GB/T 41263-2022 标准规范下载简介
GB/T 41263-2022 工控系统动态重构主动防御体系架构规范.pdfGB/T 41263—2022
ustrialcontrolsvstemdynamicreconfigurationactivedefensetechnica architecturespecification
某小高层工程脚手架专项施工方案国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 术语和定义 符号和缩略语 工控系统动态重构主动防御体系架构 5.1概述·. 5.2过程监控层异构编译环境多态部署 5.3工控网络信息安全传输机制 5.4现场控制层异构运行逻辑及智能判决机制 5.5工程文件安全存储验证机制 信息安全评价指标参数规定 考文献
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任, 本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。 本文件起草单位:中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方 继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所 本文件主要起草人:魏强、朱涛、王红敏、陈鸿刚、员天佑、张雪嫣、周立东、王凯、陈红、黄辉辉、麻荣宽 杨永辉。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任, 本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会(SAC/TC159)归口。 本文件起草单位:中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方 继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所。 本文件主要起草人:魏强、宋涛、王红敏、陈鸿刚、员天佑、张雪嫣、周立东、王凯、陈红、黄辉辉、麻荣宽 杨永辉。
GB/T41263—2022
系统动态重构主动防御体系架构
本文件规定了工控网络的信息安全体系架构,描述了过程监控层异构编译环境多态部署、工控网络 信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制,规定了信息安 全体系评价指标参数。 本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者,为相关参与者设计动 态重构主动防御的工控网络提供指导要求
文件没有规范性引用文件
动态防御dynamic defens
通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价的一种安全 防御方法。 注:动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率,从而 对攻击行为进行有效遇制,保障系统安全性。常见的主动防御技术包括:人侵容忍、动目标防御和拟态安全防 御等,
区块链blockchain
化和去信任的方式集体维护一个可靠数据库的
5工控系统动态重构主动防御体系架构
重构主动防御机制,能在保证ICS对实时性和可控性要求的前提下,有效增强ICS防御未知威胁的 能力 本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连 关系。 普渡企业参考架构模型中OT环境的信息安全问题,是以过程监控层、现场控制层和现场设备层为 代表的工控系统内部生产控制网络安全问题,其简要模型如图1所示
图1OT环境简要模型图
本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过 程,规约了各阶段的安全策略和防护目标。该架构包括四个部分:过程监控层异构编译环境多态部署、 工控网络信息安全传输、现场控制层异构运行逻辑及智能判决、工程文件安全存储验证,分别对工程文 件的存储、编译、传输和执行四个阶段进行架构规范,其相关部署方案如图2所示。
5.2过程监控层异构编译环境多态部署
图2动态重构主动防御体系架构部署方案
过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装 所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。
工业控制基础软件模块应以静态多变体自动生成技术为支撑,搭建不同层次(函数级、模块级、操 级、控制业务级)的多模非相似系统
异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况,部署X86、
ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统
5.2.3.2静态多变体自动生成组件
异构编译与编译环境多态部署机制的实施要求包括: a)应保证每个编译环境的架构和操作系统的差异; b)应保证编译器数量要大于或等于下位机运行时系统数量 c)应保证编译生成结果能够被有效解析并且功能一致; d)应保证编译模块和工程文件安全验证机制的功能联动和安全性
5.3工控网络信息安全传输机制
针对ICS的非实时性业务和实时性业务,构建具备动态防御功能的安全传输协议,实现内生安全 的工业网络体系。在信息传输环节应对组态文件、控制程序和实时监控数据进行保护,在控制设备之间 应建立动态、透明的安全专属信道 应分别面向会话层和数据链路层,应用该机制设计信息安全传输模式
5.3.2.1安全目标
会话层信息安全传输模式的安全目标是依托现有工控网络的基础网络及组件,通过会话层协议 供点对点动态加密通信机制和分片随机传输方式,形成对会话信息通道和信息安全的主动防
5.3.2.2安全要求
会话层信息传输安全要求包括: 应以协议安全为基础,构建内生安全的控制网络体系; b)应兼容蓝牙、无线、有线电缆光纤等传输介质和底层协议; 直连通信隧道应动态随机变化,具备唯一性和不可复制性; d)通信路径应动态随机变化,具备主动防御功能; e 点对点通信网络时延应小于50ms; 应建立完善的通信网络安全管理体系,对工控通信设备的入网、下线,用户权限及认证口令等 进行规范管理: g)工控系统网络中节点组件之间的通信应具备安全性和稳定性。 注:通信的安全性指不被非法第三方获取到通信内容,稳定性指信息传输不因部分节点的损坏而无法完成传输
5.3.2.3安全策略
工控网络信息安全传输应采用重构的通信基础协议、动态加密隧道和多分片随机路径传输方式 全性和稳定性。具体要求如下。 a)应对通信基础协议进行重构,重构的通信基础协议模型如图5所示
图5安全传输协议网络模型
b)安全传输协议会话层应提供确认/重传机制,以及不同工控网络终端用户穿越网络的连接 安全传输协议的路由应提供工控网络信息传输路径的动态随机选取机制。 安全传输协议应提供对等网络通信访问方式,提供点对点直连通信隧道。 e)安全传输协议应提供API,应支持工控客户端(应用程序)和基础网络间的安全连接。 点对点直连通信隧道应提供支持商用密码算法SM2和SM4算法的隧道和信息加密方式。 通信隧道加密应支持动态加密方式。 工控信息传输应提供传输路径的随机选取功能,在部分路径失效时,仍应支持通过其他路径完 成信息传输 工控信息传输应提供动态信息分片功能,在攻击者获取分片的情况下,应保证其无法获取与其 他分片关联及完整信息。 工控信息传输路径的中间节点应提供信息传输即删除机制。
5.3.2.4实施要求
会话层信息安全传输的实施要求如下: a)工控网络信息发送端和接收端均应安装统一的安全传输协议程序; b)设备均应通过安全传输协议模块统一接入网络,直接接人网络的设备应视作非法终端,无法和 其他设备进行通信; 应建立统一的分布式节点网络,分布式网络节点均应记录其他节点的地址; 用户端应采用统一的对称加密算法、统一的动态密钥生成算法,
5.3.3数据链路层信息安全传输模式
塔山16标水库施工组织设计5.3.3. 1安全且标
数据链路层信息安全传输模式的安全 有效性,通过链路层以太网顿安全重构与合 防止外部攻击者利用非授
5.3.3.2安全要求
数据链路层信息传输安全要求包括: a)应在链路层协议安全的基础上,构建内生安全的控制网络体系,应具备抵御非授权访问、数据 篡改、数据伪造和重放攻击的功能; b)应兼容工业以太网协议和IPsec安全协议; c)应对控制设备透明,不应影响控制系统的上层应用协议
e)安全要素应动态随机变化,具备主动防御功能: f)链路层安全协议应通过FPGA硬件实现,应保障协议栈的可靠性和自身安全性
5.3.3.3安全策略
在数据链路层应对以太网顿进行安全重构,具体要求如下。 a)发送端应对以太网顿进行安全封装,在其尾部应嵌人时间戳、认证口令和摘要等必要的安全载 荷,形成安全以太顿。安全以太结构如图6所示,安全以太帧构造及解析流程如图7所示。 b)接收端应对安全顿进行解析、验证与还原,对非法顿应进行过滤,阻止其在控制设备之间传递。 c)还原后的合规以太网顿与发送端发出的原始以太网顿应保持完全一致。 数据完整性保护范围应包括:以太网首部、IP首部、TCP首部、应用数据、认证口令和时间戳等 关键信息 数据保密性保护范围应包括应用数据和嵌入的安全载荷。在控制网络实时性要求极高,且应 用数据不敏感的应用场景下,宜仅对安全载荷信息进行加密保护
图7安全以太顿构造及解析流程
绿化工程一期施工组织设计5.3.3.4实施要求