b））商名稱、設備類型、設備型號等資產硬件設備指紋信息： C 能耗、溫度等能耗信息； d 原料、材料、半成品進行加工或處理過程中的物料信息；

6.1.2網絡層數(shù)據(jù)采集

6.1.3控制層數(shù)據(jù)采集

系統(tǒng)應支持接人控制層數(shù)據(jù)的接入，具體應支持以下功能： a）組態(tài)軟件、web組件、操作系統(tǒng)等資產軟件信息的探測識別； b）廠商名稱、設備類型、設備型號等資產硬件設備信息的探測識別； c）接人工業(yè)控制設備自身功能故障異常數(shù)據(jù)介人功能試驗、檢測與鑒定，如PLC、DCS、SCADA、SIS等； d）數(shù)據(jù)批量導入導出

6.1.6其他安全防護設備的數(shù)據(jù)接入

系統(tǒng)應支持接人防火墻、安全審計設備、漏洞掃描、VPN等受防護目標中部署的其他安全 的數(shù)據(jù)。

6.1.7事件辨別擴展接

系統(tǒng)應具備事件辨別擴展接口，具體應支持以下功能： a）以云服務等方式接收安全應急通報機構共享的安全事件或威脅情報； b）將發(fā)現(xiàn)的異常向安全應急通報機構上報。

6.2.1感知層異常檢測

系統(tǒng)應支持對感知層設備的異常檢測，具體應支持以下功能： a）對現(xiàn)場設備違規(guī)外聯(lián)、違規(guī)接人等異常檢測

b）感知層設備斷線、損壞等功能異常檢測； c）感知層設備遭受未授權訪問、數(shù)據(jù)篡改等異常檢測。 注：具體感知層威脅及對應防護措施見附錄A、附錄B

6.2.2網絡層異常檢測

系統(tǒng)應支持對網絡層通信協(xié)議和工控協(xié)議的通信流量異常檢測，具體應支持以下功能： a）監(jiān)測受保護網段內的地址、端口的報文流量和字節(jié)流量； b) 非正常報文流入工業(yè)控制網絡的檢測； 網絡通信中存在的膜探、非法監(jiān)聽等檢測； 對無線通信的異常流量檢測； e IPv4/v6雙棧協(xié)議中的異常流量檢測； f 隱暨通信通道檢測。 注：具體網絡層威脅及對應防護措施見附錄A、附錄B

6.2.3上位機異常檢測

系統(tǒng)應支持對控制層中工程師站、操作員站等上位機的異常檢測，具體應支持以下功能： a）對上位機下行的控制指令進行異常檢測； b） 對上位機與其他業(yè)務管理的信息系統(tǒng)之間信息流的異常檢測； C 對上位機違規(guī)開啟端口或服務、異常配置、異常組態(tài)變更的檢測； d 識別上位機上違規(guī)使用應用軟件情況，如游戲、視頻、社交應用、遠程控制等； e 對上位機中USB等外設違規(guī)接人檢測； 發(fā)現(xiàn)誤操作、惡意操作等違規(guī)操作行為； 對上位機中CPU、內存等資源使用情況設置正常閾值，當出現(xiàn)異常使用情況時具備實時檢測 能力。

6.2.4控制器異常檢測

系統(tǒng)應支持控制層控制設備的異常檢測，具體要求包括： a）應支持對控制設備的數(shù)據(jù)內容和負載信息等異常檢測； 應支持對控制設備自身故障、SIS告警的異常檢測； 應支持對控制設備感染惡意代碼的異常檢測： d) 應支持對控制設備的誤用檢測； e 應具備控制器中控制點位、控制值、控制器狀態(tài)信息等異常檢測能力

6.2.5 行為異常檢測

g）應具有攻擊者、攻擊方式、攻擊鏈路的分析和刻畫能力

6.2.6工藝參數(shù)異常檢測

系統(tǒng)應具備對受保護ICS中業(yè)務工藝生產狀態(tài)異常檢測能力，具體應支持以下功能： a）對物料流異常、能耗異常的檢測； b）對工藝參數(shù)變更、重要工藝故障的檢測： C）對未按規(guī)定的造成加工件或成品嚴重影響的異常檢測

6.2.7威脅事件檢測

系統(tǒng)應具備對實時檢測受保護目標ICS威脅事件的能力，具體要求包括： a 應支持網絡安全威脅事件實時檢測，例如：緩沖區(qū)溢出、跨站腳本、拒絕服務、惡意掃描、SQI 注入、敏感信息泄露等； b 應支持受保護目標ICS安全管理中存在不合規(guī)的異常檢測，具體要求應符合GB/T36323的 相關規(guī)定； 應支持內部威脅檢測； d 應具有威脅類型和危害程度的評估能力； e 應支持潛在或隱藏的威脅事件檢測； f) 應支持對接收到的共享威脅情報在受保護目標ICS中進行檢測識別； g) 應具有威脅對象定位、影響范圍評估的能力； h 應具有威脅來源追潮的能力

6.2.8基于自名單規(guī)則分析

系統(tǒng)應具有基于百名單規(guī)則分析能力，具體應支持以下功能： a）對PLC、SCADA、RTU等控制器的白名單檢測； b）針對控制器的數(shù)據(jù)包進行快速有針對性的捕獲與深度解析； C）結合白名單對不符合規(guī)則的控制器異常進行告警

系統(tǒng)應具有自學習能力，具體應支持以下功能： ）基于自學習模式，對ICS中的協(xié)議和流量行為進行被動式的學習，從而自動生成相關策略 自學習模式下的網絡流量行為不產生告警； c）自學習模式的功能包括資產識別、網絡基線和工控協(xié)議白名單

系統(tǒng)應具有自學習能力，具體應支持以下功能 a）基于自學習模式，對ICS中的協(xié)議和流量行為進行被動式的學習，從而自動生成相關策略； 自學習模式下的網絡流量行為不產生告警； c）自學習模式的功能包括資產識別、網絡基線和工控協(xié)議白名單

系統(tǒng)應具備對檢測到的異常進行分類的能力，具體應支持以下功能： a）對不同類型的信息安全類異常進行分級，分級方式見GB/T36324一2018中5.1； b）對不同類型的功能安全類異常進行分級，分級方式見GB/T36324一2018中5.2.2； ）對應的響應方式，包括告警、阻斷和排除等

系統(tǒng)應支持在檢測到異常時產生告警，并向用戶提供處理建議。

在檢測到異常時產生告警，并向用戶提供處理建

系統(tǒng)應具備告警處置功能，具體要求包括： a）在受保護目標ICS遭受到嚴重影響的入侵事件或故障時，應具備對關鍵路徑上的目標提供處 置建議的能力，避免或限制對受保護目標ICS造成更嚴重的結果； 系統(tǒng)應在受保護目標ICS遭受到嚴重影響的入侵事件時，具有阻斷能力

立在失效告警或誤報異常時，提供用戶排除響應的

統(tǒng)應具備對受保護目標ICS的自動化全局智能預

6.3.7與其他安全防護設備聯(lián)動

系統(tǒng)應具備對異常檢測的結果進行實時記錄的能力，提供用戶對結果可視化展示、可選查閱和結果 報告輸出

系統(tǒng)應具有統(tǒng)計分析能力，具體要求包括： a）應支持包括通信流量、上位機、控制器、行為、威脅等異常的統(tǒng)計分析； b）應支持工藝參數(shù)等異常的統(tǒng)計分析； c）應具有挖掘受保護目標ICS中潛藏或未知異常的能力

系統(tǒng)應具備對物料流、信息流、能量流多維數(shù)據(jù)一致性異常關聯(lián)分析的能力

系統(tǒng)應具有異常檢測結果可視化能力，具體應支持以下功能： a）提供圖形化展示模塊和儀表盤功能； b）提供全面實時的信息展示； c）從資產、協(xié)議流量、網絡威脅等多個視角展示； d）結合實時曲線、動態(tài)占比、動態(tài)排行等顯示模塊

GB/T 412622022

系統(tǒng)應具有異常檢測結果可選查閱能力，具體應支持以下功能： a）提供用戶按照時間、類型、IP地址等不同屬性的單選項查詢； b)多屬性聯(lián)合查詢。

系統(tǒng)應支持用戶以PDF、Word、HTML等不同格式的輸出檢測結果報告

系統(tǒng)應保證用戶具有唯一的標識，用于區(qū)分不同用戶的身份和權限。

6.5.2管理員角色定義

系統(tǒng)應具有管理員角色定義功能，具體應支持以下功能： a）針對管理員角色建立配置、授權、審計相互獨立的賬號機制； b）將超級用戶特權集進行劃分，分別授予配置管理員、安全管理員和審計管理員 c）實現(xiàn)配置管理、安全管理和審計管理功能的同時，也保證管理員權限的隔離

系統(tǒng)應具有管理員角色定義功能，具體應支持以下功能： 且）針對管理員角色建立配置、授權、審計相互獨立的賬號機制； b）將超級用戶特權集進行劃分，分別授予配置管理員、安全管理員和審計管理員； ）實現(xiàn)配置管理、安全管理和審計管理功能的同時，也保證管理員權限的隔離

a）用戶在登錄、配置、修改口令或升級時具備要求身份鑒別的能力； b）首次使用時，強制要求用戶修改默認口令或設置口令；

6.5.4鑒別失敗處理

系統(tǒng)應具備用戶鑒別嘗試失敗的國值，確保用戶身份鑒別失敗超出值時，系統(tǒng)支 別的請求，

系統(tǒng)應具備用戶鑒別嘗試失敗的閾值，確保用戶身份鑒別失敗超出閾值時，系統(tǒng)支持阻斷進一步 的請求。

6.5.5超時鎖定或注銷

系統(tǒng)應具備用戶登錄超過規(guī)定時間國值時，對用戶進行超時鎖定或注銷當前用戶登錄狀態(tài) 戶重新進行身份鑒別

系統(tǒng)應具有自身升級管理的能力，具體要求包括如下： a）應支持離線和在線兩種升級方式； b）應支持系統(tǒng)版本或規(guī)則庫版本老舊影響使用的情況下向用戶發(fā)送告警信息； C）應具備對升級來源進行校驗的能力

6.6.1接口安全管理

系統(tǒng)應具有接口安全管理能力，具體應支持以下功能

據(jù)或結果導人導出、其他安全防護設備 數(shù)據(jù)接人、系統(tǒng)升級等：

6.6.2 安全狀態(tài)監(jiān)測

系統(tǒng)應支持對自身安全狀態(tài)的實時監(jiān)測能力，具體應支持以下功能： a）發(fā)現(xiàn)系統(tǒng)存在的版本未升級、規(guī)則庫老舊等問題時，提醒用戶升級； b）發(fā)現(xiàn)窮舉攻擊、未授權訪問等安全驗證繞過問題時，提醒用戶更改口令

系統(tǒng)應具備安全保護機制，具體要求包括： a）應支持不同類型數(shù)據(jù)的防篡改功能； b）應支持存儲空間監(jiān)測功能，保證系統(tǒng)中數(shù)據(jù)的存儲安全

6.6.4自身安全保障

身其他安全保障應符合GB/T20275一2013中

系統(tǒng)應具備分布式部署的受保護ICS同步關聯(lián)的異常檢測分析能力

系統(tǒng)應具備自動對數(shù)據(jù)采集、異常檢測、響應與告警、檢測結果處理和管理控制過程中產 和數(shù)據(jù)進行自動化生成日志的能力

系統(tǒng)保存的日志應包括檢測到異常的具體日期、時間、用戶標識、描述、告警信息和用戶響應 同時應包括系統(tǒng)的登錄、升級、配置等操作內容

系統(tǒng)日志存儲應具備安全存儲的功能，具體要求包括： a）應在受限訪問權限的情況下進行安全存儲； b）應具備安全加密、備份和恢復能力； C）日志存儲時間不應少于6個月

誤報率要求如下： a）系統(tǒng)應將誤報率控制在應用許可的范圍10%以內； b）不應對受保護的ICS產生影響； c）支持IPv6網絡環(huán)境下工作的系統(tǒng)誤報率應滿足上述指標

7.4并發(fā)連接數(shù)監(jiān)控能力

5新建TCP連接速率監(jiān)

系統(tǒng)的異常檢測時間性能要求如下： a）功能安全類異常檢測時間應不高于1s; b）信息安全類異常檢測時間應不高于3s。

系統(tǒng)的異常檢測時間性能要求如下：

附錄A （資料性） 工業(yè)控制系統(tǒng)信息物理融合中的威脅

感知層主要由各種物理傳感器、執(zhí)行器等組成，是整個物理信息系統(tǒng)中信息的來源。為了適應多變 的環(huán)境，網絡節(jié)點多布置在無人監(jiān)管的環(huán)境中，因此易被攻擊者攻擊。常見的針對感知層的攻擊方 有： a）數(shù)據(jù)破壞：攻擊者未經授權，對感知層獲取的信息進行篡改、增刪或破壞等； b）信息竊聽：攻擊者通過搭線或利用傳輸過程中的非法監(jiān)聽，造成數(shù)據(jù)隱私泄露等問題： c）節(jié)點捕獲：攻擊者對部分網絡節(jié)點進行控制，可能導致密鑰泄露，危及整個系統(tǒng)的通信安全

控制層中數(shù)據(jù)庫中存放看大量用戶的隱私數(shù)據(jù)，因此在這一層中一且發(fā)生攻擊就會出現(xiàn)天量隱私 世漏的問題。針對應用層的主要威脅有。 a）用戶隱私泄漏：用戶的所有的數(shù)據(jù)都存儲在控制層中的數(shù)據(jù)庫中，其中包含用戶的個人資料等 隱私的數(shù)據(jù)都存放在數(shù)據(jù)庫中，一旦數(shù)據(jù)庫被攻陷，就會導致用戶的隱私產生泄漏，造成很嚴 重的影響。 b）惡意代碼：惡意代碼是指在運行過程中會對系統(tǒng)造成不良影響的代碼庫，攻擊者一股會將這些 代碼嵌人到注釋中，腳本一旦在系統(tǒng)中運行，就會對系統(tǒng)造成嚴重的后果。 c）非授權訪問：對于一個系統(tǒng)，會有各種權限的管理者法蘭標準，比如超級管理員，對該系統(tǒng)有著最高的操 作權限，一般管理員對該系統(tǒng)有部分的操作權限。非授權訪問指的就是攻擊者在未經授權的 情況下不合理的訪問本系統(tǒng)，攻擊者欺騙系統(tǒng)，進人到本系統(tǒng)中對本系統(tǒng)執(zhí)行一些惡意的操作 就會對本系統(tǒng)產生嚴重的影響。 d 軟件設計缺陷：工業(yè)控制軟件的開發(fā)人員不同的編程能力、對功能的理解能力，以及軟件供應 鏈環(huán)節(jié)使用存在潛在隱患的開源程序、第三方組件等，導致軟件開發(fā)存在設計缺陷。這些設計 缺陷一旦被攻擊者挖掘到漏洞，可被用于發(fā)起拒絕服務攻擊、驗證繞過、非授權訪問或竊取敏 感數(shù)據(jù)等。如勒索病毒事件、國際知名SCADA軟件被曝光一系列遠程命令執(zhí)行高危漏洞等。

附 錄 B （資料性） 工業(yè)控制系統(tǒng)信息物理融合安全防護措施

知層可能出現(xiàn)的物理攻擊，采取以下安全措施進行相應的保護。感知網絡層的物理傳感器一般放在無 人的區(qū)域，缺少傳統(tǒng)網絡物理上的安全保障，節(jié)點容易受到攻擊。因此，在這些基礎結點上設計的初級 價段就要充分考慮到各種應用環(huán)境以及攻擊者的攻擊手段，建立有效的容錯機制，降低出錯率。對節(jié)點 的身份進行一定的管理和保護，對結點增加認證和訪問控制，只有授權的用戶才能訪問相應供應結點的 數(shù)據(jù)，這樣的設計能夠使未被授權的用戶訪問無法訪問結點的數(shù)據(jù)，有效地保障了感知網絡層的數(shù)據(jù) 安全。

在網絡層中采取安全措施的目的就是保障CPS通信過程中的安全，主要包括數(shù)據(jù)的完整性、數(shù)據(jù) 主傳輸過程中不被惡意改，以及用戶隱私不被泄露等。具體措施可以結合加密機制、路由機制等方面 進行闡述。點對點加密機制可以在數(shù)據(jù)跳轉的過程中保證數(shù)據(jù)的安全性，由于在該過程中每個節(jié)點都 是傳感器設備，獲取的數(shù)據(jù)都是沒有經過處理的數(shù)據(jù)，也就是直接的數(shù)據(jù)，這些數(shù)據(jù)被攻擊者捕獲之后 立即就能得到想要的結果，因此將每個節(jié)點上的數(shù)據(jù)進行加密，加密完成之后再進行傳輸可以降低被攻 擊者解析出來的概率。安全路由機制就是數(shù)據(jù)在互聯(lián)網傳輸?shù)倪^程中，路由器轉發(fā)數(shù)據(jù)分組的時候如 果遭遇攻擊，路由器依舊能夠正確地進行路由選擇，能夠在攻擊者破壞路由表的情況下構建出新的路由 表，做出正確的路由選擇，CPS針對傳輸過程中各種安全威脅，可設計出更安全算法，建設更完善的安 全路由機制

信息技術標準規(guī)范范本GB/T41262—2022

1]GB/T29246一2017信息技術安全技術信息安全管理體系概述和詞匯