GB/T 41263-2022 工控系统动态重构主动防御体系架构规范（正式版）

ICS35.240.50GB/T41263—2022工控系统动态重构主动防御体系架构规范国家市场监督管理总局国家标准化管理委员会 I 3术语和定义 35工控系统动态重构主动防御体系架构 3 35.2过程监控层异构编译环境多态部署 45.3工控网络信息安全传输机制 5.4现场控制层异构运行逻辑及智能判决机制 5.5工程文件安全存储验证机制 6信息安全评价指标参数规定 IGB/T41263—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。本文件起草单位：中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所。1GB/T41263—2022工控系统动态重构主动防御体系架构规范1范围全体系评价指标参数。本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者，为相关参与者设计动态重构主动防御的工控网络提供指导要求。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1工业控制系统industrialcontrolsystem;ICS由计算机和工业过程控制部件构成的自动化控制系统。PLC,现已广泛应用在工业部门和关键基础设施中。对这一概念更多的讨论见GB/T32919—2016。3.2一种利用各种通信设备将所有工业生产设备和自动化控制系统连接起来的通信网络。3.3可编程逻辑控制器programmablelogiccontroller;PLC一种用于工业环境的数字式操作的电子系统。注2:对这一概念更多的讨论见GB/T33008.1—2016。3.4现数据共享的多计算机监控系统。2GB/T41263—2022注2:对这一概念更多的讨论见GB/T36293—2018。注1:SCADA系统是工控网络调度自动化系统的基础和核心，负责采集和处理工控系统运行中的各类实时和非实时数据，是工控网络调度中心各种应用软件的主要数据来源。置子系统等。注：如防抵赖性、可靠性等。对这一概念更多的讨论见GB/T26333—2010。注：动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率，从而对攻击行为进行有效遏制，保障系统安全性。常见的主动防御技术包括：入侵容忍、动目标防御和拟态安全防御等。3GB/T41263—2022注：该技术方案主要让参与系统中的任意多个节点，使用密码学方法相关联产生的数据块，每个数据块中包含了一定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接下一个数据库块。共识机制consensusmechani注：区块链是一种按时间顺序存储数据的数据结构，可支持不同的共识机制。工程文件全生命周期保护fulllife-cycleprotectionofprojectfiles4符号和缩略语下列符号和缩略语适用于本文件。API:应用程序接口(ApplicationProgramInterface)ARM:进阶精简指令集机器(AdvancedRISCMachine)CA:证书颁发机构(CertificateAuthority)CRC:循环冗余校验(CyclicRedundancyCheck)FPGA:现场可编程门阵列(FieldProgrammableGateArray)IP:网际互连协议(InternetProtocol)MIPS:无内部互锁流水级的微处理器(MicroprocessorwithoutInterlockedPipelinedStages)TCP:传输控制协议(TransmissionControlProtocol)TPS:每秒交易笔数(TransactionPerSecond)SM2:SM2椭圆曲线公钥密码算法SM3:SM3密码杂凑算法SM4:SM4分组密码算法X86:X86中央处理器指令集架构5工控系统动态重构主动防御体系架构工控系统动态重构主动防御体系架构是在ICS的OT网络内部构建一个具有内生安全功能的动态重构主动防御机制，能在保证ICS对实时性和可控性要求的前提下，有效增强ICS防御未知威胁的能力。本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连关系。代表的工控系统内部生产控制网络安全问题，其简要模型如图1所示。4 过程监控层工程师站操作员站历史数据库现场监控层现场设备层交换机本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过工程师站交换机5.2过程监控层异构编译环境多态部署过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装过程中所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况，部署X86、5GB/T41263—2022ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统。5.2.3.2静态多变体自动生成组件静态多变体自动生成组件是通过编译器、操作系统等底层基础软件在预编译、编译、链接等阶段打体动态重构技术。符号地址随机化的安全策略是，编译器应对程序布局、各类全局符号的相对位置关系、关键数据结构成员的相对位置关系等进行随机多样化改造，自动生成异构的多变体。在系统运行过程中应支持随机选择多变体。系统调用随机映射的安全策略是，应在预编译阶段随机的重新调整系统调用表，并使用此系统调用表的定义编译生成操作系统的镜像文件。针对工控业务，也应使用前述随机生成的系统调用表进行编译生成镜像文件。层次化的多变体动态重构技术的安全策略是，应构建选择器随机选择多变体，并通过多模判决器对多变体执行结果进行比较判决，最终确定系统输出，包括函数级动态重构和模块级动态重构。其中函数级动态重构如图3所示，智能随机选择器应根据当前运行情况随机选择若干个多变体完成关键函数功能，并对选中的多变体返回值进行多模判决，根据判决规则确定函数的输出结果。模块级动态重构如图4所示，执行时智能随机选择器应动态选择多变体，并应由多模判决器确定系统输出结果，反馈给智能随机选择器。FooFoo0(if(res)FuncFuneTuncFunc多模判决根据判决结果给山返回值一智能随机选择器(图3函数级动态重构App多模判决器根据判决结果输出一App结果App—控制流一白动分发器App智能随机选择器图4模块级动态重构6GB/T41263—20225.2.4实施要求异构编译与编译环境多态部署机制的实施要求包括：a)应保证每个编译环境的架构和操作系统的差异；b)应保证编译器数量要大于或等于下位机运行时系统数量；c)应保证编译生成结果能够被有效解析并且功能一致；d)应保证编译模块和工程文件安全验证机制的功能联动和安全性。5.3工控网络信息安全传输机制针对ICS的非实时性业务和实时性业务，构建具备动态防御功能的安全传输协议，实现内生安全的工业网络体系。在信息传输环节应对组态文件、控制程序和实时监控数据进行保护，在控制设备之间应建立动态、透明的安全专属信道。应分别面向会话层和数据链路层，应用该机制设计信息安全传输模式。5.3.2会话层信息安全传输模式会话层信息安全传输模式的安全目标是依托现有工控网络的基础网络及组件，通过会话层协议重构提供点对点动态加密通信机制和分片随机传输方式，形成对会话信息通道和信息安全的主动防御能力。5.3.2.2安全要求会话层信息传输安全要求包括：a)应以协议安全为基础，构建内生安全的控制网络体系；b)应兼容蓝牙、无线、有线电缆光纤等传输介质和底层协议；c)直连通信隧道应动态随机变化，具备唯一性和不可复制性；d)通信路径应动态随机变化，具备主动防御功能；e)点对点通信网络时延应小于50ms;f)应建立完善的通信网络安全管理体系，对工控通信设备的入网、下线，用户权限及认证口令等进行规范管理；g)工控系统网络中节点组件之间的通信应具备安全性和稳定性。5.3.2.3安全策略工控网络信息安全传输应采用重构的通信基础协议、动态加密隧道和多分片随机路径传输方式保证安全性和稳定性。具体要求如下。a)应对通信基础协议进行重构，重构的通信基础协议模型如图5所示。7GB/T41263—2022应用层访问层通道路山层传输层网络层物理层图5安全传输协议网络模型b)安全传输协议会话层应提供确认/重传机制，以及不同工控网络终端用户穿越网络的连接。c)安全传输协议的路由应提供工控网络信息传输路径的动态随机选取机制。d)安全传输协议应提供对等网络通信访问方式，提供点对点直连通信隧道。e)安全传输协议应提供API,应支持工控客户端(应用程序)和基础网络间的安全连接。f)点对点直连通信隧道应提供支持商用密码算法SM2和SM4算法的隧道和信息加密方式。g)通信隧道加密应支持动态加密方式。h)工控信息传输应提供传输路径的随机选取功能，在部分路径失效时，仍应支持通过其他路径完成信息传输。i)工控信息传输应提供动态信息分片功能，在攻击者获取分片的情况下，应保证其无法获取与其他分片关联及完整信息。j)工控信息传输路径的中间节点应提供信息传输即删除机制。会话层信息安全传输的实施要求如下：a)工控网络信息发送端和接收端均应安装统一的安全传输协议程序；b)设备均应通过安全传输协议模块统一接入网络，直接接入网络的设备应视作非法终端，无法和其他设备进行通信；c)应建立统一的分布式节点网络，分布式网络节点均应记录其他节点的地址；d)用户端应采用统一的对称加密算法、统一的动态密钥生成算法。5.3.3数据链路层信息安全传输模式数据链路层信息安全传输模式的安全目标是确保网络传输环节实时监控数据的完整性、保密性和有效性，通过链路层以太网帧安全重构与合规性判定技术对数据包进行过滤，防止外部攻击者利用非授数据链路层信息传输安全要求包括：a)应在链路层协议安全的基础上，构建内生安全的控制网络体系，应具备抵御非授权访问、数据篡改、数据伪造和重放攻击的功能；b)应兼容工业以太网协议和IPsec安全协议；c)应对控制设备透明，不应影响控制系统的上层应用协议；8GB/T41263—2022d)安全防护策略对控制网络的实时性和稳定性不应构成实质性影响；f)链路层安全协议应通过FPGA硬件实现，应保障协议栈的可靠性和自身安全性。荷，形成安全以太帧。安全以太帧结构如图6所示，安全以太帧构造及解析流程如图7所示。c)还原后的合规以太网帧与发送端发出的原始以太网帧应保持完全一致。e)数据保密性保护范围应包括应用数据和嵌入的安全载荷。在控制网络实时性要求极高，且应摘要CRC以太网首部应用数据应用数据时间戳发送端安企以太帧构造流程发送端安企以太帧构造流程接收端安企以太帧解析流程监听网络端口A否有数据?是俄获以太帧在数据段尾部插入“时间戳”在数据段尾部插入“认证口令”生成并插入“摘要”加密转发哈希值验证认证口令验证以太帧还原是截获以太帧解察帧丢弃未通过否9GB/T41263—2022密算法的动态调整。注：即使第一组密钥种子在网络传递过程中被攻击者截获和破解，在不知晓另一组种子值和密钥生成算法的情况下也无法获得最终密钥。另一组种子和相应的密钥生成算法固化在协议栈的FPGA设备中。链路层信息安全传输的实施要求如下：a)链路层安全传输协议应通过FPGA硬件实现，形成安全协议栈，其应用部署场景如图8所示，b)所有网络化控制设备均应通过安全协议栈统一接入网络，直接接入网络的设备应视作非法终c)所有安全协议栈均应采用统一的对称加密算法和动态密钥生成算法；构过程的统一控制。服务器服务器工程师站操作员站安全协议栈(管理节点)(通信节点)司工业设备图8应用部署示意图5.4.1安全目标现场控制层异构运行逻辑及智能判决机制的安全目标是进行运行时安全的检测和保护，解决控制本机制应适用于ICS的现场控制层相关设备。GB/T41263—2022在执行阶段的下位机中应分别部署运行多个异构功能等价的实例模块，形成一种基于多路功能等在下位机中部署运行时模块实例，每个运行时模块应有彼此独立的运行空间。每个运行时模块应模块级动态重构组件应包括N个(N≥3)逻辑运行时系统，其示意图如图9所示。这些逻辑运行构均不应相同。工业安全控制器应采用总线方式管理多个逻辑运行时实例，其中消息总线应用于多个逻辑运行时每个逻辑运行时实例中均应包含一个仲裁逻辑模块，应通过逻辑数据总线获取系统中N个用户逻裁执行权宜采用以时标靠前的优先原则为主的判断逻辑。具有执行权的仲裁逻辑模块应将最终的仲裁结果输出到I/O总线。消息总绿仰裁逻细A湿红输出数底层驱动逻辑运行为实悦出户逻辊逻册验出数件裁逻科绘GB/T41263—2022为多个逻辑运行时模块实例在各自独立空间中的运行过程。准同步执行方法如图10所示，应符合以下步骤。a)在系统上电后，多个独立的仲裁逻辑实例开始运行，经过初始化后进入等待逻辑执行结束的状态。b)当收到其他多个独立的用户逻辑运行结束的消息或者等待超时以后，进入仲裁权判断状态。c)在仲裁判断状态下，根据各自的运行信息综合判断出是否获得执行权，如果该仲裁逻辑实例未能获得执行权则将进入等待启动逻辑运行消息状态。d)在等待启动逻辑运行消息状态下如果收到启动逻辑运行消息则立即进入等待逻辑执行结束状逻辑执行结束状态。e)如果本地的仲裁逻辑实例获取了仲裁执行权则开始执行仲裁逻辑，在仲裁逻辑执行结束后将仲裁结果通过仲裁输出消息总线发送出去，之后进入等待逻辑周期结束的状态。f)在等待逻辑周期结束状态中，判断是否到达启动下一次用户逻辑运行的周期，当用户逻辑执行周期到达后进入发送启动逻辑运行消息的状态，完成启动逻辑运行消息的发送之后进入等待逻辑执行结束的状态。g)当有某个逻辑运行时实例异常时，获取了仲裁执行权的仲裁逻辑实例检测并将其踢出仲裁域。上述步骤在满足执行条件时不断重复。初始态启动逻辑运行执行结束或等待超时启动木地用户逻辑到期取得执行权等待逻辑仲裁逻辑执行结束执行周期结束仲裁逻辑图10准同步执行方法示意图具有执行权的仲裁逻辑实例均可对多个用户逻辑实例的中间输出运算结果进行判决。判决算法应取决于用户逻辑实例的个数、逻辑执行周期等多种因素，本文件不给出具体的实现方法。5.4.4实施要求现场控制层异构运行逻辑及智能判决机制的实施要求包括：a)逻辑运行时系统和仲裁模块应使用软件实现；b)相关实现不应影响控制器可用性；GB/T41263—2022c)实时性业务影响不应超过5%;d)应使用权限分离防止各个逻辑运行时系统相互影响；e)应保证仲裁模块的安全和隔离。5.5工程文件安全存储验证机制工程文件安全存储验证机制的安全目标是确保工程文件的真实存储，实现用户端对批量工程文件真实性的快速验证，主动防御工程文件篡改带来的安全风险。注：确保PLC安装存储的工程文件为工程师站发布的原始组态工程文件的技术包括区块链技术等。工程文件安全存储验证机制的安全要求包括：a)应支持海量工程文件的真实存储；b)应保证存储的工程文件不可篡改；c)应支持所存储工程文件的多点备份；d)容错率不应低于25%,部分节点失效不应影响系统运行；e)应保证备份内容的一致性；f)应支持工程文件的快速验证真伪；g)应支持工程文件验证TPS大于4000。工程文件安全存储验证机制包括：