GB/T 41262-2022 工业控制系统的信息物理融合异常检测系统技术要求.pdf
- 文档部分内容预览:
GB/T 41262-2022 工业控制系统的信息物理融合异常检测系统技术要求
系统应具有感知层中信息流、物料流和能量流的数据识别和采集能力,应识别和采集的数据包 a)固件版本等感知层设备的软件资产数据:
GB/T 412622022
螺旋钢管标准b))商名称、设备类型、设备型号等资产硬件设备指纹信息: C 能耗、温度等能耗信息; d) 原料、材料、半成品进行加工或处理过程中的物料信息;
6.1.2网络层数据采集
6.1.3控制层数据采集
系统应支持接入控制层数据的接入,具体应支持以下功能: a)组态软件、web组件、操作系统等资产软件信息的探测识别; b)厂商名称、设备类型、设备型号等资产硬件设备信息的探测识别: c)接人工业控制设备自身功能故障异常数据介人功能,如PLC、DCS、SCADA、SIS等 d)数据批量导入导出
6.1.6其他安全防护设备的数据接入
系统应支持接人防火墙、安全审计设备、漏洞扫描、VPN等受防护目标中部署的其他安全 的数据。
6.1.7事件辨别扩展接
系统应具备事件辨别扩展接口,具体应支持以下功能: a)以云服务等方式接收安全应急通报机构共享的安全事件或威胁情报; b)将发现的异常向安全应急通报机构上报。
6.2.1感知层异常检测
系统应支持对感知层设备的异常检测,具体应支持以下功能: a)对现场设备违规外联、违规接人等异常检测
b)感知层设备断线、损坏等功能异常检测; c)感知层设备遭受未授权访问、数据篡改等异常检测。 注:具体感知层威胁及对应防护措施见附录A、附录B
6.2.2网络层异常检测
系统应支持对网络层通信协议和工控协议的通信流量异常检测,具体应支持以下功能: a)监测受保护网段内的地址、端口的报文流量和字节流量; b) 非正常报文流入工业控制网络的检测; 网络通信中存在的膜探、非法监听等检测; 对无线通信的异常流量检测; e IPv4/v6双栈协议中的异常流量检测; f 隐暨通信通道检测。 注:具体网络层威胁及对应防护措施见附录A、附录B
6.2.3上位机异常检测
系统应支持对控制层中工程师站、操作员站等上位机的异常检测,具体应支持以下功能: a)对上位机下行的控制指令进行异常检测; b)对上位机与其他业务管理的信息系统之间信息流的异常检测; C 对上位机违规开启端口或服务、异常配置、异常组态变更的检测; 识别上位机上违规使用应用软件情况,如游戏、视频、社交应用、远程控制等; 对上位机中USB等外设违规接人检测; 发现误操作、恶意操作等违规操作行为; g 对上位机中CPU、内存等资源使用情况设置正常阈值,当出现异常使用情况时具备实时检测 能力。
6.2.4控制器异常检测
系统应支持控制层控制设备的异常检测,具体要求包括: a)应支持对控制设备的数据内容和负载信息等异常检测; b 应支持对控制设备自身故障、SIS告警的异常检测; 应支持对控制设备感染恶意代码的异常检测; d) 应支持对控制设备的误用检测; 应具备控制器中控制点位、控制值、控制器状态信息等异常检测能力
6.2.5 行为异常检测
g)应具有攻击者、攻击方式、攻击链路的分析和刻画能力
6.2.6工艺参数异常检测
系统应具备对受保护ICS中业务工艺生产状态异常检测能力,具体应支持以下功能: a)对物料流异常、能耗异常的检测; b)对工艺参数变更、重要工艺故障的检测: C)对未按规定的造成加工件或成品严重影响的异常检测
6.2.7威胁事件检测
系统应具备对实时检测受保护目标ICS威胁事件的能力,具体要求包括: a 应支持网络安全威胁事件实时检测,例如:缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQI 注入、敏感信息泄露等; b 应支持受保护目标ICS安全管理中存在不合规的异常检测,具体要求应符合GB/T36323的 相关规定; 应支持内部威胁检测; d 应具有威胁类型和危害程度的评估能力; e 应支持潜在或隐藏的威胁事件检测; f) 应支持对接收到的共享威胁情报在受保护目标ICS中进行检测识别; g) 应具有威胁对象定位、影响范围评估的能力; h 应具有威胁来源追潮的能力
6.2.8基于自名单规则分析
系统应具有基于百名单规则分析能力,具体应支持以下功能: a)对PLC、SCADA、RTU等控制器的白名单检测; b)针对控制器的数据包进行快速有针对性的捕获与深度解析; C)结合白名单对不符合规则的控制器异常进行告警
系统应具有自学习能力,具体应支持以下功能: )基于自学习模式,对ICS中的协议和流量行为进行被动式的学习,从而自动生成相关策略 自学习模式下的网络流量行为不产生告警; c)自学习模式的功能包括资产识别、网络基线和工控协议白名单
系统应具有自学习能力,具体应支持以下功能 a)基于自学习模式,对ICS中的协议和流量行为进行被动式的学习,从而自动生成相关策略; 自学习模式下的网络流量行为不产生告警; c)自学习模式的功能包括资产识别、网络基线和工控协议白名单
系统应具备对检测到的异常进行分类的能力,具体应支持以下功能: a)对不同类型的信息安全类异常进行分级,分级方式见GB/T36324一2018中5.1; b)对不同类型的功能安全类异常进行分级,分级方式见GB/T36324一2018中5.2.2; )对应的响应方式,包括告警、阻断和排除等
系统应支持在检测到异常时产生告警,并向用户提供处理
系统应具备告警处置功能,具体要求包括: a)在受保护目标ICS遭受到严重影响的入侵事件或故障时,应具备对关键路径上的目标提供处 置建议的能力,避免或限制对受保护目标ICS造成更严重的结果; 系统应在受保护目标ICS遭受到严重影响的入侵事件时,具有阻断能力
立在失效告警或误报异常时,提供用户排除响应的
统应具备对受保护目标ICS的自动化全局智能预
6.3.7与其他安全防护设备联动
系统应具备对异常检测的结果进行实时记录的能力,提供用户对结果可视化展示、可选查阅和结果 报告输出
系统应具有统计分析能力,具体要求包括: a)应支持包括通信流量、上位机、控制器、行为、威胁等异常的统计分析; b)应支持工艺参数等异常的统计分析; c)应具有挖掘受保护目标ICS中潜藏或未知异常的能力
系统应具备对物料流、信息流、能量流多维数据一致性异常关联分析的能力
系统应具有异常检测结果可视化能力,具体应支持以下功能: a)提供图形化展示模块和仪表盘功能; b)提供全面实时的信息展示; c)从资产、协议流量、网络威胁等多个视角展示; d)结合实时曲线、动态占比、动态排行等显示模块
GB/T 412622022
系统应具有异常检测结果可选查阅能力,具体应支持以下功能: a)提供用户按照时间、类型、IP地址等不同属性的单选项查询; b)多属性联合查询。
系统应支持用户以PDF、Word、HTML等不同格式的输出检测结果报告
系统应保证用户具有唯一的标识,用于区分不同用户的身份和权限。
6.5.2管理员角色定义
系统应具有管理员角色定义功能,具体应支持以下功能: 且)针对管理员角色建立配置、授权、审计相互独立的账号机制; b)将超级用户特权集进行划分,分别授予配置管理员、安全管理员和审计管理员; )实现配置管理、安全管理和审计管理功能的同时,也保证管理员权限的隔离
a)用户在登录、配置、修改口令或升级时具备要求身份鉴别的能力: b)首次使用时,强制要求用户修改默认口令或设置口令; C)支持对口令的强度进行检查的能力.避免用户使用弱口令或默认口令
6.5.4鉴别失败处理
系统应具备用户鉴别尝试失败的國值,确保用户身份鉴别失败超出值时,系统支 别的请求,
系统应具备用户鉴别尝试失败的阈值,确保用户身份鉴别失败超出阈值时,系统支持阻断进一步 的请求。
6.5.5超时锁定或注销
系统应具备用户登录超过规定时间國值时,对用户进行超时锁定或注销当前用户登录状态 户重新进行身份鉴别
系统应具有自身升级管理的能力,具体要求包括如下: a)应支持离线和在线两种升级方式; b)应支持系统版本或规则库版本老旧影响使用的情况下向用户发送告警信息; C)应具备对升级来源进行校验的能力
6.6.1接口安全管理
系统应具有接口安全管理能力,具体应支持以下功能
具有接口安全管理能力,具体应支持以下功能
据或结果导人导出、其他安全防护设备 数据接人、系统升级等:
6.6.2 安全状态监测
系统应支持对自身安全状态的实时监测能力,具体应支持以下功能: a)发现系统存在的版本未升级、规则库老旧等问题时,提醒用户升级; b)发现穷举攻击、未授权访问等安全验证绕过问题时,提醒用户更改口令
系统应具备安全保护机制,具体要求包括: a)应支持不同类型数据的防篡改功能; b)应支持存储空间监测功能,保证系统中数据的存储安全
6.6.4自身安全保障
身其他安全保障应符合GB/T20275一2013中
系统应具备分布式部署的受保护ICS同步关联的异常检测分析能力
系统应具备自动对数据采集、异常检测、响应与告警、检测结果处理和管理控制过程中产 和数据进行自动化生成日志的能力
系统保存的日志应包括检测到异常的具体日期、时间、用户标识、描述、告警信息和用户响应 同时应包括系统的登录、升级、配置等操作内容
系统日志存储应具备安全存储的功能,具体要求包括: a)应在受限访问权限的情况下进行安全存储; b)应具备安全加密、备份和恢复能力; C)日志存储时间不应少于6个月
误报率要求如下: a)系统应将误报率控制在应用许可的范围10%以内; b)不应对受保护的ICS产生影响; c)支持IPv6网络环境下工作的系统误报率应满足上述指标
7.4并发连接数监控能力
7.5新建TCP连接速率监据
系统的异常检测时间性能要求如下: a)功能安全类异常检测时间应不高于1s; b)信息安全类异常检测时间应不高于3s。
系统的异常检测时间性能要求如下:
核电厂标准规范范本附录A (资料性) 工业控制系统信息物理融合中的威胁
感知层主要由各种物理传感器、执行器等组成,是整个物理信息系统中信息的来源。为了适应多变 的环境,网络节点多布置在无人监管的环境中,因此易被攻击者攻击。常见的针对感知层的攻击方 有: a)数据破坏:攻击者未经授权,对感知层获取的信息进行篡改、增删或破坏等; b)信息窃听:攻击者通过搭线或利用传输过程中的非法监听,造成数据隐私泄露等问题: c)节点捕获:攻击者对部分网络节点进行控制,可能导致密钥泄露,危及整个系统的通信安全
控制层中数据库中存放着大量用户的隐私数据,因此在这一层中一且发生攻击就会出现大量隐私 世漏的问题。针对应用层的主要威胁有。 a)用户隐私泄漏:用户的所有的数据都存储在控制层中的数据库中,其中包含用户的个人资料等 隐私的数据都存放在数据库中,一旦数据库被攻陷,就会导致用户的隐私产生泄漏,造成很严 重的影响。 b 恶意代码:恶意代码是指在运行过程中会对系统造成不良影响的代码库,攻击者一般股会将这些 代码嵌人到注释中,脚本一且在系统中运行,就会对系统造成严重的后果。 非授权访问:对于一个系统,会有各种权限的管理者,比如超级管理员,对该系统有着最高的操 作权限,一般管理员对该系统有部分的操作权限。非授权访问指的就是攻击者在未经授权的 情况下不合理的访问本系统,攻击者欺骗系统,进人到本系统中对本系统执行一些恶意的操作 就会对本系统产生严重的影响。 d 软件设计缺陷:工业控制软件的开发人员不同的编程能力、对功能的理解能力,以及软件供应 链环节使用存在潜在隐患的开源程序、第三方组件等,导致软件开发存在设计缺陷。这些设计 缺陷一旦被攻击者挖掘到漏洞,可被用于发起拒绝服务攻击、验证绕过、非授权访问或窃取敏 感数据等。如勒索病毒事件、国际知名SCADA软件被曝光一系列远程命令执行高危漏洞等。
附 录 B (资料性) 工业控制系统信息物理融合安全防护措施
知层可能出现的物理攻击,采取以下安全措施进行相应的保护。感知网络层的物理传感器一般放在无 人的区域,缺少传统网络物理上的安全保障,节点容易受到攻击。因此,在这些基础结点上设计的初级 价段就要充分考虑到各种应用环境以及攻击者的攻击手段,建立有效的容错机制,降低出错率。对节点 的身份进行一定的管理和保护,对结点增加认证和访问控制,只有授权的用户才能访问相应供应结点的 数据,这样的设计能够使未被授权的用户访问无法访问结点的数据,有效地保障了感知网络层的数据 安全。
在网络层中采取安全措施的目的就是保障CPS通信过程中的安全,主要包括数据的完整性、数据 主传输过程中不被恶意改,以及用户隐私不被泄露等。具体措施可以结合加密机制、路由机制等方面 进行阐述。点对点加密机制可以在数据跳转的过程中保证数据的安全性,由于在该过程中每个节点都 是传感器设备,获取的数据都是没有经过处理的数据,也就是直接的数据,这些数据被攻击者捕获之后 立即就能得到想要的结果,因此将每个节点上的数据进行加密,加密完成之后再进行传输可以降低被攻 击者解析出来的概率。安全路由机制就是数据在互联网传输的过程中,路由器转发数据分组的时候如 果遭遇攻击石油标准,路由器依旧能够正确地进行路由选择,能够在攻击者破坏路由表的情况下构建出新的路由 表,做出正确的路由选择,CPS针对传输过程中各种安全威胁,可设计出更安全算法,建设更完善的安 全路由机制
GB/T41262—2022
1]GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇
....- 检测试验 技术标准 检测标准 工业标准
- 相关专题: