国家信息安全测评工业控制系统产品安全测评服务白皮书.PDFVIP

国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ©版权2014—中国信息安全测评中心 二〇一四年八月 中国信息安全测评中心 工业控制系统产品安全测评服务白皮书 目录 1. 目的和意义 2 2. 业务范围 2 3. 业务类型 2 4. 业务实施 3 1 中国信息安全测评中心 工业控制系统产品安全测评服务白皮书 1. 目的和意义 工业控制系统产品 （以下简称工控产品）安全测评的目的是促进高质量、安全和 可控的工控产品的开发，具体目的和意义包括： 1）对工控产品依据相关标准规范进行测评； 2 ）判定工控产品是否满足安全要求； 3 ）有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可 控性，维护国家和用户的安全利益； 4 ）促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。 2. 业务范围 工控产品分为控制类产品（即工业控制设备）和安全类产品（工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元 （RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品。 2 ）安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用 软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试 依据第三方标准规范（如国家标准、测评中心测试规范等），测评工控产品的功 能、性能、安全等指标，通过后颁发 “工业控制系统安全技术测评证书”。 2 ）选型测试 根据委托方提出的测评要求对工控产品进行测试，形成选型测试报告，为委托方 在产品选型采购时提供技术依据。 选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指标由 2 中国信息安全测评中心 工业控制系统产品安全测评服务白皮书 委托方与中心共同确认。 3 ）定制测试 依据委托方要求对工控产品进行测试，形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准： 1）GB/T 18336-2008 《信息技术安全技术 信息技术安全性评估准则》； 2 ）《工业防火墙安全测评准则》 3 ）《工业安全网关安全测评准则》 4 ）《工业异常监测系统安全测评准则》 5 ）《工业漏洞扫描产品安全测评准则》 6 ）… … 4.2 证据需求 根据业务内容的要求，申请方需提交的证据包括： 1）测评申请书 2）测评所需文档 3 ）被测产品 4.3 业务流程 测评流程分为以下四个阶段：申请阶段、预测评阶段、测评阶段和报告与证书发 放阶段 （如下图所示）。 3 中国信息安全测评中心 工业控制系统产品安全测评服务白皮书 申请委托人 申 请 不通过 申请审查