GB/T 41262-2022
基本信息
标准号: GB/T 41262-2022
中文名称:工业控制系统的信息物理融合异常检测系统技术要求
标准类别:国家标准(GB)
英文名称:Technical requirements for cyber-physical fusion anomaly detection specification of industrial control system
标准状态:现行
发布日期:2022-03-09
实施日期:2022-10-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:3621956
相关标签: 工业 控制系统 信息 物理 融合 异常 检测 系统 技术
标准分类号
标准ICS号:信息技术、办公机械设备>>信息技术应用>>35.240.50信息技术在工业上的应用
中标分类号:机械>>机械综合>>J07电子计算机应用
关联标准
出版信息
出版社:中国标准出版社
页数:20页
标准价格:38.0
相关单位信息
起草人:孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王弢、崔君荣、梁炜、张思超、蒋皓、李艺、倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷
起草单位:中国科学院信息工程研究所、北京机械工业自动化研究所有限公司、浙江大学、杭州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司等
归口单位:全国自动化系统与集成标准化技术委员会(SAC/TC 159)
提出单位:中国机械工业联合会
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求。
本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。
标准图片预览
标准内容
ICS35.240.50
CCS J07
中华人民共和国国家标准
GB/T41262—2022
工业控制系统的信息物理融合异常检测系统技术要求
Technical requirements for cyber-physical fusion anomaly detectionspecification of industrial control system2022-03-09发布
国家市场监督管理总局bzxz.net
国家标准化管理委员会
2022-10-01实施
GB/T41262—2022
规范性引用文件
术语和定义
缩略语
系统概述
系统架构
功能模块
功能要求
数据采集
异常检测
响应与告警
检测结果处理
管理控制
安全管理
日志管理
性能要求
误报率
漏报率
流量监控能力
并发连接数监控能力··
新建TCP连接速率监控能力
检测时间·
附录A(资料性)工业控制系统信息物理融合中的威胁附录B(资料性)工业控制系统信息物理融合安全防护措施参考文献
GB/T41262—2022
本文件按照GB/T1.1一2020《标准化工作导则」第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。本文件起草单位:中国科学院信息工程研究所、北京机械工业自动化研究所有限公司、浙江大学、杭州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司、北京东方通科技股份有限公司。
本文件主要起草人:孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王張、崔君荣、梁炜、张思超、蒋皓、李艺、倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷1范围
工业控制系统的信息物理融合异常检测系统技术要求
GB/T41262—2022
本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求
本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T20275一2013信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语
GB/T36323信息安全技术工业控制系统安全管理基本要求GB/T36324一2018信息安全技术工业控制系统信息安全分级规范术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
工业控制系统industrial control system;ICS一类用于工业生产的控制系统的统称。注:它包含SCADA、DCS和其他一些常见于工业部门与关键基础设施的小型控制系统(如PLC)等3.2
cyber-physical fusion
信息物理融合
将ICS中的指令、状态信息和真实物理系统相结合的过程,注:具体体现为将ICS中生产控制设备中的物料流、信息流、能量流相结合。3.3
信息物理系统cyber-physical system;CPS一个综合计算、网络和物理环境的多维复杂系统。注:通过通信技术、计算机技术和控制技术的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务。
异常abnormal
故障、意外或攻击行为导致的系统出现异于正常或已有基线的情况。1
GB/T 41262—2022
注:包括恶意代码感染、网络攻击、固件篡改、控制逻辑篡改等信息安全事件,以及设备故障、误操作、能耗超出正常阈值、时序超出正常范围、状态统计数据超出正常范围等功能安全事件。3.5
异常检测anomalydetectior
对ICS发生的异常进行检测的过程。3.6
误用检测misusedetection
一种能检测模式库中已涵盖的人侵行为或不可接受的行为的方式。注:在误用检测中首先定义异常系统行为,然后将所有其他行为定义为正常,主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的人侵方法的变种。3.7
信息流informationflow
ICS控制设备中的系统控制指令和设备状态等数据。3.8
物料流materialflow
物质流
在ICS中原材料或半成品加工、检验、装配、试验、存储等过程数据3.9
能量流energyflow
能耗流
ICS中的原材料或半成品在整个生产过程中所产生的能量数据。3.10
脆弱性vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。L来源:GB/T29246—2017,2.893.11
高级持续性威胁攻击advancedpersistentthreat;APT利用各种先进的攻击手段,对高价值目标进行的有组织、长期持续性网络攻击行为,注:此种攻击需要长期经营与策划,因此具有极强的隐蔽性和针对性。在ICS中,此种攻击会带来更严重的财产损失和威胁。
falsedatainjectionattack
虚假数据攻击
利用状态估计器中不良数据辨识方法的局限性,恶意篡改元件的量测值,使控制中心误判当前状态,继而造成工控系统安稳控制措施误动或拒动,从而影响工控系统安全稳定运行的攻击行为,注:通过恶意篡改设备中的数据而实施的攻击,都可视为虚假数据攻击。3.13
ARP毒药攻击ARPpoisoning
对ARP缓存表进行篡改,导致发送给正确主机的数据包被发送给另外一台由攻击者控制的主机的攻击行为,也称ARP欺骗(ARPspoofing)。3.14
内部威胁insiderthreat
内部人利用获得的信任或授权做出损害授信组织合法利益的行为。注:内部威胁不仅仅是内部成员的有意或无意导致的损失,还包括一些外部伪装成内部成员的攻击。2
告警alert
当异常发生时,异常检测系统向授权管理员发出的紧急通知。误报falsepositive
异常检测系统在未发生异常时告警,或者发出错误的告警信息。漏报falsenegative
当攻击发生时异常检测系统未告警。缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(AddressResolutionProtocol)CIP:通用工业协议(CommonIndustrialProtocol)CPU:中央处理器(CentralProcessingUnit)DCS:分布式控制系统(DistributedControlSystem)MAC:媒体存取控制(MediaAccessControlAddress)GB/T41262—2022
OPC:面向对象链接与嵌入的过程控制协议[ObjectLinkingandEmbedding(OLE)forProcessControl
PLC:可编程逻辑控制器(ProgrammableLogicController)SCADA:监视控制与数据采集系统(SupervisoryControlandDataAcquisition)SIS:安全仪表系统(SafetyInstrumented System)VPN:虚拟专用网络(VirtualPrivateNetwork)WIA-FA:工业自动化无线网络(WirelessNetworksforIndustrialAutomation-FactoryAutoma-tion)
5系统概述
5.1系统架构
工业控制系统信息物理融合异常检测系统基本结构如图1所示,主要分为3个部分:感知层、网络层和控制层。感知层主要是由传感器、执行器等ICS现场设备组成,如阀门、开关等。感知层中的传感器作为CPS中的末端设备,主要采集物理环境中具体信息和状态信息形成流数据,通过网络层发送传输到控制层,同时接受来自控制层返回的相应的信息,感知层设备在感知执行物料流的同时完成生产的过程中会产生相应的能耗变化形成能量流。网络层是连接信息世界和物理世界的桥梁,主要实现信息流的实时传输。控制层主要是由具有逻辑控制的工控设备和上位机组成,如SCADA、DCS、PLC等,根据接收的感知层信息流进行相应的分析,将控制指令下发给感知层设备控制生产工艺,并形成物料流数据。感知层和控制层设备同时对应CPS框架的物理层,网络层对应CPS框架的网络层。针对CPS框架下“物料流、信息流、能量流”之间的消耗关系,异常检测系统中的数据采集模块对现场的流量、故障、网络等数据进行采集。异常检测模块通过生成受保护ICS的物料流、信息流、能量流实时关系基线和正常情况,构建异常检测匹配模型,当不匹配时即出现异常,如产生设备故障或遭受外部攻击等。响应和告警模块根据检测出的异常不同类型生成相应的响应结果,传递给检测结果处理模块进行最终的异常处置。异常检测过程中所有的运行过程都应完成日志记录、管理控制和安全管理,保3
GB/T41262—2022
证异常检测系统自身的稳定性、可用性和安全性,CPS框架
控制层
信息流
!物料流
网络层
信息流
感知层
能量流
功能模块
日志记录
异常检测系统
管理控制
信息物理融合异常检测架构图
测结果
安全管理
本文件按照工业控制系统信息物理融合异常检测的安全功能要求的强度,将工业控制系统信息物理融合异常检测产品分为基本级和增强级,如表1所示。工业控制系统信息物理融合异常检测安全保障应符合GB/T18336.3一2015的相关要求。安全功能强弱和安全保障要求高低是等级划分的具体依据。其中,基本级安全功能要求应具备GB/T22239一2019中的第二级安全保护能力;增强级安全功能要求应具备GB/T22239一2019中第三级安全保护能力。在增强级中新增的要求会通过加粗黑体标识。
安全功能要求等级划分
安全功能要求
感知层数据采集
网络层数据采集
控制层数据采集
数据采集
异常检测
协议解析
入侵诱捕
其他安全防护设备数据接人
事件辨别扩展接口
感知层异常检测
网络层异常检测
上位机异常检测
控制器异常检测
工艺参数异常检测
行为异常检测
威胁事件监测
基于白名单规则分析
自学习
基本级
增强级
响应和告警
检测结果处理
管理控制
安全管理
日志管理
安全功能要求
安全功能要求等级划分(续)
事件响应
安全告警
告警方式
告警处置
与其他安全防护设备联动
全局预警
结果记录
结果可视化
统计分析
关联分析
可选查阅
报告输出
唯一性标识
管理员角色定义
基本鉴别
鉴别失败处理
超时锁定或注销
升级管理
接口安全管理
安全状态监测
存储安全
分布式部署
自身安全保障
日志生成
日志内容
目志存储
注:“*”表示具有该要求,“**”表示要求有所增强,“一”表示不适用。功能要求
数据采集
感知层数据采集
基本级
GB/T41262—2022
增强级
系统应具有感知层中信息流、物料流和能量流的数据识别和采集能力,应识别和采集的数据包括:固件版本等感知层设备的软件资产数据;a)
GB/T41262—2022
b)厂商名称、设备类型、设备型号等资产硬件设备指纹信息;能耗、温度等能耗信息;
原料、材料、半成品进行加工或处理过程中的物料信息;d)
生产流程、参数工艺等工艺信息6.1.2网络层数据采集
系统应支持接入网络层数据,具体应支持以下功能:异常流量采集,例如网络扫描、强力攻击、木马后门攻击、拒绝服务攻击、勒索病毒传播等;a)
b)MAC头、IP头在内的全部网络流量分组的采集;c)i
通过无线方式连接的网络数据接入,如5G、Wi-Fi、工业无线WIA-FA等。6.1.3
控制层数据采集
系统应支持接入控制层数据的接入,具体应支持以下功能:a)组态软件、web组件、操作系统等资产软件信息的探测识别;b)厂商名称、设备类型、设备型号等资产硬件设备信息的探测识别;c)接入工业控制设备自身功能故障异常数据介人功能,如PLC、DCS、SCADA、SIS等;d)
数据批量导人导出。
6.1.4协议解析
系统应支持网络层通信协议和工业控制协议的解析,具体应支持以下功能:网络通信协议解析,如HTTP、FTP、SNMP、Telnet等;a
b)工业控制协议解析,如OPC、S7、IEC61850、IEC60870-5-104、CIP、DNP3、Modbus等;现场总线数据无扰监听和解析;c)
自定义工控协议格式规约解析;d)
工控协议内容深度解析,包括工控协议的操作类型、操作对象、操作范围等参数。6.1.5入侵诱捕
系统应支持接入蜜罐捕获的入侵源数据或相同功能产品获取到的威胁情报6.1.6其他安全防护设备的数据接入系统应支持接人防火墙、安全审计设备、漏洞扫描、VPN等受防护目标中部署的其他安全防护设备的数据。
6.1.7事件辨别扩展接口
系统应具备事件辨别扩展接口,具体应支持以下功能:a)以云服务等方式接收安全应急通报机构共享的安全事件或威胁情报;b)将发现的异常向安全应急通报机构上报6.2异常检测
6.2.1感知层异常检测
系统应支持对感知层设备的异常检测,具体应支持以下功能:a)对现场设备违规外联、违规接入等异常检测;6
b)感知层设备断线、损坏等功能异常检测;感知层设备遭受未授权访问、数据篡改等异常检测c)
注:具体感知层威胁及对应防护措施见附录A、附录B6.2.2网络层异常检测
GB/T41262—2022
系统应支持对网络层通信协议和工控协议的通信流量异常检测,具体应支持以下功能:监测受保护网段内的地址、端口的报文流量和字节流量;a)
非正常报文流人工业控制网络的检测;c)
网络通信中存在的膜探、非法监听等检测;对无线通信的异常流量检测,
IPv4/v6双栈协议中的异常流量检测;e)
隐匿通信通道检测。
注:具体网络层威胁及对应防护措施见附录A、附录B。6.2.3上位机异常检测
系统应支持对控制层中工程师站、操作员站等上位机的异常检测,具体应支持以下功能:a)
对上位机下行的控制指令进行异常检测;b)
对上位机与其他业务管理的信息系统之间信息流的异常检测:c)
对上位机违规开启端口或服务、异常配置、异常组态变更的检测d)
识别上位机上违规使用应用软件情况,如游戏、视频、社交应用、远程控制等;对上位机中USB等外设违规接人检测;e)
发现误操作、恶意操作等违规操作行为;对上位机中CPU、内存等资源使用情况设置正常阈值,当出现异常使用情况时具备实时检测g)
能力。
6.2.4控制器异常检测
系统应支持控制层控制设备的异常检测,具体要求包括:应支持对控制设备的数据内容和负载信息等异常检测;a)
应支持对控制设备自身故障、SIS告警的异常检测;b)
应支持对控制设备感染恶意代码的异常检测;c)
应支持对控制设备的误用检测;d)
应具备控制器中控制点位、控制值、控制器状态信息等异常检测能力。6.2.5行为异常检测
系统应具备对受保护目标ICS中攻击入侵行为的检测能力,具体要求包括:应支持网络扫描行为检测,如端口扫描、口令破解等;a)
应支持对网络攻击行为检测,如IP欺骗、IP碎片攻击、ARP毒药攻击、虚假数据攻击、序列攻击、中间人攻击、重放攻击等;应支持对通信协议、软件、嵌人式设备等已知漏洞攻击行为检测;c)
d)应支持对ICS中误操作、工程师站组态变更、操控指令变更、PLC下装、固件升级等关键行为异常的检测;
应支持对ICS存在的APT攻击检测;应支持对通信协议、软件、嵌入式设备等未知漏洞攻击行为检测:7
GB/T41262—2022
g)应具有攻击者、攻击方式、攻击链路的分析和刻画能力。6.2.6工艺参数异常检测
系统应具备对受保护ICS中业务工艺生产状态异常检测能力,具体应支持以下功能:a)对物料流异常、能耗异常的检测;b)对工艺参数变更、重要工艺故障的检测;c)对未按规定的造成加工件或成品严重影响的异常检测,6.2.7威胁事件检测
系统应具备对实时检测受保护目标ICS威胁事件的能力,具体要求包括:应支持网络安全威胁事件实时检测,例如:缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQLa)
注人、敏感信息泄露等:
应支持受保护目标ICS安全管理中存在不合规的异常检测,具体要求应符合GB/T36323的b)
相关规定;
应支持内部威胁检测;
应具有威胁类型和危害程度的评估能力;d)
应支持潜在或隐藏的威胁事件检测;应支持对接收到的共享威胁情报在受保护目标ICS中进行检测识别;应具有威胁对象定位、影响范围评估的能力;h)
应具有威胁来源追溯的能力。
6.2.8基于白名单规则分析
系统应具有基于白名单规则分析能力,具体应支持以下功能:对PLC、SCADA、RTU等控制器的白名单检测;a)
b)针对控制器的数据包进行快速有针对性的捕获与深度解析;c)结合白名单对不符合规则的控制器异常进行告警。6.2.9自学习
系统应具有自学习能力,具体应支持以下功能:基于自学习模式,对ICS中的协议和流量行为进行被动式的学习,从而自动生成相关策略a
自学习模式下的网络流量行为不产生告警;b)
首学习模式的功能包括资产识别、网络基线和工控协议白名单6.3响应与告警
6.3.1异常分类
系统应具备对检测到的异常进行分类的能力,具体应支持以下功能:a)对不同类型的信息安全类异常进行分级,分级方式见GB/T36324一2018中5.1;b)对不同类型的功能安全类异常进行分级,分级方式见GB/T36324一2018中5.2.2;c)对应的响应方式,包括告警、阻断和排除等。6.3.2安全告警
系统应支持在检测到异常时产生告警,并向用户提供处理建议8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS J07
中华人民共和国国家标准
GB/T41262—2022
工业控制系统的信息物理融合异常检测系统技术要求
Technical requirements for cyber-physical fusion anomaly detectionspecification of industrial control system2022-03-09发布
国家市场监督管理总局bzxz.net
国家标准化管理委员会
2022-10-01实施
GB/T41262—2022
规范性引用文件
术语和定义
缩略语
系统概述
系统架构
功能模块
功能要求
数据采集
异常检测
响应与告警
检测结果处理
管理控制
安全管理
日志管理
性能要求
误报率
漏报率
流量监控能力
并发连接数监控能力··
新建TCP连接速率监控能力
检测时间·
附录A(资料性)工业控制系统信息物理融合中的威胁附录B(资料性)工业控制系统信息物理融合安全防护措施参考文献
GB/T41262—2022
本文件按照GB/T1.1一2020《标准化工作导则」第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。本文件起草单位:中国科学院信息工程研究所、北京机械工业自动化研究所有限公司、浙江大学、杭州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司、北京东方通科技股份有限公司。
本文件主要起草人:孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王張、崔君荣、梁炜、张思超、蒋皓、李艺、倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷1范围
工业控制系统的信息物理融合异常检测系统技术要求
GB/T41262—2022
本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求
本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T20275一2013信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语
GB/T36323信息安全技术工业控制系统安全管理基本要求GB/T36324一2018信息安全技术工业控制系统信息安全分级规范术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
工业控制系统industrial control system;ICS一类用于工业生产的控制系统的统称。注:它包含SCADA、DCS和其他一些常见于工业部门与关键基础设施的小型控制系统(如PLC)等3.2
cyber-physical fusion
信息物理融合
将ICS中的指令、状态信息和真实物理系统相结合的过程,注:具体体现为将ICS中生产控制设备中的物料流、信息流、能量流相结合。3.3
信息物理系统cyber-physical system;CPS一个综合计算、网络和物理环境的多维复杂系统。注:通过通信技术、计算机技术和控制技术的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务。
异常abnormal
故障、意外或攻击行为导致的系统出现异于正常或已有基线的情况。1
GB/T 41262—2022
注:包括恶意代码感染、网络攻击、固件篡改、控制逻辑篡改等信息安全事件,以及设备故障、误操作、能耗超出正常阈值、时序超出正常范围、状态统计数据超出正常范围等功能安全事件。3.5
异常检测anomalydetectior
对ICS发生的异常进行检测的过程。3.6
误用检测misusedetection
一种能检测模式库中已涵盖的人侵行为或不可接受的行为的方式。注:在误用检测中首先定义异常系统行为,然后将所有其他行为定义为正常,主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的人侵方法的变种。3.7
信息流informationflow
ICS控制设备中的系统控制指令和设备状态等数据。3.8
物料流materialflow
物质流
在ICS中原材料或半成品加工、检验、装配、试验、存储等过程数据3.9
能量流energyflow
能耗流
ICS中的原材料或半成品在整个生产过程中所产生的能量数据。3.10
脆弱性vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。L来源:GB/T29246—2017,2.893.11
高级持续性威胁攻击advancedpersistentthreat;APT利用各种先进的攻击手段,对高价值目标进行的有组织、长期持续性网络攻击行为,注:此种攻击需要长期经营与策划,因此具有极强的隐蔽性和针对性。在ICS中,此种攻击会带来更严重的财产损失和威胁。
falsedatainjectionattack
虚假数据攻击
利用状态估计器中不良数据辨识方法的局限性,恶意篡改元件的量测值,使控制中心误判当前状态,继而造成工控系统安稳控制措施误动或拒动,从而影响工控系统安全稳定运行的攻击行为,注:通过恶意篡改设备中的数据而实施的攻击,都可视为虚假数据攻击。3.13
ARP毒药攻击ARPpoisoning
对ARP缓存表进行篡改,导致发送给正确主机的数据包被发送给另外一台由攻击者控制的主机的攻击行为,也称ARP欺骗(ARPspoofing)。3.14
内部威胁insiderthreat
内部人利用获得的信任或授权做出损害授信组织合法利益的行为。注:内部威胁不仅仅是内部成员的有意或无意导致的损失,还包括一些外部伪装成内部成员的攻击。2
告警alert
当异常发生时,异常检测系统向授权管理员发出的紧急通知。误报falsepositive
异常检测系统在未发生异常时告警,或者发出错误的告警信息。漏报falsenegative
当攻击发生时异常检测系统未告警。缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(AddressResolutionProtocol)CIP:通用工业协议(CommonIndustrialProtocol)CPU:中央处理器(CentralProcessingUnit)DCS:分布式控制系统(DistributedControlSystem)MAC:媒体存取控制(MediaAccessControlAddress)GB/T41262—2022
OPC:面向对象链接与嵌入的过程控制协议[ObjectLinkingandEmbedding(OLE)forProcessControl
PLC:可编程逻辑控制器(ProgrammableLogicController)SCADA:监视控制与数据采集系统(SupervisoryControlandDataAcquisition)SIS:安全仪表系统(SafetyInstrumented System)VPN:虚拟专用网络(VirtualPrivateNetwork)WIA-FA:工业自动化无线网络(WirelessNetworksforIndustrialAutomation-FactoryAutoma-tion)
5系统概述
5.1系统架构
工业控制系统信息物理融合异常检测系统基本结构如图1所示,主要分为3个部分:感知层、网络层和控制层。感知层主要是由传感器、执行器等ICS现场设备组成,如阀门、开关等。感知层中的传感器作为CPS中的末端设备,主要采集物理环境中具体信息和状态信息形成流数据,通过网络层发送传输到控制层,同时接受来自控制层返回的相应的信息,感知层设备在感知执行物料流的同时完成生产的过程中会产生相应的能耗变化形成能量流。网络层是连接信息世界和物理世界的桥梁,主要实现信息流的实时传输。控制层主要是由具有逻辑控制的工控设备和上位机组成,如SCADA、DCS、PLC等,根据接收的感知层信息流进行相应的分析,将控制指令下发给感知层设备控制生产工艺,并形成物料流数据。感知层和控制层设备同时对应CPS框架的物理层,网络层对应CPS框架的网络层。针对CPS框架下“物料流、信息流、能量流”之间的消耗关系,异常检测系统中的数据采集模块对现场的流量、故障、网络等数据进行采集。异常检测模块通过生成受保护ICS的物料流、信息流、能量流实时关系基线和正常情况,构建异常检测匹配模型,当不匹配时即出现异常,如产生设备故障或遭受外部攻击等。响应和告警模块根据检测出的异常不同类型生成相应的响应结果,传递给检测结果处理模块进行最终的异常处置。异常检测过程中所有的运行过程都应完成日志记录、管理控制和安全管理,保3
GB/T41262—2022
证异常检测系统自身的稳定性、可用性和安全性,CPS框架
控制层
信息流
!物料流
网络层
信息流
感知层
能量流
功能模块
日志记录
异常检测系统
管理控制
信息物理融合异常检测架构图
测结果
安全管理
本文件按照工业控制系统信息物理融合异常检测的安全功能要求的强度,将工业控制系统信息物理融合异常检测产品分为基本级和增强级,如表1所示。工业控制系统信息物理融合异常检测安全保障应符合GB/T18336.3一2015的相关要求。安全功能强弱和安全保障要求高低是等级划分的具体依据。其中,基本级安全功能要求应具备GB/T22239一2019中的第二级安全保护能力;增强级安全功能要求应具备GB/T22239一2019中第三级安全保护能力。在增强级中新增的要求会通过加粗黑体标识。
安全功能要求等级划分
安全功能要求
感知层数据采集
网络层数据采集
控制层数据采集
数据采集
异常检测
协议解析
入侵诱捕
其他安全防护设备数据接人
事件辨别扩展接口
感知层异常检测
网络层异常检测
上位机异常检测
控制器异常检测
工艺参数异常检测
行为异常检测
威胁事件监测
基于白名单规则分析
自学习
基本级
增强级
响应和告警
检测结果处理
管理控制
安全管理
日志管理
安全功能要求
安全功能要求等级划分(续)
事件响应
安全告警
告警方式
告警处置
与其他安全防护设备联动
全局预警
结果记录
结果可视化
统计分析
关联分析
可选查阅
报告输出
唯一性标识
管理员角色定义
基本鉴别
鉴别失败处理
超时锁定或注销
升级管理
接口安全管理
安全状态监测
存储安全
分布式部署
自身安全保障
日志生成
日志内容
目志存储
注:“*”表示具有该要求,“**”表示要求有所增强,“一”表示不适用。功能要求
数据采集
感知层数据采集
基本级
GB/T41262—2022
增强级
系统应具有感知层中信息流、物料流和能量流的数据识别和采集能力,应识别和采集的数据包括:固件版本等感知层设备的软件资产数据;a)
GB/T41262—2022
b)厂商名称、设备类型、设备型号等资产硬件设备指纹信息;能耗、温度等能耗信息;
原料、材料、半成品进行加工或处理过程中的物料信息;d)
生产流程、参数工艺等工艺信息6.1.2网络层数据采集
系统应支持接入网络层数据,具体应支持以下功能:异常流量采集,例如网络扫描、强力攻击、木马后门攻击、拒绝服务攻击、勒索病毒传播等;a)
b)MAC头、IP头在内的全部网络流量分组的采集;c)i
通过无线方式连接的网络数据接入,如5G、Wi-Fi、工业无线WIA-FA等。6.1.3
控制层数据采集
系统应支持接入控制层数据的接入,具体应支持以下功能:a)组态软件、web组件、操作系统等资产软件信息的探测识别;b)厂商名称、设备类型、设备型号等资产硬件设备信息的探测识别;c)接入工业控制设备自身功能故障异常数据介人功能,如PLC、DCS、SCADA、SIS等;d)
数据批量导人导出。
6.1.4协议解析
系统应支持网络层通信协议和工业控制协议的解析,具体应支持以下功能:网络通信协议解析,如HTTP、FTP、SNMP、Telnet等;a
b)工业控制协议解析,如OPC、S7、IEC61850、IEC60870-5-104、CIP、DNP3、Modbus等;现场总线数据无扰监听和解析;c)
自定义工控协议格式规约解析;d)
工控协议内容深度解析,包括工控协议的操作类型、操作对象、操作范围等参数。6.1.5入侵诱捕
系统应支持接入蜜罐捕获的入侵源数据或相同功能产品获取到的威胁情报6.1.6其他安全防护设备的数据接入系统应支持接人防火墙、安全审计设备、漏洞扫描、VPN等受防护目标中部署的其他安全防护设备的数据。
6.1.7事件辨别扩展接口
系统应具备事件辨别扩展接口,具体应支持以下功能:a)以云服务等方式接收安全应急通报机构共享的安全事件或威胁情报;b)将发现的异常向安全应急通报机构上报6.2异常检测
6.2.1感知层异常检测
系统应支持对感知层设备的异常检测,具体应支持以下功能:a)对现场设备违规外联、违规接入等异常检测;6
b)感知层设备断线、损坏等功能异常检测;感知层设备遭受未授权访问、数据篡改等异常检测c)
注:具体感知层威胁及对应防护措施见附录A、附录B6.2.2网络层异常检测
GB/T41262—2022
系统应支持对网络层通信协议和工控协议的通信流量异常检测,具体应支持以下功能:监测受保护网段内的地址、端口的报文流量和字节流量;a)
非正常报文流人工业控制网络的检测;c)
网络通信中存在的膜探、非法监听等检测;对无线通信的异常流量检测,
IPv4/v6双栈协议中的异常流量检测;e)
隐匿通信通道检测。
注:具体网络层威胁及对应防护措施见附录A、附录B。6.2.3上位机异常检测
系统应支持对控制层中工程师站、操作员站等上位机的异常检测,具体应支持以下功能:a)
对上位机下行的控制指令进行异常检测;b)
对上位机与其他业务管理的信息系统之间信息流的异常检测:c)
对上位机违规开启端口或服务、异常配置、异常组态变更的检测d)
识别上位机上违规使用应用软件情况,如游戏、视频、社交应用、远程控制等;对上位机中USB等外设违规接人检测;e)
发现误操作、恶意操作等违规操作行为;对上位机中CPU、内存等资源使用情况设置正常阈值,当出现异常使用情况时具备实时检测g)
能力。
6.2.4控制器异常检测
系统应支持控制层控制设备的异常检测,具体要求包括:应支持对控制设备的数据内容和负载信息等异常检测;a)
应支持对控制设备自身故障、SIS告警的异常检测;b)
应支持对控制设备感染恶意代码的异常检测;c)
应支持对控制设备的误用检测;d)
应具备控制器中控制点位、控制值、控制器状态信息等异常检测能力。6.2.5行为异常检测
系统应具备对受保护目标ICS中攻击入侵行为的检测能力,具体要求包括:应支持网络扫描行为检测,如端口扫描、口令破解等;a)
应支持对网络攻击行为检测,如IP欺骗、IP碎片攻击、ARP毒药攻击、虚假数据攻击、序列攻击、中间人攻击、重放攻击等;应支持对通信协议、软件、嵌人式设备等已知漏洞攻击行为检测;c)
d)应支持对ICS中误操作、工程师站组态变更、操控指令变更、PLC下装、固件升级等关键行为异常的检测;
应支持对ICS存在的APT攻击检测;应支持对通信协议、软件、嵌入式设备等未知漏洞攻击行为检测:7
GB/T41262—2022
g)应具有攻击者、攻击方式、攻击链路的分析和刻画能力。6.2.6工艺参数异常检测
系统应具备对受保护ICS中业务工艺生产状态异常检测能力,具体应支持以下功能:a)对物料流异常、能耗异常的检测;b)对工艺参数变更、重要工艺故障的检测;c)对未按规定的造成加工件或成品严重影响的异常检测,6.2.7威胁事件检测
系统应具备对实时检测受保护目标ICS威胁事件的能力,具体要求包括:应支持网络安全威胁事件实时检测,例如:缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQLa)
注人、敏感信息泄露等:
应支持受保护目标ICS安全管理中存在不合规的异常检测,具体要求应符合GB/T36323的b)
相关规定;
应支持内部威胁检测;
应具有威胁类型和危害程度的评估能力;d)
应支持潜在或隐藏的威胁事件检测;应支持对接收到的共享威胁情报在受保护目标ICS中进行检测识别;应具有威胁对象定位、影响范围评估的能力;h)
应具有威胁来源追溯的能力。
6.2.8基于白名单规则分析
系统应具有基于白名单规则分析能力,具体应支持以下功能:对PLC、SCADA、RTU等控制器的白名单检测;a)
b)针对控制器的数据包进行快速有针对性的捕获与深度解析;c)结合白名单对不符合规则的控制器异常进行告警。6.2.9自学习
系统应具有自学习能力,具体应支持以下功能:基于自学习模式,对ICS中的协议和流量行为进行被动式的学习,从而自动生成相关策略a
自学习模式下的网络流量行为不产生告警;b)
首学习模式的功能包括资产识别、网络基线和工控协议白名单6.3响应与告警
6.3.1异常分类
系统应具备对检测到的异常进行分类的能力,具体应支持以下功能:a)对不同类型的信息安全类异常进行分级,分级方式见GB/T36324一2018中5.1;b)对不同类型的功能安全类异常进行分级,分级方式见GB/T36324一2018中5.2.2;c)对应的响应方式,包括告警、阻断和排除等。6.3.2安全告警
系统应支持在检测到异常时产生告警,并向用户提供处理建议8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。