ICS 35.240 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX—XXXX 信息安全技术 工业控制系统软件脆弱性扫 描产品安全技术要求 Informat ion security technology Security technical requirements for industrial control system software vulnerability scanners （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国公安部 发布 GA/T XXXX —XXXX I 目 次 前言 ................................ ................................ ................. I 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 总体说明 ................................ ................................ ........... 2 5.1 安全技术要求分类 ................................ ............................... 2 5.2 安全等级划分 ................................ ................................ ... 2 6 安全功能要求 ................................ ................................ ....... 2 6.1 信息获取 ................................ ................................ ....... 2 6.2 脆弱性扫描内容 ................................ ................................ . 2 6.3 扫描结果分析处理 ................................ ............................... 3 6.4 扫描配置 ................................ ................................ ....... 3 6.5 目标对象的安全性 ................................ ............................... 4 6.6 升级能力 ................................ ................................ ....... 4 6.7 扫描IP地址限制 ................................ ................................ 4 6.8 自身安全要求 ................................ ................................ ... 4 7 安全保障要求 ................................ ................................ ....... 5 7.1 开发 ................................ ................................ ........... 6 7.2 指导性文档 ................................ ................................ ..... 6 7.3 生命周期支持 ................................ ................................ ... 7 7.4 测试 ................................ ................................ ........... 8 7.5 脆弱性评定 ................................ ................................ ..... 8 8 不同安全等级的要求 ................................ ................................ . 8 8.1 安全功能要求 ................................ ................................ ... 8 8.2 安全保障要求 ................................ ................................ ... 9 GA/T XXXX —XXXX I 前 言 本标准按照 GB/T 1.1 -2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标 准化技术委员会归口。 本标准起草单位： 公安部计算机信息系统安全产品质量监督检验中心 。 本标准主要起草人： 李曦、沈清泓、 俞优、邹春明、陆臻、顾健。 GA/T XXXX —XXXX 1 信息安全技术 工业控制系统 软件脆弱性扫描 产品安全技术要求 1 范围 本标准规定了 工业控制系统软件脆弱性 扫描产品 的安全功能要求 、安全保障 要求和等级划分要求 。 本标准适用于 工业控制系统软件脆弱性 扫描产品 的设计、开发和测试 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅 注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有 的修改单）适用于本文件。 GB/T 18336 .3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障 组件 GB/T 25069 -2010 信息安全技术 术语 GB/T 309 76.1-2014工业控制系统信息安全 第1部分：评估规范 3 术语和定义 GB/T 25069 -2010和GB/T 30976.1 -2014界定的以及下列术语和定义适用于本文件。 3.1 工业控制系统 软件 industrial control system software 工业控制 系统上位机软件和下位机软件的集合 。 3.2 脆弱性 vulnerability 系统设计、实现或操作和管理中存在的缺陷或弱点，可 被利用来危害系统的完整性或安全策略 。 3.3 旗标 banner 由应用程序发送的一段信息，通常包括欢迎语、应用程序名称和版本等信息。 4 缩略语 下列缩略语适用于本 文件。 DCS：集散控制系统 （Distributed Control System ） HMI：人机接口 （Human Machine Interface ） PLC：可编程逻辑控制器 （Programmable Logic Controller ） SCADA：数据采集与监控系统 （Supervisory Control And Data Acquisition ） GA/T XXXX —XXXX 10 5 总体说明 5.1 安全技术要求分 类 本标准将工业控制系统软件脆弱性扫描产品安全技术要求分为安全功能和安全保障 要求。其中，安 全功能要求是对工业控制系统软件脆弱性扫描产品应具备的安全功能提出具体要求， 通过一定的用户标 识和鉴别来限制对产品功能的使用和数据访问的控制，使产品具备自主安全保护的能力，保证工业控制 系统软件脆弱性扫描产品的正常运行，具备审计功能要求，使得管理员的各项操作行为和扫描事件都是 可追踪的。 安全保障要求针对工业控制系统软 件脆弱性扫描产品的开发和使用文档的内容提出具体的要 求，例如开发、测试和指导性 文档等。 5.2 安全等级划分 工业控制系统软件脆弱性扫描产品 的安全等级按照其安全功能要求 和安全保障要求的强度划分为 基本级和增强级，其中安全保障要求参考了 GB/T 1