第一章-理论知识

工业控制系统及其安全ICSSecurity&Protection工业控制系统概述工业控制系统安全概述0102工业控制系统安全标准全球重大工业控制系统安全事件0405目录CONTENT工业控制系统安全体系架构0301工业控制系统概述ICSSecurity&ProtectionSCADA系统SCADA全称是SupervisoryControlAndDataAcquisition，即数据采集与监视控制系统，简单来说就是管理监控系统对控制部分（比如PLC，RTU）的数据采集与监控管理。SCADA主要应用于电力、石油、化工、燃气等领域的数据采集与监视控制以及过程控制等领域。工业控制系统组成-SCADA系统01SCADA组成工业控制系统组成-SCADA系统SCADA系统一般由下位机、上位机和通信网络组成。上位机一般由电脑和服务器组成，通常具有友好的人机界面，其主要作用是从下位机获取数据，进行远程监视和控制，报警等等。典型的上位机有HMI、计算机主机等。下位机一般是连接和控制现场设备，其主要作用是对输入设备（比如DI、AI）进行数据采集，对输出设备（比如DO、AO）进行控制。典型的下位机包括RTU、PLC、智能仪表等。通信网络实现上位机、下位机之间数据通讯与交互。典型的工业通信协议有Modbus，Profinet等。工业控制系统组成-SCADA系统SCADA系统，主要有集中式、分布式和网络式三种架构。集中式SCADA系统，是最早期的SCADA系统，所有监控依赖一台主机，使用的通信协议由RTU设备供应商开发并提供，协议简单且非常局限，不具开放性，系统维护困难。集中式SCADA系统工业控制系统组成-SCADA系统分布式SCADA系统利用了局域网技术，将SCADA系统功能分散到多台计算机和工作站上。在分布式SCADA系统中，每个站点通常只需要处理特定的工作，比如，操作站为用户提供操作界面；比如，分布式站为RTU等现场设备提供通信服务；再比如，服务器站为系统提供数据计算或数据库服务。这种分布式的结构与单个处理器相比，数据处理能力更强，效率更高，而且还可以提高整个系统的可靠性。分布式SCADA系统工业控制系统组成-SCADA系统网络式SCADA系统主要使用广域网协议（WAN）来实现SCADA功能的分发，具备统一开放的系统架构，可以很容易地跟自动化信息化系统集成。网络式SCADA系统主要有C/S模式（客户端/服务器）和B/S模式（浏览器/服务器）。在C/S模式下客户机需要安装客户端软件，通过“请求-响应”的方式进行通信。B/S模式是对C/S模式的一种改进，它将服务端的功能转移到Web服务器上，客户端通过浏览器就能访问，避免了客户端软件的安装。网络式SCADA系统工业控制系统组成-SCADA系统SCADA系统广泛应用于电力、轨道交通、能源等传统领域。在电力系统中，SCADA系统对关键设备进行实时监控和控制。调度人员可以通过SCADA掌握电网实时状态，能及时处理隐患，确保电网安全高效运行。在轨道交通领域，SCADA系统用于交通信号灯控制等方面。通过实时监控和数据分析，可优化信号配时，提高通行能力，减少拥堵和事故。除了电力和交通领域，SCADA系统还广泛应用于石油、天然气等能源行业。在石油天然气管道行业，SCADA系统采集、分析运行数据，监测相关参数，及时发现异常并报警，提高管道的安全性和运行效率。此外，SCADA系统在工业制造、公共管理（供水、供电、供气、城市照明等）等领域中也发挥着重要的作用。SCADA系统应用02DCS系统DCS全称DistributedControlSystem，即分布式控制系统，在国内又称为集散控制系统。DCS是在集中式控制系统的基础上发展而来，是一种多个控制器互相协调工作，实现系统自动化控制的技术方案，其思想是分散控制、集中操作、分级管理、配置灵活以及组态方便。DCS主要用于监控和控制大型工业过程，如化工、制药、食品、电力等行业。工业控制系统组成-DCS系统DCS组成DCS系统主要由硬件、软件以及一些辅助系统组成。硬件部分一般由工程师站、操作员站、现场控制站、系统网络组成。软件部分主要包括组态软件、操作软件、数据库软件、通信软件、监控和安全软件。DCS辅助系统主要用于提供一些辅助功能，包括电源系统、网络系统、接地系统等。工业控制系统组成-DCS系统DCS特点‌高可靠性‌：‌DCS采用容错设计，将控制功能分散在各台计算机上，当某一台计算机出现故障时，不会导致系统其他功能的丧失。此外还对核心组件以及电源和通信线路等进行冗余保护，确保生产过程不会因某台设备故障而中断。开放性：DCS采用开放式、标准化、模块化的设计理念，通过网络连接各计算机，可以方便地增加或移除计算机而不影响系统正常运行。‌灵活性‌：通过组态软件根据不同的需求进行软硬件组态，能方便地构建控制系统。易维护性：功能单一的计算机具有维护方便简单的特点，如果出现故障可以方便地从系统里移除，这也是开放性的一种体现。协调性‌：各工作站利用通信网络传输数据，共享和协调整个系统的信息。控制功能全‌：控制算法丰富，集连续控制、顺序控制和批处理控制于一体，可实现串级、前馈、解耦、自适应和预测控制等控制方式。工业控制系统组成-DCS系统DCS应用‌DCS在自动化系统以及远程监控领域应用广泛，比如冶金、电力、化工、汽车制造、交通监控、环境监测等等。通过DCS，可以实现对生产过程各种设备状态的监控，以及参数的调整，提高了系统的稳定性，保证了生产过程的高效性和安全性。工业控制系统组成-DCS系统03PLC系统PLC全称是ProgrammableLogicController，即可编程逻辑控制器，是一种具有微处理器的用于自动化控制的数字运算控制器。它采用可编程的存储器，用于存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。PLC具有可靠性高、抗干扰能力强、编程简单、易于维护等特点。它广泛应用于制造业、自动化生产线、电力、交通等领域，以实现对生产过程的自动化控制。工业控制系统组成-PLCPLC组成‌电源‌：将交流电转换为直流电，给PLC内部供电。中央处理单元（CPU）‌：PLC的控制中枢，也是PLC的核心部件，其作用是负责处理和运行用户程序，进行逻辑和数学运算。‌存储器‌：存放系统程序、用户程序、逻辑变量等信息。其中系统程序存储在只读存储器ROM中，用户不能访问。输入单元：PLC与被控设备相连的输入接口，其作用是接收主令元件、检测元件传来的信号。输出单元：PLC与被控设备相连的输出接口，其作用是把PLC的输出信号传送给被控设备。工业控制系统组成-PLCPLC分类‌PLC按组成结构分，基本可以分为两大类：整体式和模块式。‌整体式PLC‌，是将电源、CPU、输入/输出接口等部件集中在一个机箱内，结构紧凑，适用于小型PLC。‌模块式PLC‌，是将PLC各个部分分别做成独立的模块，比如CPU模块、I/O模块、电源模块等，适用于大、中型PLC，便于拆卸，扩展和替换。PLC按控制规模分，可以分成微型机，小型机，中型机，大型机和巨型机。I/O点数在64点以下为微型机，I/O点数在65-128点为小型机，I/O点数在129-512点为中型机，I/O点数在513-896点为大型机，超过896点的为巨型机。工业控制系统组成-PLCPLC工作方式‌PLC通常采用循环扫描工作方式，工作过程一般分为输入采样、用户程序执行和输出刷新三个阶段。用户将程序写入PLC存储器，并连接好输入输出信号。在输入采样阶段，PLC会读取所有输入状态和数据，并将它们保存在I/O映象区中的相应的输入单元内。在用户程序执行阶段，PLC会读取用户的程序和I/O映象区中输入单元的值，并执行用户程序，将运算结果存在I/O映象区中相应的输出单元内。在输出刷新阶段，PLC会把I/O映象区中相应的输出单元的状态和数据输出到锁存电路，再经输出电路驱动被控制设备。工业控制系统组成-PLCPLC应用PLC在工业自动化、能源、交通、楼宇自动化、汽车制造、电力、化工等领域都有着广泛的应用。在工业自动化领域，它可精准控制制造业的各类生产设备，提升生产效率和产品质量。能源行业中，用于电力、石油天然气及新能源领域，保障能源生产和输送安全稳定。在交通领域，涵盖轨道交通和公路交通的信号、设备控制。在建筑领域，实现楼宇自动化及消防系统控制。此外，PLC在水处理、农业等领域也大显身手，提高了资源利用效率。PLC为各行业的智能化、自动化发展提供有力支持。工业控制系统组成-PLC04RTU系统RTU全称RemoteTerminalUnit，即远程终端单元，是一种针对通信距离较长或者工业现场环境恶劣而设计的具有模块化结构的计算机测控单元。其主要功能包括对现场信号进行采集，将采集到的数据进行处理和存储，通过网络将数据传输到远程调控中心的主计算机。它能够接收并按照主计算机的操作指令执行相关操作。RTU具有可靠性高、可适应恶劣环境和可独立运行等特点。广泛应用于石油天然气、电力、水利、交通等行业，实现对远程站点的监控和控制。工业控制系统组成-RTURTU组成与PLC类似，RTU的硬件结构也基本与计算机相同。其组成如下。处理器：是RTU的核心部件，负责数据的处理和控制。通常采用高性能的微处理器或微控制器，具有较高的运算速度和处理能力。存储器：包括随机存储器（RAM）和只读存储器（ROM）。RAM用于存储临时数据和程序运行时的数据，ROM则用于存储固化的程序和参数。通信接口：用于与远程监控中心或其他设备进行通信。常见的通信接口有RS-232、RS-485、以太网等。输入/输出接口：包括模拟量输入接口、数字量输入接口、模拟量输出接口和数字量输出接口。用于连接各种传感器和执行器，实现对现场信号的采集和控制。电源模块：为RTU提供稳定的电源供应。通常采用直流电源或交流电源，具有过压、过流保护等功能。工业控制系统组成-RTURTU特点通讯距离长‌：适用于需要远距离通信的场景。‌环境适应性‌：能够在恶劣的温度和湿度环境下稳定工作，工作环境温度可以达到零下40℃到85℃。‌模块化结构‌：便于扩展和维护，可以根据不同需求选择不同的模块组合。现代RTU通常以微型计算机为核心，具有多输入输出通道，能处理大量数据，有执行复杂任务的能力，其功能和性能相比早期的RTU都有显著的提升。工业控制系统组成-RTURTU应用与PLC类似，RTU在石油、水利、电力、交通等领域也有着广泛的应用。在石油和天然气行业，RTU实时采集生产参数并远程控制设备，保障设备安全高效运行。在电力行业中，RTU用于变电站等场所监测电气参数和控制开关设备。在水利领域，RTU可采集数据并控制水利设施，实现自动化调度。在交通行业，RTU能监测流量路况，控制交通设备以优化交通运行状况。在环境监测领域，RTU可以安装在监测站点采集环境参数，为环保决策提供依据，助力实现实时监测与污染治理。工业控制系统组成-RTU现场设备层由传感器、执行器和现场仪表组成，负责采集物理量并转换为信号，传输给控制系统。传感器如温度传感器、压力传感器等，能够实时监测工业生产过程中的各种参数，为控制决策提供依据。执行器如电动阀门、电机等，根据控制系统的指令对生产过程进行调节和控制，确保生产过程的稳定运行。现场设备层控制层由PLC、DCS等控制设备组成，接收信号并输出控制指令，实现对生产过程的控制。PLC和DCS等控制设备具备强大的数据处理能力和逻辑运算能力，能够快速响应生产过程中的各种变化。控制层设备通过工业网络与监控层和现场设备层进行通信，实现信息的实时传递和交互。监控层监控层由监控计算机和HMI组成，负责实时监控和数据采集，显示生产参数并接收操作指令。监控计算机安装有专业的监控软件，能够以图形化界面展示生产过程的实时数据和设备状态。HMI设备提供直观的操作界面，方便操作人员进行参数设置和设备控制，提高生产管理的便捷性。管理层工业控制系统层次体系控制层管理层是工业控制系统的最高层，主要由企业资源计划（ERP）系统、制造执行系统（MES）等管理软件组成。ERP系统是一种企业资源管理软件，它可以对企业的财务、采购、销售、生产等各个环节进行管理和控制。MES系统是一种制造执行系统，它可以对企业的生产过程进行管理和控制。工业控制系统层次体系02工业控制系统安全概述ICSSecurity&Protection工控系统是工业生产的大脑与神经中枢，调控着从原材料输入到成品输出的整个生产流程，其高效协调与精密控制对工业生产至关重要。工控系统作用工控系统受攻击或故障后果严重，一般行业会遭受巨大经济损失，涉及国计民生行业则会威胁国家经济稳定和社会安全，了解安全问题和现状对提升安全性、保障生产意义重大。安全问题影响0102工控系统重要性黑客因经济利益、政治目的或技术挑战攻击工控系统，通过系统漏洞入侵获取敏感信息、篡改数据或破坏设备，如攻击能源行业系统致供应中断，影响国家经济和社会稳定。黑客攻击动机01病毒、蠕虫、木马等恶意软件可通过网络连接、移动存储设备进入工控系统，窃取数据、破坏功能或控制设备，如Stuxnet病毒攻击伊朗核设施，威胁巨大。恶意软件入侵02安全问题-网络攻击威胁许多工控系统使用老旧操作系统，存在已知安全漏洞，因兼容性、生产连续性等原因难以更新，黑客可利用漏洞入侵获控制权，如WindowsXP在部分工控系统中仍使用，存在安全隐患。0102工控系统应用软件和常见通信协议如Modbus、DNP3等存在安全漏洞，可被攻击者利用非法访问和控制，破坏通信和控制功能，误导设备执行错误操作。老旧系统漏洞软件与协议漏洞安全问题-系统漏洞风险自然灾害、人为破坏或设备老化会导致工控系统硬件损坏，如传感器、控制器、服务器等，影响生产正常运行，且物理访问控制不足，易被未授权人员破坏或窃取信息。硬件损坏风险安全问题-物理安全风险工控系统设备和软件在生产、运输、存储等环节存在安全风险，供应商可能植入恶意软件或后门，软件开发商可能引入安全漏洞或被渗透植入恶意代码，安装到系统中带来安全隐患。设备和软件风险安全问题-物理安全风险企业管理层对工控系统安全问题重视不够，未将安全纳入战略规划和日常管理，导致安全投入不足、管理制度不完善，使工控系统面临较大安全风险。管理层重视不足01工控系统操作人员和维护人员缺乏安全意识和技能培训，违规接入设备、非法外联，使网络边界模糊，增加被攻击风险，且企业内部网络隔离措施不足，易致攻击蔓延。员工安全意识缺失02安全问题-企业和员工安全意识淡薄03工业控制系统安全体系架构ICSSecurity&Protection对关键设备进行物理防护，放置在安全机房，采用门禁系统和监控摄像头，防止未经授权的访问。机房应具备防静电、防尘、防电磁干扰等功能，确保设备在良好的环境下运行。定期对设备进行维护和检查，及时发现和修复设备故障，延长设备使用寿命。确保机房环境条件符合设备运行要求，采取防雷、防火、防水等措施，保护设备免受自然灾害和意外事故影响。机房应配备不间断电源（UPS）和备用发电机，确保在停电情况下设备能够正常运行。合理规划机房布局，确保设备之间的散热和通风，避免设备过热导致故障。设备物理防护环境安全物理安全层0102网络访问控制对网络中的设备和用户进行访问控制，采用身份认证和授权管理技术，确保网络访问的安全性。建立严格的网络访问控制策略，限制只有授权的设备和用户才能访问工业控制系统网络。采用多因素认证技术，如用户名/密码、数字证书、指纹识别等，提高身份认证的可靠性。网络隔离将工业控制系统网络与外部网络隔离，采用防火墙、网闸等设备，防止外部攻击渗透。通过网络隔离技术，限制工业控制系统与企业办公网络、互联网之间的数据交互，降低安全风险。定期对网络隔离设备进行安全检查和维护，确保其正常运行，防止因设备故障导致网络隔离失效。网络安全层操作系统安全加固对主机设备的操作系统进行加固，关闭不必要的服务和端口，安装安全补丁，提高系统安全性。定期对操作系统进行安全评估，发现潜在的安全漏洞并及时修复。采用安全配置基线对操作系统进行规范化配置，确保系统配置符合安全要求。应用程序安全确保应用程序安全可靠，进行代码审查和漏洞扫描，及时修复安全漏洞，控制应用程序的访问。对应用程序进行严格的测试和验证，确保其在工业控制系统中的稳定运行。建立应用程序的安全管理制度，对应用程序的开发、部署和维护进行全程监控。主机和设备安全层对敏感数据进行加密存储和传输，采用加密算法和密钥管理技术，防止数据泄露和篡改。在数据传输过程中，采用加密协议如SSL/TLS等，确保数据在传输过程中的保密性和完整性。对存储在数据库中的敏感数据进行加密处理，防止因数据库泄露导致数据被窃取。数据加密01定期对数据进行备份，建立数据恢复机制，确保在数据丢失或损坏时能够及时恢复。采用多种备份方式，如全备份、增量备份等，确保数据备份的完整性和可靠性。定期进行数据恢复演练，验证数据恢复机制的有效性，确保在数据丢失时能够快速恢复。数据备份与恢复02数据安全层安全策略与制度制定完善的安全策略和管理制度，明确安全责任和流程，确保其有效执行，定期进行评估和修订。安全策略应涵盖工业控制系统的所有方面，包括物理安全、网络安全、数据安全等。定期对安全策略和管理制度进行培训和宣传，提高员工的安全意识和执行力。安全培训与意识教育对用户和管理人员进行安全培训，提高安全意识和技能，定期开展安全演练，提高应对安全事件的能力。安全培训应包括网络安全、数据保护、应急响应等方面的知识和技能。通过安全演练，模拟真实的安全事件场景，提高员工的应急响应能力和协同作战能力。安全审计与监控对安全事件进行审计和监控，记录操作和访问行为，分析审计日志，及时发现和处理安全问题。建立安全审计系统，对工业控制系统中的所有操作和访问行为进行记录和分析。定期对审计日志进行审查，发现异常行为和潜在的安全威胁，及时采取措施进行处理。安全管理与审计层04工业控制系统安全标准ICSSecurity&Protection由ISA和IEC联合制定，涵盖通用管理系统、工业IT安全、工业自动化控制系统要求等，确保系统安全运行。该标准强调人员和环境的安全，以及系统的可用性、效率和生产质量。ISA/IEC62443标准为工业控制系统安全提供了全面的指导和规范，适用于全球范围内的工业控制系统。定义了工业控制系统的层次结构模型，为理解和分析系统架构及安全需求提供基础框架。该标准将工业控制系统划分为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层等五个层级。IEC62264标准有助于明确不同层级的安全需求，为工业控制系统的安全设计和实施提供参考。为实施和维护信息安全管理体系提供框架，包括风险评估、安全控制实施、监测和审查等方面。ISO27001标准适用于各种规模的组织，为信息安全管理体系的建立和运行提供了详细的指导。该标准强调风险评估和持续改进，确保信息安全管理体系的有效性和适应性。提供工业控制系统安全的框架、风险评估方法和安全控制措施建议，为系统安全建设提供指导。NISTSP800-82标准结合了工业控制系统的特点，提出了针对性的安全控制措施。该标准为工业控制系统安全提供了实用的指导和建议，有助于提高系统的安全性和可靠性。ISA/IEC62443ISO27001NISTSP800-82IEC62264国际标准GB/T36324-2018规定了工业控制系统信息安全等级划分规则和方法，为信息安全等级划分、规划、设计等提供依据。该标准提出了工业控制系统信息安全四个等级的特征，包括资产重要程度、潜在风险影响程度和信息安全威胁程度。GB/T36324-2018标准适用于工业生产企业以及相关行政管理部门，为工业控制系统的安全建设和管理提供了具体指导。GB/T40813-2021明确了工业控制系统安全防护的技术要求和测试评价方法，为安全防护建设和评估提供具体指导。该标准从技术层面规范了工业控制系统的安全防护措施，包括网络安全、数据安全、设备安全等方面。GB/T40813-2021标准为工业控制系统的安全防护建设和评估提供了详细的指导和规范。《工业控制系统信息安全防护指南》为工业企业制定工控安全防护实施方案提供指导，推动工业控制系统信息安全防护工作的开展。该指南涵盖了工业控制系统安全防护的各个方面，包括安全策略、安全技术、安全管理等。《工业控制系统信息安全防护指南》是国家网络和信息安全的重要组成部分，为工业企业的安全防护工作提供了全面的指导。国内标准05全球重大工业控制系统安全事件ICSSecurity&Protection攻击者可能先通过网络渗透等手段，利用工业控制系统通信协议或软件的漏洞，获取了钢铁厂办公生产网络的访问权限。然后，进一步渗透到控制层，针对西门子S7-300系列PLC进行攻击，可能采用了类似流氓工程师软件伪装成TIA的方式，向PLC注入恶意指令。攻击方式利用通信协议漏洞：工业控制系统常用的通信协议如S7协议存在漏洞，攻击者可以利用该漏洞注入代码到组态OB1之前，使PLC在每次扫描之前都会首先执行恶意代码，还可以通过调用相关指令随时终止合法代码的运行。攻击原理2023年俄乌冲突升级推动了大规模、有组织的黑客攻击事件，工业领域威胁格局发生重大变化，能源行业被锁定为重点攻击目标，乌克兰某钢铁厂的事件就是在这一背景下发生，乌克兰某钢铁厂使用的西门子S7-300系列PLC存在安全隐患，被攻击者利用。事件经过恶意固件篡改导致轧钢产线的温度传感器数据异常，工控系统的控制组件和整个生产线被迫停止运转。由于不是正常关闭炼钢炉，给钢厂带来了严重破坏，最终钢厂被迫停产，直接经济损失超过800万美元。造成影响乌克兰钢铁厂遭受攻击2023年，乌克兰某钢铁厂因西门子S7-300系列PLC遭恶意固件篡改，导致轧钢产线温度传感器数据异常，直接经济损失超800万美元。事件背景2023年全球工业控制系统漏洞同比增长43%，工业数字化进程中OT/IT融合安全风险加剧，在此背景下，委内瑞拉的某水处理厂SCADA系统成为了网络攻击的目标。攻击方式攻击者通过某种方式在水处理厂的SCADA系统中植入了勒索软件。攻击原理Modbus协议是工业控制系统中常用的通信协议，为了提高效率，没有考虑安全认证和加密等安全机制，存在诸多安全性问题。攻击者利用Modbus协议的缺陷，能够对SCADA系统进行操作，他们锁死了水处理厂的氯气投放阀门，以此作为要挟手段。攻击后果氯气投放阀门被锁死，对水处理厂的正常运行造成了严重影响，威胁到了当地的供水安全和居民健康。为了恢复系统正常运行，市政部门被迫支付了12枚比特币赎金。委内瑞拉水处理厂遭受攻击攻击后果攻击原理攻击者使用的勒索软件被设计为仅感染Windows设备，它在IT和OT网络中都置入了商用勒索软件，对网络中的Windows设备进行数据加密。由于IT和OT网络之间没有实现强有力的隔离，勒索软件得以在两个网络中传播，加密了IT和OT网络中的数据，导致工控上层软件无法读取低层工控设备上报的实时操作数据。不过，可编程逻辑控制器（PLC）未受到影响，因为PLC通常不运行Windows系统，攻击者无法通过该勒索软件直接控制PLC。攻击方式攻击者采用了鱼叉式网络钓鱼的攻击方式，发送附有恶意链接的邮件，目标天然气管道运营商的运维人员由于安全意识不足，点击了恶意链接，使得攻击者能够访问企业的IT网络，随后又以IT网络为跳板，渗透到OT网络。此次攻击导致天然气管道运营商的压缩设施关闭了约两天时间。虽然攻击只直接影响了一个控制设备，但由于天然气传输对管道的依赖性，一个控制设备的故障连带影响了其他相关联的压缩设施，最终导致整个管道资产的操作暂停，造成了生产力和收入的损失。此外，该事件也暴露了企业在网络安全应急响应方面的不足，如缺乏考虑网络威胁的应急响应计划等。事件背景2020年前后，工业控制系统面临的网络安全威胁日益严峻，而相关企业在网络安全防护方面存在诸多不足，如IT网络和OT网络隔离措施不到位、缺乏多因素认证系统、员工安全意识薄弱等，这些都为攻击者提供了可乘之机。美国天然气管道商遭攻击事件背景攻击原理CrowdStrike是一家总部位于美国得克萨斯州奥斯汀的网络安全技术公司，其提供的云工作负载保护、端点安全等服务在全球范围内被广泛用于管理WindowsPC和服务器的