首页 > 国家标准(GB) > GB/T 38847-2020 智能工厂工业控制异常监测工具技术要求
GB/T 38847-2020

基本信息

标准号: GB/T 38847-2020

中文名称:智能工厂工业控制异常监测工具技术要求

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:2157056

相关标签: 智能 工厂 工业 控制 异常 监测 工具 技术

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 38847-2020.Intelligence factory-Technical requirements for industrial control abnormal monitoring instrument.
1范围
GB/T 38847规定了智能工厂的工业控制异常监测工具(以下简称:监测工具)的部署、等级划分和技术要求。
GB/T 38847适用于工业控制异常监测工具的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2423.5-2019环境试验 第2 部分:试验方法试验 Ea和导则:冲击
GB/T 2423.10环境试验第2 部分:试验方法试验 Fcs(振动(正弦)
GB/T 4208-2017外壳防 护等级(IP代码)
GB 4824工业、科学和医疗(ISM)射频设备骚扰特性限值和测量方法
GB/T 4857.20包装运输包装件 碰撞 试验方法
GB/T 4857.23-2012包装运输包装 件基本试验第 23部分:随机振动试验方法
GB/T 9254信息技术设备的无线电骚扰限值和测量方法.
GB/T 13729-2019远 动终端设备
GB/T 15153.1远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容性
GB/T 17214.4工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响
GB/T 17626.2电磁兼容,试验和测量技术静电放电抗扰度试验
GB/T 17626.3电磁兼容试验和测量技术射频电磁场辐射抗扰度试验
GB/T 17626.4电磁兼容试验和测量技术电快速瞬变脉冲群抗扰度试验
GB/T 17626.5电磁兼容试验 和测量技术浪 涌(冲击)抗扰度试验
GB/T 17626.6电磁兼容试验和测量技术射频场感应的传导骚扰抗扰度
GB/T 17626.8电磁兼容试验和测量技术工频磁场抗扰度试验
GB/T 17626.10电磁兼容试验和测量技术阻尼振荡磁场抗扰度试验
GB/T 17626.11电磁兼容试验和测量技术电压暂降、短时中断和电压变化的抗扰度试验

标准图片预览






标准内容

ICS25.040
中华人民共和国国家标准
GB/T38847—2020
智能工厂
工业控制异常监测工具技术要求Intelligencefactory
Technical requirements for industrial control abnormal monitoring instrument2020-07-21发布
国家市场监督管理总局
国家标准化管理委员会
2021-02-01实施
GB/T38847—2020
规范性引用文件
术语、定义和缩略语
工业控制异常监测工具的部署
工业控制异常监测工具等级划分5.1技术要求分级
5.2技术要求分类
6技术要求
基本级
增强级
附录A(规范性附录)
环境适应性要求
本标准按照GB/T1.1-2009给出的规则起草本标准由中国机械工业联合会提出GB/T38847—2020
本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本标准起草单位:启明星辰信息技术集团股份有限公司、机械工业仪器仪表综合技术经济研究所、中国石油天然气股份有限公司规划总院、北京中油瑞飞信息技术有限责任公司、中车戚墅堰机车有限公司、中国科学院沈阳自动化研究所、北京市自来水集团有限责任公司、重庆信安网络安全等级测评有限公司、上海自动化仪表有限公司、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心。本标准主要起草人:孟雅辉、许涛、王玉敏、和曦、杜兰、尚文利、张晨艳、张为群、包伟华、甘杰夫张哲宇、赵剑明、刘志远、董朋、原真、马俊闯、尚羽佳、王静、周学良、单博、蒋浩然、陈春雨。GB/T38847—2020
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,传统的工业控制异常监测工具在面对工业控制系统的安全监测时因不能识别工业控制系统专用协议、对工业控制系统异常特征分析不足,显得力不从心,因此急需要一种能应用于智能工厂中的工业控制异常监测工具对异常行为进行监测和报警应用于智能工厂的工业控制异常监测工具与传统工业控制异常监测工具的主要差异体现在:智能工厂的工业控制异常监测工具是专门针对工业控制系统的检测系统,支持十几种主流工a)
控协议的深度解析,内置特有的工控网络检测策略;可检测利用工控设备漏洞对工控网络的多种人侵攻击;
智能工厂的工业控制异常监测工具采用工业级全密闭硬件设计,环境适应能力强;b)
智能工厂的工业控制异常监测工具满足工业现场要求的高可靠性和稳定性等需求1范围
智能工厂
工业控制异常监测工具技术要求GB/T38847—2020
本标准规定了智能工厂的工业控制异常监测工具(以下简称:监测工具)的部署、等级划分和技术要求。
本标准适用于工业控制异常监测工具的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注期的引用文件,仅注日期的版本适用于本文件。凡是不注目期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T2423.5—2019环境试验第2部分:试验方法试验Ea和导则:冲击GB/T2423.10环境试验第2部分:试验方法试验Fc:振动(正弦)GB/T4208—2017外壳防护等级(IP代码)GB4824工业、科学和医疗(ISM)射频设备骚扰特性限值和测量方法
GB/T4857.20包装运输包装件碰撞试验方法GB/T4857.23一2012包装运输包装件基本试验第23部分:随机振动试验方法GB/T9254信息技术设备的无线电骚扰限值和测量方法GB/T13729—2019远动终端设备
GB/T15153.1
GB/T17214.4
GB/T17626.2
GB/T17626.3
GB/T17626.4
GB/T17626.5
GB/T17626.6
GB/T17626.8
GB/T17626.10
GB/T17626.11
远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容性工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响电磁兼容
试验和测量技术静电放电抗扰度试验电磁兼容
电磁兼容
试验和测量技术身
射频电磁场辐射抗扰度试验
试验和测量技术
试验和测量技术
电磁兼容
电快速瞬变脉冲群抗扰度试验
浪涌(冲击)抗扰度试验
试验和测量技术
射频场感应的传导扰抗扰度
电磁兼容
电磁兼容
电磁兼容
试验和测量技术
工频磁场抗扰度试验
试验和测量技术阻尼振荡磁场抗扰度试验电磁兼容
试验和测量技术电压暂降、短时中断和电压变化的抗扰度试验2—2013
GB/T17626.12-
GB/T17626.16
GB/T17626.17
GB/T17626.29
化的抗扰度试验
电磁兼容试验和测量技术振铃波抗扰度试验试验和测量技术0Hz150kHz共模传导骚扰抗扰度试验电磁兼容
电磁兼容
试验和测量技术直流电源输入端口纹波抗扰度试验电磁兼容
GB/T20275—2013
3术语、定义和缩略语
试验和测量技术直流电源输入端口电压暂降、短时中断和电压变信息安全技术
网络入侵检测系统技术要求和测试评价方法下列术语和定义适用于本文件
GB/T38847—2020
3.1术语和定义
工业控制异常监测工具industrialcontrolabnormalmonitoringinstrument以工业控制网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,发现针对工业控制系统的网络入侵、病毒、流量异常等异常行为的系统。3.1.2
探测器
sensor
用于收集可能指示出人侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的入侵检测系统组件。
[GB/T20275—2013,定义3.6]
缩略语
下列缩略语适用于本文件。
DCS:集散控制系统(Distributed Control System)PLC:可编程序控制器(ProgrammableLogicController)RTU:远程终端单元(RemoteTerminalUnit)4工业控制异常监测工具的部署
监测工具是以旁路监测工业控制系统网络,抓取网络流量,发现异常行为并报警。图1是将监测工具旁路部署在工业网络交换机的镜像口上,工业控制系统业主根据工业网络交换机情况,酌情考虑部署。对于工具的环境适应性要求见附录A。中央监控计算机
实时数据库服务器
工程师站
历史数据库服务器
操作员站
数据机床
交换机
工业异常监测系统
交换机
工业控制异常监测工具部署示例5工业控制异常监测工具等级划分5.1
技术要求分级
工业异常监测系统
按照GB/T20275一2013有关要求,结合工业控制系统需求,将技术要求分为基本级和增强级。2
技术要求分类
GB/T38847—2020
将技术要求分为功能要求、安全要求、保证要求、性能要求四个方面。其中产品保证要求采用GB/T20275一2013中的安全保证要求,产品性能要求采用GB/T20275—2013中的性能要求,产品功能要求、安全要求分别见表1和表2。表1工业控制异常监测工具产品功能要求等级划分产品功能要求
数据探测功能要求
异常分析功能要求
异常响应功能要求
管理控制功能要求
功能组件
数据收集
协议分析
入侵行为监测
工业协议异常行为监测
网络流量监测
病毒监测
数据分析
分析方式
防躲避能力
网络违规行为分析
网络异常行为分析
网络拓扑自动梳理
检测规则管理
事件合并
事件关联
基于流量的高级分析
异常行为溯源
工控漏洞人侵行为检测
安全告警
告警方式
排除响应
定制响应
全局预警
异常管理
图形界面
事件数据库
事件分级
策略配置
产品升级
统一升级
分布式部署
集中管理
端口分离
基本级
增强级
GB/T38847—2020
产品功能要求
检测结果处理要求
产品灵活性要求
功能组件
事件记录
事件可视化
报告生成
报告查阅
报告输出
表1(续)
安全运维管理
安全审计
报告制定
窗口定义
事件定义
协议定义
通用接口
注:“√”表示具有该要求;“一”表示对该项无要求,基本级
2工业控制异常监测工具产品安全要求等级划分表2
安全功能要求
身份鉴别
用户管理
数据保护
事件数据安全
通信安全
产品自身安全Www.bzxZ.net
功能组件
用户鉴别
监别失败的处理
多监别机制
鉴别数据保护
用户角色
安全数据管理
安全属性管理
数据保护
数据存储告警
通信完整性
通信稳定性
升级安全
产品自身安全
注:“√”表示具有该要求;“二”表示对该项无要求4
基本级
增强级
增强级
6技术要求
6.1基本级
6.1.1产品功能要求
数据探测功能要求
6.1.1.1.1
数据收集
GB/T38847—2020
应具有实时获取受保护网段内的数据包的能力。获取的数据包应足以进行检测分析。6.1.1.1.2
2协议分析
至少应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、HTTP、FTP、TFTP、SNMP、TELNET。
包含但不限于ModBusTCP、OPC、DNP3、Enternet/IP或行业的专有协议等工业控制协议事件的检测。
6.1.1.1.3入侵行为监测
应监测包括但不限于:暴力破解、拒绝服务攻击、工业协议脆弱性攻击、安全扫描、蠕虫病毒、脆弱口令、木马后门攻击、缓冲区溢出攻击等。6.1.1.2异常分析功能要求
数据分析
6.1.1.2.1
应对收集的数据包进行分析,发现6.1.1.1.3中所述人侵行为。6.1.1.2.2分析方式
应以协议深度分析、流量分析、模式匹配、入侵行为建模分析等一种或多种方式进行入侵异常分析。6.1.1.2.3防躲避能力
应能发现工控协议躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URI学符串变形、shell代码变形、隧道协议、隐蔽通道传输等。6.1.1.2.4网络违规行为分析
发现内部违规的网络行为,包括但不限于网络内非授权的新设备、非授权启用服务/端口、正常服务的停用、违规网络访问,违规VPN接人、违规的拨号网络、违规的远程管理。6.1.1.3异常响应功能要求
6.1.1.3.1安全告警
当系统检测到入侵异常时,应自动采取相应动作以发出安全警告。6.1.1.3.2告警方式
告警可以采取监测工具计算机端监控界面实时提示、日志记录等方式5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。