工業(yè)控制系統(tǒng)應用與安全防護技術（微課版）課件 第1章 緒論

工業(yè)控制系統(tǒng)應用與安全防護技術第1章緒論1.1工業(yè)控制系統(tǒng)概述

當前，工業(yè)控制系統(tǒng)幾乎應用于每個工業(yè)部門和關鍵基礎設施，為智能電網、大化工、核設施和公共服務等國家關鍵基礎設施提供自動化作業(yè)支撐，保障了社會經濟活動的正常運行，是國家工業(yè)和社會現(xiàn)代化的一個重要標志。工業(yè)控制系統(tǒng)可快速適配行業(yè)和應用場景的差異，高效地完成任務管理。

1.1.1工業(yè)控制系統(tǒng)概述

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）簡稱工控系統(tǒng)，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件共同構成的業(yè)務流程管控系統(tǒng)，用于確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控。工業(yè)控制系統(tǒng)對諸如圖像、語音信號等大數(shù)據(jù)量、高速率傳輸?shù)囊螅执龠M了以太網與控制網絡的結合。嵌入式技術、多標準工業(yè)控制網絡互聯(lián)、無線技術等多種當今流行技術的融合，進一步拓展了工業(yè)控制領域的發(fā)展空間，帶來新的發(fā)展機遇。隨著計算機技術、通信技術和控制技術的發(fā)展，傳統(tǒng)的控制領域正經歷著一場前所未有的變革，開始向網絡化、智能化方向發(fā)展。

工業(yè)控制系統(tǒng)各組成部分按照功能可以劃分為三類：控制、監(jiān)視和畫面。

（1）控制?？刂乒δ艿淖饔檬强刂崎y門開關、電動機啟停等現(xiàn)場工業(yè)控制系統(tǒng)部件。控制功能既可由操作人員干預驅動被控對象，也可以由控制程序自動化驅動被控對象。

（2）監(jiān)視。監(jiān)視功能是監(jiān)視工業(yè)生產過程的當前狀態(tài)，這些狀態(tài)包括溫度、壓力、流量等工業(yè)生產要素，以數(shù)值的形式展示出來。監(jiān)視功能可以實現(xiàn)自動的報警、異常狀態(tài)記錄，并不完全需要人工的干預。

（3）畫面。畫面功能是將工業(yè)生產過程以視圖的形式傳遞給操作人員，以便根據(jù)當前的狀態(tài)做出相應的調整。畫面功能是一種依賴于具體操作人員的被動管理手段。

工控系統(tǒng)根據(jù)系統(tǒng)規(guī)模、部署方式和拓撲結構劃分的不同，又可以分為SCADA（SupervisoryControlandDataAcquisition，數(shù)據(jù)采集與監(jiān)控）、DCS（DistributedControlSystem，分布式控制系統(tǒng)）、PLC（可編程邏輯控制器）和FCS（FieldControlSystem，現(xiàn)場控制系統(tǒng)）等形式。1.1.2控制系統(tǒng)基本工作原理

控制系統(tǒng)是工控系統(tǒng)的物理部分，用于專門管理和操縱一組設備或系統(tǒng)的裝置。其中的控制過程是指受控對象及其對應的操作，例如在化工領域，表示將原料按規(guī)程進行混合使之發(fā)生反應，并最終生成產品的一系列操作。圖1-5控制系統(tǒng)的典型結構1.1.3工業(yè)控制系統(tǒng)架構

綜合各工業(yè)企業(yè)網絡現(xiàn)狀，結合ANSI/ISA-99標準可以將工業(yè)控制系統(tǒng)分為：企業(yè)資源層、生產管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層五個層次。企業(yè)管理層通過以太網連接到生產管理層，并可以通過網關接入Internet；生產管理層通過工業(yè)網關與過程監(jiān)控層相連；過程監(jiān)控層獲取現(xiàn)場控制層的實時數(shù)據(jù)；現(xiàn)場控制層通過現(xiàn)場總線實現(xiàn)控制器與現(xiàn)場設備層設備的信息交互。圖1-7工業(yè)控制系統(tǒng)參考模型1.1.4工業(yè)控制行業(yè)現(xiàn)狀

伴隨著科技的進步，工業(yè)控制行業(yè)技術有如下發(fā)展趨勢。

1.智能控制2.基于新材料的電力電子器件3.邊緣計算4.控制系統(tǒng)網絡化5.工業(yè)通信無線化1.2工業(yè)控制系統(tǒng)信息安全通常情況下，工業(yè)控制系統(tǒng)安全可以分成三個方面，即功能安全、物理安全和信息安全。

功能安全是為了達到設備和工廠安全功能，控制設備的安全相關部分必須正確執(zhí)行其功能，而且當失效或故障發(fā)生時，設備或系統(tǒng)必須仍能保持安全條件或進入到安全狀態(tài)。

物理安全是減少由于電擊、火災、輻射、機械危險、化學危險等因素造成的危害。物理安全，保護要素主要由一系列安全生產操作規(guī)范定義。

信息安全的范圍較廣，大到涉及國家軍事政治等機密安全，小到防范企業(yè)機密的泄露、個人信息的泄露等。1.2.1工業(yè)控制系統(tǒng)信息安全定義與需求1.工業(yè)控制系統(tǒng)信息安全定義

在ISO/IEC27002中，信息安全的定義是“保持信息的保密性、完整性、可用性，也可包括真實性、可核查性、不可否認性和可靠性等”。

在IEC62443中針對工業(yè)控制系統(tǒng)信息安全的定義是：

“保護系統(tǒng)所采取的措施；由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，同時保證授權人員和系統(tǒng)不被阻止；防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。”2.工業(yè)控制系統(tǒng)信息安全需求

現(xiàn)在更多的IT信息技術用在工業(yè)控制系統(tǒng)中，工控網絡與IT網絡緊密連接，然而工控系統(tǒng)信息安全與IT系統(tǒng)信息安全在策略上有很大不同。工控系統(tǒng)的邊緣設備是執(zhí)行器、傳感器、控制器等物理控制設備，IT系統(tǒng)則是由計算機、服務器、路由器等網絡設備組成。IT系統(tǒng)注重的是數(shù)據(jù)管理，大部分數(shù)據(jù)都是公共數(shù)據(jù)和個人信息數(shù)據(jù)，而工控系統(tǒng)控制實際的物理過程，大部分是工控設備的遙信、遙測、遙控和遙調等四遙信息。工控系統(tǒng)和IT系統(tǒng)信息安全需求區(qū)別如下：1）性能需求2）風險管理需求3）部件生命周期4）通信方式5）數(shù)據(jù)流量表1-1ICS數(shù)據(jù)流量和IT網絡數(shù)據(jù)流量特性分析對比表數(shù)據(jù)流量特性工控系統(tǒng)（ICS）IT網絡數(shù)據(jù)長度ICS中數(shù)據(jù)長度相對小些；傳輸頻率較高，瞬時數(shù)據(jù)量較少IT網絡傳輸數(shù)據(jù)的頻率相對低，瞬時傳輸數(shù)據(jù)量較大周期性ICS中通信數(shù)據(jù)具有周期特性的信息比較多，網絡流量呈周期性IT網絡通信數(shù)據(jù)一般比較多元化，且不確定性墻，不具周期性響應時間ICS實時性要求較高，響應時間小IT網絡可容忍一定的響應時間數(shù)據(jù)包流向分析ICS通信行為比較固定，縱向控制命令表現(xiàn)為請求和響應，流向明確IT網絡數(shù)據(jù)行為自由、突發(fā)時序性ICS主要是控制物理過程，控制信息存在時序性特點IT網絡不存在特殊要求1.2.2工業(yè)控制系統(tǒng)信息安全優(yōu)先原則

與傳統(tǒng)信息網絡的CIA原則不同，工業(yè)控制系統(tǒng)遵循的是AIC原則，其重要程度按照機密性、完整性、可用性依次遞增。圖1-8ICS系統(tǒng)與IT系統(tǒng)信息安全三原則優(yōu)先級區(qū)別1.2.3國內工控系統(tǒng)安全問題

隨著越來越多的工業(yè)控制系統(tǒng)與互聯(lián)網連接，傳統(tǒng)相對封閉的工業(yè)生產環(huán)境被打破，

木馬、勒索病毒等威脅從網絡端滲透蔓延至內網系統(tǒng)，存在內網大范圍感染惡意軟件、高危木馬等潛在安全隱患，黑客可從網絡端攻擊工業(yè)控制系統(tǒng)，甚至通過攻擊外網服務器和辦公網實現(xiàn)數(shù)據(jù)竊取。

首先，針對數(shù)據(jù)層面的攻擊方式類型多樣。以暴力破解憑證、勒索攻擊、撞庫攻擊、漏洞攻擊等方式威脅數(shù)據(jù)安全的網絡攻擊日益增多，成為工業(yè)互聯(lián)網數(shù)據(jù)安全的重大威脅。

其次，工業(yè)主機、數(shù)據(jù)庫、

App等存在的端口開放、漏洞未修復、接口未認證等問題，都成為黑客便捷入侵的攻擊點，可造成重要工業(yè)數(shù)據(jù)泄露、財產損失等嚴重后果。

最后，新一代信息技術應用帶來新的數(shù)據(jù)安全風險。1.2.4工業(yè)控制系統(tǒng)安全防護體系

工業(yè)控制系統(tǒng)安全防護體系的總體設計應遵循主動防御、縱深防御、動態(tài)防御和統(tǒng)一管理的設計思想，針對工業(yè)企業(yè)的特點和總體的安全要求，從工控設備、工控機、工控網絡和工控數(shù)據(jù)等方面進行分析，建立設備安全、主機安全、網絡安全和數(shù)據(jù)安全的縱深防護體系，同時在企業(yè)建設統(tǒng)一安全管理中心，形成集漏洞掃描、入侵檢測、數(shù)據(jù)審計、主機防護、威脅感知等多種防御檢測手段為一體的多層次防御體系。圖1-9工業(yè)控制系統(tǒng)安全防護體系技術結構圖1.3工業(yè)控制系統(tǒng)安全事件

工控安全事件為基礎工業(yè)正常運行敲響了警鐘。通過分析近幾年全球重大工控安全事件，發(fā)現(xiàn)大都發(fā)生在關系到國計民生的基礎流程行業(yè)。流程工業(yè)中的石化、電力、化工等基礎性行業(yè)，既關系到整個制造業(yè)的能源和原料供給，也關系到千家萬戶的衣食住行，其工控系統(tǒng)的安全可靠異常敏感和關鍵，一旦出現(xiàn)問題后果將不堪設想。2010年的震網病毒、2012年的“火焰”病毒、2014年的Havex病毒等專門針對工業(yè)控制系統(tǒng)的超級病毒給用戶造成了巨大的損失，直接或間接地威脅到國家安全，讓越來越多的國家意識到了流程行業(yè)工控系統(tǒng)自主可控的重要性。網絡攻擊已經從虛擬世界轉向現(xiàn)實世界，關鍵性基礎設施成為安全威脅的指向目標，嚴重影響國家和社會的安全。工控系統(tǒng)一旦遭受攻擊，受破壞程度巨大，可導致工控系統(tǒng)癱瘓、設備報廢、工廠停工，甚至嚴重影響到人們的日常生活。工控信息安全事件影響范圍不僅僅是某個國家或地區(qū)，也不僅僅是某個領域，它已波及全球，影響眾多領域和行業(yè)，工控信息安全威脅日益成為各行各業(yè)不得不高度重視的嚴重問題。以下介紹一些影響巨大的全球性工控安全事件。1.3.1震網病毒事件1.震網病毒事件分析

震網病毒是一種惡性蠕蟲電腦病毒，直接攻擊西門子公司的SIMATICWinCC系統(tǒng)。這是一款數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)，被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業(yè)領域，特別是國家基礎設施工程；它運行于Windows平臺，常被部署在與外界隔離的專用局域網中。

一般情況下，蠕蟲的攻擊價值在于其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟件。無論是要滲透到內部網絡，還是挖掘大型專用軟件的漏洞，都不是尋常攻擊所能做到的。這也表明攻擊的意圖十分明確，顯然是一次精心謀劃的攻擊。圖1-10

震網病毒攻擊示意圖2.震網病毒特點（1）震網病毒具有很強的毒性和破壞力。（2）震網病毒定向明確，具有精確制導的“網絡導彈”能力。（3）震網采取了多種先進技術，具有極強的隱身性。（4）與傳統(tǒng)的電腦病毒相比，震網病毒不會通過竊取個人隱私信息獲利。（5）震網病毒具備超強的USB傳播能力。3.震網病毒事件安全啟示

在我國，PLC和WinCC已被廣泛應用于很多重要行業(yè)，一旦受到攻擊，可能造成相關企業(yè)的設施運行異常，甚至造成商業(yè)資料失竊、停工停產等嚴重事故的發(fā)生。在日常安全維護中，可以從以下幾個方面加以考慮。

（1）加強主機，尤其是內網主機的安全防范，即便是物理隔離的計算機也要及時更新操作系統(tǒng)補丁，建立完善的安全策略。

（2）安裝安全防護軟件，包括反病毒軟件和防火墻，并及時更新病毒數(shù)據(jù)庫。

（3）建立軟件安全意識，對企業(yè)中的核心計算機，隨時跟蹤所用軟件的安全問題，及時更新存在漏洞的軟件。

（4）進一步加強企業(yè)內網安全建設，尤其重視網絡服務的安全性，關閉主機中不必要的網絡服務端口。

（5）加強口令管理，所有軟件和網絡服務均不啟用弱口令和默認口令，定期更新口令。

（6）加強對可移動存儲設備的安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬件式U盤病毒查殺工具。1.3.2烏克蘭電力事件2015年12月23日，當時烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民遭遇了長達數(shù)小時的大規(guī)模停電，至少三個電力區(qū)域被攻擊，占據(jù)全國一半地區(qū)。烏克蘭的Kyivoblenergo電力公司表示他們公司遭到木馬BlackEnergy網絡入侵，因此導致7個110KV的變電站和23個35KV的變電站出現(xiàn)故障，從而導致斷電。烏克蘭電廠遭襲事件是一次計算機惡意程序導致停電的事件，證明了通過網絡攻擊手段可以實現(xiàn)工業(yè)破壞。1.攻擊采用的技戰(zhàn)術烏克蘭電力事件攻擊示意圖如圖1-11所示。圖1-11

烏克蘭電力事件攻擊示意圖2.攻擊載體主要組成

1）漏洞-CVE-2014-41142）木馬病毒-BlackEnergy3

烏克蘭電力事件以CVE-2014-4114漏洞及木馬病毒BlackEnergy-3等相關惡意代碼作為主要攻擊工具，通過前期的資料采集和環(huán)境預置，以含有漏洞的郵件為載體發(fā)送給目標，植入木馬載荷實現(xiàn)攻擊點突破；通過遠程控制系統(tǒng)節(jié)點下達斷電指令，摧毀破壞SCADA系統(tǒng)實現(xiàn)遲滯恢復和狀態(tài)致盲；利用DDoS電話攻擊作為干擾，最后達成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準的網絡攻擊事件。本次攻擊的突破點并沒有選擇電力設施的縱深位置，也未使用0day漏洞，而是沿用了傳統(tǒng)的攻擊手法，從電力公司員工主機突破，利用木馬實現(xiàn)攻擊鏈的構建，具有成本低，打擊直接、作用明顯的特點。3.烏克蘭電力事件啟示

當前，在網絡空間所面臨的風險日趨嚴峻。電力行業(yè)作為關鍵信息基礎設施，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益。因而，必須增強網絡安全意識，統(tǒng)籌規(guī)劃好電力系統(tǒng)網絡安全防護能力建設，做好電力監(jiān)控系統(tǒng)日常安全防護工作。

在網絡安全領域，在高級網空威脅行為體開展體系化攻擊的情況下，僅僅進行單點或簡單的多點防護，并不足以形成有效的防御體系。必須將單點對抗轉化為體系對抗，將安全措施機械累加轉化為有機融合。

保障重要信息資產和規(guī)模性信息資產安全，特別是電力系統(tǒng)的網絡安全，必須運用體系化的防御措施。體系化的防御措施不能單純視為將網絡安全產品進行成套部署和安裝，而是要發(fā)揮安全防護體系的作用，要實現(xiàn)安全能力的有機融合與無縫對接。這就要求必須建立科學規(guī)范的安全運營流程，完善網絡安全制度，通過切實可行的安全措施來堵塞漏洞。包括軟硬件在內的安全資產，需要及時進行更新與維護；對于公開的補丁和漏洞，要及時打補丁、進行升級來提高安全性。只有通過制度化、體系化的運營機制，才能提升體系化的安全防護能力，防止出現(xiàn)重大網絡安全事故。1.3.3其他典型事件

工業(yè)控制系統(tǒng)信息安全事件頻繁出現(xiàn)，在能源、交通運輸、制造、水利等國家基礎行業(yè)呈明顯增多趨勢。近年來各國遭受的工控安全事件如下：1.美國天然氣管道運營商遭勒索軟件攻擊2.歐洲能源巨頭EDP遭受RagnarLocker勒索軟件攻擊3.德國硅晶圓廠商X-FAB遭Maze勒索軟件攻擊4.溫哥華地鐵遭到Egregor勒索軟件的攻擊5.美國佛羅里達州水處理系統(tǒng)遭黑客攻擊6.起亞汽車遭受DoopelPaymer勒索軟件攻擊7.歐洲能源技術供應商遭勒索攻擊8.伊朗各地加油站因網絡攻擊出現(xiàn)軟件故障9.農業(yè)機械巨頭愛科遭勒索攻擊10.印度洪水監(jiān)測系統(tǒng)遭勒索軟件攻擊11.印度塔塔電力遭遇網絡攻擊12.哥倫比亞能源供應商EPM遭受勒索軟件攻擊1.4工業(yè)控制系統(tǒng)安全標準

黨中央、國務院高度重視信息安全問題。習近平總書記多次就網絡安全和信息化工作作出重要指示，強調“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進”?！吨袊圃?025》中提出要“加強智能制造工業(yè)控制系統(tǒng)網絡安全保障能力建設，健全綜合保障體系”。面對日益嚴峻的工控系統(tǒng)信息安全形勢，我國政府和相關主管部門相繼出臺了多項政策法規(guī)，為規(guī)范工控系統(tǒng)信息安全領域的相關活動提供了政策指導和實施指南。1.4.1國際標準體系

國際上，研究工控系統(tǒng)安全的標準化組織主要有：國際電工委員會（IEC，InternationalElectroTechnicalCommission）、國際自動化協(xié)會（ISA，theInternationalSocietyofAutomation）、美國國家標準技術研究院（NIST，NationalInstituteofStandardsandTechnology）等。國外發(fā)布的工業(yè)控制系統(tǒng)信息安全標準主要有：1.IEC62443標準2.SP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》3.IEC62351標準4.ISO/IEC27000系列標準1.IEC62443標準IEC62443一共分為了四個部分，12個文檔，對資產所有者、系統(tǒng)集成商、組件供應商提出了相關信息安全的要求。第一部分是通用標準，第二部分是策略和規(guī)程，第三部分制定系統(tǒng)級的措施，第四部分制定組件級的措施。IEC62443標準結構如圖1-12所示。圖1-12

IEC62443標準結構圖2.SP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》SP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》是美國國家標準與技術研究院（NIST）于2010年10月發(fā)布。該指南為保障工業(yè)控制系統(tǒng)ICS提供指南，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)和其他完成控制功能的系統(tǒng)。它概述了ICS和典型的系統(tǒng)拓撲結構，指出了這些系統(tǒng)存在的典型威脅和脆弱點，為消減相關風險提供了建議性的安全對策。同時，根據(jù)ICS的潛在風險和影響水平的不同，提出了保障ICS安全的不同方法和技術手段。該指南可用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS系統(tǒng)安全管理。

為了確保ICS的安全運行，該指南包括以下六個方面的內容：

（1）ICS和SCADA系統(tǒng)概述及其典型的系統(tǒng)拓撲；

（2）ICS與IT系統(tǒng)之間的區(qū)別；

（3）標識ICS的典型威脅、漏洞以及安全事件；

（4）如何開發(fā)和部署SCADA系統(tǒng)的安全程序；

（5）如何考慮建設網絡體系結構；

（6）如何把SP800-53中“聯(lián)邦信息系統(tǒng)與組織安全控制方法”部分提出的管理、運營和技術方面的控制措施有效運用在ICS中。3.IEC62351標準IEC62351是國際電工委員會針對電力系統(tǒng)信息安全問題制定的通信協(xié)議安