GB/T 41262-2022 工业控制系统的信息物理融合异常检测系统技术要求（正式版）

ICSCCS35.240.50J07GB/T41262—2022工业控制系统的信息物理融合异常检测系统技术要求国家市场监督管理总局国家标准化管理委员会 I 35系统概述 35.1系统架构 35.2功能模块 46功能要求 56.1数据采集 56.2异常检测 6 86.4检测结果处理 96.5管理控制 6.6安全管理 6.7日志管理 7.1误报率 7.2漏报率 7.3流量监控能力 7.4并发连接数监控能力 7.5新建TCP连接速率监控能力 7.6检测时间 附录A(资料性)工业控制系统信息物理融合中的威胁 附录B(资料性)工业控制系统信息物理融合安全防护措施 IGB/T41262—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。方通科技股份有限公司。1GB/T41262—2022工业控制系统的信息物理融合异常检测系统技术要求性能要求。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文本文件。GB/T18336.3—2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T20275—2013信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T36323信息安全技术工业控制系统安全管理基本要求GB/T36324—2018信息安全技术工业控制系统信息安全分级规范3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。一类用于工业生产的控制系统的统称。注：它包含SCADA、DCS和其他一些常见于工业部门与关键基础设施的小型控制系统(如PLC)等。信息物理融合cyber-physicalfusion注：通过通信技术、计算机技术和控制技术的有机融合与深度协作，实现大型工程系统的实时感知、动态控制和信息服务。2GB/T41262—20223.5异常检测anomalydetection对ICS发生的异常进行检测的过程。3.6一种能检测模式库中已涵盖的入侵行为或不可接受的行为的方式。注：在误用检测中首先定义异常系统行为，然后将所有其他行为定义为正常，主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。3.7ICS控制设备中的系统控制指令和设备状态等数据。3.8物料流materialflow物质流3.9能量流energyflow能耗流ICS中的原材料或半成品在整个生产过程中所产生的能量数据。3.10脆弱性vulnerability可能被一个或多个威胁利用的资产或控制的弱点。高级持续性威胁攻击advancedpersistentt注：此种攻击需要长期经营与策划，因此具有极强的隐蔽性和针对性。在ICS中，此种攻击会带来更严重的财产损失和威胁。3.12虚假数据攻击falsedatainjectionattack利用状态估计器中不良数据辨识方法的局限性，恶意篡改元件的量测值，使控制中心误判当前状3.13ARP毒药攻击ARPpoisoning对ARP缓存表进行篡改，导致发送给正确主机的数据包被发送给另外一台由攻击者控制的主机3.14内部人利用获得的信任或授权做出损害授信组织合法利益的行为。注：内部威胁不仅仅是内部成员的有意或无意导致的损失，还包括一些外部伪装成内部成员的攻击。3GB/T41262—2022异常检测系统在未发生异常时告警，或者发出错误的告警信息。下列缩略语适用于本文件。ARP:地址解析协议(AddressResolutionProtocol)CIP:通用工业协议(CommonIndustrialProtocol)MAC:媒体存取控制(MediaAccessControlAddress)OPC:面向对象链接与嵌入的过程控制协议[ObjectLinkingandEmbedding(OLE)forProcessSCADA:监视控制与数据采集系统(SupervisoryControlandDataAcquSIS:安全仪表系统(SafetyInstrumentedSystem)VPN:虚拟专用网络(VirtualPrivateNetwork)WIA-FA:工业自动化无线网络(WirelessNetworksforIndustrialAutomation-FactoryAutoma-tion)5系统概述工业控制系统信息物理融合异常检测系统基本结构如图1所示，主要分为3个部分：感知层、网络层和控制层。感知层主要是由传感器、执行器等ICS现场设备组成，如阀门、开关等。感知层中的传感器作为CPS中的末端设备，主要采集物理环境中具体信息和状态信息形成流数据，通过网络层发送传输到控制层，同时接受来自控制层返回的相应的信息，感知层设备在感知执行物料流的同时完成生产的过程中会产生相应的能耗变化形成能量流。网络层是连接信息世界和物理世界的桥梁，主要实现信息流的实时传输。控制层主要是由具有逻辑控制的工控设备和上位机组成，如SCADA、DCS、PLC等，根据接收的感知层信息流进行相应的分析，将控制指令下发给感知层设备控制生产工艺，并形成物料流数据。感知层和控制层设备同时对应CPS框架的物理层，网络层对应CPS框架的网络层。场的流量、故障、网络等数据进行采集。异常检测模块通过生成受保护ICS的物料流、信息流、能量流实时关系基线和正常情况，构建异常检测匹配模型，当不匹配时即出现异常，如产生设备故障或遭受外部攻击等。响应和告警模块根据检测出的异常不同类型生成相应的响应结果，传递给检测结果处理模块进行最终的异常处置。异常检测过程中所有的运行过程都应完成日志记录、管理控制和安全管理，保4GB/T41262—2022CPSCPS框架控制层网络层检测结果处理响应和告警数据深集异常检测5.2功能模块本文件按照工业控制系统信息物理融合异常检测的安全功能要求的强度，将工业控制系统信息物理融合异常检测产品分为基本级和增强级，如表1所示。工业控制系统信息物理融合异常检测安全保障应符合GB/T18336.3—2015的相关要求。安全功能强弱和安全保障要求高低是等级划分的具体依要求应具备GB/T22239—2019中第三级安全保护能力。在增强级中新增的要求会通过加粗黑体标识。安全功能要求基本级增强级数据采集感知层数据采集苦网络层数据采集关控制层数据采集协议解析入侵诱捕关其他安全防护设备数据接入事件辨别扩展接口关异常检测感知层异常检测网络层异常检测关关上位机异常检测长长控制器异常检测*工艺参数异常检测关行为异常检测首*威胁事件监测长**基于白名单规则分析*自学习关关5GB/T41262—2022表1安全功能要求等级划分(续)安全功能要求基本级增强级响应和告警事件响应*安全告警告警方式告警处置*与其他安全防护设备联动全局预警检测结果处理结果记录结果可视化*统计分析*关联分析兴可选查阅报告输出管理控制唯一性标识为管理员角色定义*基本鉴别鉴别失败处理超时锁定或注销升级管理安全管理接口安全管理安全状态监测长存储安全*分布式部署自身安全保障*日志管理日志生成*日志内容日志存储关注：“*”表示具有该要求，“*”表示要求有所增强，“—”表示不适用。6功能要求6.1数据采集a)固件版本等感知层设备的软件资产数据；6GB/T41262—2022b)厂商名称、设备类型、设备型号等资产硬件设备指纹信息；d)原料、材料、半成品进行加工或处理过程e)生产流程、参数工艺等工艺信息。6.1.2网络层数据采集系统应支持接入网络层数据，具体应支持以下功能：c)通过无线方式连接的网络数据接入，如5G、Wi-Fi、工业无线WIA-FA等。系统应支持接入控制层数据的接入，具体应支持以下功能：a)组态软件、web组件、操作系统等资产软件信息的探测识别；b)厂商名称、设备类型、设备型号等资产硬件设备信息的探测识别；d)数据批量导入导出。系统应支持网络层通信协议和工业控制协议的解析，具体应支持以下功能：c)现场总线数据无扰监听和解析；d)自定义工控协议格式规约解析；6.1.5入侵诱捕系统应支持接入蜜罐捕获的入侵源数据或相同功能产品获取到的威胁情报。6.1.6其他安全防护设备的数据接入系统应支持接入防火墙、安全审计设备、漏洞扫描、VPN等受防护目标中部署的其他安全防护设备的数据。6.1.7事件辨别扩展接口系统应具备事件辨别扩展接口，具体应支持以下功能：a)以云服务等方式接收安全应急通报机构共享的安全事件或威胁情报；b)将发现的异常向安全应急通报机构上报。6.2异常检测系统应支持对感知层设备的异常检测，具体应支持以下功能：a)对现场设备违规外联、违规接入等异常检测；7GB/T41262—2022b)感知层设备断线、损坏等功能异常检测；c)感知层设备遭受未授权访问、数据篡改等异常检测。6.2.2网络层异常检测系统应支持对网络层通信协议和工控协议的通信流量异常检测，具体应支持以下功能：a)监测受保护网段内的地址、端口的报文流量和字节流量；b)非正常报文流入工业控制网络的检测；c)网络通信中存在的嗅探、非法监听等检测；d)对无线通信的异常流量检测；e)IPv4/v6双栈协议中的异常流量检测；f)隐匿通信通道检测。系统应支持对控制层中工程师站、操作员站等上位机的异常检测，具体应支持以下功能：a)对上位机下行的控制指令进行异常检测；b)对上位机与其他业务管理的信息系统之间信息流的异常检测；c)对上位机违规开启端口或服务、异常配置、异常组态变更的检测；e)对上位机中USB等外设违规接入检测；f)发现误操作、恶意操作等违规操作行为；g)对上位机中CPU、内存等资源使用情况设置正常阈值，当出现异常使用情况时具备实时检测系统应支持控制层控制设备的异常检测，具体要求包括：a)应支持对控制设备的数据内容和负载信息等异常检测；b)应支持对控制设备自身故障、SIS告警的异常检测；c)应支持对控制设备感染恶意代码的异常检测；d)应支持对控制设备的误用检测；e)应具备控制器中控制点位、控制值、控制器状态信息等异常检测能力。6.2.5行为异常检测系统应具备对受保护目标ICS中攻击入侵行为的检测能力，具体要求包括：a)应支持网络扫描行为检测，如端口扫描c)应支持对通信协议、软件、嵌入式设备等已知漏洞攻击行为检测；d)应支持对ICS中误操作、工程师站组态变更、操控指令变更、PLC下装、固件升级等关键行为异常的检测；e)应支持对ICS存在的APT攻击检测；f)应支持对通信协议、软件、嵌入式设备等未知漏洞攻击行为检测；8GB/T41262—20226.2.6工艺参数异常检测系统应具备对受保护ICS中业务工艺生产状态异常检测能力，具体应支持以下功能：b)对工艺参数变更、重要工艺故障的检测；c)对未按规定的造成加工件或成品严重影响的异常检测。系统应具备对实时检测受保护目标ICS威胁事件的能力，具体要求包括：b)应支持受保护目标ICS安全管理中存在不合规的异常检测，具体要求应符合GB/T36323的相关规定；c)应支持内部威胁检测；d)应具有威胁类型和危害程度的评估能力；e)应支持潜在或隐藏的威胁事件检测；f)应支持对接收到的共享威胁情报在受保护目标ICS中进行检测识别；g)应具有威胁对象定位、影响范围评估的能力；h)应具有威胁来源追溯的能力。6.2.8基于白名单规则分析系统应具有基于白名单规则分析能力，具体应支持以下功能：a)对PLC、SCADA、RTU等控制器的白名单检测；b)针对控制器的数据包进行快速有针对性的捕获与深度解析；c)结合白名单对不符合规则的控制器异常进行告警。6.2.9自学习系统应具有自学习能力，具体应支持以下功能：a)基于自学习模式，对ICS中的协议和流量行为进行被动式的学习，从而自动生成相关策略；b)自学习模式下的网络流量行为不产生告警；c)自学习模式的功能包括资产识别、网络基线和工控协议白名单。6.3响应与告警系统应具备对检测到的异常进行分类的能力，具体应支持以下功能：a)对不同类型的信息安全类异常进行分级，分级方式见GB/T36324—2018中5.1;b)对不同类型的功能安全类异常进行分级，分级方式见GB/T36324—2018中5.2.2;6.3.2安全告警系统应支持在检测到异常时产生告警，并向用户提供处理建议。9GB/T41262—20226.3.3告警方式系统应具备根据异常的风险类型向用户提供不同的告警方式，具体应支持以下功能：a)通过管理界面告警；b)向网络管理人员发送告警邮件或手机短信；c)向网管中心发送SNMPTrap信息。系统应具备告警处置功能，具体要求包括：a)在受保护目标ICS遭受到严重影响的入侵事件或故障时，应具备对关键路径上的目标提供处置建议的能力，避免或限制对受保护目标ICS造成更严重的结果；b)系统应在受保护目标ICS遭受到严重影响的入侵事件时，具有阻断能力。6.3.5排除响应系统应在失效告警或误报异常时，提供用户排除响应的操作选项。系统应具备对受保护目标ICS的自动化全局智能预警能力。6.3.7与其他安全防护设备联动6.4检测结果处理系统应具备对异常检测的结果进行实时记录的能力，提供用户对结果可视化展示、可选查阅和结果报告输出。6.4.2统计分析b)应支持工艺参数等异常的统计分析；c)应具有挖掘受保护目标ICS中潜藏或未知异常的能力。系统应具有异常检测结果可视化能力，具体应支持以下功能：a)提供图形化展示模块和仪表盘功能；b)提供全面实时的信息展示；d)结合实时曲线、动态占比、动态排行等显示模块。GB/T41262—2022b)多属性联合查询。系统应支持用户以PDF、Word、HTML等不同格式的输出检测结果报告。6.5管理控制c)支持对口令的强度进行检查的能力，避免用户使用弱口令或默认口令。别的请求。户重新进行身份鉴别。a)应支持离线和在线两种升级方式；b)应支持系统版本或规则库版本老旧影响使用的情况下向用户发送告警信息；c)应具备对升级来源进行校验的能力。6.6安全管理GB/T41262—2022a)提供用户不同接口，如工业控制设备故障接入、检测数据或结果导入导出、其他安全防护设备b)遵循最小化原则，确保接口在使用时才被用户开启。系统应支持对自身安全状态的实时监测能力，具体应支持以下功能：a)发现系统存在的版本未升级、规b)发现穷举攻击、未授权访问等安全验证绕过问题时，提醒用户更改口令。6.6.3存储安全a)应支持不同类型数据的防篡改功能；b)应支持存储空间监测功能，保证系统中数据的存储安全。系统自身其他安全保障应符合GB/T20275—2013中6.2.4的要求。系统应具备分布式部署的受保护ICS同步关联的异常检测分析能力。6.7日志管理系统应具备自动对数据采集、异常检测、响应与告警、检测结果处理和管理控制过程中产生的操作和数据进行自动化生成日志的能力。系统保存的日志应包括检测到异常的具体日期、时间、用户标识、描述、告警信息和用户响应等内系统日志存储应具备安全存储的功能，具体要求包括：a)应在受限访问权限的情况下进行安全存储；b)应具备安全加密、备份和恢复能力；c)日志存储时间不应少于6个月。7性能要求7.1误报率误报率要求如下：a)系统应将误报率控制在应用许可的范围10%以内；b)不应对受保护的ICS产生影响；c)支持IPv6网络环境下工作的系统误报率应满足上述指标。GB/T41262—2022漏报率应符合GB/T20275—2013中规定的相关指标。7.3流量监控能力系统单口监控流量应符合GB/T20275—2013中规定的相关指标。7.4并发连接数监控能力系统单口监控并发连接数应符合GB/T20275—2013中规定相关指标。7.5新建TCP连接速率监控能力系统单口监控新建TCP连接速率应符合GB/T20275—2013中规定的相关指标。7.6检测时间系统的异常检测时间性能要求如下：a)功能安全类异常检测时间应不高于1s;b)信息安全类异常检测时间应不高于3s。GB/T41262—2022(资料性)工业控制系统信息物理融合中的威胁A.1感知层安全威胁感知层主要由各种物理传感器、执行器等组成，是整个物理信息系统中信息的来源。为了适应多变的环境，网络节点多布置在无人监管的环境中，因此易被攻击者攻击。常见的针对感知层的攻击方式有：b)信息窃听：攻击者通过搭线或利用传输过程中的非法监听，造成数据隐私泄露等问题；c)节点捕获：攻击者对部分网络节点进行控制，可能导致密钥泄露，危及整个系统的通信安全。A.2网络层安全威胁层易受到攻击。网络层的主要安全威胁如下：a)拒绝服务攻击：攻击者通过先向服务器发送大量请求，使得服务器缓冲区爆满而被迫停止接受新的请求，使系统崩溃从而影响合法用户的使用；b)选择性转发：恶意节点在接收到数据后，不全部转发所有信息，而是将部分或全部关键信息在转发过程中丢掉，破坏了数据的完整性；c)方向误导攻击：恶意节点在接收到数据包后，对其源地址和目的地址进行修改，使得数据包沿错误路径发送出去，造成数据丢失或网络混乱。A.3控制层安全威胁控制层中数据库中存放着大量用户的隐私数据，因此在这一层中一旦发生攻击就会出现大量隐私泄漏的问题。针对应用层的主要威胁有。a)用户隐私泄漏：用户的所有的数据都存储在控制层中的数据库中，其中包含用户的个人资料等重的影响。b)恶意代码：恶意代码是指在运行过程中会对系统造成不良影响的代码库，攻击者一般会将这些代码嵌入到注释中，脚本一旦在系统中运行，就会对系统造成严重的后果。作权限，一般管理员对该系统有部分的操作权限。非授权访问指的就是攻击者在未经授权的情况下不合理的访问本系统，攻击者欺骗系统，进入到本系统中对本系统执行一些恶意的操作就会对本系统产生严重的影响。d)软件设计缺陷：工业控制软件的开发人员不同的编程能力、对功能的理解能力，以及软件供应链环节使用存在潜在隐患的开源程序、第三方组件等，导致软件开发存在设计缺陷。这些设计缺陷一旦被攻击者挖掘到漏洞，可被用于发起拒绝服务攻击、验证绕过、非授权访问或窃取敏感数据等。如勒索病毒事件、国际知名SCADA软件被曝光一系列远程命令执行高危漏洞等。GB/T41262—2022(资料性)工业控制系统信息物理融合安全防护