信息安全技术工业控制系统产品信息安全通用评估准则(GB-T 37962-2019).docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《信息安全技术工业控制系统产品信息安全通用评估准则(GB-T 37962-2019).docx》由会员分享,可在线阅读,更多相关《信息安全技术工业控制系统产品信息安全通用评估准则(GB-T 37962-2019).docx(50页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 工业控制系统产品信息安全通用评估准则Information security technology - Common criteria for ICS products security (在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上)(本稿完成日期:2018-5-16)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III1范围12规范性引用文件13术语和定义14缩略语25概述26评估对象27扩展组件定义37.1安全组件扩展列表37.2安
2、全功能组件扩展定义47.2.1安全审计分析(FAU_SAA)47.2.2安全审计查阅(FAU_SAR)57.2.3输入数据保护(FDP_IDP_EXT)67.2.4存储数据的完整性(FDP_SDI)77.2.5存储数据的保密性(FDP_SDC_EXT)77.2.6数据传输完整性(FDP_DTI_EXT)87.2.7数据传输保密性(FDP_DTC_EXT)97.2.8用户标识(FIA_UID)107.2.9用户鉴别(FIA_UAU)107.2.10TSF物理保护(FPT_PHP)117.2.11失效保护(FPT_FLS)127.2.12时间戳(FPT_STM)137.2.13资源备份(FRU_R
3、UB_EXT)147.3安全保障组件扩展定义147.3.1测试人员(ATE_TES)148工业控制系统产品安全要求158.1安全功能要求158.1.1安全审计158.1.2标识和鉴别168.1.3访问控制178.1.4会话安全178.1.5安全通信188.1.6数据/代码保护198.1.7加密198.1.8安全管理198.1.9资源可用性208.2安全保障要求209工业控制系统产品评估准则229.1评估模型229.2评估方法239.3评估内容249.3.1安全目标(ST)评估249.3.2功能规范评估259.3.3设计规范评估279.3.4代码/设计实现评估299.3.5指导性文档评估299.
4、3.6配置管理文档及工具使用评估309.3.7生命周期支持评估329.3.8开发者测试评估339.3.9独立第三方测试与分析34附录A(资料性附录)工业控制系统产品与传统IT产品的差异39附录B(资料性附录)安全问题定义40参考文献46前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分 标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本部分起草单位:中国信息安全测评中心、上海三零卫士信息安全有限公司、北京匡恩网络科技有限责任公司、中国电子信息产业集
5、团有限公司第六研究所、北京江南天安科技有限公司、北京交通大学、网神信息技术(北京)股份有限公司本部分主要起草人:邸丽清、李斌、张普含、谢丰、谢新勤、张大江、王峥、李智林、陈冠直、高洋、伊胜伟、张尼、燕飞、李航等46信息安全技术 工业控制系统产品信息安全通用评估准则1 范围本标准定义了工业控制系统产品安全评估的通用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则。本标准适用于工业控制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日
6、期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18336.12015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型求GB/T 18336.22015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能要求GB/T 18336.32015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障要求GB/T 250692010 信息安全技术 术语GB/T 302702013 信息技术 安全技术 信息技术安全性评估方法GB/T 329192016 信息安全技术 工业控制系统安全控制应用指南3 术语和定义GB/T 18336.12015和GB
7、/T 329192016标准界定的术语和定义适用于本文件。3.1工业控制系统(ICS) industrial control system多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA),分布式控制系统(DCS),可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。GB/T 32919-2016,定义3.13.2工控上位机 industrial control host在工业控制环境中,管理、控制工业控制设备的主机,通常运行通用操作系统如Windows、Unix/Linux等。3.3工业控制设备 industrial control device对工业生产过程
8、及装置进行检测与控制的设备。3.4工业控制协议 industrial control protocol工业控制系统中,工控上位机与工业控制设备之间、以及工业控制设备与工业控制设备之间的通信报文规约。通常包括模拟量和数字量的读写控制。4 缩略语GB/T 18336系列标准界定的以及下列缩略语适用于本标准。CM:配置管理(Configuration Management)DCS:分布式控制系统(Distributed Control System) ETR:评估技术报告(Evaluation Technical Report)HMI:人机界面(Human Machine Interface)ICS
9、:工业控制系统(Industry Control System)PLC:可编程逻辑控制器(Programmable Logic Controller) RTU:远程终端单元(Remote Terminal Unit) ST:安全目标(Security Target)SFR:安全功能要求(Security Functional Requirement)TOE:评估对象(Target of Evaluation)TSF:TOE安全功能(TOE Security Functionality)TSFI:TSF接口(TSF Interface)5 概述本标准主要包括评估对象、扩展组件定义、工业控制系统产
10、品安全要求和工业控制系统产品评估准则等。本标准凡涉及到采用密码技术解决机密性、完整性、真实性、不可否认性需求的须遵循密码相关国家标准和行业标准。第6章描述了采用信息技术的工业控制系统产品类型,包括但不限于ICS控制类产品和ICS网络安全类产品。第7章参考GB/T 18336.2安全功能组件、GB/T 18336.3安全保障组件相关要求,围绕ICS产品与传统IT产品的差异,针对ICS产品的特性,对组件进行了扩展和重新定义,扩展和重定义组件在组件名称后加上“_EXT”表示。ICS产品与传统IT产品差异参见附录A。第8章提出了工业控制系统产品安全问题,基于安全问题(参见附录B)定义了适用于ICS产品
11、的通用安全要求,开发者根据TOE的预期使用环境及边界定义,根据威胁分析结果选择适用的安全功能要求和安全保障等级。在选择安全功能组件时,应考虑到组件的依赖关系。第9章在工业控制系统产品安全要求的基础上,给出了工业控制系产品评估准则。6 评估对象本标准适用于采用信息技术的工业控制系统产品,产品类型包括但不限于:a)ICS控制类产品:可编程控制器(PLC)、分布式控制系统(DCS)、远程终端单元(RTU)、人机交互应用软件(HMI)等;b)ICS网络安全类产品:工控防火墙、网闸、主机防护设备、监测审计设备等;评估对象(TOE)被定义为一组可能包含指南的软件、固件和/或硬件的集合。TOE的定义较灵活,
12、未局限于公共理解的工业控制系统产品,TOE可以是一个产品、一个产品的一部分、一种不可能形成产品的独特技术等。因此对于TOE的范围确定尤为重要,对TOE只包含产品某部分的评估不应该与整个产品的评估相混淆。对于产品不涉及信息技术的部分可以不纳入评估范围,如对于未采用通信及信息处理等信息技术的工业控制系统执行机构等产品是不适合作为评估对象的。对于存在多种方法配置的产品,如以不同的方法安装、使用不同的启用或禁用选项等,应明确TOE的安全配置,其中每种配置必须满足TOE的指定要求,并写入TOE指南性文档,TOE指南(仅允许一种配置或者在安全相关方面没有不同的配置)通常与产品指南(允许多种配置)有所不同。
13、7 扩展组件定义7.1 安全组件扩展列表安全功能组件扩展如表1所示:表1 安全功能扩展组件列表安全功能类组件标识符组件名称 FAU类:安全审计FAU_SAA_EXT.5 基于白名单策略的异常检测FAU_SAA_EXT.6 工业控制协议解析FAU_SAR_EXT.4 审计数据报送 FDP类:用户数据保护FDP_IDP_EXT.1 输入数据验证FDP_IDP_EXT.2输入数据双重确认FDP_SDI_EXT.1软件/固件和信息完整性FDP_SDC_EXT.1 存储数据保密性FDP_DTI_EXT.1TOE与外部实体传送数据完整性FDP_DTI_EXT.2TOE内部传送数据完整性FDP_DTC_EX
14、T.1TOE与外部实体传送数据保密性FDP_DTC_EXT.2TOE内部传送数据保密性 FIA类:标识和鉴别FIA_UAU_EXT.1 外部实体鉴别FIA_UID_EXT.3 唯一性标识 FPT类:TSF保护FPT_PHP_EXT.4 物理环境要求FPT_PHP_EXT.5物理篡改防护FPT_FLS_EXT.2 确定性输出FPT_STM_EXT.2 时间同步 FRU类:资源利用FRU_RUB_EXT.1 数据备份安全保障组件扩展如表2所示:表2 安全保障扩展组件列表安全保障类组件标识符组件名称 ATE类:测试ATE_TES_EXT.1 测试人员ATE_TES_EXT.2 独立的测试人员7.2
15、安全功能组件扩展定义7.2.1 安全审计分析(FAU_SAA)7.2.1.1 类别所属类别为GB/T 18336.2中定义的FAU类:安全审计。7.2.1.2 族行为本族定义了一些采用自动化手段分析系统活动和审计数据以寻找可能的或真正的安全侵害的要求。这种分析通过入侵检测来实现,或对潜在的安全侵害作出自动响应。基于检测而采取的动作,可用FAU_ARP“安全审计自动响应”族来规范。ICS的基于白名单的监视探测保护策略与原有的“基于轮廓的异常检测”不同,其内容不仅包含用户操作行为,还包括进程、信息流等其他实体,故扩展了组件FAU_SAA_EXE.5 “基于白名单策略的异常监测”。基于ICS状态数据
16、和通信数据进行行为分析前,需要对工业控制协议进行解析,本族扩展了组件FAU_SAA_EXT.6 “工业控制协议解析”。7.2.1.3 组件层次FAU_SAA_EXT.5“基于白名单策略的异常监测”,提供基于信任列表的对异常行为进行监测的能力。FAU_SAA_EXT.6“工业控制协议解析”,要求具备解析工业控制协议的能力。7.2.1.4 FAU_SAA_EXT.5管理FMT中的管理功能可考虑下列行为:对信任列表的维护(添加、修改、删除)。7.2.1.5 FAU_SAA_EXT.6管理尚无预见的管理活动。7.2.1.6 FAU_SAA_EXT.5审计如果PP/ST中包含FAU_GEN“安全审计数据
17、产生”,下列行为应是可审计的:a) 最小级:开启和关闭任何分析机制;b) 最小级:通过工具软件实现自动响应。7.2.1.7 FAU_SAA_EXT.6审计尚无预见的可审计事件。7.2.1.8 FAU_SAA_EXT.5基于白名单策略的异常检测从属于:无其他组件。依赖关系:无FAU_SAA_EXT.5.1 TSF应能定义和维护基于赋值:被信任的实体的信任列表,并仅允许符合信任列表要求的行为通过,一旦检测到异常,应采取赋值:动作列表。应用说明:a) 被信任的实体可以是应用程序、用户组、信息流特征等;b) 动作列表可以赋值无。7.2.1.9 FAU_SAA_EXT.6 工业控制协议解析从属于:无其他
18、组件。依赖关系:无。FAU_SAA_EXT.6.1 TSF应支持赋值:工业控制协议名称的解析,解析协议的深度包括选择:工业控制协议的协议名称、指令格式、指令类型和指令参数、赋值:其他参数。应用说明:a) 常见的工控控制协议包括(但不限于)Modbus/TCP协议、OPC Classic协议、DNP3.0协议、SIEMENS S7Comm协议、EtherNet/IP协议、EtherCAT协议、PowerLink协议和Profinet协议等;互联网协议主要包括(但不限于)HTTP、FTP、TELNET、SNMP等协议。除上述网络外,还可以支持串行总线网络、工业无线网络、工业互联网等与TCP/IP网
19、络技术不同的协议;b) 赋值协议名称可以是一种或多种;c) 选择可以选择一个或多个。7.2.2 安全审计查阅(FAU_SAR)7.2.2.1 类别所属类别为GB/T 18336.2中定义的FAU类:安全审计。7.2.2.2 族行为本族定义了一些有关审计工具的要求,授权用户可使用这些审计工具查阅审计数据。由于部分ICS产品存储和处理能力有限,可采用集中审计模式,本族扩展了FAU_SAR_EXT.4 “审计数据报送”组件。7.2.2.3 组件层次FAU_SAR_EXT.4“审计数据报送”,TSF可将审计发数据报送给其他设备。7.2.2.4 FAU_SAR_EXT.4管理FMT中的管理功能可考虑下列
20、行为:a) 维护(删除、修改、添加)接受报送审计数据的设备组;b) 维护根据审计数据属性过滤需要发送的审计数据。7.2.2.5 FAU_SAR_EXT.4审计如果PP/ST中包含FAU_GEN“安全审计数据产生”,下列行为应是可审计的:a) 基本级:审计数据报送的失败动作。7.2.2.6 FAU_SAR_EXT.4审计数据报送从属于:无其他组件。依赖关系:FTP_ITC.1 可信信道。FAU_SAR_EXT.4.1 TSF应能够将自身审计记录通过可信信道报送给其他设备,进行更高级别的审计。应用说明:a) 有些嵌入式设备的审计信息存储容量是有限的,宜从系统层面使用工具对系统范围内所有设备和主机的
21、审计记录进行过滤和分析,设备的审计信息格式应该是统一的。7.2.3 输入数据保护(FDP_IDP_EXT)7.2.3.1 类别所属类别为GB/T 18336.2中定义的FDP类:用户数据保护。7.2.3.2 族行为本族为扩展的FDP_IDP族,以描述TOE关键数据安全功能的保护能力。要求对输入到TOE的关键数据或动作进行输入内容和语法的合法性、安全性进行验证,并对关键操作执行双重批准确认。7.2.3.3 组件层次FDP_IDP.EXT.1 “输入数据验证”,要求检测输入信息的安全性和合法性,一旦检测到错误后,TOE应采取相关的动作。FDP_IDP.EXT.2 “输入数据双重确认”,要求对输入到
22、TOE的关键数据或动作执行双重确认操作。7.2.3.4 FDP_IDP_EXT.1管理FMT中的管理功能可考虑下列行为:a) 对行为的管理(添加、删除或修改)7.2.3.5 FDP_IDP_EXT.2管理尚无预见的管理活动。7.2.3.6 FDP_IDP_EXT.1审计如果PP/ST中包含FAU_GEN“安全审计数据产生”,下列行为应是可审计的:a) 最小级:检测到错误后而采取的动作。7.2.3.7 FDP_IDP_EXT.2审计如果PP/ST中包含FAU_GEN“安全审计数据产生”,下列行为应是可审计的:a) 最小级:双重确认的成功执行;b) 基本级:双重确认的未成功执行。7.2.3.8 F
![信息安全技术工业控制系统产品信息安全通用评估准则(GB-T 37962-2019).docx_第1页](https://file5.taowenge.com/FileRoot5/2023-10/19/166da949-50f0-4a90-bb1d-1de1b38eef96/166da949-50f0-4a90-bb1d-1de1b38eef961.gif)
![信息安全技术工业控制系统产品信息安全通用评估准则(GB-T 37962-2019).docx_第2页](https://file5.taowenge.com/FileRoot5/2023-10/19/166da949-50f0-4a90-bb1d-1de1b38eef96/166da949-50f0-4a90-bb1d-1de1b38eef962.gif)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术工业控制系统产品信息安全通用评估准则GB-T 37962-2019 信息 安全技术 工业 控制系统 产品信息 安全 通用 评估 准则 GB 37962 2019
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内