GB/T 33009.4-2016工业自动化和控制系统网络安全集散控制系统(DCS)第4部分：风险与脆弱性检测要求

ICS25040

N10.

中华人民共和国国家标准

GB/T330094—2016

.

工业自动化和控制系统网络安全

集散控制系统DCS

()

第4部分风险与脆弱性检测要求

:

Industrialautomationandcontrolsystemsecurity—

DistributedcontrolsstemDCS—

y()

Part4Riskandvulnerabilitdetectionreuirements

:yq

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T330094—2016

.

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义缩略语

3、、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

风险与脆弱性检测概述

4DCS……………3

系统概述

4.1DCS………………………3

风险与脆弱性检测的目标

4.2DCS……………………5

风险与脆弱性检测基本原则

4.3DCS…………………5

风险与脆弱性检测内容

4.4DCS………………………5

风险与脆弱性检测基本工作单元

4.5DCS……………6

风险与脆弱性检测的执行

4.6DCS……………………7

风险与脆弱性检测结果的处置

4.7DCS………………7

软件安全风险与脆弱性

5DCS……………7

服务器和控制站的操作系统

5.1………………………7

数据库管理系统

5.2……………………8

类软件

5.3OPC………………………10

监控软件

5.4DCS………………………10

组态软件

5.5DCS………………………12

其他软件

5.6……………12

网络通信安全风险与脆弱性

6DCS……………………13

商用以太网协议通信机制

6.1…………13

工业网络协议通信机制

6.2……………13

通信数据安全

6.3DCS…………………14

通信服务

6.4DCS………………………15

状态转换

6.5DCS………………………16

参考文献

……………………17

Ⅰ

GB/T330094—2016

.

前言

工业自动化和控制系统网络安全集散控制系统和工业自动

GB/T33009《(DCS)》GB/T33008《

化和控制系统网络安全可编程序控制器等共同构成工业自动化和控制系统网络安全系列

(PLC)》

标准

。

工业自动化和控制系统网络安全集散控制系统分为个部分

GB/T33009《(DCS)》4:

第部分防护要求

———1:;

第部分管理要求

———2:;

第部分评估指南

———3:;

第部分风险与脆弱性检测要求

———4:。

本部分为的第部分

GB/T330094。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分由中国机械工业联合会提出

。

本部分由全国工业过程测量控制和自动化标准化技术委员会和全国信息安全标

、(SAC/TC124)

准化技术委员会归口

(SAC/TC260)。

本部分起草单位浙江大学浙江中控研究院有限公司机械工业仪器仪表综合技术经济研究所重

:、、、

庆邮电大学中国科学院沈阳自动化研究所西南大学福建工程学院杭州科技职业技术学院北京启

、、、、、

明星辰信息安全技术有限公司中国电子技术标准化研究院国网智能电网研究院中国核电工程有限

、、、

公司上海自动化仪表股份有限公司东土科技股份有限公司清华大学西门子中国有限公司施耐

、、、、()、

德电气中国有限公司北京钢铁设计研究总院华中科技大学北京奥斯汀科技有限公司罗克韦尔自

()、、、、

动化中国有限公司中国仪器仪表学会工业和信息化部电子第五研究所北京海泰方圆科技有限公

()、、、

司青岛多芬诺信息安全技术有限公司北京国电智深控制技术有限公司北京力控华康科技有限公司

、、、、

北京和利时系统工程有限公司中国石油天然气管道有限公司北京匡恩网络科技有限责任公司西南

、、、

电力设计院广东航宇卫星科技有限公司华北电力设计院工程有限公司华为技术有限公司中国电子

、、、、

科技集团公司第三十研究所深圳万讯自控股份有限公司横河电机中国有限公司北京研发中心

、、()。

本部分主要起草人冯冬芹施一明梅恪王玉敏王平王浩高梦州徐珊珊徐皑冬刘枫

:、、、、、、、、、、

许剑新陈平杨悦梅陈建飞还约辉黄家辉贾驰千梁耀刘大龙陆耿虹刘文龙吴彦彪王芳

、、、、、、、、、、、、、

孟雅辉范科峰梁潇王彦君张建军薛百华许斌陈小淙华镕高昆仑王雪周纯杰张莉刘杰

、、、、、、、、、、、、、、

朱毅明王弢孙静胡伯良刘安正田雨聪方亮马欣欣王勇杜佳琳陈日罡李锐刘利民孔勇

、、、、、、、、、、、、、、

黄敏朱镜灵张智张建勋兰昆张晋宾成继勋尚文利钟诚梁猛陈小枫卜志军丁露李琳

、、、、、、、、、、、、、、

杨应良杨磊

、。

Ⅲ

GB/T330094—2016

.

工业自动化和控制系统网络安全

集散控制系统DCS

()

第4部分风险与脆弱性检测要求

:

1范围

的本部分规定了集散控制系统在投运前后的风险和脆弱性检测对软

GB/T33009(DCS)、,DCS

件以太网网络通信协议与工业控制网络协议的风险与脆弱性检测提出具体的要求

、。

本部分适用于对中的下列对象进行脆弱性检测

DCS:

监控软件组态软件数据库软件等中的应用软件

a)、、DCS;

操作员站和控制站等操作系统

b)DCS;

中的具有网络协议实现和网络通信能力的功能和组件

c)DCS。

本部分不适用于智能仪表和工业无线的脆弱性检测

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息安全技术信息系统通用安全技术要求

GB/T20271—2006

信息安全技术信息安全风险评估规范

GB/T20984—2007

信息安全技术信息系统安全等级保护测评过程指南

GB/T28449—2012