当前位置:首页 > 行业资料 > 国内外标准规范 > GB∕T 38847-2020 智能工厂 工业控制异常监测工具技术要求
书书书犐犆犛25.040犖10!#$%&’’()*犌犅/犜38847—2020!#$#%&’()*+#,-./0犐狀狋犲犾犾犻犵犲狀犮犲犳犪犮狋狅狉狔—犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾犪犫狀狅狉犿犪犾犿狅狀犻狋狅狉犻狀犵犻狀狊狋狉狌犿犲狀狋20200721122021020134’(+,-./012’()*3/045612目 次前言Ⅰ…………………………………………………………………………………………………………引言Ⅱ…………………………………………………………………………………………………………1 范围1………………………………………………………………………………………………………2 规范性引用文件1…………………………………………………………………………………………3 术语、定义和缩略语1………………………………………………………………………………………4 工业控制异常监测工具的部署2…………………………………………………………………………5 工业控制异常监测工具等级划分2……………………………………………………………………… 5.1 技术要求分级2……………………………………………………………………………………… 5.2 技术要求分类3………………………………………………………………………………………6 技术要求5………………………………………………………………………………………………… 6.1 基本级5……………………………………………………………………………………………… 6.2 增强级9………………………………………………………………………………………………附录A(规范性附录) 环境适应性要求12…………………………………………………………………犌犅/犜38847—2020前 言 本标准按照GB/T1.1—2009给出的规则起草。本标准由中国机械工业联合会提出。本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。本标准起草单位:启明星辰信息技术集团股份有限公司、机械工业仪器仪表综合技术经济研究所、中国石油天然气股份有限公司规划总院、北京中油瑞飞信息技术有限责任公司、中车戚墅堰机车有限公司、中国科学院沈阳自动化研究所、北京市自来水集团有限责任公司、重庆信安网络安全等级测评有限公司、上海自动化仪表有限公司、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心。本标准主要起草人:孟雅辉、许涛、王玉敏、和曦、杜兰、尚文利、张晨艳、张为群、包伟华、甘杰夫、张哲宇、赵剑明、刘志远、董朋、原真、马俊闯、尚羽佳、王静、周学良、单博、蒋浩然、陈春雨。Ⅰ犌犅/犜38847—2020引 言 随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,传统的工业控制异常监测工具在面对工业控制系统的安全监测时因不能识别工业控制系统专用协议、对工业控制系统异常特征分析不足,显得力不从心,因此急需要一种能应用于智能工厂中的工业控制异常监测工具对异常行为进行监测和报警。应用于智能工厂的工业控制异常监测工具与传统工业控制异常监测工具的主要差异体现在:a) 智能工厂的工业控制异常监测工具是专门针对工业控制系统的检测系统,支持十几种主流工控协议的深度解析,内置特有的工控网络检测策略;可检测利用工控设备漏洞对工控网络的多种入侵攻击;b) 智能工厂的工业控制异常监测工具采用工业级全密闭硬件设计,环境适应能力强;c) 智能工厂的工业控制异常监测工具满足工业现场要求的高可靠性和稳定性等需求。Ⅱ犌犅/犜38847—2020智能工厂工业控制异常监测工具技术要求1 范围本标准规定了智能工厂的工业控制异常监测工具(以下简称:监测工具)的部署、等级划分和技术要求。本标准适用于工业控制异常监测工具的设计、开发与测试。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T2423.5—2019 环境试验 第2部分:试验方法 试验Ea和导则:冲击GB/T2423.10 环境试验 第2部分:试验方法 试验Fc:振动(正弦)GB/T4208—2017 外壳防护等级(IP代码)GB4824 工业、科学和医疗(ISM)射频设备 骚扰特性 限值和测量方法GB/T4857.20 包装 运输包装件 碰撞试验方法GB/T4857.23—2012 包装 运输包装件基本试验 第23部分:随机振动试验方法GB/T9254 信息技术设备的无线电骚扰限值和测量方法GB/T13729—2019 远动终端设备GB/T15153.1 远动设备及系统 第2部分:工作条件 第1篇:电源和电磁兼容性GB/T17214.4 工业过程测量和控制装置的工作条件 第4部分:腐蚀和侵蚀影响GB/T17626.2 电磁兼容 试验和测量技术 静电放电抗扰度试验GB/T17626.3 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验GB/T17626.4 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验GB/T17626.5 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验GB/T17626.6 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度GB/T17626.8 电磁兼容 试验和测量技术 工频磁场抗扰度试验GB/T17626.10 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验GB/T17626.11 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度试验GB/T17626.12—2013 电磁兼容 试验和测量技术 振铃波抗扰度试验GB/T17626.16 电磁兼容 试验和测量技术 0Hz~150kHz共模传导骚扰抗扰度试验GB/T17626.17 电磁兼容 试验和测量技术 直流电源输入端口纹波抗扰度试验GB/T17626.29 电磁兼容 试验和测量技术 直流电源输入端口电压暂降、短时中断和电压变化的抗扰度试验GB/T20275—2013 信息安全技术 网络入侵检测系统技术要求和测试评价方法3 术语、定义和缩略语下列术语和定义适用于本文件。1犌犅/犜38847—20203.1 术语和定义3.1.1工业控制异常监测工具 犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾犪犫狀狅狉犿犪犾犿狅狀犻狋狅狉犻狀犵犻狀狊狋狉狌犿犲狀狋以工业控制网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,发现针对工业控制系统的网络入侵、病毒、流量异常等异常行为的系统。3.1.2探测器 狊犲狀狊狅狉用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的入侵检测系统组件。[GB/T20275—2013,定义3.6]3.2 缩略语下列缩略语适用于本文件。DCS:集散控制系统(DistributedControlSystem)PLC:可编程序控制器(ProgrammableLogicController)RTU:远程终端单元(RemoteTerminalUnit)4 工业控制异常监测工具的部署监测工具是以旁路监测工业控制系统网络,抓取网络流量,发现异常行为并报警。图1是将监测工具旁路部署在工业网络交换机的镜像口上,工业控制系统业主根据工业网络交换机情况,酌情考虑部署。对于工具的环境适应性要求见附录A。图1 工业控制异常监测工具部署示例5 工业控制异常监测工具等级划分5.1 技术要求分级按照GB/T20275—2013有关要求,结合工业控制系统需求,将技术要求分为基本级和增强级。2犌犅/犜38847—20205.2 技术要求分类将技术要求分为功能要求、安全要求、保证要求、性能要求四个方面。其中产品保证要求采用GB/T20275—2013中的安全保证要求,产品性能要求采用GB/T20275—2013中的性能要求,产品功能要求、安全要求分别见表1和表2。表1 工业控制异常监测工具产品功能要求等级划分产品功能要求功能组件基本级增强级数据探测功能要求数据收集√√协议分析√√入侵行为监测√√工业协议异常行为监测—√网络流量监测—√病毒监测—√异常分析功能要求数据分析√√分析方式√√防躲避能力√√网络违规行为分析√√网络异常行为分析—√网络拓扑自动梳理—√检测规则管理—√事件合并—√事件关联—√基于流量的高级分析—√异常行为溯源—√工控漏洞入侵行为检测—√异常响应功能要求安全告警√√告警方式√√排除响应√√定制响应√√全局预警—√异常管理—√管理控制功能要求图形界面√√事件数据库√√事件分级√√策略配置√√产品升级√√统一升级√√分布式部署—√集中管理—√端口分离—√3犌犅/犜38847—2020表1(续)产品功能要求功能组件基本级增强级检测结果处理要求事件记录√√事件可视化√√报告生成√√报告查阅√√报告输出√√安全运维管理√√安全审计√√产品灵活性要求报告制定√√窗口定义—√事件定义—√协议定义—√通用接口—√ 注:“√”表示具有该要求;“—”表示对该项无要求。表2 工业控制异常监测工具产品安全要求等级划分安全功能要求功能组件基本级增强级身份鉴别用户鉴别√√鉴别失败的处理√√多鉴别机制—√鉴别数据保护—√用户管理用户角色√√安全数据管理√√安全属性管理—√数据保护数据保护√√事件数据安全数据存储告警—√通信安全通信完整性√√通信稳定性√√升级安全√√产品自身安全产品自身安全√√ 注:“√”表示具有该要求;“—”表示对该项无要求。4犌犅/犜38847—20206 技术要求6.1 基本级6.1.1 产品功能要求6.1.1.1 数据探测功能要求6.1.1.1.1 数据收集应具有实时获取受保护网段内的数据包的能力。获取的数据包应足以进行检测分析。6.1.1.1.2 协议分析至少应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、HTTP、FTP、TFTP、SNMP、TELNET。包含但不限于ModBusTCP、OPC、DNP3、Enternet/IP或行业的专有协议等工业控制协议事件的检测。6.1.1.1.3 入侵行为监测应监测包括但不限于:暴力破解、拒绝服务攻击、工业协议脆弱性攻击、安全扫描、蠕虫病毒、脆弱口令、木马后门攻击、缓冲区溢出攻击等。6.1.1.2 异常分析功能要求6.1.1.2.1 数据分析应对收集的数据包进行分析,发现6.1.1.1.3中所述入侵行为。6.1.1.2.2 分析方式应以协议深度分析、流量分析、模式匹配、入侵行为建模分析等一种或多种方式进行入侵异常分析。6.1.1.2.3 防躲避能力应能发现工控协议躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形、隧道协议、隐蔽通道传输等。6.1.1.2.4 网络违规行为分析发现内部违规的网络行为,包括但不限于网络内非授权的新设备、非授权启用服务/端口、正常服务的停用、违规网络访问,违规VPN接入、违规的拨号网络、违规的远程管理。6.1.1.3 异常响应功能要求6.1.1.3.1 安全告警当系统检测到入侵异常时,应自动采取相应动作以发出安全警告。6.1.1.3.2 告警方式告警可以采取监测工具计算机端监控界面实时提示、日志记录等方式。5犌犅/犜38847—20206.1.1.3.3 排除响应应允许用户定义对被检测网段中指定的主机或特定的事件不予告警,降低误报。6.1.1.3.4 定制响应应允许用户对被检测网段中指定的主机或特定的事件定制不同的响应方式,以对特定的事件突出告警。6.1.1.4 管理控制功能要求6.1.1.4.1 图形界面应提供友好的用户界面用于管理、配置工业控制异常监测工具。管理配置界面应包含配置和管理产品所需的所有功能。6.1.1.4.2 事件数据库事件数据库应包括事件定义和分析、处理建议等。6.1.1.4.3 事件分级应按照事件的严重程度将事件分级,并报告给管理员。6.1.1.4.
本文标题:GB∕T 38847-2020 智能工厂 工业控制异常监测工具技术要求
链接地址:https://www.777doc.com/doc-8948159 .html