GB／T 41262-2022  工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術(shù)要求

系統(tǒng)應(yīng)具有感知層中信息流、物料流和能量流的數(shù)據(jù)識別和采集能力，應(yīng)識別和采集的數(shù)據(jù)包 a）固件版本等感知層設(shè)備的軟件資產(chǎn)數(shù)據(jù)：

GB/T 412622022

螺旋鋼管標(biāo)準(zhǔn)b））商名稱、設(shè)備類型、設(shè)備型號等資產(chǎn)硬件設(shè)備指紋信息： C 能耗、溫度等能耗信息； d） 原料、材料、半成品進行加工或處理過程中的物料信息；

6.1.2網(wǎng)絡(luò)層數(shù)據(jù)采集

6.1.3控制層數(shù)據(jù)采集

系統(tǒng)應(yīng)支持接入控制層數(shù)據(jù)的接入，具體應(yīng)支持以下功能： a）組態(tài)軟件、web組件、操作系統(tǒng)等資產(chǎn)軟件信息的探測識別； b）廠商名稱、設(shè)備類型、設(shè)備型號等資產(chǎn)硬件設(shè)備信息的探測識別： c）接人工業(yè)控制設(shè)備自身功能故障異常數(shù)據(jù)介人功能，如PLC、DCS、SCADA、SIS等 d）數(shù)據(jù)批量導(dǎo)入導(dǎo)出

6.1.6其他安全防護設(shè)備的數(shù)據(jù)接入

系統(tǒng)應(yīng)支持接人防火墻、安全審計設(shè)備、漏洞掃描、VPN等受防護目標(biāo)中部署的其他安全 的數(shù)據(jù)。

6.1.7事件辨別擴展接

系統(tǒng)應(yīng)具備事件辨別擴展接口，具體應(yīng)支持以下功能： a）以云服務(wù)等方式接收安全應(yīng)急通報機構(gòu)共享的安全事件或威脅情報； b）將發(fā)現(xiàn)的異常向安全應(yīng)急通報機構(gòu)上報。

6.2.1感知層異常檢測

系統(tǒng)應(yīng)支持對感知層設(shè)備的異常檢測，具體應(yīng)支持以下功能： a）對現(xiàn)場設(shè)備違規(guī)外聯(lián)、違規(guī)接人等異常檢測

b）感知層設(shè)備斷線、損壞等功能異常檢測； c）感知層設(shè)備遭受未授權(quán)訪問、數(shù)據(jù)篡改等異常檢測。 注：具體感知層威脅及對應(yīng)防護措施見附錄A、附錄B

6.2.2網(wǎng)絡(luò)層異常檢測

系統(tǒng)應(yīng)支持對網(wǎng)絡(luò)層通信協(xié)議和工控協(xié)議的通信流量異常檢測，具體應(yīng)支持以下功能： a）監(jiān)測受保護網(wǎng)段內(nèi)的地址、端口的報文流量和字節(jié)流量； b) 非正常報文流入工業(yè)控制網(wǎng)絡(luò)的檢測； 網(wǎng)絡(luò)通信中存在的膜探、非法監(jiān)聽等檢測； 對無線通信的異常流量檢測； e IPv4/v6雙棧協(xié)議中的異常流量檢測； f 隱暨通信通道檢測。 注：具體網(wǎng)絡(luò)層威脅及對應(yīng)防護措施見附錄A、附錄B

6.2.3上位機異常檢測

系統(tǒng)應(yīng)支持對控制層中工程師站、操作員站等上位機的異常檢測，具體應(yīng)支持以下功能： a）對上位機下行的控制指令進行異常檢測； b）對上位機與其他業(yè)務(wù)管理的信息系統(tǒng)之間信息流的異常檢測； C 對上位機違規(guī)開啟端口或服務(wù)、異常配置、異常組態(tài)變更的檢測； 識別上位機上違規(guī)使用應(yīng)用軟件情況，如游戲、視頻、社交應(yīng)用、遠(yuǎn)程控制等； 對上位機中USB等外設(shè)違規(guī)接人檢測； 發(fā)現(xiàn)誤操作、惡意操作等違規(guī)操作行為； g 對上位機中CPU、內(nèi)存等資源使用情況設(shè)置正常閾值，當(dāng)出現(xiàn)異常使用情況時具備實時檢測 能力。

6.2.4控制器異常檢測

系統(tǒng)應(yīng)支持控制層控制設(shè)備的異常檢測，具體要求包括： a）應(yīng)支持對控制設(shè)備的數(shù)據(jù)內(nèi)容和負(fù)載信息等異常檢測； b 應(yīng)支持對控制設(shè)備自身故障、SIS告警的異常檢測； 應(yīng)支持對控制設(shè)備感染惡意代碼的異常檢測； d) 應(yīng)支持對控制設(shè)備的誤用檢測； 應(yīng)具備控制器中控制點位、控制值、控制器狀態(tài)信息等異常檢測能力

6.2.5 行為異常檢測

g）應(yīng)具有攻擊者、攻擊方式、攻擊鏈路的分析和刻畫能力

6.2.6工藝參數(shù)異常檢測

系統(tǒng)應(yīng)具備對受保護ICS中業(yè)務(wù)工藝生產(chǎn)狀態(tài)異常檢測能力，具體應(yīng)支持以下功能： a）對物料流異常、能耗異常的檢測； b）對工藝參數(shù)變更、重要工藝故障的檢測： C）對未按規(guī)定的造成加工件或成品嚴(yán)重影響的異常檢測

6.2.7威脅事件檢測

系統(tǒng)應(yīng)具備對實時檢測受保護目標(biāo)ICS威脅事件的能力，具體要求包括： a 應(yīng)支持網(wǎng)絡(luò)安全威脅事件實時檢測，例如：緩沖區(qū)溢出、跨站腳本、拒絕服務(wù)、惡意掃描、SQI 注入、敏感信息泄露等； b 應(yīng)支持受保護目標(biāo)ICS安全管理中存在不合規(guī)的異常檢測，具體要求應(yīng)符合GB/T36323的 相關(guān)規(guī)定； 應(yīng)支持內(nèi)部威脅檢測； d 應(yīng)具有威脅類型和危害程度的評估能力； e 應(yīng)支持潛在或隱藏的威脅事件檢測； f) 應(yīng)支持對接收到的共享威脅情報在受保護目標(biāo)ICS中進行檢測識別； g) 應(yīng)具有威脅對象定位、影響范圍評估的能力； h 應(yīng)具有威脅來源追潮的能力

6.2.8基于自名單規(guī)則分析

系統(tǒng)應(yīng)具有基于百名單規(guī)則分析能力，具體應(yīng)支持以下功能： a）對PLC、SCADA、RTU等控制器的白名單檢測； b）針對控制器的數(shù)據(jù)包進行快速有針對性的捕獲與深度解析； C）結(jié)合白名單對不符合規(guī)則的控制器異常進行告警

系統(tǒng)應(yīng)具有自學(xué)習(xí)能力，具體應(yīng)支持以下功能： ）基于自學(xué)習(xí)模式，對ICS中的協(xié)議和流量行為進行被動式的學(xué)習(xí)，從而自動生成相關(guān)策略 自學(xué)習(xí)模式下的網(wǎng)絡(luò)流量行為不產(chǎn)生告警； c）自學(xué)習(xí)模式的功能包括資產(chǎn)識別、網(wǎng)絡(luò)基線和工控協(xié)議白名單

系統(tǒng)應(yīng)具有自學(xué)習(xí)能力，具體應(yīng)支持以下功能 a）基于自學(xué)習(xí)模式，對ICS中的協(xié)議和流量行為進行被動式的學(xué)習(xí)，從而自動生成相關(guān)策略； 自學(xué)習(xí)模式下的網(wǎng)絡(luò)流量行為不產(chǎn)生告警； c）自學(xué)習(xí)模式的功能包括資產(chǎn)識別、網(wǎng)絡(luò)基線和工控協(xié)議白名單

系統(tǒng)應(yīng)具備對檢測到的異常進行分類的能力，具體應(yīng)支持以下功能： a）對不同類型的信息安全類異常進行分級，分級方式見GB/T36324一2018中5.1； b）對不同類型的功能安全類異常進行分級，分級方式見GB/T36324一2018中5.2.2； ）對應(yīng)的響應(yīng)方式，包括告警、阻斷和排除等

系統(tǒng)應(yīng)支持在檢測到異常時產(chǎn)生告警，并向用戶提供處理

系統(tǒng)應(yīng)具備告警處置功能，具體要求包括： a）在受保護目標(biāo)ICS遭受到嚴(yán)重影響的入侵事件或故障時，應(yīng)具備對關(guān)鍵路徑上的目標(biāo)提供處 置建議的能力，避免或限制對受保護目標(biāo)ICS造成更嚴(yán)重的結(jié)果； 系統(tǒng)應(yīng)在受保護目標(biāo)ICS遭受到嚴(yán)重影響的入侵事件時，具有阻斷能力

立在失效告警或誤報異常時，提供用戶排除響應(yīng)的

統(tǒng)應(yīng)具備對受保護目標(biāo)ICS的自動化全局智能預(yù)

6.3.7與其他安全防護設(shè)備聯(lián)動

系統(tǒng)應(yīng)具備對異常檢測的結(jié)果進行實時記錄的能力，提供用戶對結(jié)果可視化展示、可選查閱和結(jié)果 報告輸出

系統(tǒng)應(yīng)具有統(tǒng)計分析能力，具體要求包括： a）應(yīng)支持包括通信流量、上位機、控制器、行為、威脅等異常的統(tǒng)計分析； b）應(yīng)支持工藝參數(shù)等異常的統(tǒng)計分析； c）應(yīng)具有挖掘受保護目標(biāo)ICS中潛藏或未知異常的能力

系統(tǒng)應(yīng)具備對物料流、信息流、能量流多維數(shù)據(jù)一致性異常關(guān)聯(lián)分析的能力

系統(tǒng)應(yīng)具有異常檢測結(jié)果可視化能力，具體應(yīng)支持以下功能： a）提供圖形化展示模塊和儀表盤功能； b）提供全面實時的信息展示； c）從資產(chǎn)、協(xié)議流量、網(wǎng)絡(luò)威脅等多個視角展示； d）結(jié)合實時曲線、動態(tài)占比、動態(tài)排行等顯示模塊

GB/T 412622022

系統(tǒng)應(yīng)具有異常檢測結(jié)果可選查閱能力，具體應(yīng)支持以下功能： a）提供用戶按照時間、類型、IP地址等不同屬性的單選項查詢； b)多屬性聯(lián)合查詢。

系統(tǒng)應(yīng)支持用戶以PDF、Word、HTML等不同格式的輸出檢測結(jié)果報告

系統(tǒng)應(yīng)保證用戶具有唯一的標(biāo)識，用于區(qū)分不同用戶的身份和權(quán)限。

6.5.2管理員角色定義

系統(tǒng)應(yīng)具有管理員角色定義功能，具體應(yīng)支持以下功能： 且）針對管理員角色建立配置、授權(quán)、審計相互獨立的賬號機制； b）將超級用戶特權(quán)集進行劃分，分別授予配置管理員、安全管理員和審計管理員； ）實現(xiàn)配置管理、安全管理和審計管理功能的同時，也保證管理員權(quán)限的隔離

a）用戶在登錄、配置、修改口令或升級時具備要求身份鑒別的能力： b）首次使用時，強制要求用戶修改默認(rèn)口令或設(shè)置口令； C）支持對口令的強度進行檢查的能力.避免用戶使用弱口令或默認(rèn)口令

6.5.4鑒別失敗處理

系統(tǒng)應(yīng)具備用戶鑒別嘗試失敗的國值，確保用戶身份鑒別失敗超出值時，系統(tǒng)支 別的請求，

系統(tǒng)應(yīng)具備用戶鑒別嘗試失敗的閾值，確保用戶身份鑒別失敗超出閾值時，系統(tǒng)支持阻斷進一步 的請求。

6.5.5超時鎖定或注銷

系統(tǒng)應(yīng)具備用戶登錄超過規(guī)定時間國值時，對用戶進行超時鎖定或注銷當(dāng)前用戶登錄狀態(tài) 戶重新進行身份鑒別

系統(tǒng)應(yīng)具有自身升級管理的能力，具體要求包括如下： a）應(yīng)支持離線和在線兩種升級方式； b）應(yīng)支持系統(tǒng)版本或規(guī)則庫版本老舊影響使用的情況下向用戶發(fā)送告警信息； C）應(yīng)具備對升級來源進行校驗的能力

6.6.1接口安全管理

系統(tǒng)應(yīng)具有接口安全管理能力，具體應(yīng)支持以下功能

具有接口安全管理能力，具體應(yīng)支持以下功能

據(jù)或結(jié)果導(dǎo)人導(dǎo)出、其他安全防護設(shè)備 數(shù)據(jù)接人、系統(tǒng)升級等：

6.6.2 安全狀態(tài)監(jiān)測

系統(tǒng)應(yīng)支持對自身安全狀態(tài)的實時監(jiān)測能力，具體應(yīng)支持以下功能： a）發(fā)現(xiàn)系統(tǒng)存在的版本未升級、規(guī)則庫老舊等問題時，提醒用戶升級； b）發(fā)現(xiàn)窮舉攻擊、未授權(quán)訪問等安全驗證繞過問題時，提醒用戶更改口令

系統(tǒng)應(yīng)具備安全保護機制，具體要求包括： a）應(yīng)支持不同類型數(shù)據(jù)的防篡改功能； b）應(yīng)支持存儲空間監(jiān)測功能，保證系統(tǒng)中數(shù)據(jù)的存儲安全

6.6.4自身安全保障

身其他安全保障應(yīng)符合GB/T20275一2013中

系統(tǒng)應(yīng)具備分布式部署的受保護ICS同步關(guān)聯(lián)的異常檢測分析能力

系統(tǒng)應(yīng)具備自動對數(shù)據(jù)采集、異常檢測、響應(yīng)與告警、檢測結(jié)果處理和管理控制過程中產(chǎn) 和數(shù)據(jù)進行自動化生成日志的能力

系統(tǒng)保存的日志應(yīng)包括檢測到異常的具體日期、時間、用戶標(biāo)識、描述、告警信息和用戶響應(yīng) 同時應(yīng)包括系統(tǒng)的登錄、升級、配置等操作內(nèi)容

系統(tǒng)日志存儲應(yīng)具備安全存儲的功能，具體要求包括： a）應(yīng)在受限訪問權(quán)限的情況下進行安全存儲； b）應(yīng)具備安全加密、備份和恢復(fù)能力； C）日志存儲時間不應(yīng)少于6個月

誤報率要求如下： a）系統(tǒng)應(yīng)將誤報率控制在應(yīng)用許可的范圍10%以內(nèi)； b）不應(yīng)對受保護的ICS產(chǎn)生影響； c）支持IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)誤報率應(yīng)滿足上述指標(biāo)

7.4并發(fā)連接數(shù)監(jiān)控能力

7.5新建TCP連接速率監(jiān)據(jù)

系統(tǒng)的異常檢測時間性能要求如下： a）功能安全類異常檢測時間應(yīng)不高于1s; b）信息安全類異常檢測時間應(yīng)不高于3s。

系統(tǒng)的異常檢測時間性能要求如下：

核電廠標(biāo)準(zhǔn)規(guī)范范本附錄A （資料性） 工業(yè)控制系統(tǒng)信息物理融合中的威脅

感知層主要由各種物理傳感器、執(zhí)行器等組成，是整個物理信息系統(tǒng)中信息的來源。為了適應(yīng)多變 的環(huán)境，網(wǎng)絡(luò)節(jié)點多布置在無人監(jiān)管的環(huán)境中，因此易被攻擊者攻擊。常見的針對感知層的攻擊方 有： a）數(shù)據(jù)破壞：攻擊者未經(jīng)授權(quán)，對感知層獲取的信息進行篡改、增刪或破壞等； b）信息竊聽：攻擊者通過搭線或利用傳輸過程中的非法監(jiān)聽，造成數(shù)據(jù)隱私泄露等問題： c）節(jié)點捕獲：攻擊者對部分網(wǎng)絡(luò)節(jié)點進行控制，可能導(dǎo)致密鑰泄露，危及整個系統(tǒng)的通信安全

控制層中數(shù)據(jù)庫中存放著大量用戶的隱私數(shù)據(jù)，因此在這一層中一且發(fā)生攻擊就會出現(xiàn)大量隱私 世漏的問題。針對應(yīng)用層的主要威脅有。 a）用戶隱私泄漏：用戶的所有的數(shù)據(jù)都存儲在控制層中的數(shù)據(jù)庫中，其中包含用戶的個人資料等 隱私的數(shù)據(jù)都存放在數(shù)據(jù)庫中，一旦數(shù)據(jù)庫被攻陷，就會導(dǎo)致用戶的隱私產(chǎn)生泄漏，造成很嚴(yán) 重的影響。 b 惡意代碼：惡意代碼是指在運行過程中會對系統(tǒng)造成不良影響的代碼庫，攻擊者一般股會將這些 代碼嵌人到注釋中，腳本一且在系統(tǒng)中運行，就會對系統(tǒng)造成嚴(yán)重的后果。 非授權(quán)訪問：對于一個系統(tǒng)，會有各種權(quán)限的管理者，比如超級管理員，對該系統(tǒng)有著最高的操 作權(quán)限，一般管理員對該系統(tǒng)有部分的操作權(quán)限。非授權(quán)訪問指的就是攻擊者在未經(jīng)授權(quán)的 情況下不合理的訪問本系統(tǒng)，攻擊者欺騙系統(tǒng)，進人到本系統(tǒng)中對本系統(tǒng)執(zhí)行一些惡意的操作 就會對本系統(tǒng)產(chǎn)生嚴(yán)重的影響。 d 軟件設(shè)計缺陷：工業(yè)控制軟件的開發(fā)人員不同的編程能力、對功能的理解能力，以及軟件供應(yīng) 鏈環(huán)節(jié)使用存在潛在隱患的開源程序、第三方組件等，導(dǎo)致軟件開發(fā)存在設(shè)計缺陷。這些設(shè)計 缺陷一旦被攻擊者挖掘到漏洞，可被用于發(fā)起拒絕服務(wù)攻擊、驗證繞過、非授權(quán)訪問或竊取敏 感數(shù)據(jù)等。如勒索病毒事件、國際知名SCADA軟件被曝光一系列遠(yuǎn)程命令執(zhí)行高危漏洞等。

附 錄 B （資料性） 工業(yè)控制系統(tǒng)信息物理融合安全防護措施

知層可能出現(xiàn)的物理攻擊，采取以下安全措施進行相應(yīng)的保護。感知網(wǎng)絡(luò)層的物理傳感器一般放在無 人的區(qū)域，缺少傳統(tǒng)網(wǎng)絡(luò)物理上的安全保障，節(jié)點容易受到攻擊。因此，在這些基礎(chǔ)結(jié)點上設(shè)計的初級 價段就要充分考慮到各種應(yīng)用環(huán)境以及攻擊者的攻擊手段，建立有效的容錯機制，降低出錯率。對節(jié)點 的身份進行一定的管理和保護，對結(jié)點增加認(rèn)證和訪問控制，只有授權(quán)的用戶才能訪問相應(yīng)供應(yīng)結(jié)點的 數(shù)據(jù)，這樣的設(shè)計能夠使未被授權(quán)的用戶訪問無法訪問結(jié)點的數(shù)據(jù)，有效地保障了感知網(wǎng)絡(luò)層的數(shù)據(jù) 安全。

在網(wǎng)絡(luò)層中采取安全措施的目的就是保障CPS通信過程中的安全，主要包括數(shù)據(jù)的完整性、數(shù)據(jù) 主傳輸過程中不被惡意改，以及用戶隱私不被泄露等。具體措施可以結(jié)合加密機制、路由機制等方面 進行闡述。點對點加密機制可以在數(shù)據(jù)跳轉(zhuǎn)的過程中保證數(shù)據(jù)的安全性，由于在該過程中每個節(jié)點都 是傳感器設(shè)備，獲取的數(shù)據(jù)都是沒有經(jīng)過處理的數(shù)據(jù)，也就是直接的數(shù)據(jù)，這些數(shù)據(jù)被攻擊者捕獲之后 立即就能得到想要的結(jié)果，因此將每個節(jié)點上的數(shù)據(jù)進行加密，加密完成之后再進行傳輸可以降低被攻 擊者解析出來的概率。安全路由機制就是數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)倪^程中，路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的時候如 果遭遇攻擊石油標(biāo)準(zhǔn)，路由器依舊能夠正確地進行路由選擇，能夠在攻擊者破壞路由表的情況下構(gòu)建出新的路由 表，做出正確的路由選擇，CPS針對傳輸過程中各種安全威脅，可設(shè)計出更安全算法，建設(shè)更完善的安 全路由機制

GB/T41262—2022

1]GB/T29246一2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯