《工业互联网安全技术基础》课件- 16-其他协议安全及防护

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第3章工控控制安全技术其他协议安全及防护目录01020304IEC协议安全其他工控协议OPC协议安全几种工控协议的比较一、IEC协议安全1、IEC协议概述

IEC101是国际标准对应电子行业标准DL/T634，远动设备及系统传输规约第101篇基本远动任务问答方式，上行信息：遥测、通信、通脉、终端设备状态，下行信息：遥控、设点、对时。特点是信息量大，传输机制成熟。将IEC101的链路报文和应用报文用TCP/IP方式传输就认为是IEC104。IEC101信息报文的头是68LL68，尾是16；IEC104的信息报文的头68L，没有固定尾。一、IEC协议安全2、IEC101/104协议特点是一个利用串行口进行传输的规约，可通过modem、电力载波、光纤等介质传输分为平衡式和非平衡式两种模式上行：遥测、遥信、累计量、SOE、步位置，参数上传下行：遥控命令，遥掉设点命令，总召唤，分组召唤，电能冲脉召唤，参数下装等IEC101规约特点一、IEC协议安全2、IEC101/104协议特点是一个利用网络进行传输的规约，传输层采用TCP/IP协议。不利用IEC的链路层功能而用TCP/IP传输层。增加应用规约控制信息（APCI），采用启/停的传输控制。采用的是平衡式的通信方式，传输启动后，主站和子站都能主动发送信息。选取IEC101中定义的SADU并新增了ASDU。IEC104规约特点IEC系列协议如IEC60870-5-101、IEC60870-5-104等是电力行业的主要工控协议，在电厂、变电站等领域有着广泛的应用。优点优点开放、标准免费、放心通用的电力标准简单易实现推广应用丰富的设备支持一、IEC协议安全3、IEC协议优点一、IEC协议安全4、IEC101体系结构示意图

IEC104规约标准定义了开放的TCP/IP接口的使用，包含一个由传输IEC101ASDU的远动设备构成的局域网的例子。一、IEC协议安全5、IEC101、104规约体系结构

由图可见，IEC104实际上是将IEC101与TCP/IP提供的网络传输功能相结合，使得IEC101在/IP内各种网络类型均可使用，包括Xo25、FR（帧中继）、ATM（异步传输模式）和ISDN（综合业务数据网）

一、IEC协议安全6、数据帧格式启动字符（68H）APDU长度控制域8位位组1控制域8位位组2控制域8位位组3控制域8位位组4ASDUAPDU标准格式启动字符（68H）APDU长度控制域8位位组1控制域8位位组2控制域8位位组3控制域8位位组4APCI标准格式一、IEC协议安全7、U帧

控制功能帧U帧包括启动、停止、测试帧。控制域1的第一个bit=1，第二个bit=1定义了U帧。启动帧：用于启动应用层传输停止帧：用于停止应用层传输测试帧：元数据传输时候，用于维持链路活动状态。一、IEC协议安全8、I帧、信息传输帧I帧报文格式规定控制域1和控制域3的最低位为0；其他部分用于发送序列号和接收序列号的计数；一、IEC协议安全9、S帧、确认帧S帧报文格式规定控制域1的第0位为1，第1位为0和控制域第0位为0；S帧报文的发送序列号都为0S帧只用于APCI中（意思就是S帧的apdu报文只会有apci不会存在asdu），不能用于传输信息，只用给对方信息的确认，比如子站发送8条报文，结束后主站就会给子站发送一个确认帧（S帧），告诉子站我收到了8条报文。一、IEC协议安全10、IEC104工作原理104协议以子站为服务端，主站为客户端。主站应能自动判断、切换、处理来自网络和常规方式的数据信息，保证数据的唯一性。在多客户访问的情况下，通过MAC地址和IP地址划分控制安全级别。如果服务端发现IP重复，应拒绝控制命令的执行为保证网络方式运行的安全，稳定，可靠，在主站端应对以网络方式通信的分站按照单独站进行画面、数据库、报表的定义。一、IEC协议安全11、IEC104基本流程IEC104规约作为网络通信规约，由客户端和服务端组成，服务端口默认为2404。它的基本流程如下：1.由客户端向服务器建立连接，同时，发送链路启动帧。2.服务端在收到链路启动帧后，向客户端发送启动确认帧。3.客户端收到启动确认帧后，发送总召数据请求帧。4.服务端收到总召数据请求后，发送总召数据响应帧，然后继续发送总召数据。总召数据发送完成后，发送总召数据结束帧。5.客户端在收到总召数据结束帧后，发送对时请求帧。6.服务器收到对时请求帧后，发送对时响应帧。7.由服务器主动向客户端发送变化数据帧。同时，收到客户端发送的控制类命令，回复相应的操作结果。8.客户端等到下一个数据总召周期，重复第4步之后的流程。一、IEC协议安全12、IEC104应用范围用途104规约用于调度自动化系统、厂站之间的通讯。传输数据方式104规约是用网络传输数据。维护难度104规约是目前常用的远动及集控，该规约规定的数据量一般可以满足现场的实际要求，其特点是稳定，便于维护。保护对象104规约属于远动通信规约，用于调度自动化系统，调度与厂站之间的SCADA系统等之间的通信。用途104是远动控制通信的。用于调度自动化系统、厂站之间的通讯。一、IEC协议安全13、IEC安全防护

13.1IEC安全问题窃听攻击者从网络上窃听他人的通信内容。信息在传输过程中被直接或是间接地窃听，攻击者通过对其进行分析得到所需的重要信息。并且数据包仍然能够到到目的结点。

截获攻击者有意中断他人在网络上的通信。信息在传输过程中被非法中断，并且目的结点不能收到该信息，即信息在传输过程中丢失了。一、IEC协议安全伪造攻击者伪造信息在网络上传送。源节点并没有发出任何信息，但攻击者伪造出信息并伪装成源结点发出信息，目的结点将收到这个伪造信息，

篡改攻击者故意篡改网络上传送的报文。信息在传输过程中被攻击者截获，并且修改数据包，然后攻击者再将篡改后的数据包发送到目的结点。在目的结点的接收者看来数据没有问题，但其实已经被攻击者恶意篡改过。13、IEC安全防护

13.1IEC安全问题安全设备应用冗余身份认证网络隔离数据加密一、IEC协议安全13、IEC安全防护

13.2IEC安全防护二、OPC协议安全1、OPC协议概述

OPC协议是一个工业标准，由标准国际组织OPC基金会进行管理，会员遍布全球包括自动化控制系统，仪器仪表及过程控制系统等公司。OPC协议是基于微软OLE、COM、和DCOM三大组件构成，其中包括一整套接口、属性和方法标准，用于过程控制和制造业自动化系统。OPC技术规范是由OPC基金会在1996年8月发布的简单、一步到位的解决方案。优点优点开放、标准高效、方便通用的工业标准便于集成应用广泛主流的系统支持二、OPC协议分析2、OPC协议优点二、OPC协议分析3、OPC协议不足虽然OPC标准中包含了OPCHistory标准,但是多数OPC服务器并未给予支持,所以难以为实时数据库提供数据缓存功能。OPC服务器无法提供一些常用的计算功能,如累计、滤波和几个位号相加的综合计算功能,增加了实时数据库的负担,影响了实时数据库的稳定性和鲁棒性。OPC基于微软的COM/DCOM体系,在分布式应用中其所用的RPC方式常常与企业级的防火墙发生冲突。不能通过防火墙。二、OPC协议安全4、OPCUA

为了应对标准化和跨平台的趋势，为了更好的推广OPC，OPC基金会近些年在之前OPC成功应用的基础上推出了一个新的OPC标准-OPCUA。OPCUA接口协议包含了之前的A&E,DA,OPCXMLDAorHDA，只使用一个地址空间就能访问之前所有的对象，而且不受WINDOWS平台限制，因为它是从传输层Scoket以上来定义的，这点后面会提到，导致了灵活性和安全性比之前的OPC都提升了。二、OPC协议安全5、OPCUA和OPC的区别

核心的区别是因为OPC和OPCUA协议使用的TCP层不一样，如下图：OPC是基于DOM/COM上，应用层最顶层；OPCUA是基于TCPIPscoket传输层.二、OPC协议安全6、OPC工作原理二、OPC协议安全7、OPC通信示例二、OPC协议安全8、OPC参考模型7-应用层6-表示层5-会话层4-传输层3-网络层2-数据链路层1-物理层7-应用层（OPC-API）6-表示层（COM/DOMC）5-会话层（RPC）4-传输层3-网络层2-数据链路层1-物理层OSI模型4-应用层3-传输层2-网络互联层1-网络接口层TCP/IP模型OPC模型二、OPC协议安全9、OPC标准OPC标准规范由下图的一系列标准组成，当前应用最成熟的规范主要是“数据访问规范”、“报警与事件处理规范”和“历史数据存取规范”。二、OPC协议安全10、OPC对象OPC标准规定的OPC对象有三类，OPCService(服务器对象)、OPCGroup（组对象）和OPCItem(数据项对象)二、OPC协议安全10、OPC技术应用范围二、OPC协议安全1、安全分析动态端口明文传输协议缺陷传统防火墙不支持OPC协议的识别解析，为了能够保证OPC业务的正常使用，只能开放OPC服务器的所有可开放端口，而OPC服务器可分配端口号范围很广，端口全部开放将使得OPC服务器受攻击面大大增加。OPC协议架构基于Windows平台，Windows系统所具有的漏洞和缺陷在OPC部署环境下依然存在。为保证数据传输的实时性，OPCClassic协议多采用明文传输，易于被劫持和修改指令。二、OPC协议安全2、防护方案（1）传统IT系统防火墙二、OPC协议安全2、防护方案（2）端口防护工业防火墙二、OPC协议安全2、防护方案（3）指令防护工业防火墙三、其他工控协议1、ETHERNET/IP 1.1概述

ETHERNET/IP使用标准以太网帧（以太类型OXSOE1）与通用工业协议（CommonIndustrialProtocolCIP）的套件组合与节点进行通信。它是一种面向对象的协议，能够保证网咯上隐式的实时I/O信息和显式信息（包括用于组态参数设置、诊断等）的有效传输。三、其他工控协议1、ETHERNET/IP

1.2优缺点优点缺点EnterNet/IP实现了通过以太网提供控制，配置和数据的采集服务。大多数用户可以利用现用的以太网技术知识和网络设施，发挥最大的作用。EtherEnt/IP和现在的TCP/IP协议能够共存。EthernetIP是实时以太网协议，容易受到以太网漏洞的影响。CIP未定义任何显式或隐式的安全机制；使用通用工业协议必须对对象进行设备标识，为攻击者进行设备识别与枚举创造条件；使用通用应用对象进行设备信息交换与控制，可能扩大遭受工业攻击的范围，令攻击者可以操纵更多的工业设备；三、其他工控协议2、PROFINET协议

2.1概述

PROFINET由PROFIBUS国际组织（PROFIBUSInternational，PI）推出，是新一代基于工业以太网技术的自动化总线标准。

PROFINET为自动化通信领域提供了一个完整的网络解决方案，囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题，并且，作为跨供应商的技术，可以完全兼容工业以太网和现有的现场总线（如PROFIBUS）技术，保护现有投资。三、其他工控协议2、PROFINET协议

2.2优缺点优点缺点PROFINET支持工具调用接口（ToolCallingInterface，简称TCI）。邻近识别及设备替换。参数服务器确定性：PROFINET支援确定性的资料传递，可用在高准确度的控制任务中。冗余：PROFINET中的冗余概念大幅提升