ICS 35.040 GA A90 中华人民共和国公共安全行业标准 GA/T1350—2017 信息安全技术 工业控制系统安全管理 平台安全技术要求 Information security technology--Security technical requirements for security managementplatformofindustrialcontrol system 2017-11-20发布 2017-11-20实施 中华人民共和国公安部 发布 GA/T1350—2017 前 言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所、北京匡 恩网络科技有限责任公司。 本标准主要起草人：张笑笑、沈清泓、邹春明、邱梓华、吴其聪、沈亮、李强强。 I GA/T1350—2017 信息安全技术 工业控制系统安全管理 平台安全技术要求 1范围 : 本标准规定了工业控制系统安全管理平台产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于工业控制系统安全管理平台产品的设计、开发与测试。 . 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T25069—2010信息安全技术术语 3术语和定义 GB/T18336.3一2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 industrial control system 工业控制系统 对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合。 4缩略语 下列缩略语适用于本文件。 OLE：对象连接与嵌入（ObjectLinkingandEmbedding） CPU：中央处理器（CentralProcessingUnit) OPC：用于过程控制的OLE(OLEforProcessControl) 工业控制系统安全管理平台产品描述 5 工业控制系统安全管理平台产品是适用于工业控制系统的安全管理平台，支持对工业控制系统安 全产品（如工业控制人侵检测系统、工业控制防火墙、工业控制网络隔离产品、工业控制安全审计产品 等）的安全策略和安全配置进行设置和检查，能获取安全审计日志信息，按照安全事件特征进行分析，发 现并确认安全事件，并能进行报警响应处理。工业控制系统安全管理平台内置安全事件库，能够按照安 全事件特征对收集的各类安全审计日志进行分析，发现安全事件并作出响应（如报警）。 1 GA/T1350—2017 6总体说明 6.1安余技术要求分类 本标准将工业控制系统安全管理平台产品的安全技术要求分为安全功能要求和安全保障要求两 类。其中，安全功能要求是对工业控制系统安全管理平台产品应具备的安全功能提出具体要求，包括安 全管理、统计分析、响应措施、标识与鉴别、管理安全和安全审计；安全保障要求针对工业控制系统安全 管理平台产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试和 脆弱性评定等。 6.2安全等级划分 本标准按照工业控制系统安全管理平台产品安全功能的强度划分安全功能要求的级别，参照 GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全 功能强弱和安全保障要求高低是等级划分的具体依据。 7安全功能要求 7.1安全管理 7.1.1设备管理 产品应能对运行于工业控制系统中的安全产品进行统一管理，并建立设备清单。设备清单应至少 包括设备名称、设备类型、重要程度、所处位置和安全责任人等内容。 7.1.2状态监测 产品应能够对工业控制系统安全产品的运行状态进行监测，并满足以下要求： a) 监测频率支持自定义； b) 监测的运行状态，包括在线状态、系统资源（CPU、内存和硬盘）使用情况等、网络流量等； c) 支持工业控制系统安全产品网络拓扑图的绘制。 7.1.3信息收集 产品应能对工业控制系统安全产品的信息进行收集，具体包括： a）硬件型号； b）软件版本； （ 审计日志； d）安全策略，如工业控制系统人侵检测系统报警策略、工业控制系统防火墙的数据包过滤规则、 工业控制系统网络隔离产品访问控制策略、工业控制系统安全审计产品的审计策略等； e）安全配置； f) 硬件序列号。 7.1.4基线检查 产品应提供基线检查功能，具体包括： 2 GA/T1350—2017 a）建立和更新工业控制系统安全产品的安全基线； 比对结果； c) 提供基线定时检查功能，当发现工业控制系统安全产品当前配置与基线不一致时，应进行 报警。 7.1.5 策略配置 产品应能够对工业控制系统安全产品的安全策略进行设置，比如工业控制入侵检测系统报警策略， 工业控制防火墙的数据包过滤规则、工业控制网络隔离产品访问控制策略、工业控制安全审计产品的审 计策略等，并支持以下功能： a）对安全策略进行添加、删除、修改和分发； b）对安全策略进行导人和导出。 7.1.6身份鉴别 产品应保证要通过鉴别才能够对工业控制系统安全产品进行管理，并且应保证存储在产品中的鉴 别数据不被未授权查阅或修改。 7.2统计分析 7.2.15 安全事件库维护 产品应建立安全事件库，并提供安全事件库的维护功能，具体包括： a）安全事件库内容应包括：事件名称、事件类型、事件级别、事件描述和事件特征； b）安全事件库支持工业控制协议（MODBUS、OPC等）和工业控制系统的安全事件； c) 提供开放接口，允许用户自定义安全事件； d）应提供安全事件库升级功能。 7.2.25 安全事件分析 产品应能对收集的审计日志进行分析，从中提取安全事件。 7.2.3统计分析报表 产品应能够对安全事件进行统计，并生成汇总报表，并满足： a）报表应能够以通用格式（例如html、pdf或doc)导出； b）报表应包含文字、图、表等表现形式。 7.2.4潜在危害分析 产品应能设定单类事件累计发生次数或发生频率的阐值，当统计分析表明此类事件超出阀值时则 表明工业控制系统出现了潜在的危害。 7.2.5异常行为分析 产品应能对工业控制系统中的异常行为进行分析。 7.2.6关联事件分析 产品应能制定关联分析规则，并基于不同的规则对不同设备上报的审计日志进行关联分析。