II工業信息安全應急處置工具箱目次前言 II引言 III1范圍 12規性用件 13術和義 14組與號 24.1成 24.2號 25技要求 35.1本求 35.2能 35.3能 45.4全 46試方法 5驗件 5驗具 5本求驗 5能驗 5能驗 6全驗 67檢規則 6驗目 6廠驗 6式驗 68標、裝運和存 78.1牌 78.2裝 78.3輸 78.4存 7參考獻 8PAGEPAGE1工業信息安全應急處置工具箱范圍本文件規定了工業信息安全應急處置工具箱（簡稱“工具箱”）的組成與型號、技術要求、試驗方法，檢驗規則及標牌、包裝、運輸和貯存等。本文件適用于工業信息安全應急處置工具箱的設計、研發、生產、檢驗檢測和驗收，可應用于軍工、市政、冶金、電力、醫藥、化工、石油石化、交通運輸和機械裝備制造等各類工業行業的信息安全應急處置。下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T191包裝儲運圖示標志GB/T4208（IPGB/T9969GB/T13306GB16796安全防范報警設備安全要求和試驗方法GB/T20275信息安全技術網絡入侵檢測系統技術要求和測試評價方法GB/T20280信息安全技術網絡脆弱性掃描產品測試評價方法GB/T2094524363GB/T26268網絡入侵檢測系統測試方法GB/T28451GB/T29766GB/T34990設備可靠性可靠性評估方法GB/T37954信息安全技術工業控制系統漏洞檢測產品技術要求及測試評價方法GB/T39786信息安全技術信息系統密碼應用基本要求GA/T911信息安全技術日志分析產品安全技術要求GA/T1536信息安全技術計算機主機安全檢測產品測評準則QB/T4399手提式工具箱QB/T5536工具箱柜通用技術條件下列術語和定義適用于本文件。3.1工業信息安全應急處置工具箱 emergencydisposaltoolboxforindustrialinformationsecurity集成工業信息安全應急處置全流程所需的軟硬件工具，對接國家級工控安全遠程應急支援服務平臺（3.3）的一體化、工業級的專用型安全產品。3.2現場應急處置技術平臺on-siteemergencytechnologyplatform將集成應急處置所需的各類軟件工具和關鍵數據資源內置于工具箱應急處置終端中的流程化技術平臺。3.3工控全程急援務平臺 remoteserviceplatformofemergencysupportforsecurity集成工業信息安全遠程應急支援所需的威脅情報、分析引擎、數據資源、安全專家等功能資源，為工具箱提供遠程技術支撐，為現場應急人員提供遠程支援的服務平臺。3.4信息安全事件informationsecurityincidentGB/T20985.1—2017，3.4]3.5工業控制系統industrialcontrolsystem多種工業生產中使用的控制系統。注：包括監控和數據采集系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）等，現已廣泛應用在工業部門和關鍵基礎設施中。[來源：GB/T37962—2019，3.1]3.6應急處置emergencydisposal對突發險情、事故、事件等采取緊急應對的措施或行動。3.7工業協議指紋industrialprotocolfingerprint用來遠程識別工業控制系統（3.5）的設備硬件、操作系統、運行軟件和網絡協議類型等信息的特征參數。組成工具箱由箱體、應急處置終端、輔助工具三部分組成。每部分具體組成如下：輔助工具由安全U盤）型號QB/T4399TBS注1：參見QB/T4399的相關規定，本文件規定的工具箱的型式為簡易型（H型）。GB/T4754分級代號指的是工具箱的應急處置能力級別，采用各級別的英文名稱表示。根據工具箱面向（Light）（Standard）和增強級（Enhanced）：注2：關于工具箱面向不同規模和級別的應急處置對象時的配置水平要求將在后續系列標準中進行規定。圖1工具箱型號編碼規則示例1：適用于軍工的增強級工具箱型號為：TBS-JG-Enhanced-ABCD-001示例2：適用于電力的輕量級工具箱型號為：TBS-DL-Light-EFGH-28ABS箱體外殼防護等級(IP)應不小于IP54，符合露天、裝置區和生產廠房等運輸或儲藏環境的要（）USB2.0，以及RS232、RS422RS485（DVD）功能應急處置終端中的現場應急處置技術平臺及輔助工具應采用“準備、檢測、抑制、根除、恢復、跟蹤”應急響應模型，集成全流程功能模塊及關鍵數據資源，具備工業信息安全應急處置各階段所需的功能模塊。各個功能模塊包含內容如下：注：參考NISTSP800-61，應急響應模型（Prepare-Detection-Containment-Eradication-Recovery-Follow-Up，PDCERF）將應急響應流程分成準備、檢測、抑制、根除、恢復、跟蹤階段。根據應急響應總體策略為每個階段定義適當的目的，明確響應順序和過程。應急處置終端應支持主流工業主機、工業軟件、工業控制器、物聯網設備、工業網絡設備、安全設備和工業互聯網平臺等軟硬件系統的識別檢測和應急處置功能。現場應急處置技術平臺應具備應急資源庫，并支持在線、離線更新功能。應急資源庫包括但不限于：現場應急處置技術平臺應具備數據融合分析能力，支持對處置過程中采集數據的關聯分析和統計對比功能，預置多種應急處置技術分析報告模板。現場應急處置技術平臺應具備與國家級工控安全遠程應急支援服務平臺的對接功能，協同平臺的專家資源、威脅情報和分析引擎等，提供現場處置與遠程支援相結合的一體化技術支撐。對于爆炸危險環境、高溫高壓、電磁輻射等特殊領域工業環境，應根據工具箱的不同類別和級別增加相應功能要求。性能現場應急處置技術平臺的正常啟動可靠性應大于99.99%。現場應急處置技術平臺的硬件啟動時間應小于3min。應急處置終端應滿足24h連續性工作，不發生故障。應急處置終端在額定工況下，續航時間應不小于6h；在借助輔助工具中移動電源的情況下，續航時間應不小于12h。現場應急處置技術平臺內置的應急資源庫，應預置工業協議指紋不少于50種，包含工業控制器、工業組態軟件等多種工業資產漏洞不少于105個、工控漏洞不少于800個、惡意代碼特征不少于2×106個；應內置工業勒索、挖礦等典型工業信息安全事件應急處置模板不少于5種等。對于爆炸危險環境、高溫高壓、電磁輻射等特殊領域工業環境，應根據工具箱的不同類別和級別增加相應性能要求。安全應急處置終端應支持身份鑒別、訪問控制、日志審計、通信安全防護、漏洞檢測和惡意程序防范等安全防護功能，以保障自身網絡安全。GB/T39786工具箱應確保軟硬件的預裝及更新安全，宜采用國產操作系統、軟件組件或開源組件進行部署集成。GB/T349902060CNASGB/T4208GB/T24363GB/T29766GB/T20280、GB/T37954GB/T20275、GB/T26268、GB/T28451GB/T20945、GA/T911GA/T1536GB/T37079GB/T34990物理和電氣安全按GB16796工具箱檢驗項目分為出廠檢驗和型式檢驗。檢驗項目應符合表2的要求。表2檢驗項目檢驗項目序號檢驗內容出廠檢驗型式檢驗技術要求試驗方法基本要求1箱體材料--Δ5.1.16.3.12箱體表面及裝配ΔΔ5.1.2、5.1.36.3.23箱體焊縫ΔΔ5.1.46.3.24箱體外殼ΔΔ5.1.56.3.35應急處置終端和輔助工具接口ΔΔ5.1.66.3.4功能1處置功能、適配功能、應急資源儲備、分析功能--Δ5.2.1、5.2.2、5.2.3、5.2.46.4.12后端平臺對接--Δ5.2.56.4.23特殊功能要求--Δ5.2.66.4.3性能1可靠性與敏捷性ΔΔ5.3.16.5.12續航與供電ΔΔ5.3.26.5.23應急資源庫容量ΔΔ5.3.36.5.34特殊性能要求ΔΔ5.3.46.5.4安全1網絡安全、數據安全、供應鏈安全--Δ5.4.1、5.4.2、5.4.36.6.12物理和電氣安全ΔΔ5.4.46.6.2注：“Δ”為必檢驗項目，“--”為非檢驗項目。1標牌應在工具箱箱體和應急處置終端的明顯位置處裝設標牌。標牌應符