《工业控制网络安全技术与实践》一一1.1 工业控制系统与工业控制网络概述

简介:

本节书摘来自华章出版社《工业控制网络安全技术与实践》一 书中的第1章,第1.1节,作者:姚 羽 祝烈煌 武传坤  ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.1 工业控制系统与工业控制网络概述

为了全面理解工业控制网络和工业控制系统,我们需要首先了解其基本概念,本节主要介绍工业控制系统和工业控制网络的基本概念,以及二者的区别和联系,然后介绍工业控制网络和传统IT信息网络的区别。
1.1.1 什么是工业控制系统
工业控制系统(Industrial Control System,ICS)是指由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些组成部分通过工业通信线路,按照一定的通信协议进行连接,形成一个具有自动控制能力的工业生产制造或加工系统。控制系统的结构从最初的CCS(计算机集中控制系统),到第二代的DCS(分布式控制系统),发展到现在流行的FCS(现场总线控制系统)。随着智能化工业的发展,基于以太网的工业控制系统得以迅速发展[1]。
根据中华人民共和国公共安全行业标准中的信息安全等级保护工业控制系统标准,可将通用的工业企业控制系统层次模型按照不同的功能从上到下划分为5个逻辑层,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。
根据不同的层次结构划分,各个层次在工控系统中发挥不同的功能。
在通用的工业企业控制系统中,各层次的功能单元和资产组件映射模型如图1-1所示。
image

图1-1 通用工业企业功能单元和资产组件映射模型
企业资源层主要通过ERP系统为企业决策层及员工提供决策运行手段。该层次应重点保护与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产不被恶意窃取,硬件设施不遭到恶意破坏。
生产管理层主要通过MES为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块。该层次应重点保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取,硬件设施不遭到恶意破坏。
过程监控层主要通过分布式SCADA系统采集和监控生产过程参数,并利用HMI系统实现人机交互。该层次应重点保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏,同时应保护运行在这些设备上的软件和数据资产,如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取。
现场控制层主要通过PLC、DCS控制单元和RTU等进行生产过程的控制。该层次应重点保护各类控制器、控制单元、记录装置等不被恶意破坏或操控,同时应保护控制单元内的控制程序或组态信息不被恶意篡改。
现场设备层主要通过传感器对实际生产过程的数据进行采集,同时,利用执行器对生产过程进行操作。该层次应重点保护各类变送器、执行机构、保护装置等不被恶意破坏。
1.1.2 什么是工业控制网络
目前,工业控制网络还没有一个标准的定义。在一些学术文章和相关文献中,通常将工业控制网络定义为以具有通信能力的传感器、执行器、测控仪表作为网络节点,以现场总线或以太网等作为通信介质,连接成开放式、数字化、多节点通信,从而完成测量控制任务的网络。
工业控制网络就是工业控制系统中的网络部分,是一种把工厂中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。工业控制系统包括工业控制网络和所有的工业生产设备,而工业控制网络只侧重工业控制系统中组成通信网络的元素,包括通信节点(包括上位机、控制器等)、通信网络(包括现场总线、以太网以及各类无线通信网络等)、通信协议(包括Modbus、Profibus等)。
从前面的定义可以看出,工控网络由多个“网络节点”构成,这些网络节点是指分散在各个生产现场,具有相应数字通信能力的测量控制仪器。它采用规范、公开的通信协议,把现场总线当作通信连接的纽带,从而使现场控制设备可以相互沟通,共同完成相应的生产任务。
实现测量监控是工业控制网络的基本任务,因此工业控制网络特别强调数据传输的完整性、可靠性和实时性,这就要求工业控制网络能够提供相应的实时通信功能。
从发展过程来看,工控网络经历了从传统控制网络到现场总线,再到目前研究非常广泛的无线网络以及工业以太网的道路。
20世纪90年代以前,大多数控制系统一般采用专用硬件、软件和通信协议,有独立的操作系统,系统之间的互联要求也不高,因此几乎不存在网络安全风险。随着科技的发展,现场总线技术兴起,并已被广泛应用于连接现场设备,如控制器、传感器与执行器等,其定义、规格、实现和市场等日趋成熟。
随着应用需求的提高,现场总线的高成本、低速率、难于选择以及难于互连、互通、互操作等问题逐渐显露,将以太网应用于工控网络构成工业以太网成为解决上述问题的有效手段。现有的工业以太网大致可以分为软实时工业以太网、硬实时工业以太网、同步硬实时工业以太网以及非实时工业以太网。不同类型的以太网在传输率、传输距离、实时和非实时调度以及应用模式方面各有不同,可在不同工业场景下发挥其作用。
随着无线通信技术的发展以及工业生产的需求,无线通信技术也逐渐进入工业控制领域,降低了设备的安装复杂度,减少了线缆,配置灵活,使用方便。特别是在“智能制造2025”国家战略的牵引下,智慧工厂蓬勃发展,无线工控网络将大展拳脚。
目前,我国各领域的关键基础设施、各行业的自动化控制均依赖工业控制系统和工业控制网络。如工控网络总线技术应用于先进的城轨交通中,它不仅被应用于牵引、制动、空调、照明和通风等系统的控制,还应用于系统的故障诊断分析以及车辆行为安全相关的一些检测设备,如火灾报警等,并能根据需要对设备进行远程控制。因此,工控网络的安全性是一切涉及国计民生事件平稳运行的前提。
但是,多年来企业更关注管理传统网络领域的安全问题,许多企业对工业控制网络安全存在认识上的误区:认为工业控制网络没有直接接入互联网,入侵者无法通过工业控制网络攻击工业控制系统。而实际的情况是,企业的许多控制网络都是“开放的”,系统之间没有有效的隔离。进一步,采用最新技术的黑客和恶意软件甚至可以有效入侵物理隔离的网络。因此,随着信息化的推动和工业化进程的加速,工厂信息网络、移动存储介质、因特网等其他因素导致的信息安全问题正逐渐向工业控制网络扩散,这将直接影响工控网络的安全与稳定,必须引起足够的重视。
1.1.3 工业控制网络与传统IT信息网络
从大体上看,工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同[2]。
网络边缘不同:工控系统在地域上分布广阔,其边缘部分是智能程度不高的含传感和控制功能的远动装置,而不是IT系统边缘的通用计算机,两者之间在物理安全需求上差异很大。
体系结构不同:工业控制网络的结构纵向高度集成,主站节点和终端节点之间是主从关系。传统IT信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。
传输内容不同:工业控制网络传输的是工业设备的“四遥信息”,即遥测、遥信、遥控、遥调。
此外,还可以从性能要求、部件生命周期和可用性要求等多方面,进一步对二者进行对比,详细内容如表1-1所示。
image

工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科,同时拥有广泛的研究和应用背景。
两化融合后,IT系统的信息安全也被融入了工控系统安全中。不同于传统的生产安全(Safety),工控系统网络安全(Security)是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说,没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏,才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的,但是工业控制网络安全问题与传统IT系统的网络安全问题有着很大的区别。

相关文章
|
1月前
|
人工智能 Kubernetes 安全
网络安全公司前沿洞察:F5凭何成为网络安全领域的中流砥柱
网络安全公司前沿洞察:F5凭何成为网络安全领域的中流砥柱
57 4
|
4月前
|
机器学习/深度学习 数据采集 人工智能
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
GeneralDyG 是南洋理工大学推出的通用动态图异常检测方法,通过时间 ego-graph 采样、图神经网络和时间感知 Transformer 模块,有效应对数据多样性、动态特征捕捉和计算成本高等挑战。
131 18
GeneralDyG:南洋理工推出通用动态图异常检测方法,支持社交网络、电商和网络安全
|
6月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者更好地保护自己的网络安全和信息安全。
|
5月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
102 10
|
5月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
5月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
125 10
|
5月前
|
存储 监控 安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
本文将探讨云计算与网络安全之间的关系,以及它们在云服务、网络安全和信息安全等技术领域中的融合与挑战。我们将分析云计算的优势和风险,以及如何通过网络安全措施来保护数据和应用程序。我们还将讨论如何确保云服务的可用性和可靠性,以及如何处理网络攻击和数据泄露等问题。最后,我们将提供一些关于如何在云计算环境中实现网络安全的建议和最佳实践。
|
5月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
6月前
|
安全 算法 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在当今数字化时代,网络安全和信息安全已经成为了全球关注的焦点。随着技术的发展,网络攻击手段日益狡猾,而防范措施也必须不断更新以应对新的挑战。本文将深入探讨网络安全的常见漏洞,介绍加密技术的基本概念和应用,并强调培养良好安全意识的重要性。通过这些知识的分享,旨在提升公众对网络安全的认识,共同构建更加安全的网络环境。
|
5月前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
随着云计算技术的飞速发展,越来越多的企业和个人开始使用云服务。然而,云计算的广泛应用也带来了一系列网络安全问题。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析当前面临的挑战,并提出相应的解决方案。
133 3