2022工业信息安全应急处置工具箱

工业信息安全应急处置工具箱 目 次 前言 II 引言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 组成与型号 2 4.1 组成 2 4.2 型号 2 5 技术要求 3 5.1 基本要求 3 5.2 功能 3 5.3 性能 4 5.4 安全 4 6 试验方法 5 6.1 试验条件 5 6.2 试验工具 5 6.3 基本要求试验 5 6.4 功能试验 5 6.5 性能试验 6 6.6 安全试验 6 7 检验规则 6 7.1 检验项目 6 7.2 出厂检验 6 7.3 型式检验 6 8 标牌、包装、运输和贮存 7 8.1 标牌 7 8.2 包装 7 8.3 运输 7 8.4 贮存 7 参考文献 8 I 工业信息安全应急处置工具箱 1 范围 本文件规定了工业信息安全应急处置工具箱（简称“工具箱”）的组成与型号、技术要求、试验方法，检验规则及标牌、包装、运输和贮存等。 本文件适用于工业信息安全应急处置工具箱的设计、研发、生产、检验检测和验收，可应用于军工、市政、冶金、电力、医药、化工、石油石化、交通运输和机械装备制造等各类工业行业的信息安全应急处置。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 191 包装储运图示标志 GB/T 4208 外壳防护等级（IP代码） GB/T 9969 工业产品使用说明书 总则GB/T 13306 标 牌 GB 16796 安全防范报警设备 安全要求和试验方法 GB/T 20275 信息安全技术 网络入侵检测系统技术要求和测试评价方法GB/T 20280 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 20945 信息安全技术 信息系统安全审计产品技术要求和测试评价方法GB/T 24363 信息安全技术 信息安全应急响应计划规范 GB/T 26268 网络入侵检测系统测试方法 GB/T 28451 信息安全技术 网络型入侵防御产品技术要求和测试评价方法GB/T 29766 信息安全技术 网站数据恢复产品技术要求与测试评价方法GB/T 34990 信息安全技术 信息系统安全管理平台技术要求和测试评价方法GB/T 37079 设备可靠性 可靠性评估方法 GB/T 37954 信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法GB/T 39786 信息安全技术 信息系统密码应用基本要求 GA/T 911 信息安全技术 日志分析产品安全技术要求 GA/T 1536 信息安全技术 计算机主机安全检测产品测评准则QB/T 4399 手提式工具箱 QB/T 5536 工具箱柜通用技术条件 3 术语和定义 下列术语和定义适用于本文件。 3.1 工业信息安全应急处置工具箱 emergency disposal toolbox for industrial information security 集成工业信息安全应急处置全流程所需的软硬件工具，对接国家级工控安全远程应急支援服务平台（3.3）的一体化、工业级的专用型安全产品。 3.2 现场应急处置技术平台 on-site emergency technology platform 8 将集成应急处置所需的各类软件工具和关键数据资源内置于工具箱应急处置终端中的流程化技术平台。 3.3 工控安全远程应急支援服务平台 remote service platform of emergency support for ICS security 集成工业信息安全远程应急支援所需的威胁情报、分析引擎、数据资源、安全专家等功能资源， 为工具箱提供远程技术支撑，为现场应急人员提供远程支援的服务平台。 3.4 信息安全事件 information security incident 与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。 [来源：GB/T 20985.1—2017，3.4] 3.5 工业控制系统 industrial control system 多种工业生产中使用的控制系统。 注： 包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）等，现已广泛应用在工业部门和关键基础设施中。 [来源：GB/T 37962—2019，3.1] 3.6 应急处置 emergency disposal 对突发险情、事故、事件等采取紧急应对的措施或行动。 3.7 工业协议指纹 industrial protocol fingerprint 用来远程识别工业控制系统（3.5）的设备硬件、操作系统、运行软件和网络协议类型等信息的特 征参数。 4 组成与型号 4.1 组成 工具箱由箱体、应急处置终端、辅助工具三部分组成。每部分具体组成如下： a) 箱体为容纳应急处置终端和辅助工具的外壳； b) 应急处置终端为移动式计算机，包括现场应急处置技术平台和各类通讯接口，提供应急处置全流程功能模块及关键数据资源； c) 辅助工具由安全 U 盘（内置各类应急处置软件工具）、加密硬盘、移动电源、网线、串口线、上网卡、加密光盘及刻录设备和微型扫描仪等软硬件工具组成，提供数据取证、备份恢复、 入侵排查、日志分析和应急通讯等功能。 4.2 型号 工具箱型号采用字母数字表示。它们分别由工具箱代号、分类代号、分级代号、厂商代码以及系列号五部分组成。 a) 工具箱代号指的是工具箱名称，按照QB/T 4399中的规定，采用“TBS”表示。 注1：参见QB/T 4399的相关规定，本文件规定的工具箱的型式为简易型（H型）。 b) 分类代号指的是工具箱适用的行业类别，采用行业中文名称的两位大写首字母表示。行业类别可参考GB/T 4754中的相关规定。 c) 分级代号指的是工具箱的应急处置能力级别，采用各级别的英文名称表示。根据工具箱面向不同规模和级别的应急处置对象时的配置水平，工具箱级别可分为轻量级（Light）、标准级 （Standard）和增强级（Enhanced）： 1) 轻量级工具箱可支持单一网域的产线级工业信息安全应急处置任务； 2) 标准级工具箱可支持多网域的集团级工业信息安全应急处置任务； 3) 增强级工具箱可支持涉及多企业的供应链级工业信息安全应急处置任务。 注2：关于工具箱面向不同规模和级别的应急处置对象时的配置水平要求将在后续系列标准中进行规定。 d) 厂商代码指的是工具箱生产厂商的名称，采用厂商中文名称的四位大写首字母表示。 e) 系列号指的是由生产厂商自定义的代码，由一个或多个数字或英文字母表示。工具箱型号编码规则见图1所示。 图1 工具箱型号编码规则 示例1： 适用于军工的增强级工具箱型号为：TBS-JG-Enhanced-ABCD-001 示例2： 适用于电力的轻量级工具箱型号为：TBS-DL-Light-EFGH-28 5 技术要求 5.1 基本要求 5.1.1 箱体应采用抗干扰能力强、防震防抖材料，如 ABS 工程塑料或不低于同等性能的其他材料。 5.1.2 箱体表面应无磕碰伤痕、变形等缺陷；表面涂层完整，无脱漆、起泡、裂纹等现象；内外表面应平整光滑，无凹凸毛刺等现象。 5.1.3 箱体各紧固件应牢固不松动，各装配部件应设计合理，便于安装和维修拆卸。 5.1.4 箱体焊缝应均匀牢固，无气孔、夹渣、烧穿等缺陷。 5.1.5 箱体外壳防护等级(IP)应不小于 IP54，符合露天、装置区和生产厂房等运输或储藏环境的要求。 5.1.6 应急处置终端和辅助工具应具备支持以太网口（千兆以上）、光纤接口、USB2.0，以及 RS232、RS422 和 RS485 串行接口等常见通讯接口，具备带刻录功能的高密度数字视频光盘（DVD）光驱等。 5.2 功能 5.2.1 处置功能 应急处置终端中的现场应急处置技术平台及辅助工具应采用“准备、检测、抑制、根除、恢复、跟踪”应急响应模型，集成全流程功能模块及关键数据资源，具备工业信息安全应急处置各阶段所需的功能模块。各个功能模块包含内容如下： a) 准备阶段：包含应急资源库更新升级等； b) 检测阶段：包含漏洞检测、工业协议解析等； c) 抑制阶段：包含镜像备份、证据固定等； d) 根除阶段：包含流量分析、日志分析、进程分析、恶意代码检测、病毒查杀和融合分析等； e) 恢复阶段：包含数据恢复、预置应急处置模板等； f) 跟踪阶段：包含预置应急处置技术分析报告模板等。 注： 参考NIST SP800-61，应急响应模型（Prepare-Detection-Containment-Eradication-Recovery-Follow-Up， PDCERF）将应急响应流程分成准备、检测、抑制、根除、恢复、跟踪阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。 5.2.2 适配功能 应急处置终端应支持主流工业主机、工业软件、工业控制器、物联网设备、工业网络设备、安全设备和工业互联网平台等软硬件系统的识别检测和应急处置功能。 5.2.3 应急资源储备 现场应急处置技术平台应具备应急资源库，并支持在线、离线更新功能。应急资源库包括但不限于： a) 工业信息安全漏洞库； b) 协议指纹库； c) 恶意代码库； d) 应急处置模板库； e) 知识库。 5.2.4 分析功能 现场应急处置技术平台应具备数据融合分析能力，支持对处置过程中采集数据的关联分析和统计对比功能，预置多种应急处置技术分析报告模板。 5.2.5 后端平台对接 现场应急处置技术平台应具备与国家级工控安全远程应急支援服务平台的对接功能，协同平台的专家资源、威胁情报和分析引擎等，提供现场处置与远程支援相结合的一体化技术支撑。 5.2.6 特殊功能要求 对于爆炸危险环境、高温高压、电磁辐射等特殊领域工业环境，应根据工具箱的不同类别和级别增加相应功能要求。 5.3 性能 5.3.1 可靠性与敏捷性 现场应急处置技术平台的正常启动可靠性应大于99.99%。现场应急处置技术平台的硬件启动时间应小于3 min。应急处置终端应满足24 h连续性工作，不发生故障。 5.3.2 续航与供电 应急处置终端在额定工况下，续航时间应不小于6 h；在借助辅助工具中移动电源的情况下，续航时间应不小于12 h。 5.3.3 应急资源库容量 现场应急处置技术平台内置的应急资源库，应预置工业协议指纹不少于50种，包含工业控制器、工业组态软件等多种工业资产漏洞不少于105个、工控漏洞不少于800个、恶意代码特征不少于2 × 106 个；应内置工业勒索、挖矿等典型工业信息安全事件应急处置模板不少于5种等。 5.3.4 特殊性能要求 对于爆炸危险环境、高温高压、电磁辐射等特殊领域工业环境，应根据工具箱的不同类别和级别增加相应性能要求。 5.4 安全 5.4.1 网络安全 应急处置终端应支持身份鉴别、访问控制、日志审计、通信安全防护、漏洞检测和恶意程序防范等安全防护功能，以保障自身网络安全。 5.4.2 数据安全 应急处置终端