（高清版）GBT 41263-2022 工控系统动态重构主动防御体系架构规范

工控系统动态重构主动防御体系架构规范2022-03-09发布2022-10-01实施国家标准化管理委员会 I 2规范性引用文件 3术语和定义 4符号和缩略语 35工控系统动态重构主动防御体系架构 35.1概述 35.2过程监控层异构编译环境多态部署 45.3工控网络信息安全传输机制 65.4现场控制层异构运行逻辑及智能判决机制 95.5工程文件安全存储验证机制 6信息安全评价指标参数规定 参考文献 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。本文件起草单位：中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所。1工控系统动态重构主动防御体系架构规范本文件规定了工控网络的信息安全体系架构，描述了过程监控层异构编译环境多态部署、工控网络信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制，规定了信息安全体系评价指标参数。本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者，为相关参与者设计动态重构主动防御的工控网络提供指导要求。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。工业控制系统industrialcontrolsystem;ICS由计算机和工业过程控制部件构成的自动化控制系统。注1:工业控制系统简称“工控系统”。该系统通过工业通信线路，根据专用的工业通信协议将控制器、传感器、执行器和输入/输出接口等部分连接起来，构建一个具有自动控制能力的工业制造系统。注2:ICS是一个通用术语，它包括多种工业生产中使用的控制系统，包括SCADA、DCS和其他较小的控制系统，如PLC,现已广泛应用在工业部门和关键基础设施中。对这一概念更多的讨论见GB/T32919—2016。一种利用各种通信设备将所有工业生产设备和自动化控制系统连接起来的通信网络。可编程逻辑控制器programmablelogiccontroller;PLC一种用于工业环境的数字式操作的电子系统。注1:这种系统用可编程的存储器作面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的输入/输出，控制各种类型的机械或过程。PLC及其相关外围设备的设计，使它能够非常方便地集成到ICS中，并能很容易地达到所期望的所有功能。注2:对这一概念更多的讨论见GB/T33008.1—2016。分散控制系统distributedcontrolsystem;DCS采用计算机、通信和屏幕显示技术，实现对生产过程的数据采集、控制和保护功能，利用通信技术实现数据共享的多计算机监控系统。注1:分散控制系统的主要特点是功能分散、操作显示集中、数据共享。根据具体情况也可以是硬件布置上的分散。2注2:对这一概念更多的讨论见GB/T36293—2018。监测控制和数据采集supervisorycontrolanddataacquisition;SCADA一系列计算机硬件及软件的组合，可用于发布命令及采集数据从而实现监视与控制。注1:SCADA系统是工控网络调度自动化系统的基础和核心，负责采集和处理工控系统运行中的各类实时和非实时数据，是工控网络调度中心各种应用软件的主要数据来源。置子系统等。保护信息的机密性、完整性和可用性及其他属性。注：如防抵赖性、可靠性等。对这一概念更多的讨论见GB/T26333—2010。可能对资产或组织造成损害的潜在原因。利用嵌入式操作系统直接控制设备并获取设备运行状态信息的计算机设备。工程师站engineeringworkstationDCS中用于系统设计的工作站。注：工程师站为系统设计工程师提供各种设计工具，使工程师利用它们来组合、调用DCS的各种资源。运营技术operationaltechnology;OT负责生产运行维护的运营和自动化技术。利用安全载荷封装技术对IP报文进行重构，使其具备数据源合法性、完整性、时效性验证功能，能够有效预防非授权访问、数据篡改、信息泄露和重播攻击等典型网络安全风险的，具备内在安全防护能力的一种网络安全模式。通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价的一种安全防御方法。注：动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率，从而对攻击行为进行有效遏制，保障系统安全性。常见的主动防御技术包括：入侵容忍、动目标防御和拟态安全防通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。3注：该技术方案主要让参与系统中的任意多个节点，使用密码学方法相关联产生的数据块，每个数据块中包含了一定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接下一个数据库块。共识机制consensusmechanism使所有的诚实节点保存一致的区块链视图，同时满足一致性和有效性的区块链技术。注：区块链是一种按时间顺序存储数据的数据结构，可支持不同的共识机制。通过工程安全编译技术、在线异构冗余、区块链技术以及逻辑安全运行技术，实施工程文件全生命4符号和缩略语下列符号和缩略语适用于本文件。API:应用程序接口(ApplicationProgramInterface)ARM:进阶精简指令集机器(AdvancedRISCMachine)CA:证书颁发机构(CertificateAuthority)CRC:循环冗余校验(CyclicRedundancyCheck)FPGA:现场可编程门阵列(FieldProgrammableGateArray)IP:网际互连协议(InternetProtocol)MIPS:无内部互锁流水级的微处理器(MicroprocessorwithoutInterlockedPipelinedStages)OUDP:优化的用户数据报协议(OptimizedUserDatagramProtocol)TCP:传输控制协议(TransmissionControlProtocol)TPS:每秒交易笔数(TransactionPerSecond)SM2:SM2椭圆曲线公钥密码算法SM3:SM3密码杂凑算法SM4:SM4分组密码算法X86:X86中央处理器指令集架构5工控系统动态重构主动防御体系架构5.1概述工控系统动态重构主动防御体系架构是在ICS的OT网络内部构建一个具有内生安全功能的动态重构主动防御机制，能在保证ICS对实时性和可控性要求的前提下，有效增强ICS防御未知威胁的能力。本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连关系。普渡企业参考架构模型中OT环境的信息安全问题，是以过程监控层、现场控制层和现场设备层为代表的工控系统内部生产控制网络安全问题，其简要模型如图1所示。4过程监控层异构编译环境多态部署现场控制层异构运行逻辑及智能判决机制过程监控层异构编译环境多态部署现场控制层异构运行逻辑及智能判决机制工程文件安全存储验证机制工控网络信息安全传输机制工程师站工程师站交换机PLC3PL.C1PL.C2图10T环境简要模型图本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过程，规约了各阶段的安全策略和防护目标。该架构包括四个部分：过程监控层异构编译环境多态部署、工控网络信息安全传输、现场控制层异构运行逻辑及智能判决、工程文件安全存储验证，分别对工程文件的存储、编译、传输和执行四个阶段进行架构规范，其相关部署方案如图2所示。区块链网络区块链网络T程师站交换机PI.C2PI.Cl图2动态重构主动防御体系架构部署方案5.2过程监控层异构编译环境多态部署过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装过程中所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。工业控制基础软件模块应以静态多变体自动生成技术为支撑，搭建不同层次(函数级、模块级、操作系统级、控制业务级)的多模非相似系统。异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况，部署X86、5ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统。5.2.3.2静态多变体自动生成组件静态多变体自动生成组件是通过编译器、操作系统等底层基础软件在预编译、编译、链接等阶段打破攻击者所利用的固定的、可预期的规律，主要包含符号地址随机化、系统调用随机映射、层次化的多变体动态重构技术。符号地址随机化的安全策略是，编译器应对程序布局、各类全局符号的相对位置关系、关键数据结构成员的相对位置关系等进行随机多样化改造，自动生成异构的多变体。在系统运行过程中应支持随机选择多变体。系统调用随机映射的安全策略是，应在预编译阶段随机的重新调整系统调用表，并使用此系统调用表的定义编译生成操作系统的镜像文件。针对工控业务，也应使用前述随机生成的系统调用表进行编译生成镜像文件。层次化的多变体动态重构技术的安全策略是，应构建选择器随机选择多变体，并通过多模判决器对多变体执行结果进行比较判决，最终确定系统输出，包括函数级动态重构和模块级动态重构。其中函数级动态重构如图3所示，智能随机选择器应根据当前运行情况随机选择若干个多变体完成关键函数功能，并对选中的多变体返回值进行多模判决，根据判决规则确定函数的输出结果。模块级动态重构如图4所示，执行时智能随机选择器应动态选择多变体，并应由多模判决器确定系统输出结果，反馈给智能随机选择器。TooToo(){intresres=Func();if(res)jFunc多模判决根据判决结果给山返回值—智能随机选择器TuncFuneFunc图3函数级动态重构Apn智能随机选择器AppAppApp多模判决器-根据判决结果输出一结果自动收集器图4模块级动态重构6异构编译与编译环境多态部署机制的实施要求包括：a)应保证每个编译环境的架构和操作系统的差异；b)应保证编译器数量要大于或等于下位机运行时系统数量；c)应保证编译生成结果能够被有效解析并且功能一致；d)应保证编译模块和工程文件安全验证机制的功能联动和安全性。5.3工控网络信息安全传输机制针对ICS的非实时性业务和实时性业务，构建具备动态防御功能的安全传输协议，实现内生安全的工业网络体系。在信息传输环节应对组态文件、控制程序和实时监控数据进行保护，在控制设备之间应建立动态、透明的安全专属信道。应分别面向会话层和数据链路层，应用该机制设计信息安全传输模式。5.3.2会话层信息安全传输模式会话层信息安全传输模式的安全目标是依托现有工控网络的基础网络及组件，通过会话层协议重构提供点对点动态加密通信机制和分片随机传输方式，形成对会话信息通道和信息安全的主动防御能力。会话层信息传输安全要求包括：a)应以协议安全为基础，构建内生安全的控制网络体系；b)应兼容蓝牙、无线、有线电缆光纤等传输介质和底层协议；c)直连通信隧道应动态随机变化，具备唯一性和不可复制性；d)通信路径应动态随机变化，具备主动防御功能；e)点对点通信网络时延应小于50ms;f)应建立完善的通信网络安全管理体系，对工控通信设备的入网、下线，用户权限及认证口令等进行规范管理；g)工控系统网络中节点组件之间的通信应具备安全性和稳定性。注：通信的安全性指不被非法第三方获取到通信内容，稳定性指信息传输不因部分节点的损坏而无法完成传输。工控网络信息安全传输应采用重构的通信基础协议、动态加密隧道和多分片随机路径传输方式保证安全性和稳定性。具体要求如下。a)应对通信基础协议进行重构，重构的通信基础协议模型如图5所示。7应用层访问层通道路山层OLDPOLDP传输层网络层数据链路层物理层图5安全传输协议网络模型b)安全传输协议会话层应提供确认/重传机制，以及不同工控网络终端用户穿越网络的连接。c)安全传输协议的路由应提供工控网络信息传输路径的动态随机选取机制。d)安全传输协议应提供对等网络通信访问方式，提供点对点直连通信隧道。e)安全传输协议应提供API,应支持工控客户端(应用程序)和基础网络间的安全连接。f)点对点直连通信隧道应提供支持商用密码算法SM2和SM4算法的隧道和信息加密方式。g)通信隧道加密应支持动态加密方式。h)工控信息传输应提供传输路径的随机选取功能，在部分路径失效时，仍应支持通过其他路径完成信息传输。i)工控信息传输应提供动态信息分片功能，在攻击者获取分片的情况下，应保证其无法获取与其他分片关联及完整信息。j)工控信息传输路径的中间节点应提供信息传输即删除机制。会话层信息安全传输的实施要求如下：a)工控网络信息发送端和接收端均应安装统一的安全传输协议程序；b)设备均应通过安全传输协议模块统一接入网络，直接接入网络的设备应视作非法终端，无法和其他设备进行通信；c)应建立统一的分布式节点网络，分布式网络节点均应记录其他节点的地址；d)用户端应采用统一的对称加密算法、统一的动态密钥生成算法。5.3.3数据链路层信息安全传输模式数据链路层信息安全传输模式的安全目标是确保网络传输环节实时监控数据的完整性、保密性和有效性，通过链路层以太网帧安全重构与合规性判定技术对数据包进行过滤，防止外部攻击者利用非授权访问、数据篡改、数据伪造和数据重放等网络攻击手段，对控制系统进行挟持和操控。数据链路层信息传输安全要求包括：a)应在链路层协议安全的基础上，构建内生安全的控制网络体系，应具备抵御非授权访问、数据篡改、数据伪造和重放攻击的功能；b)应兼容工业以太网协议和IPsec安全协议；c)应对控制设备透明，不应影响控制系统的上层应用协议；8d)安全防护策略对控制网络的实时性和稳定性不应构成实质性影响；e)安全要素应动态随机变化，具备主动防御功能；f)链路层安全协议应通过FPGA硬件实现，应保障协议栈的可靠性和自身安全性。在数据链路层应对以太网帧进行安全重构，具体要求如下。a)发送端应对以太网帧进行安全封装，在其尾部应嵌入时间戳、认证口令和摘要等必要的安全载荷，形成安全以太帧。安全以太帧结构如图6所示，安全以太帧构造及解析流程如图7所示。b)接收端应对安全帧进行解析、验证与还原，对非法帧应进行过滤，阻止其在控制设备之间传递。c)还原后的合规以太网帧与发送端发出的原始以太网帧应保持完全一致。d)数据完整性保护范围应包括：以太网首部、IP首部、TCP首部、应用数据、认证口令和时间戳等关键信息。e)数据保密性保护范围应包括应用数据和嵌入的安全载荷。在控制网络实时性要求极高，且应用数据不敏感的应用场景下，宜仅对安全载荷信息进行加密保护。以太网首部以太网首部应用数据CRCTCPP安全以太帧安全以太帧TCP首部时问戳认证口令摘要CRC以太网首部[P首部应用数据图6安全以太帧格式发送端安全以太帧构造流程接收端安全以太帧解析流程监听网络端监听网络端UB否有数据?是截获以太帧解察哈希值验证认证口令验证术通过。时问戳验证以太帧还原通过网络端口A转发在数据段尾部插入“时间戳”在数据段尾部插入“认证口令”生成并插入“摘要”加密计算并修改CRC通过网络端口B转发有数据?截获以太帧监听网络端口A帧丢弃否图7安全以太帧构造及解析流程在动态重构环节应采取以下措施，支持安全要素的动态随机变化。a)加密算法动态随机变化：内置多种加密算法，可包含商密、国密和私密算法等，不同时间选取不9同的加密算法进行加密。b)密钥长度动态变化：密钥长度不固定，可在某一范围内动态变化。c)密钥动态变化：密钥自动生成，可随机动态变动。d)动态重构过程同步协调机制：由管理节点对动态重构过程进行协调控制，并将重构所需的关键信息安全传送给各通信节点，由各通信节点利用一致性的内置算法，完成密钥的自动生成和加密算法的动态调整。e)动态重构过程敏感信息保护机制：动态重构所需的关键信息由管理节点自动生成，正常情况下采用系统当前使用的动态密钥进行加密传输，如出现因动态密钥不一致，导致信息同步失败的异常情况，可采用预置的初始密钥进行加密传输。不应通过网络直接传送密钥。f)动态密钥保护机制：用于动态密钥生成的种子由两组构成，一组是管理节点自动生成的伪随机数，另一组是用户预置的静态密码。管理节点应通过网络发送自身生成的伪随机数。注：即使第一组密钥种子在网络传递过程中被攻击者截获和破解，在不知晓另一组种子值和密钥生成算法的情况下也无法获得最终密钥。另一组种子和相应的密钥生成算法固化在协议栈的FPGA设备中。链路层信息安全传输的实施要求如下：a)链路层安全传输协议应通过FPGA硬件实现，形成安全协议栈，其应用部署场景如图8所示，该协议栈应作为独立的外挂设备串联在控制设备的端口上，对控制设备透明；b)所有网络化控制设备均应通过安全协议栈统一接入网络，直接接入网络的设备应视作非法终端，无法和其他控制设备进行通信；c)所有安全协议栈均应采用统一的对称加密算法和动态密钥生成算法；d)安全协议栈应按功能分为通信节点和管理节点，通信节点负责安全通信，管理节点负责动态重构过程的统一控制。服务器服务器工程师站操作员站(管理节点)内生安全的控制网络安全协议栈(通信节点)现场控制器工业设备图8应用部署示意图5.4现场控制层异构运行逻辑及智能判决机制现场控制层异构运行逻辑及智能判决机制的安全目标是进行运行时安全的检测和保护，解决控制层执行端设备内部运行时系统存在的关键内存数据、逻辑代码被篡改等安全问题。本机制应适用于ICS的现场控制层相关设备。阻经制而传统控制器逻辑运行时(RTS)底层驱动阻经制而传统控制器逻辑运行时(RTS)底层驱动在执行阶段的下位机中应分别部署运行多个异构功能等价的实例模块，形成一种基于多路功能等价模块冗余仲裁的工业安全部署，各实例应有彼此独立运行空间，应通过智能冗余裁决决定输出。在下位机中部署运行时模块实例，每个运行时模块应有彼此独立的运行空间。每个运行时模块应互不关联、互不干扰并且同时运行。应通过运行一个管理进程，对所有的运行时模块进行管理、控制、裁5.4.3.2模块级动态重构组件模块级动态重构组件应包括N个(N≥3)逻辑运行时系统，其示意图如图9所示。这些逻辑运行时实例运行的控制逻辑分别来自不同的编译服务器，不同逻辑运行时实例的逻辑功能等价，但是内部结构均不应相同。工业安全控制器应采用总线方式管理多个逻辑运行时实例，其中消息总线应用于多个逻辑运行时实例之间的同步控制消息和状态信息；逻辑数据总线应用于传输和同步逻辑数据；I/O总线应用于对仲裁数据进行输出。每个逻辑运行时实例中均应包含一个仲裁逻辑模块，应通过逻辑数据总线获取系统中N个用户逻辑的中间数据结果及其他信息，进行数据管理、逻辑控制、结果裁决、监视报警等。判断实例是否具有仲裁执行权宜采用以时标靠前的优先原则为主的判断逻辑。具有执行权的仲裁逻辑模块应将最终的仲裁结果输出到I/O总线。工业安全控制器工业安全控制器消息总续型轻件热逻社底层驱动用户2数据区迎轮输出欲据田户X逐骈输出数据逻骈输出数据图9模块级动态重构示意图在异构冗余的架构下，存在多个逻辑运行时系统，应通过消息总线进行管理和控制。扫描执行周期为多个逻辑运行时模块实例在各自独立空间中的运行过程。注：每个运行时模块有彼此独立的运行空间，用来解析、加载可执行程序到指定的内存空间。准同步执行方法如图10所示，应符合以下步骤。a)在系统上电后，多个独立的仲裁逻辑实例开始运行，经过初始化后进入等待逻辑执行结束的状态。b)当收到其他多个独立的用户逻辑运行结束的消息或者等待超时以后，进入仲裁权判断状态。c)在仲裁判断状态下，根据各自的运行信息综合判断出是否获得执行权，如果该仲裁逻辑实例未能获得执行权则将进入等待启动逻辑运行消息状态。d)在等待启动逻辑运行消息状态下如果收到启动逻辑运行消息则立即进入等待逻辑执行结束状态，如果等待超时后，则通过发送启动逻辑运行消息，启动本实例内的用户逻辑，之后进入等待逻辑执行结束状态。e)如果本地的仲裁逻辑实例获取了仲裁执行权则开始执行仲裁逻辑，在仲裁逻辑执行结束后将仲裁结果通过仲裁输出消息总线发送出去，之后进入等待逻辑周期结束的状态。f)在等待逻辑周期结束状态中，判断是否到达启动下一次用户逻辑运行的周期，当用户逻辑执行周期到达后进入发送启动逻辑运行消息的状态，完成启动逻辑运行消息的发送之后进入等待逻辑执行结束的状态。g)当有某个逻辑运行时实例异常时，获取了仲裁执行权的仲裁逻辑实例检测并将其踢出仲裁域。上述步骤在满足执行条件时不断重复。初始态启动逻辑运行等待逻辑收到N个逻辑执行结束消息执行结束或等待超时逻息等待超时逻息未获得执行权仲裁权判断用户逻辑到期取得执行权等待逻辑仲裁逻辑执行结束执行周期结束仲裁逻辑图10准同步执行方法示意图具有执行权的仲裁逻辑实例均可对多个用户逻辑实例的中间输出运算结果进行判决。判决算法应取决于用户逻辑实例的个数、逻辑执行周期等多种因素，本文件不给出具体的实现方法。现场控制层异构运行逻辑及智能判决机制的实施要求包括：a)逻辑运行时系统和仲裁模块应使用软件实现；b)相关实现不应影响控制器可用性；c)实时性业务影响不应超过5%;d)应使用权限分离防止各个逻辑运行时系统相互影响；e)应保证仲裁模块的安全和隔离。5.5工程文件安全存储验证机制5.5.1安全目标工程文件安全存储验证机制的安全目标是确保工程文件的真实存储，实现用户端对批量工程文件真实性的快速验证，主动防御工程文件篡改带来的安全风险。注：确保PLC安装存储的工程文件为工程师站发布的原始组态工程文件的技术包