GA_T 1559-2019信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求.pdf

ICS 35.240A 90GA中华人民共和国公共安全行业标准GA/T 1559—2019信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求Information security technologySecurity technical requirements forindustrial control system software vulnerability scanners2019-04-16发布2019-04-16实施中华人民共和国公安部发布 GA/T 1559—2019目次前言范围2规范性引用文件术语和定义编略语5总体说明5.1安全技术要求分类5.2安全等级划分6安全功能要求6.1信息获取6.2脆弱性扫描内容6.3扫描结果分析处理6.4扫描配置6.5目标对象的安全性6.6升级能力6.7扫描IP地址限制6.8自身安全要求安全保障要求7.1开发7.2指导性文档7.3生命周期支持7.4测试7.5隐弱性评定不同安全等级的要求8.1安全功能要求8.2安全保障要求 GA/T 1559—20197.3.4开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。7.3.5生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。7.3.6工具和技术开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个谱句的含义和所有依赖于实现的选项的含义。7.4测试7.4.1测试覆盖开发者应提供测试覆盖文档，测试覆盖捕述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所措述的产品的安全功能间的对应性；b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试，7.4.2测试深度开发者应提供测试深度的分析，测试深度分析描述应满足以下要求；a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；b）证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。7.4.3功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档，测试文档应包括以下内容：a)测试计刘，标识要执行的测试，并描速执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出：c)实际测试结果和预期的利试结果的一致性，7,4.4独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。7.5脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：3）具有基本攻击潜力的攻击者的攻击；b）其有增强型基本攻击潜力的改击者的攻毒。8不同安全等级的要求8.1安全功能要求不同安全等级的工业控制系统软件脆弱性扫描产品的安全功能要求如表1所示。8 GA/T 1不网安全等级的工业控制系统软件瞻弱性扫描产品的安全功能要求安全功能要求基本级增强级支撑系统信息.1信息获取开放端口6.1,26,1,2协议支持6.1,36,1.3晨润发现6.2.16,2.1-6.2.2胰弱性扫描内容弱口令.3文件共享.4扫描结果测览及导出.1报告生成6.3,26.3.2扫描结累分析处理报告定制一6.3.3脆弱性修补建议6.,3,46.3.4结果比对一6.3.5扫措策路.1扫描配置计划任务6,4.26,4,2已知账号/口令扫描一6.4.3目标对象的安全性6.56.5升级能力6,6 a)6.6扫描IP地址限制-6.7标识和属性.1身份鉴别.2自身安全要求安全管理6.8.3,1,6,8.3.3 a),6,12,3,4 a)8°9审计日志~安全保障要求不同安全等级的工业控制系统软件脆弱性扫描产品的安全保障要求如表2所示，表 2不同安全等级的工业控制系统款件脆弱性扫描产品的安全保障要求安全保障要求基本级增蛋级安全架构7,1.17,1.1开发功能规范7.1.2 a) ~f)7.1.2实现表示一7.1.3产品设计7.1.4 a) ~d)7,1.4 GA/T 1559—2019表2(续)安全保障要求基本级增强级梁作用户指南.1指导性文档准备程序.2配置管理能力7,3.1 8) ~c)7,3.1配置管理范围7.3.2 a)7.3.2交付程序7,3.37,3.3生命周期支持开发安全-7,3.4生命周期定义-7,3.5工具和技术-7.3.6测试覆益7.4.1 a)7.,4.1测试保度-7.4.2测试功能测试7,4.37,4.3驻立测试.4脆弱性评定7.5 a)7.5 b)10 GA/T 1559—2019中华人民共和国公共安全行业标准信息安全技术工业控制系统款件脆弱性扫描产品安全技术要