工业控制软件测试评价体系,工业控制信息安全产品测试评价的体系.doc

最新推荐文章于 2023-10-13 16:19:45 发布
最新推荐文章于 2023-10-13 16:19:45 发布
阅读量199 收藏
点赞数
文章标签: 工业控制软件测试评价体系

工业控制信息安全产品测试评价的体系

工业控制信息安全产品测试评价的体系

摘 要:工业控制系统的信息安全问题日益凸显,严重影响了社会和国家安全。但工业控制系统的特殊性,也使其与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同。传统的信息安全产品无法适用于工业控制领域,因此出现了专用的工控信息安全产品,但缺少专业规范的工控信息安全测评体系,无法保证工控信息安全产品的基本安全。详细分析了工业控制系统与传统信息系统的区别,梳理了目前广泛使用的工控信息安全产品,建立了工控信息安全产品测试评价体系,并将该体系应用到实际的产品测试中,进一步推动工控信息安全的发展。

关键词:工业控制系统;信息安全;测试

中图分类号:TP39 文献标志码:A

Testing and Evaluation System for Information Security Products of Industrial Control Systems

SHEN Qing-hong,ZOU Chun-ming,LU Zhen,TIAN Yuan,MENG Shuang

(The Third Research Institute of Ministry of Public Security,Shanghai 200031,China)

Abstract:The problem of information security for industrial control systems (ICS) has become increasingly prominent,and it seriously affects the social and national security.However,because of the features of ICS,it faces much more differences in parts of security threats,security issues and security measures.This paper deeply analysis the differences between ICS and traditional information systems,and then lists the information security products widely used in the field of industrial control.The testing and evaluation system for information security products of industrial control systems is established and applied in the actual products testing work to further promote the industrial information security development.

Key words:industrial control system;information security;testing

1 引 言

工?I控制系统(Industrial Control Systems,ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络,越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络,ICS脆弱性就暴露给潜在的攻击者[2]。

为了提高工业控制系统的安全性,现在一般从两方面考虑:一方面是提高工业控制系统的自身安全性,从设计阶段就开始安全性架构,并落实在工控系统的研发、部署、运行的各个阶段;另一方面是通过附加信息安全保障手段(如在系统中部署信息安全专用产品)在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求,通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。

工业控制系统本质上是一类信息系统,因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局(National Security Agency,NSA)针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架(Information Assurance Technical Framework,IATF)[3],成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节

一路涨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
工业软件测试自学,软件测试的过程及要点
weixin_34784025的博客
07-22 1018
软件测试的过程及要点2018年09月18日 08:59:49来源: 51Testing软件测试网作者:3012218080&曹悦关键词:工业软件,测量测试软件软件检测流程软件检测的流程可以细分为四个阶段:单元检测,集成检测,承认检测(有效性测A试)和体系检测单元检测针对软件规划的最小单元A程序模块,进行正确性查验的检测作业。它的目的在于发现各模块内部可能存在的各种过失集成检测在单元检测的基...
工业控制软件测试评价体系,工业控制信息安全产品测试评价体系.doc
weixin_29374899的博客
07-22 274
工业控制信息安全产品测试评价体系摘 要:工业控制系统的信息安全问题日益凸显,严重影响了社会和国家安全。但工业控制系统的特殊性,也使其与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同。传统的信息安全产品无法适用于工业控制领域,因此出现了专用的工控信息安全产品,但缺少专业规范的工控信息安全测评体系,无法保证工控信息安全产品的基本安全。详细分析了工业控制系统与传统...
工业测试软件 开发心得
专注的力量
02-11 2530
1,随机启动 2,不能死机 3,不能终止 4,对话框不能一直显示 5,提醒要醒目 6,数据数据数据。 7,配置 8,错误处理 9,后期修改,功能添加 10界面与文文件 ------------------------------------------------------------------------------------------- 1,随机启动 开发前应确
工控转行软件测试怎么样,一个非常准的测试 - 无所不谈 工控网 工控论坛 http://bbs.gkong.com/...
weixin_36031047的博客
07-22 126
发表于:2011/4/13 12:41:36#0楼一个非常准的测试~~~~~(几乎无人能逃过!!!!)请第一次看到这个测试的朋友,首先静下心来,认真的,快速的用自己的心算来坐下面这个测试,看清楚要求,真实的说出当时的第一个脑子里面的答案,才能看出这个测试的最有效的结果!谢谢!   很诡异喔!!! 但要以最快速的时间心算所看到的数学程序,然后回答问题!开始啰!往下走,并答题吧!2+2=?******...
软件安全测试-软件安全测试概述
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-06 2915
关于安全的重要性以及安全意识到底有多重要,咱们从2021年互联网历史上破坏力最惊人漏洞之一Log4j漏洞讲起,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。简单点说,黑客可以恶意构造特殊数据请求包payload触发漏洞,从而可以在目标服务器上执行任意代码,导致服务器被黑客控制
测试体系建设及软件测试流程.doc
11-29
测试体系建设是软件测试中非常重要的一部分,它旨在确保软件产品的质量和可靠性。本文将对测试体系建设和软件测试流程进行详细的介绍和分析。 测试体系建设 测试体系建设是指对软件测试过程中的各个环节进行规划、...
软件测试工程师简历自我评价.doc
11-22
软件测试工程师简历自我评价 作为一名软件测试工程师,需要具备良好的自我评价能力,以便更好地展示自己的技能和经验。以下是软件测试工程师简历自我评价的一些要点: 1. 项目经验: 软件测试工程师需要具备良好的...
测试体系建设之软件测试流程样本.doc
12-17
测试体系建设之软件测试流程样本.doc
软件综合项目质量控制标准体系.doc
12-16
软件综合项目质量控制标准体系.doc
软件项目质量控制体系样本.doc
12-18
软件项目质量控制体系样本.doc
极限编程在工控软件开发中的应用
03-30
极限编程是一种新近提出的轻量级软件工程方法,它的高效和实用很快就吸引了大批软件人员的关注。本文对极限编程的概念和模式进行了概要介绍,同时结合国内工控软件开发的特点,试图将极限编程的概念引入到国内的工控软件领域。
工业控制系统安全评估流程系统评定与分类
m0_73803866的博客
10-26 1286
全面的安全评估需要了解系统的相关组成结构以及相关联的业务,从多个方面评估可能存在的风险, 并通过实施过程进行逐步验证,通过计算模型推导出可能形成的损失。如下图:人员 信息 管理系统人员(安全意识与安全能力)管理(人员管理、生产管理、数据管理、运维管理等)数据 通讯 终端 • 供应链(元件 / 设备引入安全风险)系统 系统 系统 • 边界(不同区域的风险管理)工艺(可靠性要求)电磁辐射(侧信道攻击)生产 • 环境(设备 / 系统针对不同环境的适应能力)
工业设备软件的研发测试
04-04 1631
** 工业设备软件的研发测试 ** 一简介 对工业软件测试,无论是自动化测试还单元测试,都存在其特点. 与CAD/CAM软件相比,工业输入和输出数据种类较繁杂,硬件交互较多,业务流程各具不同. 要做好工业软件的单元测试, 首先就是要确认业务需求,很多时候业务对需求不确定要求先做出来看看, 一般采用原型法来开发软件,软件开发的功能是试验性质的,这种情况下采用单元测试就显得不是很合适. 这种开发要求...
航空以太网(ARINC664)接口测试工具
weixin_45013592的博客
12-09 1897
设备组成 Etest_CPS系统主要由硬件部分与软件部分组成。硬件部分由PCI机箱、PCI控制器以及各种PCI接口板卡组成。软件部分由测试设计软件模块、测试执行服务软件模块、测试执行客户端软件模块、设备资源管理软件模块等主要软件模块以及曲线数据生成、CRC插件生成与诊断、测试数据记录与查看、应用协议生成工具、应用协议模板管理、测试报告生成等系列工具组成。 各模块主要功能 (1)硬件部分 Etest硬件部分采用标准的机柜形式,主机采用PCI工业控制计算机,各类接口板块采用PCI总线的接口板卡。主要硬件部分的指
软件测试——安全测试常见测试方法
最新发布
weixin_45189665的博客
10-13 4097
通过漏洞扫描技术,测评人员能够检测主机是否开放了不必要的服务,是否对外部的网络探测行为进行了有效的屏蔽,是否设置了安全策略避免自身的敏感信息外协,是否安装了存在严重安全隐患的操作系统版本等等。例如:A账号的个人资料ID为1,B账号的个人资料ID为2,登录B账号,直接把URL的ID修改为1,如果可以查看到A的个人资料,说明存在越权漏洞。通过代码走读的方式对源代码的安全性进行测试,常用的代码检查方法有:数据流、控制流、信息流等,通过这些测试方法与安全规则库进行匹配,进而发现潜在的安全漏洞。
两款工控控件对比评测:Iocomp和ProEssentials
IT小伙_锐之IT之路
07-08 4760
备注:本文章转载自慧都控件网
工控测试---工具---最常用的自定义工具和方法
我不是庸医
11-19 922
背景 因为工控协议第三方工具少得可怜,而且即使有,也不全面,智能覆盖协议的极少部分,所以测试中还是以自定义测试为主 工具 抓包工具 万能的wireshark 生成pcap的工具 使用python的scapy开发包,比较灵活,只要搞定payload,什么包都可以定义了 修改pcap的工具 目前比较好的工具是科莱数据编辑器 http://www.colasoft.com.cn/dow...
工控机测试
weixin_30684743的博客
08-26 1494
一.克隆系统到PC机 1.检查是否可以wifi上网:      1).插上无限网卡,连接wifi      2).打开网页,若不能上网,但可ping通同网段其它用户(也可试ping 8.8.8.8)       解决:在/etc/resolv.conf文件添加nameserver 127.0.1.1 (或141.141.141.141或8.8.8.8)      3).若不能搜...
工控测试---协议---S7协议基本包内容理解
我不是庸医
12-25 1318
TPKT OSI承载协议,基于TCP之上 COTP OSI 传输层 S7 分为header 和 parameter两个部分 header字段的长度,由ROSCTR字段决定 parameter字段长度,由header里的parameter参数决定 ...
软件测试方法技术的研究静态测试样本.doc
12-06
本文介绍了软件测试方法技术的研究静态测试样本,并以常州信息职业技术学院软件学院学生居富山的毕业设计(论文)报告为样本。 在这个报告中,居富山以软件测试办法技术研究为题目,深入探讨了静态测试方法。静态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值