ICS 35.240.50 CCS J 07
GB
中华人民共和国国家标准
GB/T41263—2022
工控系统动态重构主动防御体系架构规范
Industrial control system dynamic reconfiguration active defense technical
architecture specification
2022-03-09发布
2022-10-01实施
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T41263—2022
目 次
前言 1 范围 2 规范性引用文件 3 术语和定义
符号和缩略语工控系统动态重构主动防御体系架构 5.1 概述 5.2 过程监控层异构编译环境多态部署 5.3 工控网络信息安全传输机制 5.4 现场控制层异构运行逻辑及智能判决机制 5.5 工程文件安全存储验证机制·· 信息安全评价指标参数规定参考文献
4
P
F
3
...
12
6
13
14 GB/T41263—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任，本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会（SAC/TC159）归口。 本文件起草单位：中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方
继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所。
本文件主要起草人：魏强、宋涛、王红敏、陈鸿刚、员天佑、张雪嫣、周立东、王凯、陈红、黄辉辉、麻荣宽杨永辉。
- GB/T41263—2022
工控系统动态重构主动防御体系架构规范
1范围
本文件规定了工控网络的信息安全体系架构，描述了过程监控层异构编译环境多态部署、工控网络
信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制，规定了信息安全体系评价指标参数
本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者，为相关参与者设计动
态重构主动防御的工控网络提供指导要求。
规范性引用文件
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件。
3.1
工业控制系统 industrial control system;ICS 由计算机和工业过程控制部件构成的自动化控制系统，注1：工业控制系统简称“工控系统”。该系统通过工业通信线路，根据专用的工业通信协议将控制器、传感器、执行
器和输人/输出接口等部分连接起来，构建一个具有自动控制能力的工业制造系统
注2：ICS是一个通用术语，它包括多种工业生产中使用的控制系统，包括SCADA、DCS和其他较小的控制系统，如
PLC，现已广泛应用在工业部门和关键基础设施中。对这一概念更多的讨论见GB/T32919一2016
3.2
工业控制网络 findustrial control network 种利用各种通信设备将所有工业生产设备和自动化控制系统连接起来的通信网络。 注：工业控制网络是ICS中的网络部分，简称“工控网络”。
.
3.3
可编程逻辑控制器 programmable logic controller;PLC 种用于工业环境的数字式操作的电子系统注1：这种系统用可编程的存储器作面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算
.
等，通过数字或模拟的输人/输出，控制各种类型的机械或过程。PLC及其相关外围设备的设计，使它能够非常方便地集成到ICS中，并能很容易地达到所期望的所有功能。
注2：对这一概念更多的讨论见GB/T33008.1一2016
3.4
分散控制系统 distributed control system;DCS 采用计算机、通信和屏幕显示技术，实现对生产过程的数据采集、控制和保护功能，利用通信技术实
现数据共享的多计算机监控系统，
注1：分散控制系统的主要特点是功能分散、操作显示集中、数据共享。根据具体情况也可以是硬件布置上的分散
1 GB/T41263—2022
注2：对这一概念更多的讨论见GB/T36293一2018
3.5
监测控制和数据采集supervisorycontrolanddataacquisition；SCADA 一系列计算机硬件及软件的组合，可用于发布命令及采集数据从而实现监视与控制注1：SCADA系统是工控网络调度自动化系统的基础和核心，负责采集和处理工控系统运行中的各类实时和非实
时数据，是工控网络调度中心各种应用软件的主要数据来源
注2：SCADA系统通常由一个主站和多个子站组成，包括实时数据采集、数据通信、系统支撑平台、前置子系统及后
置子系统等。
3.6
信息安全informationsecurity 保护信息的机密性、完整性和可用性及其他属性。 注：如防抵赖性、可靠性等。对这一概念更多的讨论见GB/T26333一2010。
3.7
威胁threat 可能对资产或组织造成损害的潜在原因。 注：威胁可以通过威胁主体、资源、动机、途径等多种属性刻画。对这一概念更多的讨论见GB/T26333一2010。
3.8
下位机slavecomputer 利用嵌人式操作系统直接控制设备并获取设备运行状态信息的计算机设备。
3.9
工程师站 engineering work station DCS中用于系统设计的工作站。 注：工程师站为系统设计工程师提供各种设计工具，使工程师利用它们来组合、调用DCS的各种资源
3.10
运营技术 operationaltechnology;OT 负责生产运行维护的运营和自动化技术注：运营技术包括自动化协议、PLC、DCS、现场总线、工业以太网等。
3.11
内生安全 endogenous security 利用安全载荷封装技术对IP报文进行重构，使其具备数据源合法性、完整性、时效性验证功能能
够有效预防非授权访问、数据篡改、信息泄露和重播攻击等典型网络安全风险的，具备内在安全防护能力的一种网络安全模式。 3.12
动态防御dynamicdefense 通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价的一种安全
防御方法。
注：动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率，从而
对攻击行为进行有效遇制，保障系统安全性。常见的主动防御技术包括：人侵容忍、动目标防御和拟态安全防御等。
3.13
区块链blockchain 通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。
2 GB/T41263—2022
注：该技术方案主要让参与系统中的任意多个节点，使用密码学方法相关联产生的数据块，每个数据块中包含了一
定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接下一个数据库块。
3.14
共识机制consensusmechanism 使所有的诚实节点保存一致的区块链视图，同时满足一致性和有效性的区块链技术。 注：区块链是一种按时间顺序存储数据的数据结构，可支持不同的共识机制。
3.15
工程文件全生命周期保护fulllife-cycleprotectionofprojectfiles 通过工程安全编译技术、在线异构穴余、区块链技术以及逻辑安全运行技术，实施工程文件全生命
周期（存储、编译、传输、执行）保护，提高系统对控制功能失效的主动防御能力，具有技术独创性
符号和缩略语
4
下列符号和缩略语适用于本文件。 API：应用程序接口（ApplicationProgramInterface） ARM：进阶精简指令集机器（AdvancedRISCMachine） CA：证书颁发机构（CertificateAuthority） CRC：循环穴余校验（CyclicRedundancyCheck） FPGA：现场可编程门阵列（FieldProgrammableGateArray） IP：网际互连协议（InternetProtocol) MIPS：无内部互锁流水级的微处理器（MicroprocessorwithoutInterlockedPipelinedStages） OUDP：优化的用户数据报协议（OptimizedUserDatagramProtocol) TCP：传输控制协议（TransmissionControlProtocol） TPS：每秒交易笔数（TransactionPerSecond） SM2：SM2椭圆曲线公钥密码算法 SM3:SM3密码杂凑算法 SM4：SM4分组密码算法 X86：X86中央处理器指令集架构
5工控系统动态重构主动防御体系架构
5.1概述
工控系统动态重构主动防御体系架构是在ICS的OT网络内部构建一个具有内生安全功能的动态
重构主动防御机制，能在保证ICS对实时性和可控性要求的前提下，有效增强ICS防御未知威胁的能力。
本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连关系。
普渡企业参考架构模型中OT环境的信息安全问题，是以过程监控层、现场控制层和现场设备层为代表的工控系统内部生产控制网络安全问题，其简要模型如图1所示。
3 GB/T41263—2022
过程监控层
工程师站 操作员站历史数据库
现场监控层现场设备层
交换机
PLCI
图 1 OT环境简要模型图
本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过程，规约了各阶段的安全策略和防护目标。该架构包括四个部分：过程监控层异构编译环境多态部署、 工控网络信息安全传输、现场控制层异构运行逻辑及智能判决、工程文件安全存储验证，分别对工程文件的存储、编译、传输和执行四个阶段进行架构规范，其相关部署方案如图2所示。
0 过程监控层异构编译环境多态部署
区块链网络
过程监控层现场控制层
工程师站
②现场控制层异构运行逻辑及智能判决机制
异构编评服务器1异构编译服务器2异构编译服务器3
3
工程文件安全存储验证机制
交换机
2 PLC1
PLC2
④ 工控网络信息安全传输机制
?
图2动态重构主动防御体系架构部署方案
5.2 过程监控层异构编译环境多态部署 5.2.1安全目标
过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装过程中所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。 5.2.2安全要求
工业控制基础软件模块应以静态多变体自动生成技术为支撑，搭建不同层次（函数级、模块级、操作系统级、控制业务级)的多模非相似系统。 5.2.3安全策略 5.2.3.1异构环境部署机制
异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况，部署X86、
4 GB/T41263—2022
ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统。 5.2.3.2静态多变体自动生成组件
静态多变体自动生成组件是通过编译器、操作系统等底层基础软件在预编译、编译、链接等阶段打破攻击者所利用的固定的、可预期的规律，主要包含符号地址随机化、系统调用随机映射、层次化的多变体动态重构技术。
符号地址随机化的安全策略是，编译器应对程序布局、各类全局符号的相对位置关系、关键数据结
构成员的相对位置关系等进行随机多样化改造，自动生成异构的多变体。在系统运行过程中应支持随机选择多变体
系统调用随机映射的安全策略是，应在预编译阶段随机的重新调整系统调用表，并使用此系统调用表的定义编译生成操作系统的镜像文件。针对工控业务，也应使用前述随机生成的系统调用表进行编译生成镜像文件。
层次化的多变体动态重构技术的安全策略是，应构建选择器随机选择多变体，并通过多模判决器对多变体执行结果进行比较判决，最终确定系统输出，包括函数级动态重构和模块级动态重构。其中函数级动态重构如图3所示，智能随机选择器应根据当前运行情况随机选择若干个多变体完成关键函数功能，并对选中的多变体返回值进行多模判决，根据判决规则确定函数的输出结果。模块级动态重构如图4所示，执行时智能随机选择器应动态选择多变体，并应由多模判决器确定系统输出结果，反馈给智能随机选择器。
Foo O ( int res res=Func O : if (res)
智能随机选择器
结果反馈
多模判决
根据判决结果给出返回值
图3 函数级动态重构
反馈
智能随机选择器
多模判决器 根据判决结果输出-
结果
Apr
结果自动收集器
控制流+ 自动分发器
图4模块级动态重构
5