GB/T 41263-2022 标准规范下载简介
GB/T 41263-2022 工控系统动态重构主动防御体系架构规范.pdf简介:
GB/T 41263-2022 是中国国家标准,其全称为《工业控制系统动态重构主动防御体系架构规范》,这是一种针对工业控制系统(Industrial Control System, ICS)的安全标准。该规范主要目的是为了指导和促进工业控制系统中动态重构主动防御体系的建设,以提高系统的安全防护能力。
工业控制系统是关键基础设施的重要组成部分,它们对于能源、交通、制造业等领域的运行至关重要。然而,由于其复杂性,这些系统往往成为网络攻击的目标。GB/T 41263-2022提出了一套全面的架构规范,包括但不限于系统风险评估、威胁感知、安全策略制定、动态防御机制、应急响应策略等方面,以实现对系统的实时监控、动态防护,有效防止和应对恶意攻击。
该规范强调了从体系设计、技术实现到管理实践的全程安全,要求在保障系统性能的同时,能快速响应并适应不断变化的安全威胁。通过动态重构,能够及时调整和优化防御策略,提高整体的防护效果。
总的来说,GB/T 41263-2022是一个重要的安全标准,旨在推动工业控制系统主动防御体系的建设,保障工业领域的网络安全。
GB/T 41263-2022 工控系统动态重构主动防御体系架构规范.pdf部分内容预览:
本文件规定了工控网络的信息安全体系架构,描述了过程监控层异构编译环境多态部署、工控网络 信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制,规定了信息安 全体系评价指标参数。 本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者,为相关参与者设计动 态重构主动防御的工控网络提供指导要求
文件没有规范性引用文件
动态防御dynamic defens
通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价的一种安全 防御方法。 注:动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率,从而 对攻击行为进行有效遇制,保障系统安全性。常见的主动防御技术包括:人侵容忍、动目标防御和拟态安全防 御等,
SY/T 7064.5-2016标准下载区块链blockchain
化和去信任的方式集体维护一个可靠数据库的
5工控系统动态重构主动防御体系架构
重构主动防御机制,能在保证ICS对实时性和可控性要求的前提下,有效增强ICS防御未知威胁的 能力 本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连 关系。 普渡企业参考架构模型中OT环境的信息安全问题,是以过程监控层、现场控制层和现场设备层为 代表的工控系统内部生产控制网络安全问题,其简要模型如图1所示
图1OT环境简要模型图
本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过 程,规约了各阶段的安全策略和防护目标。该架构包括四个部分:过程监控层异构编译环境多态部署、 工控网络信息安全传输、现场控制层异构运行逻辑及智能判决、工程文件安全存储验证,分别对工程文 件的存储、编译、传输和执行四个阶段进行架构规范,其相关部署方案如图2所示。
5.2过程监控层异构编译环境多态部署
图2动态重构主动防御体系架构部署方案
过程监控层异构编译环境多态部署的安全目标是解决过程监控层控制逻辑在编辑、编译和下装 所带来的安全隐患。该部署应用于ICS的过程监控层相关设备。
工业控制基础软件模块应以静态多变体自动生成技术为支撑,搭建不同层次(函数级、模块级、操 级、控制业务级)的多模非相似系统
异构环境部署机制应保证编译器及环境的差异性。应根据工业应用环境具体情况,部署X86、
ARM和MIPS等底层架构以及Windows、Linux和Unix等操作系统
5.2.3.2静态多变体自动生成组件
异构编译与编译环境多态部署机制的实施要求包括: a)应保证每个编译环境的架构和操作系统的差异; b)应保证编译器数量要大于或等于下位机运行时系统数量 c)应保证编译生成结果能够被有效解析并且功能一致; d)应保证编译模块和工程文件安全验证机制的功能联动和安全性
5.3工控网络信息安全传输机制
针对ICS的非实时性业务和实时性业务,构建具备动态防御功能的安全传输协议,实现内生安全 的工业网络体系。在信息传输环节应对组态文件、控制程序和实时监控数据进行保护,在控制设备之间 应建立动态、透明的安全专属信道 应分别面向会话层和数据链路层,应用该机制设计信息安全传输模式
5.3.2.1安全目标
会话层信息安全传输模式的安全目标是依托现有工控网络的基础网络及组件,通过会话层协议 供点对点动态加密通信机制和分片随机传输方式,形成对会话信息通道和信息安全的主动防
5.3.2.2安全要求
会话层信息传输安全要求包括: 应以协议安全为基础,构建内生安全的控制网络体系; b)应兼容蓝牙、无线、有线电缆光纤等传输介质和底层协议; 直连通信隧道应动态随机变化,具备唯一性和不可复制性; d)通信路径应动态随机变化,具备主动防御功能; e 点对点通信网络时延应小于50ms; 应建立完善的通信网络安全管理体系,对工控通信设备的入网、下线,用户权限及认证口令等 进行规范管理: g)工控系统网络中节点组件之间的通信应具备安全性和稳定性。 注:通信的安全性指不被非法第三方获取到通信内容,稳定性指信息传输不因部分节点的损坏而无法完成传输
5.3.2.3安全策略
工控网络信息安全传输应采用重构的通信基础协议、动态加密隧道和多分片随机路径传输方式 全性和稳定性。具体要求如下。 a)应对通信基础协议进行重构,重构的通信基础协议模型如图5所示
图5安全传输协议网络模型
b)安全传输协议会话层应提供确认/重传机制,以及不同工控网络终端用户穿越网络的连接 安全传输协议的路由应提供工控网络信息传输路径的动态随机选取机制。 安全传输协议应提供对等网络通信访问方式,提供点对点直连通信隧道。 e)安全传输协议应提供API,应支持工控客户端(应用程序)和基础网络间的安全连接。 点对点直连通信隧道应提供支持商用密码算法SM2和SM4算法的隧道和信息加密方式。 通信隧道加密应支持动态加密方式。 工控信息传输应提供传输路径的随机选取功能,在部分路径失效时,仍应支持通过其他路径完 成信息传输 工控信息传输应提供动态信息分片功能,在攻击者获取分片的情况下,应保证其无法获取与其 他分片关联及完整信息。 工控信息传输路径的中间节点应提供信息传输即删除机制。
5.3.2.4实施要求
会话层信息安全传输的实施要求如下: a)工控网络信息发送端和接收端均应安装统一的安全传输协议程序; b)设备均应通过安全传输协议模块统一接入网络,直接接人网络的设备应视作非法终端,无法和 其他设备进行通信; 应建立统一的分布式节点网络,分布式网络节点均应记录其他节点的地址; 用户端应采用统一的对称加密算法、统一的动态密钥生成算法,
5.3.3数据链路层信息安全传输模式
5.3.3. 1安全且标
数据链路层信息安全传输模式的安全 有效性,通过链路层以太网顿安全重构与合 防止外部攻击者利用非授
5.3.3.2安全要求
数据链路层信息传输安全要求包括: a)应在链路层协议安全的基础上,构建内生安全的控制网络体系,应具备抵御非授权访问、数据 篡改、数据伪造和重放攻击的功能; b)应兼容工业以太网协议和IPsec安全协议; c)应对控制设备透明,不应影响控制系统的上层应用协议
e)安全要素应动态随机变化,具备主动防御功能: f)链路层安全协议应通过FPGA硬件实现,应保障协议栈的可靠性和自身安全性
5.3.3.3安全策略
在数据链路层应对以太网顿进行安全重构,具体要求如下。 a)发送端应对以太网顿进行安全封装,在其尾部应嵌人时间戳、认证口令和摘要等必要的安全载 荷,形成安全以太顿。安全以太结构如图6所示,安全以太帧构造及解析流程如图7所示。 b)接收端应对安全顿进行解析、验证与还原,对非法顿应进行过滤,阻止其在控制设备之间传递。 c)还原后的合规以太网顿与发送端发出的原始以太网顿应保持完全一致。 数据完整性保护范围应包括:以太网首部、IP首部、TCP首部、应用数据、认证口令和时间戳等 关键信息 数据保密性保护范围应包括应用数据和嵌入的安全载荷。在控制网络实时性要求极高,且应 用数据不敏感的应用场景下,宜仅对安全载荷信息进行加密保护
图7安全以太顿构造及解析流程
5.3.3.4实施要求
5.4现场控制层异构运行逻辑及智能判决机制
5.4. 1 安全且标
现场控制层异构运行逻辑及智 决机制的安全目标是进行运行时安全的检测和保护《通信高压直流电源设备工程设计规范 GB 51215-2017》,解决持 执行端设备内部运行时系统存在的关键内存数据、逻辑代码被篡改等安全问题。 本机制应适用于ICS的现场控制层相关设备
在执行阶段的下位机中应分别部 例模块,形成一种基于多路功能 块穴余仲裁的工业安全部署,各 间,应通过智能穴余裁决决定输出
在下位机中部署运行时模块实例,每个运行时模块应有彼此独立的运行空间。每个运行时模块应 互不关联、互不干扰并且同时运行。应通过运行一个管理进程,对所有的运行时模块进行管理、控制、裁 决报警等。
5.4.3.2模块级动态重构
模块级动态重构组件应包括N个(N≥3)逻辑运行时系统,其示意图如图9所示。这些逻辑运行 时实例运行的控制逻辑分别来自不同的编译服务器,不同逻辑运行时实例的逻辑功能等价,但是内部结 构均不应相同。 工业安全控制器应采用总线方式管理多个逻辑运行时实例,其中消息总线应用于多个逻辑运行时 实例之间的同步控制消息和状态信息;逻辑数据总线应用于传输和同步逻辑数据;I/O总线应用于对仲 裁数据进行输出。 每个逻辑运行时实例中均应包含一个仲裁逻辑模块,应通过逻辑数据总线获取系统中NV个用户逻 算的中间数据结果及其他信息,进行数据管理、逻辑控制、结果裁决、监视报警等。判断实例是否具有仲 裁执行权宜采用以时标靠前的优先原则为主的判断逻辑。具有执行权的仲裁逻辑模块应将最终的仲裁 结果输出到1/0总线
5.4.3.3准同步执行方法
《智能运动网关技术规范 GB/T 31994-2015》图9模块级动态重构示意图
在异构几余的架构下,存在多个逻辑运行时系统,应通过消息总线进行管理和控制。扫描执行周期
GB/T41263—2022