ICS 25.040 CCS N 10 DB32 江 苏 省 地 方 标 准 DB 32/T 4274—2022 工业互联网安全脆弱性分析与检测规范 Industrial Internet Security Vulnerability Analysis and Testing Standards 2022 - 05 - 26 发布 2022 - 06 - 26 实施 江苏省市场监督管理局 发 布 DB 32/T 4274—2022 目 次 前言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语、定义和缩略语 .................................................................. 1 3.1 术语和定义 ........................................................................ 1 3.2 缩略语 ............................................................................ 2 4 总则 ................................................................................ 3 5 分析与检测流程 ...................................................................... 3 6 分析 ................................................................................ 4 6.1 威胁分类与样本库的构建 ............................................................ 4 6.2 攻击样本库构建 .................................................................... 5 6.3 分析步骤与要求 .................................................................... 7 7 检测 ............................................................................... 13 7.1 弱点脆弱性检测总体要求 ........................................................... 13 7.2 环境与封装 ....................................................................... 13 7.3 API 调用 .......................................................................... 14 7.4 指针安全 ......................................................................... 15 7.5 初始化与清理环节 ................................................................. 16 7.6 错误处理 ......................................................................... 17 7.7 时间和状态 ....................................................................... 17 7.8 通用安全特性 ..................................................................... 19 7.9 数据处理 ......................................................................... 21 7.10 代码质量 ........................................................................ 26 7.11 弱点脆弱性检测列表 .............................................................. 28 7.12 安全脆弱性检测流程与方法 ........................................................ 28 8 服务 ............................................................................... 29 8.1 服务机构基本能力要求 ............................................................. 29 8.2 服务流程 ......................................................................... 30 附录 A （资料性） 模型的建立 .......................................................... 31 I DB 32/T 4274—2022 附录 B （资料性） 工业互联网系统脆弱性检测记录表 ...................................... 33 附录 C （资料性） 工业互联网系统脆弱性漏洞访谈信息记录表 .............................. 34 附录 D （资料性） 工业互联网系统脆弱性（漏洞）检测指标及参考权重 ...................... 35 附录 E （规范性） 工业互联网系统脆弱性检测专家打分指标值分类说明 ...................... 36 附录 F （资料性） 判断矩阵表 .......................................................... 38 附录 G （规范性） 弱点脆弱性检测列表 .................................................. 40 附录 H （资料性） 工业互联网系统漏洞严重性等级评定表 .................................. 43 附录 I （资料性） 工业互联网系统脆弱性计算示例 ........................................ 44 II DB 32/T 4274—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江苏省信息安全标准化技术委员会提出并归口。 本文件起草单位：南京理工大学、南京工业职业技术大学、五邑大学、东南大学、南京航空航天大 学、江苏省工业与信息化厅、江苏省产品质量监督检验研究院、江苏大象信息技术服务有限公司、江苏 省中天互联科技有限公司、江苏三台山数据应用研究院有限公司、江苏远恒教育科技有限公司、江苏省 信息网络安全协会。 本文件主要起草人：李千目、侯君、金雷、戴晟、武斌、张建航、龙华秋、曹玖新、时宗胜、蒋剑、 练智超、韩皓、李冬成、牛博威、孟庆杰、蔡文杰、袁键、邓高见、陈彦文。 III DB 32/T 4274—2022 工业互联网安全脆弱性分析与检测规范 1 范围 本文件规定了工业互联网系统威胁分类与攻击样本库构建的步骤和一般要求，以及安全脆弱性检测 流程与方法、分析与检测服务机构基本能力要求与服务流程要求。 本文件适用于工业互联网系统安全脆弱性分析与检测，脆弱性严重性综合指数计算与等级划分检测。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全 GB/T 20984-2007 信息安全技术 信息安全风险检测规范 GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求 GB/T 302791-2013 信息安全技术 安全漏洞等级划分指南 GB/T 35273-2017 信息安全技术 个人信息安全规范 GB/T 30976.1-2014 工业控制系统信息安全 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 工业互联网 Industrial Internet 属于泛互联网的目录分类。使用开放性网络来连接人、数据与机器，激发工业化生产力。 3.1.2 工业互联网系统 Industrial Internet system 面向工业全生命周期，依托工业互联网，在传感网络技术、大数据技术、云计算技术、边缘计算技 术、自动化技术、人工智能等技术基础上，通过智能化的感知、人机交互、决策和执行技术，实现设计 过程、制造过程和制造装备智能化，是信息技术、智能技术与装备制造技术的深度融合与集成。 3.1.3 1 DB 32/T 4274—2022 漏洞 Vulnerability 计算机信息