項目5工業(yè)互聯(lián)網(wǎng)控制安全認(rèn)識與實施工業(yè)互聯(lián)網(wǎng)控制安全認(rèn)識與實施【知識目標(biāo)】理解工業(yè)互聯(lián)網(wǎng)控制安全內(nèi)容和安全策略。了解工業(yè)控制系統(tǒng)的概念和組成。了解現(xiàn)場總線控制網(wǎng)絡(luò)和工業(yè)以太網(wǎng)的技術(shù)特點。掌握工業(yè)控制通信協(xié)議及其安全性。了解工業(yè)控制系統(tǒng)漏洞的總體態(tài)勢及特點。熟悉工業(yè)控制網(wǎng)絡(luò)安全防護技術(shù)。熟悉工業(yè)安全審計技術(shù)。工業(yè)互聯(lián)網(wǎng)控制安全認(rèn)識與實施【能力目標(biāo)】能分析工業(yè)控制通信協(xié)議數(shù)據(jù)包。能舉例分析APT攻擊?！舅刭|(zhì)目標(biāo)】加強自主可控意識。通過學(xué)習(xí)我國自主制定的實時以太網(wǎng)標(biāo)準(zhǔn)，增強民族自豪感。養(yǎng)成按國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)開展專業(yè)技術(shù)活動的職業(yè)習(xí)慣。通過對APT攻擊的探究，增強危機意識。培養(yǎng)良好的團隊協(xié)作能力和溝通能力。工業(yè)互聯(lián)網(wǎng)控制安全認(rèn)識與實施【學(xué)習(xí)路徑】5.1工業(yè)互聯(lián)網(wǎng)控制安全概述5.1工業(yè)互聯(lián)網(wǎng)控制安全概述從工業(yè)互聯(lián)網(wǎng)的架構(gòu)來看，工業(yè)控制系統(tǒng)是工業(yè)互聯(lián)網(wǎng)的底層，是工業(yè)互聯(lián)網(wǎng)的核心數(shù)據(jù)來源。從網(wǎng)絡(luò)安全的角度看，保護工業(yè)互聯(lián)網(wǎng)底層（即工業(yè)控制系統(tǒng)所在的邏輯層）的安全才是最終目標(biāo)。一旦工業(yè)控制系統(tǒng)遭受網(wǎng)絡(luò)攻擊，其將失去核心數(shù)據(jù)來源和可以控制的對象，使整個工業(yè)互聯(lián)網(wǎng)的其他部分也失去了價值。5.1工業(yè)互聯(lián)網(wǎng)控制安全概述體系架構(gòu)2.0指出，對于工業(yè)互聯(lián)網(wǎng)控制安全防護，可采取控制協(xié)議安全機制、控制軟件安全加固、指令安全審計、故障保護等安全策略?？刂茀f(xié)議安全機制：為了確?？刂葡到y(tǒng)執(zhí)行的控制命令來自合法用戶，必須對使用系統(tǒng)的用戶進行身份認(rèn)證，未經(jīng)認(rèn)證的用戶所發(fā)出的控制命令不被執(zhí)行?？刂栖浖踩庸蹋嚎刂栖浖墓?yīng)商應(yīng)及時對控制軟件中出現(xiàn)的漏洞進行修復(fù)或提供其他替代解決方案，如關(guān)閉可能被利用的端口等。5.1工業(yè)互聯(lián)網(wǎng)控制安全概述指令安全審計：通過對控制軟件進行安全監(jiān)測審計可及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，避免發(fā)生安全事故，并可以為安全事故的調(diào)查提供翔實的數(shù)據(jù)支持。故障保護：確定控制軟件與其他設(shè)備或軟件以及與其他智能化系統(tǒng)之間相互作用所產(chǎn)生的危險狀況和傷害事件，確定引發(fā)事故的事件類型，明確操作人員在對智能化系統(tǒng)執(zhí)行操作的過程中可能產(chǎn)生的合理、可預(yù)見的誤用。5.2工業(yè)控制系統(tǒng)基礎(chǔ)知識5.2.1工業(yè)控制系統(tǒng)簡介工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是指由計算機與工業(yè)過程控制部件組成的自動控制系統(tǒng)，它由控制器、傳感器、傳送器、執(zhí)行器和I/O接口等部分組成。這些組成部分通過工業(yè)通信線路，按照一定的通信協(xié)議進行連接，形成一個具有自動控制能力的工業(yè)生產(chǎn)制造或加工系統(tǒng)。工業(yè)控制系統(tǒng)廣泛應(yīng)用于電力、燃氣、交通運輸、建筑、化工、制造等行業(yè)。5.2.1工業(yè)控制系統(tǒng)簡介典型的工業(yè)控制系統(tǒng)架構(gòu)包括：現(xiàn)場設(shè)備層現(xiàn)場控制層過程監(jiān)控層生產(chǎn)管理層和企業(yè)資源層5.2.2工業(yè)控制系統(tǒng)組成工業(yè)控制系統(tǒng)主要包括SCADA、DCS和其他較小的控制系統(tǒng)，如PLC、RTU等。1．SCADASCADA是對大規(guī)模遠距離分布的資產(chǎn)與設(shè)備在廣域網(wǎng)環(huán)境下進行集中式數(shù)據(jù)采集與監(jiān)控管理的控制系統(tǒng)。SCADA系統(tǒng)以計算機為基礎(chǔ)，對遠程分布運行設(shè)備進行監(jiān)控調(diào)度，其主要功能包括數(shù)據(jù)采集、參數(shù)測量和調(diào)節(jié)、信號報警等。5.2.2工業(yè)控制系統(tǒng)組成SCADA系統(tǒng)一般由設(shè)在控制中心的控制服務(wù)器、通信線路和設(shè)備、RTU等組成。5.2.2工業(yè)控制系統(tǒng)組成電力生產(chǎn)與傳輸：我國電網(wǎng)運營部門使用SCADA系統(tǒng)對電力發(fā)、變、輸、配各環(huán)節(jié)進行調(diào)度，縱向分為5級，覆蓋發(fā)電廠、大小變電站、配電站、開閉所和電力饋線等多個站點。石油天然氣管道傳輸：SCADA系統(tǒng)采用以光纜為主，以衛(wèi)星通信為備用，以公眾數(shù)據(jù)通信、無線通信（GPRS、CDMA）為輔的通信方式，并在每一個通信節(jié)點實現(xiàn)了雙鏈路。城市燃氣供應(yīng)：燃氣公司的SCADA系統(tǒng)主要用于調(diào)度，滿足對燃氣廠站及燃氣管網(wǎng)等設(shè)施的監(jiān)控，且滿足對管網(wǎng)泄漏、管網(wǎng)陰極保護和安全設(shè)施狀態(tài)的監(jiān)測5.2.2工業(yè)控制系統(tǒng)組成2．DCS又稱為集散式控制系統(tǒng)，是以計算機為基礎(chǔ)，在系統(tǒng)內(nèi)部（單位內(nèi)部）對生產(chǎn)過程進行分布控制、集中管理的系統(tǒng)。DCS的基本思想是分散控制、集中操作、分級管理。從綜合自動化的角度出發(fā)，按功能分散、管理集中的原則構(gòu)思，采用多層分級、合作自治的結(jié)構(gòu)形式。5.2.2工業(yè)控制系統(tǒng)組成DCS包括：（1）操作員站（2）工程師站（3）監(jiān)控計算站（4）現(xiàn)場控制站（5）數(shù)據(jù)采集站5.2.2工業(yè)控制系統(tǒng)組成DCS自下而上通常分為控制級、監(jiān)控級和管理級，每級之間分別由控制網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)、管理網(wǎng)絡(luò)把相應(yīng)的設(shè)備連接在一起。5.2.2工業(yè)控制系統(tǒng)組成3．PLCPLC是一種常用的工業(yè)控制裝置，它操作簡單、體積小、壽命長、可靠性高，廣泛用于各種工業(yè)環(huán)境。PLC起源于順序和邏輯控制，早期只能應(yīng)用于開關(guān)量的控制，經(jīng)過半個多世紀(jì)的發(fā)展，它早已融入通信技術(shù)、控制技術(shù)和計算機技術(shù)，成為功能完備的專用設(shè)備，應(yīng)用在包括過程控制、位置控制在內(nèi)的幾乎所有控制領(lǐng)域，是過程自動化和工廠自動化綜合控制系統(tǒng)的重要組成部分。5.2.2工業(yè)控制系統(tǒng)組成單臺或單套PLC輸入輸出點數(shù)有限，通常采用多臺PLC構(gòu)成3級或4級網(wǎng)絡(luò)以滿足生產(chǎn)要求。PLC控制網(wǎng)絡(luò)向上可連接監(jiān)控管理設(shè)備，向下可連接工業(yè)現(xiàn)場設(shè)備，通常在各級子網(wǎng)中配置不同的通信協(xié)議以滿足不同的通信要求，主要可分為通用和專用兩種。5.2.2工業(yè)控制系統(tǒng)組成4．RTURTU是安裝在遠程現(xiàn)場的電子設(shè)備，用來對遠程現(xiàn)場的傳感器和設(shè)備狀態(tài)進行監(jiān)視和控制，負(fù)責(zé)對現(xiàn)場信號、工業(yè)設(shè)備的監(jiān)測和控制，獲得設(shè)備數(shù)據(jù)，并將數(shù)據(jù)傳給調(diào)度中心。通常RTU要具有優(yōu)良的通信能力和更大的存儲容量，適用于更惡劣的溫度和濕度環(huán)境，實現(xiàn)復(fù)雜的特殊算法，提供更多的計算功能和控制能力。5.2.3工業(yè)控制網(wǎng)絡(luò)工業(yè)控制網(wǎng)絡(luò)是工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)部分，是一種把工廠中各個生產(chǎn)流程和自動化控制系統(tǒng)通過各種通信設(shè)備組織起來的通信網(wǎng)絡(luò)。自20世紀(jì)80年代至今，伴隨著制造業(yè)需求的不斷升級，工廠內(nèi)網(wǎng)連接技術(shù)取得了長足的進步，工業(yè)控制網(wǎng)絡(luò)經(jīng)歷了從現(xiàn)場總線，到工業(yè)以太網(wǎng)，再到5G、TSN等網(wǎng)絡(luò)的不斷演進過程。5.2.3工業(yè)控制網(wǎng)絡(luò)1．現(xiàn)場總線是一種工業(yè)數(shù)據(jù)總線，是自動化領(lǐng)域中底層數(shù)據(jù)通信網(wǎng)絡(luò)。現(xiàn)場總線能把掛接在總線上、作為網(wǎng)絡(luò)節(jié)點的設(shè)備連接為實現(xiàn)各種測量控制功能的自動化系統(tǒng)，如比例積分微分（ProportionalIntegralDerivative，PID）控制、補償計算、參數(shù)修改、報警、顯示、監(jiān)控、優(yōu)化及控管一體化的綜合自動化功能。5.2.3工業(yè)控制網(wǎng)絡(luò)1．現(xiàn)場總線主要特點如下：（1）開放性好（2）布線簡單（3）實時性好（4）可靠性高5.2.3工業(yè)控制網(wǎng)絡(luò)1．現(xiàn)場總線近年來，歐洲、北美、亞洲的許多國家和地區(qū)都投入巨額資金與人力，研究開發(fā)出各式各樣的現(xiàn)場總線協(xié)議100多種，其中開放型現(xiàn)場總線協(xié)議就有40多種。比較流行的主要有基金會現(xiàn)場總線（FoundationFieldbus，F(xiàn)F）、過程現(xiàn)場總線（ProcessFieldBus，PROFIBus）、設(shè)備網(wǎng)（DeviceNet）、Lonworks、控制器局域網(wǎng)（ControllerAreaNetwork，CAN）等現(xiàn)場總線協(xié)議。5.2.3工業(yè)控制網(wǎng)絡(luò)2．工業(yè)以太網(wǎng)工業(yè)以太網(wǎng)源于以太網(wǎng)而又不同于以太網(wǎng)，互聯(lián)網(wǎng)及普通計算機網(wǎng)絡(luò)采用的以太網(wǎng)技術(shù)并不能滿足控制網(wǎng)絡(luò)和工業(yè)環(huán)境的應(yīng)用需要。所謂工業(yè)以太網(wǎng)，一般來講是指與以太網(wǎng)（IEEE802.3標(biāo)準(zhǔn)）兼容，又針對工業(yè)應(yīng)用采取了改進措施使其更加適用于工業(yè)場合的以太網(wǎng)。控制層的工業(yè)以太網(wǎng)與管理層的通用以太網(wǎng)采用相同的協(xié)議，方便數(shù)據(jù)交換。5.2.3工業(yè)控制網(wǎng)絡(luò)2．工業(yè)以太網(wǎng)工業(yè)以太網(wǎng)的特點如下：（1）實現(xiàn)高速、大數(shù)據(jù)量的實時、穩(wěn)定傳輸（2）集成Web功能（3）集成原有的現(xiàn)場總線系統(tǒng)（4）時鐘同步5.2.3工業(yè)控制網(wǎng)絡(luò)2．工業(yè)以太網(wǎng)目前IEC收錄的工業(yè)以太網(wǎng)國際標(biāo)準(zhǔn)有：國際的高速以太網(wǎng)（HighSpeedEthernet，HSE）、我國的EPA、德國的Profinet和EtherCAT、美國的EtherNet/IP、法國的ModbusTCP、日本的Vnet和Tcnet、奧地利的PowerLink等。其中，EPA（EthernetforPlantAutomation）是我國自主制定的實時以太網(wǎng)標(biāo)準(zhǔn)。5.2.3工業(yè)控制網(wǎng)絡(luò)2．工業(yè)以太網(wǎng)2006年，我國經(jīng)過3年多的技術(shù)攻關(guān)，提出了第一個擁有自主知識產(chǎn)權(quán)的現(xiàn)場總線國家標(biāo)準(zhǔn)《用于工業(yè)測量與控制系統(tǒng)的EPA系統(tǒng)結(jié)構(gòu)與通信規(guī)范》（GB/T20171—2006）。同時，該標(biāo)準(zhǔn)被列入現(xiàn)場總線國際標(biāo)準(zhǔn)IEC61158第4版中，標(biāo)志著我國第一個擁有自主知識產(chǎn)權(quán)的現(xiàn)場總線國際標(biāo)準(zhǔn)——EPA得到國際電工委員會的正式承認(rèn)。5.2.3工業(yè)控制網(wǎng)絡(luò)3．無線通信網(wǎng)絡(luò)無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)，具有移動性，沒有通信線纜的限制，通信終端可以在通信區(qū)域內(nèi)自由移動或靈活布置。無限網(wǎng)絡(luò)具有組網(wǎng)快速靈活，覆蓋面積廣，擴展能力強，可以組成多種拓?fù)浣Y(jié)構(gòu)，容易擴展節(jié)點特點。目前，工業(yè)無線技術(shù)的主要應(yīng)用領(lǐng)域在非關(guān)鍵工業(yè)應(yīng)用中，主要用于工廠內(nèi)部信息化、設(shè)備信息采集，以及部分非實時控制等方面，如物料搬運、庫存管理、巡檢維護等場合。5.2.3工業(yè)控制網(wǎng)絡(luò)3．無線通信網(wǎng)絡(luò)工業(yè)無線局域網(wǎng)（IndustrialWirelessLocalAreaNetwork，IWLAN）是工廠內(nèi)網(wǎng)主要應(yīng)用的工業(yè)無線通信技術(shù)。IWLAN繼承了WLAN的基本功能和特性，但工業(yè)現(xiàn)場對無線網(wǎng)絡(luò)有更嚴(yán)苛的要求，使傳統(tǒng)WLAN難以直接應(yīng)用于工業(yè)通信。5.2.3工業(yè)控制網(wǎng)絡(luò)3．無線通信網(wǎng)絡(luò)IEEE802.11ax協(xié)議是IEEE802.11協(xié)議的修訂版本，也被稱為Wi-Fi6，于2019年發(fā)布。Wi-Fi6采用正交頻分多址、上行鏈路多用戶多輸入多輸出等技術(shù)，適用于高密度無線接入和高容量無線業(yè)務(wù)，不但支持接入更多的客戶端，同時還能均衡用戶帶寬。5.2.3工業(yè)控制網(wǎng)絡(luò)3．無線通信網(wǎng)絡(luò)5G網(wǎng)絡(luò)技術(shù)作為廣域無線通信領(lǐng)域的新技術(shù)也不斷給工業(yè)控制網(wǎng)絡(luò)帶來新的變革和更為廣闊的應(yīng)用前景。5G網(wǎng)絡(luò)的eMBB、uRLLC和mMTC三大應(yīng)用場景非常適合現(xiàn)在和未來許多工業(yè)控制系統(tǒng)和工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)需求。5.2.3工業(yè)控制網(wǎng)絡(luò)4．TSN時間敏感網(wǎng)絡(luò)TSN是IEEE802.1TSN工作組開發(fā)的一套協(xié)議標(biāo)準(zhǔn)，是基于標(biāo)準(zhǔn)以太網(wǎng)技術(shù)提供確定性服務(wù)的解決方案，其最大的特點就是通過精確的時間調(diào)度、確定的時延完成數(shù)據(jù)包的傳輸，從而滿足工業(yè)等領(lǐng)域嚴(yán)苛的傳輸要求。TSN僅提供了數(shù)據(jù)鏈路層的協(xié)議標(biāo)準(zhǔn)，保證數(shù)據(jù)實時可靠地傳輸。5.2.3工業(yè)控制網(wǎng)絡(luò)TSN與5G網(wǎng)絡(luò)融合可以利用5G網(wǎng)絡(luò)將工業(yè)設(shè)備以無線的方式接入到有線網(wǎng)絡(luò)，為TSN網(wǎng)絡(luò)提供不受電纜限制的、可靠的設(shè)備接入能力。將TSN的核心機制深度集成到5G網(wǎng)絡(luò)當(dāng)中，如TSN中靈活的流量調(diào)度機制和高精度的時鐘同步機制等，以保證數(shù)據(jù)在5G網(wǎng)絡(luò)中端到端的確定性傳輸。5.3工業(yè)控制網(wǎng)絡(luò)通信協(xié)議的安全性分析5.3工業(yè)控制網(wǎng)絡(luò)通信協(xié)議的安全性分析在兩化融合、工業(yè)控制系統(tǒng)安全面臨的風(fēng)險越來越大的背景下，沒有考慮安全問題的工業(yè)控制系統(tǒng)通信協(xié)議逐漸成為工業(yè)控制系統(tǒng)安全的關(guān)注點。例如：Modbus協(xié)議、OPC協(xié)議、IEC系列協(xié)議、DNP3協(xié)議、Profinet協(xié)議等常見的工業(yè)網(wǎng)絡(luò)協(xié)議，為了保障通信的實時性和可靠性而放棄認(rèn)證、授權(quán)和加密等需要附加開銷的安全特征和功能，存在嚴(yán)重的安全問題。5.3.1Modbus協(xié)議1．Modbus協(xié)議簡介1979年，莫迪康（Modicon）公司發(fā)表了Modbus協(xié)議，該協(xié)議是專門為PLC之間的通信而設(shè)計的，且成為業(yè)界第一個真正用于工業(yè)現(xiàn)場的總線協(xié)議。Modbus協(xié)議是一個標(biāo)準(zhǔn)、開放的協(xié)議，并成為通用工業(yè)控制系統(tǒng)的通信標(biāo)準(zhǔn)，使不同廠商生產(chǎn)的控制設(shè)備可以連成工業(yè)網(wǎng)絡(luò)，進行集中監(jiān)控。5.3.1Modbus協(xié)議互聯(lián)網(wǎng)組織能夠使用TCP/IP棧上的保留系統(tǒng)端口502訪問Modbus。這也是TCP/IP唯一為工業(yè)控制系統(tǒng)協(xié)議保留的端口號。目前，可以使用下列方式實現(xiàn)Modbus：以太網(wǎng)上的TCP/IP、各種物理介質(zhì)（如EIA/TIA-232-E、EIA-422、EIA/TIA-485-A、光纖等）上的異步串行傳輸。各個設(shè)備（PLC、HMI、控制面板、I/O設(shè)備）都可使用Modbus協(xié)議來啟動遠程操作。不同類型網(wǎng)絡(luò)之間的通信可通過安裝網(wǎng)關(guān)來進行轉(zhuǎn)換。5.3.1Modbus協(xié)議下圖所示為Modbus網(wǎng)絡(luò)架構(gòu)的一個案例5.3.1Modbus協(xié)議在總線或網(wǎng)絡(luò)上的Modbus協(xié)議被封裝為通信幀，稱為應(yīng)用數(shù)據(jù)單元ADU，它包含地址段、功能碼段、數(shù)據(jù)段和校驗段。其中，功能碼段和數(shù)據(jù)段的組合稱為協(xié)議數(shù)據(jù)單元PDU，PDU與基礎(chǔ)通信層無關(guān)下圖所示是一個標(biāo)準(zhǔn)的Modbus幀結(jié)構(gòu)5.3.1Modbus協(xié)議Modbus協(xié)議采用主—從結(jié)構(gòu)，為客戶機和服務(wù)器提供通信連接。Modbus協(xié)議采用請求或應(yīng)答方式的應(yīng)用層消息協(xié)議包含以下3種PDU：Modbus請求（ModbusRequest）Modbus應(yīng)答（ModbusResponse）Modbus異常應(yīng)答（ModbusExceptionResponse）5.3.1Modbus協(xié)議Modbus工作機制如下圖所示5.3.1Modbus協(xié)議使用Modbus協(xié)議通信的每個設(shè)備都必須指定一個地址。在通信工作中，每個命令都會指定目的地址，雖然非通信設(shè)備也可能收到命令消息，但只有與地址匹配的設(shè)備才會響應(yīng)。主站（客戶機）通過發(fā)起一個包含初始功能碼和請求數(shù)據(jù)的請求PDU來啟動會話從站（服務(wù)器）兩種應(yīng)答方式：正常情況下，從站回復(fù)一個包含功能碼和響應(yīng)數(shù)據(jù)的應(yīng)答PDU如果發(fā)生錯誤，從站會回復(fù)一個包含異常功能碼與異常響應(yīng)的異常應(yīng)答PDU5.3.1Modbus協(xié)議功能碼和數(shù)據(jù)請求可用于指定多種命令，常見的命令包括控制I/O接口、讀取I/O接口數(shù)據(jù)、讀寄存器值、寫寄存器值等5.3.1Modbus協(xié)議Modbus協(xié)議的通信方式：ModbusRTUModbusASCIIModbusTCP下一代ModbusTCP安全協(xié)議5.3.1Modbus協(xié)議（1）ModbusRTU與ModbusASCII在Modbus協(xié)議誕生之初，標(biāo)準(zhǔn)的莫迪康控制器使用RS-232C實現(xiàn)串行的Modbus協(xié)議，ModbusRTU與ModbusASCII是最簡單的兩種Modbus協(xié)議變種，適用于通信串行總線（接口一般采用RS-232C或RS-485/422等），數(shù)據(jù)通信采用主站-從站方式。5.3.1Modbus協(xié)議ModbusRTU數(shù)據(jù)幀結(jié)構(gòu)如下圖所示在ModbusRTU模式下，1字節(jié)的數(shù)據(jù)傳輸?shù)木褪?字節(jié)5.3.1Modbus協(xié)議ModbusASCII數(shù)據(jù)幀結(jié)構(gòu)如下圖所示在ModbusASCII模式下，1字節(jié)的數(shù)據(jù)用2字節(jié)來傳輸5.3.1Modbus協(xié)議（2）ModbusTCP為了適應(yīng)以太網(wǎng)環(huán)境，Modbus被封裝在TCP包中，并且在默認(rèn)情況下通過TCP的502端口進行傳輸。ModbusTCP只需要把Modbus的PDU加上一個7字節(jié)的MBAP報文頭，然后通過TCP/IP發(fā)送出去即可。ModbusTCP適用于以太網(wǎng)，默認(rèn)分配502端口。5.3.1Modbus協(xié)議ModbusTCPADU結(jié)構(gòu)如下圖所示5.3.1Modbus協(xié)議MBAP報文頭的格式如下表所示5.3.1Modbus協(xié)議注意：ModbusTCP的從站地址換成了UnitIdentifier。當(dāng)網(wǎng)絡(luò)里的設(shè)備全部使用TCP/IP時，這個地址是沒有意義的，因為根據(jù)IP地址就能進行路由尋址。但是，如果網(wǎng)絡(luò)里還有其他的串行通信設(shè)備，則需要網(wǎng)關(guān)來實現(xiàn)ModbusTCP到ModbusRTU或ModbusASCII之間的協(xié)議轉(zhuǎn)換，這時要用UnitIdentifier來標(biāo)識網(wǎng)關(guān)后面的每個串行通信設(shè)備。5.3.1Modbus協(xié)議（3）ModbusTCP安全協(xié)議ModbusTCP安全協(xié)議使用通用的TLS加密技術(shù)，實現(xiàn)數(shù)據(jù)保密和完整性、設(shè)備身份識別等功能。2022年10月，國家標(biāo)準(zhǔn)化管理委員會發(fā)布了國家標(biāo)準(zhǔn)《ModbusTCP安全協(xié)議規(guī)范》（GB/T41868-2022），該標(biāo)準(zhǔn)于2023年5月1日正式實施。ModbusTCP安全協(xié)議標(biāo)準(zhǔn)的推出，為現(xiàn)有的大量使用Modbus協(xié)議的設(shè)備，提供了一種簡潔且直接的升級路徑。5.3.1Modbus協(xié)議2．Modbus協(xié)議存在的安全問題絕大多數(shù)工業(yè)控制協(xié)議在設(shè)計之初，都僅考慮了功能實現(xiàn)、提高效率、提高可靠性等方面，沒考慮過安全性問題，Modbus協(xié)議也不例外。傳統(tǒng)Modbus協(xié)議的規(guī)約設(shè)計本身缺乏安全性，如缺乏認(rèn)證、授權(quán)、加密等安全設(shè)計。另外，廠商在協(xié)議的具體實現(xiàn)時，常常出現(xiàn)功能碼濫用、代碼緩沖區(qū)溢出而導(dǎo)致的安全性問題。5.3.1Modbus協(xié)議（1）缺乏認(rèn)證在Modbus協(xié)議的通信過程中，沒有任何認(rèn)證方面的相關(guān)定義，攻擊者只需要找一個合法的地址就可以使用功能碼并建立一個Modbus通信會話，從而擾亂整個或者部分控制過程。（2）缺乏授權(quán)Modbus協(xié)議沒有基于角色的訪問控制機制，也沒有對用戶進行分類，沒有對用戶的權(quán)限進行劃分，這會導(dǎo)致任意用戶可以執(zhí)行任意操作。5.3.1Modbus協(xié)議（3）缺乏加密在Modbus協(xié)議的通信過程中，地址和命令全部采用明文傳輸，因此數(shù)據(jù)很容易就會被攻擊者捕獲和解析。（4）緩沖區(qū)溢出漏洞Modbus系統(tǒng)開發(fā)者如果不具備安全開發(fā)知識，可能會產(chǎn)生很多的緩沖區(qū)溢出漏洞，一旦被惡意者利用會導(dǎo)致嚴(yán)重的后果。5.3.1Modbus協(xié)議（5）功能碼濫用目前，功能碼濫用是導(dǎo)致Modbus協(xié)議網(wǎng)絡(luò)異常的一個主要因素。例如，不合法的報文長度、短周期的無用命令、不正確的報文長度、確認(rèn)異常代碼延遲等都有可能導(dǎo)致拒絕服務(wù)攻擊。（6）ModbusTCP的安全問題非法網(wǎng)絡(luò)數(shù)據(jù)獲取、MITM攻擊、拒絕服務(wù)攻擊、IP欺騙、病毒等在IP互聯(lián)網(wǎng)中的常用攻擊手段都會影響Modbus系統(tǒng)的安全。5.3.1Modbus協(xié)議3．Modbus協(xié)議的安全防護技術(shù)目前的Modbus系統(tǒng)采取的安全防護措施普遍不足，以下提出了一些安全建議，能有效地減少工業(yè)控制系統(tǒng)面臨的威脅。（1）從源頭開始（2）異常行為檢測（3）安全審計（4）使用網(wǎng)絡(luò)安全設(shè)備5.3.1Modbus協(xié)議（1）從源頭開始從Modbus系統(tǒng)的需求設(shè)計、開發(fā)實現(xiàn)、內(nèi)部測試和部署等階段，全生命周期地介入安全手段，融入安全設(shè)計、安全編碼以及安全測試等技術(shù)，可以減少許多安全漏洞，降低整個Modbus系統(tǒng)的安全風(fēng)險。新的國家標(biāo)準(zhǔn)《ModbusTCP安全協(xié)議規(guī)范》對傳統(tǒng)Modbus協(xié)改進，通過TLS加密技術(shù)增加了數(shù)據(jù)加密、數(shù)據(jù)完整性、設(shè)備身份認(rèn)證等安全功能，可以抵抗如重放攻擊和MITM攻擊等常見的攻擊行為。5.3.1Modbus協(xié)議（2）異常行為檢測針對Modbus系統(tǒng)，首先分析其存在的各種操作行為，依據(jù)“主體、地址、時間、訪問方式、操作、客體”等將異常行為描述成一個六元組模型，進而分析其行為是否異常，最終決定采取記錄或者報警等措施。5.3.1Modbus協(xié)議（3）安全審計Modbus的安全審計就是對協(xié)議數(shù)據(jù)進行深度解碼分析，記錄操作的時間、地址、操作者、目標(biāo)對象、操作行為等關(guān)鍵信息，實現(xiàn)對Modbus系統(tǒng)的安全審計日志的記錄和審計功能，從而提供安全事件爆發(fā)后的事后追查能力。5.3.1Modbus協(xié)議（4）使用網(wǎng)絡(luò)安全設(shè)備使用工業(yè)入侵防御設(shè)備和工業(yè)防火墻等網(wǎng)絡(luò)安全設(shè)備。工業(yè)防火墻是一個串行設(shè)備，通過設(shè)置只允許特定的地址訪問服務(wù)端，禁止外部地址訪問Modbus服務(wù)器，可以有效地防止外部干擾入侵；工業(yè)入侵防御設(shè)備可以分析Modbus協(xié)議的具體操作內(nèi)容，有效地檢測并阻止來自內(nèi)部或外部的異常操作和各種滲透攻擊行為，對內(nèi)網(wǎng)提供保護功能。5.3.2OPC協(xié)議1．經(jīng)典OPC協(xié)議OPC全稱是ObjectLinkingandEmbedding（OLE）forProcessControl，即用于過程控制的對象連接和嵌入。OPC協(xié)議不是嚴(yán)格的工業(yè)類協(xié)議。它由自動化行業(yè)軟硬件巨頭公司與微軟合作開發(fā)，起源于20世紀(jì)90年代。微軟公司的操作系統(tǒng)“統(tǒng)治”了整個自動化領(lǐng)域，自動化廠商開始在工業(yè)產(chǎn)品中使用微軟公司的COM和DCOM，定義了應(yīng)用Windows操作系統(tǒng)在基于PC的客戶機之間交換自動化實時數(shù)據(jù)的方法。5.3.2OPC協(xié)議1．經(jīng)典OPC協(xié)議除微軟公司外，工業(yè)控制領(lǐng)域知名設(shè)備制造商和軟件供應(yīng)商，如Rockwell、Siemens等以及國內(nèi)多家高校、研究機構(gòu)和知名企業(yè)，如浙江大學(xué)工業(yè)控制技術(shù)國家重點實驗室、重慶郵電大學(xué)、北京華控技術(shù)有限責(zé)任公司等，都成了OPC技術(shù)的倡導(dǎo)者和支持者，加入了OPC基金會。5.3.2OPC協(xié)議2．OPCUA協(xié)議OPC基金會發(fā)布了數(shù)據(jù)通信統(tǒng)一方法——OPC統(tǒng)一架構(gòu)（OPCUA）OPCUA是在經(jīng)典OPC技術(shù)取得很大成功之后的又一個突破，讓數(shù)據(jù)采集、信息模型化以及工廠底層與企業(yè)層之間的通信更加安全、可靠。5.3.2OPC協(xié)議2．OPCUA協(xié)議優(yōu)勢：與平臺無關(guān)，可在任何操作系統(tǒng)上運行與保留系統(tǒng)兼容，配置和維護更加方便不再基于COM、DCOM技術(shù)，更加安全、可靠可以穿越防火墻，實現(xiàn)互聯(lián)網(wǎng)通信5.3.2OPC協(xié)議3．經(jīng)典OPC協(xié)議存在的安全問題（1）已知操作系統(tǒng)的漏洞問題由于OPC協(xié)議基于Windows系統(tǒng)，通常的主機安全問題也會影響OPC系統(tǒng)。微軟公司的DCOM技術(shù)以高復(fù)雜性和高漏洞數(shù)量而著稱，這些操作系統(tǒng)層面的漏洞也成為經(jīng)典OPC協(xié)議漏洞的來源和攻擊入口。5.3.2OPC協(xié)議3．經(jīng)典OPC協(xié)議存在的安全問題（2）Windows操作系統(tǒng)的弱口令經(jīng)典OPC協(xié)議使用的最基本的通信握手過程需要建立在DCOM技術(shù)上，通過Windows內(nèi)置賬戶的方式進行認(rèn)證。但是大量使用OPC協(xié)議的主機使用弱安全認(rèn)證機制，即使啟用了認(rèn)證機制也常使用弱口令。5.3.2OPC協(xié)議3．經(jīng)典OPC協(xié)議存在的安全問題（3）部署的操作系統(tǒng)承載了多余、不必要的服務(wù)許多系統(tǒng)啟用了與SCADA系統(tǒng)無關(guān)的額外Windows服務(wù)，導(dǎo)致運行非必需的進程和開放非必需的端口，如HTTP、NEBBIOS等系統(tǒng)入口，這些問題將OPC系統(tǒng)廣泛暴露于攻擊之下。5.3.2OPC協(xié)議3．經(jīng)典OPC協(xié)議存在的安全問題（4）審計記錄不完備由于Windows2000/XP審計設(shè)置默認(rèn)不會記錄DCOM連接請求，因此攻擊發(fā)生時，日志記錄往往不充分甚至缺失，無法提供足夠的詳細證據(jù)。5.3.2OPC協(xié)議4．OPC協(xié)議的安全防護（1）會話認(rèn)證應(yīng)用層的安全性依賴于在應(yīng)用會話期間活動的安全通信信道，并確保所交換的所有消息的完整性。這意味著當(dāng)應(yīng)用程序會話建立時，用戶需要進行一次身份驗證。5.3.2OPC協(xié)議4．OPC協(xié)議的安全防護（2）審計OPC應(yīng)支持客戶端和服務(wù)器審計日志之間進行可跟蹤的安全審計。如在服務(wù)器上檢測到與安全相關(guān)的問題，可檢查關(guān)聯(lián)的客戶端以審核日志條目。OPC還應(yīng)提供服務(wù)器生成事件通知的功能，向能夠處理和記錄可審計事件的客戶端報告。5.3.2OPC協(xié)議4．OPC協(xié)議的安全防護（3）傳輸安全傳輸層的安全性可基于加密和簽名消息。加密和簽名可防止信息泄露和保護消息的完整性。（4）冗余OPC的設(shè)計應(yīng)確保供應(yīng)商能夠以一致的方式創(chuàng)建冗余的客戶端和服務(wù)器。冗余可讓系統(tǒng)具有高可用性，讓系統(tǒng)負(fù)載平衡。5.3.3IEC系列協(xié)議IEC系列協(xié)議由歐洲發(fā)起，經(jīng)過歐美多個標(biāo)準(zhǔn)組織聯(lián)合研究后陸續(xù)發(fā)布，最終被IEC確認(rèn)并形成系列協(xié)議。IEC系列協(xié)議如IEC60870-5-101、IEC60870-5-104是電力行業(yè)的主要工業(yè)控制協(xié)議，在電廠、變電站等領(lǐng)域廣泛應(yīng)用。與Modbus協(xié)議類似，IEC系列協(xié)議也有缺少認(rèn)證、缺少授權(quán)、缺少加密、緩沖區(qū)溢出漏洞、功能碼濫用、TCP/IP層安全等問題。5.3.3IEC系列協(xié)議1．基本防護（1）保證通信驅(qū)動軟件的高可靠性和正確性編寫通信驅(qū)動軟件時要對寫數(shù)據(jù)請求的合理性進行嚴(yán)格檢查，避免寫數(shù)據(jù)越界，破壞系統(tǒng)數(shù)據(jù)，造成緩沖區(qū)溢出，留下隱患；同時軟件的正確性要經(jīng)過嚴(yán)格認(rèn)證，不能影響系統(tǒng)的正常運行。5.3.3IEC系列協(xié)議1．基本防護（2）合理配置信息轉(zhuǎn)發(fā)表對于不同的主站，遠動系統(tǒng)往往配置不同的信息轉(zhuǎn)發(fā)表，進行初步的信息訪問控制，包括遙測、遙信、遙控信息轉(zhuǎn)發(fā)表等。對于無遙控信息要求的系統(tǒng)，必須取消遙控信息轉(zhuǎn)發(fā)表，以免留下安全隱患。5.3.3IEC系列協(xié)議1．基本防護（3）關(guān)閉不必要的服務(wù)和協(xié)議僅提供IEC協(xié)議及開放相應(yīng)的端口（一般為端口2404），關(guān)閉其他所有協(xié)議的服務(wù)及端口。（4）進行基本身份驗證。廠站遠動要驗證主站及路由器IP地址，主站也要驗證廠站及路由器IP地址?？墒褂梅阑饓M行訪問控制，考慮到實時性要求，可開發(fā)廠站專用防火墻，以降低通用防火墻軟件延時較大所造成的影響。5.3.3IEC系列協(xié)議2．合理的網(wǎng)絡(luò)隔離（1）廠站內(nèi)部網(wǎng)絡(luò)與遠傳網(wǎng)絡(luò)隔離遠傳網(wǎng)絡(luò)不能路由到內(nèi)部網(wǎng)絡(luò)，同樣，內(nèi)部網(wǎng)絡(luò)也不能路由到遠傳網(wǎng)絡(luò)。（2）遠傳網(wǎng)絡(luò)中控制網(wǎng)絡(luò)與非控制網(wǎng)絡(luò)隔離由于目前尚不具備遙控操作的身份驗證，遙控操作的安全性得不到充分保證，有必要將控制網(wǎng)絡(luò)獨立出來，且讓其他任何網(wǎng)絡(luò)無法路由到控制網(wǎng)絡(luò)。5.3.3IEC系列協(xié)議3．加密技術(shù)（1）直接對遠動信息進行加密即在應(yīng)用層進行加密，這也是IECTC57WG15標(biāo)準(zhǔn)工作組正在研究的工作，其關(guān)鍵是如何快速地加密和進行身份認(rèn)證，以保證遠動信息的實時性、安全性、可靠性、完整性。5.3.3IEC系列協(xié)議3．加密技術(shù)（2）IP層的加密目前最有影響的是IPSec，IPSec既可工作在傳輸模式，也可工作在隧道模式（提供VPN）。如何保證遠動信息的實時性、如何選擇加密及認(rèn)證方式、密鑰如何管理也是其面臨的主要問題。5.3.4DNP3協(xié)議分布式網(wǎng)絡(luò)規(guī)約（DistributedNetworkProtocol，DNP）最初由哈里斯公司為北美電力行業(yè)開發(fā)設(shè)計，用于與遙控變電站和其他智能電子設(shè)備（IntelligentEelectronicDevice，IED）的通信，如今發(fā)展到DNP3。DNP3協(xié)議存在的安全問題仍然是缺少認(rèn)證、缺少授權(quán)、缺少加密、協(xié)議復(fù)雜、功能碼濫用和TCP/IP層安全等問題。5.3.4DNP3協(xié)議DNP3的安全防護建議：使用安全版本的DNP3采取傳輸層協(xié)議安全措施，如使用TLS等，即將DNP3數(shù)據(jù)流視為機密信息，盡量使用各種TCP/IP安全手段保護它可以通過防火墻、IDS等設(shè)備部署，對DNP3鏈路上的數(shù)據(jù)類型、數(shù)據(jù)源及其目的地址進行嚴(yán)格控制，實現(xiàn)分區(qū)，進行全面的安全加固5.4工業(yè)控制系統(tǒng)漏洞分析5.4.1工業(yè)控制系統(tǒng)漏洞的總體態(tài)勢工業(yè)控制系統(tǒng)漏洞數(shù)量總體呈上升趨勢，高危漏洞占比較高工業(yè)控制系統(tǒng)漏洞類型多樣化特性明顯工業(yè)控制系統(tǒng)漏洞涉及行業(yè)廣泛，以制造、能源行業(yè)為主5.4.2上位機漏洞分析上位機是指人可以直接發(fā)出控制命令的計算機設(shè)備常見的上位機包括HMI、操作員站、工作站等，它的作用是監(jiān)控現(xiàn)場設(shè)備的運行狀態(tài)以及下達控制命令上位機漏洞包括通用平臺的系統(tǒng)漏洞、采用的中間件漏洞、工業(yè)控制系統(tǒng)驅(qū)動漏洞、組態(tài)開發(fā)軟件漏洞、ActiveX控件和文件格式漏洞等，這些漏洞形成的原因有很多種。5.4.2上位機漏洞分析目前，針對上位機環(huán)境的開發(fā)語言多為C/C++（1）緩沖區(qū)溢出漏洞緩沖區(qū)溢出漏洞一般是在程序編寫的時候不進行邊界檢查，超長數(shù)據(jù)導(dǎo)致程序的緩沖區(qū)邊界被覆蓋，攻擊者通過精心布置惡意代碼，在某一個瞬間獲得EIP的控制權(quán)并讓惡意代碼獲得可執(zhí)行的時機和權(quán)限。在使用C/C++開發(fā)的上位機系統(tǒng)里比較常見的就是緩沖區(qū)數(shù)組。5.4.2上位機漏洞分析（2）字符串溢出漏洞字符串存在于各種命令行參數(shù)中，在上位機系統(tǒng)和系統(tǒng)使用者的交互使用過程中存在字符串輸入的行為。字符串管理和字符串操作的失誤已經(jīng)在實際應(yīng)用過程中產(chǎn)生過大量的漏洞，差一錯誤、空字符結(jié)尾錯誤、字符串截斷和無界字符串復(fù)制是操作字符串時常見的4種錯誤。5.4.2上位機漏洞分析（3）指針相關(guān)的漏洞來自外部的輸入數(shù)據(jù)都要存儲在內(nèi)存當(dāng)中，如果存放的時候產(chǎn)生寫入越界且正好覆蓋掉函數(shù)指針，此時程序中函數(shù)的執(zhí)行流程就會發(fā)生改變，如果被覆蓋的地址是一段精心構(gòu)造的惡意代碼，此惡意代碼就會有被執(zhí)行的機會。5.4.2上位機漏洞分析（4）內(nèi)存管理錯誤引發(fā)的漏洞使用C/C++開發(fā)的上位機系統(tǒng)有時候需要對可變長度和數(shù)量的數(shù)據(jù)元素進行操作，這種操作對應(yīng)的是動態(tài)內(nèi)存管理。初始化缺陷、不返回檢查值、空指針解引用、引用已釋放內(nèi)存、多次釋放內(nèi)存、內(nèi)存泄漏和零長度內(nèi)存分配都是常見的內(nèi)存管理錯誤。5.4.2上位機漏洞分析（5）整數(shù)類溢出漏洞近幾年整數(shù)安全問題有增長的趨勢，在上位機系統(tǒng)的開發(fā)者眼里，整數(shù)的邊界溢出問題通常并沒有得到重視，很多上位機系統(tǒng)開發(fā)人員明白整數(shù)是有定長限制的，但是很多時候他們會認(rèn)為自己用到的整數(shù)表示的范圍已經(jīng)夠用。5.4.3下位機漏洞分析下位機是直接控制設(shè)備和獲取設(shè)備狀況的計算機，一般是PLC、單片機、智能儀表，智能模塊等。下位機一般具有自我檢查和自我啟動的功能，是一種小型的計算機，功能比較單一，大多使用VxWorks、μCLinux或WinCE等專用的嵌入式操作系統(tǒng)。通常下位機和上位機的通信采用不同的通信協(xié)議，可以使用RS-232/RS-485通信，還可以使用更適合工業(yè)控制的雙線Prdfibus-DP通信5.4.3下位機漏洞分析下位機常見的安全問題：（1）未授權(quán)訪問（2）通信協(xié)議的脆弱性（3）Web用戶接口漏洞（4）后門賬號5.4.4工業(yè)控制系統(tǒng)漏洞檢測技術(shù)分析工業(yè)控制設(shè)備和系統(tǒng)有如下典型特點：（1）系統(tǒng)的封閉性：設(shè)計之初的SCADA、DCS、ICS處于封閉網(wǎng)絡(luò)，因此沒有將安全機制考慮在內(nèi)。（2）數(shù)據(jù)接口的多樣性：有多種數(shù)據(jù)接口（如RJ45、RS-485、RS-232等），協(xié)議規(guī)約實現(xiàn)多樣。（3）通信的復(fù)雜性：有專用的通信協(xié)議或規(guī)約（如OPC、Modbus、DNP3、Profinet等）。（4）不可改變性：工業(yè)控制系統(tǒng)程序和固件難以升級。5.4.4工業(yè)控制系統(tǒng)漏洞檢測技術(shù)分析由于通信協(xié)議的特殊性，傳統(tǒng)漏洞庫并不適用于工業(yè)控制系統(tǒng)漏洞測試領(lǐng)域，需要使用工業(yè)控制系統(tǒng)專有漏洞庫。漏洞庫的實現(xiàn)主要通過大量的公開漏洞資源的收集，如CVE漏洞庫、CNVD等權(quán)威網(wǎng)站收錄的工業(yè)控制系統(tǒng)漏洞列表及其詳細信息?；诠I(yè)漏洞庫的漏洞檢測技術(shù)通過漏洞掃描引擎選用合適的檢測規(guī)則，結(jié)合工業(yè)控制系統(tǒng)漏洞庫，掃描系統(tǒng)中的關(guān)鍵目標(biāo)系統(tǒng)和設(shè)備的脆弱性。另外，此技術(shù)需要完整支持Modbus、DNP3、Profinet等工業(yè)通信協(xié)議，以及支持ICMPping掃描、端口掃描等傳統(tǒng)掃描技術(shù)。5.5工業(yè)控制網(wǎng)絡(luò)安全防護技術(shù)5.4.4工業(yè)控制系統(tǒng)漏洞檢測技術(shù)分析工業(yè)控制網(wǎng)絡(luò)安全防護的核心是建立以安全管理為中心，輔以符合工業(yè)控制網(wǎng)絡(luò)特性的安全技術(shù)，進行有目的、有針對性的防御。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理1．結(jié)構(gòu)安全即基礎(chǔ)設(shè)施建設(shè)過程中網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以及區(qū)域、層次的劃分是否滿足安全需求。通過隔離、過濾、認(rèn)證、加密等技術(shù)，實現(xiàn)合理的安全區(qū)域劃分、安全層級劃分，實現(xiàn)縱深防御能力。結(jié)構(gòu)安全最為重要，結(jié)構(gòu)安全解決了大部分安全問題。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理等保2.0對工業(yè)控制系統(tǒng)對網(wǎng)絡(luò)架構(gòu)的要求：（1）工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段（一級及以上）。（2）工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段（一級及以上）。（3）涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離（二級及以上）。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理電力工業(yè)控制系統(tǒng)采用“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針作為基本防護策略來構(gòu)建電力工業(yè)控制系統(tǒng)的結(jié)構(gòu)安全。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理2．設(shè)備與主機安全設(shè)備與主機安全即工業(yè)控制環(huán)境中各種設(shè)備自身的安全性。工業(yè)主機安全防護產(chǎn)品是工業(yè)環(huán)境針對系統(tǒng)的高可用性、連續(xù)性等特性專門開發(fā)的防護軟件。主要使用白名單、防病毒、外設(shè)管控、運維管理、資產(chǎn)管理等技術(shù)。一般具有程序進程管理，病毒查殺、攔截，U盤、移動存儲設(shè)備管控，資產(chǎn)統(tǒng)計等功能。通過在操作員站、工程師站、服務(wù)器部署工業(yè)主機安全防護產(chǎn)品，實現(xiàn)惡意代碼防護和外設(shè)端口的管理等。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理3．行為安全包括兩部分，即系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患，和系統(tǒng)外部發(fā)起的行為是否具有安全威脅。應(yīng)該具備感知能力，在云端通過大數(shù)據(jù)分析感知威脅和安全態(tài)勢，在本地端通過靶場、蜜罐、審計、溯源等技術(shù)，對網(wǎng)絡(luò)流量、文件傳輸、訪問記錄等進行綜合分析與數(shù)據(jù)挖掘，實現(xiàn)對已知威脅和未知威脅的感知，以及對全局安全態(tài)勢和局部安全態(tài)勢的感知，并與其他安全防護技術(shù)聯(lián)動，對不安全行為進行及時處理。5.5.1對已知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理4．基礎(chǔ)軟硬件安全是指CPU、存儲、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議、數(shù)據(jù)庫和軟件開發(fā)中使用到的中間件、庫、框架等基礎(chǔ)軟硬件的完整可信、自主可控。應(yīng)實現(xiàn)對自有系統(tǒng)與設(shè)備的基礎(chǔ)軟硬件的安全性改造，以及對進口系統(tǒng)與設(shè)備的基礎(chǔ)軟硬件的安全性加固。5.5.2對未知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理1．異常行為檢測將當(dāng)前主體的活動與正?；顒幽Ｐ瓦M行比較，當(dāng)違反其統(tǒng)計規(guī)律時，視該活動為入侵行為，優(yōu)點是能夠有效檢測未知的入侵活動。2．白名單技術(shù)白名單的未知威脅防御技術(shù)是一種與黑名單思路截然相反的安全防御方式，它本身不需要分析和檢測誰是威脅，只需要關(guān)心誰不是威脅就能達到安全防護的效果。白名單包括應(yīng)用程序白名單、用戶白名單、資產(chǎn)白名單和行為白名單。5.5.2對未知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理3．關(guān)聯(lián)分析技術(shù)（1）智能列表白名單技術(shù)能確定某個不被允許的應(yīng)用行為，但是此應(yīng)用有可能是被誤用在不該應(yīng)用的地方，這個時候如果直接將其加入黑名單或者拒絕，可能會對其他系統(tǒng)的使用造成影響。5.5.2對未知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理3．關(guān)聯(lián)分析技術(shù)（2）事件關(guān)聯(lián)通過把大量離散的事件數(shù)據(jù)作為一個整體，結(jié)合時間和實際的場景等客觀因素進行綜合分析，找到需要立即引起注意的重要模式和事故，從而提高威脅檢測方法的手段和能力，發(fā)現(xiàn)一些隱藏在正常事件數(shù)據(jù)背后的異常事件。5.5.2對未知工業(yè)控制網(wǎng)絡(luò)安全威脅的處理4．蜜罐技術(shù)用真實的或虛擬的系統(tǒng)模擬一個或多個易受攻擊的主機，給入侵者提供一個容易攻擊的目標(biāo)，從而發(fā)現(xiàn)攻擊者采用的手段。蜜罐系統(tǒng)一般位于屏蔽子網(wǎng)或者DMZ中的主機上，本質(zhì)是用于引誘攻擊者，使其無法攻擊實際的生產(chǎn)系統(tǒng)。5.6工業(yè)安全審計技術(shù)5.6工業(yè)安全審計技術(shù)對工業(yè)控制網(wǎng)絡(luò)中的協(xié)議、數(shù)據(jù)和行為等信息進行記錄、分析，并做出一定的響應(yīng)措施。工業(yè)控制安全審計的對象包括工業(yè)控制主機操作系統(tǒng)、數(shù)據(jù)庫、Web服務(wù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。5.6.1工業(yè)控制系統(tǒng)安全審計系統(tǒng)技術(shù)框架工業(yè)控制系統(tǒng)安全審計系統(tǒng)通常采用“3+5”體系架構(gòu)5.6.1工業(yè)控制系統(tǒng)安全審計系統(tǒng)技術(shù)框架3個特征庫：（1）協(xié)議庫是指工業(yè)控制系統(tǒng)所采用的通信協(xié)議，如Modbus、OPC、TCP/IP等。（2）行為特征庫包括上位機操作行為、下位機操作行為、上下位機間通信行為的行為特征，如訪問控制行為、請求錯誤行為、系統(tǒng)事件、備份和恢復(fù)事件、配置變化行為等。（3）審計數(shù)據(jù)倉庫是指存儲在數(shù)據(jù)庫中的工業(yè)控制系統(tǒng)某一時間段所有行為的審計信息。5.6.1工業(yè)控制系統(tǒng)安全審計系統(tǒng)技術(shù)框架工業(yè)控制系統(tǒng)安全審計功能流程：（1）工業(yè)控制系統(tǒng)數(shù)據(jù)采集（2）工業(yè)控制系統(tǒng)內(nèi)容檢測（3）工業(yè)控制系統(tǒng)惡意、異常行為判斷（4）工業(yè)控制系統(tǒng)事件和行為處理（5）工業(yè)控制系統(tǒng)事件和行為審計響應(yīng)5.6.1工業(yè)控制系統(tǒng)安全審計系統(tǒng)技術(shù)框架工業(yè)控制系統(tǒng)安全審計功能流程：5.6.2工業(yè)控制系統(tǒng)安全審計分析技術(shù)1．邏輯命令自動識別技術(shù)是工業(yè)控制系統(tǒng)安全審計分析技術(shù)中的一大主流技術(shù)，它能夠自動識別工業(yè)控制系統(tǒng)中設(shè)備的操作終端，對當(dāng)前終端的輸入、輸出邏輯語義命令進行自動識別。系統(tǒng)會根據(jù)輸入輸出上下文，確定邏輯命令編輯過程，進而自動捕獲用戶使用的邏輯命令。5.6.2工業(yè)控制系統(tǒng)安全審計分析技術(shù)2．正則表達式匹配技術(shù)正則表達式是一種文本模式，該模式描述在搜索文本時要匹配的一個或多個字符串。正則表達式匹配技術(shù)是通過正則引擎實現(xiàn)的，正則引擎包括：（1）確定有限狀態(tài)自動機DFA（2）傳統(tǒng)型非確定有限狀態(tài)自動機NFA（3）符合可移植操作系統(tǒng)接口POSIX標(biāo)準(zhǔn)的NFA5.6.2工業(yè)控制系統(tǒng)安全審計分析技術(shù)3．多線程協(xié)議還原技術(shù)建立在會話重建的基礎(chǔ)上會話重建是審計系統(tǒng)中的重要環(huán)節(jié)，它對數(shù)據(jù)包的特征進行分析，并基于會話對數(shù)據(jù)包進行重組，去除協(xié)商、應(yīng)答、重傳、包頭等網(wǎng)絡(luò)信息，以獲取一條基于完整會話的記錄。5.6.3工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)是一款實時監(jiān)測、采集工業(yè)生產(chǎn)控制網(wǎng)絡(luò)操作行為的安全審計產(chǎn)品。能自動發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的資產(chǎn)，結(jié)合資產(chǎn)的業(yè)務(wù)數(shù)據(jù)流向，構(gòu)建基于工業(yè)控制網(wǎng)絡(luò)的訪問基線，實現(xiàn)面向網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全風(fēng)險監(jiān)測，審計目標(biāo)包括網(wǎng)絡(luò)資產(chǎn)、資產(chǎn)行為、用戶操作行為、協(xié)議等。針對工業(yè)控制網(wǎng)絡(luò)應(yīng)用環(huán)境，工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)采用鏡像口監(jiān)聽部署模式，實現(xiàn)對工業(yè)控制網(wǎng)絡(luò)架構(gòu)的“零”影響。5.6.3工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)部署如圖所示5.6.3工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)的功能支持對OPC、ModbusTCP、SiemensS7、DNP3、IEC60870-5-104等常見協(xié)議的深度解析審計支持基于工業(yè)控制協(xié)議通信記錄自學(xué)習(xí)建立工業(yè)控制通信模型白名單，即對正常通信行為建模。支持協(xié)議指令級檢測支持工業(yè)控制協(xié)議數(shù)據(jù)深度解析，包括格式檢查、完整性檢查、合規(guī)性檢查。5.6.3工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)的功能支持將當(dāng)前工業(yè)控制協(xié)議通信行為與基線進行對比，對偏離基線的行為進行告警。例如，異常指令操作、新出現(xiàn)的設(shè)備（IP地址）、異常訪問（網(wǎng)絡(luò)連接）等的告警，用戶還能夠針對自定義協(xié)議的行為進行記錄。支持對工程師站組態(tài)變更、操控指令、PLC下裝等關(guān)鍵事件進行檢測。實訓(xùn)演練實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)目的】初步了解Modbus協(xié)議的命令格式、數(shù)據(jù)幀結(jié)構(gòu)，理解Modbus協(xié)議的工作過程，觀察和分析Modbus協(xié)議存在的安全問題。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【場景描述】安裝Modbus主站及從站模擬器，模擬Modbus協(xié)議的通信過程。當(dāng)Modbus主站和從站通信時，通過Wireshark抓取ModbusTCP數(shù)據(jù)包，分析數(shù)據(jù)包內(nèi)各個字段的內(nèi)容和意義。本實訓(xùn)要使用ModbusSlave和ModbusPoll模擬器，以及WitteSoftware公司的ModbusTools，最新的V10版本可支持Win7、Win8、Win8.1、Win10和Win11，如果實驗機是WinXP系統(tǒng)，請下載V7版本。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】（1）運行ModbusSlave，選擇“Connection”→“Connect”命令，如果出現(xiàn)注冊提示可選擇“Registerlater”。然后在“ConnectionSetup”對話框中的“Connection”下拉列表中選擇“ModbusTCP/IP”，在“IPAddress”輸入框中輸入實驗機的IP地址（替換圖中的05），“Port”輸入框保持502無須改動。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】（2）運行ModbusPoll，同樣選擇“Connection”→“Connect”命令，修改“Connection”為“ModbusTCP/IP”，在“IPAddressorNodeName”輸入框中輸入實驗機的IP地址,“ServerPort”輸入框保持502無須改動。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】（3）添加本機數(shù)據(jù)包路由。由于本實訓(xùn)的數(shù)據(jù)發(fā)送端和數(shù)據(jù)接收端均為本機IP地址，默認(rèn)情況下，網(wǎng)卡并不會添加數(shù)據(jù)包路由，導(dǎo)致Wireshark抓包失敗，因此需要臨時添加本機的數(shù)據(jù)包路由。使用管理員身份運行Windows系統(tǒng)的“命令提示符”。添加本機路由命令：routeadd（本機IP地址）mask55（網(wǎng)關(guān)IP地址）。刪除本機路由命令：routedelete（本機IP地址）mask55（網(wǎng)關(guān)IP地址）。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】（4）運行Wireshark，開啟數(shù)據(jù)包捕獲，并在過濾器欄輸入過濾條件“modbus”，單擊第一個數(shù)據(jù)包（Info欄顯示Query）。此數(shù)據(jù)包為Modbus主站請求從站指令，在中部的協(xié)議分析窗口，單擊展開“Modbus/TCP”和“Modbus”。實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】實訓(xùn)1工業(yè)控制通信協(xié)議Modbus的分析【實訓(xùn)步驟】（5）單擊第二個數(shù)據(jù)包（Info欄顯示Response），