GBT 41263-2022 工控系统动态重构主动防御体系架构规范.pdf
- 文档部分内容预览:
5.2过程监控层异构编译环境多态部署
图2动态重构主动防御体系架构部署方案
过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装 所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。
工业控制基础软件模块应以静态多变体自动生成技术为支撑脚手架标准规范范本,搭建不同层次(函数级、模块级、操 级、控制业务级)的多模非相似系统
异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况,部署X86、
ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统
5.2.3.2静态多变体自动生成组件
异构编译与编译环境多态部署机制的实施要求包括: a)应保证每个编译环境的架构和操作系统的差异; b)应保证编译器数量要大于或等于下位机运行时系统数量 c)应保证编译生成结果能够被有效解析并且功能一致; d)应保证编译模块和工程文件安全验证机制的功能联动和安全性
5.3工控网络信息安全传输机制
针对ICS的非实时性业务和实时性业务,构建具备动态防御功能的安全传输协议,实现内生安全 的工业网络体系。在信息传输环节应对组态文件、控制程序和实时监控数据进行保护,在控制设备之间 应建立动态、透明的安全专属信道 应分别面向会话层和数据链路层,应用该机制设计信息安全传输模式
5.3.2.1安全目标
会话层信息安全传输模式的安全目标是依托现有工控网络的基础网络及组件,通过会话层协议 供点对点动态加密通信机制和分片随机传输方式,形成对会话信息通道和信息安全的主动防
5.3.2.2安全要求
会话层信息传输安全要求包括: 应以协议安全为基础,构建内生安全的控制网络体系; b)应兼容蓝牙、无线、有线电缆光纤等传输介质和底层协议; 直连通信隧道应动态随机变化,具备唯一性和不可复制性; d)通信路径应动态随机变化,具备主动防御功能; e 点对点通信网络时延应小于50ms; 应建立完善的通信网络安全管理体系,对工控通信设备的入网、下线,用户权限及认证口令等 进行规范管理: g)工控系统网络中节点组件之间的通信应具备安全性和稳定性。 注:通信的安全性指不被非法第三方获取到通信内容,稳定性指信息传输不因部分节点的损坏而无法完成传输
5.3.2.3安全策略
工控网络信息安全传输应采用重构的通信基础协议、动态加密隧道和多分片随机路径传输方式 全性和稳定性。具体要求如下。 a)应对通信基础协议进行重构,重构的通信基础协议模型如图5所示
图5安全传输协议网络模型
b)安全传输协议会话层应提供确认/重传机制,以及不同工控网络终端用户穿越网络的连接 c)安全传输协议的路由应提供工控网络信息传输路径的动态随机选取机制。 d)安全传输协议应提供对等网络通信访问方式,提供点对点直连通信隧道。 e)安全传输协议应提供API,应支持工控客户端(应用程序)和基础网络间的安全连接。 点对点直连通信隧道应提供支持商用密码算法SM2和SM4算法的隧道和信息加密方式。 g)通信隧道加密应支持动态加密方式。 h)工控信息传输应提供传输路径的随机选取功能,在部分路径失效时,仍应支持通过其他路径完 成信息传输 1 工控信息传输应提供动态信息分片功能,在攻击者获取分片的情况下,应保证其无法获取与其 他分片关联及完整信息。 1 工控信息传输路径的中间节点应提供信息传输即删除机制。
5.3.2.4实施要求
会话层信息安全传输的实施要求如下: a)工控网络信息发送端和接收端均应安装统一的安全传输协议程序; b)设备均应通过安全传输协议模块统一接入网络,直接接人网络的设备应视作非法终端,无法和 其他设备进行通信; 应建立统一的分布式节点网络,分布式网络节点均应记录其他节点的地址; 用户端应采用统一的对称加密算法、统一的动态密钥生成算法,
5.3.3数据链路层信息安全传输模式
5.3.3. 1安全且标
数据链路层信息安全传输模式的安全 有效性,通过链路层以太网顿安全重构与合 防止外部攻击者利用非授
5.3.3.2安全要求
数据链路层信息传输安全要求包括: )应在链路层协议安全的基础上,构建内生安全的控制网络体系,应具备抵御非授权访向、数据 篡改、数据伪造和重放攻击的功能; b)应兼容工业以太网协议和IPsec安全协议; c)应对控制设备透明,不应影响控制系统的上层应用协议;
e)安全要素应动态随机变化,具备主动防御功能: f)链路层安全协议应通过FPGA硬件实现,应保障协议栈的可靠性和自身安全性
5.3.3.3安全策略
在数据链路层应对以太网顿进行安全重构,具体要求如下。 a)发送端应对以太网顿进行安全封装,在其尾部应嵌人时间戳、认证口令和摘要等必要的安全载 荷,形成安全以太顿。安全以太结构如图6所示,安全以太帧构造及解析流程如图7所示。 b)接收端应对安全顿进行解析、验证与还原,对非法顿应进行过滤,阻止其在控制设备之间传递。 c)还原后的合规以太网顿与发送端发出的原始以太网顿应保持完全一致。 数据完整性保护范围应包括:以太网首部、IP首部、TCP首部、应用数据、认证口令和时间戳等 关键信息 数据保密性保护范围应包括应用数据和嵌入的安全载荷。在控制网络实时性要求极高,且应 用数据不敏感的应用场景下,宜仅对安全载荷信息进行加密保护
图7安全以太顿构造及解析流程
5.3.3.4实施要求
5.4现场控制层异构运行逻辑及智能判决机制
5.4. 1 安全且标
现场控制层异构运行逻辑及智 决机制的安全目标是进行运行时安全的检测和保护,解决持 执行端设备内部运行时系统存在的关键内存数据、逻辑代码被篡改等安全问题。 本机制应适用于ICS的现场控制层相关设备
在执行阶段的下位机中应分别部 例模块,形成一种基于多路功能 块穴余仲裁的工业安全部署,各 间,应通过智能穴余裁决决定输出
在下位机中部署运行时模块实例,每个运行时模块应有彼此独立的运行空间。每个运行时模块应 互不关联、互不干扰并且同时运行。应通过运行一个管理进程,对所有的运行时模块进行管理、控制、裁 决报警等。
5.4.3.2模块级动态重构
模块级动态重构组件应包括N个(N≥3)逻辑运行时系统,其示意图如图9所示。这些逻辑运行 时实例运行的控制逻辑分别来自不同的编译服务器,不同逻辑运行时实例的逻辑功能等价,但是内部结 构均不应相同。 工业安全控制器应采用总线方式管理多个逻辑运行时实例,其中消息总线应用于多个逻辑运行时 实例之间的同步控制消息和状态信息;逻辑数据总线应用于传输和同步逻辑数据;I/O总线应用于对仲 裁数据进行输出。 每个逻辑运行时实例中均应包含一个仲裁逻辑模块,应通过逻辑数据总线获取系统中NV个用户逻 算的中间数据结果及其他信息,进行数据管理、逻辑控制、结果裁决、监视报警等。判断实例是否具有仲 裁执行权宜采用以时标靠前的优先原则为主的判断逻辑。具有执行权的仲裁逻辑模块应将最终的仲裁 结果输出到1/0总线
5.4.3.3准同步执行方法
图9模块级动态重构示意图
在异构几余的架构下,存在多个逻辑运行时系统,应通过消息总线进行管理和控制。扫描执行周期
GB/T41263—2022
为多个逻辑运行时模块实例在各自独立空间中的运行过程, 注:每个运行时模块有彼此独立的运行空间,用来解析、加载可执行程序到指定的内存空间。 准同步执行方法如图10所示,应符合以下步骤, a 在系统上电后,多个独立的仲裁逻辑实例开始运行,经过初始化后进入等待逻辑执行结束的 状态。 当收到其他多个独立的用户逻辑运行结束的消息或者等待超时以后,进入仲裁权判断状态。 C 在仲裁判断状态下,根据各自的运行信息综合判断出是否获得执行权,如果该仲裁逻辑实例未 能获得执行权则将进人等待启动逻辑运行消息状态。 d 在等待启动逻辑运行消息状态下如果收到启动逻辑运行消息则立即进入等待逻辑执行结束状 态,如果等待超时后,则通过发送启动逻辑运行消息,启动本实例内的用户逻辑,之后进人等待 逻辑执行结束状态。 如果本地的仲裁逻辑实例获取了仲裁执行权则开始执行仲裁逻辑,在仲裁逻辑执行结束后将 仲裁结果通过仲裁输出消息总线发送出去,之后进入等待逻辑周期结束的状态。 f 在等待逻辑周期结束状态中,判断是否到达启动下一次用户逻辑运行的周期,当用户逻辑执行 周期到达后进入发送启动逻辑运行消息的状态,完成启动逻辑运行消息的发送之后进入等待 逻辑执行结束的状态。 g 当有某个逻辑运行时实例异常时,获取了仲裁执行权的仲裁逻辑实例检测并将其踢出仲裁域 上述步骤在满足执行条件时不断重复
5.4.3.4智能输出判决组件
图10准同步执行方法示意图
具有执行权的仲裁逻辑实例均可对多 逻辑实例的中间输出运算结果进行判决。判决算注 决于用户逻辑实例的个数、逻辑执行周期等多种因素,本文件不给出具体的实现方法
现场控制层异构运行逻辑及智能判决机制的实施要求包括: a)逻辑运行时系统和仲裁模块应使用软件实现; b)相关实现不应影响控制器可用性:
GB/T 412632022
c)实时性业务影响不应超过5% d)应使用权限分离防止各个逻辑运行时系统相互影响: e)应保证仲裁模块的安全和隔离。
5.5工程文件安全存储验证机制
工程文件安全存循储微证机制的安全 实存储,实现用户端对批量工程文化 真实性的快速验证,主动防御工程文件篡改带来的安全风险
工程文件安全存储验证机制的安全要求包括: a)应支持海量工程文件的真实存储; b 应保证存储的工程文件不可算改: C 应支持所存储工程文件的多点备份; 容错率不应低于25%,部分节点失效不应影响系统运行; e) 应保证备份内容的一致性; f) 应支持工程文件的快速验证真伪; 应支持工程文件验证TPS大于4000
工程文件安全存储验证机制包括: a 应建立独立于发送端和接收端的工程文件分布式存储验证平台,应通过平台存储文件指纹信 息支持海量文件的安全存储和快速验证土地标准,工程文件安全存储验证流程如图11所示; D 应提供SM3算法工具作为保证工程文件真实性的技术基础 C 工程文件存储验证平台应存储工程文件的SM3值,通过SM3值验证接收端的文件是否被 修改; d 工程文件存储应提供共识机制和链式存储方式; 工程文件验证应提供文件SM3值对比验证工具
注1:工程文件的指纹信息是采用国密SM3算法计算得出的,唯一对应每个文件,一旦文件被修改,其文件经SM3 算法计算的值则会不同,从而验证工程文件是否被修改。 注2:共识机制保证对指纹信息的存储是经过参与共识的节点同意的,单一或某些节点篡改无法通过共识,不会记 录在区块链上。
图11工程文件区块链安全存储验证
工程文件安全存储的实施要求包括: a)工程文件存储验证分布式平台节点数量应大于或等于4; b)应支持软国密与硬国密部署; c)应支持和主流数据库对接; d)应支持与CA系统对接; e)应支持与国产服务器、国产操作系统、国产数据库对接。
6信息安全评价指标参数规定
电子产品标准GB/T41263—2022
在一个工控系统的典型业务系统中,涉及实时性的业务有实时监测I/O点业务环节以及PLC运行 时逻辑周期业务环节,非实时性业务有工程文件编译和下装业务环节,信息安全评价的具体规定如下。 a)对于非实时性业务,应通过时延定值来判断新的防御技术对其的影响。 b)对于实时性业务,应采用实时性相对指标表征。例如,当实时监测I/O点环节和PLC运行时 逻辑周期业务环节(选取工控系统中三个典型周期值50ms、100ms、200ms作为参考)产生 的时延均小于5%时,表明工控系统中实时性业务的影响量小于5%
L1 GB/T26333一2010工业控制网络安全风险评估规范 [2 GB/T32919一2016信息安全技术工业控制系统安全控制应用指南 [3] GB/T33008.1一2016工业自动化和控制系统网络安全可编程序控制器(PLC) 第1部 分:系统要求 [4] GB/T36293一2018火力发电厂分散控制系统技术条件
....- 相关专题: