一�、標準概述
新版標準國網"Q/GDW 10597-2022《應用軟件系統通用安全技術要求及測試規范》"是由中國國家電網公司發布的技術標準,該標準已于2022-12-30發布并實施�。替代了目前在用的Q/GDW-1597-2015和Q/GDW-10942-2018兩個標準��。新標準包含測試要求和測試方法兩部分內容,整體變化不大�,主要有以下三方面的差異:1�����、在檢查項中增加的內容:1)“6.7 個人信息保護”;2)“6.10 端口管理”��;3)“6.11.2 C/S架構系統”的檢查項����;2、整體結論的評價方法中����,增加了“端口測試”的單項測試結論�����,以及其在整體評價中的使用方法���;3���、刪除了1597的“通用安全保障要求”�����。
1��、 背景和意義
新版標準主要針對電力行業的應用軟件系統,規定了在設計����、開發�、運行和維護軟件系統時應遵循的一系列安全要求��。它涵蓋了網絡安全���、數據安全�����、用戶安全、系統安全、安全管理等多個方面�����,旨在保障國家電網公司的信息系統安全��,防止數據泄露�����、系統癱瘓等風險�����,確保電力系統的穩定運行和信息的保密性�。這是一項強制性的行業標準,對國家電網公司的所有應用軟件系統開發和運行過程有指導作用�����,同時也是評估和審核電力行業軟件安全的重要依據����。通過遵循這個標準,可以提升軟件系統的安全防護能力,確保電網業務的正常運作和信息安全�。
2�、 標準適用讀者
1)測試人員:可明確國網對應用系統在信息安全性方面的最新要求����;
2)開發人員:了解符合國網相關要求的應用系統的信息安全性要求,便于設計及開發 出符合國網應用層安全要求的應用系統。
3�����、 標準適用范圍
本文件適用于應用在電力行業的應用軟件所在公司的系統內部安全測試及實驗室第三方安全測試���。
二��、主要內容解讀
Q/GDW-1597-2015和Q/GDW-10942-2018這兩個標準適用范圍是:管理信息大區安全等級為“二級”和“三級”的管理信息類的應用系統�����。而新版Q/GDW-10597-2022則是不再強調管理信息大區,也沒有提到“管理信息類”的應用系統�,從文字描述上來看,適用范圍是擴大了��。1597-2015&Q/10942-2018&10597-2022適用范圍對照表如下所示:
國家電網新版Q/GDW 10597-2022《應用軟件系統通用安全技術要求及測試規范》標準的基本框架如下圖所示:
具體的安全要求����,基本型通用安全技術要求包括:身份鑒別、訪問控制�����、安全審計�、數據完整性、數據保密性�、軟件容錯�����、個人信息保護、會話管理���、外部接口、端口管理和安全漏洞11個方面����,增強型通用安全技術要求則在基本型要求的基礎上�����,增加了:抗抵賴、資源控制�,共計13個方面的安全要求��。每個安全要求又定義了具體的若干檢查項。
1����、總體要求解讀
(1)10597在“5.1概述”的內容與1597的“4 概述”內容相近��,做了一定的簡化�,具體的內容如下表所示:
10597依然明確可依據“運行環境、主要威脅、安全等級和業務功能特性等因素確定要求子集”,并刪除了“對選擇的依據進行明確說明”的說法�。
(2)10597“5.2測試項風險級別”中��,測試項級別仍被定義為高、中、低三個等級����,但每個測試項的風險等級���,是在具體的檢查項中進行標識����,10942則是在集中在6.2章節羅列出各等級的所有測試項章節號。從閱讀的角度來說�����,新版10597的標識方式更便捷�。對于高、中��、低風險等級的定義��,則與10942完全一致����。
(3)10597中的“5.3 測試環境”����,對應10942的“4.1 測試環境”和“4.2 測試手段”。具體的文字內容對照見下表所示:
這部分內容的主要差別有:
(1)10597在內容上極大的簡化了“4.1 測試環境”的內容���。僅以“應符合系統相關設計文檔”進行說明;
(2)10597增加了“開源組件應符合公司的相關要求”���,但該條款并未在第6�、7章節中出現對應條款;
(3)在“測試手段”的內容上�,新版標準標明了“經過認可”����。像CNAS對于某個參數測試能力的認可���,也是首先看機構是否配備了行業普遍認可的測試工具�。
2、基本型/增強型安全技術要求及測試方法解讀
10597用第6、7章兩個章節分別描述“基本型”和“增強型”的要求和方法���,與舊版類似,檢測項仍被劃分了類型,每類檢測項的檢查點數量統計如下表所示:
表中可見,10597檢查內容的主要變化有:
(1)新增兩類檢查項:“個人信息保護”和“端口管理”���;
(2)相應的測試類型新增了一項“端口測試”;
(3)“安全漏洞”檢查項,按B/S����、C/S進行分類�����,與10942相比,增加了C/S常見的 15項安全漏洞,并且按漏洞進行分項描述,因此在數量上增加較多���;
(4)“標識和鑒別”的名稱修改為“身份鑒別”,非身份鑒別類的檢查項挪到了“訪問控制” 中。整體上來說,10597在安全要求和測試方法上,未進行大幅度的變動�����,僅是小部分 的增加和完善���。
三���、博智工控漏洞掃描系統在該標準的應用
工控漏洞掃描系統憑借卓越的性能和顯著的技術優勢�����,是全國首家榮獲公安部頒發的工業控制系統漏洞檢測(增強級)網絡安全專用產品安全檢測證書和資質。
該產品是一款集資產探測與管理�����、主機安全掃描���、工控漏洞掃描���、web安全掃描�、數據庫掃描、弱口令發現��、基線配置核查��、協議模糊測試����、固件分析、漏洞驗證等能力于一身的綜合全面的工業互聯網安全檢測掃描產品���,能夠對工控系統、操作系統���、數據庫、應用程序��、網絡設備����、物聯網、虛擬化、大數據等類型目標進行整體安全評估����,可全面發現系統中存在的安全漏洞、安全配置問題(如身份鑒別�����、訪問控制和安全審計等)��、弱口令�����,收集系統不必要開放的賬號、服務��、端口���,形成整體安全風險報告�。可以對應該標準的安全功能測試���、滲透測試和端口測試等內容。核心功能如下所示:
(1)漏洞掃描:漏洞掃描支持主機安全掃描���、工控漏洞掃描、web安全掃描�����、數控掃描�、弱口令發現和基線配置核查,對設備��、主機�����、應用的已知漏洞進行檢測�。
協議模糊測試:支持豐富的協議用例庫模板進行用例的選擇�,覆蓋IT����、工控(電力、醫療、軌交、制造...)�、物聯網��、車聯網、無線等場景,協議支持數量超過100種��,其中工控協議超過50種�,覆蓋測試接口類型包括RJ45、RS232、RS485/RS422、CAN����、WIFI�����、藍牙、4G接口等,對設備及協議的未知漏洞進行挖掘���。
(3)固件分析:支持識別固件的基本信息,如:文件大小、子文件類型與統計、CPU架構等�。加密認證檢查�����,敏感文件分析����,軟件組件識別與分析��,識別固件cve/cnnvd安全漏洞和cwe缺陷挖掘�����。
四�����、文件分享
Q/GDW 10597-2022《應用軟件系統通用安全技術要求及測試規范》標準文件下載鏈接:https://pan.baidu.com/s/1gna_F-RVsLON0FoXHwk7cw?pwd=0109 提取碼:0109
