.6.3 开发者漏洞分析 开发者应执行漏洞分析，并提供漏洞分析文档。开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。对被确定的漏洞，开发者应明确记录采取的措施。对每一条漏洞，应有证据显示

31、在使用产品的环境中，该漏洞不能被利用。开发者应提供文档证明经过标识漏洞的产品可以抵御明显的穿透性攻击。10 安全功能测评 10.1 工业控制设备识别 对工业控制设备自动识别的测试方法与预期结果如下：a)测试方法：1)在待测产品上输入 IP 地址，待测产品向该 IP 地址发送测试报文；b)预期结果：1)对于有效的 IP 地址，待测产品能够自动识别工业控制设备、正确显示设备厂商名称和设备类型，或提示用户手动添加工业控制设备；2)对于无效的 IP 地址，待测产品报错。10.2 工业控制设备端口扫描 对工业控制设备端口扫描的测试方法与预期结果如下：a)测试方法：1)待测产品向工业控制设备的所有 TCP

32、 端口和 UDP 端口发送测试报文。b)预期结果：1)待测产品能够根据工业控制设备的响应报文识别出所有开启的 TCP 端口和 UDP 端口；2)对于已周知的 TCP、UDP 端口，待测产品能够显示出与之对应的工业控制通信协议。10.3 工业控制设备通信协议漏洞检测 10.3.1 工业以太网协议漏洞检测 工业以太网协议漏洞检测的测试方法与预期结果如下：GB/T XXXXXXXXX 10 a)测试方法：1)待测产品逐一选取 7.3 a)中的工业以太网协议；2)待测产品向工业控制设备发送包含工业以太网协议已知漏洞的测试报文。b)预期结果：1)待测产品能够支持 7.3 a)中的全部工业以太网协议；2)

33、待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；3)待测产品能够记录所发现的已知漏洞。10.3.2 互联网协议漏洞检测 用于工业控制的互联网协议漏洞检测的测试方法与预期结果如下：a)测试方法：1)待测产品逐一选取 7.3 b)中的互联网协议；2)待测产品向工业控制设备发送包含互联网协议已知漏洞的测试报文。b)预期结果：1)待测产品能够支持 7.3 b)中的互联网协议；2)待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；3)待测产品能够记录所发现的已知漏洞。10.3.3 串口协议漏洞检测 用于工业控制的串口协议漏洞检测的测试方法与预期结果如下：串口协议

34、漏洞检测 用于工业控制的串口协议漏洞检测的测试方法与预期结果如下：a)测试方法：测试方法：1)待测产品逐一选取 7.3 c)中的串口协议；待测产品逐一选取 7.3 c)中的串口协议；2)待测产品向工业控制设备发送包含串口协议已知漏洞的测试报文。待测产品向工业控制设备发送包含串口协议已知漏洞的测试报文。b)预期结果：预期结果：1)待测产品能够支持 7.3 c)中的串口协议；待测产品能够支持 7.3 c)中的串口协议；2)待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；3)待测产品能够记录所发现的已知漏洞。

35、待测产品能够记录所发现的已知漏洞。10.3.4 工业控制私有协议漏洞检测 工业控制私有协议漏洞检测的测试方法与预期结果如下：工业控制私有协议漏洞检测 工业控制私有协议漏洞检测的测试方法与预期结果如下：a)测试方法：测试方法：1)待测产品逐一选取所支持的私有协议；待测产品逐一选取所支持的私有协议；2)待测产品向工业控制设备发送包含该协议已知漏洞的测试报文。待测产品向工业控制设备发送包含该协议已知漏洞的测试报文。b)预期结果：预期结果：1)待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知漏洞；2)待测产品能够记录

36、所发现的已知漏洞。待测产品能够记录所发现的已知漏洞。10.4 工业控制组态软件漏洞检测 工业控制组态软件漏洞检测的测试方法与预期结果如下：a)测试方法：1)在待测产品上运行针对工业控制组态软件漏洞的测试用例。b)预期结果：GB/T XXXXXXXXX 11 1)待测产品能通过工业控制设备的响应来发现工业控制设备是否存在的已知工业控制组态软件漏洞；2)待测产品能够记录所发现的已知漏洞。10.5 工业控制设备操作系统检测 工业控制设备操作系统检测的测试方法与预期结果如下：a)测试方法：1)工业控制设备预置登录弱口令，并开放被测端口；2)在待测产品上运行弱口令测试用例；3)在待测产品上运行操作系统安

37、全漏洞测试用例。b)预期结果：1)待测产品能够识别工业控制设备的操作系统类型和版本号；2)待测产品能够检测出登录弱口令；3)待测产品能够检测出并记录工业控制设备操作系统的已知安全漏洞。10.6 工业控制数据库漏洞检测 工业控制数据库漏洞检测的测试方法与预期结果如下：a)测试方法：1)待测产品向工业控制数据库服务器发送包含数据库已知漏洞的报文。b)预期结果：1)待测产品能够检测出并记录工业控制数据库的已知漏洞。10.7 工业控制网络通信设备漏洞检测 工业控制网络通信设备漏洞检测的测试方法与预期结果如下：a)测试方法：1)待测产品向工业控制网络通信设备发送包含该型号设备已知漏洞的报文。b)预期结果

38、：1)待测产品能够检测出并记录工业控制网络通信设备存在的已知漏洞。10.8 漏报测试 漏报测试方法与预期结果如下：a)测试方法：1)选取某型号具有已知安全漏洞的工业控制设备，记录其已知安全漏洞；2)使用检测产品对该设备进行漏洞检测；3)对比检测报告中列出的安全漏洞和该设备的已知安全漏洞。b)预期结果：1)如果检测报告中列出的安全漏洞包括该设备的全部已知安全漏洞，则无漏报，否则有漏报。注：该测试需要对多种类型的工业控制设备进行测试，已保证测试结论的有效性。10.9 误报测试 误报测试方法与预期结果如下：a)测试方法：1)选取某型号具有已知安全漏洞的工业控制设备，记录其已知安全漏洞；GB/T XX

39、XXXXXXX 12 2)使用检测产品对该设备进行漏洞检测；3)对比检测报告中列出的已知安全漏洞和该设备的已知安全漏洞。b)预期结果：1)如果检测报告中列出的已知安全漏洞超出该设备的全部已知安全漏洞，或者将 A 漏洞判别为 B 漏洞，则有误报，否则无误报。注：该测试需要对多种类型的工业控制设备进行测试，已保证测试结论的有效性。10.10 检测结果处理 10.10.1 工业控制设备状态监测 工业控制设备状态监测的测试方法与预期结果如下：a)测试方法：1)在被测产品上运行测试集合；2)暂停或者终止测试集合。b)预期结果：1)能够在被测产品上实时查看检测进度；2)能够在被测产品上实时查看测试用例每一

40、步骤的执行结果；3)能够在被测产品上监测工业控制设备的实时响应；4)能够在被测产品上随时暂停或者终止测试。10.10.2 检测结果记录 检测结果记录的测试方法与预期结果如下：a)测试方法：1)检查被测产品是否具有记录检测结果的数据库或数据文件；2)检查被测产品的数据库或数据文件中是否包含导致工业控制设备异常响应的测试报文。b)预期结果：1)待测产品具有记录检测结果的数据库或数据文件；2)数据库或数据文件中包含导致工业控制设备异常响应的测试报文。10.10.3 检测报告生成 检测报告生成的测试方法与预期结果如下：a)测试方法：1)查看被测产品的报告生成功能；2)查看报告的生成方式；3)查看报告的

41、内容。b)预期结果：1)被测产品具有生成报告的功能；2)被测产品提供默认的模板以供快速生成报告；3)被测产品的报告可支持多种图形表格形式（例如表格、柱状图、饼图等），并可生成日报、周报等汇总报告；4)被测产品的报告支持多种文档格式（例如 DOC、TXT、RTF、PDF 等）；5)被测产品的报告包括所有检测出的漏洞的名称、类型、编号、漏洞发布日期、漏洞概要描述等信息；GB/T XXXXXXXXX 13 6)被测产品的报告包括对被检测设备的危险等级评估，扫描脆弱点按风险严重程度分级，并明确标出。10.10.4 检测中断时的报告生成 检测中断时的报告生成的测试方法与预期结果如下：a)测试方法：1)在

42、被测产品上运行测试集合；2)随机终止测试。b)预期结果：1)终止测试后，被测产品能生产成已检测部分的报告，并说明测试终止的情况。10.11 管理控制功能 10.11.1 检测参数设置 检测参数设置的测试方法与预期结果如下：a)测试方法：1)检查被测产品是否可以设置检测参数。b)预期结果：1)被测产品能够设置检测参数（例如扫描地址范围、端口范围、漏洞类型、测试报文、测试次数、测试时间间隔等）。10.11.2 检测方式管理 任务设置的测试方法与预期结果如下：a)测试方法：1)检查被测产品是否能够依据工业控制通信协议将测试用例进行归类；2)检查被测产品是否支持测试用例随机组合；3)检查被测产品是否支

43、持测试集合随机组合；4)检查被测产品是否支持用户编写测试用例；检查被测产品是否支持用户编写测试用例；5)检查被测产品是否根据设备类型向用户推荐某类或某几类测试用例。检查被测产品是否根据设备类型向用户推荐某类或某几类测试用例。b)预期结果：1)被测产品能够依据工业控制通信协议将测试用例进行归类；2)被测产品支持测试用例随机组合；3)被测产品支持测试集合随机组合；4)被测产品支持用户编写测试用例；被测产品支持用户编写测试用例；5)被测产品能够根据设备类型向用户推荐某类或某几类测试用例。被测产品能够根据设备类型向用户推荐某类或某几类测试用例。10.11.3 设备信息库管理 设备信息库的测试方法与预期

44、结果如下：a)测试方法：1)检查被测产品是否具有工业控制设备信息库；2)检查被测产品是否允许用户自定义及增删设备型号。3)检查被测产品是否能够添加新增设备的特征信息。b)预期结果：GB/T XXXXXXXXX 14 1)被测产品具有工业控制设备信息库；2)被测产品允许用户自定义及增删设备型号；3)被测产品能够添加新增设备的特征信息。10.11.4 漏洞库管理 漏洞库管理的测试方法与预期结果如下：a)测试方法：1)检查被测产品是否具漏洞管理库；2)检查是否能够在被测产品中添加新的安全漏洞。b)预期结果：1)被测产品具有漏洞管理库；2)被测产品能够添加新的安全漏洞。10.11.5 测试用例库管理

45、测试用例库管理的测试方法与预期结果如下：a)测试方法：1)检查被测产品是否具有测试用例库；2)检查是否能够修改、增加、删除测试用例或测试集合。b)预期结果：1)被测产品具有测试用例库；2)库中包含测试用例和测试集合；3)检查被测产品允许用户修改、增加、删除测试用例或测试集合。11 产品自身安全测评 11.1 用户管理与鉴别 11.1.1 用户管理 用户管理的测试方法与预期结果如下：a)测试方法：1)检查待测产品是否具有用户管理功能；2)检查待测产品是否能够为用户设置安全属性。b)预期结果：1)待测产品能够添加、删除、激活、禁止用户；2)待测产品能够设置用户的安全属性。11.1.2 用户鉴别 用

46、户鉴别的测试方法与预期结果如下：a)测试方法：1)登录控制台，检查要求进行身份鉴别。b)预期结果：1)当用户登录对用户进行鉴别，拒绝未通过鉴别的用户登录；2)登录之前允许做的操作，仅限于输入登录信息、查看登录帮助等操作；GB/T XXXXXXXXX 15 3)允许用户在登录后执行与其安全功能相关的各类操作时，不再重复鉴别。11.1.3 鉴别失败处理 鉴别失败的处理的测试方法与预期结果如下：a)测试方法：1)检查待测产品的安全功能是否可定义用户鉴别尝试的最大允许失败次数；2)检查待测产品的安全功能是否可定义当用户鉴别尝试失败连续达到指定次数后，采取相应的措施、阻止用户进一步的鉴别请求；3)尝试多

47、次失败的用户鉴别行为，检查到达指定的鉴别失败次数后，待测产品是否采取了相应的措施，并生成了审计事件。b)预期结果：1)待测产品具备定义用户鉴别尝试的最大允许失败次数的功能；2)当用户鉴别尝试失败连续达到指定次数后，待测产品能够锁定该帐号，并将有关信息生成审计事件；3)最多失败次数仅由授权用户设定。11.1.4 超时设置 超时设置的测试方法与预期结果如下：超时设置 超时设置的测试方法与预期结果如下：a)测试方法：测试方法：1)检查待测产品是否具有用户登录超时重新鉴别功能；检查待测产品是否具有用户登录超时重新鉴别功能；2)设定用户登录超时重新鉴别的时间段，检查登录用户在设定的时间段内没有任何操作

48、的情况下，待测产品是否锁定或终止了会话，用户是否需要再次进行身份鉴别才能够重新管理和使用待测产品。设定用户登录超时重新鉴别的时间段，检查登录用户在设定的时间段内没有任何操作 的情况下，待测产品是否锁定或终止了会话，用户是否需要再次进行身份鉴别才能够重新管理和使用待测产品。b)预期结果：预期结果：1)待测产品具有登录超时重新鉴别功能；待测产品具有登录超时重新鉴别功能；2)任何登录用户在设定的时间段内没有任何操作的情况下，应被锁定或终止了会话，管理 员需要再次进行身份鉴别才能够重新管理和使用待测产品；任何登录用户在设定的时间段内没有任何操作的情况下，应被锁定或终止了会话，管理 员需要再次进行身份鉴

49、别才能够重新管理和使用待测产品；3)最大超时时间仅由授权管理员设定。最大超时时间仅由授权管理员设定。11.1.5 远程管理 远程管理的测试方法与预期结果如下：远程管理 远程管理的测试方法与预期结果如下：a)测试方法：测试方法：1)通过控制台设置可以进行远程管理的主机地址；通过控制台设置可以进行远程管理的主机地址；2)检查是否在执行所有功能之前要求首先进行主机地址；。检查是否在执行所有功能之前要求首先进行主机地址；。3)检查传输过程是否采用了保密性和完整性保护手段。检查传输过程是否采用了保密性和完整性保护手段。b)预期结果：预期结果：1)可以设置远程管理主机地址；可以设置远程管理主机地址；2)在

50、通过远程主机进行任何与安全功能相关的操作之前都应进行鉴别，拒绝未通过鉴别的管理请求；在通过远程主机进行任何与安全功能相关的操作之前都应进行鉴别，拒绝未通过鉴别的管理请求；3)传输过程采用了保密性和完整性保护手段。传输过程采用了保密性和完整性保护手段。11.2 产品升级 11.2.1 产品升级 GB/T XXXXXXXXX 16 待测产品的产品升级功能的测试方法与预期结果如下：a)测试方法：1)检查待测产品的升级方式；2)进行产品升级。b)预期结果：1)可以对待测产品进行升级；2)待测产品在升级的过程中可以正常工作；3)待测产品在升级后可以正常工作。11.2.2 升级包校验 待测产品的升级包较验