工业互联网安全脆弱性分析与检测标准.docxVIP

Q/LB.□XXXXX-XXXX PAGE 2 ICS FORMTEXT 25.040 CCS FORMTEXT N 10 FORMTEXT DB32 FORMTEXT 江苏省地方标准 DB FORMTEXT 32/T FORMTEXT XXXX— FORMTEXT XXXX FORMTEXT ????? FORMTEXT 工业互联网安全脆弱性分析与检测规范 FORMTEXT Industrial Internet Security Vulnerability Analysis and Testing Standards FORMDROPDOWN FORMTEXT ????? FORMDROPDOWN FORMTEXT XXXX - FORMTEXT XX - FORMTEXT XX发布 FORMTEXT XXXX - FORMTEXT XX - FORMTEXT XX实施 FORMTEXT 江苏省市场监督管理局??发布 STYLEREF 标准文件_文件编号 DB 32/T XXXX—XXXX PAGE 45 工业互联网安全脆弱性分析与检测规范 范围 本文件规定了工业互联网系统威胁分类与攻击样本库构建的步骤和一般要求，以及安全脆弱性检测流程与方法、分析与检测服务机构基本能力要求与服务流程要求。 本文件适用于工业互联网系统安全脆弱性分析与检测，脆弱性严重性综合指数计算与等级划分检测。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全 GB/T 20984-2007 信息安全技术 信息安全风险检测规范 GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 28452-2012 信息安全技术 应用软件系统通用安全技术要求 GB/T 302791-2013 信息安全技术 安全漏洞等级划分指南 GB/T 35273-2017 信息安全技术 个人信息安全规范 GB/T 30976.1-2014 工业控制系统信息安全 术语、定义和缩略语 术语和定义 下列术语和定义适用于本文件。 工业互联网 Industrial Internet 属于泛互联网的目录分类。使用开放性网络来连接人、数据与机器，激发工业化生产力。 工业互联网系统 Industrial Internet system 面向工业全生命周期，依托工业互联网，在传感网络技术、大数据技术、云计算技术、边缘计算技术、自动化技术、人工智能等技术基础上，通过 智能化的感知、人机交互、决策和执行技术，实现设计过程、制造过程和制造装备智能化，是信息技术、 智能技术与装备制造技术的深度融合与集成。 漏洞 Vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。保持信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性、不可否认性和可靠性等。 [来源：GB/T 302791-2013] 工业控制协议 Industrial control protocol 工业控制系统网络中进行数据交换而建立的规则、标准或约定，规范了设备之间的通信行为与相关的接口标准。 [来源：IEEE802.11] 工业互联网系统安全脆弱性静态分析 Static analysis of industrial Internet system security vulnerability 在不运行工控协议实现程序的前提下，分析软件程序中存在的漏洞，通过对工控协议实现程序的词法、语法、语义进行分析，检测软件中存在的弱安全函数调用和缺陷代码片段。 [来源：GB/T 20278-2013 定义3.3] 工业互联网系统安全脆弱性动态分析 Dynamic Analysis of Security Vulnerability of Industrial Internet System 分别从系统侧和网络侧两方面实现工控协议脆弱性分析的技术。在系统侧，针对工控协议数据的动态污点，通过数据流分析和函数摘要方法，跟踪工控协议数据流的传播，挖掘工控协议实现过程中潜在的漏洞；在网络侧，同时向被测协议的客户端（即工控系统主站）和服务器端（即智能终端设备）发送预