国家信息安全测评 工业控制系统产品安全测评业务.PDF

国家信息安全测评 工业控制系统产品安全测评业务 FAQ 版本：1.0 ©版权2014—中国信息安全测评中心 二〇一四年八月 中国信息安全测评中心 工业控制系统产品安全测评业务FAQ V 1.0 工业控制系统产品安全测评业务 FAQ 一、测评的目的和意义 工业控制系统产品安全测评的目的是促进高质量、安全和可控的工业控制系 统产品的开发，具体目的和意义包括： 1）对工业控制系统产品依据相关标准规范进行测试评估； 2 ）判定工业控制系统产品是否满足信息安全要求； 3 ）有助于在涉及国家安全的工业自动化生产领域中加强工业控制系统产品 的安全性和可控性，维护国家和用户的安全利益； 4 ）促进国内工业控制系统产品市场的优胜劣汰机制的建立和完善，规范市 场。 二、测评业务适用范围 适用于工业控制系统产品分为控制类产品（即工业控制设备）和安全类产品 （工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程 终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的 产品。 2 ）安全类产品包括工业防火墙、工业安全网关、工业异常监测系统、工业 应用软件漏洞扫描产品等用于工业环境安全防护的产品。 三、测评业务类型 工业控制系统产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试 依据第三方标准规范（如国家标准、测评中心测试规范等），评估工业控制 系统产品的功能、性能、安全等指标，通过后颁发“工业控制系统安全技术测评 证书”。 2 ）选型测试 根据委托方提出的测评要求对工业控制系统产品进行测试，形成选型测试报 告，为委托方在产品选型采购时提供技术依据。 选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指 标由委托方与中心共同确认。 1 中国信息安全测评中心 工业控制系统产品安全测评业务FAQ V 1.0 3 ）定制测试 依据用户要求对工业控制系统产品进行测试，形成定制测试报告。 四、对测评申请者有什么要求 向中心提交测评申请的用户，须具备以下要求： 1）政府机关、具有独立法人资格的合法经营机构或研究机构，可直接向中 心提出测评申请； 2 ）涉外企业须通过国内代理向中心提出测评申请，代理机构应符合第1 项 中的要求。 五、申请受理的程序如何 申请方应填写 《工业控制系统产品安全测评申请书》（可以通过本中心网站 下载），其中纸版、电子版各1 份。 中心在收到申请书后的10 个工作日内，通知申请方是否正式受理申请。 六、依据和参考的标准是什么 依据标准： 1）GB/T 18336-2008 《信息技术安全技术 信息技术安全性评估准则》； 2 ）《工业防火墙安全测评准则》 3 ）《工业安全网关安全测评准则》 4 ）《工业异常监测系统安全测评准则》 5 ）《工业漏洞扫描产品安全测评准则》 6 ）… … 七、测评的主要步骤 1）文档审核：对申请者提交的证据进行评估； 2 ）现场核查：核查配置管理、开发安全、交付运行等； 3 ）技术测试：包括功能测试、安全测试和性能测试。 八、测评的主要阶段有哪些 测评的主要阶段包括： 1）申请阶段； 2 ）预测评阶段； 3 ）测评阶段； 4 ）报告与证书发放阶段。 2 中国信息安全测评中心