4.1.2.3安全性要求

GB/T 33009.42016

DCS具有安全性要求。DCS一般部署在重要的生产领域，系统不允许出现安全事故。

建筑标准规范范本4.1.2.4完整性要求

4.1.2.5稳定性要求

DCS具有稳定性要求。DCS一且工作不稳定，将存在严重的威胁，导致大批的不合格产品流出 加剧设备的损耗等。

4.1.2.6高可靠性要求

DCS具有可靠性要求。DCS能够在规定的条件下，长期正常执行其设定的控制功能，期间不 生停车，且具有很好的耐久性和可维修性

4.2DCS风险与脆弱性检测的耳标

DCS风险与脆弱性检测的目的是在DCS安全风险评估的基础上，通过对DCS系统的软件和系统 通信安全的风险和脆弱性检测，发现现有DCS中潜在的安全风险和脆弱性。企业通过对潜在风险的处 置，进一步提高DCS系统的安全性。DCS风险与脆弱性检测是对DCS安全风险评估工作的补充和扩 展，主要用于对DCS系统安全性要求较高的行业和用户，

4.3DCS风险与脆弱性检测基本原则

DCS进行风险与脆弱性检测时，应不明显影响原有系统的实时性、可用性、可靠性、安全性 （safety），而且检测应从系统的实时性、可用性、可靠性、安全性（safety）角度出发。对于DCS软件安全 风险与脆弱性的各项测试内容建议在离线或模拟环境下执行；DCS网络通信协议安全风险与脆弱性的 检测，为确保其有效性，建议在网络结构完整的DCS环境下进行，如在相同网络结构的模拟系统或目标 OCS系统检修期间。本部分的建立旨在对DCS软件安全和网络通信的风险与脆弱性进行检测，使 DCS满足DCS运行安全总体要求，

4.4DCS风险与脆弱性检测内容

风险与脆弱性检测是DCS用户发起的，可由发起方实施或委托DCS安全服务组织支持实施。测 试内容的选择宜以检测项为单位进行，以免破坏单个测试项的完整性。检测内容包括以下几个方面： a） DCS软件安全风险与脆弱性 1 服务器和控制站的操作系统（见5.1）。 2） 数据库管理系统（见5.2）。 3） OPC类软件（见5.3）。 4） DCS监控软件（见5.4）。 5） DCS组态软件（见5.5）。 6 其他软件（见5.6）。 b） DCS网络通信安全风险与脆弱性 1） 商用以太网协议通信机制（见6.1）。 2）工业网络协议通信机制（见6.2）

3）DCS通信数据安全（见6.3）。 4）DCS通信服务（见6.4）。 5）DCS 状态转换(见 6.5)。

4.5DCS风险与脆弱性检测基本工作单元

根据DCS对稳定性、实时性和安全性的要求，结合GB/T28449一2012关于信息系统安全等级 则试工作单元的描述，建立DCS的安全检测工作单元。安全检测工作单元是DCS安全检测的基 作单位，对应一组相对独立和完整的检测内容。DCS安全检测工作单元由检测项、检测对象、检测 检测实施和结果判定组成，如图2所示

图2检测工作单元构成

检测项：描述检测目的和检测内容，提出具体的技术和管理要求。 检测对象：检测实施过程中涉及DCS的组成以及相关的操作与管理人员，是客观存在的人员、文 档、通信机制或者设备等。检测对象是根据该工作单元中的检测项要求提出的。一般来说，实施检测时 面临的具体检测对象可以是单个人员、文档、通信机制或者设备等，也可能是由多个人员、文档、通信机 制或者设备等构成的集合，它们分别需要使用某个特定安全控制的功能。 检测方式：检测人员依据检测目的和检测内容选取的、实施特定检测操作的方式方法；一般包括三 种基本检测方式：访谈、检查和测试。访谈是指检测人员与被测DCS系统有关人员（个人/群体）进行交 流、讨论等活动，获取相关证据，了解有关信息。检查可分为文档审查、配置检查和实地查看等几种具体 方法。文档审查是指检查操作规程、安全管理策略等文档是否齐备，是否有完整的制度执行情况记录 （如机房出入登记表）等。配置检查是指检查与DCS相关的系统、设备等是否配置正确。实地查看是指 检测人员到DCS系统运行现场通过实地观察人员行为、技术设施和物理环境判断人员的安全意识、业 务操作、管理程序等方面的安全情况。测试是指利用技术工具进行测试。 检测实施：工作单元的主要组成部分。它是依据检测目的，针对检测内容开发出来的具体的检测执 行实施的要求，涉及具体的检测方式、检测对象和操作过程。在描述检测实施过程中使用助动词“应（应 该）”，表示这些过程是强制性活动，检测人员作出结论必须完成这些过程；使用助动词“可（可以）”表示 这些过程是非强制性活动，对检测人员作出结论没有根本性影响，检测人员可根据实际情况选择完成。 本部分中的检测措施都是重要且需被考虑的，但是宜根据DCS的实际应用场景、企业或组织的DCS安 全要求确定检测措施是否合适，选择切实可行的检测措施。 结果判定：描述检测人员执行检测操作得到各种检测证据后，如何依据这些检测证据来判定被测系

是否满足检测项要求。在给出整个工作单元的检测结论前，需要先给出单个检测实施项的结论！ 来说，单个检测实施项的结论判定常常需要检测人员的主观判断，通常认为取得正确的、关键性证 该检测实施项就得到满足。

4.6DCS风险与脆弱性检测的执行

对于尚未部署和实施的DCS系统，DCS风险与脆弱性检测可以选择在DCS投产运行前，安全评估 后进行。 对于在现有DCS基础上进行升级或新增扩展功能的DCS，建议在新旧系统联调测试前对新增系统 部分进行风险与脆弱性检测。在新旧联调阶段对受影响的DCS关键组件和网络通信功能进行风险与 抢弱性检测。 对于在役运行的系统，可选择在DCS升级改造后或检修、停运时进行风险与脆弱性检测。实际环 境所限无法在运行环境中进行的风险与脆弱性检测项，可以在模拟环境中进行检测。

4.7DCS风险与脆弱性检测结果的处置

5DCS软件安全风险与脆弱性

5.1服务器和控制站的操作系统

种用户资源和DCS系统资源。操作系统以文件的形式对DCS的硬件资源和软件资源进行管理。文件 类型包括数据文件、可执行文件、配置文件等。 根据DCS对稳定性、实时性和安全性的要求，结合GB17859一1999所列安全要素和 GB/T20271一2006关于信息系统安全功能要素的描述，本条款重点检测DCS的主要操作节点（工程师 站、操作员站、数据库服务器、OPC服务器等连接在监控层和控制层上的人机会话接口站点）的操作系 统在系统类型版本、补丁更新、账户管理、身份鉴别等方面的脆弱性。

检测项包括但不仅限于： a）操作系统类型和版本； b）操作系统补丁更新；

检测项包括但不仅限于：

5.1.4检测方式与实施

检测方式与实施包括但不仅限于： 应访谈操作系统管理人员，检查操作系统类型和版本是否经过安全认证； b）应查看操作系统补丁更新记录，检查操作系统是否进行及时的补丁更新； 应检查普通用户账户的账户权限，确定普通用户是否无法对操作系统的安全设置、系统文件和 软件安装与卸载进行人为的更改与十预； d 应检查每一个授权账户的密码是否包含有限时间的有效期，确保该账户逾期无法登录； e 应检查员工职位变动后，是否删除与该员工相关的原账户； 应检查账户的授权与注销是否由相关的安全管理人员按照安全管理规范进行集中管理； 应检查是否对账户口令设置进行强制规定，如口令应具有一定的长度，并使用数字、大小写字 母和特殊字符的组合，以及口令不能与个人信息相关等； h） 应检测系统是否能阻止非授权用户的访问； 1） 应检测是否存在隐蔽信道，并确认信道危害在系统可容忍范围内； ） 应检查系统日志是否准确记录系统事件、账户登录次数和时间与账户访问对象； k 应检查系统的安全审计记录是否完整；检测系统能否保护审计记录不被未授权的访问、修改和 破坏；

如果5.1.4a)1)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合或部 分符合本单元检测指标要求

数据库管理系统为DCS的数据采集、操作、监视、报表生成、报警、记录等功能提供支持。DCS数据 库管理系统包括实时数据库，报警数据库和历史数据库等。 根据DCS对稳定性、实时性和安全性的要求，结合GB17859一1999所列安全要素和 GB/T20271一2006关于信息系统安全功能要素的描述，本条款重点检测DCS数据库管理系统对过滤 恶意输人数据、数据连接安全、数据完整性、抵御DoS攻击等方面的脆弱性

检测项包括但不仅限于！

a) 软件类型和版本； b) 软件完整性； 身份鉴别； d) 访问控制； e) 系统服务； f) 数据连接： g) 用户数据完整性； h) 用户数据保密性； i) 恶意输人； j) 补丁更新； k) 服务拒绝漏洞； 溢出漏洞。

5.2.4检测方式与实施

检测方式与实施包括但不仅限于： a） 应访谈数据库管理人员，询问数据库软件的软件版本、软件授权属性，确认其为官方发布的正 式版； b）应检查数据库管理系统功能实现所需的组件或文件的完整性，检测文件的大小及安装时间； c）应访谈数据库管理员，询问数据库软件的身份标识与鉴别机制采取何种措施实现； d）应检查数据库管理系统的鉴别信息是否具有不易被冒用的特点，口令的易猜测程度和复杂程 度，确认登录用户和数据访问用户的口令是否相同，口令是否同时包括数字、大小写字母和符 号三种字符，长度是否满足规定要求； e） 应检测数据库管理系统能否根据不同的操作和对象，开放不同的访问权限，并限制具有某一权 限的用户将该权限传给其他用户； 检测数据库服务器上是否启动DCS中未使用的服务； g 应访谈数据库管理人员，询问是否采用了远程管理。若采用远程管理，查看是否采用了防止鉴 别信息在网络传输过程中被窃听的措施； h） 应检测数据库管理系统中用户数据的数据完整性； i 应检测数据库管理系统中数据库传输、储存的用户数据的保密性； j）通过构造格式错误的恶意非法输人，检测数据库管理系统的响应情况； k）应查看数据库管理系统补丁更新记录，检查数据库管理系统是否进行及时的补丁更新； 1） 检测数据库管理系统在DoS攻击下的可靠性和实时性，是否满足企业或组织的要求；验证数 据库管理系统在被攻击环境下的数据操作响应时延； m）检测数据库管理系统的堆/栈溢出漏洞

OPC类软件用于实现不同控制系统之间的数据交换，能够实现HMI工作站、企业数据库、ERP系 统和其他面向企业的软件应用之间的数据交换。 根据DCS对稳定性、实时性和安全性的要求，结合GB17859一1999所列安全要素和 GB/T20271一2006关于信息系统安全功能要素的描述，本条款重点检测OPC类软件（服务器与客户 端）在访问控制、数据完整性等方面的脆弱性。

检测项包括但不仅限于： a) 软件版本和类型； 软件完整性； c) 身份鉴别； d) 恶意输人； e) 补丁更新； D 服务拒绝漏洞； 溢出漏洞。

DCS中OPC类软件服务器端、客户端

DCS中OPC类软件服务器端、客户端

5.3.4检测方式与实施

检测方式与实施包括但不仅限于： a 应访谈OPC类软件管理人员，询问OPC类软件的软件版本、软件授权属性，确认其为官方发 布的正式版； b） 检测OPC类软件功能实现所需的组件或文件的完整性； C 访谈OPC类软件管理人员，询问OPC类软件的身份标识与鉴别机制采取何种措施实现，检测 关键OPC类软件是否提供身份鉴别措施； d） 检测OPC类软件口令的易猜测程度和复杂程度是否满足企业或组织的密码管理要求； e） 通过构造格式错误的恶意非法输入，检测数据库软件的响应情况； f 应查看OPC类软件补丁更新记录，检查数据库软件是否进行及时的补丁更新； g） 检测在DoS攻击下，OPC类软件的可靠性和实时性；验证软件在被攻击状态下数据响应的时 延是否在可接受范围内，是否出现不响应请求的情况； h） 检测OPC类软件的堆/栈溢出漏洞。

如果5.3.4a)～h)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合或 奇合本单元检测指标要求。

监控软件用于实现对整个生产过程的监控。监控软件反映的生产过程信息直接影响操作员对整个

生产过程状态的认识和判断。监控软件反应信息的真实性对操作员的决策行为至关重要。 根据DCS对稳定性、实时性和安全性的要求，结合GB17859一1999所列安全要素和 GB/T20271一2006关于信息系统安全功能要素的描述，本条款重点检测监控软件在身份鉴别、数据完 整性、真实反映现场信息等方面的脆弱性

检测项包括但不仅限于： 软件版本和类型； b) 软件完整性； c) 身份鉴别； d) 恶意输人； e) 信息真实性； f) 服务拒绝漏洞； g) 异常告警； h) 监控数据保密性； i）溢出漏洞。

检测项包括但不仅限于： a）软件版本和类型； b) 软件完整性； c） 身份鉴别； d）恶意输人； e）信息真实性； f) 服务拒绝漏洞； 异常告警； 监控数据保密性； i) 溢出漏洞。

5.4.4检测方式与实施

检测方式与实施包括但不仅限于： a）应访谈DCS监控软件管理人员，询问监控软件的软件版本、软件授权属性，确认其为官方发布 的正式版； b）检测监控软件功能实现所需的组件或文件的完整性； c）访谈监控软件管理人员，询问监控软件的身份标识与鉴别机制采取何种措施实现，检测关键软 件是否提供身份鉴别措施； d） 检测监控软件口令的易猜测程度和复杂程度，确认口令复杂程度是否满足要求； e）通过构造格式错误的恶意非法输入，检测监控软件的响应情况； 检测现场生产过程和设备状态信息与监控软件显示的信息的相符性； g）检测在DoS攻击下，监控软件的可靠性和实时性；验证软件在被攻击状态下数据响应的时延 是否在可接受范围内，是否出现不响应请求的情况； h 在出现实时数据异常等情况时，检测监控软件是否能正常告警，并将异常数据记录到日志中； 应检查是否对数据进行分类处理，并针对不同数据类型进行不同程度的保密性，检测除具有 访问权限的合法用户外的其他用户是否能访问保密性数据； 1 检测监控软件的堆/栈溢出漏洞

如果5.4.4a）～j)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合 符合本单元检测指标要求

GB/T33009.4—2016

5.5 DCS 组态软件

组态软件一般安装于工程师站，用于实现对DCS的应用组态。通用的DCS经过组态成为针对特 定具体控制应用的可运行系统， 根据DCS对稳定性、实时性和安全性的要求，结合GB17859一1999所列安全要素和 GB/T20271一2006关于信息系统安全功能要素的描述，本条款重点检测组态软件在身份鉴别、数据完 整性等方面的脆弱性。

检测项包括但不仅限于： a) 软件版本和类型； b) 软件完整性； c) 身份鉴别； d) 恶意输入； e) 组态下载验证； f) 服务拒绝漏洞； 溢出漏洞。

DCS工程师站、DCS操作员站。

5.5.4检测方式与实施

如果5.5.4a)～h)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合或部 分符合本单元检测指标要求。

CS的其他软件的检测，可参照上述软件的检测方

6DCS网络通信安全风险与脆弱性

6.1商用以太网协议通信机制

GB/T33009.4—2016

商用以太网通信协议的实现都具有不同程度的脆弱性，应该对DCS中广泛存在的商用以太网 议进行脆弱性检测。商用以太网协议通信机制检测针对DCS过程监控层网络与上层网络结构 议服务的事件机制进行脆弱性检测，

检测项包括但不仅限于： a）商用以太网协议的实现； b）商用以太网协议和TCP/IP协议的健壮性

检测项包括但不仅限于： 商用以太网协议的实现； b）商用以太网协议和TCP/IP协议的健壮性

DCS过程监控层网络所应用的商用以太网协议和TCP/IP协议。

6.1.4检测方式与实施

检测方式与实施包括但不仅限于： a）应访谈DCS系统安全管理员，询问是否存在相应措施防止过程监控层用户私自连接到外部网 络的行为； b） 应询问DCS系统安全管理员，在过程监控层和企业管理层之间的通信边界是否具有相应的安 全防护措施，检测这些措施对网络“非法连接”“非法访向”是否有效； c 应检测所应用的以太网协议和TCP/IP协议抵抗强度测试的能力，是否满足企业或组织的安 全要求； d）应检测所应用的以太网协议和TCP/IP协议抵抗模糊测试的能力，是否满足企业或组织的安 全要求； 应检测所应用的以太网协议和TCP/IP协议抵抗语法测试的能力，是否满足企业或组织的安 全要求

如果6.1.4b）～e)均满足要求，则DCS系统符合本单元测评指标要求。否则，信息系统不符合 符合本单元测评指标要求。

6.2工业网络协议通信机制

常用的DCS工业网络通信协议在制定的时候未考虑安全因素，并且在控制设备上进行远程操控命 令并不需要传统意义上的任何鉴别。对工业网络协议的检测主要从协议的实现是否满足通信协议本身 规定的要求，以及协议会对网络实时性、可靠性、稳定性的影响出发。针对不同工业网络协议，其具体的 检测方法可由检测机构与产品供应商、系统集成商、生产商以及协议制定者共同商讨确认，

检测项包括但不仅限于： a）工业网络协议的实现； b）工业网络协议的健壮性。

检测对象为工业网络协议

5.2.4检测方式与实施

检测方式与实施包括但不仅限于： a）在工业网络协议的硬件实现检测方面，宜检测物理层信号实现和数据链路层实现的相关功能， 是否满足协议规定的通信目标； b）在工业网络协议的软件实现检测方面，宜检测协议中的时钟同步机制在软件实现上是否满足 协议规定的要求，其时钟同步精度是否满足企业或组织的业务需求； 宜检测协议软件实现的仲裁机制是否能在企业或组织规定的时间内解决总线竞争冲突，实现 畅通的数据通信； d）宜检测协议软件实现的错误校验机制，能否及时发现并处理通信数据异常，及错误校验机制对 DCS系统性能的影响是否在企业或组织生产要求的可接受范围； e 宜检测协议软件实现的状态转换机制，在协议运行过程中是否会进行相应的状态转换，使协议 按照预定的目标运行； 宜检测所应用的工业网络协议抵抗强度测试的能力，是否满足企业或组织的安全要求； g） 宜检测所应用的工业网络协议抵抗模糊测试的能力，是否满足企业或组织的安全要求 宜检测所应用的工业网络协议抵抗语法测试的能力，是否满足企业或组织的安全要求

由于不向的工业网络协议具有不同的通信机制， 上述所给的检测实施项可作为检测工业网络协 性的一种参考。检测第三方或检测机构可根据DCS所使用的工业网络协议，选择其中的检测项 若这些检测项均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合或部分 单元检测指标要求，

6.3DCS通信数据安全

议通信数据应该满足数据的完整性、保密性与可

检测项包括但不仅限于： a）DCS通信协议数据的完整性； b）DCS通信协议数据的保密性； c）DCS通信协议数据的可用性

检测项包括但不仅限于： a）DCS通信协议数据的完整性； b）DCS通信协议数据的保密性； c）DCS通信协议数据的可用性。

6.3.4检测方式与实施

GB/T 33009.42016

检测方式与实施包括但不仅限于： a） 询问现场工作人员，确认是否对DCS中过程监控层网络和现场设备层网络中传输的协议报文 数据具有完整性校验措施； 应检测对传输过程的通信协议数据进行篡改、删除、插人等操作时，DCS系统能否及时正确的 识别异常数据； 询问现场安全管理人员，是否具有相应的加密措施保证DCS系统重要生产信息数据的安全 性，防止其泄露； 1 应检测DCS系统加密机制的安全性以及加密对系统实时性、可靠性、可用性等的影响； 应检测记录DCS中重要的生产信息数据的存储资源的保密性和安全性。

6.3.4b）、d)～e)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合 合本单元检测指标要求

如果6.3.4b)、d)～e)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不 部分符合本单元检测指标要求。

为了实现应用软件与现场设备的数据通信，DCS通信协议规定了多种服务，比如读/写设备信息、 设置设备属性等。DCS通信服务检测主要检测这些服务数据区中的有关设备自身的信息（如设备地 址、设备属性等）的安全性，保证请求服务的正确性。

检测项包括但不仅限于： a）DCS设备地址的唯一存在性； b）DCS设备配置信息的完整性与修改合法性； c）DCS设备可用性； d）DCS设备活跃端口和服务的合理性

检测对象为DCS通信设备

检测对象为DCS通信设备

6.4.4检测方式与实施

检测方式与实施包括但不仅限于： a） 访问DCS工程师站技术人员，在系统组态完毕后是否对DCS系统中设备的物理或者逻辑： 址的存在性和唯一性进行核实与确认； b） 应检测DCS设备，验证是否可以对设备的地址信息进行非授权访问、修改或删除； C 询问DCS工程师站技术人员是否具有对DCS设备配置信息的完整性和修改合法性的保护 施以及合法性校验；检测破坏DCS配置信息时，DCS系统能否及时发现并告警，以及检 DCS系统是否充许非法的配置信息修改； d 检测当DCS设备不能正常工作时，DCS系统是否具备失效保护和余机制，保证DCS系统 常运作：

检测方式与实施包括但不仅限于： a 访问DCS工程师站技术人员，在系统组态完毕后是否对DCS系统中设备的物理或者逻辑地 址的存在性和唯一性进行核实与确认； b） 应检测DCS设备，验证是否可以对设备的地址信息进行非授权访问、修改或删除； C 询问DCS工程师站技术人员是否具有对DCS设备配置信息的完整性和修改合法性的保护措 施以及合法性校验；检测破坏DCS配置信息时，DCS系统能否及时发现并告警，以及检测 DCS系统是否充许非法的配置信息修改； d) 检测当DCS设备不能正常工作时，DCS系统是否具备失效保护和穴余机制，保证DCS系统正 常运作；

确认DCS设备中活跌的通信端口以 口和服务关闭

如果6.4.4b)～d)均满足要求，则DCS系统符合本单元检测指标要求。否则，信息系统不符合或部 分符合本单元检测指标要求

在技术条件允许的情况下，根据DCS的组态配置、实时测量数据采集、控制指令输出等报 对DCS状态转换进行检测，以确认DCS按照正常的流程安全运行

剪力墙标准规范范本检测项包括但不仅限于： a）DCS运行操作过程的状态转换功能； b）DCS网络通信过程的状态转换功能。

检测项包括但不仅限于： a）DCS运行操作过程的状态转换功能； b）DCS网络终通信过程的状态转换功能。

工程师站、DCS控制器、工控网络（现场总线通信

6.5.4检测方式与实施

检测方式与实施包括但不仅限于： a 在给定测量信号的情况下，检测DCS是否按照系统设计的要求，进行控制运算，控制指令发出 等操作； b）在DCS输人输出点数超过系统设计上限的情况下，检测DCS是否按照设定的目标采集输入 信号，运算并发出控制指令； c） 对于具有通信能力的DCS组件（如操作员站、工程师站、OPC服务器、OPC客户端、DCS控制 器、输入输出模块、通信控制器等），分别在网络流量为正常负荷、过载负荷、满负荷的情况下， 检测DCS组件是否正常工作，以及DCS组件的工作状态是否按设定的流程进行转换； d）对于具有通信能力的DCS组件（如操作员站、工程师站、OPC服务器、OPC客户端、DCS控制 器、输入输出模块、通信控制器等），在异常报文、异常流量的情况下，检测DCS组件是否正常 工作，以及DCS组件的工作状态是否按设定的流程讲行转换

如果6.5.4a)～d)均满足要求，则DCS系统符合本单元检测指标要求；否则，信息系统不 分符合本单元检测指标要求，

商业标准GB/T33009.4—2016