工業(yè)控制系統(tǒng)安全

工業(yè)控制系統(tǒng)安全12工業(yè)控制系統(tǒng)（ICS）概述工業(yè)控制系統(tǒng)(IndustrialControlSystems，ICS，簡(jiǎn)稱工控系統(tǒng))是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。3工業(yè)控制系統(tǒng)（ICS）概述工業(yè)控制系統(tǒng)（ICS）核心組件監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)分布式控制系統(tǒng)（DCS）可編程控制器（PLC）遠(yuǎn)程終端單元（RTU）人機(jī)交互(HMI)界面設(shè)備4SCADA系統(tǒng)SCADA系統(tǒng)是用來(lái)控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。5DCSDCS用于控制在同一地理位置的生產(chǎn)系統(tǒng)，被用來(lái)控制工業(yè)生產(chǎn)過(guò)程6可編程邏輯控制器（PLC）PLC實(shí)質(zhì)是一種專用于工業(yè)控制的計(jì)算機(jī)，其硬件結(jié)構(gòu)基本上與微型計(jì)算機(jī)相同PLC可用在SCADA和DCS系統(tǒng)中，作為整個(gè)分級(jí)系統(tǒng)的控制部件，通過(guò)反饋控制，提供對(duì)過(guò)程的本地管理。7可編程邏輯控制器（PLC）輸入單元數(shù)據(jù)狀態(tài)存儲(chǔ)用戶程序存儲(chǔ)輸出單元數(shù)據(jù)狀態(tài)CPU以固定的周期重復(fù)調(diào)度執(zhí)行下面的過(guò)程脈沖信號(hào)輸入采樣階段用戶程序執(zhí)行階段輸出刷新階段接收ALC數(shù)據(jù)接口8RTURTU（遠(yuǎn)程終端單元），全稱為遠(yuǎn)程終端控制系統(tǒng)，負(fù)責(zé)對(duì)現(xiàn)場(chǎng)信號(hào)、工業(yè)設(shè)備的監(jiān)測(cè)和控制。通常由信號(hào)輸入/出模塊、微處理器、有線/無(wú)線通訊設(shè)備、電源及外殼等組成，由微處理器控制，并支持網(wǎng)絡(luò)系統(tǒng)。9PLC和RTU對(duì)比起源不同PLC起源于生產(chǎn)線自動(dòng)化，主要應(yīng)用于機(jī)械設(shè)備生產(chǎn)線，以順序邏輯控制為主。RTU起源于石油天然氣生產(chǎn)，生產(chǎn)設(shè)備比較分布、且數(shù)量眾多、環(huán)境惡劣。功能不同PLC主要用于室內(nèi)的生產(chǎn)線或站控制系；RTU主要用于室外生產(chǎn)控制設(shè)備。通訊能力不同PLC一般是單機(jī)使用，或和本系列的產(chǎn)品使用，一般只支持本公司的通訊協(xié)議。RTU一般作為SCADA系統(tǒng)的一個(gè)部分，隨著系統(tǒng)的增大系統(tǒng)中可能會(huì)有不同廠家的RTU，因此RTU具有通用的通訊協(xié)議。RTU大多以無(wú)線方式與中控室通訊，因此RTU能很好的支持無(wú)線通訊設(shè)備（電臺(tái)、無(wú)線以太網(wǎng)、GPRS、CDMA等）使用場(chǎng)合不同PLC主要用于：生產(chǎn)線、流水線、部分廠站、配電系統(tǒng)、機(jī)床控制等。RTU主要用于：石油天然氣生產(chǎn)、管道、城市天然氣管網(wǎng)、供水管網(wǎng)、環(huán)境監(jiān)測(cè)等。目前隨著技術(shù)的融合，PLC也能做RTU的事情，RTU也可以完成PLC的工作。10HMI?HMI允許系統(tǒng)管理員創(chuàng)建更新配置，運(yùn)行新算法到控制器上，以達(dá)到控制終端設(shè)備的目的。人機(jī)接口??，也叫?

?人機(jī)界面??(HumanMachineInterface，HMI)，是系統(tǒng)和用戶之間進(jìn)行交互和信息交換的媒介，

它實(shí)現(xiàn)信息的內(nèi)部形式與人類可以接受形式之間的轉(zhuǎn)換。凡參與人機(jī)信息交流的領(lǐng)域都存在著人機(jī)界面。HMI的接口種類很多，有RS232、?

?RS485??、RJ45網(wǎng)線接口。11工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)之間的區(qū)別功能安全物理安全信息安全工業(yè)控制系統(tǒng)的安全工業(yè)控制系統(tǒng)IT信息系統(tǒng)12工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)之間的區(qū)別13工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)的區(qū)別工業(yè)控制網(wǎng)絡(luò)傳統(tǒng)IT網(wǎng)絡(luò)部件生命周期使用15年到20年使用3到5年通信方式專門的工業(yè)協(xié)議TCP/IP協(xié)議可用性要求高可用性，能夠持續(xù)工作，一年365天不間斷，若有中斷必須要提前進(jìn)行規(guī)劃并制定嚴(yán)格的時(shí)間表出現(xiàn)異?？申P(guān)機(jī)再重新啟動(dòng)14我國(guó)工業(yè)控制系統(tǒng)安全現(xiàn)狀當(dāng)前拒絕服務(wù)漏洞排名第一智能制造行業(yè)更易受攻擊工業(yè)領(lǐng)域成為勒索軟件攻擊的首選釣魚郵件成為工業(yè)控制網(wǎng)絡(luò)攻擊常用手段15工業(yè)控制系統(tǒng)安全威脅工控網(wǎng)絡(luò)未進(jìn)行安全域劃分，安全邊界模糊工控系統(tǒng)環(huán)境中大量使用遺留的老式系統(tǒng)，WindowsXP的使用比例超過(guò)40%，Windows7使用量占據(jù)首位通信協(xié)議的安全性考慮不足，容易被攻擊者利用安全策略和管理制度不完善，人員安全意識(shí)不足16網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求安全物理環(huán)境：室外控制設(shè)備應(yīng)放置于箱體或裝置中；遠(yuǎn)離強(qiáng)電磁干擾、強(qiáng)熱源等環(huán)境安全通信網(wǎng)絡(luò)：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間劃分區(qū)域，區(qū)域間應(yīng)采用技術(shù)隔離手段安全區(qū)域邊界：涉及訪問(wèn)控制、撥號(hào)使用