GA/T 1559-2019标准规范下载简介
GA/T 1559-2019 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求简介:
GA/T 1559-2019 是由中华人民共和国公安部发布的国家标准,全称为“信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求”。这份标准主要针对工业控制系统(ICS)软件脆弱性扫描产品,规定了此类产品应具备的安全技术要求,旨在提升工业控制系统的安全防护能力,防止因软件漏洞被恶意利用,造成严重的生产和安全风险。
具体内容包括但不限于以下几个方面:
1. 功能要求:规定了软件脆弱性扫描产品应具备的基本功能,如漏洞扫描、配置检查、风险评估等,以全面发现和评估系统中的安全风险。
2. 性能要求:对扫描速度、并发处理能力、扫描结果的准确性等性能指标进行了规定,保证产品在实际应用中的效率和准确性。
3. 安全性要求:产品自身应具有良好的安全设计,防止被攻击者利用,同时应能保护扫描数据的安全,避免信息泄露。
4. 兼容性和互操作性要求:产品应能与不同的工业控制系统和设备良好配合,实现无缝集成。
5. 可维护性和稳定性要求:产品应具备良好的维护性,易于更新和维护,同时应具有高的运行稳定性,避免因产品问题影响到工业控制系统的正常运行。
6. 文档要求:规定了产品应提供的用户手册、安全说明书等相关文档内容和格式,以方便用户理解和使用。
这份标准的实施,对于规范工业控制系统软件脆弱性扫描产品的研发、生产和应用,提高我国工业控制系统的整体安全水平具有重要意义。
GA/T 1559-2019 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求部分内容预览:
下列缩略语适用于本文件。 DCS:集散控制系统(DistributedControlSystem) HMI:人机接口(HumanMachineInterface) PLC:可编程逻辑控制器(ProgrammableLogicController) SCADA:数据采集与监控系统(SupervisoryControlAndDataAcquisition)
GA/I XXXXXXXX
DB41∕T 2125-2021 公路钢管螺旋桩设计施工技术规范5.1安全技术要求分类
5. 2 安全等级划分
工业控制系统软件脆弱性扫描产品的安全等级按照其安全功能要求和安全保障要求的强度划分为 基本级和增强级,其中安全保障要求参考了GB/T18336.3一2015。
6.1.1支撑系统信息
应能对工业控制系统软件所在支撑平台的操作系统类型、版本号进行探测,能够获取已开 TCP/IP服务的旗标
6. 1. 2 开放端口
应能探测到工业控制系统软件所在操作系统开放的TCP、UDP端口,并能判断相应端口对 服务或使用的协议
6. 2脆弱性扫描内容
6. 2. 1漏洞发现
能发现公开的工业控制系统软件的安全脆弱性间
6. 2. 2 漏洞挖掘
应能发现未知的工业控制系统软件的安全脆弱
应能采用字典或穷举等方法检查系统用户口令的健壮性,检查项目应包括: a)系统是否使用了用户名称经过简单变换后的口令; b)系统是否使用了易猜测口令。
6. 2. 4 文件共享
应能检查文件共享机制,发现危险的设置,检查项目应包括: a)重要目录被共享; b)共享目录可被名用户写入: c)是否使用了缺省或过于简单的共享口令
6.3扫描结果分析处理
6.3. 1扫描结果浏览及导出
应提供扫描结果浏览功能,并支持对扫描结 果数据进行导出操作
能根据扫描结果生成相应的报告,报告具备要求包括如下内容: a) 各脆弱点的漏洞名称、漏洞描述、影响范围等; b) 目标的风险等级评估,将扫描脆弱点按风险严重程度分级,并明确标出; C) 多个目标扫描后的结果的总体报告; d)对脆弱性扫描信息可生成摘要报告; e)应可输出为通用的文档格式。
6. 3. 3报告定制
应提供报告内容定制功能。
6.3.4脆弱性修补建议
能对发现的脆弱性提出修补建议, 脆弱性修补建议满足下列要求: 对不同的安全脆弱性问题提出针对性的脆弱性修补方法; 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性
6. 3. 5 结果比对
GA/T XXXXXXXX
应提供对同一目标多次扫描结果或者不同主机间扫描结果的比对功能,并能根据比对结果生成 告。
6. 4. 1扫描策略
6. 4. 2 向导功解
应提供向导功能,方便用户进行扫描策略配置!
定制扫描计划,可以定时启动或者按周期执行扫
6. 4. 4 已知账号/口令扫描
[GA/I XXXXXXXX
[GA/I XXXXXXXX
3.5且标对象的安全性
应支持以下方式,避免影响目标对象及其所在网络的正常工作: a)支持采用版本探测与漏洞库比对方式进行扫描,避免漏洞验证方式对系统的影响; b)通过调整扫描线程、进程数目或请求数量等方法,提供合理的扫描速度。
应能够对脆弱性特征库进行更新 a)支持手动或者自动升级操作; b)具备升级安全措施。
应能够对脆弱性特征库进行更新 a)支持手动或者自动升级操作; b)具备升级安全措施。
6.7扫描IP地址限制
应提供对产品扫描范围进行限制的手段。
6. 8. 1. 1唯一性标识
6. 8. 1.2属性定义
应为每个管理角色规定与之相关的安全属性, 例如管理角色标识、鉴别信息、隶属组、权
6.8. 1.3属性初始化
5. 8. 2 身份鉴别
6.8.2.1基本鉴别
6. 8. 2. 2鉴别数据保护
6.8.2.3鉴别失败处理
应提供一定的鉴别失败处理措施,当鉴别失败次数达到设定值时,应能阻止该用户的进一步鉴别尝 武。
3.8.2.4超时锁定或注
应具有登录超时锁定或注销功能, 操作的情况下,能锁定或终止会话: 需要再次进行身份鉴别才能重新操作, 又由授权管理员设定,
6.8.3.1安全管理功能
GA/T XXXXXXXX
应保证授权管理员具备以下管理权限: a)查看安全属性; b)修改安全属性; c)启动、关闭全部或部分安全功能; d)制定和修改各种安全策略。
应保证授权管理员具备以下管理权限: a)查看安全属性; b)修改安全属性; c)启动、关闭全部或部分安全功能; d)制定和修改各种安全策略。
6. 8. 3. 2 角色管理
能对管理员角色进行区分: a)具有至少两种不同权限的管理员角色,如操作员、安全员、审计员等; b)应根据不同的功能模块,自定义各种不同权限角色,并可对管理员分配角色。
.8.3.3远程安全管理
若产品提供远程管理功能: a)应能保护远程管理对话内容不被非授权获取:
6. 8. 4 审计日志
6. 8. 4. 1审计日志生成
6.8.4.2审计且志保在
审计日志应能存储于掉电非易失介质中
6.8.4.3审计目志管理
心服务平 提供下列审计日志管理功能: a) 只允许授权管理员访问审计日志; b) 提供对审计日志的查询功能; CJ 授权管理员应能导出审计日志; d)提供对审计日志的按条件查询和排序功能
6.8.4.4审计存储安全
应提供数据存储空间耗尽处理功能,当剩余存储空间达到阈值时,提供告警功能。
GA/I XXXXXXXX
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b) 描述与安全功能要求一致的产品安全功能的安全域; c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路,
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a)完全描述产品的安全功能; D 描述所有安全功能接口的目的与使用方法: 标识和描述每个安全功能接口相关的所有参数; d) 描述安全功能接口相关的安全功能实施行为; 描述由安全功能实施行为处理而引起的直接错误消息; 证实安全功能要求到安全功能接口的追溯; 描述安全功能实施过程中GB 7000.5-2005 道路与街路照明灯具安全要求,与安全功能接口相关的所有行为; h 描述可能由安全功能接口
干发者应提供全部安全功能的实现表示,实现表示应满足以下要求: 提供产品设计描述与实现表示实例之间的映射,并证明其一致性; 按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度; 以开发人员使用的形式提供。
开发者应提供产品设计文档,产品设计文档应满足以下要求: b) 标识和描述产品安全功能的所有子系统; C 描述安全功能所有子系统间的相互作用; 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; e) 根据模块描述安全功能; 提供安全功能子系统到模块间的映射关系; g) 描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用; n 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及 调用的接口; 描述所有安全功能的支撑或相关模块, 可其
梯级和梳齿板安装施工工艺标准7.2.1操作用户指南
GA/T XXXXXXXX
开发者应提供产品及其准备程序,准备程序描述应满足以下要求: a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤; b)描述安全安装产品及其运行环境必需的所有步骤。