GBT 41262-2022 工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術要求VIP

工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術要求2022-03-09發(fā)布2022-10-01實施國家市場監(jiān)督管理總局GB/T41262—2022 I 2規(guī)范性引用文件 3術語和定義 4縮略語 35系統(tǒng)概述 35.1系統(tǒng)架構 35.2功能模塊 46功能要求 56.1數(shù)據(jù)采集 56.2異常檢測 66.3響應與告警 86.4檢測結果處理 96.5管理控制 6.6安全管理 6.7日志管理 7性能要求 7.1誤報率 7.2漏報率 7.3流量監(jiān)控能力 7.4并發(fā)連接數(shù)監(jiān)控能力 7.5新建TCP連接速率監(jiān)控能力 7.6檢測時間 附錄A(資料性)工業(yè)控制系統(tǒng)信息物理融合中的威脅 附錄B(資料性)工業(yè)控制系統(tǒng)信息物理融合安全防護措施 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國機械工業(yè)聯(lián)合會提出。本文件由全國自動化系統(tǒng)與集成標準化技術委員會(SAC/TC159)歸口。本文件起草單位：中國科學院信息工程研究所、北京機械工業(yè)自動化研究所有限公司、浙江大學、杭州優(yōu)穩(wěn)自動化系統(tǒng)有限公司、北京工業(yè)大學、上海電力大學、中國科學院聲學研究所、奇安信科技集團股份有限公司、中國信息通信研究院、中國科學院沈陽自動化研究所、浙江中控技術股份有限公司、北京東方通科技股份有限公司。1工業(yè)控制系統(tǒng)的信息物理融合異常檢測系統(tǒng)技術要求本文件規(guī)定了融合信息空間和物理空間的工業(yè)控制系統(tǒng)異常檢測技術架構、功能模塊、功能要求及性能要求。本文件適用于工業(yè)控制安全廠商、設備生產(chǎn)廠商研制高效的信息物理融合異常檢測設備。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18336.3—2015信息技術安全技術信息技術安全評估準則第3部分：安全保障組件GB/T20275—2013信息安全技術網(wǎng)絡入侵檢測系統(tǒng)技術要求和測試評價方法GB/T22239—2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25069信息安全技術術語GB/T36323信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求GB/T36324—2018信息安全技術工業(yè)控制系統(tǒng)信息安全分級規(guī)范3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。一類用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱。注：它包含SCADA、DCS和其他一些常見于工業(yè)部門與關鍵基礎設施的小型控制系統(tǒng)(如PLC)等。將ICS中的指令、狀態(tài)信息和真實物理系統(tǒng)相結合的過程。注：具體體現(xiàn)為將ICS中生產(chǎn)控制設備中的物料流、信息流、能量流相結合。信息物理系統(tǒng)cyber-physicalsystem;CPS一個綜合計算、網(wǎng)絡和物理環(huán)境的多維復雜系統(tǒng)。注：通過通信技術、計算機技術和控制技術的有機融合與深度協(xié)作，實現(xiàn)大型工程系統(tǒng)的實時感知、動態(tài)控制和信息服務。故障、意外或攻擊行為導致的系統(tǒng)出現(xiàn)異于正?；蛞延谢€的情況。2對ICS發(fā)生的異常進行檢測的過程。誤用檢測misusedetection一種能檢測模式庫中已涵蓋的入侵行為或不可接受的行為的方式。注：在誤用檢測中首先定義異常系統(tǒng)行為，然后將所有其他行為定義為正常，主要假設是具有能夠被精確地按某種方式編碼的攻擊。通過捕獲攻擊及重新整理，可確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。ICS控制設備中的系統(tǒng)控制指令和設備狀態(tài)等數(shù)據(jù)。物質流能耗流ICS中的原材料或半成品在整個生產(chǎn)過程中所產(chǎn)生的能量數(shù)據(jù)?？赡鼙灰粋€或多個威脅利用的資產(chǎn)或控制的弱點。高級持續(xù)性威脅攻擊advancedpersistentthreat;APT利用各種先進的攻擊手段，對高價值目標進行的有組織、長期持續(xù)性網(wǎng)絡攻擊行為。注：此種攻擊需要長期經(jīng)營與策劃，因此具有極強的隱蔽性和針對性。在ICS中，此種攻擊會帶來更嚴重的財產(chǎn)損虛假數(shù)據(jù)攻擊falsedatainjection利用狀態(tài)估計器中不良數(shù)據(jù)辨識方法的局限性，惡意篡改元件的量測值，使控制中心誤判當前狀態(tài)，繼而造成工控系統(tǒng)安穩(wěn)控制措施誤動或拒動，從而影響工控系統(tǒng)安全穩(wěn)定運行的攻擊行為。注：通過惡意篡改設備中的數(shù)據(jù)而實施的攻擊，都可視為虛假數(shù)據(jù)攻擊。ARP毒藥攻擊ARPpoisoning對ARP緩存表進行篡改，導致發(fā)送給正確主機的數(shù)據(jù)包被發(fā)送給另外一臺由攻擊者控制的主機內部人利用獲得的信任或授權做出損害授信組織合法利益的行為。注：內部威脅不僅僅是內部成員的有意或無意導致的損失，還包括一些外部偽裝成內部成員的攻擊。3當異常發(fā)生時，異常檢測系統(tǒng)向授權管理員發(fā)出的緊急通知。異常檢測系統(tǒng)在未發(fā)生異常時告警，或者發(fā)出錯誤的告警信息。漏報falsenegative當攻擊發(fā)生時異常檢測系統(tǒng)未告警。4縮略語下列縮略語適用于本文件。ARP:地址解析協(xié)議(AddressResolutionProtocol)CIP:通用工業(yè)協(xié)議(CommonIndustrialProtocol)CPU:中央處理器(CentralProcessingUnit)DCS:分布式控制系統(tǒng)(DistributedControlSystem)MAC:媒體存取控制(MediaAccessControlAddress)OPC:面向對象鏈接與嵌入的過程控制協(xié)議[ObjectLinkingandEmbedding(OLE)forProcessControl]PLC:可編程邏輯控制器(ProgrammableLogicController)SCADA:監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)(SupervisoryControlandDataAcquisition)SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystem)VPN:虛擬專用網(wǎng)絡(VirtualPrivateNetwork)WIA-FA:工業(yè)自動化無線網(wǎng)絡(WirelessNetworksforIndustrialAutomation-FactoryAutoma-tion)5系統(tǒng)概述5.1系統(tǒng)架構工業(yè)控制系統(tǒng)信息物理融合異常檢測系統(tǒng)基本結構如圖1所示，主要分為3個部分：感知層、網(wǎng)絡層和控制層。感知層主要是由傳感器、執(zhí)行器等ICS現(xiàn)場設備組成，如閥門、開關等。感知層中的傳感器作為CPS中的末端設備，主要采集物理環(huán)境中具體信息和狀態(tài)信息形成流數(shù)據(jù)，通過網(wǎng)絡層發(fā)送傳輸?shù)娇刂茖?，同時接受來自控制層返回的相應的信息，感知層設備在感知執(zhí)行物料流的同時完成生產(chǎn)的過程中會產(chǎn)生相應的能耗變化形成能量流。網(wǎng)絡層是連接信息世界和物理世界的橋梁，主要實現(xiàn)信息流的實時傳輸。控制層主要是由具有邏輯控制的工控設備和上位機組成，如SCADA、DCS、PLC等，根據(jù)接收的感知層信息流進行相應的分析，將控制指令下發(fā)給感知層設備控制生產(chǎn)工藝，并形成物料流數(shù)據(jù)。感知層和控制層設備同時對應CPS框架的物理層，網(wǎng)絡層對應CPS框架的網(wǎng)絡層。針對CPS框架下“物料流、信息流、能量流”之間的消耗關系，異常檢測系統(tǒng)中的數(shù)據(jù)采集模塊對現(xiàn)場的流量、故障、網(wǎng)絡等數(shù)據(jù)進行采集。異常檢測模塊通過生成受保護ICS的物料流、信息流、能量流實時關系基線和正常情況，構建異常檢測匹配模型，當不匹配時即出現(xiàn)異常，如產(chǎn)生設備故障或遭受外部攻擊等。響應和告警模塊根據(jù)檢測出的異常不同類型生成相應的響應結果，傳遞給檢測結果處理模塊進行最終的異常處置。異常檢測過程中所有的運行過程都應完成日志記錄、管理控制和安全管理，保4證異常檢測系統(tǒng)自身的穩(wěn)定性、可用性和安全性。CPSCPS框架控制層信息流信息流感知層日志記錄管理控制安全管理能量流檢測結果處理響應和告整數(shù)據(jù)深集異常檢測物料流圖1信息物理融合異常檢測架構圖5.2功能模塊本文件按照工業(yè)控制系統(tǒng)信息物理融合異常檢測的安全功能要求的強度，將工業(yè)控制系統(tǒng)信息物理融合異常檢測產(chǎn)品分為基本級和增強級，如表1所示。工業(yè)控制系統(tǒng)信息物理融合異常檢測安全保障應符合GB/T18336.3—2015的相關要求。安全功能強弱和安全保障要求高低是等級劃分的具體依據(jù)。其中，基本級安全功能要求應具備GB/T22239—2019中的第二級安全保護能力；增強級安全功能要求應具備GB/T22239—2019中第三級安全保護能力。在增強級中新增的要求會通過加粗黑體標識。表1安全功能要求等級劃分安全功能要求基本級增強級數(shù)據(jù)采集感知層數(shù)據(jù)采集*網(wǎng)絡層數(shù)據(jù)采集*￥控制層數(shù)據(jù)采集關￥協(xié)議解析*入侵誘捕×其他安全防護設備數(shù)據(jù)接入×事件辨別擴展接口關異常檢測感知層異常檢測*網(wǎng)絡層異常檢測興上位機異常檢測*控制器異常檢測興工藝參數(shù)異常檢測興行為異常檢測*威脅事件監(jiān)測*基于白名單規(guī)則分析 ×自學習*5表1安全功能要求等級劃分(續(xù))安全功能要求基本級增強級響應和告警事件響應**安全告警*興告警方式*興告警處置*與其他安全防護設備聯(lián)動※全局預警￥興檢測結果處理結果記錄*興結果可視化*興統(tǒng)計分析*關聯(lián)分析興可選查閱*興報告輸出*興管理控制唯一性標識**管理員角色定義**基本鑒別※*鑒別失敗處理※關超時鎖定或注銷*興升級管理*安全管理接口安全管理**安全狀態(tài)監(jiān)測*興存儲安全*興分布式部署 興自身安全保障**日志管理日志生成*興日志內容**日志存儲X注：“*”表示具有該要求，“**”表示要求有所增強，“—”表示不適用。6功能要求6.1數(shù)據(jù)采集6.1.1感知層數(shù)據(jù)采集系統(tǒng)應具有感知層中信息流、物料流和能量流的數(shù)據(jù)識別和采集能力，應識別和采集的數(shù)據(jù)包括：a)固件版本等感知層設備的軟件資產(chǎn)數(shù)據(jù)；6b)廠商名稱、設備類型、設備型號等資產(chǎn)硬件設備指紋信息；c)能耗、溫度等能耗信息；d)原料、材料、半成品進行加工或處理過程中的物料信息；e)生產(chǎn)流程、參數(shù)工藝等工藝信息。6.1.2網(wǎng)絡層數(shù)據(jù)采集系統(tǒng)應支持接入網(wǎng)絡層數(shù)據(jù)，具體應支持以下功能：b)MAC頭、IP頭在內的全部網(wǎng)絡流量分組的采集；c)通過無線方式連接的網(wǎng)絡數(shù)據(jù)接入，如5G、Wi-Fi、工業(yè)無線WIA-FA等。6.1.3控制層數(shù)據(jù)采集系統(tǒng)應支持接入控制層數(shù)據(jù)的接入，具體應支持以下功能：a)組態(tài)軟件、web組件、操作系統(tǒng)等資產(chǎn)軟件信息的探測識別；b)廠商名稱、設備類型、設備型號等資產(chǎn)硬件設備信息的探測識別；c)接入工業(yè)控制設備自身功能故障異常數(shù)據(jù)介入功能，如PLC、DCS、SCADA、SIS等；d)數(shù)據(jù)批量導入導出。系統(tǒng)應支持網(wǎng)絡層通信協(xié)議和工業(yè)控制協(xié)議的解析，具體應支持以下功能：c)現(xiàn)場總線數(shù)據(jù)無擾監(jiān)聽和解析；d)自定義工控協(xié)議格式規(guī)約解析；e)工控協(xié)議內容深度解析，包括工控協(xié)議的操作類型、操作對象、操作范圍等參數(shù)。系統(tǒng)應支持接入蜜罐捕獲的入侵源數(shù)據(jù)或相同功能產(chǎn)品獲取到的威脅情報。6.1.6其他安全防護設備的數(shù)據(jù)接入系統(tǒng)應支持接入防火墻、安全審計設備、漏洞掃描、VPN等受防護目標中部署的其他安全防護設備的數(shù)據(jù)。6.1.7事件辨別擴展接口系統(tǒng)應具備事件辨別擴展接口，具體應支持以下功能：a)以云服務等方式接收安全應急通報機構共享的安全事件或威脅情報；b)將發(fā)現(xiàn)的異常向安全應急通報機構上報。6.2異常檢測6.2.1感知層異常檢測系統(tǒng)應支持對感知層設備的異常檢測，具體應支持以下功能：a)對現(xiàn)場設備違規(guī)外聯(lián)、違規(guī)接入等異常檢測；7b)感知層設備斷線、損壞等功能異常檢測；c)感知層設備遭受未授權訪問、數(shù)據(jù)篡改等異常檢測。注：具體感知層威脅及對應防護措施見附錄A、附錄B。6.2.2網(wǎng)絡層異常檢測系統(tǒng)應支持對網(wǎng)絡層通信協(xié)議和工控協(xié)議的通信流量異常檢測，具體應支持以下功能：a)監(jiān)測受保護網(wǎng)段內的地址、端口的報文流量和字節(jié)流量；b)非正常報文流入工業(yè)控制網(wǎng)絡的檢測；c)網(wǎng)絡通信中存在的嗅探、非法監(jiān)聽等檢測；d)對無線通信的異常流量檢測；e)IPv4/v6雙棧協(xié)議中的異常流量檢測；f)隱匿通信通道檢測。注：具體網(wǎng)絡層威脅及對應防護措施見附錄A、附錄B。6.2.3上位機異常檢測系統(tǒng)應支持對控制層中工程師站、操作員站等上位機的異常檢測，具體應支持以下功能：a)對上位機下行的控制指令進行異常檢測；b)對上位機與其他業(yè)務管理的信息系統(tǒng)之間信息流的異常檢測；c)對上位機違規(guī)開啟端口或服務、異常配置、異常組態(tài)變更的檢測；d)識別上位機上違規(guī)使用應用軟件情況，如游戲、視頻、社交應用、遠程控e)對上位機中USB等外設違規(guī)接入檢測；f)發(fā)現(xiàn)誤操作、惡意操作等違規(guī)操作行為；g)對上位機中CPU、內存等資源使用情況設置正常閾值，當出現(xiàn)異常使用情況時具備實時檢測6.2.4控制器異常檢測系統(tǒng)應支持控制層控制設備的異常檢測，具體要求包括：a)應支持對控制設備的數(shù)據(jù)內容和負載信息等異常檢測；b)應支持對控制設備自身故障、SIS告警的異常檢測；c)應支持對控制設備感染惡意代碼的異常檢測；d)應支持對控制設備的誤用檢測；e)應具備控制器中控制點位、控制值、控制器狀態(tài)信息等異常檢測能力。6.2.5行為異常檢測系統(tǒng)應具備對受保護目標ICS中攻擊入侵行為的檢測能力，具體要求包括：a)應支持網(wǎng)絡掃描行為檢測，如端口掃描、口令破解等；b)應支持對網(wǎng)絡攻擊行為檢測，如IP欺騙、IP碎片攻擊、ARP毒藥攻擊、虛假數(shù)據(jù)攻擊、序列攻c)應支持對通信協(xié)議、軟件、嵌入式設備等已知漏洞攻擊行為檢測；d)應支持對ICS中誤操作、工程師站組態(tài)變更、操控指令變更、PLC下裝、固件升級等關鍵行為異常的檢測；e)應支持對ICS存在的APT攻擊檢測；f)應支持對通信協(xié)議、軟件、嵌入式設備等未知漏洞攻擊行為檢測；8g)應具有攻擊者、攻擊方式、攻擊鏈路的分析和刻畫能力。6.2.6工藝參數(shù)異常檢測系統(tǒng)應具備對受保護ICS中業(yè)務工藝生產(chǎn)狀態(tài)異常檢測能力，具體應支持以下功能：a)對物料流異常、能耗異常的檢測；b)對工藝參數(shù)變更、重要工藝故障的檢測；c)對未按規(guī)定的造成加工件或成品嚴重影響的異常檢測。6.2.7威脅事件檢測系統(tǒng)應具備對實時檢測受保護目標ICS威脅事件的能力，具體要求包括：a)應支持網(wǎng)絡安全威脅事件實時檢測，例如：緩沖區(qū)溢出、跨站腳本、拒絕服務、惡意掃描、SQLb)應支持受保護目標ICS安全管理中存在不合規(guī)的異常檢測，具體要求應符合GB/T36323的相關規(guī)定；c)應支持內部威脅檢測；d)應具有威脅類型和危害程度的評估能力；e)應支持潛在或隱藏的威脅事件檢測；f)應支持對接收到的共享威脅情報在受保護目標ICS中進行檢測識別；g)應具有威脅對象定位、影響范圍評估的能力；h)應具有威脅來源追溯的能力。6.2.8基于白名單規(guī)則分析系統(tǒng)應具有基于白名單規(guī)則分析能力，具體應支持以下功能：a)對PLC、SCADA、RTU等控制器的白名單檢測；b)針對控制器的數(shù)據(jù)包進行快速有針對性的捕獲與深度解析；c)結合白名單對不符合規(guī)則的控制器異常進行告警。6.2.9自學習系統(tǒng)應具有自學習能力，具體應支持以下功能：a)基于自學習模式，對ICS中的協(xié)議和流量行為進行被動式的學習，從而自動生成相關策略；b)自學習模式下的網(wǎng)絡流量行為不產(chǎn)生告警；c)自學習模式的功能包括資產(chǎn)識別、網(wǎng)絡基線和工控協(xié)議白名單。6.3響應與告警系統(tǒng)應具備對檢測到的異常進行分類的能力，具體應支持以下功能：中5.1;中5.2.2;a)對不同類型的信息安全類異常進行分級，分級方式見GB中5.1;中5.2.2;b)對不同類型的功能安全類異常進行分級，分級方式見GB/T36324—2018c)對應的響應方式，包括告警、阻斷和排除等。系統(tǒng)應支持在檢測到異常時產(chǎn)生告警，并向用戶提供處理建議。9系統(tǒng)應具備根據(jù)異常的風險類型向用戶提供不同的告警方式，具體應支持以下功能：a)通過管理界面告警；b)向網(wǎng)絡管理人員發(fā)送告警郵件或手機短信；c)向網(wǎng)管中心發(fā)送SNMPTrap信息。系統(tǒng)應具備告警處置功能，具體要求包括：a)在受保護目標ICS遭受到嚴重影響的入侵事件或故障時，應具備對關鍵路徑上的目標提供處置建議的能力，避免或限制對受保護目標ICS造成更嚴重的結果；b)系統(tǒng)應在受保護目標ICS遭受到嚴重影響的入侵事件時，具有阻斷能力。系統(tǒng)應在失效告警或誤報異常時，提供用戶排除響應的操作選項。系統(tǒng)應具備對受保護目標ICS的自動化全局智能預警能力。6.3.7與其他安全防護設備聯(lián)動系統(tǒng)應具備在檢測到異常時，與防火墻、網(wǎng)關、安全審計等其他安全防護設備聯(lián)動響應能力。6.4檢測結果處理系統(tǒng)應具備對異常檢測的結果進行實時記錄的能力，提供用戶對結果可視化展示、可選查閱和結果報告輸出。系統(tǒng)應具有統(tǒng)計分析能力，具體要求包括：b)應支持工藝參數(shù)等異常的統(tǒng)計分析；c)應具有挖掘受保護目標ICS中潛藏或未知異常的能力。系統(tǒng)應具備對物料流、信息流、能量流多維數(shù)據(jù)一致性異常關聯(lián)分析的能力。系統(tǒng)應具有異常檢測結果可視化能力，具體應支持以下功能：a)提供圖形化展示模塊和儀表盤功能；b)提供全面實時的信息展示；c)從資產(chǎn)、協(xié)議流量、網(wǎng)絡威脅等多個視角展示；d)結合實時曲線、動態(tài)占比、動態(tài)排行等顯示模塊。系統(tǒng)應具有異常檢測結果可選查閱能力，具體應支持以下功能：a)提供用戶按照時間、類型、IP地址等不同屬性的單選項查詢；b)多屬性聯(lián)合查詢。系統(tǒng)應支持用戶以PDF、Word、HTML等不同格式的輸出檢測結果報告。6.5管理控制系統(tǒng)應保證用戶具有唯一的標識，用于區(qū)分不同用戶的身份和權限。6.5.2管理員角色定義系統(tǒng)應具有管理員角色定義功能，具體應支持以下功能：a)針對管理員角色建立配置、授權、審計相互獨立的賬號機制；b)將超級用戶特權集進行劃分，分別授予配置管理員、安全管理員和審計管理員；c)實現(xiàn)配置管理、安全管理和審計管理功能的同時，也保證管理員權限的隔離。系統(tǒng)應具有基本鑒別功能，具體應支持以下功能：a)用戶在登錄、配置、修改口令或升級時具備要求身份鑒別的能力；b)首次使用時，強制要求用戶修改默認口令或設置口令；c)支持對口令的強度進行檢查的能力，避免用戶使用弱口令或默認口令。系統(tǒng)應具備用戶鑒別嘗試失敗的閾值，確保用戶身份鑒別失敗超出閾值時，系統(tǒng)支持阻斷進一步鑒別的請求。6.5.5超時鎖定或注銷系統(tǒng)應具備用戶登錄超過規(guī)定時間閾值時，對用戶進行超時鎖定或注銷當前用戶登錄狀態(tài)，確保用戶重新進行身份鑒別。系統(tǒng)應具有自身升級管理的能力，具體要求包括如下：a)應支持離線和在線兩種升級方式；b)應支持系統(tǒng)版本或規(guī)則庫版本老舊影響使用的情況下向用戶發(fā)送告警信息；c)應具備對升級來源進行校驗的能力。6.6安全管理6.6.1接口安全管理系統(tǒng)應具有接口安全管理能力，具體應支持以下功能：a)提供用戶不同接口，如工業(yè)控制設備故障接入、檢測數(shù)據(jù)或結果導入導出、其他安全防護設備數(shù)據(jù)接入、系統(tǒng)升級等；b)遵循最小化原則，確保接口在使用時才被用戶開啟。6.6.2安全狀態(tài)監(jiān)測系統(tǒng)應支持對自身安全狀態(tài)的實時監(jiān)測能力，具體應支持以下功能：a)發(fā)現(xiàn)系統(tǒng)存在的版本未升級、規(guī)則庫老舊等問題時，提醒用戶升級；b)發(fā)現(xiàn)窮舉攻擊、未授權訪問等安全驗證繞過問題時，提醒用戶更改口令。系統(tǒng)應具備安全保護機制，具體要求包括：a)應支持不同類型數(shù)據(jù)的防篡改功能；b)應支持存儲空間監(jiān)測功能，保證系統(tǒng)中數(shù)據(jù)的存儲安全。系統(tǒng)自身其他安全保障應符合GB/T20275—2013中6.2.4的要求。系統(tǒng)應具備分布式部署的受保護ICS同步關聯(lián)的異常檢測分析能力。系統(tǒng)應具備自動對數(shù)據(jù)采集、異常檢測、響應與告警、檢測結果處理和管理控制過程中產(chǎn)生的操作和數(shù)據(jù)進行自動化生成日志的能力。系統(tǒng)保存的日志應包括檢測到異常的具體日期、時間、用戶標識、描述、告警信息和用戶響應等內系統(tǒng)日志存儲應具備安全存儲的功能，具體要求包括：a)應在受限訪問權限的情況下進行安全存儲；b)應具備安全加密、備份和恢復能力；c)日志存儲時間不應少于6個月。7性能要求7.1誤報率誤報率要求如下：a)系統(tǒng)應將誤報率控制在應用許可的范圍10%以內；b)不應對受保護的ICS產(chǎn)生影響；c)支持IPv6網(wǎng)絡環(huán)境下工作的系統(tǒng)誤報率應滿足上述指標。7.2漏報率漏報率應符合GB/T20275—2013中規(guī)定的相關指標。7.3流量監(jiān)控能力系統(tǒng)單口監(jiān)控流量應符合GB/T20275—2013中規(guī)定的相關指標。7.4并發(fā)連接數(shù)監(jiān)控能力系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)應符合GB/T20275—2013中規(guī)定相關指標。7.5新建TCP連接速率監(jiān)控能力系統(tǒng)單口監(jiān)控新建TCP連接速率應符合GB/T20275—2013中規(guī)定的相關指標。7.6檢測時間系統(tǒng)的異常檢測時間性能要求如下：a)功能安全類異常檢測時間應不高于1s;b)信息安全類異常檢測時間應不高于3s。(資料性)工業(yè)控制系統(tǒng)信息物理融合中的威脅A.1感知層安全威脅感知層主要由各種物理傳感器、執(zhí)行器等組成，是整個物理信息系統(tǒng)中信息的來源。為了適應多變的環(huán)境，網(wǎng)絡節(jié)點多布置在無人監(jiān)管的環(huán)境中，因此易被攻擊者攻擊。常見的針對感知層的攻擊方式有：a)數(shù)據(jù)破壞：攻擊者未經(jīng)授權，對感知層獲取的信息進行篡改、增刪或破壞等；b)信息竊聽：攻擊者通過搭線或利用傳輸過程中的非法監(jiān)聽，造成數(shù)據(jù)隱私泄露等問題；c)節(jié)點捕獲：攻擊者對部分網(wǎng)絡節(jié)點進行控制，可能導致密鑰泄露，危及整個系統(tǒng)的通信安全。A.2網(wǎng)絡層安全威脅網(wǎng)絡層一般要接入網(wǎng)絡，而接入網(wǎng)絡本身就會給整個物理信息系統(tǒng)帶來威脅。一方面，作為鏈接感知層和控制層的數(shù)據(jù)傳輸?shù)耐ǖ溃渲袀鬏數(shù)男畔⒁壮蔀楣粽叩哪繕?；另一方面，由于接入網(wǎng)絡，網(wǎng)絡層易受到攻擊。網(wǎng)絡層的主要安全威脅如下：a)拒絕服務攻擊：攻擊者通過先向服務器發(fā)送大量請求，使得服務器緩沖區(qū)爆滿而被迫停止接受新的請求，使系統(tǒng)崩潰從而影響合法用戶的使用；b)選擇性轉發(fā)：惡意節(jié)點在接收到數(shù)據(jù)后，不全部轉發(fā)所有信息，而是將部分或全部關鍵信息在轉發(fā)過程中丟掉，破壞了數(shù)據(jù)的完整性；c)方向誤導攻擊：惡意節(jié)點在接收到數(shù)據(jù)包后，對其源地址和目的地址進行修改，使得數(shù)據(jù)包沿錯誤路徑發(fā)送出去，造成數(shù)據(jù)丟失或網(wǎng)絡混亂。A.3控制層安全威脅控制層中數(shù)據(jù)庫中存放著大量用戶的隱私數(shù)據(jù)，因此在這一層中一旦發(fā)生攻擊就會出現(xiàn)大量隱私泄漏的問題。針對應用層的主要威脅有。a)用戶隱私泄漏：用戶的所有的數(shù)據(jù)都存儲在控制層中的數(shù)據(jù)庫中，其中包含用戶的個人資料等隱私的數(shù)據(jù)都存放在數(shù)據(jù)庫中，一旦數(shù)據(jù)庫被攻陷，就會導致用戶的隱私產(chǎn)生泄漏，造成很嚴重的影響。b)惡意代碼：惡意代碼是指在運行過程中會對系統(tǒng)造成不良影響的代碼庫，攻擊者一般會將這些代碼嵌入到注釋中，腳本一旦在系統(tǒng)中運行，就會對系統(tǒng)造成嚴重的后果。c)非授權訪問：對于一個系統(tǒng)，會有各種權限的管理者，比如超級管理員，對該系統(tǒng)有著最高的操作權限，一般管理員對該系統(tǒng)有部分的操作權限。非授權訪問指的就是攻擊者在未經(jīng)授權的情況下不合理的訪問本系統(tǒng)，攻擊者欺騙系統(tǒng)，進入到本系統(tǒng)中對本系統(tǒng)執(zhí)行一些惡意的操作就會對本系統(tǒng)產(chǎn)生嚴重的影響。d)軟件設計缺陷：工業(yè)控制軟件的開發(fā)人員不同的編程能力、對功能的理解能力，以及軟件供應鏈環(huán)節(jié)使用存在潛在隱患的開源程序