1、犐 犆犛 犆犆犛犑 中 华 人 民 共 和 国 国 家 标 准犌犅犜 工业控制系统的信息物理融合异常检测系统技术要求犜 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犳 狅 狉犮 狔 犫 犲 狉 狆 犺 狔 狊 犻 犮 犪 犾犳 狌 狊 犻 狅 狀犪 狀 狅犿犪 犾 狔犱 犲 狋 犲 犮 狋 犻 狅 狀狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀狅 犳犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目次前言范围规范性引用文件术语和定义
2、缩略语系统概述 系统架构 功能模块功能要求 数据采集 异常检测 响应与告警 检测结果处理 管理控制 安全管理 日志管理 性能要求 误报率 漏报率 流量监控能力 并发连接数监控能力 新建连接速率监控能力 检测时间 附录(资料性)工业控制系统信息物理融合中的威胁 附录(资料性)工业控制系统信息物理融合安全防护措施 参考文献 犌犅犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会()归口。本文件起草单位:中国科学院信息工程
3、研究所、北京机械工业自动化研究所有限公司、浙江大学、杭州优稳自动化系统有限公司、北京工业大学、上海电力大学、中国科学院声学研究所、奇安信科技集团股份有限公司、中国信息通信研究院、中国科学院沈阳自动化研究所、浙江中控技术股份有限公司、北京东方通科技股份有限公司。本文件主要起草人:孙利民、石志强、朱红松、闫兆腾、吕世超、陈新、刘俊矫、张雪嫣、孙洁香、王文海、张稳稳、赵璐、赖英旭、孙墨童、谷浩然、王勇、杨军、王勋、陈君、王、崔君荣、梁炜、张思超、蒋皓、李艺、倪平、陆卫军、章维、李志、孙玉砚、李红、文辉、路晓、崔婷婷。犌犅犜 工业控制系统的信息物理融合异常检测系统技术要求范围本文件规定了融合信息空间和
4、物理空间的工业控制系统异常检测技术架构、功能模块、功能要求及性能要求。本文件适用于工业控制安全厂商、设备生产厂商研制高效的信息物理融合异常检测设备。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息技术安全技术信息技术安全评估准则第部分:安全保障组件 信息安全技术网络入侵检测系统技术要求和测试评价方法 信息安全技术网络安全等级保护基本要求 信息安全技术术语 信息安全技术工业控制系统安全管理基本要求 信息安全技术工业控制系统信息安全分级规范术语和
5、定义 界定的以及下列术语和定义适用于本文件。工业控制系统犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿;犐 犆犛一类用于工业生产的控制系统的统称。注:它包含、和其他一些常见于工业部门与关键基础设施的小型控制系统(如)等。信息物理融合犮 狔 犫 犲 狉 狆 犺 狔 狊 犻 犮 犪 犾犳 狌 狊 犻 狅 狀将 中的指令、状态信息和真实物理系统相结合的过程。注:具体体现为将 中生产控制设备中的物料流、信息流、能量流相结合。信息物理系统犮 狔 犫 犲 狉 狆 犺 狔 狊 犻 犮 犪 犾狊 狔 狊 狋 犲犿;犆犘犛一个综合计算、网络和物理环境的多维复杂系统。注:通过
6、通信技术、计算机技术和控制技术的有机融合与深度协作,实现大型工程系统的实时感知、动态控制和信息服务。异常犪 犫 狀 狅 狉犿犪 犾故障、意外或攻击行为导致的系统出现异于正常或已有基线的情况。犌犅犜 注:包括恶意代码感染、网络攻击、固件篡改、控制逻辑篡改等信息安全事件,以及设备故障、误操作、能耗超出正常阈值、时序超出正常范围、状态统计数据超出正常范围等功能安全事件。异常检测犪 狀 狅犿犪 犾 狔犱 犲 狋 犲 犮 狋 犻 狅 狀对 发生的异常进行检测的过程。误用检测犿 犻 狊 狌 狊 犲犱 犲 狋 犲 犮 狋 犻 狅 狀一种能检测模式库中已涵盖的入侵行为或不可接受的行为的方式。注:在误用检测中首先定义异常系统行为,然后将所有其他行为定义为正常,主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。信息流犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀犳 犾 狅狑 控制设备中的系统控制指令和设备状态等数据。物料流犿犪 狋 犲 狉 犻 犪 犾犳 犾 狅狑物质流在 中原材料或半成品加工、检验、装配、试验、存储等过程数据。能量流犲 狀