内容简介
ICS 35.030CCS L 80 宁 省 地 方 标 21
辽 准
DB21/T 4011—2024
工业网络安全态势感知技术规范
Technical specifications for industrial network security situational
awareness
2024-09-30 发布 2024-10-30 实施
辽宁省市场监督管理局
发布
DB21/T 4011—2024
目
次
前言 ................................................................................. III
1
范围 ................................................................................ 1
2
规范性引用文件 ...................................................................... 1
3
术语和定义 .......................................................................... 1
4
缩略语 .............................................................................. 2
5
整体架构 ............................................................................ 2
6
数据准备 ............................................................................ 3
6.1
数据汇聚 ........................................................................ 3
6.2
数据分析 ........................................................................ 5
6.3
资产发现与管理 .................................................................. 5
7
态势评估与展示、分析 ................................................................ 5
7.1
态势评估与展示 .................................................................. 5
7.2
态势分析 ........................................................................ 7
8
态势告警与响应 ...................................................................... 8
8.1
安全态势告警 .................................................................... 8
8.2
事件响应支持 .................................................................... 8
参考文献 ............................................................................... 9
Ⅰ
DB21/T 4011—2024
前 言
本文件按照 GB/T 1.1-2020《标准化工作导则第 1 部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由辽宁省工业和信息化厅提出并归口。
本文件起草单位:东北大学、沈阳华睿博信息技术有限公司、辽宁省先进装备制造业基地建设工程
中心、沈阳鼓风机集团股份有限公司、国网辽宁省电力有限公司、中国电子信息产业集团有限公司、中
国电子信息产业集团有限公司第六研究所、辽宁交投艾特斯技术股份有限公司、中国烟草总公司辽宁省
公司、联通(辽宁)产业互联网有限公司、辽宁谛听信息科技有限公司、三六零安全科技股份有限公司、
中国联合网络通信有限公司沈阳市分公司、沈阳绿盟网络安全技术有限公司、北京理工大学、北京圣博
润高新技术股份有限公司、沈阳当先科技有限公司、南京佶合信息科技有限公司、济南大学等。
本文件主要起草人:姚羽、邵华、郭剑峰、陈莹、郝玉明、胡博、周小明、张尼、吴云峰、黄书鹏、
王宇飞、高刚、袁辉、吕生亮、杨道青、金阳、李士炜、梁艳、李冬妮、李小川、赵秀峰、李昊、杨巍、
纪科、陈贞翔、袁冬冰等。
本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电和来函等方式进行反馈,
我们将及时答复并认真处理,根据实际情况依法进行评估及复审。
归口管理部门通信地址:辽宁省沈阳市皇姑区北陵大街45-2号
归口管理部门联系电话:024-86913384
文件起草单位通信地址:辽宁省沈阳市和平区文化路三巷11号
文件起草单位联系电话:024-83687392
Ⅲ
DB21/T 4011—2024
工业网络安全态势感知技术规范
1
范围
本文件规定了工业网络安全态势感知的整体架构,以及数据准备,态势评估与展示、分析,态势告
警与响应的技术要求。
本文件适用于安全测评服务机构、工业网络安全态势感知产品厂商、工业网络运营使用单位及主管
部门组织工业网络安全态势感知的设计、开发、建设、检测、部署和维护工作。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 20985.1-2017
信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理
3 GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069-2022 信息安全技术 术语
GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南
GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型
GB/T 42453-2023 信息安全技术 网络安全态势感知通用技术要求
术语和定义
以下术语和定义适用于本文件。
3.1
网络安全态势感知
network security situation awareness
通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据,分析和处理网络行
为及用户行为等因素,掌握网络安全状态,预测网络安全趋势,并进行展示和监测预警的活动。
[来源:GB/T 42453-2023]
3.2
威胁
threat
可能对系统或组织造成危害的不期望事件的潜在因素。
[来源:GB/T 25069-2022,3.628]
3.3
预警
warning
针对即将或正在发生的网络安全事件或威胁,提前或及时发出的警示。
[来源:GB/T 25069-2022,3.739]
1
DB21/T 4011—2024
4
缩略语
下列缩略语适用于本文件:
APP:应用程序(Application)
Bacnet:楼宇自动化与控制网络(Building Automation and Control networks)
DCS:分布式控制系统(Distributed Control System)
DDoS:分布式拒绝服务攻击(Distributed Denial of Service)
DNP3:分布式网络协议3(Distributed Network Protocol 3)
IEC:国际电工委员会(International Electrotechnical Commission)
IED:智能电子设备(Intelligent Electronic Device)
IM:即时通讯(Instant Messaging)
IP:互联网协议(Internet Protocol)
JDBC:Java数据库连接(Java Database Connectivity)
ODBC:开放数据库连接(Open Database Connectivity)
OPC DA:用于过程控制的的OLE数据访问(OLE for Process Control Data Access)
OPC UA:用于过程控制的OLE统一体系架构(OLE for Process Control Unified Architecture)
PLC:可编程逻辑控制器(Programmable Logic Controller)
RTU:远程终端单元(Remote Terminal Unit)
5
整体架构
工业网络安全态势感知系统框架主要包括数据准备,态势评估与展示、分析,态势告警与响应。数
据准备包括数据汇聚、数据分析、资产发现与管理,其中,数据汇聚包括数据采集、数据预处理、数据
存储、数据传输、数据共享;资产发现与管理包括资产发现、资产管理;态势评估与展示、分析包括态
势评估与展示、态势分析,其中,态势评估与展示包括资产态势评估、横向威胁态势评估、脆弱性态势
评估、安全事件态势评估、行为态势评估、态势展示;态势分析包括公网侧态势分析、企业侧态势分析;
态势告警与响应包括安全态势告警、事件响应支持。工业网络安全态势感知框架如图1。
2
DB21/T 4011—2024
图1
工业网络安全态势感知框架
6 数据准备
6.1 数据汇聚
6.1.1 数据采集
6.1.1.1 总体要求
工业网络安全态势感知系统数据采集总体要求至少应包括:
a)
同时支持被动采集(如代理、探针、共享)和主动采集(如扫描)两种方式;
b)
支持通过接口或人工导入等方式采集第三方数据;
c)
支持配置过滤规则对采集数据内容进行筛选;
d)
采集内容、采集协议应满足GB/T 42453-2023中的要求,并支持JDBC、ODBC、Net flow等多种
日志采集方式。
6.1.1.2
公网侧数据采集
6.1.1.2.1
数据来源
公网侧数据来源至少应包括:
a) 工业网络平台的数据;
b) 工业网络企业数据。
6.1.1.2.2 采集能力
应具有实时采集暴露在互联网侧的工业网络资产(工控系统、物联网、应用站点)数据的能力。
6.1.1.3
企业侧数据采集
3
DB21/T 4011—2024
6.1.1.3.1
数据来源
企业侧数据来源至少应包括:
a) 网络设备数据、终端设备数据、安全设备数据及云环境数据等;
b) 安全漏洞数据、安全事件数据、日志数据、网络流量数据及加密流量分析数据等。
6.1.1.3.2 采集能力
企业侧数据采集能力至少应包括:
a)
具有实时采集企业侧工业资产(网络设备、终端设备、安全设备)数据的能力;
b)
具有定期采集工业设备及终端日志的能力;
c)
支持深度解析常用工控协议(例如Modbus TCP、Siemens S7、OPC DA、OPC UA、DNP3、Profinet、
Ethernet/IP、IEC104等),将原始的通信数据转化为可读性强、易于理解和处理的格式,能
够对每个用户命令做出详细分析,如果出现IP碎片,可以对数据包进行重装还原,然后再进行
分析,协议分析大大降低了入侵检测中常见的误报现象。
6.1.2
数据预处理
数据预处理要求至少应包括:
a)
按照GB/T 42453-2023中的要求对收集的数据进行筛选、变换、补全、标记;
b)
对数据进行分类分级:安全漏洞分类遵守GB/T 30279-2020的规定,安全事件分类分级参照GB/Z
20986-2023;
c)
根据需要对数据进行实时处理和离线处理。
6.1.3
数据存储
数据存储要求至少应包括:
a)
存储结构化数据、半结构化数据和非结构化数据;
b)
存储内容满足GB/T 42453-2023中的要求;
c)
存储原始数据、预处理后的数据和威胁情报库、地理信息库等第三方数据;
d)
自动存储处理安全事件所产生的相关业务数据;
e)
支持设置各类数据的存储时间,其中日志数据应至少保存6个月;
f)
能保证存储数据的可用性、完整性和保密性;
g)
能检索所存储数据,并提供检索接口;
h)
能存储工业设备(例如,各品牌PLC、RTU、IED等)指纹库、工业恶意行为指纹库(例如,Siemens
S7、Modbus、Bacnet、Ethernet/IP等协议)、工业恶意组织指纹库、工业网络漏洞库等专业
知识库。
6.1.4
数据传输
数据传输要求至少应包括:
a)
对数据传输状态进行监控,能对传输任务进行启动、停止操作;
b)
具备数据传输缓存功能,确保网络中断或阻塞时数据不丢失;
c)
能保证传输数据的完整性和保密性,保证重要数据的实时性。
6.1.5
数据共享
数据共享要求至少应包括:
4
DB21/T 4011—2024
a)
将工业网络重大安全事件、重大漏洞等数据上报给上级监管系统;
b)
将工业网络重大安全事件、重大漏洞、处置办法等数据发送给其它态势感知系统;
c)
接收其它系统共享的工业网络重大安全事件、重大漏洞、处置办法等数据;
d)
对共享数据进行脱敏;
e)
增、删、改数据共享用户信息,能设置数据共享用户的权限;
f)
数据共享过程应可跟踪、可追溯、可审计。
6.2
数据分析
应根据GB/T 42453-2023中的要求对网络攻击、资产风险、安全事件、异常行为进行分析。
6.3
资产发现与管理
6.3.1
资产发现
资产发现要求至少应包括:
a)
识别的资产种类包括但不限于工业互联网平台、联网设备及系统、工业 APP、工业数据等;
b)
支持 IP 自动发现、指纹自动识别和数据同步的方式在系统数据库中录入资产信息;
c)
随时对资产可能出现的变更或退网方式及时响应。
6.3.2
资产管理
资产管理要求至少应包括:
a)
建立资产台账,对资产清单、资产统计信息进行维护管理;
b)
实现对资产流量监视、端口状态统计、协议状态统计、资产活跃状态监视、资产访问行为监
视等管理方式;
c)
对所有资产建立资产画像,包括但不限于基本信息、硬件信息、操作系统信息、变更记录、
运行信息、端口和服务、资产会话、漏洞、告警、不合规配置项、资产风险值等信息;
d)
能够自动梳理资产,自动生成资产台账,基于资产基线、网络会话,记录资产变更,监测未
知资产接入。
7 态势评估与展示、分析
7.1 态势评估与展示
7.1.1 总体要求
总体态势评估与展示要求至少应包括:
a)
建立工业网络安全态势评估体系,描述工业网络的安全态势;
b)
建立工业网络数据分析模型,对采集的工业网络数据进行分析计算,识别网络脆弱性、安全
事件、用户行为等;
c)
支持包括但不限于网络设备(如上位机、工业安全网关、工控安全审计、主机安全卫士)的
入侵检测,并进行日志关联和量化分析;
d)
覆盖DCS网络、PLC网络等不同行业应用场景的工控系统;
e)
采用流量镜像的方式对工控网络进行全流量数据监听,不主动发包,不对工业网络做任何修
改;
5
DB21/T 4011—2024
f)
评估两种以上工业网络安全态势,包括但不限于资产态势、流量态势、运行态势、攻击态势、
横向威胁态势、脆弱性态势、安全事件态势、行为态势等;
g)
具有关联关系的不同种类安全态势,应能够实现信息共享和联动展示。
7.1.2
资产态势评估
资产态势评估要求至少应包括:
a)
实时获取当前工业网络资产总数,并按区域、类型、重要程度分布进行统计;
b)
对每个工业网络资产的型号、版本、运行状态等进行识别;
c)
对资产的IP的地址以及开放的端口等进行识别;
d)
对工业网络资产的安全状况进行分析,包括资产存在的威胁和脆弱性类型、数量等。
7.1.3
横向威胁态势评估
应基于系统通信基线模型,对不同业务系统、不同区域之间的信息流动进行监测,对跨区通信、非
法接入、非法外联行为进行统计分析,及时发现信息泄露、越权访问和违规操作行为。
7.1.4
脆弱性态势评估
脆弱性态势评估要求至少应包括:
a)
具备工业网络安全漏洞库,漏洞库包含国家权威机构发布的工业网络安全漏洞,能够对工业网
络资产进行漏洞发现和漏洞匹配;
b)
对各类工业设备的操作系统、应用和第三方组件存在的常见漏洞进行监测;
c)
展示漏洞总体分布、存在高危漏洞的资产、漏洞类型分布、漏洞危害等级等;
d)
对工业设备系统安全配置的脆弱性进行识别,分析和指出工业网络资产存在的安全配置的脆
弱性。
7.1.5
安全事件态势评估
安全事件态势评估要求至少应包括:
a)
具有从采集的数据中分析出安全事件,对安全事件进行多维度(种类、地域、威胁类型、资产
等)分类处理的能力;
b)
具有对不同安全事件进行分类告警的能力,如特别重大事件、重大事件、较大事件、一般事
件等;
c)
安全事件必须包含发生时间、IP地址、区域、域名、事件类型、数量和危害等级等信息;
d)
支持对同类安全事件进行合并。
7.1.6
行为态势评估
行为态势评估要求至少应包括:
a)
支持对异常行为规则的自定义;
b)
及时发现全网的异常行为(如访问频次超限、访问流量超限、权限异常提升、账户异常更改、
日志异常变化、文件异常外发、非法外联、非法访问、非法文件等),并进行统计分析。
7.1.7
态势展示
态势展示要求至少应包括:
a)
满足GB/T 42453-2023中的要求;
6
DB21/T 4011—2024
b)
实时展示安全态势,包括但不限于以下几种资产态势:脆弱性态势、安全事件态势、行为态
势;
c) 同时展示多种安全态势;
d) 通过设置过滤条件选择展示特定类型的安全态势;
e) 对安全态势进行历史回溯与展示,回溯时间可以设置;
f) 展示跟安全态势相关的关键数据,如资产、脆弱性、安全事件、异常行为的列表与统计值。
7.2 态势分析
7.2.1 公网侧态势分析
公网侧态势分析要求至少应包括:
a)
具备工控系统、物联网、应用站点特征库,能够识别暴露在互联网侧的设备和站点;
b)
对工业互联网资产所对应的单位、行业进行统计;
c)
提供实时监测公网侧面临的各类威胁,包括但不限于DDoS攻击、端口扫描、恶意软件传播等,
并能展示这些威胁的实时数据和趋势;
d)
支持对公网侧发生的安全事件进行关联分析,识别事件之间的联系以及可能的攻击源和攻击
路径;
e)
展示工业互联网资产的合规性状态,包括与相关法规和标准的符合程度。
7.2.2
企业侧态势分析
7.2.2.1
资产态势分析
企业侧资产态势分析要求至少应包括:
a)
具备工业设备特征库,能够识别接入的各种类型的工业设备;
b)
实时呈现生产网内工业网络资产的拓扑结构;
c)
展示工业网络资产的配置信息,包括软件版本、系统设置等,并能检测配置的变更;
d)
实时呈现基于资产的脆弱性、威胁暴露程度和业务重要性等因素。
7.2.2.2
安全事件态势分析
企业侧安全事件态势分析要求至少应包括:
a)
建立安全事件案例库,收集和展示历史安全案例,包括事件类型、影响范围、处理过程和经
验教训;
b)
提供事件响应流程的可视化展示,包括事件的发现、分析、处置、恢复阶段以及各阶段的关
键行动和负责人;
c)
支持对工业设备所使用的各类通信协议网络数据流的解析,具备工业系统攻击代码特征库,并
具备工业控制系统攻击代码特征库更新能力;
d)
具备工业控制系统网络数据恶意攻击行为检测分析能力,能从采集的数据中分析出安全事件
并及时告警;
e)
根据告警信息,综合工业控制系统的多方面约束和目标,制定最优安全策略及具体的实施方
案。
7.2.2.3
行为态势分析
企业侧行为态势分析要求至少应包括:
a)
通过网络流量分析工业企业用户行为和设备行为,包括用户行为、设备通信情况等;
7
DB21/T 4011—2024
b)
建立设备行为基线,用于检测和展示设备行为的偏离,如流量异常、配置变更等;
c)
实时获取并展示当前企业内部的异常情况,包括异常告警时间、受害资产、关键操作、源IP、
目的IP。
8 态势告警与响应
8.1 安全态势告警
8.1.1 总体要求
总体安全态势告警要求至少应包括:
a)
支持对海量事件进行去重、归并、关联分析处理;
b)
支持短信、邮件或IM等告警方式;
c)
在安全事件、漏洞或异常行为发生时,及时发送告警信息;
d)
构建一套动态调整的告警分级体系,能够根据安全事件的严重程度、影响范围和紧急级别分
类发出不同等级的告警;
e)
结合其他安全设备事件、资产和网络基线模型、资产库和漏洞库信息进行分析减少误告警;
f)
基于基线模型和会话数据,深入挖掘长时间历史数据,能够发现到单点设备忽视的潜在威胁,
如跨区通信、未知设备接入行为、异常远程登录等。
8.1.2
企业侧态势告警
企业侧态势告警要求至少应包括:
a) 结合威胁情报进行态势告警,包括但不限于:高危漏洞被利用、设备被攻击事件等;
b) 显示告警与厂区资产的对应关系;
c) 提供对外预警接口,同步预警信息至各类工业网络安全监管系统。
8.2 事件响应支持
8.2.1 总体要求
总体事件响应支持要求至少应包括:
a)
参考GB/Z 20986-2023对网络安全事件进行分类、分级;
b)
提供事件响应过程中需要的基础数据信息;
c)
通知网络安全事件发生单位执行响应工作;
d)
接受通知,协助响应网络安全事件;
e)
对网络安全事件的响应流程进行跟踪和记录;
f)
将网络安全事件的响应过程信息和结果输入到工业网络安全态势感知系统中;
g)
对事件响应情况进行统计分析;
h)
按照GB/T 20985.1-2017所确定的阶段开展网络安全事件响应工作。
8.2.2
企业侧事件响应支持
应在响应时特别关注生产功能安全和生产连续性要求。
8
DB21/T 4011—2024
YD/T 4214-2023
参 考 文 献
工业互联网安全态势感知系统技术要求
________________________________
[1]
9