工业控制系统应用与安全防护技术（微课版）课件 第1章 绪论

工业控制系统应用与安全防护技术第1章绪论1.1工业控制系统概述

当前，工业控制系统几乎应用于每个工业部门和关键基础设施，为智能电网、大化工、核设施和公共服务等国家关键基础设施提供自动化作业支撑，保障了社会经济活动的正常运行，是国家工业和社会现代化的一个重要标志。工业控制系统可快速适配行业和应用场景的差异，高效地完成任务管理。

1.1.1工业控制系统概述

工业控制系统（IndustrialControlSystem，ICS）简称工控系统，是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的业务流程管控系统，用于确保工业基础设施自动化运行、过程控制与监控。工业控制系统对诸如图像、语音信号等大数据量、高速率传输的要求，又促进了以太网与控制网络的结合。嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术的融合，进一步拓展了工业控制领域的发展空间，带来新的发展机遇。随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化、智能化方向发展。

工业控制系统各组成部分按照功能可以划分为三类：控制、监视和画面。

（1）控制。控制功能的作用是控制阀门开关、电动机启停等现场工业控制系统部件。控制功能既可由操作人员干预驱动被控对象，也可以由控制程序自动化驱动被控对象。

（2）监视。监视功能是监视工业生产过程的当前状态，这些状态包括温度、压力、流量等工业生产要素，以数值的形式展示出来。监视功能可以实现自动的报警、异常状态记录，并不完全需要人工的干预。

（3）画面。画面功能是将工业生产过程以视图的形式传递给操作人员，以便根据当前的状态做出相应的调整。画面功能是一种依赖于具体操作人员的被动管理手段。

工控系统根据系统规模、部署方式和拓扑结构划分的不同，又可以分为SCADA（SupervisoryControlandDataAcquisition，数据采集与监控）、DCS（DistributedControlSystem，分布式控制系统）、PLC（可编程逻辑控制器）和FCS（FieldControlSystem，现场控制系统）等形式。1.1.2控制系统基本工作原理

控制系统是工控系统的物理部分，用于专门管理和操纵一组设备或系统的装置。其中的控制过程是指受控对象及其对应的操作，例如在化工领域，表示将原料按规程进行混合使之发生反应，并最终生成产品的一系列操作。图1-5控制系统的典型结构1.1.3工业控制系统架构

综合各工业企业网络现状，结合ANSI/ISA-99标准可以将工业控制系统分为：企业资源层、生产管理层、过程监控层、现场控制层和现场设备层五个层次。企业管理层通过以太网连接到生产管理层，并可以通过网关接入Internet；生产管理层通过工业网关与过程监控层相连；过程监控层获取现场控制层的实时数据；现场控制层通过现场总线实现控制器与现场设备层设备的信息交互。图1-7工业控制系统参考模型1.1.4工业控制行业现状

伴随着科技的进步，工业控制行业技术有如下发展趋势。

1.智能控制2.基于新材料的电力电子器件3.边缘计算4.控制系统网络化5.工业通信无线化1.2工业控制系统信息安全通常情况下，工业控制系统安全可以分成三个方面，即功能安全、物理安全和信息安全。

功能安全是为了达到设备和工厂安全功能，控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。

物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。物理安全，保护要素主要由一系列安全生产操作规范定义。

信息安全的范围较广，大到涉及国家军事政治等机密安全，小到防范企业机密的泄露、个人信息的泄露等。1.2.1工业控制系统信息安全定义与需求1.工业控制系统信息安全定义

在ISO/IEC27002中，信息安全的定义是“保持信息的保密性、完整性、可用性，也可包括真实性、可核查性、不可否认性和可靠性等”。

在IEC62443中针对工业控制系统信息安全的定义是：

“保护系统所采取的措施；由建立和维护保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，同时保证授权人员和系统不被阻止；防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作。”2.工业控制系统信息安全需求

现在更多的IT信息技术用在工业控制系统中，工控网络与IT网络紧密连接，然而工控系统信息安全与IT系统信息安全在策略上有很大不同。工控系统的边缘设备是执行器、传感器、控制器等物理控制设备，IT系统则是由计算机、服务器、路由器等网络设备组成。IT系统注重的是数据管理，大部分数据都是公共数据和个人信息数据，而工控系统控制实际的物理过程，大部分是工控设备的遥信、遥测、遥控和遥调等四遥信息。工控系统和IT系统信息安全需求区别如下：1）性能需求2）风险管理需求3）部件生命周期4）通信方式5）数据流量表1-1ICS数据流量和IT网络数据流量特性分析对比表数据流量特性工控系统（ICS）IT网络数据长度ICS中数据长度相对小些；传输频率较高，瞬时数据量较少IT网络传输数据的频率相对低，瞬时传输数据量较大周期性ICS中通信数据具有周期特性的信息比较多，网络流量呈周期性IT网络通信数据一般比较多元化，且不确定性墙，不具周期性响应时间ICS实时性要求较高，响应时间小IT网络可容忍一定的响应时间数据包流向分析ICS通信行为比较固定，纵向控制命令表现为请求和响应，流向明确IT网络数据行为自由、突发时序性ICS主要是控制物理过程，控制信息存在时序性特点IT网络不存在特殊要求1.2.2工业控制系统信息安全优先原则

与传统信息网络的CIA原则不同，工业控制系统遵循的是AIC原则，其重要程度按照机密性、完整性、可用性依次递增。图1-8ICS系统与IT系统信息安全三原则优先级区别1.2.3国内工控系统安全问题

随着越来越多的工业控制系统与互联网连接，传统相对封闭的工业生产环境被打破，

木马、勒索病毒等威胁从网络端渗透蔓延至内网系统，存在内网大范围感染恶意软件、高危木马等潜在安全隐患，黑客可从网络端攻击工业控制系统，甚至通过攻击外网服务器和办公网实现数据窃取。

首先，针对数据层面的攻击方式类型多样。以暴力破解凭证、勒索攻击、撞库攻击、漏洞攻击等方式威胁数据安全的网络攻击日益增多，成为工业互联网数据安全的重大威胁。

其次，工业主机、数据库、

App等存在的端口开放、漏洞未修复、接口未认证等问题，都成为黑客便捷入侵的攻击点，可造成重要工业数据泄露、财产损失等严重后果。

最后，新一代信息技术应用带来新的数据安全风险。1.2.4工业控制系统安全防护体系

工业控制系统安全防护体系的总体设计应遵循主动防御、纵深防御、动态防御和统一管理的设计思想，针对工业企业的特点和总体的安全要求，从工控设备、工控机、工控网络和工控数据等方面进行分析，建立设备安全、主机安全、网络安全和数据安全的纵深防护体系，同时在企业建设统一安全管理中心，形成集漏洞扫描、入侵检测、数据审计、主机防护、威胁感知等多种防御检测手段为一体的多层次防御体系。图1-9工业控制系统安全防护体系技术结构图1.3工业控制系统安全事件

工控安全事件为基础工业正常运行敲响了警钟。通过分析近几年全球重大工控安全事件，发现大都发生在关系到国计民生的基础流程行业。流程工业中的石化、电力、化工等基础性行业，既关系到整个制造业的能源和原料供给，也关系到千家万户的衣食住行，其工控系统的安全可靠异常敏感和关键，一旦出现问题后果将不堪设想。2010年的震网病毒、2012年的“火焰”病毒、2014年的Havex病毒等专门针对工业控制系统的超级病毒给用户造成了巨大的损失，直接或间接地威胁到国家安全，让越来越多的国家意识到了流程行业工控系统自主可控的重要性。网络攻击已经从虚拟世界转向现实世界，关键性基础设施成为安全威胁的指向目标，严重影响国家和社会的安全。工控系统一旦遭受攻击，受破坏程度巨大，可导致工控系统瘫痪、设备报废、工厂停工，甚至严重影响到人们的日常生活。工控信息安全事件影响范围不仅仅是某个国家或地区，也不仅仅是某个领域，它已波及全球，影响众多领域和行业，工控信息安全威胁日益成为各行各业不得不高度重视的严重问题。以下介绍一些影响巨大的全球性工控安全事件。1.3.1震网病毒事件1.震网病毒事件分析

震网病毒是一种恶性蠕虫电脑病毒，直接攻击西门子公司的SIMATICWinCC系统。这是一款数据采集与监视控制（SCADA）系统，被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行于Windows平台，常被部署在与外界隔离的专用局域网中。

一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都不是寻常攻击所能做到的。这也表明攻击的意图十分明确，显然是一次精心谋划的攻击。图1-10

震网病毒攻击示意图2.震网病毒特点（1）震网病毒具有很强的毒性和破坏力。（2）震网病毒定向明确，具有精确制导的“网络导弹”能力。（3）震网采取了多种先进技术，具有极强的隐身性。（4）与传统的电脑病毒相比，震网病毒不会通过窃取个人隐私信息获利。（5）震网病毒具备超强的USB传播能力。3.震网病毒事件安全启示

在我国，PLC和WinCC已被广泛应用于很多重要行业，一旦受到攻击，可能造成相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故的发生。在日常安全维护中，可以从以下几个方面加以考虑。

（1）加强主机，尤其是内网主机的安全防范，即便是物理隔离的计算机也要及时更新操作系统补丁，建立完善的安全策略。

（2）安装安全防护软件，包括反病毒软件和防火墙，并及时更新病毒数据库。

（3）建立软件安全意识，对企业中的核心计算机，随时跟踪所用软件的安全问题，及时更新存在漏洞的软件。

（4）进一步加强企业内网安全建设，尤其重视网络服务的安全性，关闭主机中不必要的网络服务端口。

（5）加强口令管理，所有软件和网络服务均不启用弱口令和默认口令，定期更新口令。

（6）加强对可移动存储设备的安全管理，关闭计算机的自动播放功能，使用可移动设备前先进行病毒扫描，为移动设备建立病毒免疫，使用硬件式U盘病毒查杀工具。1.3.2乌克兰电力事件2015年12月23日，当时乌克兰首都基辅部分地区和乌克兰西部的140万名居民遭遇了长达数小时的大规模停电，至少三个电力区域被攻击，占据全国一半地区。乌克兰的Kyivoblenergo电力公司表示他们公司遭到木马BlackEnergy网络入侵，因此导致7个110KV的变电站和23个35KV的变电站出现故障，从而导致断电。乌克兰电厂遭袭事件是一次计算机恶意程序导致停电的事件，证明了通过网络攻击手段可以实现工业破坏。1.攻击采用的技战术乌克兰电力事件攻击示意图如图1-11所示。图1-11

乌克兰电力事件攻击示意图2.攻击载体主要组成

1）漏洞-CVE-2014-41142）木马病毒-BlackEnergy3

乌克兰电力事件以CVE-2014-4114漏洞及木马病毒BlackEnergy-3等相关恶意代码作为主要攻击工具，通过前期的资料采集和环境预置，以含有漏洞的邮件为载体发送给目标，植入木马载荷实现攻击点突破；通过远程控制系统节点下达断电指令，摧毁破坏SCADA系统实现迟滞恢复和状态致盲；利用DDoS电话攻击作为干扰，最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。本次攻击的突破点并没有选择电力设施的纵深位置，也未使用0day漏洞，而是沿用了传统的攻击手法，从电力公司员工主机突破，利用木马实现攻击链的构建，具有成本低，打击直接、作用明显的特点。3.乌克兰电力事件启示

当前，在网络空间所面临的风险日趋严峻。电力行业作为关键信息基础设施，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。因而，必须增强网络安全意识，统筹规划好电力系统网络安全防护能力建设，做好电力监控系统日常安全防护工作。

在网络安全领域，在高级网空威胁行为体开展体系化攻击的情况下，仅仅进行单点或简单的多点防护，并不足以形成有效的防御体系。必须将单点对抗转化为体系对抗，将安全措施机械累加转化为有机融合。

保障重要信息资产和规模性信息资产安全，特别是电力系统的网络安全，必须运用体系化的防御措施。体系化的防御措施不能单纯视为将网络安全产品进行成套部署和安装，而是要发挥安全防护体系的作用，要实现安全能力的有机融合与无缝对接。这就要求必须建立科学规范的安全运营流程，完善网络安全制度，通过切实可行的安全措施来堵塞漏洞。包括软硬件在内的安全资产，需要及时进行更新与维护；对于公开的补丁和漏洞，要及时打补丁、进行升级来提高安全性。只有通过制度化、体系化的运营机制，才能提升体系化的安全防护能力，防止出现重大网络安全事故。1.3.3其他典型事件

工业控制系统信息安全事件频繁出现，在能源、交通运输、制造、水利等国家基础行业呈明显增多趋势。近年来各国遭受的工控安全事件如下：1.美国天然气管道运营商遭勒索软件攻击2.欧洲能源巨头EDP遭受RagnarLocker勒索软件攻击3.德国硅晶圆厂商X-FAB遭Maze勒索软件攻击4.温哥华地铁遭到Egregor勒索软件的攻击5.美国佛罗里达州水处理系统遭黑客攻击6.起亚汽车遭受DoopelPaymer勒索软件攻击7.欧洲能源技术供应商遭勒索攻击8.伊朗各地加油站因网络攻击出现软件故障9.农业机械巨头爱科遭勒索攻击10.印度洪水监测系统遭勒索软件攻击11.印度塔塔电力遭遇网络攻击12.哥伦比亚能源供应商EPM遭受勒索软件攻击1.4工业控制系统安全标准

党中央、国务院高度重视信息安全问题。习近平总书记多次就网络安全和信息化工作作出重要指示，强调“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”。《中国制造2025》中提出要“加强智能制造工业控制系统网络安全保障能力建设，健全综合保障体系”。面对日益严峻的工控系统信息安全形势，我国政府和相关主管部门相继出台了多项政策法规，为规范工控系统信息安全领域的相关活动提供了政策指导和实施指南。1.4.1国际标准体系

国际上，研究工控系统安全的标准化组织主要有：国际电工委员会（IEC，InternationalElectroTechnicalCommission）、国际自动化协会（ISA，theInternationalSocietyofAutomation）、美国国家标准技术研究院（NIST，NationalInstituteofStandardsandTechnology）等。国外发布的工业控制系统信息安全标准主要有：1.IEC62443标准2.SP800-82《工业控制系统（ICS）安全指南》3.IEC62351标准4.ISO/IEC27000系列标准1.IEC62443标准IEC62443一共分为了四个部分，12个文档，对资产所有者、系统集成商、组件供应商提出了相关信息安全的要求。第一部分是通用标准，第二部分是策略和规程，第三部分制定系统级的措施，第四部分制定组件级的措施。IEC62443标准结构如图1-12所示。图1-12

IEC62443标准结构图2.SP800-82《工业控制系统（ICS）安全指南》SP800-82《工业控制系统（ICS）安全指南》是美国国家标准与技术研究院（NIST）于2010年10月发布。该指南为保障工业控制系统ICS提供指南，包括监控与数据采集系统（SCADA）、分布式控制系统和其他完成控制功能的系统。它概述了ICS和典型的系统拓扑结构，指出了这些系统存在的典型威胁和脆弱点，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在风险和影响水平的不同，提出了保障ICS安全的不同方法和技术手段。该指南可用于电力、水利、石化、交通、化工、制药等行业的ICS系统安全管理。

为了确保ICS的安全运行，该指南包括以下六个方面的内容：

（1）ICS和SCADA系统概述及其典型的系统拓扑；

（2）ICS与IT系统之间的区别；

（3）标识ICS的典型威胁、漏洞以及安全事件；

（4）如何开发和部署SCADA系统的安全程序；

（5）如何考虑建设网络体系结构；

（6）如何把SP800-53中“联邦信息系统与组织安全控制方法”部分提出的管理、运营和技术方面的控制措施有效运用在ICS中。3.IEC62351标准IEC62351是国际电工委员会针对电力系统信息安全问题制定的通信协议安