《工業(yè)控制系統(tǒng)安全與實踐》 習(xí)題及答案 3

一、選擇題1、下列哪種協(xié)議不屬于工業(yè)以太網(wǎng)協(xié)議？CA.ModbusTCPB.EtherNet/IPC.PROFIBUSD.EtherCAT2、以下哪個字段不屬于Modbus協(xié)議的MBAP頭？CA.事務(wù)標(biāo)識符B.單元標(biāo)識符C.功能碼D.長度3、S7Comm協(xié)議包括哪些子層？ABCDA.S7Comm應(yīng)用層B.COTP子層C.TPKT子層D.TCP層4、工業(yè)控制協(xié)議常見安全缺陷包括（）ABCDEA.缺乏身份認(rèn)證機(jī)制B.缺乏訪問控制機(jī)制C.缺乏加密機(jī)制D.缺乏完整性校驗機(jī)制E.缺乏防重放攻擊機(jī)制簡答題工業(yè)控制協(xié)議可分為哪幾種，常見的工業(yè)以太網(wǎng)協(xié)議有哪些？答：根據(jù)協(xié)議依托的網(wǎng)絡(luò)類型等特點，可以將工控協(xié)議分為現(xiàn)場總線（Fieldbus）協(xié)議、工業(yè)以太網(wǎng)（IndustrialEthernet）協(xié)議以及工業(yè)無線（IndustrialWireless）協(xié)議三種。常見的工業(yè)以太網(wǎng)協(xié)議包括：ModbusTCP、PROFINET、EtherNet/IP、EtherCAT、SERCOSIII、PowerLink、OPC-UA等。簡述S7Comm協(xié)議的一次通信過程。答：一次完整的通信過程包括：1) 建立連接階段2) 數(shù)據(jù)傳輸階段3) 關(guān)閉連接階段建立連接階段又包括三個握手階段：1) TCP握手階段2) COTP握手階段3) S7Comm握手階段簡述EtherNet/IP協(xié)議的有連接的顯式報文的通信過程。答：有連接的顯式報文使用TCP協(xié)議發(fā)送，協(xié)議開始與結(jié)束部分的TCP握手、揮手以及會話注冊、注銷過程與無連接的顯式報文過程相同，都是無連接的（此處的連接指CIP連接，非TCP連接）。有連接通信過程需要通信雙方首先建立一個CIP連接，也即協(xié)商得到一個連接標(biāo)識（CID），這個連接標(biāo)識是由源端通過使用發(fā)送請求/應(yīng)答數(shù)據(jù)（SendRRData）封裝命令發(fā)送一條服務(wù)碼為“ForwardOpen”的CIP報文得到的。在此之后，通信轉(zhuǎn)入有連接狀態(tài)，后續(xù)CIP報文數(shù)據(jù)通過發(fā)送一組數(shù)據(jù)（SendUnitData）封裝命令發(fā)送。待所有數(shù)據(jù)發(fā)送/接收完畢，需要結(jié)束本次通信時，源端首先向目的端發(fā)送一條服務(wù)碼為“ForwardClose”的CIP報文終止CIP連接，待所有數(shù)據(jù)發(fā)送/接收完畢，需要結(jié)束本次通信時，源端首先向目的端發(fā)送注銷會話（UnRegisterSession）封裝命令，然后執(zhí)行TCP四次揮手，至此整個通信過程結(jié)束。4、針對工業(yè)控制協(xié)議的防護(hù)措施都有哪些？答：（1）引入用戶身份認(rèn)證機(jī)制根據(jù)系統(tǒng)對安全性要求的高低，可通過使用數(shù)字證書、預(yù)共享密鑰、唯一物理標(biāo)識等方式為系統(tǒng)內(nèi)的合法用戶/設(shè)備引入數(shù)字身份標(biāo)識，在通信開始時首先使用認(rèn)證協(xié)議對用戶身份進(jìn)行認(rèn)證，由此禁止非法用戶對工控系統(tǒng)的訪問。（2）引入訪問控制機(jī)制在協(xié)議層面可以考慮引入基于角色的訪問控制機(jī)制，對不同用戶分別賦予不同的訪問權(quán)限，同時在分配權(quán)限時遵循最小權(quán)限原則，以在最大程度上減少誤操作或惡意內(nèi)部員工可能對系統(tǒng)造成的危害。在協(xié)議之外可以通過部署工業(yè)防火墻并使用IP白名單、工控協(xié)議深度解析加功能碼過濾等權(quán)限控制機(jī)制對非法訪問進(jìn)行阻斷。（3）對動態(tài)端口進(jìn)行動態(tài)防護(hù)，對流量進(jìn)行監(jiān)測分析對使用動態(tài)端口的工控協(xié)議，應(yīng)使用具有動態(tài)端口配置功能的工業(yè)防火墻對通信數(shù)據(jù)進(jìn)行深度解析、動態(tài)跟蹤。當(dāng)發(fā)現(xiàn)通信雙方協(xié)商出新的通信端口時，自動將新端口加入到防火墻的開放端口中，通信結(jié)束后自動將該端口從開放端口列表中移除。另外，對不適合阻斷的場景，可以部署流量監(jiān)控或入侵檢測系統(tǒng)，實時檢測異常流量并及時報警。（4）引入消息加密機(jī)制在工廠管理、車間監(jiān)控等對實時性要求不高的網(wǎng)絡(luò)中以及運算資源相對充足的現(xiàn)場設(shè)備間可采用復(fù)雜但安全性更高的加密算法對通信數(shù)據(jù)進(jìn)行加密。對實時性要求高的控制、保護(hù)等操作或運算資源有限的設(shè)備之間的通信可采用簡單但快速的輕量級加密算法對通信數(shù)據(jù)進(jìn)行加密。（5）引入消息完整性驗證機(jī)制可