内容简介
ICS 25.040 N 10GB
中华人民共和国国家标准
GB/T38847—2020
智能工厂
工业控制异常监测工具技术要求
Intelligence factory-
Technical requirements for industrial control abnormal monitoring instrument
2021-02-01实施
2020-07-21发布
国家市场监督管理总局
国家标准化管理委员会 发布 GB/T38847—2020
目 次
前言引言 1 范围 2 规范性引用文件
术语、定义和缩略语.. 工业控制异常监测工具的部署工业控制异常监测工具等级划分 5.1技术要求分级 5.2 技术要求分类 6技术要求 6.1基本级 6.2 增强级附录A(规范性附录) 环境适应性要求
3 N
2
5
1
5
0
12 GB/T 38847—2020
前言
本标准按照GB/T1.1一2009给出的规则起草本标准由中国机械工业联合会提出。 本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。 本标准起草单位:启明星辰信息技术集团股份有限公司、机械工业仪器仪表综合技术经济研究所
中国石油天然气股份有限公司规划总院、北京中油瑞飞信息技术有限责任公司、中车戚墅堰机车有限公司、中国科学院沈阳自动化研究所、北京市自来水集团有限责任公司、重庆信安网络安全等级测评有限公司、上海自动化仪表有限公司、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心。
本标准主要起草人:孟雅辉、许涛、王玉敏、和曦、杜兰、尚文利、张晨艳、张为群、包伟华、甘杰夫、 张哲宇、赵剑明、刘志远、董朋、原真、马俊闯、尚羽佳、王静、周学良、单博、蒋浩然、陈春雨。
1 GB/T 38847—2020
引言
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安
全威胁,传统的工业控制异常监测工具在面对工业控制系统的安全监测时因不能识别工业控制系统专用协议、对工业控制系统异常特征分析不足,显得力不从心,因此急需要一种能应用于智能工厂中的工业控制异常监测工具对异常行为进行监测和报警
应用于智能工厂的工业控制异常监测工具与传统工业控制异常监测工具的主要差异体现在: a) 智能工厂的工业控制异常监测工具是专门针对工业控制系统的检测系统,支持十几种主流工
控协议的深度解析,内置特有的工控网络检测策略;可检测利用工控设备漏洞对工控网络的多种人侵攻击;
b) 智能工厂的工业控制异常监测工具采用工业级全密闭硬件设计,环境适应能力强; c) 智能工厂的工业控制异常监测工具满足工业现场要求的高可靠性和稳定性等需求
II GB/T38847—2020
智能工厂
工业控制异常监测工具技术要求
1范围
本标准规定了智能工厂的工业控制异常监测工具(以下简称:监测工具)的部署、等级划分和技术
要求。
本标准适用于工业控制异常监测工具的设计、开发与测试,
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T2423.5一2019环境试验第2部分:试验方法试验Ea和导则:冲击 GB/T2423.10环境试验第2部分:试验方法试验Fc:振动(正弦) GB/T4208一2017外壳防护等级(IP代码) GB4824工业、科学和医疗(ISM)射频设备 骚扰特性限值和测量方法 GB/T4857.20包装运输包装件碰撞试验方法 GB/T4857.23一2012包装运输包装件基本试验第23部分:随机振动试验方法 GB/T9254信息技术设备的无线电骚扰限值和测量方法 GB/T13729—2019远动终端设备 GB/T15153.1 远动设备及系统第2部分:工作条件第1篇:电源和电磁兼容性 GB/T 17214.4 工业过程测量和控制装置的工作条件第4部分:腐蚀和侵蚀影响 GB/T 17626.2 电磁兼容 试验和测量技术 静电放电抗扰度试验 GB/T 17626.3 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验 GB/T 17626.4 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验 GB/T 17626.5 电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验 GB/T17626.6 电磁兼容 试验和测量技术 射频场感应的传导骚扰抗扰度 GB/T 17626.8 电磁兼容 试验和测量技术 工频磁场抗扰度试验 GB/T17626.10 电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验 GB/T17626.11 电磁兼容 试验和测量技术 电压暂降、短时中断和电压变化的抗扰度试验 GB/T17626.12- 2—2013 电磁兼容 试验和测量技术振铃波抗扰度试验 GB/T17626.16 电磁兼容 试验和测量技术0Hz~150kHz共模传导骚扰抗扰度试验 GB/T 17626.17 电磁兼容 试验和测量技术直流电源输人端口纹波抗扰度试验 GB/T17626.29 电磁兼容 试验和测量技术 直流电源输人端口电压暂降、短时中断和电压变
化的抗扰度试验
GB/T20275—2013 信息安全技术 网络人侵检测系统技术要求和测试评价方法
术语、定义和缩略语
3
下列术语和定义适用于本文件。
1 GB/T38847—2020
3.1术语和定义 3.1.1
工业控制异常监测工具industrialcontrolabnormalmonitoringinstrument 以工业控制网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,发现针对工
业控制系统的网络入侵、病毒、流量异常等异常行为的系统。 3.1.2
探测器 sensor 用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分
析的人侵检测系统组件。
[GB/T20275—2013,定义3.6] 3.2 缩略语
下列缩略语适用于本文件。 DCS:集散控制系统(DistributedControlSystem) PLC:可编程序控制器(ProgrammableLogicController) RTU:远程终端单元(RemoteTerminalUnit)
4工业控制异常监测工具的部署
监测工具是以旁路监测工业控制系统网络,抓取网络流量,发现异常行为并报警。图1是将监测工具旁路部署在工业网络交换机的镜像口上,工业控制系统业主根据工业网络交换机情况,酌情考虑部署。对于工具的环境适应性要求见附录A。
中央监控计算机实时数据库服务器 历史数据库服务器
D
D
交换机
-
操作员站
工程师站
工业异常监测系统
国 国
交换机
工业异常监测系统
DCS
RTU
PLC
数据机床
图 1 工业控制异常监测工具部署示例
5工业控制异常监测工具等级划分
5.1技术要求分级
按照GB/T20275一2013有关要求,结合工业控制系统需求,将技术要求分为基本级和增强级。
2 GB/T 38847—2020
5.2 技术要求分类
将技术要求分为功能要求、安全要求、保证要求、性能要求四个方面。其中产品保证要求采用
GB/T20275一2013中的安全保证要求,产品性能要求采用GB/T20275一2013中的性能要求,产品功能要求、安全要求分别见表1和表2。
表1工业控制异常监测工具产品功能要求等级划分
产品功能要求
功能组件数据收集协议分析人侵行为监测
基本级 / V V 一一一 V V V V 一一一一一一一一 V V V V
增强级 V V V V V V V V V V V V V V V V V V V V V V V V V V V V V V V V V
数据探测功能要求
工业协议异常行为监测
网络流量监测病毒监测数据分析分析方式防躲避能力网络违规行为分析网络异常行为分析网络拓扑自动梳理检测规则管理
GAG
异常分析功能要求
事件合并事件关联
基于流量的高级分析
异常行为溯源工控漏洞人侵行为检测
安全告警告警方式排除响应定制响应全局预警异常管理图形界面事件数据库事件分级策略配置产品升级统一升级分布式部署集中管理端口分离
异常响应功能要求
V V V V V V
管理控制功能要求
-
3 GB/T 38847—2020
表1(续)
基本级 V V V V V V V V 一
增强级 V V V V V V V V V V J V
功能组件事件记录事件可视化报告生成报告查阅报告输出安全运维管理安全审计报告制定窗口定义事件定义协议定义通用接口
产品功能要求
检测结果处理要求
产品灵活性要求
一
注:“”表示具有该要求;“一”表示对该项无要求
表 2 工业控制异常监测工具产品安全要求等级划分
功能组件用户鉴别鉴别失败的处理多鉴别机制鉴别数据保护用户角色安全数据管理安全属性管理数据保护数据存储告警通信完整性通信稳定性升级安全产品自身安全
基本级 V V 一一 V V 一 V 一 V V V V
增强级 V V V V V V V V V V V V V
安全功能要求
身份鉴别
S4G
用户管理
数据保护事件数据安全
通信安全
产品自身安全注:“/”表示具有该要求;“一”表示对该项无要求。
4