GA/T 1559-2019标准规范下载简介
GA/T 1559-2019 信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求ICS 35.240 A90
GA/T XXXXXXX>
信息安全技术工业控制系统软件脆弱性扫
on security technology Security technical requirements for industrial control systemsoftwarevulnerabilityscanners
GB/T 41758.1-2022 塑料 聚酮(PK)模塑和挤出材料 第1部分:命名系统和分类基础人民共和国公安部 发#
GA/T XXXXXXXX
范围 规范性引用文件 3术语和定义 1缩略语.. 5总体说明, 5.1安全技术要求分类 5.2安全等级划分 5安全功能要求 6.1信息获取 6.2脆弱性扫描内容 6.3扫描结果分析处理 6.4扫描配置 6.5目标对象的安全性 6.6升级能力 6.7扫描IP地址限制 6.8自身安全要求 7安全保障要求 7.1开发. 7.2指导性文档 7.3生命周期支持 7.4测试 7.5脆弱性评定 不同安全等级的要求 8.1安全功能要求 8.2安全保障要求
GA/T XXXXXXXX
本标准规定了工业控制系统软件脆弱性扫描产品的安全功能要求、安全保障要求和等级划分要求。 本标准适用于工业控制系统软件脆弱性扫描产品的设计、开发和测试。
下列缩略语适用于本文件。 DCS:集散控制系统(DistributedControlSystem) HMI:人机接口(HumanMachineInterface) PLC:可编程逻辑控制器(ProgrammableLogicController) SCADA:数据采集与监控系统(SupervisoryControlAndDataAcquisition)
GA/I XXXXXXXX
5.1安全技术要求分类
5. 2 安全等级划分
工业控制系统软件脆弱性扫描产品的安全等级按照其安全功能要求和安全保障要求的强度划分为 基本级和增强级,其中安全保障要求参考了GB/T18336.3一2015。
6.1.1支撑系统信息
应能对工业控制系统软件所在支撑平台的操作系统类型、版本号进行探测,能够获取已开 TCP/IP服务的旗标
6. 1. 2 开放端口
应能探测到工业控制系统软件所在操作系统开放的TCP、UDP端口,并能判断相应端口对 服务或使用的协议
6. 2脆弱性扫描内容
6. 2. 1漏洞发现
能发现公开的工业控制系统软件的安全脆弱性间
6. 2. 2 漏洞挖掘
应能发现未知的工业控制系统软件的安全脆弱
应能采用字典或穷举等方法检查系统用户口令的健壮性,检查项目应包括: a)系统是否使用了用户名称经过简单变换后的口令; b)系统是否使用了易猜测口令。
6. 2. 4 文件共享
应能检查文件共享机制,发现危险的设置,检查项目应包括: a)重要目录被共享; b)共享目录可被名用户写入: c)是否使用了缺省或过于简单的共享口令
6.3扫描结果分析处理
6.3. 1扫描结果浏览及导出
应提供扫描结果浏览功能,并支持对扫描结 果数据进行导出操作
能根据扫描结果生成相应的报告,报告具备要求包括如下内容: a) 各脆弱点的漏洞名称、漏洞描述、影响范围等; b) 目标的风险等级评估,将扫描脆弱点按风险严重程度分级,并明确标出; C) 多个目标扫描后的结果的总体报告; d)对脆弱性扫描信息可生成摘要报告; e)应可输出为通用的文档格式。
6. 3. 3报告定制
应提供报告内容定制功能。
6.3.4脆弱性修补建议
能对发现的脆弱性提出修补建议, 脆弱性修补建议满足下列要求: 对不同的安全脆弱性问题提出针对性的脆弱性修补方法; 脆弱性描述应详细,提供的脆弱性修补方法应确保其合理性和可用性
DB1305/T 29-2021 美丽乡村 传统村落保护与利用.pdf6. 3. 5 结果比对
GA/T XXXXXXXX
应提供对同一目标多次扫描结果或者不同主机间扫描结果的比对功能,并能根据比对结果生成 告。
6. 4. 1扫描策略
6. 4. 2 向导功解
应提供向导功能TB/T 2965-2018 铁路桥梁混凝土桥面防水层,方便用户进行扫描策略配置!
定制扫描计划,可以定时启动或者按周期执行扫