1、行业特性
传统信息系统旨在利用计算机、互联网技术实现数据处理和信息共享,工业控制系统旨在利用计算机、互联网、微电子、电气技术,使工厂生产过程更加自动化、高效、准确、可控、可视化,强调工业自动化过程及相关设备的智能控制、监控和管理。
2.工业控制设备
传统信息系统是由互联网协议组成的计算机网络;工业控制系统是PLC、RTU、DCS、SCADA由工业控制设备和系统组成的多层次网络。
3.工业控制操作系统
传统信息系统通用的操作系统,如Windows、UNIX、Linux等,防护功能比较强;嵌入式操作系统广泛应用于工业控制系统,如VxWorks、uCLinux、WinCE等待,并可根据需要进行功能裁减或定制。
4、网络协议
主要使用传统信息系统TCP/IP栈(应用层协议HTTP、FTP、SMTP等等);工业控制系统通常直接使用特殊的通信协议或规定(OPC、Modbus、DNP3等),或将其视为TCP/IP使用应用层。
工业实时通信
传统信息系统要求相对较低,信息传输允许延迟,大多数系统能够容忍短期、有计划的系统维护;工业控制系统要求高,不易停止和重启。
6.工控安全事件
信息系统中不可预料的中断可能会造成任务损失,但已逐渐有较为成熟的故障响应方案;而工业控制系统中不可预料的中断会造成经济损失或环境灾难,故障的应急响应方案还很不成熟。
7.工控安全维护
信息系统采用通用系统,兼容性好,软硬件升级容易,软件系统升级频繁;工业控制系统采用专有系统,兼容性差,软硬件升级困难,系统升级一般较少。
对我国来说,工业控制系统安全面临的重要问题是自主可控的问题,我国在工业控制领域对国外设备和技术的依赖程度较高。根据中国工业信息研究网的调查统计,中国5000多个重要工业控制系统中,95%以上的工业控制系统操作系统采用外国产品;在中国的工业控制系统产品中,外国产品占据了大部分市场,如PLC国内产品市场份额不足1%,95%的逻辑控制器来自施耐德(法国)、西门子(德国)、发那科(日本)等国外品牌。
以扬州为例,自2014年1月起,对重点行业重点产业控制体系的基本情况进行了调查。据统计,该市24家企业共有1213个重点产业控制体系,主要分为化工、电力行业和城市公用事业服务领域。德国西门子公司生产的可编程控制器(PLC)分布式控制系统央控制公司生产的分布式控制系统(DCS)广泛应用于扬州工业企业,其中德国西门子公司生产的可编程控制器占企业工业控制系统总数的87%,占企业可编程控制器总数的95%以上。
工业控制系统(以下简称工业控制系统)是国家基础设施的重要组成部分,也是工业基础设施的核心,广泛应用于炼油、化工、电力、电网、水厂、交通、水利等领域,可用性和实时性要求高,系统生命周期长,是信息战的关键目标。目前,我国在工业控制系统网络安全技术研究和工业发展相关领域处于快速发展阶段,保护能力和应急处置能力相对较低,特别是国外产品的关键部分,关键系统安全受人控制,重要基础设施工业控制系统已成为外部渗透攻击的目标。
二、工业互联网安全概述
工业互联网是新一代信息技术与制造业深度融合的新兴工业生态与应用模式。通过人、机、物的泛可靠互联,连接生产要素、产业链和价值链,促进制造业生产模式和企业形式的改变。
根据工业和信息化部等十个部门联合发布的《加强工业互联网安全指导意见》,工业互联网安全应包括设备安全、网络安全、控制安全、平台安全和数据安全五个重点。
工业互联网依托平台,连接大量设备和系统,是工业数据收集、工业控制和分析的载体,是连接工业企业、设备供应商、服务提供商、开发商和上下游合作企业的枢纽。安全防线不能丢失。一旦受到网络攻击,不仅会损害单个企业的利益,还会延伸到整个产业系统、产业链和价值链,造成大规模物理设备损坏、生产停滞,影响经济社会的稳定运行;此外,工业生产、设计、工艺、管理等敏感信息保护不当会损害企业的核心利益和行业发展,重要的工业数据泄露也会损害国家利益。
近两年来,我国工业互联网的发展从概念推广和技术验证进入了大规模推广阶段,重点产业的应用实践和创新探索不断深化,5G、人工智能等新技术也加速融入并不断拓宽工业互联网的内涵与赋能潜力。随着工业互联网的深入发展,工业界迫切需要一套具有实践参考意义的方法来指导其技术创新、应用推广和生态建设。为此,在工业和信息化部的指导下,工业互联网产业联盟在2016年发布的工业互联网系统架构(版本1)三年后与广大成员单位合作.在0的基础上,研究制定了工业互联网系统架构(版本2).(以下简称架构2).0”)。
架构2.2019年10月联盟发布后,被业界广泛采用和应用,有效促进了工业互联网的产业实践和创新发展。在进一步总结实践经验的基础上,工业互联网产业联盟现正式发布结构2.0。
工业互联网安全实施框架2.0是指工业互联网安全功能在设备、边缘、企业、行业层层进步,包括边缘安全防护系统、企业安全防护系统、企业安全综合管理平台、省/行业安全平台和国家安全平台。
架构2.0在继承版本1.工业互联网的参考架构从业务、功能、实施三个角度重新定义,具有以下三个特点:
一是构建从业务需求到功能定义再到实施架构的完整体系
其核心是引导企业明确数字化转型的业务目标和业务需求,从工业互联网在促进产业发展中的作用和路径出发,然后确定其核心功能和实施框架。
二是突出数据智能优化闭环的核心驱动作用
进一步明确了工业互联网在实现物理空间与数字空间虚实交互与分析优化中的核心作用,定义了其功能层级与关键要素,以此指导企业在设备、产线、企业、产业等不同层级、不同领域构建精准决策与智能优化能力,推动产业智能化发展;
三是指导行业应用实践和系统建设
在充分考虑企业现有基础和转型需求的基础上,结合国内外企业的大量实践经验,提出网络、标识、平台和安全的实施和部署方法,指导企业建设工业互联网关键系统和技术选择。
当前架构2.0在工业互联网应用探索中发挥了重要的主导作用,为政府、企业、科研机构、投资者提供了指导和参考。一方面,一批工业互联网企业已经基于架构2.以工业互联网为核心自身的技术、产品和服务能力,构建以工业互联网为核心的业务体系。另一方面,石化、钢铁、船舶等行业结合结构2.0.成功推进行业应用和系统建设,探索行业特色转型路径,引领行业整体高质量发展。同时,产业创新生态在架构2中.在0的指导下成长,5G、大数据、人工智能、区块链、边缘计算等技术创新活跃,不断出现综合产品和解决方案,有效支持新兴产业和服务体系的建设。
下一步,工业互联网产业联盟将继续深化和完善结构2.0内涵,与重点产业共同开展产业结构设计、应用推广和产业生态培育,探索各产业产业互联网发展模式和路径的形成,进一步促进我国产业互联网的创新发展。此外,该联盟还将促进结构2.与国际主流结构的对接互认,不断扩大国际影响力。
根据工业互联网安全保护的总体要求,由于保护对象不同,工业互联网可以从工业互联网设备、控制系统、网络基础设施、工业互联网应用、工业互联网数据五个层面开展安全保护工作,包括工业互联网安全保护范围的对象。具体内容包括:
-
设备安全:指负责工业现场设备、智能设备、智能设备、工业互联网平台数据网关等设备的安全。
-
安全控制:指工业互联网业务中各种控制系统的安全。
-
网络安全:指工厂内有线和无线网络的安全、工厂外与用户、合作企业的公共网络(包括识别分析系统)的安全、网络边界的安全。
-
应用安全:指支持工业互联网业务运行的各种信息系统、工业互联网平台业务和应用程序的安全。
-
数据安全:指工厂内重要的生产管理数据、生产经营数据和工厂外部数据(如用户数据)的安全。
首先,工控网络安全是关键基础设施和关键部分。关键基础设施包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。随着互联网,能源、交通、水利等行业都有工业控制系统 工业控制体系和传统政策的发布,如中国制造2025IT网络与互联网的互联互通势不可挡,尤其是网络安全问题。
工业控制网络包含各种工艺场景。目前,流行的智能制造、智能工厂、智能城市、智能水利、智能电厂等新技术属于工业控制网络安全的范畴。新技术、新网络和新方向将推动这些行业的发展,但网络、信息和数据的安全已成为新的研究方向。
其次,工业控制网络安全涉及到生活的每个角落。随着物联网的到来,各行各业的数据将被收集、处理和总结。一旦发生网络安全事件,它将影响整个身体。有黑客或渗透经验的人会知道,暴露的网络安全事件只是冰山一角。当网络安全事件被曝光时,内部数据已被偷窥。
最后,工控网络安全是多学科、多技术、多领域的交叉门类。工业控制行业的基础专业是自动化专业,自动化专业是多学科交叉专业,涉及计算机、电气电子、仪器、通信和信息。工业控制网络涉及能源、交通、水利等多个行业。多种技术包括控制技术、工艺技术、信息技术、网络技术、通信技术、存储技术等。
中国已将关键基础设施的信息网络安全纳入《中华人民共和国网络安全法》。
第二十一条国家实施网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
其中第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
三、工控网络安全概述
“工控”即“工业控制”,工业控制系统(ICS,Industrial Control System)是一类用于工业生产的控制系统的统称,它包含PLC控制系统(PLC,Programmable Logic Controller)、分布式控制系统(DCS,Distributed Control System)、监视控制与数据采集(SCADA,Supervised Control And Data Acquisition)系统等。PLC控制系统是单用PLC互相连接构成的控制系统,PLC与PLC之间采用松散的连接方式,难以做出协调的高精度控制,主要应用于小型生产过程,如灌装流水线、邮件分发流水线等。分布式控制系统(DCS)也被称为集散控制系统,用于大规模的连续过程控制,适用于测控点数多、精度高且反应速度快的工业现场,如发电、炼油厂、污水处理、化工等。数据采集与监视控制系统(SCADA),国内也称之为组态监控软件,主要实现广域环境的生产过程和事物管理,其大部分具体控制工作还需要依赖现场环境的控制设备,主要应用于电力系统、输油管道和轨道交通等。
工业控制系统可简单划分为过程控制网络和现场控制网络两部分。过程控制网络中部署多种关键工业控制组件,通过SCADA服务器(MTU)与远程终端单元(RTU)组成远程传输链路。
过程控制网络向下与现场控制网络相连接。现场总线的控制和采集设备(PLC或RTU)一方面将现场设备状态传送到过程控制网络,另一方面还可以自行处理一些简单的逻辑程序,完成现场控制网络的大部分控制逻辑功能,如控制流量和温度、读取传感器数据等。
过程控制网络向上与企业信息网络相连接。在企业信息网络中,企业资源计划(ERP)服务器和制造执行系统(MES)服务器与工业控制系统紧密相连。
在企业信息网络中,邮件、Web、ERP等业务都需要与互联网相连接,而MES需要与工业控制系统相连接,以获得生产过程的各种数据,并下达生产任务。各种病毒和木马就是利用这个通道进入企业信息系统,进而进入到工业控制系统中,这已经成为工业控制系统的主要安全威胁来源。随着信息技术的快速发展,工业控制系统中的无线连接、移动存储介质(U盘)、远程维护和升级等新兴技术和应用的广泛使用,为工业控制系统引入了更多的安全风险。
工控网络安全是一个多学科、多技术、多领域的交叉内容。当作为初学者想开始学习,逐渐学习及深入学习时,工控网络安全是一个深深的陷阱。里面包含的内容实在是太多了,这里仅仅展示工控网络安全的冰山一角,还希望大家一起学习,一起交流,一起探讨,一起进步。
首先,作为安全从业者必须要掌握的基本技能:编程语言。
建议从汇编、C/C++到Python的学习路线。
其次,要学习《计算机网络原理》,掌握基本的网络通信技术。
自动化方面,要学习《可编程逻辑控制器(PLC)》,掌握基础的自动化设备原理。
最后体系化的学习,是在前三个基础之上,对于工控网络安全的基础内容的学习。推荐的学习路线为-自动化软件-协议解析-固件分析-漏洞挖掘。
自动化软件:自动化软件分为编程软件、组态软件(SCADA软件)、实时数据库等自动化方面的软件。可按照行业、厂家进行分类,深入了解后,在进行跨厂家,跨行业的进行深度学习。
协议解析:协议解析分为基础协议和私有协议两大类。协议又可分为控制协议和通信协议两个层面。通常所要将的协议包含控制内容及通信两部分。协议分析还可以按照链路层协议和应用层协议进行学习。应用层的协议较为通用性强一些。
固件分析:与传统的固件分析较为相似,但工业控制系统广泛使用嵌入式操作系统,所以协议内容更多的倾向嵌入式操作系统的固件进行分析。
漏洞挖掘:最为高阶的学习内容,通过前面学习的基础基本就可进入此阶段了,综合利用上述内容对工业控制系统中的设备,软件,网络等内容进行渗透测试。