24.1 工控系統安全威脅與需求分析
1)概念及組成
工業控制系統是由各種控制元件、監測元件、資料處理與展示元件共同構成的對工業生產過程進行控制和監控的業務流程管控系統。工業控制系統通常簡稱工控系統(ICS)。工控系統通常分為離散製造類和過程控制類兩大類,控制系統包括SCADA系統、分散式控制系統(DCS)、過程控制系統(PCS)、可程式設計邏輯控制器(PLC)、遠端終端(RTU)、數控機及數控系統等。
SCADA 系統
SCADA是 Supervisory Control And Data Acquisition 的縮寫,中文名稱是資料採集與監視控制系統,其作用是以計算機為基礎對遠端分佈執行的裝置進行監控,功能主要包括資料採集、引數測量和調節。SCADA系統一般由設在控制中心的主終端控制單元(MTU)、通訊線路和裝置、遠端終端單位(RTU)等組成,系統作用主要是對多層級、分散的子過程進行資料採集和統一排程管理
分散式控制系統 DCS
DCS 是 Distribution Control System 的縮寫。DCS 是基於計算機技術對生產過程進行分佈控制、集中管理的系統。DCS 系統一般包括現場控制級、系統控制級和管理級兩/三個層次,現場控制級主要是對單個子過程進行控制,系統控制級主要是對多個密切相關的過程進行資料採集、記錄、分析和控制,並透過統一的人機互動處理實現過程的集中控制和展示,系統專案管理器實現組態的配置和分發,並有統一的對外資料介面。
過程控制系統 PCS
PCS是Process Control System 的縮寫。PCS 是透過實時採集被控裝置狀態引數進行調節,以保證被控裝置保持某一特定狀態的控制系統。狀態引數包括溫度、壓力、流量、液位、成分、濃度等。PCS 系統通常採用反饋控制(閉環控制)方式。
可程式設計邏輯控制器 PLC
PLC是 Programmable Logic Controller 的縮寫。PLC主要執行各類運算、順序控制、定時等指令,用於控制工業生產裝備的動作,是工業控制系統的基礎單元。
主終端裝置 MTU
MTU是 Master Terminal Unit 的縮寫。MTU一般部署在排程控制中心,主要用於生產過程的資訊收集和監測,透過網路與 RTU 保持通訊。
遠端終端裝置 RTU
RTU 是 Remoter Terminal Unit 的縮寫。RTU 主要用於生產過程的資訊採集、自動測量記錄和傳導,透過網路與 MTU 保持通訊。
人機介面 HMI
HMI是 Human-Machine Interface 的縮寫。HMI是為操作者和控制器之間提供操作介面和資料通訊的軟硬體平臺。目前工業控制系統主要採用計算機終端進行人機互動工作。
工控通訊網路
工控通訊網路是各種工業控制裝置及組成單元的聯結器,傳統工業通訊網路一般採取專用的協議來構建,形成封閉網路。常見的工控專用協議有OPC、Modbus、DNP3等,工業通訊網路型別有 DCS 主控網路、SCADA 遠端網路、現場控制級通訊網路等型別。隨著網際網路技術的應用發展,TCP/P協議也逐步應用到工業控制系統,如智慧裝置、智慧樓宇、智慧工廠等控制系統。
2)威脅分析
- 自然災害及環境
- 內部安全威脅
- 裝置功能安全故障
- 惡意程式碼
- 網路攻擊
3)隱患型別
工控協議安全
技術產品安全漏洞
基礎軟體安全漏洞
演算法安全漏洞
裝置硬體漏洞
開放接入漏洞
供應鏈安全
4)需求分析
工業控制系統的安全除了傳統IT的安全外,還涉及控制裝置及操作安全。傳統IT網路資訊保安要求側重於 “保密性——完整性——可用性” 需求順序,而工控系統網路資訊保安偏重於 “可用性——完整性——保密性” 需求順序。
24.2 工控系統安全保護機制與技術
1)物理及環節安全防護
2)安全邊界保護
3)身份認證與訪間控制
4)遠端訪問安全
5)工控系統安全加固
6)工控安全審計
7)惡意程式碼防範
8)工控資料安全
9)工控安全監測與應急響應
10)工控安全管理
11)工控安全典型產品技術
24.3 工控系統安全綜合應用案例分析
1)電力監控系統
2)水廠工控
3)廠商方案