GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求_第1頁
GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求_第2頁
GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求_第3頁
GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求_第4頁
GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求2022-03-09發(fā)布2022-10-01實(shí)施國家市場監(jiān)督管理總局GB/T41262—2022 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 35系統(tǒng)概述 35.1系統(tǒng)架構(gòu) 35.2功能模塊 46功能要求 56.1數(shù)據(jù)采集 56.2異常檢測 66.3響應(yīng)與告警 86.4檢測結(jié)果處理 96.5管理控制 6.6安全管理 6.7日志管理 7性能要求 7.1誤報(bào)率 7.2漏報(bào)率 7.3流量監(jiān)控能力 7.4并發(fā)連接數(shù)監(jiān)控能力 7.5新建TCP連接速率監(jiān)控能力 7.6檢測時(shí)間 附錄A(資料性)工業(yè)控制系統(tǒng)信息物理融合中的威脅 附錄B(資料性)工業(yè)控制系統(tǒng)信息物理融合安全防護(hù)措施 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國自動(dòng)化系統(tǒng)與集成標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC159)歸口。本文件起草單位:中國科學(xué)院信息工程研究所、北京機(jī)械工業(yè)自動(dòng)化研究所有限公司、浙江大學(xué)、杭州優(yōu)穩(wěn)自動(dòng)化系統(tǒng)有限公司、北京工業(yè)大學(xué)、上海電力大學(xué)、中國科學(xué)院聲學(xué)研究所、奇安信科技集團(tuán)股份有限公司、中國信息通信研究院、中國科學(xué)院沈陽自動(dòng)化研究所、浙江中控技術(shù)股份有限公司、北京東方通科技股份有限公司。1工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求本文件規(guī)定了融合信息空間和物理空間的工業(yè)控制系統(tǒng)異常檢測技術(shù)架構(gòu)、功能模塊、功能要求及性能要求。本文件適用于工業(yè)控制安全廠商、設(shè)備生產(chǎn)廠商研制高效的信息物理融合異常檢測設(shè)備。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分:安全保障組件GB/T20275—2013信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語GB/T36323信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求GB/T36324—2018信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。一類用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱。注:它包含SCADA、DCS和其他一些常見于工業(yè)部門與關(guān)鍵基礎(chǔ)設(shè)施的小型控制系統(tǒng)(如PLC)等。將ICS中的指令、狀態(tài)信息和真實(shí)物理系統(tǒng)相結(jié)合的過程。注:具體體現(xiàn)為將ICS中生產(chǎn)控制設(shè)備中的物料流、信息流、能量流相結(jié)合。信息物理系統(tǒng)cyber-physicalsystem;CPS一個(gè)綜合計(jì)算、網(wǎng)絡(luò)和物理環(huán)境的多維復(fù)雜系統(tǒng)。注:通過通信技術(shù)、計(jì)算機(jī)技術(shù)和控制技術(shù)的有機(jī)融合與深度協(xié)作,實(shí)現(xiàn)大型工程系統(tǒng)的實(shí)時(shí)感知、動(dòng)態(tài)控制和信息服務(wù)。故障、意外或攻擊行為導(dǎo)致的系統(tǒng)出現(xiàn)異于正常或已有基線的情況。2對ICS發(fā)生的異常進(jìn)行檢測的過程。誤用檢測misusedetection一種能檢測模式庫中已涵蓋的入侵行為或不可接受的行為的方式。注:在誤用檢測中首先定義異常系統(tǒng)行為,然后將所有其他行為定義為正常,主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊。通過捕獲攻擊及重新整理,可確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。ICS控制設(shè)備中的系統(tǒng)控制指令和設(shè)備狀態(tài)等數(shù)據(jù)。物質(zhì)流能耗流ICS中的原材料或半成品在整個(gè)生產(chǎn)過程中所產(chǎn)生的能量數(shù)據(jù)??赡鼙灰粋€(gè)或多個(gè)威脅利用的資產(chǎn)或控制的弱點(diǎn)。高級持續(xù)性威脅攻擊advancedpersistentthreat;APT利用各種先進(jìn)的攻擊手段,對高價(jià)值目標(biāo)進(jìn)行的有組織、長期持續(xù)性網(wǎng)絡(luò)攻擊行為。注:此種攻擊需要長期經(jīng)營與策劃,因此具有極強(qiáng)的隱蔽性和針對性。在ICS中,此種攻擊會(huì)帶來更嚴(yán)重的財(cái)產(chǎn)損虛假數(shù)據(jù)攻擊falsedatainjection利用狀態(tài)估計(jì)器中不良數(shù)據(jù)辨識方法的局限性,惡意篡改元件的量測值,使控制中心誤判當(dāng)前狀態(tài),繼而造成工控系統(tǒng)安穩(wěn)控制措施誤動(dòng)或拒動(dòng),從而影響工控系統(tǒng)安全穩(wěn)定運(yùn)行的攻擊行為。注:通過惡意篡改設(shè)備中的數(shù)據(jù)而實(shí)施的攻擊,都可視為虛假數(shù)據(jù)攻擊。ARP毒藥攻擊ARPpoisoning對ARP緩存表進(jìn)行篡改,導(dǎo)致發(fā)送給正確主機(jī)的數(shù)據(jù)包被發(fā)送給另外一臺(tái)由攻擊者控制的主機(jī)內(nèi)部人利用獲得的信任或授權(quán)做出損害授信組織合法利益的行為。注:內(nèi)部威脅不僅僅是內(nèi)部成員的有意或無意導(dǎo)致的損失,還包括一些外部偽裝成內(nèi)部成員的攻擊。3當(dāng)異常發(fā)生時(shí),異常檢測系統(tǒng)向授權(quán)管理員發(fā)出的緊急通知。異常檢測系統(tǒng)在未發(fā)生異常時(shí)告警,或者發(fā)出錯(cuò)誤的告警信息。漏報(bào)falsenegative當(dāng)攻擊發(fā)生時(shí)異常檢測系統(tǒng)未告警。4縮略語下列縮略語適用于本文件。ARP:地址解析協(xié)議(AddressResolutionProtocol)CIP:通用工業(yè)協(xié)議(CommonIndustrialProtocol)CPU:中央處理器(CentralProcessingUnit)DCS:分布式控制系統(tǒng)(DistributedControlSystem)MAC:媒體存取控制(MediaAccessControlAddress)OPC:面向?qū)ο箧溄优c嵌入的過程控制協(xié)議[ObjectLinkingandEmbedding(OLE)forProcessControl]PLC:可編程邏輯控制器(ProgrammableLogicController)SCADA:監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)(SupervisoryControlandDataAcquisition)SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystem)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)WIA-FA:工業(yè)自動(dòng)化無線網(wǎng)絡(luò)(WirelessNetworksforIndustrialAutomation-FactoryAutoma-tion)5系統(tǒng)概述5.1系統(tǒng)架構(gòu)工業(yè)控制系統(tǒng)信息物理融合異常檢測系統(tǒng)基本結(jié)構(gòu)如圖1所示,主要分為3個(gè)部分:感知層、網(wǎng)絡(luò)層和控制層。感知層主要是由傳感器、執(zhí)行器等ICS現(xiàn)場設(shè)備組成,如閥門、開關(guān)等。感知層中的傳感器作為CPS中的末端設(shè)備,主要采集物理環(huán)境中具體信息和狀態(tài)信息形成流數(shù)據(jù),通過網(wǎng)絡(luò)層發(fā)送傳輸?shù)娇刂茖?,同時(shí)接受來自控制層返回的相應(yīng)的信息,感知層設(shè)備在感知執(zhí)行物料流的同時(shí)完成生產(chǎn)的過程中會(huì)產(chǎn)生相應(yīng)的能耗變化形成能量流。網(wǎng)絡(luò)層是連接信息世界和物理世界的橋梁,主要實(shí)現(xiàn)信息流的實(shí)時(shí)傳輸??刂茖又饕怯删哂羞壿嬁刂频墓た卦O(shè)備和上位機(jī)組成,如SCADA、DCS、PLC等,根據(jù)接收的感知層信息流進(jìn)行相應(yīng)的分析,將控制指令下發(fā)給感知層設(shè)備控制生產(chǎn)工藝,并形成物料流數(shù)據(jù)。感知層和控制層設(shè)備同時(shí)對應(yīng)CPS框架的物理層,網(wǎng)絡(luò)層對應(yīng)CPS框架的網(wǎng)絡(luò)層。針對CPS框架下“物料流、信息流、能量流”之間的消耗關(guān)系,異常檢測系統(tǒng)中的數(shù)據(jù)采集模塊對現(xiàn)場的流量、故障、網(wǎng)絡(luò)等數(shù)據(jù)進(jìn)行采集。異常檢測模塊通過生成受保護(hù)ICS的物料流、信息流、能量流實(shí)時(shí)關(guān)系基線和正常情況,構(gòu)建異常檢測匹配模型,當(dāng)不匹配時(shí)即出現(xiàn)異常,如產(chǎn)生設(shè)備故障或遭受外部攻擊等。響應(yīng)和告警模塊根據(jù)檢測出的異常不同類型生成相應(yīng)的響應(yīng)結(jié)果,傳遞給檢測結(jié)果處理模塊進(jìn)行最終的異常處置。異常檢測過程中所有的運(yùn)行過程都應(yīng)完成日志記錄、管理控制和安全管理,保4證異常檢測系統(tǒng)自身的穩(wěn)定性、可用性和安全性。CPSCPS框架控制層信息流信息流感知層日志記錄管理控制安全管理能量流檢測結(jié)果處理響應(yīng)和告整數(shù)據(jù)深集異常檢測物料流圖1信息物理融合異常檢測架構(gòu)圖5.2功能模塊本文件按照工業(yè)控制系統(tǒng)信息物理融合異常檢測的安全功能要求的強(qiáng)度,將工業(yè)控制系統(tǒng)信息物理融合異常檢測產(chǎn)品分為基本級和增強(qiáng)級,如表1所示。工業(yè)控制系統(tǒng)信息物理融合異常檢測安全保障應(yīng)符合GB/T18336.3—2015的相關(guān)要求。安全功能強(qiáng)弱和安全保障要求高低是等級劃分的具體依據(jù)。其中,基本級安全功能要求應(yīng)具備GB/T22239—2019中的第二級安全保護(hù)能力;增強(qiáng)級安全功能要求應(yīng)具備GB/T22239—2019中第三級安全保護(hù)能力。在增強(qiáng)級中新增的要求會(huì)通過加粗黑體標(biāo)識。表1安全功能要求等級劃分安全功能要求基本級增強(qiáng)級數(shù)據(jù)采集感知層數(shù)據(jù)采集*網(wǎng)絡(luò)層數(shù)據(jù)采集*¥控制層數(shù)據(jù)采集關(guān)¥協(xié)議解析*入侵誘捕×其他安全防護(hù)設(shè)備數(shù)據(jù)接入×事件辨別擴(kuò)展接口關(guān)異常檢測感知層異常檢測*網(wǎng)絡(luò)層異常檢測興上位機(jī)異常檢測*控制器異常檢測興工藝參數(shù)異常檢測興行為異常檢測*威脅事件監(jiān)測*基于白名單規(guī)則分析 ×自學(xué)習(xí)*5表1安全功能要求等級劃分(續(xù))安全功能要求基本級增強(qiáng)級響應(yīng)和告警事件響應(yīng)**安全告警*興告警方式*興告警處置*與其他安全防護(hù)設(shè)備聯(lián)動(dòng)※全局預(yù)警¥興檢測結(jié)果處理結(jié)果記錄*興結(jié)果可視化*興統(tǒng)計(jì)分析*關(guān)聯(lián)分析興可選查閱*興報(bào)告輸出*興管理控制唯一性標(biāo)識**管理員角色定義**基本鑒別※*鑒別失敗處理※關(guān)超時(shí)鎖定或注銷*興升級管理*安全管理接口安全管理**安全狀態(tài)監(jiān)測*興存儲(chǔ)安全*興分布式部署 興自身安全保障**日志管理日志生成*興日志內(nèi)容**日志存儲(chǔ)X注:“*”表示具有該要求,“**”表示要求有所增強(qiáng),“—”表示不適用。6功能要求6.1數(shù)據(jù)采集6.1.1感知層數(shù)據(jù)采集系統(tǒng)應(yīng)具有感知層中信息流、物料流和能量流的數(shù)據(jù)識別和采集能力,應(yīng)識別和采集的數(shù)據(jù)包括:a)固件版本等感知層設(shè)備的軟件資產(chǎn)數(shù)據(jù);6b)廠商名稱、設(shè)備類型、設(shè)備型號等資產(chǎn)硬件設(shè)備指紋信息;c)能耗、溫度等能耗信息;d)原料、材料、半成品進(jìn)行加工或處理過程中的物料信息;e)生產(chǎn)流程、參數(shù)工藝等工藝信息。6.1.2網(wǎng)絡(luò)層數(shù)據(jù)采集系統(tǒng)應(yīng)支持接入網(wǎng)絡(luò)層數(shù)據(jù),具體應(yīng)支持以下功能:b)MAC頭、IP頭在內(nèi)的全部網(wǎng)絡(luò)流量分組的采集;c)通過無線方式連接的網(wǎng)絡(luò)數(shù)據(jù)接入,如5G、Wi-Fi、工業(yè)無線WIA-FA等。6.1.3控制層數(shù)據(jù)采集系統(tǒng)應(yīng)支持接入控制層數(shù)據(jù)的接入,具體應(yīng)支持以下功能:a)組態(tài)軟件、web組件、操作系統(tǒng)等資產(chǎn)軟件信息的探測識別;b)廠商名稱、設(shè)備類型、設(shè)備型號等資產(chǎn)硬件設(shè)備信息的探測識別;c)接入工業(yè)控制設(shè)備自身功能故障異常數(shù)據(jù)介入功能,如PLC、DCS、SCADA、SIS等;d)數(shù)據(jù)批量導(dǎo)入導(dǎo)出。系統(tǒng)應(yīng)支持網(wǎng)絡(luò)層通信協(xié)議和工業(yè)控制協(xié)議的解析,具體應(yīng)支持以下功能:c)現(xiàn)場總線數(shù)據(jù)無擾監(jiān)聽和解析;d)自定義工控協(xié)議格式規(guī)約解析;e)工控協(xié)議內(nèi)容深度解析,包括工控協(xié)議的操作類型、操作對象、操作范圍等參數(shù)。系統(tǒng)應(yīng)支持接入蜜罐捕獲的入侵源數(shù)據(jù)或相同功能產(chǎn)品獲取到的威脅情報(bào)。6.1.6其他安全防護(hù)設(shè)備的數(shù)據(jù)接入系統(tǒng)應(yīng)支持接入防火墻、安全審計(jì)設(shè)備、漏洞掃描、VPN等受防護(hù)目標(biāo)中部署的其他安全防護(hù)設(shè)備的數(shù)據(jù)。6.1.7事件辨別擴(kuò)展接口系統(tǒng)應(yīng)具備事件辨別擴(kuò)展接口,具體應(yīng)支持以下功能:a)以云服務(wù)等方式接收安全應(yīng)急通報(bào)機(jī)構(gòu)共享的安全事件或威脅情報(bào);b)將發(fā)現(xiàn)的異常向安全應(yīng)急通報(bào)機(jī)構(gòu)上報(bào)。6.2異常檢測6.2.1感知層異常檢測系統(tǒng)應(yīng)支持對感知層設(shè)備的異常檢測,具體應(yīng)支持以下功能:a)對現(xiàn)場設(shè)備違規(guī)外聯(lián)、違規(guī)接入等異常檢測;7b)感知層設(shè)備斷線、損壞等功能異常檢測;c)感知層設(shè)備遭受未授權(quán)訪問、數(shù)據(jù)篡改等異常檢測。注:具體感知層威脅及對應(yīng)防護(hù)措施見附錄A、附錄B。6.2.2網(wǎng)絡(luò)層異常檢測系統(tǒng)應(yīng)支持對網(wǎng)絡(luò)層通信協(xié)議和工控協(xié)議的通信流量異常檢測,具體應(yīng)支持以下功能:a)監(jiān)測受保護(hù)網(wǎng)段內(nèi)的地址、端口的報(bào)文流量和字節(jié)流量;b)非正常報(bào)文流入工業(yè)控制網(wǎng)絡(luò)的檢測;c)網(wǎng)絡(luò)通信中存在的嗅探、非法監(jiān)聽等檢測;d)對無線通信的異常流量檢測;e)IPv4/v6雙棧協(xié)議中的異常流量檢測;f)隱匿通信通道檢測。注:具體網(wǎng)絡(luò)層威脅及對應(yīng)防護(hù)措施見附錄A、附錄B。6.2.3上位機(jī)異常檢測系統(tǒng)應(yīng)支持對控制層中工程師站、操作員站等上位機(jī)的異常檢測,具體應(yīng)支持以下功能:a)對上位機(jī)下行的控制指令進(jìn)行異常檢測;b)對上位機(jī)與其他業(yè)務(wù)管理的信息系統(tǒng)之間信息流的異常檢測;c)對上位機(jī)違規(guī)開啟端口或服務(wù)、異常配置、異常組態(tài)變更的檢測;d)識別上位機(jī)上違規(guī)使用應(yīng)用軟件情況,如游戲、視頻、社交應(yīng)用、遠(yuǎn)程控e)對上位機(jī)中USB等外設(shè)違規(guī)接入檢測;f)發(fā)現(xiàn)誤操作、惡意操作等違規(guī)操作行為;g)對上位機(jī)中CPU、內(nèi)存等資源使用情況設(shè)置正常閾值,當(dāng)出現(xiàn)異常使用情況時(shí)具備實(shí)時(shí)檢測6.2.4控制器異常檢測系統(tǒng)應(yīng)支持控制層控制設(shè)備的異常檢測,具體要求包括:a)應(yīng)支持對控制設(shè)備的數(shù)據(jù)內(nèi)容和負(fù)載信息等異常檢測;b)應(yīng)支持對控制設(shè)備自身故障、SIS告警的異常檢測;c)應(yīng)支持對控制設(shè)備感染惡意代碼的異常檢測;d)應(yīng)支持對控制設(shè)備的誤用檢測;e)應(yīng)具備控制器中控制點(diǎn)位、控制值、控制器狀態(tài)信息等異常檢測能力。6.2.5行為異常檢測系統(tǒng)應(yīng)具備對受保護(hù)目標(biāo)ICS中攻擊入侵行為的檢測能力,具體要求包括:a)應(yīng)支持網(wǎng)絡(luò)掃描行為檢測,如端口掃描、口令破解等;b)應(yīng)支持對網(wǎng)絡(luò)攻擊行為檢測,如IP欺騙、IP碎片攻擊、ARP毒藥攻擊、虛假數(shù)據(jù)攻擊、序列攻c)應(yīng)支持對通信協(xié)議、軟件、嵌入式設(shè)備等已知漏洞攻擊行為檢測;d)應(yīng)支持對ICS中誤操作、工程師站組態(tài)變更、操控指令變更、PLC下裝、固件升級等關(guān)鍵行為異常的檢測;e)應(yīng)支持對ICS存在的APT攻擊檢測;f)應(yīng)支持對通信協(xié)議、軟件、嵌入式設(shè)備等未知漏洞攻擊行為檢測;8g)應(yīng)具有攻擊者、攻擊方式、攻擊鏈路的分析和刻畫能力。6.2.6工藝參數(shù)異常檢測系統(tǒng)應(yīng)具備對受保護(hù)ICS中業(yè)務(wù)工藝生產(chǎn)狀態(tài)異常檢測能力,具體應(yīng)支持以下功能:a)對物料流異常、能耗異常的檢測;b)對工藝參數(shù)變更、重要工藝故障的檢測;c)對未按規(guī)定的造成加工件或成品嚴(yán)重影響的異常檢測。6.2.7威脅事件檢測系統(tǒng)應(yīng)具備對實(shí)時(shí)檢測受保護(hù)目標(biāo)ICS威脅事件的能力,具體要求包括:a)應(yīng)支持網(wǎng)絡(luò)安全威脅事件實(shí)時(shí)檢測,例如:緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQLb)應(yīng)支持受保護(hù)目標(biāo)ICS安全管理中存在不合規(guī)的異常檢測,具體要求應(yīng)符合GB/T36323的相關(guān)規(guī)定;c)應(yīng)支持內(nèi)部威脅檢測;d)應(yīng)具有威脅類型和危害程度的評估能力;e)應(yīng)支持潛在或隱藏的威脅事件檢測;f)應(yīng)支持對接收到的共享威脅情報(bào)在受保護(hù)目標(biāo)ICS中進(jìn)行檢測識別;g)應(yīng)具有威脅對象定位、影響范圍評估的能力;h)應(yīng)具有威脅來源追溯的能力。6.2.8基于白名單規(guī)則分析系統(tǒng)應(yīng)具有基于白名單規(guī)則分析能力,具體應(yīng)支持以下功能:a)對PLC、SCADA、RTU等控制器的白名單檢測;b)針對控制器的數(shù)據(jù)包進(jìn)行快速有針對性的捕獲與深度解析;c)結(jié)合白名單對不符合規(guī)則的控制器異常進(jìn)行告警。6.2.9自學(xué)習(xí)系統(tǒng)應(yīng)具有自學(xué)習(xí)能力,具體應(yīng)支持以下功能:a)基于自學(xué)習(xí)模式,對ICS中的協(xié)議和流量行為進(jìn)行被動(dòng)式的學(xué)習(xí),從而自動(dòng)生成相關(guān)策略;b)自學(xué)習(xí)模式下的網(wǎng)絡(luò)流量行為不產(chǎn)生告警;c)自學(xué)習(xí)模式的功能包括資產(chǎn)識別、網(wǎng)絡(luò)基線和工控協(xié)議白名單。6.3響應(yīng)與告警系統(tǒng)應(yīng)具備對檢測到的異常進(jìn)行分類的能力,具體應(yīng)支持以下功能:中5.1;中5.2.2;a)對不同類型的信息安全類異常進(jìn)行分級,分級方式見GB中5.1;中5.2.2;b)對不同類型的功能安全類異常進(jìn)行分級,分級方式見GB/T36324—2018c)對應(yīng)的響應(yīng)方式,包括告警、阻斷和排除等。系統(tǒng)應(yīng)支持在檢測到異常時(shí)產(chǎn)生告警,并向用戶提供處理建議。9系統(tǒng)應(yīng)具備根據(jù)異常的風(fēng)險(xiǎn)類型向用戶提供不同的告警方式,具體應(yīng)支持以下功能:a)通過管理界面告警;b)向網(wǎng)絡(luò)管理人員發(fā)送告警郵件或手機(jī)短信;c)向網(wǎng)管中心發(fā)送SNMPTrap信息。系統(tǒng)應(yīng)具備告警處置功能,具體要求包括:a)在受保護(hù)目標(biāo)ICS遭受到嚴(yán)重影響的入侵事件或故障時(shí),應(yīng)具備對關(guān)鍵路徑上的目標(biāo)提供處置建議的能力,避免或限制對受保護(hù)目標(biāo)ICS造成更嚴(yán)重的結(jié)果;b)系統(tǒng)應(yīng)在受保護(hù)目標(biāo)ICS遭受到嚴(yán)重影響的入侵事件時(shí),具有阻斷能力。系統(tǒng)應(yīng)在失效告警或誤報(bào)異常時(shí),提供用戶排除響應(yīng)的操作選項(xiàng)。系統(tǒng)應(yīng)具備對受保護(hù)目標(biāo)ICS的自動(dòng)化全局智能預(yù)警能力。6.3.7與其他安全防護(hù)設(shè)備聯(lián)動(dòng)系統(tǒng)應(yīng)具備在檢測到異常時(shí),與防火墻、網(wǎng)關(guān)、安全審計(jì)等其他安全防護(hù)設(shè)備聯(lián)動(dòng)響應(yīng)能力。6.4檢測結(jié)果處理系統(tǒng)應(yīng)具備對異常檢測的結(jié)果進(jìn)行實(shí)時(shí)記錄的能力,提供用戶對結(jié)果可視化展示、可選查閱和結(jié)果報(bào)告輸出。系統(tǒng)應(yīng)具有統(tǒng)計(jì)分析能力,具體要求包括:b)應(yīng)支持工藝參數(shù)等異常的統(tǒng)計(jì)分析;c)應(yīng)具有挖掘受保護(hù)目標(biāo)ICS中潛藏或未知異常的能力。系統(tǒng)應(yīng)具備對物料流、信息流、能量流多維數(shù)據(jù)一致性異常關(guān)聯(lián)分析的能力。系統(tǒng)應(yīng)具有異常檢測結(jié)果可視化能力,具體應(yīng)支持以下功能:a)提供圖形化展示模塊和儀表盤功能;b)提供全面實(shí)時(shí)的信息展示;c)從資產(chǎn)、協(xié)議流量、網(wǎng)絡(luò)威脅等多個(gè)視角展示;d)結(jié)合實(shí)時(shí)曲線、動(dòng)態(tài)占比、動(dòng)態(tài)排行等顯示模塊。系統(tǒng)應(yīng)具有異常檢測結(jié)果可選查閱能力,具體應(yīng)支持以下功能:a)提供用戶按照時(shí)間、類型、IP地址等不同屬性的單選項(xiàng)查詢;b)多屬性聯(lián)合查詢。系統(tǒng)應(yīng)支持用戶以PDF、Word、HTML等不同格式的輸出檢測結(jié)果報(bào)告。6.5管理控制系統(tǒng)應(yīng)保證用戶具有唯一的標(biāo)識,用于區(qū)分不同用戶的身份和權(quán)限。6.5.2管理員角色定義系統(tǒng)應(yīng)具有管理員角色定義功能,具體應(yīng)支持以下功能:a)針對管理員角色建立配置、授權(quán)、審計(jì)相互獨(dú)立的賬號機(jī)制;b)將超級用戶特權(quán)集進(jìn)行劃分,分別授予配置管理員、安全管理員和審計(jì)管理員;c)實(shí)現(xiàn)配置管理、安全管理和審計(jì)管理功能的同時(shí),也保證管理員權(quán)限的隔離。系統(tǒng)應(yīng)具有基本鑒別功能,具體應(yīng)支持以下功能:a)用戶在登錄、配置、修改口令或升級時(shí)具備要求身份鑒別的能力;b)首次使用時(shí),強(qiáng)制要求用戶修改默認(rèn)口令或設(shè)置口令;c)支持對口令的強(qiáng)度進(jìn)行檢查的能力,避免用戶使用弱口令或默認(rèn)口令。系統(tǒng)應(yīng)具備用戶鑒別嘗試失敗的閾值,確保用戶身份鑒別失敗超出閾值時(shí),系統(tǒng)支持阻斷進(jìn)一步鑒別的請求。6.5.5超時(shí)鎖定或注銷系統(tǒng)應(yīng)具備用戶登錄超過規(guī)定時(shí)間閾值時(shí),對用戶進(jìn)行超時(shí)鎖定或注銷當(dāng)前用戶登錄狀態(tài),確保用戶重新進(jìn)行身份鑒別。系統(tǒng)應(yīng)具有自身升級管理的能力,具體要求包括如下:a)應(yīng)支持離線和在線兩種升級方式;b)應(yīng)支持系統(tǒng)版本或規(guī)則庫版本老舊影響使用的情況下向用戶發(fā)送告警信息;c)應(yīng)具備對升級來源進(jìn)行校驗(yàn)的能力。6.6安全管理6.6.1接口安全管理系統(tǒng)應(yīng)具有接口安全管理能力,具體應(yīng)支持以下功能:a)提供用戶不同接口,如工業(yè)控制設(shè)備故障接入、檢測數(shù)據(jù)或結(jié)果導(dǎo)入導(dǎo)出、其他安全防護(hù)設(shè)備數(shù)據(jù)接入、系統(tǒng)升級等;b)遵循最小化原則,確保接口在使用時(shí)才被用戶開啟。6.6.2安全狀態(tài)監(jiān)測系統(tǒng)應(yīng)支持對自身安全狀態(tài)的實(shí)時(shí)監(jiān)測能力,具體應(yīng)支持以下功能:a)發(fā)現(xiàn)系統(tǒng)存在的版本未升級、規(guī)則庫老舊等問題時(shí),提醒用戶升級;b)發(fā)現(xiàn)窮舉攻擊、未授權(quán)訪問等安全驗(yàn)證繞過問題時(shí),提醒用戶更改口令。系統(tǒng)應(yīng)具備安全保護(hù)機(jī)制,具體要求包括:a)應(yīng)支持不同類型數(shù)據(jù)的防篡改功能;b)應(yīng)支持存儲(chǔ)空間監(jiān)測功能,保證系統(tǒng)中數(shù)據(jù)的存儲(chǔ)安全。系統(tǒng)自身其他安全保障應(yīng)符合GB/T20275—2013中6.2.4的要求。系統(tǒng)應(yīng)具備分布式部署的受保護(hù)ICS同步關(guān)聯(lián)的異常檢測分析能力。系統(tǒng)應(yīng)具備自動(dòng)對數(shù)據(jù)采集、異常檢測、響應(yīng)與告警、檢測結(jié)果處理和管理控制過程中產(chǎn)生的操作和數(shù)據(jù)進(jìn)行自動(dòng)化生成日志的能力。系統(tǒng)保存的日志應(yīng)包括檢測到異常的具體日期、時(shí)間、用戶標(biāo)識、描述、告警信息和用戶響應(yīng)等內(nèi)系統(tǒng)日志存儲(chǔ)應(yīng)具備安全存儲(chǔ)的功能,具體要求包括:a)應(yīng)在受限訪問權(quán)限的情況下進(jìn)行安全存儲(chǔ);b)應(yīng)具備安全加密、備份和恢復(fù)能力;c)日志存儲(chǔ)時(shí)間不應(yīng)少于6個(gè)月。7性能要求7.1誤報(bào)率誤報(bào)率要求如下:a)系統(tǒng)應(yīng)將誤報(bào)率控制在應(yīng)用許可的范圍10%以內(nèi);b)不應(yīng)對受保護(hù)的ICS產(chǎn)生影響;c)支持IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)誤報(bào)率應(yīng)滿足上述指標(biāo)。7.2漏報(bào)率漏報(bào)率應(yīng)符合GB/T20275—2013中規(guī)定的相關(guān)指標(biāo)。7.3流量監(jiān)控能力系統(tǒng)單口監(jiān)控流量應(yīng)符合GB/T20275—2013中規(guī)定的相關(guān)指標(biāo)。7.4并發(fā)連接數(shù)監(jiān)控能力系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)應(yīng)符合GB/T20275—2013中規(guī)定相關(guān)指標(biāo)。7.5新建TCP連接速率監(jiān)控能力系統(tǒng)單口監(jiān)控新建TCP連接速率應(yīng)符合GB/T20275—2013中規(guī)定的相關(guān)指標(biāo)。7.6檢測時(shí)間系統(tǒng)的異常檢測時(shí)間性能要求如下:a)功能安全類異常檢測時(shí)間應(yīng)不高于1s;b)信息安全類異常檢測時(shí)間應(yīng)不高于3s。(資料性)工業(yè)控制系統(tǒng)信息物理融合中的威脅A.1感知層安全威脅感知層主要由各種物理傳感器、執(zhí)行器等組成,是整個(gè)物理信息系統(tǒng)中信息的來源。為了適應(yīng)多變的環(huán)境,網(wǎng)絡(luò)節(jié)點(diǎn)多布置在無人監(jiān)管的環(huán)境中,因此易被攻擊者攻擊。常見的針對感知層的攻擊方式有:a)數(shù)據(jù)破壞:攻擊者未經(jīng)授權(quán),對感知層獲取的信息進(jìn)行篡改、增刪或破壞等;b)信息竊聽:攻擊者通過搭線或利用傳輸過程中的非法監(jiān)聽,造成數(shù)據(jù)隱私泄露等問題;c)節(jié)點(diǎn)捕獲:攻擊者對部分網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行控制,可能導(dǎo)致密鑰泄露,危及整個(gè)系統(tǒng)的通信安全。A.2網(wǎng)絡(luò)層安全威脅網(wǎng)絡(luò)層一般要接入網(wǎng)絡(luò),而接入網(wǎng)絡(luò)本身就會(huì)給整個(gè)物理信息系統(tǒng)帶來威脅。一方面,作為鏈接感知層和控制層的數(shù)據(jù)傳輸?shù)耐ǖ?,其中傳輸?shù)男畔⒁壮蔀楣粽叩哪繕?biāo);另一方面,由于接入網(wǎng)絡(luò),網(wǎng)絡(luò)層易受到攻擊。網(wǎng)絡(luò)層的主要安全威脅如下:a)拒絕服務(wù)攻擊:攻擊者通過先向服務(wù)器發(fā)送大量請求,使得服務(wù)器緩沖區(qū)爆滿而被迫停止接受新的請求,使系統(tǒng)崩潰從而影響合法用戶的使用;b)選擇性轉(zhuǎn)發(fā):惡意節(jié)點(diǎn)在接收到數(shù)據(jù)后,不全部轉(zhuǎn)發(fā)所有信息,而是將部分或全部關(guān)鍵信息在轉(zhuǎn)發(fā)過程中丟掉,破壞了數(shù)據(jù)的完整性;c)方向誤導(dǎo)攻擊:惡意節(jié)點(diǎn)在接收到數(shù)據(jù)包后,對其源地址和目的地址進(jìn)行修改,使得數(shù)據(jù)包沿錯(cuò)誤路徑發(fā)送出去,造成數(shù)據(jù)丟失或網(wǎng)絡(luò)混亂。A.3控制層安全威脅控制層中數(shù)據(jù)庫中存放著大量用戶的隱私數(shù)據(jù),因此在這一層中一旦發(fā)生攻擊就會(huì)出現(xiàn)大量隱私泄漏的問題。針對應(yīng)用層的主要威脅有。a)用戶隱私泄漏:用戶的所有的數(shù)據(jù)都存儲(chǔ)在控制層中的數(shù)據(jù)庫中,其中包含用戶的個(gè)人資料等隱私的數(shù)據(jù)都存放在數(shù)據(jù)庫中,一旦數(shù)據(jù)庫被攻陷,就會(huì)導(dǎo)致用戶的隱私產(chǎn)生泄漏,造成很嚴(yán)重的影響。b)惡意代碼:惡意代碼是指在運(yùn)行過程中會(huì)對系統(tǒng)造成不良影響的代碼庫,攻擊者一般會(huì)將這些代碼嵌入到注釋中,腳本一旦在系統(tǒng)中運(yùn)行,就會(huì)對系統(tǒng)造成嚴(yán)重的后果。c)非授權(quán)訪問:對于一個(gè)系統(tǒng),會(huì)有各種權(quán)限的管理者,比如超級管理員,對該系統(tǒng)有著最高的操作權(quán)限,一般管理員對該系統(tǒng)有部分的操作權(quán)限。非授權(quán)訪問指的就是攻擊者在未經(jīng)授權(quán)的情況下不合理的訪問本系統(tǒng),攻擊者欺騙系統(tǒng),進(jìn)入到本系統(tǒng)中對本系統(tǒng)執(zhí)行一些惡意的操作就會(huì)對本系統(tǒng)產(chǎn)生嚴(yán)重的影響。d)軟件設(shè)計(jì)缺陷:工業(yè)控制軟件的開發(fā)人員不同的編程能力、對功能的理解能力,以及軟件供應(yīng)鏈環(huán)節(jié)使用存在潛在隱患的開源程序

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論