工业互联网安全防护技术 课件 项目一 工业互联网安全基础建设

项目一工业互联网安全基础建设

学习目标了解掌握熟悉熟悉了解工业互联网安全体系12熟悉常见工业控制系统熟悉常见的工业互联网安全产品34掌握工业互联网安全问题的应对策略目录页1.1认识工业互联网安全体系1.2认识工业控制系统1.3认识工业互联网安全问题1.1认识工业互联网安全体系【任务目标】1.了解工业互联网架构。2.了解工业互联网安全体系组成。3.熟悉工业互联网安全体系标准。4.能够掌握制订工业互联网安全体系建设方案的步骤。1.1认识工业互联网安全体系【知识图谱】1.1认识工业互联网安全体系【基础知识】一、工业互联网概述工业互联网是随着新一代信息技术与制造业深度融发展而产生的，它通过将机器、设备、人员和产品等通过网络连接起来，实现智能化生产和管理。工业互联网平台可以分四层，包括边缘层、工业IaaS层、工业PaaS层、工业SaaS层，如图1-2所示。图1-2

工业互联网平台四层架构1.1认识工业互联网安全体系【基础知识】二、工业互联网安全体系组成工业互联网安全体系由设备安全、网络安全、控制安全、应用安全和数据安全五个部分组成，如图1-3所示。图1-3

工业互联网安全体系组成1.1认识工业互联网安全体系【基础知识】三、工业互联网安全体系的作用工业控制系统中存在非常多的安全威胁，如图1-4所示。因此，工业互联网安全体系对于确保工业互联网的稳定、可靠和安全运行起着至关重要的作用，主要体现在以下几个方面：图1-4

工业控制系统中的网络安全威胁1.1认识工业互联网安全体系【基础知识】四、工业互联网安全国家标准工业互联网相关现行国家标准主要包括：GB/T41870-2022工业互联网平台

企业应用水平与绩效评价GB/T42021-2022工业互联网

总体网络架构20214470-T-339工业互联网企业网络安全

第1部分：应用工业互联网的工业企业防护要求20214468-T-339工业互联网企业网络安全

第2部分：平台企业防护要求20214466-T-339工业互联网企业网络安全

第3部分：标识解析企业防护要求20214469-T-339工业互联网企业网络安全

第4部分：数据防护要求1.1认识工业互联网安全体系【基础知识】四、工业互联网安全国家标准《工业互联网安全标准体系（2021年）》中给出了完整的工业互联网安全标准体系，如图1-5所示。图1-5

工业互联网安全标准总体框架1.1认识工业互联网安全体系【操作实践】一、安全现状调研结合等保及ISO27001的相关要求，在信息安全体系建设的实务中，安全现状调研是建设方案的第一步，如图1-6所示，具体内容可包含以下五个方面：（1）现场访谈（2）问卷调研（3）技术调查（4）差距分析（5）安全现状现研报告图1-6

安全现状调研1.1认识工业互联网安全体系【操作实践】二、安全架构设计根据安全任务紧迫性、可实施性、预期效果的高低和实施程度的难易，定义出安全建设任务优先级和安全管理体系实施路线图。如图1-7所示，具体内容可包含以下五个方面：（1）安全需求分析（2）安全战略目标（3）安全架构设计（4）安全管理总纲（5）架构设计报告图1-7

安全建设任务优先级和安全管理体系实施路线图1.1认识工业互联网安全体系【操作实践】三、安全体系建设工业互联网安全体系应建立决策、管理、执行及监督四级网络安全组织，如图1-8所示，具体内容可包含以下五个方面：（1）安全策略体系（2）安全绩效体系（3）安全培训体系（4）体系运行计划（5）检查评审整改图1-8

安全体系建设路径1.1认识工业互联网安全体系【操作实践】四、工业互联网安全体系示例基于“网络行为学”的方法论指导，结合工控安全漏洞挖掘、威胁对抗的实战经验，提供安全研究、安全产品、安全运营和安全服务的“四位一体”的全方位安全能力，帮助工业控制相关行业建立内生安全、动态安全、态势感知和协同防御能力，如图1-9所示。图1-9

工业互联网安全体系示例1.2认识工业控制系统【任务目标】1.了解工业控制系统基本概念和基本组成。2.掌握PLC、DCS、SCADA、数控系统等常见工业控制系统的基本原理和技术特点。3.熟悉常用工业控制网络协议。4.掌握PLC工业控制系统攻击与防护流程。1.2认识工业控制系统【知识图谱】1.2认识工业控制系统【基础知识】一、工业控制系统结构工业控制系统（ICS）这一术语泛指一系列用于工业过程控制的各类控制系统及其配套的仪器设备。工业控制系统的主要功能是将操作站发出的控制指令和数据（如打开或关闭一个阀门）推送到控制现场执行机构，同时采集控制现场的状态信息反馈给操作站，并通过数字、图形等形式展现给操作人员。简单地说，工业控制是利用电子电器、机械元件、控制设备、计算机系统等实现对工业设备的自动控制，其分层结构如图1-11所示。1.2认识工业控制系统图1-11

工业控制系统结构1.2认识工业控制系统【基础知识】二、工业控制系统的组成常见的工业控制系统主要包含现场设备、现场控制器和人机界面，如图1-12所示。图1-12

工业控制系统组成1.2认识工业控制系统【基础知识】三、常见的工业控制系统（一）可编程控制器（PLC）系统PLC控制系统是一种为工业控制设计的数字运算操作系统。用于实现工业设备的具体操作与工艺控制，现场测控功能强。通常也作为SCADA或DCS的组成部分，实现一些小范围的系统控制流程。PLC结构如图1-13所示。①中央处理单元②存储器③输入/输出模块④电源⑤外部设备

图1-13

PLC硬件系统结构1.2认识工业控制系统【基础知识】三、常见的工业控制系统（二）分散控制系统（DCS）分散控制系统DCS(DistributedControlSystem)通过操作站对整个工艺过程进行集中监视、操作、管理，如图1-15所示。操作站用于对工艺过程的集中监视、操作和管理；现场控制站通过与现场的仪表连接，实现对现场仪表的控制功能；工程站用于组态和维护；控制网络用于连接系统内各部件的实时控制网。DCS控制系统具有控制功能多样化、操作简便、便于扩展、维护方便、可靠性高等特点。图1-15

DCS控制系统1.2认识工业控制系统【基础知识】三、常见的工业控制系统（三）数据采集与监视控制系统（SCADA）数据采集与监视控制系统SCADA(SupervisoryControlAndDataAcquisition)，包括组态软件、数据传输链路等，结构如图1-16所示。生产过程控制与调度自动化以计算机为基础，能实时对现场运行设备进行监视和控制。常应用于电力、冶金、石油、化工、燃气、铁路等领域。SCADA系统由硬件、软件和通信三个部分组成。其特点是能实现数据采集、实时监控、数据分析、远程控制等多种功能，安全可靠、可扩展性强、人机界面友好。图1-16典型SCADA系统拓扑结构1.2认识工业控制系统【基础知识】三、常见的工业控制系统（四）计算机数控系统（CNC）用于控制自动化加工设备的专用计算机系统称为计算机数控（ComputerizedNumericalControl，简称CNC）系统。它以计算机存储器中存储的控制程序为基地，能够实现数值控制功能，主要包括计算机数控装置、接口电路和伺服驱动装置等，如图1-17所示。图1-17

计算机数控系统结构1.2认识工业控制系统【基础知识】四、常用的工业控制网络协议在工业生产流程中，除了计算机及其外围设备，众多用于检测工艺参数数值与状态的变送器，以及控制生产过程的控制设备也发挥着关键作用。这些测量与控制设备的功能单元之间、设备与设备之间，以及设备与计算机之间的数据信息传递过程，依据通信协议，通过数据传输技术实现，这一过程通常被称为工业数据通信。工业数据通信所传输的数据内容主要包括生产装置运行参数的测量值、控制量、阀门的工作位置、开关状态、报警状态、设备的资源与维护信息、系统组态、参数修改、零点量程调校信息等。如图1-19所示。图1-19工业控制网络协议1.2认识工业控制系统【操作实践】本实践任务利用AD-IISBOX实验箱和攻击平台，通过防火墙安全配置，测试PLC工业控制系统中攻击与防护过程。一、配置防火墙（一）网络接口配置设置工业控制防火墙的网络接口，如图1-20所示。图1-20

网络接口配置1.2认识工业控制系统【操作实践】一、配置防火墙（二）添加对象地址添加PLC和HMI的IP地址，如图1-21所示。图1-21

添加对象地址1.2认识工业控制系统【操作实践】一、配置防火墙（三）添加安全策略添加防火墙安全策略，

如图1-22所示。图1-22添加安全策略1.2认识工业控制系统【操作实践】一、配置防火墙（四）拒绝其他所有访问除配置的安全策略外，拒绝其他所有访问，如图1-23所示。图1-23拒绝其他所有访问1.2认识工业控制系统【操作实践】二、攻击与防护过程（一）打开攻击平台将上述防火墙配置到允许所有访问，之后打开攻击平台，点击中间人，查看决策表，点击攻击，如图1-24所示。图1-24

打开攻击平台进行攻击1.2认识工业控制系统【操作实践】二、攻击与防护过程（二）HMI不发出报警攻击后HMI界面上数据发生异常，让离心机快到14Hz，或者慢到2Hz，HMI不发出报警。停止攻击后，离心机快到14Hz，或者慢到2Hz时，HMI发出报警。如图1-25所示。图1-25HMI报警设置1.3认识工业互联网安全问题【任务目标】1.了解工业互联网安全存在的问题。2.掌握工业互联网安全问题的应对策略。3.熟悉常见的工业互联网安全产品。1.3认识工业互联网安全问题【知识图谱】1.3认识工业互联网安全问题【基础知识】一、工业互联网存在的安全问题工业互联网安全存在的问题主要体现在六个方面：设备的安全、控制的安全、网络的安全、应用的安全、数据的安全和标识解析的安全。（一）设备的安全设备安全要存在两方面问题：智能设备自身安全防护手段薄弱、智能设备成为向平台或网络发起攻击的跳板。如图1-27所示。图1-27

设备安全问题主要原因1.3认识工业互联网安全问题【基础知识】（二）控制的安全控制安全主要体现在以下两个方面：1.控制装置本身设计缺陷导致的安全问题主要表现在控制系统本身的结构不合理、功能不完善及设计存在漏洞等方面；此外还表现为控制装置自身存在一定的故障隐患及失效的可能性；或者控制器的硬件配置较低导致无法满足实际需要等情况的出现。2.控制软件的设计缺陷导致的安全问题主要体现在控制器软件设计的质量不高或程序逻辑错误等方面；其次是由于软件设计的不合理而导致操作不当的情况也会出现并造成严重的后果；最后就是控制器软件的功能不全导致不能完成正常任务的现象也会发生并且会造成严重后果的发生等等，这些都是常见的控制系统安全的潜在威胁与危害。1.3认识工业互联网安全问题【基础知识】（三）网络的安全工业控制现场网络正在经历重大变革，内部网络趋向于无线化、组网灵活化和全局化。与此同时，外部网络中信息与控制网络、企业内网与互联网之间的融合不断加深，这些变化导致工业互联网安全问题越来越突出。工业互联协议攻击门槛的降低主要源自于多个因素，包括专有协议向以太网/IP协议的转变、现有工业以太网交换机性能的局限、工厂网络从静态向动态的演变，以及新技术如5G和SDN的引入。（四）应用的安全工业互联网平台及其应用软件的安全统称为应用安全，涵盖移动应用等多个领域。随着工业互联网的快速发展，平台安全问题日益突出，主要表现为数据泄露、篡改、丢失、权限失控以及设备接入风险等。其中，安全漏洞是工业应用软件面临的主要威胁，通常源于开发过程中编码不规范或使用存在隐患的第三方库等问题。1.3认识工业互联网安全问题【基础知识】（五）数据的安全随着工业控制网络从封闭环境逐步向开放环境转变，工业数据在不同平台间的流动日益频繁，这显著增加了数据安全的风险。数据安全问题主要体现在数据采集、传输、存储、处理、交换及销毁六个关键环节，工业数据在生命周期各环节中的安全挑战，亟需通过统一标准、加强加密技术、完善权限管理以及规范流程等措施来提升整体安全性，确保工业数据的可靠性和保密性。（六）标识解析的安全为工业互联网中的机器、设备、系统、零部件以及人员等生产元素分配唯一标识的技术体系称为标识解析体系。标识编码、解析系统、信息服务以及标识应用构成了工业互联网标识解析体系四大核心组成部分。工业互联网标识解析体系也存在数据隐私和安全方面在风险问题，具体体现为：标识解析能力的可靠性难以得到充分保障，导致标识解析架构的潜在缺陷；由于攻击手段多样化，导致了标识解析协议的脆弱性；标识数据的海量与异构性使得安全处理难度增大。这些都说明目前的工业互联网标识解析体系在安全性方面仍存在很大的不足，亟需通过优化架构设计、加强协议安全性、提升数据治理能力以及规范标识资源管理等措施来应对这些挑战，从而确保标识解析体系的安全性和可靠性。1.3认识工业互联网安全问题【基础知识】二、工业网络安全问题应对措施（一）设备安全问题应对措施面对工业互联网设备安全问题，主要从提高信息安全意识，强化身份鉴别与访问控制；关闭不必要的端口或服务，及时更新与升级；增强固件安全，及时修复安全漏洞；建立防火墙规则，防止被恶意利用；完善设备安全策略，提高防御能力等方面进行改进。（二）控制安全问题应对措施对于工业互联网控制安全防护，主要从控制协议安全、控制软件安全及控制功能安全三个方面考虑，可采用的安全机制包括协议安全加固、软件安全加固、恶意软件防护、补丁升级、漏洞修复、安全监测审计等。1.3认识工业互联网安全问题【基础知识】二、工业网络安全问题应对措施（三）网络安全问题应对措施针对网络安全问题主要有以下几点应对措施：1.优化网络架构设计。2.实施安全域划分与纵深防御。3.推行网络可信接入机制。4.强化通信内容保护。5.加强通信设备安全管理。6.开展网络安全监测与审计。1.3认识工业互联网安全问题【基础知识】二、工业网络安全问题应对措施（四）应用安全问题的应对措施应用安全问题应对措施包含了工业互联网平台安全和工业应用软件安全两个方面的防护，具体体现在以下几个方面：1.安全隔离。2.可信计算。3.漏洞检测及修复。4.通用PaaS资源调度安全。5.固件和操作系统安全增强。6.虚拟化软件的安全强化。7.DDoS防御。1.3认识工业互联网安全问题【基础知识】二、工业网络安全问题应对措施（五）数据安全问题应对措施从数据安全管理组织、规范化流程设计