ICS35.240.50CCSL62團(tuán) 體 標(biāo) 準(zhǔn)T/CPUMT001—2022工業(yè)信息安全應(yīng)急處置工具箱Emergencydisposaltoolboxforindustrialinformationsecurity2022-04-21發(fā)布 2022-04-21實施中國和利用技術(shù)協(xié)會 發(fā)布T/CPUMT001T/CPUMT001—2022II目 次前言 II引言 III1范圍 12規(guī)性用件 13術(shù)和義 14組與號 24.124.225技要求 35.1本求 35.235.345.446試方法 5驗件 5驗具 5本求驗 5能驗 5能驗 6全驗 67檢規(guī)則 6驗?zāi)?6廠驗 6式驗 68標(biāo)、裝運和存 78.178.278.378.47參考獻(xiàn) 8T/CPUMT001T/CPUMT001—2022鏈鏈鏈鏈前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件起草單位：國家工業(yè)信息安全發(fā)展研究中心、貴陽宏圖科技有限公司、北京安天網(wǎng)絡(luò)安全技術(shù)有限公司、浙江安騰信息技術(shù)有限公司、杭州立思辰安科科技有限公司、北京安盟信息技術(shù)股份有限公司、北京珞安科技有限責(zé)任公司、北京神州綠盟科技有限公司、華控清交信息科技（北京）有限公司、博智安全科技股份有限公司、北京恒安嘉新安全技術(shù)有限公司、安徽長泰科技有限公司、長揚科技（北京）有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、福建中信網(wǎng)安信息科技有限公司、武漢安域信息安全技術(shù)有限公司、北京天地和興科技有限公司、上海工業(yè)控制安全創(chuàng)新科技有限公司、西安獵鷹科技有限公司、成都安美勤信息技術(shù)股份有限公司、北京萬里紅科技有限公司、興唐通信科技有限公司、中能融合智慧科技有限公司、上海伊世智能科技有限公司、北京奇虎科技有限公司、浙江鵬信信息科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、廣域銘島數(shù)字科技有限公司、北京中超偉業(yè)信息安全技術(shù)股份有限公司、北京易華錄信息技術(shù)股份有限公司、工業(yè)信息安全（四川）創(chuàng)新中心有限公司、北京聲智科技有限公司、中國電子工程設(shè)計院有限公司、中國工業(yè)互聯(lián)網(wǎng)研究院、北京北方車輛集團(tuán)有限公司、哈爾濱工程大學(xué)、北京航空航天大學(xué)、北京工業(yè)大學(xué)（信息學(xué)部）、江西昌河航空工業(yè)有限公司、江西洪都航空工業(yè)集團(tuán)有限責(zé)任公司、山東華軟金盾軟件股份有限公司、青島宏大紡織機(jī)械有限責(zé)任公司、北京金山獵豹科技有限公司、三一集團(tuán)有限公司、中國寰球工程有限公司北京分公司、天津北玻玻璃工業(yè)技術(shù)有限公司、中移系統(tǒng)集成有限公司、重慶工業(yè)大數(shù)據(jù)創(chuàng)新中心有限公司、廣視三信（臺州）信息技術(shù)有限公司、中海油田服務(wù)股份有限公司、山西恒躍鍛造有限公司、山東電子學(xué)會、億博智造（北京）科技有限公司、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司。本文件主要起草人：張曉帆、范靈俊、王盈、楊佳寧、汪禮俊、郝志強、周黎輝、徐翰隆、楊治崇、張俊峰、張大偉、程順、張兵、郭文科、王曉鵬、梁磐、王云河、傅濤、鄭軼、李蓉、王澤政、廉明、馮彬、趙華、汪義舟、安高峰、金華松、李永龍、王鵬、李佐民、蒲戈光、張龍飛、李勁雄、胡特彧、趙閃、胡鵬輝、沙學(xué)松、倪華、冀磊、邱輝、于海躍、黃丁智、魏娟、楊宇波、安宇、陳孝良、段萌、葉麗麗、朱浩、李輝、申林山、關(guān)振宇、張津麗、楊軍華、胡青、段文凱、張殊、林鵬、周祥、江沛、李春超、焦罡、祝守守、張益斌、潘鵬、鄭勇、胡聰聰、高國清、付洋、段小莉、張德保、馬建紅、喬華陽。本文件為首次發(fā)布。II引 言工業(yè)是國民經(jīng)濟(jì)的基礎(chǔ)，工業(yè)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會穩(wěn)定和國家安全。近年來，隨著互聯(lián)網(wǎng)等新一代信息技術(shù)與工業(yè)生產(chǎn)活動融合的不斷深入，工業(yè)信息安全面臨日益嚴(yán)峻的安全威脅。應(yīng)急響應(yīng)作為工業(yè)信息安全工作中不容失守的最后一道防線，對于處置漏洞隱患、消減事件損失、保障工業(yè)生產(chǎn)等都具有重要意義。作為一種工業(yè)級、一體化、專用型的安全產(chǎn)品，憑借豐富的處置功能、高效的分析能力和便捷的可操作性，已成為工業(yè)企業(yè)、安全企業(yè)開展現(xiàn)場應(yīng)急處置的有效工具。制定本文件，可以為規(guī)范工業(yè)信息安全應(yīng)急處置工具箱的技術(shù)指標(biāo)、指導(dǎo)相關(guān)產(chǎn)品研發(fā)使用、拓寬產(chǎn)品應(yīng)用渠道與領(lǐng)域，提高我國工業(yè)III工業(yè)信息安全應(yīng)急處置工具箱范圍本文件規(guī)定了工業(yè)信息安全應(yīng)急處置工具箱（簡稱“工具箱”）的組成與型號、技術(shù)要求、試驗方法，檢驗規(guī)則及標(biāo)牌、包裝、運輸和貯存等。本文件適用于工業(yè)信息安全應(yīng)急處置工具箱的設(shè)計、研發(fā)、生產(chǎn)、檢驗檢測和驗收，可應(yīng)用于軍工、市政、冶金、電力、醫(yī)藥、化工、石油石化、交通運輸和機(jī)械裝備制造等各類工業(yè)行業(yè)的信息安全應(yīng)急處置。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T191包裝儲運圖示標(biāo)志GB/T4208（IPGB/T9969GB/T13306GB16796安全防范報警設(shè)備安全要求和試驗方法GB/T20275信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20280信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T2094524363GB/T26268網(wǎng)絡(luò)入侵檢測系統(tǒng)測試方法GB/T28451GB/T29766GB/T34990設(shè)備可靠性可靠性評估方法GB/T37954信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品技術(shù)要求及測試評價方法GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GA/T911信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求GA/T1536信息安全技術(shù)計算機(jī)主機(jī)安全檢測產(chǎn)品測評準(zhǔn)則QB/T4399手提式工具箱QB/T5536工具箱柜通用技術(shù)條件下列術(shù)語和定義適用于本文件。3.1工業(yè)信息安全應(yīng)急處置工具箱 emergencydisposaltoolboxforindustrialinformationsecurity集成工業(yè)信息安全應(yīng)急處置全流程所需的軟硬件工具，對接國家級工控安全遠(yuǎn)程應(yīng)急支援服務(wù)平臺（3.3）的一體化、工業(yè)級的專用型安全產(chǎn)品。3.2現(xiàn)場急置術(shù)臺 on-siteemergencytechnologyplatform1將集成應(yīng)急處置所需的各類軟件工具和關(guān)鍵數(shù)據(jù)資源內(nèi)置于工具箱應(yīng)急處置終端中的流程化技術(shù)平臺。3.3工控全程急援務(wù)平臺 remoteserviceplatformofemergencysupportforsecurity集成工業(yè)信息安全遠(yuǎn)程應(yīng)急支援所需的威脅情報、分析引擎、數(shù)據(jù)資源、安全專家等功能資源，為工具箱提供遠(yuǎn)程技術(shù)支撐，為現(xiàn)場應(yīng)急人員提供遠(yuǎn)程支援的服務(wù)平臺。3.4信息全件 informationsecurityincidentGB/T20985.1—2017，3.4]3.5工業(yè)制統(tǒng) industrialcontrolsystem多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)。注：包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等，現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。[來源：GB/T37962—2019，3.1]3.6應(yīng)急置 emergencydisposal對突發(fā)險情、事故、事件等采取緊急應(yīng)對的措施或行動。3.7工業(yè)議紋 industrialprotocolfingerprint用來遠(yuǎn)程識別工業(yè)控制系統(tǒng)（3.5）的設(shè)備硬件、操作系統(tǒng)、運行軟件和網(wǎng)絡(luò)協(xié)議類型等信息的特征參數(shù)。組成工具箱由箱體、應(yīng)急處置終端、輔助工具三部分組成。每部分具體組成如下：輔助工具由安全U盤）型號工具箱型號采用字母數(shù)字表示。它們分別由工具箱代號、分類代號、分級代號、廠商代碼以及系列號五部分組成。QB/T4399TBS注1：參見QB/T4399的相關(guān)規(guī)定，本文件規(guī)定的工具箱的型式為簡易型（H型）。GB/T4754分級代號指的是工具箱的應(yīng)急處置能力級別，采用各級別的英文名稱表示。根據(jù)工具箱面向（Light）（Standard）和增強級（Enhanced）：2注2：關(guān)于工具箱面向不同規(guī)模和級別的應(yīng)急處置對象時的配置水平要求將在后續(xù)系列標(biāo)準(zhǔn)中進(jìn)行規(guī)定。圖1 工具型編規(guī)則示例1：適用于軍工的增強級工具箱型號為：TBS-JG-Enhanced-ABCD-001示例2：適用于電力的輕量級工具箱型號為：TBS-DL-Light-EFGH-28ABS箱體外殼防護(hù)等級(IP)應(yīng)不小于IP54，符合露天、裝置區(qū)和生產(chǎn)廠房等運輸或儲藏環(huán)境的要（）USB2.0，以及RS232、RS422RS485（DVD）功能應(yīng)急處置終端中的現(xiàn)場應(yīng)急處置技術(shù)平臺及輔助工具應(yīng)采用“準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤”應(yīng)急響應(yīng)模型，集成全流程功能模塊及關(guān)鍵數(shù)據(jù)資源，具備工業(yè)信息安全應(yīng)急處置各階段所需的功能模塊。各個功能模塊包含內(nèi)容如下：注：參考NISTSP800-61，應(yīng)急響應(yīng)模型（Prepare-Detection-Containment-Eradication-Recovery-Follow-Up，3PDCERF）將應(yīng)急響應(yīng)流程分成準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤階段。根據(jù)應(yīng)急響應(yīng)總體策略為每個階段定義適當(dāng)?shù)哪康?，明確響應(yīng)順序和過程。應(yīng)急處置終端應(yīng)支持主流工業(yè)主機(jī)、工業(yè)軟件、工業(yè)控制器、物聯(lián)網(wǎng)設(shè)備、工業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和工業(yè)互聯(lián)網(wǎng)平臺等軟硬件系統(tǒng)的識別檢測和應(yīng)急處置功能。現(xiàn)場應(yīng)急處置技術(shù)平臺應(yīng)具備應(yīng)急資源庫，并支持在線、離線更新功能。應(yīng)急資源庫包括但不限于：現(xiàn)場應(yīng)急處置技術(shù)平臺應(yīng)具備數(shù)據(jù)融合分析能力，支持對處置過程中采集數(shù)據(jù)的關(guān)聯(lián)分析和統(tǒng)計對比功能，預(yù)置多種應(yīng)急處置技術(shù)分析報告模板?，F(xiàn)場應(yīng)急處置技術(shù)平臺應(yīng)具備與國家級工控安全遠(yuǎn)程應(yīng)急支援服務(wù)平臺的對接功能，協(xié)同平臺的專家資源、威脅情報和分析引擎等，提供現(xiàn)場處置與遠(yuǎn)程支援相結(jié)合的一體化技術(shù)支撐。對于爆炸危險環(huán)境、高溫高壓、電磁輻射等特殊領(lǐng)域工業(yè)環(huán)境，應(yīng)根據(jù)工具箱的不同類別和級別增加相應(yīng)功能要求。性能現(xiàn)場應(yīng)急處置技術(shù)平臺的正常啟動可靠性應(yīng)大于99.99%?，F(xiàn)場應(yīng)急處置技術(shù)平臺的硬件啟動時間應(yīng)小于3min。應(yīng)急處置終端應(yīng)滿足24h連續(xù)性工作，不發(fā)生故障。應(yīng)急處置終端在額定工況下，續(xù)航時間應(yīng)不小于6h；在借助輔助工具中移動電源的情況下，續(xù)航時間應(yīng)不小于12h?，F(xiàn)場應(yīng)急處置技術(shù)平臺內(nèi)置的應(yīng)急資源庫，應(yīng)預(yù)置工業(yè)協(xié)議指紋不少于50種，包含工業(yè)控制器、工業(yè)組態(tài)軟件等多種工業(yè)資產(chǎn)漏洞不少于105個、工控漏洞不少于800個、惡意代碼特征不少于2×106個；應(yīng)內(nèi)置工業(yè)勒索、挖礦等典型工業(yè)信息安全事件應(yīng)急處置模板不少于5種等。對于爆炸危險環(huán)境、高溫高壓、電磁輻射等特殊領(lǐng)域工業(yè)環(huán)境，應(yīng)根據(jù)工具箱的不同類別和級別增加相應(yīng)性能要求。安全4應(yīng)急處置終端應(yīng)支持身份鑒別、訪問控制、日志審計、通信安全防護(hù)、漏洞檢測和惡意程序防范等安全防護(hù)功能，以保障自身網(wǎng)絡(luò)安全。GB/T39786工具箱應(yīng)確保軟硬件的預(yù)裝及更新安全，宜采用國產(chǎn)操作系統(tǒng)、軟件組件或開源組件進(jìn)行部署集成。GB/T349902060CNASGB/T4208GB/T24363GB/T29766GB/T20280、GB/T37954GB/T20275、GB/T26268、GB/T28451GB/T20945、GA/T911GA/T15365GB/T37079GB/T34990GB16796工具箱檢驗項目分為出廠檢驗和型式檢驗。檢驗項目應(yīng)符合表2的要求。表2檢驗項目檢驗項目序號檢驗內(nèi)容出廠檢驗型式檢驗技術(shù)要求試驗方法基本要求1箱體材料--Δ5.1.16.3.12箱體表面及裝配ΔΔ5.1.2、5.1.36.3.23箱體焊縫ΔΔ5.1.46.3.24箱體外殼ΔΔ5.1.56.3.35應(yīng)急處置終端和輔助工具接口ΔΔ5.1.66.3.4功能1處置功能、適配功能、應(yīng)急資源儲備、分析功能--Δ5.2.1、5.2.2、5.2.3、5.2.46.4.12后端平臺對接--Δ5.2.56.4.23特殊功能