T/UNP 367-2024 工控网络入侵实时监视系统技术要求

ICS 35.030
UNSPSC 43.23.15
CCS L 67
团体标准
T/UNP 367—2024
工控网络入侵实时监视系统技术要求
Technical requirements for real - time monitoring system of industrial controlnetwork intrusion
2024 - 12 - 12 发布 2024 - 12 - 12 实施
中国联合国采购促进会 发布

目次
前言 ................................................................................. II
引言 ................................................................................ III
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 监视流程 ........................................................................... 1
5 系统架构 ........................................................................... 2
6 功能要求 ........................................................................... 3
网络流量监测 ................................................................... 3
入侵检测 ....................................................................... 3
报警与通知 ..................................................................... 4
数据分析与可视化 ............................................................... 4
实时监控 ....................................................................... 4
7 性能要求 ........................................................................... 4
处理速度 ....................................................................... 4
系统响应时间 ................................................................... 5
可靠性与稳定性 ................................................................. 5
扩展性 ......................................................................... 5
8 安全要求 ........................................................................... 5
基本要求 ....................................................................... 5
数据安全 ....................................................................... 5
访问控制 ....................................................................... 5
9 运行维护 ........................................................................... 5
故障处理 ....................................................................... 5
日志记录 ....................................................................... 6
更新与升级 ..................................................................... 6
T/UNP 367—2024
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由东方电气中能工控网络安全技术（成都）有限责任公司提出。
本文件由中国联合国采购促进会归口。
本文件起草单位：东方电气中能工控网络安全技术（成都）有限责任公司、中科企服（深圳）科技
有限公司、中科信泰（深圳）信息技术有限公司。
本文件主要起草人：张宇、叶大萌、赵东、梁海、谢刚、李青松、付人玮、初蕾、廖笑悦、罗仕先、
杨凯宇、郑祥、史媛媛、董秀阁、谭艺玲。
T/UNP 367—2024
III
引言
为助力中国企业参与国际贸易，推动企业高质量发展，中国联合国采购促进会依托联合国采购体系，
制定服务于国际贸易的系列标准，这些标准在国际贸易过程中发挥了越来越重要的作用，对促进贸易效
率提升，减少交易成本和不确定性，确保产品质量与安全，增强消费者信心具有重要的意义。
联合国标准产品和服务分类代码（UNSPSC，United Nations Standard Products and Services
Code）是联合国制定的标准，用于高效、准确地对产品和服务进行分类。在全球国际化采购中发挥着至
关重要的作用，它为采购商和供应商提供了一个共同的语言和平台，促进了全球贸易的高效、有序发展。
围绕UNSPSC进行相关产品、技术和服务团体标准的制定，对助力企业融入国际采购，提升国际竞争
力具有十分重要的作用和意义。
本文件采用UNSPSC分类代码由6位组成，对应原分类中的大类、中类和小类并用小数点分割。
本文件UNSPSC代码为“43.23.15”，由3段组成。其中：第1段“43”为大类，表示“信息技术广播
和电信”，第2段为中类，“23”表示“软件”，第3段为小类，“15”表示“特定于业务功能的软件”。

T/UNP 367—2024
1
工控网络入侵实时监视系统技术要求
1 范围
本文件规定了工控网络入侵实时监视系统的监视流程、系统架构、功能要求、性能要求、安全要求
和运行维护。
本文件适用于工控网络入侵实时监视系统的建设。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 20986 信息安全技术 网络安全事件分类分级指南
GB/T 32914 信息安全技术 网络安全服务能力要求
GB/T 38561 信息安全技术 网络安全管理支撑系统技术要求
3 术语和定义
本文件没有需要界定的术语和定义。
4 监视流程
工控网络入侵实时监视系统监视流程图见图1，具体流程如下：
a) 系统从工控网络中获取底层原始报文；
b) 报文处理模块对获取的报文进行解析，提取MAC 地址、IP 地址等关键信息；
c) 将提取的地址信息与白名单数据库进行比对；
d) 若地址信息在白名单中，判断为合法设备；否则为非法设备；
e) 使用图标分别代表合法设备和非法设备；
f) 将合法设备的图标显示在安全区内，将非法设备的图标放置在非安全区中；
g) 根据各设备的广播报文速率，设置对应图标的旋转速度，突出异常设备的动态行为；
h) 将发生通讯的设备图标进行连线，展示设备间的通讯情况；
i) 结合图标的旋转速度和连线的动态变化，实时展示工控网络的整体状态及异常风险。
T/UNP 367—2024
2
开始
原始网络报文
抓取网络中的底层原始报文
解析出原始底层报文中的源目的
MAC、IP
将收到的源目的MAC、IP与白名单数据库
进行对比，判断是否处在白名单中
设备是否为合法设备
将该设备对应图标加入到安全
区，并注明设备名称
计算各设备的广播报文速率
将该设备对应图
标加入非安全
区，并注明设备
名称
根据广播速率使图标以不同速度
旋转
判断设备相互通讯状态
通讯的两个设备是否都是
合法设备
两个设备
为非法通
讯，绘制
入侵连线
或异常连
线
两个设备为合法通讯，将两个图
形进行连线
结束是
否
是
否
图1 工控网络入侵实时监视系统监视流程图
5 系统架构
工控网络入侵实时监视系统总体架构图见图2，包括以下主要层级及其组件：
a) 硬件层：负责为系统运行提供必要的计算和存储能力以及网络通信支持；
b) 网络层：负责建立系统内部的通信网络；
c) 支撑层：负责统一管理系统资源，包括计算能力、存储空间和数据交换；
d) 运维层：负责系统的运行维护和管理，包括实时监控系统状态、故障诊断与修复、以及任务调
度和资源优化；
e) 应用层：负责系统的核心功能实现和用户交互，功能包括但不限于：
1) 网络流量监测：实时采集和分析工控网络中的流量数据，检测异常流量和潜在威胁；
2) 入侵检测：通过对通信数据的深度分析，识别非法设备和异常行为，并触发报警机制；
3) 报警与通知：提供多种报警方式（如声音警报、短信、邮件），并实时向管理人员传递安
全事件；
4) 数据分析与可视化：通过图形化界面展示网络运行状态、异常事件和设备信息，支持用户
进行分析和决策；
5) 实时监控：实现对设备和网络状态的全面监控，并通过动态刷新确保信息的实时性。
f) 安全层：负责对数据传输、存储和处理过程进行加密，确保数据的完整性和保密性。
T/UNP 367—2024
3
应用层
网络流量监测入侵检测报警与通知
数据分析与可视化实时监控
支撑层（操作系统、数据库、中间件）
网络层
硬件层
安
全
层
运
维
层
图2 工控网络入侵实时监视系统总体架构图
6 功能要求
网络流量监测
工控网络入侵实时监视系统的网络流量监测功能要求包括但不限于：
a) 应能识别正常流量和异常流量，及时发现网络拥塞、数据丢包或异常通信等问题；
b) 应具备基于流量的统计分析功能，按时间、设备、通信协议等分类展示流量分布情况；
c) 应记录所有流量数据，支持管理员回溯历史流量情况，并导出报告。
入侵检测
6.2.1 报文抓取
工控网络入侵实时监视系统的报文抓取功能要求包括但不限于：
a) 应实时获取工控网络中所有底层原始报文；
b) 应支持为后续处理和分析提供基础数据；
c) 应支持覆盖工控网络中所有通信设备的通信报文；
d) 应完整抓取数据，不遗漏关键数据；
e) 应支持根据实时网络情况调整抓取频率和抓取策略；
f) 应支持分布式架构设计，跨多节点进行数据抓取；
g) 应支持分布式网络协议3（DNP3，Distributed Network Protocol 3）。
6.2.2 报文处理
工控网络入侵实时监视系统的报文处理功能要求包括但不限于：
a) 应支持解析原始报文；
b) 应支持解析多种协议格式报文数据；
c) 应支持错误校验和冗余去除，减少数据重复存储或信息混淆；
d) 应支持低延时处理，单报文处理时间应低于5 ms；
e) 应具备缓存与批处理机制，提高整体数据处理速度；
f) 应具备自动恢复能力，在报文丢失情况下能自动重新抓取；
g) 应具备从报文中准确提取目标信息（如源/目的MAC 地址、IP 地址等）。
6.2.3 白名单对比
工控网络入侵实时监视系统的白名单对比功能要求包括但不限于：
a) 应支持设备信息比对；
b) 应确保每条报文解析完成后在2 ms 内完成白名单验证；
T/UNP 367—2024
4
c) 应将对比结果反馈为“合法”或“非法”；
d) 应支持动态更新白名单；
e) 应允许管理员添加、删除或修改白名单条目；
f) 应提供对比算法，减少误判和漏判；
g) 应具备识别非法设备并触发相应预警机制。
报警与通知
工控网络入侵实时监视系统的报警与通知功能要求包括但不限于：
a) 应具备多级报警机制，针对不同严重级别的事件触发相应的报警措施；
b) 应支持多种报警方式，如声音警报、短信通知、邮件通知等；
c) 应支持报警日志记录，详细记录报警事件、时间、涉及的设备和异常类型；
d) 应具备集中报警控制台，提供全网报警信息的统一管理；
e) 应支持报警信息的可视化展示，并与图形绘制模块联动，直观显示报警设备和区域。
数据分析与可视化
6.4.1 通讯计算
工控网络入侵实时监视系统的通讯计算功能要求包括但不限于：
a) 应支持计算各设备广播报文速率；
b) 应支持实时计算设备在每小时内的广播报文数量并准确转换为速率值；
c) 应根据网络负载自动调整计算参数；
d) 应支持直接供图形绘制模块使用的速率数据输出。
6.4.2 图形绘制
工控网络入侵实时监视系统的图形绘制功能要求包括但不限于：
a) 应支持在界面上分别绘制代表合法设备和非法设备图标；
b) 应支持将这些图标正确放置在安全区和非安全区内；
c) 应支持为不同类型的合法设备和非法设备设计不同图标；
d) 应支持在图标旁标注设备名称；
e) 应支持根据各设备广播报文速率设定并控制对应图标旋转速度；
f) 应支持用户在界面上手动调整图标位置。
6.4.3 连线绘制
工控网络入侵实时监视系统的连线绘制功能要求包括但不限于：
a) 应支持根据设备之间的实际通讯情况动态绘制设备间连线；
b) 应支持通过不同颜色区分不同设备之间的通讯；
c) 应具备在通讯数据更新时及时擦除旧连线；
d) 应支持根据最新数据重新绘制连线。
实时监控
工控网络入侵实时监视系统的实时监控功能要求包括但不限于：
a) 应提供对整个工控网络运行状态的实时监视，涵盖设备状态、网络流量和报文传输等关键指标；
b) 应支持异常行为分析，实时识别安全威胁或运行问题；
c) 应通过多种方式展示实时监控数据，包括图表、仪表盘和警报列表等；
d) 应支持自定义监控规则和告警阈值，管理员可根据实际需求灵活调整；
e) 应支持多层级的监控展示，包括全局网络概况和单设备运行状态；
f) 应支持监控数据存储，允许管理员对历史监控数据进行回溯和深度分析。
7 性能要求
处理速度
T/UNP 367—2024
5
工控网络入侵实时监视系统的数据处理速度符合以下要求：
a) 应能处理不低于10000 条/s 的底层原始报文；
b) 处理报文并将结果传递到下一模块时，延迟不应超过10 ms。
系统响应时间
工控网络入侵实时监视系统的系统响应时间符合以下要求：
a) 应在检测到异常通讯或入侵情况后的5 ms 内响应；
b) 图形绘制模块在检测到异常后，界面刷新速度不应超过3 ms。
可靠性与稳定性
工控网络入侵实时监视系统的可靠性与稳定性符合以下要求：
a) 应能24 h 不间断运行；
b) 应能连续运行不低于1000 h；
c) 崩溃率应低于0.1%；
d) 发生故障时，应在10 min 内恢复正常监控功能。
扩展性
工控网络入侵实时监视系统的扩展性符合以下要求：
a) 白名单对比模块应能处理不低于10000 个设备的MAC 地址和IP 地址信息；
b) 在添加新设备时，查询和对比速度应在20 ms 内；
c) 应能支持至少1000 台设备同时监控；
d) 应预留至少20%的处理能力和存储空间，用于功能扩展和设备添加。
8 安全要求
基本要求
工控网络入侵实时监视系统安全的基本要求符合以下要求：
a) 应具备非法设备或异常通讯报警装置；
b) 应具备多种报警方式，如声音警报、短信或邮件通知等；
c) 发现非法设备或疑似病毒传播时，应具备自动隔离功能；
d) 应定期更新安全策略和防护规则。
数据安全
工控网络入侵实时监视系统的数据安全符合以下要求：
a) 应符合GB/T 32914—2023 中6.6 的规定；
b) 应对所有抓取、传输和存储的报文数据加密处理；
c) 应采用哈希算法对报文数据进行完整性验证；
d) 应在检测到数据完整性受到威胁时立即发出警报并记录相关事件。
访问控制
工控网络入侵实时监视系统的访问控制符合以下要求：
a) 系统管理员应能定义和分配用户角色；
b) 管理员应具有最高权限管理，应符合GB/T 38561—2020 中第7 章的规定；
c) 应支持双重认证，增强系统安全性；
d) 应记录所有用户的登录历史和操作记录；
e) 应实现基于角色的访问控制，不同权限级别的用户只能访问与其角色相关的功能和数据。
9 运行维护
故障处理
T/UNP 367—2024
6
工控网络入侵实时监视系统的故障处理符合以下要求：
a) 应具备实时故障检测功能，及时发现并定位硬件或软件故障；
b) 应能自动诊断问题的根本原因，如网络连接故障、存储设备故障或软件崩溃等；
c) 应能提供详细的诊断报告；
d) 应采用冗余设计；
e) 关键组件如电源、存储、网络连接等都应有备份；
f) 应具备容错能力，能在发生部分故障时维持核心功能的正常运行。
日志记录
工控网络入侵实时监视系统的日志记录符合以下要求：
a) 应详细记录设备连接、报警触发和非法访问尝试等关键事件；
b) 应包括事件发生的时间、地点、涉及的设备或用户信息等；
c) 应至少保留12 个月，定期进行备份；
d) 应支持日志导出和打印；
e) 应提供日志审计工具，符合GB/T 20986—2023 中第5 章的规定，进行网络安全分类、日志查
询和分析。
更新与升级
工控网络入侵实时监视系统的更新与升级符合以下要求：
a) 应支持在线更新与升级；
b) 应允许管理员通过网络获取最新的安全补丁、功能增强和性能优化；
c) 更新过程中应确保系统的正常运行，不应更新操作导致服务中断；
d) 应自动进行兼容性检测，新版本的软件或补丁应与现有系统兼容；
e) 更新完成后，应自动进行全面的功能测试；
f) 应提供版本控制功能，记录所有更新和升级操作的版本信息。