书 书 书犐犆犛 ２５ ． ０４０ 犖 １０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３８８４７ — ２０２０ /G21 /G22 /G23 /G24 /G23 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G23 /G2C /G2D /G2E /G2F /G30 犐狀狋犲犾犾犻犵犲狀犮犲犳犪犮狋狅狉狔 — 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾犪犫狀狅狉犿犪犾犿狅狀犻狋狅狉犻狀犵犻狀狊狋狉狌犿犲狀狋 ２０２０  ０７  ２１ /G31 /G32 ２０２１  ０２  ０１ /G33 /G34 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G31 /G32目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语 、 定义和缩略语 １ ……………………………………………………………………………………… ４ 　 工业控制异常监测工具的部署 ２ ………………………………………………………………………… ５ 　 工业控制异常监测工具等级划分 ２ ……………………………………………………………………… 　 ５．１ 　 技术要求分级 ２ ……………………………………………………………………………………… 　 ５．２ 　 技术要求分类 ３ ……………………………………………………………………………………… ６ 　 技术要求 ５ ………………………………………………………………………………………………… 　 ６．１ 　 基本级 ５ ……………………………………………………………………………………………… 　 ６．２ 　 增强级 ９ ……………………………………………………………………………………………… 附录 Ａ （ 规范性附录 ） 　 环境适应性要求 １２ ………………………………………………………………… 犌犅 ／ 犜 ３８８４７ — ２０２０ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准由中国机械工业联合会提出 。 本标准由全国工业过程测量控制和自动化标准化技术委员会 （ ＳＡＣ ／ ＴＣ１２４ ） 归口 。 本标准起草单位 ： 启明星辰信息技术集团股份有限公司 、 机械工业仪器仪表综合技术经济研究所 、 中国石油天然气股份有限公司规划总院 、 北京中油瑞飞信息技术有限责任公司 、 中车戚墅堰机车有限公司 、 中国科学院沈阳自动化研究所 、 北京市自来水集团有限责任公司 、 重庆信安网络安全等级测评有限公司 、 上海自动化仪表有限公司 、 中国网络安全审查技术与认证中心 、 国家工业信息安全发展研究中心 。 本标准主要起草人 ： 孟雅辉 、 许涛 、 王玉敏 、 和曦 、 杜兰 、 尚文利 、 张晨艳 、 张为群 、 包伟华 、 甘杰夫 、 张哲宇 、 赵剑明 、 刘志远 、 董朋 、 原真 、 马俊闯 、 尚羽佳 、 王静 、 周学良 、 单博 、 蒋浩然 、 陈春雨 。 Ⅰ 犌犅 ／ 犜 ３８８４７ — ２０２０ 引 　　 言 　　 随着工业化与信息化的深度融合 ， 来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁 ， 传统的工业控制异常监测工具在面对工业控制系统的安全监测时因不能识别工业控制系统专用协议 、 对工业控制系统异常特征分析不足 ， 显得力不从心 ， 因此急需要一种能应用于智能工厂中的工业控制异常监测工具对异常行为进行监测和报警 。 应用于智能工厂的工业控制异常监测工具与传统工业控制异常监测工具的主要差异体现在 ： ａ ） 　 智能工厂的工业控制异常监测工具是专门针对工业控制系统的检测系统 ， 支持十几种主流工控协议的深度解析 ， 内置特有的工控网络检测策略 ； 可检测利用工控设备漏洞对工控网络的多种入侵攻击 ； ｂ ） 　 智能工厂的工业控制异常监测工具采用工业级全密闭硬件设计 ， 环境适应能力强 ； ｃ ） 　 智能工厂的工业控制异常监测工具满足工业现场要求的高可靠性和稳定性等需求 。 Ⅱ 犌犅 ／ 犜 ３８８４７ — ２０２０ 智能工厂工业控制异常监测工具技术要求 １ 　 范围 本标准规定了智能工厂的工业控制异常监测工具 （ 以下简称 ： 监测工具 ） 的部署 、 等级划分和技术要求 。 本标准适用于工业控制异常监测工具的设计 、 开发与测试 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２４２３．５ — ２０１９ 　 环境试验 　 第 ２ 部分 ： 试验方法 　 试验 Ｅａ 和导则 ： 冲击 ＧＢ ／ Ｔ２４２３．１０ 　 环境试验 　 第 ２ 部分 ： 试验方法 　 试验 Ｆｃ ： 振动 （ 正弦 ） ＧＢ ／ Ｔ４２０８ — ２０１７ 　 外壳防护等级 （ ＩＰ 代码 ） ＧＢ４８２４ 　 工业 、 科学和医疗 （ ＩＳＭ ） 射频设备 　 骚扰特性 　 限值和测量方法 ＧＢ ／ Ｔ４８５７．２０ 　 包装 　 运输包装件 　 碰撞试验方法 ＧＢ ／ Ｔ４８５７．２３ — ２０１２ 　 包装 　 运输包装件基本试验 　 第 ２３ 部分 ： 随机振动试验方法 ＧＢ ／ Ｔ９２５４ 　 信息技术设备的无线电骚扰限值和测量方法 ＧＢ ／ Ｔ１３７２９ — ２０１９ 　 远动终端设备 ＧＢ ／ Ｔ１５１５３．１ 　 远动设备及系统 　 第 ２ 部分 ： 工作条件 　 第 １ 篇 ： 电源和电磁兼容性 ＧＢ ／ Ｔ１７２１４．４ 　 工业过程测量和控制装置的工作条件 　 第 ４ 部分 ： 腐蚀和侵蚀影响 ＧＢ ／ Ｔ１７６２６．２ 　 电磁兼容 　 试验和测量技术 　 静电放电抗扰度试验 ＧＢ ／ Ｔ１７６２６．３ 　 电磁兼容 　 试验和测量技术 　 射频电磁场辐射抗扰度试验 ＧＢ ／ Ｔ１７６２６．４ 　 电磁兼容 　 试验和测量技术 　 电快速瞬变脉冲群抗扰度试验 ＧＢ ／ Ｔ１７６２６．５ 　 电磁兼容 　 试验和测量技术 　 浪涌 （ 冲击 ） 抗扰度试验 ＧＢ ／ Ｔ１７６２６．６ 　 电磁兼容 　 试验和测量技术 　 射频场感应的传导骚扰抗扰度 ＧＢ ／ Ｔ１７６２６．８ 　 电磁兼容 　 试验和测量技术 　 工频磁场抗扰度试验 ＧＢ ／ Ｔ１７６２６．１０ 　 电磁兼容 　 试验和测量技术 　 阻尼振荡磁场抗扰度试验 ＧＢ ／ Ｔ１７６２６．１１ 　 电磁兼容 　 试验和测量技术 　 电压暂降 、 短时中断和电压变化的抗扰度试验 ＧＢ ／ Ｔ１７６２６．１２ — ２０１３ 　 电磁兼容 　 试验和测量技术 　 振铃波抗扰度试验 ＧＢ ／ Ｔ１７６２６．１６ 　 电磁兼容 　 试验和测量技术 　 ０Ｈｚ ～ １５０ｋＨｚ 共模传导骚扰抗扰度试验 ＧＢ ／ Ｔ１７６２６．１７ 　 电磁兼容 　 试验和测量技术 　 直流电源输入端口纹波抗扰度试验 ＧＢ ／ Ｔ１７６２６．２９ 　 电磁兼容 　 试验和测量技术 　 直流电源输入端口电压暂降 、 短时中断和电压变化的抗扰度试验 ＧＢ ／ Ｔ２０２７５ — ２０１３ 　 信息安全技术 　 网络入侵检测系统技术要求和测试评价方法 ３ 　 术语 、 定义和缩略语 下列术语和定义适用于本文件 。 １ 犌犅 ／ 犜 ３８８４７ — ２０２０ ３ ． １ 　 术语和定义 ３ ． １ ． １ 工业控制异常监测工具 　 犻狀犱狌狊狋狉犻犪犾犮狅狀狋狉狅犾犪犫狀狅狉犿犪犾犿狅狀犻狋狅狉犻狀犵犻狀狊狋狉狌犿犲狀狋 以工业控制网络上的数据包作为数据源 ， 监听所保护网络内的所有数据包并进行分析 ， 发现针对工业控制系统的网络入侵 、 病毒 、 流量异常等异常行为的系统 。 ３ ． １ ． ２ 探测器 　 狊犲狀狊狅狉 用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件 ， 并对收集到的信息进行初步分析的入侵检测系统组件 。 ［ ＧＢ ／ Ｔ２０２７５ — ２０１３ ， 定义 ３．６ ］ ３ ． ２ 　 缩略语 下列缩略语适用于本文件 。 ＤＣＳ ： 集散控制系统 （ ＤｉｓｔｒｉｂｕｔｅｄＣｏｎｔｒｏｌＳｙｓｔｅｍ ） ＰＬＣ ： 可编程序控制器 （ ＰｒｏｇｒａｍｍａｂｌｅＬｏｇｉｃＣｏｎｔｒｏｌｌｅｒ ） ＲＴＵ ： 远程终端单元 （ ＲｅｍｏｔｅＴｅｒｍｉｎａｌＵｎｉｔ ） ４ 　 工业控制异常监测工具的部署 监测工具是以旁路监测工业控制系统网络 ， 抓取网络流量 ， 发现异常行为并报警 。 图 １ 是将监测工具旁路部署在工业网络交换机的镜像口上 ， 工业控制系统业主根据工业网络交换机情况 ， 酌情考虑部署 。 对于工具的环境适应性要求见附录 Ａ 。 图 １ 　 工业控制异常监测工具部署示例 ５ 　 工业控