详情
本书分为三篇,围绕工业信息安全基础知识、工业信息安全应急体系、工业信息安全应急工作三个层面,全面剖析了工业信息安全相关基本概念、工业信息安全发展态势、工业信息安全应急管理内涵与架构,系统阐释了国家突发事件应急体系框架与建设情况、工业信息安全应急体系核心内容及应急体系建设关键要素,有效指导了工业信息安全应急预案编制、应急演练实施、监测预警能力建设、应急处置技术储备与应急防护等工作的开展,并重点分析了典型事件案例、应急演练实例与重要标准。
书名:工业信息安全应急管理理论与架构
ISBN:978-7-115-62256-3
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
主 编 汪礼俊
副 主 编:郭 娴 师艳平 李 欣
责任编辑 杨 凌
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书围绕工业信息安全基础知识、应急体系、监测与应急三个方面,全面剖析了工业信息安全相关基本概念、发展态势、应急管理内涵及架构,系统阐释了国家突发事件应急体系框架与建设情况、工业信息安全应急体系核心内容及建设关键要素,有效指导了工业信息安全应急预案编制、应急演练实施、监测预警能力建设、应急处置技术储备与应急防护等工作的开展,并重点分析了典型事件案例、应急演练实例与重要标准。
本书为网络安全、工业信息安全领域的待就业人员、从业人员及相关研究人员提供了体系化强、专业度高、科学性足的教学内容,对读者熟悉工业信息安全应急管理概念与内涵、掌握工业信息安全应急体系建设内容及应急处置工作方法等具有极强的指导意义。
主 编:汪礼俊
副 主 编:郭 娴 师艳平 李 欣
编 委:黄海波 朱丽娜 龙 飞 高清河 孙立立
杨佳宁 陈柯宇 张慧敏 黄 丹 刚占慧
何胜军 金 岩 赵凯丽 曹 锋 杨 杰
张晓帆 刘佳丽 鞠 远 樊佳讯 李 莹
陈大宇 曲思奇 蒋金桥 李思婵
当今世界,国际环境日趋复杂,陆、海、空、天、网络空间五位一体,全球安全局势日益严峻,网络安全的重要性越来越凸显。
俄乌冲突中,网络战不断升级,石油化工、电力等重点行业的工业控制系统成为攻击的靶心,漏洞利用、勒索软件攻击、数据擦除等攻击手段层出不穷,这充分体现出网络空间已经成为国家博弈、地区冲突的先行战场。
网络空间的竞争,归根结底是人才的竞争。网络空间战略地位高、辐射范围广、技术特性强、形势变化快,该领域对人才的需求极为紧迫。工业信息安全作为网络安全的重要组成部分,是实施制造强国和网络强国战略的重要保障。工业领域因运营成本高、数据价值大、社会影响面广、防护水平低,已经成为“脚本小子”、有组织黑客等的首选攻击目标。应急管理人员承担防范并化解重大安全风险、及时应对并处置各类灾害事故的重要职责,但当前我国对工业信息安全应急管理人才的需求与储备情况相比仍然差距巨大。为提高工业信息安全应急管理数字技能教育培训水平,向国家、社会、企业输送更多优质的工业信息安全应急管理人才,国家工业信息安全发展研究中心于2021年3月推出了工业信息安全应急管理工程师培训班,持续提供聚焦关键技能、内容与时俱进、让学员“听得懂、学得会、用得上”的培训课程。为助力更多人才持续深化理论和实践学习,编者精选了培训班的教学内容,组织编写了本书。本书作为系统讲解工业信息安全应急管理的综合性教程,兼顾科普性、理论性和技术性,采取由浅入深、层层递进、覆盖全面的编排方式,对工业信息安全的概念、定义与发展态势,工业信息安全应急管理的基本理论与架构等进行了系统介绍。
工业信息安全应急管理教程共包括两册。
● 第一册:《工业信息安全应急管理理论与架构》。
● 第二册:《工业信息安全应急管理技术与实践》。
本书是第一册——《工业信息安全应急管理理论与架构》,旨在为读者深刻理解工业信息安全应急管理概念与内涵、掌握应急管理理论体系与应急管理核心技能等提供指导。本书共分为三篇:第一篇“基础知识”全面剖析了工业信息安全相关基本概念、工业信息安全发展态势、工业信息安全应急管理内涵及架构;第二篇“应急体系”系统阐释国家突发事件应急体系框架与建设情况、工业信息安全应急体系核心内容及建设关键要素等;第三篇“监测与应急”有效指导监测预警工作体系与能力建设、应急处置工作体系与应急防护等工作的开展;附录部分重点分析了典型事件案例、应急演练实例与重要标准。
工业信息安全应急管理理念与实践技术具有很强的军民通用性。基于本教程开展教育培训,既能有效提高待就业人员和就业人员的安全防御、应急响应等技能,培育适应工业领域数字化转型的工业信息安全应急管理高技能人才;还能为我国的“网络国防”提供战备力量,协助抵御外敌攻击。立足新时代需要,加快培育锻炼大量实战型、应用型、复合型工业信息安全应急管理人才意义重大,能够提供坚强的人才支撑,保护军事、工业控制系统安全,形成军事和民用工业基础设施网络安全的联防、联保、联管、联控,全面筑牢国家关键信息基础设施的安全防线。
我们坚信,通过本教程的学习,广大读者既能成为合格的网络安全应急管理从业人员,也能成为时刻准备为国效力的“网络民兵”。
编者
2024年4月
党的二十大把握国内外发展大势,在党和国家事业发展布局中突出国家安全、教育科技人才支撑等工作,作出了推进国家安全体系和能力现代化、强化现代化建设人才支撑的重大战略部署,指出人才是第一资源,强调深入实施人才强国战略,不断塑造发展新动能新优势,为国家安全能力建设与人才培养工作指明了前进方向,提供了根本遵循。网络安全是国家安全的重要组成部分。2016年4月,习近平总书记在网络安全和信息化工作座谈会上曾深刻指出,网络空间的竞争,归根结底是人才竞争。网络安全人才是网络安全建设的核心资源,人才的数量和质量直接关系网络安全建设水平的高低与安全保障能力的强弱。建设网络强国需要一支高素质的网络安全人才队伍。
当今世界正经历百年未有之大变局,单边主义、保护主义、霸权主义、强权政治威胁上升,新一轮科技革命和产业变革加速演进,多重不稳定性、不确定性因素在虚拟的网络空间泛化叠加、错综交织,网络空间成为大国战略竞争的重要领域。我们既面临难得的历史机遇,也面临严峻复杂的国际形势和接踵而至的巨大风险挑战。工业领域涵盖大量关乎国计民生的关键信息基础设施,已成为网络空间博弈的主战场。随着数字化转型的提速,越来越多的工业控制网络与互联网连接,工业信息安全漏洞风险愈发突出,工业领域勒索病毒攻击、数据擦除攻击、供应链攻击等新型攻击手段持续迭代,攻击行为呈现隐蔽性强、潜伏期长、检测难度大、传播面广、危害性大等特征,全球范围内针对制造、能源、交通、国防工业等领域的网络攻击活动肆虐。应急管理担负着保护人民群众生命财产安全和维护社会稳定的重要使命。工业信息安全应急管理是从源头上防范化解重大安全风险、及时应对处置安全事件的重要手段,能够真正将问题解决在萌芽之时、成灾之前。加强工业信息安全应急管理人才培养,推动应急管理从事后补救向规范化、科学化的事前预防转型,已成为新形势下维护国家网络安全的迫切需要。
要想谋发展,必先聚人才。党的十八大以来,在习近平总书记关于网络强国、制造强国的重要思想和关于网络安全人才工作重要指示精神的指引下,我国的网络安全人才培养取得了积极进展。然而,我国的网络安全人才,尤其是工业信息安全人才还存在缺口数量大、实战技能不强、与市场需求脱节、难以适应建立大安全大应急框架的战略要求等问题。面对复杂多变的国际环境与日益严峻的安全形势,工业领域的网络安全人才尤其是高技能人才成为关键变量。进入新发展阶段,需明确人才工作新使命,加快培育工业信息安全应急管理人才,依托大量本领过硬的应急管理人才,科学预警下好风险防范先手棋,有效处置练就风险应对真功夫,主动出击打好风险化解主动仗。
本书以总体国家安全观为指引,结合国家工业信息安全研究中心长期支撑国家、服务行业开展工业信息安全应急管理体系研究、应急预案编制、应急演练实施、态势感知能力建设、应急处置等的业务经验,以及举办工业信息安全应急管理工程师培训的工作积累,立足工业信息安全应急管理理论与架构视角,深入分析工业信息安全应急管理内涵,系统阐释应急体系架构,积极回答如何做好应急管理重点工作,有助于培养符合建立大安全大应急框架要求的专业人才,夯实工业信息安全应急管理人才支撑,对于保障我国赢得网络空间国际竞争主动权意义重大。
中国工程院院士 朱坤
传统的工业控制系统通常运行在物理隔离的封闭环境中。随着信息化与工业化深度融合,以及工业互联网、物联网等技术的快速发展,越来越多的工业产品采用通用协议、硬件和软件,以各种方式连接到公共互联网,因此面临的安全威胁日渐增多,安全问题也日益突出。本章重点介绍工业信息安全涵盖的主要内容、传统网络安全与工业信息安全的区别、常见的工业生产系统和工业控制协议等。通过对本章内容的学习,读者能够理解工业信息安全的内涵及特点,了解工业信息安全面临的内、外部威胁,以及工业领域常见的网络攻击类型和防护机制。
1.工业信息安全的内涵
工业信息安全指工业运行过程中的信息安全,涉及工业领域的各个环节,是工业领域信息安全的总称,主要体现为工业控制系统信息安全、工业互联网安全、工业大数据安全、工业云安全等。工业信息安全防护的目标是通过实施管理和技术措施,保障工业生产所需的通信网络和互联网服务不中断,工业生产设备、工业控制系统及相关信息系统正常稳定运行,贯穿其中的数据不因偶然的或恶意的因素而遭到非授权访问、破坏、更改、泄露,以实现正常的生产过程,完成既定的生产目标。
2.计算机安全
工业信息安全是网络安全的延伸,而计算机安全是网络安全的基础。纵观信息技术(Information Technology,IT)发展史,计算机安全的定义和内涵随着时间推移发生了一系列变化。1969年,计算机安全的概念首次出现于美国兰德公司提交给美国国防部的报告中,该报告指出,“计算机太脆弱了,存在安全问题。”这里的计算机安全主要是指实体安全,即物理安全。20世纪七八十年代,随着各类计算机管理系统的亮相,计算机安全逐步涵盖物理安全、软件与信息内容安全等。当前,国际标准化组织提出计算机安全的定义为“为数据处理系统采取的技术方面和管理方面的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的因素而遭到破坏、更改、泄露”。原公安部计算机管理监察司(后更名为公共信息网络安全监察局)也对计算机安全进行了定义,“计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。”
3.网络安全
与计算机安全相同,网络安全的定义和内涵也随着时间推移发生了一系列变化。在2017年6月《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施前,网络安全主要指网络侧安全,即网络系统的硬件、软件及系统中的数据受到保护,不因偶然的或恶意的因素而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断,保护主体为网络上的数据和通信。当前,党中央、国务院高度重视网络安全,将网络安全作为总体国家安全的重要组成部分。《网络安全法》明确提出,“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。网络安全特指网络空间安全,网络空间是与陆、海、空、天并列的第五大主权空间。现在的网络安全包括网络空间中的电磁设备、信息通信设备、运行数据、系统等存在的所有安全问题,其内涵和外延远超之前的网络安全。
4.工业信息安全的特点
与传统计算机网络安全相比,工业信息安全在保障对象、安全需求、网络和设备环境、通信协议、监管方式等方面有其特点,见表1-1。例如,工业信息安全的最终目的是确保工业(产业)发展的安全,其保障对象包括物理系统,即多种多样的工业生产系统、工业软硬件设备等,其安全需求侧重于工业生产或运行过程的可靠性。由于工业生产环境的软硬件种类与技术手段繁多,协议通用性低、难以统一,传统的网络安全保障体系难以全面覆盖保障对象,因此需要建立更专业的工业信息安全保障体系。
表1-1 传统计算机网络安全与工业信息安全对比
| 传统计算机网络安全 |
工业信息安全 |
备注 |
|
|---|---|---|---|
| 保障对象 |
网站、计算机信息系统 |
使用工业控制软硬件设备来运行的生产系统或关键基础设施 |
工业信息安全的最终目的是确保工业(产业)发展的安全,其保障对象包括物理系统,即多种多样的工业生产系统、工业软硬件设备等。我国当前的网络安全保障体系难以全面覆盖保障对象,需要更专业的工业信息安全保障体系 |
| 安全需求 |
侧重于数据和系统的保密性、完整性、可用性 |
侧重于工业生产或运行过程的可靠性,生产过程稳定是首要 需求 |
安全保障工作不能影响工业控制系统的运行,需要研究工业信息安全的测试、评估、防护技术 |
| 网络和设备环境 |
采用通用化、标准化的传输控制协议/因特网协议(Transmission Control Protocol/Internet Protocol,TCP/IP)架构,技术标准统一,软硬件更新周期短(3~5年) |
工业生产环境的软硬件种类、技术手段繁多,协议通用性低、难以统一,设备生命周期长(10~20年),资产更新缓慢 |
工业控制系统及其网络架构非常复杂,工业网络与设备环境的变更应非常谨慎,需要构建适用于工业领域的信息安全防护和保障体系 |
| 通信协议 |
常用TCP/IP,如IP、TCP、用户数据报协议(User Datagram Protocol,UDP)、超文本传送协议(Hypertext Transfer Protocol,HTTP)、文件传送协议(File Transfer Protocol,FTP)、简易文件传送协议(Trivial File Transfer Protocol,TFTP)、简单网络管理协议(Simple Network Management Protocol,SNMP)、因特网控制报文协议(Internet Control Message Protocol,ICMP)、边界网关协议(Border Gateway Protocal,BGP)、路由信息协议(Routing Information Protocol,RIP)等通用协议 |
工业领域的专用通信协议(超过1000种),如Modbus协议、OPC协议、西门子S7COMM协议、Ethernet/IP等,它们之间大部分互不兼容 |
工业控制系统只有信息(管理)层的网络与传统IT网络类似,而设备层、控制层的网络与传统IT网络不一样。开展信息安全保障工作,需要工作人员具备丰富的工业控制通信专业知识 |
| 监管方式 |
通过对互联网等公共网络进行监管即可解决大部分安全问题 |
监管的重点是工业网络,大部分是分散的、隔离的、独立的网络和系统 |
工业信息安全需要建立专业的工业现场检查工作机制和人才队伍 |
| 其他国家的保障做法 |
成立计算机网络安全应急响应机构,如美国计算机应急预备小组(United States-Computer Emergency Readiness Team,US-CERT) |
从保护重点行业和产业出发,单独成立国家级工业信息安全保障机构,如美国工业控制系统网络应急响应小组(Industrial Control Systems-Cyber Emergency ResponseTeam,ICS-CERT)、西班牙工业网络安全中心、日本控制系统安全中心(CSSC) |
美国的工业控制系统(Industrial Control System,ICS)安全保障工作曾在2006—2009年期间由 US- CERT负责,但 US-CERT逐步力不从心,故美国国土安全部于2009年11月专门组建了ICS-CERT,建立了相关工作机制,极大地提升了工业信息安全保障水平 |
工业控制系统信息安全(以下简称“工控安全”)是工业信息安全的重要组成部分。工业控制系统是工业生产控制各业务环节涉及的有关人员、软硬件系统和平台的集合,涵盖多种类型的控制系统,包括但不限于可编程逻辑控制器(Programmable Logic Controller,PLC)、分布式控制系统(Distributed Control System,DCS)、数据采集与监控(Supervisory Control and Data Acquisition,SCADA)系统等工业生产控制系统;紧急停车系统、安全仪表系统(Safety Instrumented System,SIS)等工业控制过程安全保护系统;制造执行系统(Manufacturing Execution System,MES)、企业资源计划(Enterprise Resource Planning,ERP)系统等工业生产调度与管理信息系统;工业云平台、工业大数据平台等工业服务应用系统。工业控制系统是关键信息基础设施正常运行的基础。
《工业控制系统信息安全防护能力评估方法》指出,工控安全防护是“通过实施管理和技术措施,避免工业控制系统遭到非授权或意外的访问、篡改、破坏及损失”。国际标准《工业自动化和控制系统安全》(IEC 62443)中指出,工控安全是“工业控制系统所采取的措施;由建立和维护工业控制系统的措施所得到的系统状态;能够免于对工业控制系统资源的非授权访问和非授权或意外的变更、破坏或者损失;基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据,又无法访问系统功能,同时保证授权人员和系统不被阻止;防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作”。
工业互联网是在制造业发展面临深刻变革的背景下提出的,是我国重构竞争优势、抢占产业制高点的重要机遇。近年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署,提出了一系列工作要求。
工业互联网是以物联网、大数据、人工智能等为代表的新一代信息技术与制造业深度融合所形成的新兴业态与应用模式,具有低时延、高可靠、广覆盖等特点,是制造业数字化、网络化、智能化发展的信息基础设施,也是全球新一轮产业竞争的制高点。工业互联网将构建人、机、物全面融合的新兴业态和应用模式。工业互联网以工业互联网平台为依托,纵向贯穿互联网、集团专用网、企业管理网和控制网,基于全面互联实现数据驱动的智能化生产。
工业互联网包括网络、平台、安全三大体系,其中网络体系是基础,平台体系是核心,安全体系是保障。
网络体系实现网络互联,是数据流动的基础。
平台体系为数据汇聚、建模分析、应用开发、资源调度、监测管理等提供支撑,是数据流动的载体。具体而言,工业互联网平台体系包含数据采集体系、工业“平台即服务”(Platform as a Service,PaaS)平台和应用服务体系3个要素,是工业生产设备/系统/软件、工业数据、企业需求及生产能力等工业资源聚集共享的载体,是工业全要素连接的枢纽,是实现生产制造资源优化配置的有效途径。
安全体系识别和抵御风险,是数据流动的保障。具体而言,工业互联网安全包括工业互联网环境下网络、平台、系统、终端、数据、应用等的安全,涉及工控安全、工业互联网平台安全、工业设备安全、企业信息管理系统安全、企业控制网络及管理网络安全、传输网络安全、工业领域5G网络安全、工业数据安全、工业App安全等内容。
在工业互联网总体框架下,安全既是一套具有独立功能的体系,又渗透、融合在网络和平台建设使用的全过程。首先,工业互联网的网络和平台等的设计、建设、运营、管理离不开安全,安全又是终端设备、系统和应用等接入工业互联网的重要前提。其次,安全不能脱离网络、平台、终端、应用等独立存在。最后,在工业互联网环境下产生、运行、管理的工业数据需要全生命周期的安全保护。
工业物联网(Industrial Internet of Things,IIoT)设备和相关技术给企业带来的安全问题可以分为3类:管理和运营安全、技术安全、物理安全。其中,管理和运营安全问题指由工业物联网设备的不当使用、恶意入侵等人为因素造成的安全问题;技术安全问题指工业物联网设备自身存在的安全漏洞等安全问题;物理安全问题指因自然灾害等造成的安全问题。
《中华人民共和国数据安全法》(以下简称《数据安全法》)是我国为保障数据安全颁布的首部专门性法律,其正式实施为包括工业大数据在内的数据安全奠定了法律基石。工业和信息化部发布了《工业和信息化领域数据安全管理办法(试行)》,并于2022年开始开展工业领域数据安全试点示范工作,推动强化工业大数据安全防护。合理利用工业大数据能够切实增强工厂的生产力、竞争力、创新力,驱动产品全线实现智能化转型。在工业大数据价值进一步凸显的背景下,加强工业大数据安全保护的意义重大。
2017年2月,全国信息技术标准化技术委员会大数据标准工作组联合中国智能制造系统解决方案供应商联盟和中国开放对象标识符(Object IDentifier,OID)应用联盟发布了《大数据系列报告之一:工业大数据白皮书(2017版)》,其中提出了工业大数据的定义:“工业大数据是指在工业领域中,围绕典型智能制造模式,从客户需求到销售、订单、计划、研发、设计、工艺、制造、采购、供应、库存、发货和交付、售后服务、运维、报废或回收再制造等整个产品全生命周期各个环节所产生的各类数据及相关技术和应用的总称。”工业大数据以产品数据为核心,极大地拓宽了传统工业数据的范围。
2020年4月,工业和信息化部发布了《工业和信息化部关于工业大数据发展的指导意见》,进一步明确了工业大数据涵盖产品和服务中的数据,提出“工业大数据是工业领域产品和服务全生命周期数据的总称,包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台中的数据等”。
工业大数据技术是使工业大数据中所蕴含的价值得以挖掘和展现的一系列技术与方法,包括数据采集、预处理、存储、分析挖掘、可视化和智能控制等。工业大数据应用是对特定的工业大数据集,集成应用工业大数据系列技术与方法,获得有价值信息的过程。
工业大数据主要具有以下4个典型特征。
① 价值性:工业大数据强调用户对数据的价值驱动和数据本身的可用性。基于工业大数据可以提升创新能力和生产经营效率,推动产业进行智能制造新模式变革。
② 实时性:工业大数据主要实时来源于生产制造和产品运维环节,包括生产线、设备、工业产品、仪器等。
③ 准确性:工业大数据更加关注数据质量,以及数据处理、分析技术和方法的可靠性。
④ 闭环性:工业大数据包含产品全生命周期过程中所有数据链条的封闭和关联,以及支撑状态感知、分析、反馈和控制等闭环场景下的动态持续调整和优化。
1.工业的定义和内涵
工业是指对自然资源进行开采,以及对各种原材料进行加工的社会物质生产部门,这些部门构成了中华人民共和国经济行业划分中的第二产业。
工业自诞生以来经历了4次重大变革。
在古代社会,手工业仅属于农业的副业,直到18世纪的英国第一次工业革命,使手工业逐步转变为机器大工业,工业才逐渐从农业中分离出来,成为独立的物质生产部门。这也标志着工业1.0时代的到来。
随着科学技术的进步,从19世纪下半叶到20世纪初,发电机、内燃机得到了广泛应用,飞机、汽车等交通工具的制造技术也发展迅速,人们进入了工业2.0时代。
20世纪40年代后期,工业3.0时代来临。工业以生产过程自动化为主要特征,采用电子控制的自动化机器和生产线进行生产,改变了机器体系。微型计算机诞生,全球互联网出现。
20世纪后期,人们进入了工业4.0时代,以微电子技术为中心,生物工程、光导纤维、新能源、新材料和机器人等新兴技术和新兴工业蓬勃发展。这些新技术革命,正在改变工业生产的基本面貌,也正在改变人们的生活方式和生存环境。机器的使用,给生产提供了强劲的推动力,也要求人们在生产制造时遵守一定的安全规范。信息化时代计算机的普及,在为人们提供舒适的人机界面和方便的管理接口的同时,也带来了传统计算机领域的安全问题。
根据产品类型和生产工业组织方式的不同,工业可分为流程型制造行业和离散型制造行业。
流程型制造(Process Manufacturing)行业通过一条生产线将原料制成成品,产品生产的各个阶段、各个工序在时间上是紧密衔接、连续运行的,不产生或很少产生中断现象。也就是说,劳动对象在整个生产过程中始终处于运动状态,没有或很少有不必要的停留。流程型制造行业主要包括石油化工、冶金、电力、天然气、水处理等行业。
离散型制造(Discrete Manufacturing)行业将不同的现成部件及子系统装配加工成较大型系统,其最主要的特征之一为:生产过程中基本上没有发生物质改变,仅改变物料的形状和组合,即最终产品是由多种物料装配而成的,并且产品与所需物料之间有确定的数量比例,如一个产品有多少个部件、一个部件有多少个零件,这些物料不能多也不能少。按通常行业划分,典型的离散型制造行业有机械制造、汽车、仪器仪表、家电、机床等行业。
流程型制造行业和离散型制造行业在自动化控制的实现上有一定的区别,流程型制造行业的控制一般选用DCS,而离散型制造行业通常采用PLC。随着DCS和PLC互相渗透发展,其应用领域逐步扩大。
2.工业生产系统
随着工业智能化的迅速发展,工业生产系统架构不断拓展,工业生产系统实现了质的飞跃。目前工业生产系统架构基本分为6层,自下而上分别为现场设备层、现场控制层、过程监控层、生产管理层、企业管理层、外部网络层,如图1-1所示。
注:OPC指Open Platform Communications,开放平台通信。
图1-1 工业生产系统架构
在工业3.0时代,工业生产系统架构普遍分为现场设备层、现场控制层、过程监控层3层。随着工业物联网的发展,现场设备层相关设备经历了智能化转型,具有智能采集、无线传输功能,在电力、石油管道等行业应用广泛。现场控制层是现场设备层的上层架构,集成现场设备层设备至集中控制系统,如SCADA系统、PLC、SIS等。过程监控层设有监控中心,负责监控与前两层相关的安全生产设备、控制系统。
生产管理层是连接上下层架构的关键枢纽,传递上层生产、管理、计划信息至生产现场,实现对管理和生产的直接控制。企业管理层和外部网络层则属于传统网络层。随着数字经济的发展,数字技术在工业领域的应用更加广泛,传统网络和工业控制网络加速互联,将传统网络风险进一步引入工业生产环境。因此,当前工业信息安全面临着巨大的威胁。
3.工业控制系统
工业控制系统可对工业实时数据进行采集、监测,实现设备自动化运行以及对业务流程的管理和监控。工业控制系统通常用于电力、水处理、石油和天然气、化工、交通、制药、食品制造、汽车制造、航空航天等行业领域,往往高度互联、相互依存,是关键信息基础设施正常运行的基础。
(1)发展历程
计算机网络技术与工业控制系统的发展有着紧密的联系。总体来看,工业控制系统的发展历程如图1-2所示。早在20世纪50年代中后期,计算机就已经被应用到工业控制系统中,从而出现了最初的协调控制系统(Coordinated Control System,CCS)。20世纪60年代初,出现了由计算机完全替代模拟控制的控制系统,它被称为直接数字控制(Direct Digital Control,DDC)系统。1968年,美国通用汽车公司为了适应汽车型号的不断更新、生产工艺的不断变化,希望能研制出新型工业控制系统,尽可能减少重新设计和更换电气控制系统及接线的次数,从而降低生产成本、缩短生产周期。对此,通用汽车公司设想将计算机的功能强大、灵活、通用性好等优点与电气控制系统的简单易用、价格便宜等优点结合起来,制成通用控制装置,并且这种装置采用面向控制过程、面向问题的“自然语言”进行编程,即便不熟悉计算机的人也能快速掌握其使用方法。1969年,美国数字化设备公司根据通用汽车公司的要求,成功研制出世界上第一台可编程控制器(PDP-14),它在通用汽车公司生产线上的试用效果显著。自此,PLC技术得到了迅速发展。
20世纪70年代中期,随着微处理器的出现,计算机控制系统进入快速发展的新时期。1975年,世界上第一套以微处理器为基础的分散式计算机控制系统问世,它由多台微处理器共同分散控制,并通过数据通信网络实现集中管理,被称为DCS。
20世纪90年代后期,计算机网络技术的迅猛发展使DCS得到进一步发展。DCS逐步增强了工业控制系统的可靠性和可维护性。当前,在工业控制领域,DCS仍然占据主导地位,但DCS不具备开放性,布线复杂、费用较高,而且不同厂家的产品集成存在很大困难。因此,随着大规模集成电路技术的发展,许多传感器、执行机构、驱动装置等现场设备更加智能化,人们开始寻求用一根通信电缆将具有统一的通信协议、通信接口的现场设备连接起来,在现场设备层传递的不再是输入/输出信号(4~20mA/24VDC),而是数字信号,这根通信电缆就是现场总线。由于可以解决网络控制系统的自身可靠性和开放性问题,现场总线技术成为计算机控制系统的发展趋势,现场总线控制系统(Fieldbus Control System,FCS)由此诞生。FCS既是开放的通信网络,又是全分布式的控制系统,它在很多方面继承了DCS/PLC的成熟技术,主要特点是采用标准的通信协议、分布式网络自动化系统、分散控制结构。因此,FCS相比传统的DCS具有性能好、准确度高、误码率低、组态更简单等优点,并且由于其结构、性能标准化,更便于安装、运行和维护。从20世纪90年代后期开始,一些发达的工业国家和跨国工业公司都纷纷推出自己的现场总线标准和相关产品。
图1-2 工业控制系统的发展历程
(2)主要分类
常见的工业控制系统包括DCS、SCADA系统、PLC、远程终端单元(Remote Terminal Unit,RTU)等。
① DCS。DCS又称集散控制系统。它以微处理器为核心,实现地理上与功能上的分布控制,同时通过高速数据通道把各个分散点的信息集中起来,进行集中的监视和操作,并实现复杂的控制和优化,其基本结构如图1-3所示。
图1-3 DCS的基本结构
DCS具有控制分散、信息集中、系统模块化、数据通信能力强、人机接口友好而丰富、可靠性高等特点,主要应用于过程控制行业,如发电、炼油、水处理、食品和医药加工等行业。其采用“多层分级、合作自治”的架构,实现对控制过程的总体监控,包括多个集成的子系统的控制,可满足大型工业生产和日益复杂的过程控制的需求。
② SCADA系统。SCADA系统是具有监控程序及数据收集能力的计算机控制系统,可以用在工业程序、基础设施或设备中。SCADA系统作为生产过程和事务管理自动化最为有效的计算机软硬件系统之一,包含3个部分:第一部分是分布式的数据采集系统,也就是通常所说的下位机;第二部分是过程监控与管理系统,即上位机;第三部分是数据通信网络,包括上位机网络系统、下位机网络系统,以及将上位机、下位机网络系统连接起来的通信网络。SCADA系统数据架构如图1-4所示。
注:IDE指Integrated Development Environment,集成开发环境。
图1-4 SCADA系统数据架构
SCADA系统的主要特点是利用远程通信技术对地理位置分散的远程测控站点进行集中监控,主要应用于石油和天然气管道、电力电网、轨道交通等行业。
③ PLC。PLC是专门为应用于工业环境而设计的数字运算操作电子系统。它采用一种可编程的存储器,在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,通过数字式或模拟式输入/输出(Input/Output,I/O)来控制各种类型的机械设备或生产过程,可以实现开关量的开环控制、模拟量的闭环控制、数字量的智能控制、数据采集与监控等。
PLC实质上是一种专用于工业控制的计算机,其硬件结构基本上与微型计算机相同,硬件电路主要由中央处理单元(Central Processing Unit,CPU)、存储器[只读存储器(Read-Only Memory,ROM)/随机存取机(Random Access Memory,RAM)]、I/O模块、编程器、电源等部件组成(如图1-5所示)。其中,CPU是PLC的核心,I/O模块是用来连接现场I/O设备与CPU的接口电路,通信接口用于与编程器、上位机等外设连接。PLC的软件由系统程序和用户程序组成。系统程序由PLC制造厂商设计编写,并存入PLC的系统存储器,用户不能直接读写与更改。系统程序一般包括系统诊断程序、输入处理程序、编译程序、信息传送程序、监控程序等。用户程序是用户利用PLC的编程语言,根据控制要求编制的程序。PLC通常是SCADA系统和DCS中的关键组件,广泛应用于几乎所有的工业生产过程。
图1-5 PLC结构
④ RTU。RTU是SCADA系统的基本组成单元,通常为安装在远程现场的电子设备,负责对现场信号、工业设备进行监测和控制。RTU的主要作用是进行数据采集及本地控制。进行本地控制时,其作为系统中独立的工作站,可以独立地实现连锁控制、前馈控制、反馈控制、比例-积分-微分(Proportional-Integral-Derivative,PID)控制等工业上常用的控制调节功能。进行数据采集时,其作为远程数据通信单元,可以完成或响应本站与中心站或其他站的通信和遥控任务。RTU产品目前与无线设备、工业TCP/IP产品结合使用,广泛应用在油气田、环保、热网、水利、长输管线、水处理、电力、交通、冶金、化工、农业等领域。
4.工业主机
工业主机即工业控制计算机(Industrial Personal Computer,IPC)(如图1-6所示),是基于个人计算机(Personal Computer,PC)总线的工业计算机,具有重要的计算机属性和特征,其主要的组成部分有工业机箱、无源底板及可插入的多种板卡,如CPU卡、I/O卡等。工业主机采用全钢机壳、机卡压条过滤网、双正压风扇等设计,通过电磁兼容(ElectroMagnetic Compatibility,EMC)技术解决工业现场的电磁干扰、震动、灰尘、高温/低温等问题。
图1-6 工业主机
工业主机通俗地说是专门为工业现场而设计的计算机,而工业现场一般具有震动强、灰尘多、电磁场力强的特点,并且工厂一般是连续作业的。因此,工业主机与普通计算机相比必须具有以下特点。
● 工业机箱采用钢结构,有较强的防磁、防尘、防冲击能力。
● 工业机箱内有专用底板,底板上有PCI和ISA(Industry Standard Architecture,工业标准结构)插槽。
● 工业机箱内有专门的电源,电源有较强的抗干扰能力。
● 具有连续长时间工作的能力。
● 一般采用便于安装的标准机箱。
虽然与普通的商用计算机相比,工业主机具有一定的优势,但其劣势也非常明显,具体如下。
● 配置硬盘容量小。
● 数据安全性低。
● 存储选择性小。
● 价格较高。
工业主机已被广泛应用于工业及生活的方方面面,如控制现场、路桥控制收费系统、医疗器械、环境保护监测、通信保障、智能交通管控系统、楼宇监控安防、语音呼叫中心、排队机、柜台电子付款机(Point Of Sale,POS)、数控机床、加油机、金融信息处理、石化数据采集处理、物理勘探、野外便携作业、军工、电力、铁路、高速公路、航天、地铁、户外广告等。
5.工业通信设备
工业通信设备是用于连接感知设备、工业控制设备与管控中心,实现目标数据实时在线监测、设备远程控制、远程管理维护的核心设备,能助力工业生产自动化、智能化运行。典型的工业通信设备包括工业以太网交换机、工业路由器等,其中部分工业通信设备具有较强的品牌专用性。
(1)工业以太网交换机
工业以太网交换机应用于复杂的工业环境中,以实现实时以太网数据传输。以太网采用带冲突检测的载波监听多路访问(Carrier Sense Multiple Access with Collision Detection,CSMA/CD)机制,在复杂的工业环境中,其可靠性将大大降低,导致以太网不能使用。工业以太网交换机采用存储-转发交换方式,可以加快以太网的通信速度,并且内置智能报警设计,用于监控网络运行状况,即便在恶劣、危险的工业环境中也能保证以太网可靠稳定地运行。工业以太网交换机主要应用在电力自动化、工厂自动化、煤矿自动化、轨道交通、风能风电等领域,还应用在冶金、石油石化、道路交通控制自动化、楼宇自动控制、油田控制自动化、水电站控制自动化、机房监控、水利监控、环保监控等领域。工业以太网交换机因其具有较高的防护等级(一般为IP40)、较强的电磁兼容性(EMS 4级)、稳定的工作性能而应用在一些条件苛刻的工业现场,为工业通信提供有力的保障。
(2)工业路由器
工业路由器是一种物联网无线通信路由器,网关可对标准以太网与工业以太网协议、无线与有线接口或以太网与现场总线通信协议进行转换。这种工厂自动化设备结构坚固,适用于无风扇冷却的恶劣工业环境,专门用于工业领域的数据传输。目前,工业路由器已广泛应用于物联网产业链中的机器对机器(Machine to Machine,M2M)行业,如智能电网、智能交通、智能家居、金融、移动POS终端、供应链自动化、工业自动化、智能建筑、消防、公共安全、环境保护、气象、数字化医疗、遥感勘测、农业、林业、水务、煤矿、石化等领域。
6.工业人机界面和传感器
人机界面(Human Machine Interface,HMI)是可以显示程序状态的设备,操作员可以依托HMI实现设备监控及程序控制。HMI会连接到SCADA系统的数据库及软件,读取相关信息,以显示趋势、诊断数据及相关管理信息,如定期维护程序、物流信息、特定传感器或机器的细部线路图、协助故障排除的专家系统。
传感器是一种检测装置,主要存在于生产末端,能感受到测量的信息,并将感受到的信息按一定的规律转换成电信号或其他所需形式的信息输出,以满足信息的传输、处理、存储、显示、记录和控制等要求。
7.工业生产信息系统
工业生产信息系统能够助力企业建立合规、精确且具有时效性的生产数据库,完成各类业务的一体化管理工作,使管理更高效、信息更全面、过程更可控。常见的工业生产信息系统有MES、ERP系统、客户关系管理(Customer Relationship Management,CRM)系统、供应商关系管理(Supplier Relationship Management,SRM)系统等。
MES是面向制造企业车间执行层的生产信息化管理系统,主要分为四大类,分别为针对某个特定领域问题而开发的专用MES、集成MES、可集成的MES、智能化的MES。国际制造执行系统协会(Manufacturing Execution System Association,MESA)对MES的定义是,“MES能通过信息传递,对从订单下达到产品完成的整个生产过程进行优化管理。当车间发生实时事件时,MES能及时做出反应、报告,并用当前的准确数据进行指导处理。这种对状态变化的迅速响应使MES能够减少企业内部没有附加值的活动,有效地指导车间的生产运作过程,从而能够提高车间的交货效率,改善物料的流通性能,提高生产回报率。MES还通过双向的直接通信在企业内部和整个产品供应链中提供有关产品行为的关键任务信息”。
MES集成了车间中生产调度管理、生产质量管理、生产设备管理、生产过程管理等相互独立的模块,实现模块间的数据共享,各模块如图1-7所示。
● 资源分配和状态管理:对资源分配和状态信息进行管理,包括机床、辅助工具、物料、劳动者等生产能力实体以及开始加工前必须准备的文档和资源等详细数据,对资源的管理还包括为满足生产计划的要求而对资源所做的预留和调度。
● 工序级详细生产计划:负责生成工序级操作计划,即详细生产计划,提供基于指定生产单元相关的优先级、属性、特征、方法等的作业排序功能。其目的就是安排一个合理的序列以最大限度地压缩生产过程中的辅助时间,它是基于有限能力的生产执行计划。
图1-7 MES的模块
● 生产调度管理:以作业、批量以及工作订单等形式管理和控制生产单元中的物料流和信息流;能够调整车间规定的生产作业计划,对返修品和废品进行处理,用缓冲管理的方法控制在制品数量。
● 文档管理:管理与生产单元相关的记录/单据,包括图纸、配方、工艺文件、工程变更等;还可以对存储的生产历史数据进行维护等操作。
● 现场数据采集:负责采集生产现场中各种必要的实时更新的数据。这些现场数据可以从车间手动输入或通过各种自动方式获得。
● 人力资源管理:提供实时更新的员工状态信息;可以与设备的资源分配和状态管理模块相互作用来决定最终的优化分配。
● 生产质量管理:对从制造现场收集到的数据进行实时分析以控制产品质量,并确定生产中需要注意的问题。
● 生产过程管理:监控生产过程,自动修正生产中的错误,提高加工效率和产品质量,并为用户提供修正错误和提高在制品生产行为的决策支持。
● 生产设备管理:跟踪和指导企业维护设备和道具以保证制造过程顺利进行,并产生除报警外的阶段性、周期性和预防性的维护计划,同时对需要直接解决的问题进行响应。
● 产品跟踪和产品数据管理:通过监视工件在任意时刻的位置和工艺状态来获取每个产品的历史记录,该记录使产品组及每个最终产品的使用情况具有可追溯性。
● 生产性能分析:能提供实时更新的实际制造过程的结果报告,并将这些结果与历史记录及所期望出现的经营目标进行比较。
ERP系统是从企业战略角度出发,处理企业生产经营活动中的计划、生产、销售、库存等信息,优化企业运行模式的人机系统,分为适用于企业内部局域网的客户机/服务器(Client/Server,C/S)架构下的ERP软件,以及适用于局域网和外部网络的浏览器/服务器(Browser/Server,B/S)架构下的ERP软件。ERP面向全球市场,协调企业各管理部门及其与供应商和客户的业务,实现生产、采购、销售流程的统一化和标准化,是集信息技术与先进管理思想于一体,以系统化的管理思想为企业员工及决策层提供决策手段的管理平台。
ERP系统的功能模块主要包括财务、生产、采购与销售三大模块。随着ERP系统的发展,其功能模块也在不断地扩展,如会计核算、财务管理、生产控制管理、物流管理、采购管理、分销管理、库存控制、人力资源管理等模块。ERP从物料需求计划(Material Requirement Planning,MRP)发展而来,扩展了MRP的功能,其核心功能是供应链管理,对于改善企业业务流程、提高企业核心竞争力具有显著作用。
CRM系统以客户数据的管理为核心,保证客户的联系信息处于最新状态,跟踪客户与企业的每次交互并管理账户。
与ERP系统不同的是,CRM系统以建立、发展和维护客户关系为主要目的,其本质是吸引客户、留住客户、实现客户利益最大化,发展客户关系,推动业务增长并提高客户忠诚度。
SRM系统是建立商业规则的行为,帮助企业分析与具有不同重要性的产品和服务的供应商如何进行沟通以实现盈利,包括供应商分类选择、战略关系发展、供应商谈判和供应商绩效评价4个方面。SRM系统主要用于改善企业与供应商的关系,致力于帮助双方建立和维持长久、紧密的合作关系。
工业网络指安装在工业生产环境中的全数字化、双向、多站的通信系统,是应用于工业领域的综合型集成网络,涉及计算机技术、通信技术、多媒体技术、控制技术和现场总线技术等。从功能角度来看,工业网络一般可分成两个部分:企业信息网络、工业控制网络。企业信息网络位于工业网络的中上层,主要功能是处理工业控制系统的管理与决策信息,与传统的信息网络架构相同。
企业信息网络与工业控制网络之间的信息无缝集成依赖工业以太网。工业以太网主要指技术上与商用以太网(IEEE 802.3)兼容,但在环境性、可靠性、实时性、安全性以及设备安装等方面满足工业现场要求的以太网。工业以太网技术应用主要具有基于TCP/IP主流标准、易操作、可实现远程访问和诊断、网络传输速度快、传输介质灵活、能有效降低投资成本等优点,但同时存在安全性及总线供电问题。
工业控制网络位于工业网络的中下层,主要功能是处理控制现场的实时测控信息。依据通信关系,工业控制网络由下到上又可分为现场控制层、过程监控层,分别对应现场总线网络、过程控制与监控网络。现场控制层处于作业现场,主要功能是连接现场设备,如分布式I/O、传感器、驱动器和开关设备等,实现现场设备控制及设备间联锁控制。过程监控层主要通过分布式SCADA系统采集和监控生产过程参数,并利用HMI实现人机交互,对现场控制层进行管理。
工业控制网络是能够将工业企业中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。工业控制系统的现场网络与控制网络之间的通信、现场网络各工业控制设备之间的通信、控制网络各组件的通信往往采用工业控制系统特有的通信协议。目前,常见的工业控制系统通信协议主要包括Modbus、S7COMM、分布式网络协议3(Distributed Network Protocol 3,DNP3)、IEC、OPC等。
1.Modbus协议
(1)Modbus基本介绍
Modbus是一种串行通信协议,由莫迪康公司(现在的施耐德电气公司)于1979年为使用PLC通信而发表。Modbus协议是全球首个真正用于工业现场的总线协议,由于其具有免费性、易部署、可维护性、易应用性等特点,已经成为工业领域通信协议的业界标准,是工业电子设备之间常用的连接协议。
目前,支持Modbus协议的厂家已超过400家,支持Modbus协议的产品超过600种。因此,Modbus协议可以说是应用最为广泛的工业控制协议之一。Modbus协议主要基于TCP/IP,帧格式简单、紧凑,通俗易懂;用户使用方便,厂商开发简单。但是,其在设计之初未考虑安全性,存在缺乏认证、缺乏授权、缺乏加密等固有缺陷,这些可能会导致开发者在使用该协议的过程中出现缓冲区溢出、功能码滥用等问题。
(2)Modbus通信方式
Modbus协议基本上遵循主从(Master-Slave)通信模式,如图1-8所示。Modbus非常便于实现低级设备和高级设备之间的通信,它包含3个独特的协议数据单元(Protocol Data Unit,PDU):Modbus请求、Modbus应答以及Modbus异常应答。Modbus请求中包含功能码(Function Code)和请求消息(Query Message)。Modbus功能码有公共功能码、用户定义功能码和保留功能码3种类型。
图1-8 Modbus协议通信模式
在Modbus中,一方扮演主设备角色,采取主动询问方式,发送请求消息至从设备,从设备依据接收到的请求消息内容准备响应消息并回传给主设备。具体使用时,一般SCADA系统和HMI属于主设备,PLC、电表、仪表等都为从设备,SCADA系统和HMI向控制设备发送请求消息,控制设备则返回请求消息所请求的数据或要求执行的命令的执行结果。
(3)Modbus请求消息及响应消息分析
Modbus通过应用层的数据报文实现各种功能,其中功能码是Modbus消息帧(报文)的重要组成部分,是Modbus协议中通信事务处理的基础,代表消息将要执行的动作。Modbus部分功能码及其具体功能如图1-9所示。
图1-9 Modbus部分功能码及其具体功能
使用Wireshark工具捕获主从设备之间的通信消息。主设备向从设备发出请求消息,根据此请求消息,对照图1-9可以分析出,其功能码为0x03,因此其功能为读保持寄存器,读取的起始位置为Reference Number对应的值5,读取的长度为Word Count对应的值2。请求消息的详细信息如图1-10所示。
图1-10 Modbus请求消息分析
根据请求消息,从设备返回对应的数据,从5号保持寄存器开始读两个Word,获取5、6号保持寄存器的数值分别为9和24。响应消息的详细信息如图1-11所示。
图1-11 Modbus响应消息分析
2.S7COMM协议
(1)S7COMM协议的报文结构及关键参数
S7COMM协议指的是以太网S7通信协议,是西门子公司为其生产的PLC、SCADA系统等产品之间相互通信而设计的专属私有协议。应用层组织的数据经过面向连接的传输协议(Connection Oriented Transport Protocol,COTP)、TPKT协议的进一步处理后,最终通过TCP进行传输。S7COMM的报文结构如图1-12所示。
图1-12 S7COMM的报文结构
S7COMM PDU主要由3个部分组成。
① 头(Header):包含长度信息、PDU参考(PDU Reference)、消息类型(Message Type)常量。
② 参数(Parameter):该部分的内容和结构根据PDU的消息类型和功能代码不同而有很大的差异。
③ 数据(Data):这是可选字段,用于携带数据,如内存值、块信息、固件数据等。
S7COMM PDU一般包括以下4种类型。
① 0x01:JOB,即作业请求,如读/写存储器、读/写块、启动/停止设备。
② 0x02:ACK,即确认响应,是没有数据的简单确认。
③ 0x03:ACK_DATA,即确认数据响应,一般是响应JOB的请求。
④ 0x07:USERDATA,即扩展协议,其参数字段包含请求/响应ID,一般用于编程/调试、读取系统状态列表、设置安全功能、设置时间等。
(2)S7COMM PDU——USERDATA类型
当PDU类型为USERDATA类型时,S7COMM协议的结构如图1-13所示。S7COMM的参数部分:参数头字段占3字节,参数长度字段占1字节,方法字段占1字节,类型字段占1/2字节,功能组字段占1/2字节,子功能码字段占1字节,序号字段占1字节。
图1-13 USERDATA类型的S7COMM协议的结构
其中,功能组和子功能码的取值决定了该报文的功能,功能组字段的取值见表1-2。
表1-2 功能组字段的取值
| 功能组代码 |
含义 |
|---|---|
| 0x0 |
转换工作模式(Mode-transition) |
| 0x1 |
工程师调试命令(Programmer commands) |
| 0x2 |
循环读取数据(Cyclic data) |
| 0x3 |
块功能(Block functions) |
| 0x4 |
CPU功能(CPU functions) |
| 0x5 |
安全功能(Security functions) |
| 0x6 |
可编程块函数发送/接收(PBC BSEND/BRECV) |
| 0x7 |
时间功能(Time functions) |
| 0xf |
NC编程(NC programming) |
当功能组代码为0x4,即CPU功能时,子功能码的取值见表1-3。
(3)S7COMM请求包及响应包分析
这里以USERDATA类型为例进行介绍,通信请求方通过发送USERDATA类型的数据包,实现读系统状态列表的功能。系统状态列表用于描述PLC的当前状态,其内容只能读取不能修改。系列状态列表包含了系统数据、模块状态数据、模块诊断数据和模块诊断缓冲区信息。
表1-3 子功能码的取值
| 子功能码代码 |
含义 |
|---|---|
| 0x01 |
读系统状态列表(Read SZL) |
| 0x02 |
消息服务(Message service) |
| 0x03 |
诊断消息(Diagnostic message) |
| 0x05 |
显示ALARM |
| 0x06 |
显示NOTIFY |
| …… |
…… |
读系统状态列表数据请求包需要为功能组和子功能码配置对应的值,如图1-14所示,Parameter部分的功能组值为0x4,子功能码为0x01。
图1-14 S7COMM读系统状态列表数据请求包
S7COMM设备收到数据请求包后会根据请求内容,返回数据响应包,可以看到,返回的信息中包含了模块的序列号、模块类型ID等信息,如图1-15所示。在进行资产识别时,该功能能够提供这些信息以帮助识别S7COMM设备的具体型号。
3.DNP3
DNP3是应用于自动化组件之间的通信协议,常见于电力、水处理等行业。DNP3主要基于TCP/IP,比Modbus协议更复杂,在应用层实现了对传输数据的分片、校验、控制、优先级设置等诸多功能,例如SCADA系统可以使用DNP3与主站、RTU等进行通信。此外,相较于Modbus协议,其安全性有所提高,但仍存在缺乏认证、缺乏加密等固有问题。
图1-15 S7COMM读系统状态列表数据响应包
4.IEC系列协议
IEC系列协议包括IEC 60870-5-101、IEC 60870-5-104等协议,是电力行业的主要工业控制协议。IEC系列协议主要基于TCP/IP,采用平衡传输模式,用于调度主站的应急管理系统和子站的RTU等设备之间的通信,且终端系统不需要特殊的网络软件、路由功能,也无须进行网络管理。但IEC系列协议同样存在缺乏认证、缺乏授权、缺乏加密等固有问题,以及缓冲区溢出等漏洞。
5.OPC协议
OPC是一项应用于自动化行业及其他行业的数据安全交换可互操作性标准,由OPC基金会负责运维,同时也是微软组件对象模型(Component Object Model,COM)和分布式组件对象模型(Distributed Component Object Model,DCOM)接口标准在工业领域的体现。但当其基于Windows操作系统时,容易受到Windows系统已知漏洞、弱口令等问题的影响;当其基于远程过程调用(Remote Procedure Call,RPC)协议时,则易受到所有RPC协议相关漏洞的影响。
工业信息安全威胁分析是开展工业信息安全防护与应急处置工作的基础。按照威胁对象的不同,工业信息安全威胁可分为工业网络安全威胁、工业设备安全威胁、工业系统安全威胁和工业数据安全威胁4个类别。
1.工业网络安全威胁的来源
工业控制网络和IT网络在设备类型、通信协议、性能要求、可用性要求等方面的区别,使得当前已经很成熟的IT网络安全防护手段无法完全适配于工业控制网络。同时,由于工业网络的信息化程度加深,一些原本仅存在于IT网络中的风险被引入了工业控制网络,导致工业控制网络面临更加严峻、复杂的威胁。
下面依据工业网络的体系架构,由低到高逐层分析工业控制网络正在面临的安全威胁的来源。
(1)现场总线控制网络的脆弱性
首先是工业控制网络的现场控制层,对应的是现场总线控制网络。该层网络通常处于作业现场,包含了大量的工业控制设备,采用多种通信接入方式,环境比较复杂,其安全威胁来源如下。
① 工业控制设备存在大量安全漏洞,包括PLC漏洞、RTU漏洞、串口服务器漏洞等,这些漏洞为进入现场控制层的攻击者提供了大量的可攻击点。
② PLC等现场设备在现场维护时,使用不安全的串口连接,如缺乏连接认证或有效的配置核查,这可能允许攻击者直接通过硬件连接便取得设备的控制权。
③ 现场总线控制网络内传输的工业控制系统数据没有进行加密,因此面临被攻击者篡改和泄露的威胁。
④ 应用无线和微波等接入技术,入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
⑤ 缺乏工控安全审计、检测及入侵防御的措施,难以及时发现并拦截攻击者的攻击行为。
(2)过程控制与监控网络的脆弱性
其次是工业控制网络的过程监控层,对应过程控制与监控网络。该层网络负责工业控制系统的管控,是现场总线控制网络和企业信息网络之间数据交互与展示的桥梁。该网络通常含有SCADA系统服务器、历史数据库、实时数据库以及HMI等关键工业控制组件。该层的安全威胁来源如下。
① 该层网络可能使用老旧的信息资产作为控制服务器,如Windows XP、Windows 7等,从而引入了安全风险。
② 运维人员使用不安全的移动维护设备,如包含恶意代码的笔记本电脑、移动U盘等,从而造成木马、病毒等恶意代码在网络中传播。
③ 该层网络与现场总线控制网络的RTU/PLC等设备使用不安全的无线通信。
④ 使用不安全的通信协议。由于工业通信协议在设计时大多没有考虑安全因素,因此存在缺乏认证、授权和加密机制,数据与控制系统以明文方式传递,在处理有效/无效的格式化消息等方面存在缺陷的问题,容易被攻击者利用。
(3)企业信息网络的脆弱性
最后是工业控制网络的企业管理层,对应企业信息网络。该层网络主要负责企业日常的商业计划、物流管理、工程系统,涉及企业的应用资源,包括MES、ERP和办公自动化(Office Automation,OA)等与企业运营相关的系统,通常由各种功能的计算机构成。由于使用了传统的IT资产,又与工业控制网络连接,可以发现其面临的安全威胁来源如下。
① 企业信息网络与工业控制网络连接,企业信息网络中的病毒、木马等恶意代码可通过横向传播渗透进工业控制网络破坏生产。
② 针对IT技术人员的安全教育多注重信息的保密性,缺乏工业控制网络安全意识培训,可能会使IT技术人员出现误操作,甚至是人为恶意的破坏操作。
2.工业网络安全威胁分析
网络系统面临的威胁主要分为来自外部的人为影响(尤其是人为攻击)和自然环境的影响。人为攻击的范围包括随意(非法)浏览信息,使用特殊技术对系统进行渗透以得到有针对性的信息等。工业网络安全威胁的对象主要包括网络协议、网络拓扑、网络设备和网络软件等,如网络接口程序故障、连接错误、电磁辐射等都属于典型的工业网络安全威胁。这里主要针对工业网络协议和网络防护边界可能面临的威胁进行分析。
(1)工业网络协议威胁
工业网络协议根据其应用厂商的服务领域不同,具有明显的行业特点,如Modbus、S7COMM、通用工业协议(Common Industrial Protocol,CIP)常用于过程自动化,使用领域较广;楼宇自动化和控制网络(Building Automation and Control network,BACnet)、OPC统一架构(OPC-Unified Architecture,OPC-UA)常用于智能楼宇;IEC 60870-5-104、IEC 60870-5-101、DNP3常用于电力行业。协议厂商涉及西门子、施耐德、罗克韦尔等,由于协议开发之初各个安全厂商默认工业控制网络与互联网隔离,或者说默认工业控制网络是安全的,因此在设计协议时缺乏安全考量,导致协议在认证、授权、加密和完整性等方面存在不足。部分工业网络协议常用端口及设计缺陷见表1-4。
表1-4 部分工业网络协议常用端口及设计缺陷
| 协议 |
行业 |
协议介绍 |
设计缺陷描述 |
|---|---|---|---|
| Modbus |
过程自动化 |
常用端口:TCP/502 协议介绍:工控常用协议,已成为通用工业标准。Modbus协议是应用于电子控制器的一种协议,通过此协议,设备间可以实现相互通信 |
缺乏认证、授权、加密等安全机制 |
| S7COMM |
过程自动化 |
常用端口:TCP/102 协议介绍:西门子PLC支持的通信协议,用于西门子设备之间交换数据,使用S7COMM应用接口的通信不依赖特定的总线系统 |
完整性保护不足,面临中间人攻击威胁 |
| BACnet |
智能楼宇 |
常用端口:UDP/47808 协议介绍:为计算机控制采暖、制冷、空调供热、通风与空气调节系统和其他建筑物设备系统定义的服务和协议 |
设计了安全机制,但应用协议存在认证缺失缺陷 |
| IEC 104 |
电力 |
常用端口:TCP/2404 协议介绍:输配电通信协议。IEC 104即IEC 60870-5- 104,是IEC制定的一个规范,用于适应和引导电力系统调度自动化的发展,规范调度自动化及远动设备的技术性能 |
缺乏认证和数据完整性校验机制 |
绝大多数基于工业网络协议漏洞的威胁,从技术原理来说,都是利用了网络中所使用的协议栈的漏洞,以及各种传输协议之间的不一致性,从而影响信息的安全质量。针对协议栈的漏洞所衍生的威胁主要包括如下3个方面。
① 拒绝服务(Denial of Service,DoS)。这种攻击方式由于技术门槛低,实现起来相对容易,因此是工业网络中出现频率较高的一类攻击。攻击者通过消耗系统性能或网络带宽两种方式,使目标网络系统无法提供正常服务。
② 重放。也叫回放攻击,指攻击者重新发送一个接收者已经接收过的数据包,一般用于进行认证欺骗或者破坏业务逻辑。
③ 欺骗。通常指地址欺骗,也包括业务层的认证欺骗等技术,在工业以太网环境中常见的协议欺骗威胁方式包括地址解析协议(Address Resolution Protocol,ARP)欺骗、IP欺骗、路由欺骗、OPC欺骗、SNMP欺骗、域名系统(Domain Name System,DNS)欺骗、Web欺骗等。
(2)网络防护边界威胁
在理想状况下,工业网络中的重要系统都应采取完善的边界划分和隔离措施,从而能够具备强大的防御机制去抵御各类攻击。但在现实情况下,攻击者可以通过众多接入方式渗透到工业控制系统中。比较常见的是通过业务网络,利用多种接入方式,直接进入高安全级别工业控制系统的非军事区(Demilitarized Zone,DMZ),甚至控制网络中。造成这种情况的重要原因之一是网络的防护边界划分不清,这种边界模糊的情况可使攻击者极易绕过边界防御措施,而且不对网络防护边界进行正面破坏,就能使得所有隔离防御措施无法起到有效保护系统的作用。除了边界划分不清的原因之外,边界防御机制不足也会导致类似情况出现。这种在工业网络边界区域之间的威胁基本上涵盖了所有常见的技术攻击手段,按照威胁类别来看,包括非法信息泄露、非法分析、非法修改、非法破坏、篡改控制组件、冒充合法用户、抵赖、DoS、提升权限、病毒感染、非法物理存取等。
工业环境中的设备种类繁多,几乎所有具有物理形态的硬件实体都可以被认为是工业设备。常见的工业设备包括各种服务器、工作站、伺服电机、智能传感器、PLC、DCS控制单元、全球定位系统(Global Positioning System,GPS)模块、HMI、RTU、工业交换机、防火墙、移动客户端、网络时间协议(Network Time Protocol,NTP)、时钟等。为了区分方便,一般将工业设备分为网络和安全设备、控制设备、终端设备和一次性设备等。
1.访问控制威胁
访问控制是指主体(发起者,工业环境中多为操作员、服务、进程等)依据某些控制策略或权限,对客体(多数时候是指需要关注和保护的服务、进程、数据等资源)及其资源进行的不同的授权访问。它可以限制主体对客体的访问权限,从而使系统在合法范围内使用。一般来说,访问控制威胁所对应的客体为具体的工业设备,包括终端和服务器等设备中的操作系统、数据库系统和中间件等系统软件,以及网络和安全设备,而威胁主要包含不合法主体的任意访问行为,以及合法主体的越权访问行为。基于主体对象的差异,可以将访问控制威胁分为物理访问威胁和逻辑访问威胁两大类。
2.设备漏洞威胁
相比于设备在外部访问控制策略上的疏忽所引发的威胁,由于设备自身与生俱来的漏洞所导致的威胁对于企业来说可能更加危险。目前来看,外部访问控制本身就是为了避免设备自身漏洞被利用而设计的。比较常见的设备漏洞包括固件后门、远程执行漏洞、弱口令账号、溢出漏洞、非法硬件模块等。对应的主要威胁包括后门的利用、弱口令爆破、缓冲区溢出攻击、DoS攻击、无线定位、远程访问木马等。
工业系统涵盖了软件、硬件、协议栈、数据和人等多个层面。工业系统即工业环境中的系统,一般指各种控制系统的总称,由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成。
1.系统配置与策略威胁
一般来说,针对工业系统的威胁是直接利用系统自身的技术漏洞来实现攻击的。然而,有时候即使已经部署、更新了较为完善的系统,并且应用了大量安全技术和管理手段,仍难以有效避免安全问题。究其原因,可能在于系统运维期间没有做好安全运维工作。其中,导致这类问题出现的最常见的一种原因是在系统配置与策略上存在疏忽,使得攻击者能够轻松利用这些疏忽,甚至在没有攻击者的情况下,系统自身就因为配置和策略的疏忽而引发异常安全事件。
2.系统漏洞威胁
工业控制系统漏洞可进一步分为非授权执行、非授权写入、非授权读取和DoS四大类。其中,非授权执行指的是shellcode执行、数据执行保护(Data Execution Prevention,DEP)绕过、命令注入和结构查询语言(Structure Query Language,SQL)注入等可以直接对系统造成较大程度控制的漏洞。非授权写入指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等,但无法直接执行代码的漏洞。非授权读取指的是能读取指定或任意文件、内存信息等的漏洞。DoS指的是因负载过大而导致软件无法正常工作的漏洞。
3.供应链威胁
供应链是指通过对信息流、物质流和资金流的全面控制,从原料采购直至最后将产品送到最终用户手中的全过程链条结构,涉及整个产业中的制造商、分销商、零售商和最终用户,任何一个环节出现安全问题,都可能导致整个工业业务进程的停滞,造成严重的损失。以往的安全工作多专注于企业自身,没有把与之相关的各类业务对象和整个供应链纳入考虑。近年来,利用安全防护相对薄弱的供应链上的安全漏洞实施攻击而导致的安全事件数量逐步增多。供应链对于工业领域业务正常运转起着举足轻重的作用,如同战争时期的物资供需一般,同时供应链本身也是相当复杂的系统。很多时候,攻击者在不容易实现正面强攻的情况下,就会尝试寻找供应链环节的漏洞,进而利用各种技术手段来突破。
随着工业互联网的应用,工业数据开始从少量、单一、单向逐渐走向大量、多维、双向,具有体量大、种类多、结构复杂等特点。在工业互联网场景下,需要实现工业数据在IT和运营技术(Operational Technology,OT)层、工厂内外的双向流动共享。一般而言,工业数据面临的安全威胁主要是指对数据的保密性、完整性和可用性3个方面的威胁。从数据流动的过程来看,工业数据主要在数据传输和存储两个环节上面临安全威胁,其面临的安全威胁也略有差异。
1.工业数据传输过程面临的安全威胁
工业环境中传输的数据类型包括实时过程控制数据、设备状态、监控数据、系统故障诊断数据、报警数据等,数据量通常并不大,数据对实时传输的要求也不尽相同。随着互联网技术的出现,两化融合和物联网的发展使得通用协议越来越广泛地应用在工业控制网络中,工业控制系统与各种业务系统的协作成为可能。愈加智能的工业控制网络中各种应用、工业控制设备以及办公用个人计算机系统逐渐形成一张复杂的网络拓扑,随之而来的通信协议漏洞问题也日益突出,加之工业系统自身不重启、不间断和传输指令质量要求高的特点,由协议攻击造成的工业系统威胁日趋严重。
2.工业数据存储过程面临的安全威胁
工业环境中的数据类型复杂,种类很多,从生产现场的控制指令和设备状态数据,到工业互联网应用中的生产营销、物流管理数据等,既有对实时性要求很高的监控信息,又有可以离线转储的非易失性数据文件。一般来说,工业数据存储过程面临的主要安全威胁如下。
(1)数据丢失或损坏
硬件、软件、灾难和人为原因这4个方面的因素均可导致工业数据的丢失或损坏,将严重影响工业控制系统的正常运行。
(2)数据篡改
工业数据面临的篡改风险主要来自两个方面。一方面,商业间谍、内部不法人员、外部非法入侵者等对系统虎视眈眈。另一方面,系统复杂性、人为事故、操作失误等也会对工业控制系统造成破坏,导致数据的篡改,严重威胁工业控制系统的安全。
(3)数据泄露
工业控制系统,PLC,运动控制器,所使用的控制协议、控制平台、控制软件等,在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战,均可能造成数据的泄露。
3.工业云数据安全威胁
工业云是在云计算模式下为工业企业提供软件服务和信息资源存储,使工业企业的社会资源实现共享化的一种技术应用概念。目前,其主要的应用场景就是云制造服务平台,包括供应链服务、仿真设计[如计算机辅助设计(Computer-Aided Design,CAD)、产品数据管理(Product Data Management,PDM)、计算机辅助工程(Computer-Aided Engineering,CAE)、计算机辅助工艺规划(Computer-Aided Process Planning,CAPP)]、协同制造(如MES)、市场营销(如ERP)、数字出版等。不同于很多工业数据都存储在生产现场终端、数据机房或监控中心中,工业云环境下的数据多数时候都存储在第三方平台上,只有少数规模较大、拥有私有工业云的集团企业才会将数据存储在自己可控的数据环境中。在工业云的发展过程中,安全问题是最主要的阻碍之一。其中,针对工业云环境中与数据安全相关的威胁主要包括数据泄露、数据篡改与丢失、越权访问、应用程序接口(Application Program Interface,API)非法利用、系统漏洞利用、账户劫持、内部恶意人员攻击、高级可持续威胁(Advanced Persistent Threat,APT)攻击、DoS攻击、共享技术漏洞利用、介质接入攻击等。
1.工业信息安全内部威胁
当前,工业信息系统面临的内部威胁包含以下几个方面。
(1)设计之初未充分考虑安全需求
工业控制系统设备、协议及应用程序在设计之初未充分考虑信息安全需求,对于访问控制、认证、授权等缺乏策略机制,无法有效抵御常见的网络攻击,使得外部网络的病毒和攻击行为可以畅通无阻地进入工业控制系统,并造成破坏。
(2)存在大量老旧工业控制系统及设备
工业控制设备长时间不升级,导致工业控制系统中存在大量过时的技术和产品,例如国内发电厂和金属冶炼厂仍然大量使用Windows 2000和Windows XP系统,而微软公司在很久以前就停止了对这两种操作系统的支持。此外,早已过时的DCOM技术仍在使用,该技术的通信端口不固定,网络攻击很容易和DCOM技术混在一起以逃避追踪。
(3)补丁更新不及时且修补难度大
鉴于业务的特殊性,补丁可能导致正常业务不能进行,因此很难对工业控制系统实施安全补丁升级。同时,这些正常业务很容易被杀毒软件识别为病毒程序,所以工业控制系统往往呈现为既没有补丁、又没有杀毒软件的裸机状态。
(4)内部人员误操作致使系统被破坏
受传统工业生产安全意识的影响,工作人员普遍关注人员安全和设备安全,基本不关注网络安全。工业企业通常未制定明确的网络安全工作方案和框架,同时忽视了员工网络安全意识和技能的培训,使得内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的重要安全风险,相关安全事件频发。
例如,2000年3月,澳大利亚昆士兰州新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也未发出报警信号。在分析事件原因时,最初以为是新系统的磨合问题,后来发现是该厂一名前工程师因不满工作续约被拒而蓄意报复所为。这名前工程师通过一台笔记本电脑和一个无线发射器控制了150个污水泵站;前后3个多月,总计有100万升的污水未经处理而直接经雨水渠排入自然水系,导致当地环境受到严重破坏。2008年3月,美国佐治亚州的哈奇核电厂2号机组发生自动停机事件。当时,一名工程师正在对该厂业务网络中的一台计算机(用于采集控制网络中的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时,同步程序重置了控制网络中的相关数据,使得控制系统以为反应堆储水库水位突然下降,自动关闭了整个机组。
2.工业信息安全外部威胁
随着网络空间对抗博弈的不断加剧,工业领域的信息基础设施成为重点攻击目标,防护压力空前增大。总体来看,工业信息安全面临的外部威胁主要有以下3个方面。
(1)技术共享推动攻击难度降低
随着工业信息安全的研究热度与日俱增,大量工业信息安全漏洞、攻击技术可通过互联网等多种公开或半公开渠道扩散,因此攻击者获取针对工业控制系统的攻击方法越来越容易。一方面,诸如黑客大会、开源社区、白帽社区的出现,在提高人们发现工业信息漏洞能力的同时,技术的相互交流也使得漏洞信息甚至攻击方法能够被攻击者快速获取。另一方面,黑客组织公开披露了大量安全漏洞等敏感信息,易被攻击者利用并引发安全事件。此外,各类信息获取渠道的便利化也使得黑客可通过至少3种方式发现联网的工业控制系统和产品,包括通过百度、谷歌等网页搜索引擎检索工控产品Web发布的统一资源定位符(Uniform Resource Locator,URL);通过Shodan等主机搜索引擎检索工业控制系统软硬件的HTTP/SNMP等传统网络服务端口关键指纹信息;通过在线监测平台匹配工业控制通信私有协议端口网络指纹特征,以发现正在运行的工控软硬件设备等。
(2)境外国家级黑客组织攻击加剧
随着工业生产环境对管理和控制一体化需求的不断升级,以及网络、通信等信息技术的广泛深入应用,越来越多的工业控制系统与企业网中运行的管理信息系统之间实现了互联、互通、互操作,甚至可以通过互联网、移动互联网等直接或间接地访问,导致攻击者可从研发端、管理端、消费端、生产端任意一端实现对工业控制系统的攻击或病毒传播。而越来越多的工业控制系统及设备与互联网连接,使得我国面临的安全风险进一步加大。
(3)国外品牌的工业控制系统占比较高
自主可控的设备产品、技术和服务是保障重点行业工控安全的基石。我国工业控制基础软硬件发展滞后,核心竞争力较弱,工业控制系统产品仍然较大程度地依赖国外进口和运维,核心技术仍然受制于国外公司,企业的自主创新能力不强,如精密采集、精准时钟、智能算法、故障定位、中断调度等技术还未完全掌握。此外,部分国产工业控制基础软件仍然缺乏基础编码、软件开发、接口集成、运行维护等标准规范,导致软件的可扩展性、可配置性、可重构性和互操作性较差,应用效果不佳。
传统IT系统中安全的三要素由高到低排列分别是保密性(Confidentiality,C)、完整性(Integrity,I)、可用性(Availability,A)。
① 保密性:是指保证信息不被非授权访问,即使非授权用户得到信息,也无法知晓信息内容,因而不能非法使用。保密性通常通过访问控制阻止非授权用户获得机密信息,通过加密变换阻止非授权用户获知信息内容。
② 完整性:是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应该发生人为或非人为的非授权篡改。信息的完整性包括两个方面:一是数据完整性,主要指数据没有被(未授权)篡改或损坏;二是系统完整性,主要指系统未被非法操纵,按既定的目标运行。
③ 可用性:是指保障信息资源随时可提供服务的能力特性,即授权用户可根据需要随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量,涵盖物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。其中,可用性也称有效性,指信息资源可被授权实体按要求访问、正常使用或在非正常情况下能恢复使用的特性。其保证系统在运行时能正确存取所需信息,当系统遭受意外攻击或破坏时,可以迅速恢复并能投入使用。在工业领域,生产连续性一般是指不接受中断,若需要中断,则必须提前规划,不允许生产系统随意重新启动。
企业开展工业信息安全防护的最终目标是免受网络攻击或减少网络攻击造成的损失,保障企业业务运营的连续性;对于行业和国家,做好工业信息安全工作则事关经济良好运行、国家安全和社会稳定。如前所述,从传统信息安全的角度出发,开展信息安全工作的目标就是保证信息资产的“CIA”三元组:保密性、完整性、可用性。但对于工业控制系统而言,系统可用性至关重要,应用于工业领域时,特别是生产环节,则需要调整为“AIC”(如图1-16所示),即工业领域更关注可用性,其次是完整性,最后才是保密性。
图1-16 工业信息安全“AIC”示意
完整性是指信息在传输、交换、存储和处理过程中,保持信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。同样,从生产的角度看,完整性也是十分重要的,直接影响产品的“良品率”。随着工业领域数字化转型的深入,工业领域管理、运维、市场等数据的保密性也正在成为工业信息安全关注的焦点。保密性是指不将有用信息泄露给非授权用户的特性,可以通过信息加密、身份认证、访问控制、安全通信协议等技术实现。
随着安全形势的不断演变和安全需求的发展,在“AIC”基本特性的基础上,强调保证数据安全、共享安全,数据权属等的可控性、不可否认性、可审计性、可鉴别性等特性也逐步被单独地研究和应用。
1.常见的网络攻击类型
(1)中间人攻击
中间人攻击是“间接”的入侵攻击方式。所谓“中间人”,是指通过各种技术手段将受攻击者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间(如图1-17所示),这台受攻击者控制的计算机就被称为“中间人”。攻击者控制的计算机与通信的两端分别创建独立的联系。对下,篡改上位机的控制指令,使PLC脱离管理员的控制,破坏生产;对上,显示系统正常运行,延迟管理员发现安全威胁的时间,从而造成更大的破坏。中间人攻击可以概括为一种“欺上瞒下”的攻击手段。
图1-17 中间人攻击原理
中间人攻击的步骤可以简要概括为以下4步。第一步,获取PLC、上位机的设备型号、IP地址、常用端口号等信息,这是建立连接的必要前提。第二步,进行ARP地址欺骗,建立连接,捕获流量数据。第三步,对捕获的流量数据进行分析,查找用于控制的功能码或其他关键参数,并进行篡改。第四步,发动攻击,发送篡改或原来的数据包导致系统运行异常。
(2)模糊测试(Fuzz Testing)攻击
工业控制系统的模糊测试原本是一种测试方法,指自动化生成可用于输入被测试工业控制系统或设备的测试数据,进而检验工业控制系统或设备的安全性。而模糊测试攻击则利用相同的手段达到破坏系统运行的目的。模糊测试攻击的原理如图 1-18所示。
图1-18 模糊测试攻击原理
(3)口令爆破攻击
口令爆破攻击基于身份验证漏洞。身份验证是网络互联条件下授予指定用户控制权限前,证明网络或系统上用户身份的过程。若用户身份验证系统存在使用简易密码等漏洞,则很容易被非授权用户猜解,或攻击者从其他渠道获取了某系统存储的大量的用户密码对,由于用户常常在不同的系统中使用相同的身份验证信息,因此攻击者可发动撞库攻击,爆破登录口令。这两种方式都可能导致攻击者打穿或绕过身份验证过程,非法获取系统控制权限。因此,若使用者的密码设置简单或在多个系统中使用相同的密码,则可成为攻击者的攻击切入点。
(4)勒索软件攻击
勒索软件(Ransomware)是一种流行的木马病毒,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、等价的比特币或其他虚拟货币。
当前勒索软件攻击肆虐,甚至已形成了“三重勒索”的攻击模式。据国家工业信息安全发展研究中心统计,2020年工业领域的勒索软件攻击事件共33起,远超2016—2019年的事件数量总和;近些年针对工业实体的勒索软件攻击暴增500%以上,其中,制造业是发生勒索软件攻击事件最多的行业,攻击数量占比高达36%。
2.常见的网络攻击过程
攻击者在掌握对应漏洞的条件下可以发起上述攻击,但在实际过程中,攻击者会先实施攻击目标确认、位置隐藏、威胁信息收集、漏洞扫描、漏洞利用等步骤,为发动攻击打好基础,便于其后续实施恶意操作并放大破坏效果。
(1)攻击目标确认
攻击者在发起攻击前,需要先明确攻击的目标。攻击的目标主要由中断、拒绝和操纵组成。
① 中断:包括画面中断和控制中断。
② 拒绝:包括拒绝接收画面、拒绝接收控制指令、拒绝接收功能安全指令。
③ 操纵:包括画面操纵、控制操纵、传感器与仪器仪表操纵、功能安全操纵。
(2)位置隐藏
发起攻击前,攻击者通常会使用如下技术隐藏真实的IP地址,从而规避法律惩罚。
● 利用被侵入的主机作为跳板。
● 在安装Windows的计算机内利用WinGate软件作为跳板。
● 利用配置不当的Proxy作为跳板。
● 更老练的黑客会使用电话转接技术隐蔽自己。常用的手法包括:利用800号电话的私人转接服务连接因特网服务提供商(Internet Service Provider,ISP),然后盗用他人的账号上网;通过电话连接一台主机,再经由主机连接互联网。
(3)威胁信息收集
在信息收集阶段,攻击者会从技术上制定渗透计划,使攻击行动更具可行性。信息收集的方式主要分为3种。
① 被动收集信息:通过第三方渠道收集信息,完全不与被攻击对象产生交互,这种信息收集方式安全,但信息不一定完全准确。
② 半主动收集信息:和被攻击对象交互,但流量是正常的访问流量,比如正常使用浏览器打开被攻击对象的网页,这种正常的用户行为是很难被提前甄别的。
③ 主动收集信息:直接和被攻击对象交互,如端口扫描、子域名穷举等,这种行为通常会被入侵检测系统(Intrusion Detection System,IDS)和防火墙拦截,所以在主动收集信息时最好不要触发任何报警机制。
通过应用Nmap、Shodan、Burp Suite、sqlmap等收集的信息一般包括如下内容。
● 通过DNS和IP地址收集目标网络信息。
● Google Hacking查询子域名、子目录、敏感文件、通信信息、注入点。
● 子域名获取。
● 收集目录结构。
● 端口、服务、指纹识别。
● 安全漏洞信息等。
(4)漏洞扫描
漏洞是指系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。
漏洞扫描与漏洞挖掘是两个概念,漏洞挖掘一般是指通过模糊测试的方法,构造一系列无规则的“坏”数据“插入”工业控制设备,观察其运行状态,以发现潜在的故障。如果故障可被重复利用并能导致控制设备的宕机、DoS等异常现象,则推断这是一个漏洞,也就是我们常常闻之色变的“零日”漏洞。
但在工业控制系统中,漏洞挖掘会给正在运行的生产过程带来威胁,因此一般采用漏洞扫描的方式。漏洞扫描能够把已经公开的漏洞通过漏洞库信息匹配等已知、确定的方法展现出来。
(5)漏洞利用
这里以经典的、广泛存在的SQL漏洞利用为例进行介绍。SQL注入是指Web应用程序对用户输入数据的合法性没有进行判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL注入原理如图1-19所示。
图1-19 SQL注入原理
sqlmap是一款开源的渗透测试工具,可用于自动化的检测,利用SQL注入漏洞获取数据库服务器的权限。它具有功能强大的检测引擎,可提供针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据、访问操作系统文件,甚至可以通过外带数据连接的方式执行操作系统的命令。其目前支持的常见的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等。常用的爆破命令如图1-20所示。
图1-20 常用的爆破命令
sqlmap -u "url"结果如图1-21所示,可以看到,数据库管理系统的类型为Microsoft Access。sqlmap -u "url" --tables获取数据库中的表,如图1-22所示。sqlmap -u "url" -T表名 --columns 获取数据库某个表中的字段,如图1-23所示。sqlmap -u "url" -T 表名 -C字段名 --dump 获取表中字段具体的值,如图1-24所示。
图1-21 获取数据库管理系统类型
图1-22 获取数据库中的表
图1-23 获取admin表中的字段
图1-24 获取admin表中字段具体的值
防范SQL注入攻击通常可以采取以下5种措施。
① 定制黑、白名单:将对数据库的常用请求定制为白名单,一些攻击频繁的攻击限制其为黑名单。
② 限制查询长度和类型:由于SQL注入过程中需要构造较长的SQL语句,可对不常用的查询类型进行限制。
③ 数据库用户的权限配置:根据程序要求为特定的表设置特定的权限,降低普通用户的权限,使得攻击者即便获取了此账号信息,也无法进行破坏性操作。
④ 限制目录权限:管理员在互联网信息服务中为每个网站设置好执行权限,Web目录应至少遵循“可写目录不可执行,可执行目录不可写”的原则,在此基础上,对各目录进行必要的权限细化。
⑤ 输入过滤:在网页代码中对用户输入的数据进行严格过滤,如危险字符过滤或语句过滤。
