《工业控制网络安全技术与实践》一一1.1 工业控制系统与工业控制网络概述

简介:

本节书摘来自华章出版社《工业控制网络安全技术与实践》一 书中的第1章,第1.1节,作者:姚 羽 祝烈煌 武传坤  ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.1 工业控制系统与工业控制网络概述

为了全面理解工业控制网络和工业控制系统,我们需要首先了解其基本概念,本节主要介绍工业控制系统和工业控制网络的基本概念,以及二者的区别和联系,然后介绍工业控制网络和传统IT信息网络的区别。
1.1.1 什么是工业控制系统
工业控制系统(Industrial Control System,ICS)是指由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些组成部分通过工业通信线路,按照一定的通信协议进行连接,形成一个具有自动控制能力的工业生产制造或加工系统。控制系统的结构从最初的CCS(计算机集中控制系统),到第二代的DCS(分布式控制系统),发展到现在流行的FCS(现场总线控制系统)。随着智能化工业的发展,基于以太网的工业控制系统得以迅速发展[1]。
根据中华人民共和国公共安全行业标准中的信息安全等级保护工业控制系统标准,可将通用的工业企业控制系统层次模型按照不同的功能从上到下划分为5个逻辑层,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。
根据不同的层次结构划分,各个层次在工控系统中发挥不同的功能。
在通用的工业企业控制系统中,各层次的功能单元和资产组件映射模型如图1-1所示。
image

图1-1 通用工业企业功能单元和资产组件映射模型
企业资源层主要通过ERP系统为企业决策层及员工提供决策运行手段。该层次应重点保护与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产不被恶意窃取,硬件设施不遭到恶意破坏。
生产管理层主要通过MES为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块。该层次应重点保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取,硬件设施不遭到恶意破坏。
过程监控层主要通过分布式SCADA系统采集和监控生产过程参数,并利用HMI系统实现人机交互。该层次应重点保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏,同时应保护运行在这些设备上的软件和数据资产,如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取。
现场控制层主要通过PLC、DCS控制单元和RTU等进行生产过程的控制。该层次应重点保护各类控制器、控制单元、记录装置等不被恶意破坏或操控,同时应保护控制单元内的控制程序或组态信息不被恶意篡改。
现场设备层主要通过传感器对实际生产过程的数据进行采集,同时,利用执行器对生产过程进行操作。该层次应重点保护各类变送器、执行机构、保护装置等不被恶意破坏。
1.1.2 什么是工业控制网络
目前,工业控制网络还没有一个标准的定义。在一些学术文章和相关文献中,通常将工业控制网络定义为以具有通信能力的传感器、执行器、测控仪表作为网络节点,以现场总线或以太网等作为通信介质,连接成开放式、数字化、多节点通信,从而完成测量控制任务的网络。
工业控制网络就是工业控制系统中的网络部分,是一种把工厂中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。工业控制系统包括工业控制网络和所有的工业生产设备,而工业控制网络只侧重工业控制系统中组成通信网络的元素,包括通信节点(包括上位机、控制器等)、通信网络(包括现场总线、以太网以及各类无线通信网络等)、通信协议(包括Modbus、Profibus等)。
从前面的定义可以看出,工控网络由多个“网络节点”构成,这些网络节点是指分散在各个生产现场,具有相应数字通信能力的测量控制仪器。它采用规范、公开的通信协议,把现场总线当作通信连接的纽带,从而使现场控制设备可以相互沟通,共同完成相应的生产任务。
实现测量监控是工业控制网络的基本任务,因此工业控制网络特别强调数据传输的完整性、可靠性和实时性,这就要求工业控制网络能够提供相应的实时通信功能。
从发展过程来看,工控网络经历了从传统控制网络到现场总线,再到目前研究非常广泛的无线网络以及工业以太网的道路。
20世纪90年代以前,大多数控制系统一般采用专用硬件、软件和通信协议,有独立的操作系统,系统之间的互联要求也不高,因此几乎不存在网络安全风险。随着科技的发展,现场总线技术兴起,并已被广泛应用于连接现场设备,如控制器、传感器与执行器等,其定义、规格、实现和市场等日趋成熟。
随着应用需求的提高,现场总线的高成本、低速率、难于选择以及难于互连、互通、互操作等问题逐渐显露,将以太网应用于工控网络构成工业以太网成为解决上述问题的有效手段。现有的工业以太网大致可以分为软实时工业以太网、硬实时工业以太网、同步硬实时工业以太网以及非实时工业以太网。不同类型的以太网在传输率、传输距离、实时和非实时调度以及应用模式方面各有不同,可在不同工业场景下发挥其作用。
随着无线通信技术的发展以及工业生产的需求,无线通信技术也逐渐进入工业控制领域,降低了设备的安装复杂度,减少了线缆,配置灵活,使用方便。特别是在“智能制造2025”国家战略的牵引下,智慧工厂蓬勃发展,无线工控网络将大展拳脚。
目前,我国各领域的关键基础设施、各行业的自动化控制均依赖工业控制系统和工业控制网络。如工控网络总线技术应用于先进的城轨交通中,它不仅被应用于牵引、制动、空调、照明和通风等系统的控制,还应用于系统的故障诊断分析以及车辆行为安全相关的一些检测设备,如火灾报警等,并能根据需要对设备进行远程控制。因此,工控网络的安全性是一切涉及国计民生事件平稳运行的前提。
但是,多年来企业更关注管理传统网络领域的安全问题,许多企业对工业控制网络安全存在认识上的误区:认为工业控制网络没有直接接入互联网,入侵者无法通过工业控制网络攻击工业控制系统。而实际的情况是,企业的许多控制网络都是“开放的”,系统之间没有有效的隔离。进一步,采用最新技术的黑客和恶意软件甚至可以有效入侵物理隔离的网络。因此,随着信息化的推动和工业化进程的加速,工厂信息网络、移动存储介质、因特网等其他因素导致的信息安全问题正逐渐向工业控制网络扩散,这将直接影响工控网络的安全与稳定,必须引起足够的重视。
1.1.3 工业控制网络与传统IT信息网络
从大体上看,工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同[2]。
网络边缘不同:工控系统在地域上分布广阔,其边缘部分是智能程度不高的含传感和控制功能的远动装置,而不是IT系统边缘的通用计算机,两者之间在物理安全需求上差异很大。
体系结构不同:工业控制网络的结构纵向高度集成,主站节点和终端节点之间是主从关系。传统IT信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。
传输内容不同:工业控制网络传输的是工业设备的“四遥信息”,即遥测、遥信、遥控、遥调。
此外,还可以从性能要求、部件生命周期和可用性要求等多方面,进一步对二者进行对比,详细内容如表1-1所示。
image

工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科,同时拥有广泛的研究和应用背景。
两化融合后,IT系统的信息安全也被融入了工控系统安全中。不同于传统的生产安全(Safety),工控系统网络安全(Security)是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说,没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏,才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的,但是工业控制网络安全问题与传统IT系统的网络安全问题有着很大的区别。

相关文章
|
23天前
|
存储 安全 网络安全
云计算环境下的网络安全策略与实践
【5月更文挑战第31天】 在数字化浪潮不断推进的当下,云计算以其高效、灵活和成本效益的特点成为企业数字化转型的重要推动力。然而,随着云服务的广泛应用,数据安全与隐私保护问题亦日益凸显,成为制约云服务发展的关键因素之一。本文旨在探讨云计算环境中网络安全的挑战与对策,通过分析当前云服务中存在的安全风险,提出有效的安全管理和技术措施,以增强企业在享受云计算便利的同时,保障信息安全的能力。
21 2
|
23天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的探讨
随着云计算技术的不断发展,其在各个领域的应用越来越广泛。然而,随之而来的网络安全问题也日益突出。本文将深入探讨云计算与网络安全之间的关系,重点关注云服务、网络安全和信息安全等技术领域。我们将分析云计算面临的安全挑战,并提出相应的解决方案,以确保云计算在为人们带来便利的同时,也能保障数据的安全性。
|
23天前
|
云安全 监控 安全
云端防御战线:云计算环境下的网络安全策略与实践
【5月更文挑战第31天】 在数字化时代,云计算以其灵活性、可扩展性和成本效益成为企业IT结构的核心。然而,随着云服务应用的普及,数据安全和隐私保护成为了亟待解决的挑战。本文深入探讨了云计算环境下的网络安全问题,分析了当前主流的安全威胁,并提出了一套综合的防御策略。通过采用先进的加密技术、身份认证机制、入侵检测系统以及合规性审计,构建了一个多层次、全方位的云安全防护体系。同时,文中还讨论了实施这些安全措施时可能遇到的挑战和解决方案,为读者提供了实用的指导和建议。
|
23天前
|
云安全 存储 人工智能
云端防御战线:云计算环境下的网络安全策略与实践
【5月更文挑战第31天】在数字化浪潮推动下,云计算已成为现代企业架构不可或缺的一部分。然而,随着数据和应用不断迁移至云端,传统的网络边界逐渐模糊,给安全带来了前所未有的挑战。本文探讨了云计算环境中面临的主要安全威胁,分析了当前最佳实践和新兴技术如何共同构建坚固的防御体系,以保护云服务中的数据完整性、机密性和可用性。
|
11天前
|
机器学习/深度学习 人工智能 安全
网络安全基础:防御是最佳进攻——构建坚实的网络安全防线
【6月更文挑战第12天】网络安全至关重要,防御是最佳进攻。本文探讨基础概念、关键策略及未来趋势。防火墙、入侵检测、加密技术、身份认证、访问控制、漏洞管理是防御关键。未来,人工智能、机器学习将增强威胁防御,零信任架构普及,隐私保护和数据安全成为焦点。构建坚实防线,持续学习改进,共同应对网络安全挑战。
|
10天前
|
存储 XML 数据处理
Python网络实践:去哪儿旅游数据爬取指南
Python网络实践:去哪儿旅游数据爬取指南
|
16天前
|
云安全 安全 网络安全
云端防御:云计算环境中的网络安全策略与实践
【5月更文挑战第38天】 在数字化转型的浪潮中,企业纷纷采用云计算服务以提升运营效率和灵活性。然而,云服务的广泛部署也带来了前所未有的安全挑战。本文深入探讨了云计算环境中网络安全的关键问题,分析了当前主流的云安全威胁模型,并提出了一系列创新的安全策略和最佳实践。通过结合案例分析和技术评估,我们旨在为读者提供一套全面的参考框架,以增强其在云环境下的安全防御能力。
|
23天前
|
监控 安全 网络安全
构筑防御堡垒:云计算环境中的网络安全策略与实践
【5月更文挑战第30天】在数字化时代,云计算以其弹性、可伸缩性和成本效益成为企业信息技术基础设施的关键组成部分。然而,随着其广泛应用,云环境面临的安全威胁也日益增多,从数据泄露到恶意攻击,威胁着企业和用户的信息资产安全。本文深入探讨了云计算服务模型中的网络安全挑战,并提出了一系列创新性的安全措施和最佳实践,以增强云服务的安全性。我们将从云服务的分类出发,分析不同服务模型下的安全风险,并结合最新的技术进展,如加密技术、身份认证和访问控制策略,讨论如何构建一个既灵活又强大的网络安全防护体系。
|
23天前
|
云安全 监控 安全
云端防御:云计算环境下的网络安全策略与实践
【5月更文挑战第30天】随着企业数字化转型的加速,云计算服务已成为支撑现代业务架构的关键。然而,数据和服务的集中化也带来了前所未有的安全挑战。本文将深入探讨在云计算环境中维护网络安全的策略和技术实践,涵盖从基础设施到应用层的安全考量。我们将分析云安全的最新趋势,包括加密技术、身份认证、访问控制以及入侵检测系统,并探讨如何在保障云服务效率的同时确保信息安全。
|
23天前
|
人工智能 自然语言处理 安全
构建未来:AI驱动的自适应网络安全防御系统提升软件测试效率:自动化与持续集成的实践之路
【5月更文挑战第30天】 在数字化时代,网络安全已成为维护信息完整性、保障用户隐私和企业持续运营的关键。传统的安全防御手段,如防火墙和入侵检测系统,面对日益复杂的网络攻击已显得力不从心。本文提出了一种基于人工智能(AI)技术的自适应网络安全防御系统,该系统能够实时分析网络流量,自动识别潜在威胁,并动态调整防御策略以应对未知攻击。通过深度学习算法和自然语言处理技术的结合,系统不仅能够提高检测速度和准确性,还能自主学习和适应新型攻击模式,从而显著提升网络安全防御的效率和智能化水平。 【5月更文挑战第30天】 在快速迭代的软件开发周期中,传统的手动测试方法已不再适应现代高效交付的要求。本文探讨了如