书 书 书犐犆犛 ３５ ． ２４０ ． ５０ 犆犆犛犑 ０７ 中华人民共和国国家标准 犌犅 ／ 犜 ４１２６２ — ２０２２ 工业控制系统的信息物理融合异常检测系统技术要求 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犮狔犫犲狉狆犺狔狊犻犮犪犾犳狌狊犻狅狀犪狀狅犿犪犾狔犱犲狋犲犮狋犻狅狀狊狆犲犮犻犳犻犮犪狋犻狅狀狅犳犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾狊狔狊狋犲犿 　 ２０２２  ０３  ０９ 发布 ２０２２  １０  ０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ３ …………………………………………………………………………………………………… ５ 　 系统概述 ３ ………………………………………………………………………………………………… 　 ５．１ 　 系统架构 ３ …………………………………………………………………………………………… 　 ５．２ 　 功能模块 ４ …………………………………………………………………………………………… ６ 　 功能要求 ５ ………………………………………………………………………………………………… 　 ６．１ 　 数据采集 ５ …………………………………………………………………………………………… 　 ６．２ 　 异常检测 ６ …………………………………………………………………………………………… 　 ６．３ 　 响应与告警 ８ ………………………………………………………………………………………… 　 ６．４ 　 检测结果处理 ９ ……………………………………………………………………………………… 　 ６．５ 　 管理控制 １０ …………………………………………………………………………………………… 　 ６．６ 　 安全管理 １０ …………………………………………………………………………………………… 　 ６．７ 　 日志管理 １１ …………………………………………………………………………………………… ７ 　 性能要求 １１ ………………………………………………………………………………………………… 　 ７．１ 　 误报率 １１ ……………………………………………………………………………………………… 　 ７．２ 　 漏报率 １２ ……………………………………………………………………………………………… 　 ７．３ 　 流量监控能力 １２ ……………………………………………………………………………………… 　 ７．４ 　 并发连接数监控能力 １２ ……………………………………………………………………………… 　 ７．５ 　 新建 ＴＣＰ 连接速率监控能力 １２ …………………………………………………………………… 　 ７．６ 　 检测时间 １２ …………………………………………………………………………………………… 附录 Ａ （ 资料性 ） 　 工业控制系统信息物理融合中的威胁 １３ ……………………………………………… 附录 Ｂ （ 资料性 ） 　 工业控制系统信息物理融合安全防护措施 １４ ………………………………………… 参考文献 １５ …………………………………………………………………………………………………… 犌犅 ／ 犜 ４１２６２ — ２０２２ 前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由中国机械工业联合会提出 。 本文件由全国自动化系统与集成标准化技术委员会 （ ＳＡＣ ／ ＴＣ１５９ ） 归口 。 本文件起草单位 ： 中国科学院信息工程研究所 、 北京机械工业自动化研究所有限公司 、 浙江大学 、 杭州优稳自动化系统有限公司 、 北京工业大学 、 上海电力大学 、 中国科学院声学研究所 、 奇安信科技集团股份有限公司 、 中国信息通信研究院 、 中国科学院沈阳自动化研究所 、 浙江中控技术股份有限公司 、 北京东方通科技股份有限公司 。 本文件主要起草人 ： 孙利民 、 石志强 、 朱红松 、 闫兆腾 、 吕世超 、 陈新 、 刘俊矫 、 张雪嫣 、 孙洁香 、 王文海 、 张稳稳 、 赵璐 、 赖英旭 、 孙墨童 、 谷浩然 、 王勇 、 杨军 、 王勋 、 陈君 、 王 、 崔君荣 、 梁炜 、 张思超 、 蒋皓 、 李艺 、 倪平 、 陆卫军 、 章维 、 李志 、 孙玉砚 、 李红 、 文辉 、 路晓 、 崔婷婷 。 Ⅰ 犌犅 ／ 犜 ４１２６２ — ２０２２ 工业控制系统的信息物理融合异常检测系统技术要求 １ 　 范围 本文件规定了融合信息空间和物理空间的工业控制系统异常检测技术架构 、 功能模块 、 功能要求及性能要求 。 本文件适用于工业控制安全厂商 、 设备生产厂商研制高效的信息物理融合异常检测设备 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１８３３６．３ — ２０１５ 　 信息技术 　 安全技术 　 信息技术安全评估准则 　 第 ３ 部分 ： 安全保障组件 ＧＢ ／ Ｔ２０２７５ — ２０１３ 　 信息安全技术 　 网络入侵检测系统技术要求和测试评价方法 ＧＢ ／ Ｔ２２２３９ — ２０１９ 　 信息安全技术 　 网络安全等级保护基本要求 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３６３２３ 　 信息安全技术 　 工业控制系统安全管理基本要求 ＧＢ ／ Ｔ３６３２４ — ２０１８ 　 信息安全技术 　 工业控制系统信息安全分级规范 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 工业控制系统 　 犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾狊狔狊狋犲犿 ； 犐犆犛 一类用于工业生产的控制系统的统称 。 　　 注 ： 它包含 ＳＣＡＤＡ 、 ＤＣＳ 和其他一些常见于工业部门与关键基础设施的小型控制系统 （ 如 ＰＬＣ ） 等 。 ３ ． ２ 信息物理融合 　 犮狔犫犲狉狆犺狔狊犻犮犪犾犳狌狊犻狅狀 将 ＩＣＳ 中的指令 、 状态信息和真实物理系统相结合的过程 。 　　 注 ： 具体体现为将 ＩＣＳ 中生产控制设备中的物料流 、 信息流 、 能量流相结合 。 ３ ． ３ 信息物理系统 　 犮狔犫犲狉狆犺狔狊犻犮犪犾狊狔狊狋犲犿 ； 犆犘犛 一个综合计算 、 网络和物理环境的多维复杂系统 。 　　 注 ： 通过通信技术 、 计算机技术和控制技术的有机融合与深度协作 ， 实现大型工程系统的实时感知 、 动态控制和信 息服务 。 ３ ． ４ 异常 　 犪犫狀狅狉犿犪犾 故障 、 意外或攻击行为导致的系统出现异于正常或已有基线的情况 。 １ 犌犅 ／ 犜 ４１２６２ — ２０２２ 　　 注 ： 包括恶意代码感染 、 网络攻击 、 固件篡改 、 控制逻辑篡改等信息安全事件 ， 以及设备故障 、 误操作 、 能耗超出正常 阈值 、 时序超出正常范围 、 状态统计数据超出正常范围等功能安全事件 。 ３ ． ５ 异常检测 　 犪狀狅犿犪犾狔犱犲狋犲犮狋犻狅狀 对 ＩＣＳ 发生的异常进行检测的过程 。 ３ ． ６ 误用检测 　 犿犻狊狌狊犲犱犲狋犲犮狋犻狅狀 一种能检测模式库中已涵盖的入侵行为或不可接受的行为的方式 。 　　 注 ： 在误用检测中首先定义异常系统行为 ， 然后将所有其他行为定义为正常 ， 主要假设是具有能够被精确地按某种 方式编码的攻击 。 通过捕获攻击及重新整理 ， 可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种 。 ３ ． ７ 信息流 　 犻狀犳狅狉犿犪狋犻狅狀犳犾狅狑 ＩＣＳ 控制设备中的系统控制指令和设备状态等数据 。 ３ ． ８ 物料流 　 犿犪狋犲狉犻犪犾犳犾狅狑 物质流在 ＩＣＳ 中原材料或半成品加工 、 检验 、 装配 、 试验 、 存储等过程数据 。 ３ ． ９ 能量流 　 犲狀犲狉犵狔犳犾狅狑 能耗流 ＩＣＳ 中的原材料或半成品在整个生产过程中所产生的能量数据 。 ３ ． １０ 脆弱性 　 狏狌犾狀犲狉犪犫犻犾犻狋狔 可能被一个或多个威胁利用的资产或控制的弱点 。 ［ 来源 ： ＧＢ ／ Ｔ２９２４６ — ２０１７ ， ２．８９ ］ ３ ． １１ 高级持续性威胁攻击 　 犪犱狏犪狀犮犲犱狆犲狉狊犻狊狋犲狀狋狋犺狉犲犪狋 ； 犃犘犜 利用各种先进的攻击手段 ， 对高价值目标进行的有组织 、 长期持续性网络攻击行为 。 　　 注 ： 此种攻击需要长期经营与策划 ， 因此具有极强的隐蔽性和针对性 。 在 ＩＣＳ 中 ， 此种攻击会带来更严重的财产损 失和威胁 。 ３ ． １２ 虚假数据攻击 　 犳犪犾狊犲犱犪狋犪犻狀犼犲犮狋犻狅狀犪狋狋犪犮犽 利用状