ICS35.240.50 CCS J 07 中华人民共和国国家标准 GB/T41263—2022 工控系统动态重构主动防御体系架构规范 Industrial control system dynamic reconfiguration active defense technical architecturespecification 2022-10-01实施 2022-03-09发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T41263—2022 目 次 前言 范围 2 规范性引用文件 术语和定义 4 符号和缩略语 工控系统动态重构主动防御体系架构 5 5.1 概述 5.2 过程监控层异构编译环境多态部署 5.3 工控网络信息安全传输机制 5.4 现场控制层异构运行逻辑及智能判决机制 5.5 工程文件安全存储验证机制 12 6信息安全评价指标参数规定 参考文献 L4 GB/T41263—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由中国机械工业联合会提出。 本文件由全国自动化系统与集成标准化技术委员会（SAC/TC159）归口。 本文件起草单位：中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方 继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研究所。 本文件主要起草人：魏强、宋涛、王红敏、陈鸿刚、员天佑、张雪嫣、周立东、王凯、陈红、黄辉辉、麻荣宽、 杨永辉。 1 GB/T41263—2022 工控系统动态重构主动防御体系架构规范 1范围 本文件规定了工控网络的信息安全体系架构，描述了过程监控层异构编译环境多态部署、工控网络 信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制，规定了信息安 全体系评价指标参数 本文件适用于在构建具有内生安全防护能力的所有工业控制系统参与者，为相关参与者设计动 态重构主动防御的工控网络提供指导要求。 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 工业控制系统 industrial control system;ICS 由计算机和工业过程控制部件构成的自动化控制系统。 注1：工业控制系统简称“工控系统”。该系统通过工业通信线路，根据专用的工业通信协议将控制器、传感器、执行 器和输入/输出接口等部分连接起来，构建一个具有自动控制能力的工业制造系统 注2：ICS是一个通用术语，它包括多种工业生产中使用的控制系统，包括SCADA、DCS和其他较小的控制系统，如 PLC.现已广泛应用在工业部门和关键基础设施中。对这一概念更多的讨论见GB/T32919一2016。 3.2 工业控制网络 industrial control network 一种利用各种通信设备将所有工业生产设备和自动化控制系统连接起来的通信网络。 注：工业控制网络是ICS中的网络部分，简称“工控网络”。 3.3 可编程逻辑控制器 programmablelogiccontroller;PLC 种用于工业环境的数字式操作的电子系统 - 注1：这种系统用可编程的存储器作面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算 等，通过数字或模拟的输人/输出，控制各种类型的机械或过程。PLC及其相关外围设备的设计，使它能够非 常方便地集成到ICS中，并能很容易地达到所期望的所有功能， 注2：对这一概念更多的讨论见GB/T33008.1一2016。 3.4 分散控制系统 distributed control system;DCS 采用计算机、通信和屏幕显示技术，实现对生产过程的数据采集、控制和保护功能，利用通信技术实 现数据共享的多计算机监控系统 注1：分散控制系统的主要特点是功能分散、操作显示集中、数据共享。根据具体情况也可以是硬件布置上的分散 1 GB/T412632022 注2：对这一概念更多的讨论见GB/T36293—2018 3.5 监测控制和数据采集 supervisorycontrol and data acquisition;SCADA 时数据，是工控网络调度中心各种应用软件的主要数据来源。 置子系统等。 3.6 信息安全 information security 保护信息的机密性、完整性和可用性及其他属性 注：如防抵赖性、可靠性等。对这一概念更多的讨论见GB/T26333一2010。 3.7 威胁 threat 可能对资产或组织造成损害的潜在原因。 注：威胁可以通过威胁主体，资源、动机、途径等多种属性刻画。对这一概念更多的讨论见GB/T26333一2010。 3.8 下位机slavecomputer 利用嵌人式操作系统直接控制设备并获取设备运行状态信息的计算机设备。 3.9 工程师站 engineeringwork station DCS中用于系统设计的工作站 3.10 运营技术 operational technology;OT 负责生产运行维护的运营和自动化技术。 注：运营技术包括自动化协议、PLC、DCS、现场总线、工业以太网等。 3.11 内生安全 endogenous security 利用安全载荷封装技术对IP报文进行重构，使其具备数据源合法性、完整性、时效性验证功能，能 够有效预防非授权访问、数据纂改、信息泄露和重播攻击等典型网络安全风险的，具备内在安全防护能 力的一种网络安全模式。 3.12 动态防御dynamicdefense 通过多样的、不断变化的构建、评价和部署机制及策略来增加攻击者的攻击难度及代价的一种安全 防御方法 注：动态防御是主动防御思想的一种实现技术。主动防御的基本目标是通过增大攻击难度、降低攻击成功率，从而 对攻击行为进行有效遇制，保障系统安全性。常见的主动防御技术包括：入侵容忍、动自标防御和拟态安全防 御等。 3.13 区块链blockchain 通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。 GB/T41263—2022 注：该技术方案主要让参与系统中的任意多个节点，使用密码学方法相关联产生的数据块，每个数据块中包含了一 定时间内的系统全部信息交流数据，并且生成数据指纹用于验证其信息的有效性和链接下一个数据库块。 3.14 共识机制 consensusmechanism 使所有的诚实节点保存一致的区块链视图，同时满足一致性和有效性的区块链技术， 注：区块链是一种按时间顺序存储数据的数据结构，可支持不同的共识机制。 3.15 工程文件全生命周期保护fulllife-cycleprotectionofprojectfiles 通过工程安全编译技术、在线异构完余、区块链技术以及逻辑安全运行技术，实施工程文件全生命 周期（存储、编译、传输、执行）保护，提高系统对控制功能失效的主动防御能力，具有技术独创性 符号和缩略语 4 下列符号和缩略语适用于本文件。 API：应用程序接口（ApplicationProgramInterface） ARM：进阶精简指令集机器（AdvancedRISCMachine） CA：证书颁发机构（CertificateAuthority） CRC：循环穴余校验（CyclicRedundancyCheck） FPGA：现场可编程门阵列（FieldProgrammableGateArray） IP：网际互连协议（InternetProtocol） MIPS：无内部互锁流水级的微处理器（MicroprocessorwithoutInterlockedPipelinedStages） OUDP：优化的用户数据报协议（OptimizedUserDatagramProtocol) TCP：传输控制协议（TransmissionControlProtocol) TPS：每秒交易笔数（TransactionPerSecond) SM2：SM2椭圆曲线公钥密码算法 SM3：SM3密码杂凑算法 SM4：SM4分组密码算法 X86：X86中央处理器指令集架构 工控系统动态重构主动防御体系架构 5.1概述 工控系统动态重构主动防御体系架构是在ICS的OT网络内部构建一个具有内生安全功能的动态 重构主动防御机制，能在保证ICS对实时性和可控性要求的前提下，有效增强ICS防御未知威胁的 能力。 本文件使用普渡企业参考架构来描述工控系统中所有重要组件之间的主要依赖关系以及互连 关系。 代表的工控系统内部生产控制网络安全问题，其简要模型如图1所示 3 GB/T41263—2022 过程监控层 工程师站 操作员站 历史数据库 现场监择层 PLC PLC3 现场设备层 图1 OT环境简要模型图 本文件以工程文件全生命周期保护为主线规范了OT环境中动态重构主动防御体系架构的设计过 程，规约了各阶段的安全策略和防护目标。该架构包括四个部分：过程监控层异构编译环境多态部署、 工控网络信息安全传输、现场控制层异构运行逻辑及智能判决、工程文件安全存储验证，分别对工程文 件的存储、编译、传输和执行四个阶段进行架构规范，其相关部署方案如图2所示。 过程监控层异构编译环境多态署 区块链网络 过程监控层 T程师站 ②现场控制层异构运行逻辑及智能判决机制 异构输评服务器1异构编评服务器2异构编还服务器 现场控制层 3 工程文件安全存储验证机制 交换机 2 PI.C1 PI.C2 4 工挖网络信息安全传输机制 图2 动态重