工業(yè)控制系統(tǒng)安全與實(shí)踐 課件全套 第1-9章 工業(yè)控制系統(tǒng)安全-入侵響應(yīng)

工業(yè)控制系統(tǒng)安全1456工業(yè)控制系統(tǒng)安全與防御本章小結(jié)習(xí)題第一章工業(yè)控制系統(tǒng)安全123工業(yè)控制系統(tǒng)概述工業(yè)控制網(wǎng)絡(luò)工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)2美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）對(duì)于工業(yè)控制系統(tǒng)（IndustrialControlSystem,ICS）的定義和描述是這樣的：工業(yè)控制系統(tǒng)是一類用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱，它包含監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)（SupervisoryControlAndDataAcquisition,SCADA）、分布式控制系統(tǒng)（DistributedControlSystem，DCS）和其他一些常見于工業(yè)部門與關(guān)鍵基礎(chǔ)設(shè)施的小型控制系統(tǒng)，如可編程邏輯控制器（PLC）等。工業(yè)控制系統(tǒng)在我們生活中無處不在。1.1工業(yè)控制系統(tǒng)概述如上下班路上的交通指示燈、平時(shí)乘坐的電梯、家中的智能電表等1.1工業(yè)控制系統(tǒng)概述再如我們常說的智能制造方面，火車或地鐵的防碰撞系統(tǒng)、食品自動(dòng)包裝系統(tǒng)、電力輸送系統(tǒng)、汽車的裝備系統(tǒng)等等同樣屬于工業(yè)控制系統(tǒng)。1.1工業(yè)控制系統(tǒng)概述（1）SCADA系統(tǒng)SCADA系統(tǒng)是主要應(yīng)用于電廠、油氣煉制、水與廢棄物控制、電信等多個(gè)行業(yè)對(duì)設(shè)備或廠房實(shí)施監(jiān)控的系統(tǒng)。右圖為污水處理廠監(jiān)控系統(tǒng)1.1工業(yè)控制系統(tǒng)概述該系統(tǒng)通過多個(gè)遠(yuǎn)程終端單元（RTU）在現(xiàn)場(chǎng)或工廠工藝水平下進(jìn)行測(cè)量，然后將數(shù)據(jù)傳輸?shù)絊CADA中央主機(jī)，從而遠(yuǎn)程提供更完整的工藝或生產(chǎn)信息。右圖為SCADA系統(tǒng)結(jié)構(gòu)1.1工業(yè)控制系統(tǒng)概述最后將接收到的數(shù)據(jù)顯示在多個(gè)人機(jī)界面(HMI)上，并將必要的控制動(dòng)作反饋給流程工廠的遠(yuǎn)程終端設(shè)備。1.1工業(yè)控制系統(tǒng)概述DCS由位于工廠控制區(qū)域各部分的大量本地控制器組成，并通過高速通信網(wǎng)絡(luò)連接。（2）DCS1.1工業(yè)控制系統(tǒng)概述DCS控制系統(tǒng)通過多個(gè)基于微處理器的控制器實(shí)現(xiàn)數(shù)據(jù)采集和控制功能，這些控制器分布在工廠各地，并位于執(zhí)行控制和數(shù)據(jù)采集的區(qū)域附近。1.1工業(yè)控制系統(tǒng)概述SCADA更多地用于控制分散在不同地理位置上的操作，如供水、污水處理或輸配電系統(tǒng)，DCS和SCADA區(qū)別：DCS是高度工程化的剛性系統(tǒng)，通常部署在工廠廠區(qū)內(nèi)，需要嚴(yán)格按照廠商指定的方式進(jìn)行部署和搭建。1.1工業(yè)控制系統(tǒng)概述（3）PLCPLC是一種基于處理器的數(shù)字計(jì)算機(jī)，通過獲取數(shù)據(jù)采集設(shè)備的輸入并與生產(chǎn)單元通信，將輸出呈現(xiàn)給HMI，控制整個(gè)生產(chǎn)過程，同時(shí)確保服務(wù)質(zhì)量和精度控制。1.1工業(yè)控制系統(tǒng)概述（4）HMIHMI是工控系統(tǒng)的“畫面”，使用圖形方式刻畫整個(gè)過程，并允許操作員控制各個(gè)點(diǎn)。攻擊者通常會(huì)把注意力聚焦在HMI上，設(shè)法接管人機(jī)界面的顯示。1.1工業(yè)控制系統(tǒng)概述為了進(jìn)一步了解，下面介紹著名的普渡企業(yè)參考架構(gòu)（PurdueEnterpriseReferenceArchitecture，PERA）模型。PERA模型簡(jiǎn)稱為“普渡模型”（PurdueModel）。PERA模型簡(jiǎn)稱為“普渡模型”（PurdueModel），上世紀(jì)90年代由TheodoreJWilliams和工業(yè)-普渡大學(xué)計(jì)算機(jī)集成制造聯(lián)盟的成員提出，被廣泛應(yīng)用于描述大型工控系統(tǒng)中所有重要組件之間的主要相互依賴關(guān)系與互連關(guān)系。1.1工業(yè)控制系統(tǒng)概述如下圖所示，該模型被ISA-99標(biāo)準(zhǔn)（現(xiàn)在的1SA/IEC62443）及其他工業(yè)安全標(biāo)準(zhǔn)所采納，并且被用做工控系統(tǒng)網(wǎng)絡(luò)分段的關(guān)鍵概念。圖1-1普渡模型1.1工業(yè)控制系統(tǒng)概述（1）第5層：企業(yè)資源層企業(yè)資源層部主要負(fù)責(zé)供應(yīng)鏈管理，不與工控系統(tǒng)直接相連。但是需要獲取來自各OT網(wǎng)絡(luò)和工控系統(tǒng)組件的信息。企業(yè)供應(yīng)鏈管理軟件如ERP系統(tǒng)運(yùn)行于該層，負(fù)責(zé)從所有從屬系統(tǒng)中接收數(shù)據(jù)，以便進(jìn)行工單管理。1.1工業(yè)控制系統(tǒng)概述（2）第4層：現(xiàn)場(chǎng)業(yè)務(wù)規(guī)劃和組織該層控制本地設(shè)施運(yùn)行的IT系統(tǒng)，從第5層接收工單，監(jiān)控運(yùn)營(yíng)狀態(tài)和生產(chǎn)進(jìn)度，處理問題并更新上層企業(yè)系統(tǒng)的數(shù)據(jù)。1.1工業(yè)控制系統(tǒng)概述（3）工控系統(tǒng)非軍事區(qū)第4層和第3層之間通常有一個(gè)ICS-DMZ，實(shí)現(xiàn)IT和OT之間的信息共享。DMZ由多個(gè)工業(yè)標(biāo)準(zhǔn)推動(dòng)，包括副本服務(wù)器、程序補(bǔ)丁管理服務(wù)器、工程師站和配置變更管理系統(tǒng)。DMZ是安全規(guī)劃的重點(diǎn)領(lǐng)域，確保IT信息的安全交換，同時(shí)不直接暴露下層關(guān)鍵組件給攻擊者。1.1工業(yè)控制系統(tǒng)概述（4）第3層：操作控制層第5層和第4層是網(wǎng)絡(luò)中的IT側(cè)，而第3層及以下則涵蓋了OT側(cè)系統(tǒng)。該層部署了SCADA系統(tǒng)的監(jiān)控部分、DCS的畫面和控制訪問、控制室等，為操作員提供了操作和監(jiān)控功能，如查看過程事件和趨勢(shì)、響應(yīng)報(bào)警和事件、以及管理過程的運(yùn)行時(shí)間和可用性等，以保證產(chǎn)品質(zhì)量。1.1工業(yè)控制系統(tǒng)概述（5）第2層：過程監(jiān)控層第2層實(shí)現(xiàn)對(duì)單個(gè)區(qū)域的本地控制，通過人機(jī)界面（HMI）和工控系統(tǒng)控制設(shè)備實(shí)現(xiàn)自動(dòng)控制。用戶可通過HMI面板查看實(shí)時(shí)過程事件和本地畫面，實(shí)現(xiàn)操作員級(jí)過程交互。1.1工業(yè)控制系統(tǒng)概述（6）第1層：現(xiàn)場(chǎng)控制層第1層包括BPCS，負(fù)責(zé)響應(yīng)過程測(cè)量及操作員輸入信號(hào)，按規(guī)律、算法產(chǎn)生輸出信號(hào)以實(shí)現(xiàn)過程控制及設(shè)備運(yùn)行。BPCS包括傳感器、執(zhí)行器、繼電器等組件，向PLC、DCS、SCADA及其他層級(jí)報(bào)告過程值。1.1工業(yè)控制系統(tǒng)概述（7）第0層：現(xiàn)場(chǎng)設(shè)備層該層也叫EUC層，第1層的控制設(shè)備控制該層的物理設(shè)備，如驅(qū)動(dòng)器、電機(jī)、閥門等。BPCS或操作員通過準(zhǔn)確響應(yīng)第0層設(shè)備狀態(tài)信息來執(zhí)行過程。1.1工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)與信息技術(shù)系統(tǒng)（ＩＴ系統(tǒng)）的區(qū)別是：（1）從系統(tǒng)特征來看，工業(yè)控制系統(tǒng)屬于信息物理融合系統(tǒng)，而信息技術(shù)系統(tǒng)通常屬于信息系統(tǒng)。（２）從系統(tǒng)用途來看，工業(yè)控制系統(tǒng)是工業(yè)領(lǐng)域的生產(chǎn)運(yùn)行系統(tǒng)，而信息技術(shù)系統(tǒng)通常是信息化領(lǐng)域。1.1工業(yè)控制系統(tǒng)概述下面介紹幾種典型工業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)：（1）天然氣凈化廠DCS系統(tǒng)凈化總廠DCS系統(tǒng)網(wǎng)絡(luò)采用縱向分層結(jié)構(gòu)，由過程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層組成，層間通過通訊網(wǎng)絡(luò)連接。1.1工業(yè)控制系統(tǒng)概述1）過程監(jiān)控層包括冗余服務(wù)器、操作員站和歷史數(shù)據(jù)站等，主要任務(wù)是操作監(jiān)測(cè)，同時(shí)具備部分管理功能。1.1工業(yè)控制系統(tǒng)概述包括冗余服務(wù)器、操作員站和歷史數(shù)據(jù)站等，主要任務(wù)是操作監(jiān)測(cè)，同時(shí)具備部分管理功能。。過程監(jiān)控層123DCS設(shè)備包括控制器、通訊模塊和I/O模塊等，用于采集、轉(zhuǎn)換、處理過程數(shù)據(jù)，控制生產(chǎn)過程，進(jìn)行I/O診斷，并與過程監(jiān)控層進(jìn)行數(shù)據(jù)通訊?，F(xiàn)場(chǎng)控制層現(xiàn)場(chǎng)設(shè)備和儀表采集控制信號(hào)并執(zhí)行控制命令，實(shí)現(xiàn)設(shè)備動(dòng)作?，F(xiàn)場(chǎng)設(shè)備層1.1工業(yè)控制系統(tǒng)概述（2）污水處理監(jiān)控系統(tǒng)污水處理監(jiān)控系統(tǒng)屬于典型的基礎(chǔ)設(shè)施SCADA系統(tǒng)，典型的污水處理監(jiān)控系統(tǒng)結(jié)構(gòu)如圖所示。系統(tǒng)分為三層。1.1工業(yè)控制系統(tǒng)概述1）調(diào)度中心主要設(shè)備包括服務(wù)器，工作站網(wǎng)絡(luò)交換機(jī)，web服務(wù)器。2）水廠監(jiān)控中心主要設(shè)備包括服務(wù)器，工作站以及廠級(jí)網(wǎng)絡(luò)。3）現(xiàn)場(chǎng)過程控制層主要設(shè)備包括PLC，水泵，儀表等過程自動(dòng)化設(shè)備以及通過無線網(wǎng)絡(luò)連接的遠(yuǎn)程數(shù)據(jù)采集設(shè)備等等。1.1工業(yè)控制系統(tǒng)概述（3）火電廠監(jiān)控系統(tǒng)火電廠的主控DAS（數(shù)據(jù)采集系統(tǒng)）、MCS（模擬量控制系統(tǒng)）、FSSS（爐膛安全與監(jiān)控系統(tǒng)）、SCS（順序控制系統(tǒng)）、ECS（廠用電監(jiān)控系統(tǒng)）、ETS（汽輪機(jī)緊急跳閘保護(hù)系統(tǒng)）以及DEH（數(shù)字電調(diào)系統(tǒng)）。輔控DCS則包括水務(wù)、輸煤、除灰除渣和脫硫等子系統(tǒng)。1.1工業(yè)控制系統(tǒng)概述總體來看，火電廠的監(jiān)控系統(tǒng)分為生產(chǎn)過程控制級(jí)、生產(chǎn)過程操作級(jí)和管理信息系統(tǒng)?？刂破鹘邮宅F(xiàn)場(chǎng)傳感器數(shù)據(jù)，計(jì)算控制量并向執(zhí)行設(shè)備發(fā)送控制指令。操作級(jí)包括工程師站、操作員站、歷史數(shù)據(jù)服務(wù)器和打印機(jī)等輔助設(shè)備。3個(gè)層級(jí)分別對(duì)應(yīng)控制網(wǎng)絡(luò)、監(jiān)控網(wǎng)絡(luò)和管理網(wǎng)絡(luò)。1.1工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)中的關(guān)鍵組件通過通信網(wǎng)絡(luò)連接，數(shù)據(jù)或控制信號(hào)通過有線或無線介質(zhì)進(jìn)行傳輸，組成了工業(yè)控制網(wǎng)絡(luò)。工業(yè)控制網(wǎng)絡(luò)是以通信能力的傳感器、執(zhí)行器、測(cè)控儀表作為網(wǎng)絡(luò)節(jié)點(diǎn)，以現(xiàn)場(chǎng)總線或以太網(wǎng)等作為通信介質(zhì)，完成測(cè)量控制任務(wù)的網(wǎng)絡(luò)。1.2工業(yè)控制網(wǎng)絡(luò)一般來講，工業(yè)控制網(wǎng)絡(luò)分層拓?fù)渥陨隙掳ㄈ齻€(gè)層級(jí)：信息層、控制層、設(shè)備層，如圖所示。（1）信息層信息層位于工業(yè)控制網(wǎng)絡(luò)頂層，采集并處理數(shù)據(jù)，使用以太網(wǎng)廣域網(wǎng)作為信息級(jí)網(wǎng)絡(luò)，可通過網(wǎng)關(guān)連接到其他工業(yè)網(wǎng)絡(luò)。1.2工業(yè)控制網(wǎng)絡(luò)（2）控制層控制層包括網(wǎng)絡(luò)設(shè)備、工作單元和工作區(qū)。該層級(jí)從設(shè)備層收集數(shù)據(jù)，如循環(huán)時(shí)間、溫度、壓力、體積等數(shù)據(jù)。1.2工業(yè)控制網(wǎng)絡(luò)（3）設(shè)備層設(shè)備層包括現(xiàn)場(chǎng)設(shè)備，如傳感器和執(zhí)行器，任務(wù)是在這些設(shè)備之間傳遞數(shù)字、模擬或混合類型的信息?，F(xiàn)場(chǎng)總線技術(shù)是在現(xiàn)場(chǎng)級(jí)使用的通信網(wǎng)絡(luò)，支持具有仲裁消息優(yōu)先級(jí)的載波偵聽多路訪問協(xié)議來滿足要求。1.2工業(yè)控制網(wǎng)絡(luò)通過上述分析，我們可以理解為：工業(yè)控制網(wǎng)絡(luò)是工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)部分，組織各個(gè)生產(chǎn)流程和自動(dòng)化控制系統(tǒng)的通信網(wǎng)絡(luò)。它包括通信節(jié)點(diǎn)、通信網(wǎng)絡(luò)和通信協(xié)議。工業(yè)控制系統(tǒng)包括工業(yè)控制網(wǎng)絡(luò)和所有的工業(yè)生產(chǎn)設(shè)備。工業(yè)控制系統(tǒng)與工業(yè)控制網(wǎng)絡(luò)的關(guān)系1.2工業(yè)控制網(wǎng)絡(luò)從18世紀(jì)末至今，工業(yè)發(fā)展經(jīng)歷了從工業(yè)1.0到工業(yè)4.0的四個(gè)階段，第一階段機(jī)械化—機(jī)器制造生產(chǎn)第二階段標(biāo)準(zhǔn)化—流水批量生產(chǎn)第三階段自動(dòng)化—無人/少人化生產(chǎn)第四階段網(wǎng)絡(luò)化—智能生產(chǎn)虛實(shí)融合階段工業(yè)4.0時(shí)代具有信息物理融合系統(tǒng)、數(shù)字化設(shè)計(jì)與制造協(xié)同、精益生產(chǎn)與柔性制造的特點(diǎn)。1.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)面向第四次工業(yè)革命帶來的挑戰(zhàn)和機(jī)遇，各國(guó)紛紛為自己國(guó)家工業(yè)制造業(yè)的未來發(fā)展制定國(guó)家級(jí)戰(zhàn)略規(guī)劃。國(guó)家項(xiàng)目/計(jì)劃推出時(shí)間目標(biāo)與重點(diǎn)發(fā)展現(xiàn)狀德國(guó)工業(yè)4.02013年4月通過數(shù)字化、自動(dòng)化和智能化實(shí)現(xiàn)工業(yè)生產(chǎn)的革命性變革已經(jīng)在推進(jìn)過程中美國(guó)先進(jìn)制造伙伴(AMP)計(jì)劃2011、2012年通過聯(lián)合政府、產(chǎn)業(yè)界、學(xué)術(shù)界，推進(jìn)制造業(yè)的技術(shù)創(chuàng)新、提高競(jìng)爭(zhēng)力已經(jīng)在推進(jìn)過程中美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟2014年將工業(yè)和互聯(lián)網(wǎng)進(jìn)行融合，升級(jí)關(guān)鍵工業(yè)領(lǐng)域已經(jīng)在推進(jìn)過程中中國(guó)中國(guó)制造20252014年12月通過提高技術(shù)水平、智能化制造等手段，實(shí)現(xiàn)從工業(yè)大國(guó)到工業(yè)強(qiáng)國(guó)的轉(zhuǎn)型在推進(jìn)過程中，工業(yè)互聯(lián)網(wǎng)市場(chǎng)規(guī)模不斷增長(zhǎng)1.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)通常由網(wǎng)絡(luò)、平臺(tái)、安全三個(gè)部分構(gòu)成。工業(yè)互聯(lián)網(wǎng)的三個(gè)部分網(wǎng)絡(luò)平臺(tái)安全包括網(wǎng)絡(luò)互聯(lián)體系、標(biāo)識(shí)解析體系和信息互通體系海量數(shù)據(jù)匯聚、建模分析與應(yīng)用開發(fā)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全實(shí)現(xiàn)各類工業(yè)生產(chǎn)要素泛在深度互聯(lián)制造能力和工業(yè)知識(shí)的標(biāo)準(zhǔn)化、軟件化、模塊化與服務(wù)化有效識(shí)別和抵御各類安全威脅作用支撐工業(yè)生產(chǎn)方式、商業(yè)模式創(chuàng)新和資源高效配置為制造企業(yè)各類創(chuàng)新應(yīng)用保障工業(yè)互聯(lián)網(wǎng)健康發(fā)展1.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)平臺(tái)是工業(yè)互聯(lián)網(wǎng)的核心，也可以理解為工業(yè)互聯(lián)網(wǎng)的“操作系統(tǒng)”。其本質(zhì)是在傳統(tǒng)云平臺(tái)的基礎(chǔ)上疊加物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新興技術(shù)，構(gòu)建更精準(zhǔn)、實(shí)時(shí)、高效的數(shù)據(jù)采集體系，建設(shè)包括存儲(chǔ)、集成、訪問、分析、管理功能的使能平臺(tái)，實(shí)現(xiàn)工業(yè)技術(shù)、經(jīng)驗(yàn)、知識(shí)模型化、軟件化、復(fù)用化，以工業(yè)APP的形式為制造企業(yè)各類創(chuàng)新應(yīng)用，最終形成資源富集、多方參與、合作共贏、協(xié)同演進(jìn)的制造業(yè)生態(tài)。1.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)工業(yè)物聯(lián)網(wǎng)是一個(gè)物與互聯(lián)網(wǎng)服務(wù)相互交叉的網(wǎng)絡(luò)體系。其架構(gòu)自下而上分為感知層、網(wǎng)絡(luò)層、平臺(tái)層和應(yīng)用層。層級(jí)主要組成職能感知層傳感器、可編程邏輯控制器連接設(shè)備，獲取多維數(shù)據(jù)網(wǎng)絡(luò)層網(wǎng)絡(luò)設(shè)備、各種線路、網(wǎng)關(guān)數(shù)據(jù)傳輸和設(shè)備控制，網(wǎng)關(guān)承上啟下的作用，在復(fù)雜的工業(yè)場(chǎng)景中，網(wǎng)關(guān)廠家會(huì)布局各自的細(xì)分場(chǎng)景和產(chǎn)品層次平臺(tái)層云計(jì)算將采集到的數(shù)據(jù)進(jìn)行匯總和處理，將數(shù)據(jù)進(jìn)行關(guān)聯(lián)，進(jìn)行結(jié)構(gòu)化解析，提供編程接口和服務(wù)協(xié)議，進(jìn)行數(shù)據(jù)分析和決策應(yīng)用層面向客戶的各類應(yīng)用垂直實(shí)施應(yīng)用，整合平臺(tái)層數(shù)據(jù)及控制指令，實(shí)現(xiàn)終端設(shè)備的應(yīng)用，最終提升生產(chǎn)效率1.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)工業(yè)物聯(lián)網(wǎng)與工業(yè)互聯(lián)網(wǎng)的區(qū)別：從實(shí)現(xiàn)目標(biāo)角度從組成角度從核心組件角度工業(yè)互聯(lián)網(wǎng)目標(biāo)是數(shù)字化，全面互聯(lián)人、機(jī)、物；而工業(yè)物聯(lián)網(wǎng)除了數(shù)字化，更強(qiáng)調(diào)自動(dòng)化和智能化，以工業(yè)大數(shù)據(jù)的采集和處理為核心，實(shí)現(xiàn)智能制造，注重物與物的連接和自動(dòng)控制。工業(yè)互聯(lián)網(wǎng)包含人、數(shù)據(jù)、機(jī)器三要素，其中“人”可以是各種角色，“數(shù)據(jù)”指工業(yè)生產(chǎn)所產(chǎn)生的數(shù)據(jù)，“機(jī)器”包括各種設(shè)備和傳感器；而工業(yè)物聯(lián)網(wǎng)除了傳統(tǒng)軟件要素外，還包括硬件傳感器、云服務(wù)平臺(tái)和智能控制等，是物聯(lián)網(wǎng)和互聯(lián)網(wǎng)交叉的系統(tǒng)，實(shí)現(xiàn)自動(dòng)化和信息化深度融合。工業(yè)互聯(lián)網(wǎng)中以工業(yè)軟件為核心；而工業(yè)物聯(lián)網(wǎng)則以數(shù)據(jù)作為核心，數(shù)據(jù)為工業(yè)互聯(lián)網(wǎng)提供各種有用的信息。1231.3工業(yè)互聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)1.4

工業(yè)控制安全與防御工業(yè)控制系統(tǒng)中常用的防護(hù)設(shè)備包括：安全儀表系統(tǒng)、諸如限位開關(guān)、機(jī)器超速保護(hù)裝置、物理緊急安全閥之類的物理保護(hù)裝置，以及其他一些安全防護(hù)組件。因此很多工控系統(tǒng)開發(fā)工程師和資產(chǎn)所有者對(duì)工業(yè)控制系統(tǒng)的安全性非常有信心，認(rèn)為借助上述多重防護(hù)設(shè)備，災(zāi)難性事件就不太可能發(fā)生。而網(wǎng)絡(luò)安全研究人員和業(yè)內(nèi)專家則認(rèn)為，網(wǎng)絡(luò)漏洞的利用極有可能導(dǎo)致控制系統(tǒng)發(fā)生災(zāi)難性事件，如鉆井平臺(tái)發(fā)生火災(zāi)、油罐系統(tǒng)發(fā)生爆炸等。因此工業(yè)控制系統(tǒng)安全在很多方面與傳統(tǒng)的網(wǎng)絡(luò)安全有所不同：工業(yè)控制系統(tǒng)安全不僅涉及到IT安全、信息安全，還涵蓋了對(duì)控制系統(tǒng)工作方式的理解，工業(yè)過程的物理以及工程要求的了解，因此，工業(yè)控制系統(tǒng)安全要求涵蓋內(nèi)容廣泛、涉及多個(gè)學(xué)科專業(yè)。1.4

工業(yè)控制安全與防御近年來國(guó)外關(guān)鍵基礎(chǔ)設(shè)施接連遭受攻擊的案例也證明了這一點(diǎn)：2000年澳大利亞馬魯奇郡的污水管理系統(tǒng)遭受惡意人員發(fā)送的虛假指令攻擊，導(dǎo)致大約800,000升污水被排放到當(dāng)?shù)氐墓珗@和河流中，嚴(yán)重影響了公眾健康，并造成了巨大的經(jīng)濟(jì)損失。2010年，“震網(wǎng)”病毒攻擊了伊朗核電站，嚴(yán)重?fù)p壞了離心機(jī)，進(jìn)而導(dǎo)致伊朗政府推遲了核計(jì)劃的進(jìn)程。2021年，Wannacry變種侵入臺(tái)積電，導(dǎo)致其停產(chǎn)三天（約60個(gè)小時(shí)），預(yù)計(jì)經(jīng)濟(jì)損失達(dá)11.5億元人民幣；美國(guó)最大輸油管道因?yàn)槔账鬈浖?，被迫關(guān)閉?！叭恢毓ぁ苯_(tái)工程機(jī)械設(shè)備遭非法解鎖破壞，直接經(jīng)濟(jì)損失超3000萬元。1.4

工業(yè)控制安全與防御上述重大網(wǎng)絡(luò)安全事件引起了世界各國(guó)高度關(guān)注。工業(yè)控制系統(tǒng)中工業(yè)主機(jī)、工控專有網(wǎng)絡(luò)協(xié)議、工控設(shè)備均有可能存在漏洞，成為病毒感染的載體、跳板或傳播渠道。因此，工業(yè)控制系統(tǒng)安全不可忽視。從技術(shù)的角度來看，工業(yè)控制系統(tǒng)安全面臨著來自涉及了方方面面的知識(shí)。攻擊和防御是一組推進(jìn)著工控系統(tǒng)朝著更為安全的方向不斷前進(jìn)的矛與盾。下面分別從攻擊和防御兩個(gè)方面簡(jiǎn)要介紹工業(yè)控制系統(tǒng)安全相關(guān)知識(shí)1.4.1

工業(yè)控制系統(tǒng)攻擊工業(yè)控制系統(tǒng)中每個(gè)組件，如SCADA系統(tǒng)、DCS、PLC、RTU、HMI，以及連接他們的通信鏈路、他們之間通信的網(wǎng)絡(luò)協(xié)議等都有可能成為被攻擊對(duì)象或成為攻擊的跳板。下面分別介紹面向工業(yè)控制網(wǎng)絡(luò)和工業(yè)設(shè)備的攻擊方式。（1）工業(yè)控制網(wǎng)絡(luò)攻擊依據(jù)工業(yè)控制網(wǎng)絡(luò)部署層次,針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊可分為三類：監(jiān)控網(wǎng)攻擊：即來自信息空間的網(wǎng)絡(luò)攻擊，如篡改數(shù)據(jù)分組，破壞其完整性。系統(tǒng)攻擊：注入非法命令破壞現(xiàn)場(chǎng)設(shè)備，或違反總線協(xié)議中的數(shù)據(jù)分組格式的定義，如篡改其中某些參數(shù)，令其超出范圍而形成攻擊。過程攻擊：是指攻擊命令是符合協(xié)議規(guī)范的，但違背了工控系統(tǒng)的生產(chǎn)邏輯過程，使系統(tǒng)處于“危險(xiǎn)狀態(tài)”。現(xiàn)實(shí)中更多的攻擊集中于系統(tǒng)攻擊和過程攻擊。1.4

工業(yè)控制安全與防御依據(jù)攻擊原理，針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊又可分為隱蔽攻擊、數(shù)據(jù)注入攻擊、中間人攻擊、語義攻擊等方式。隱蔽攻擊是基于攻擊者對(duì)工業(yè)控制系統(tǒng)目標(biāo)系統(tǒng)所使用的協(xié)議及工業(yè)流程等充分深入的了解，通過持續(xù)更改控制命令以及所有相關(guān)的觀測(cè)量，致使上述取值永遠(yuǎn)保持在檢測(cè)機(jī)制的檢測(cè)閾值之下，導(dǎo)致檢測(cè)機(jī)制的失效。虛假數(shù)據(jù)注入攻擊一般發(fā)生在智能電網(wǎng)中，該攻擊利用能量管理系統(tǒng)中的虛假數(shù)據(jù)檢測(cè)漏洞，惡意篡改狀態(tài)估計(jì)結(jié)果，嚴(yán)重危害電力系統(tǒng)的安全可靠運(yùn)行。中間人攻擊是一種間接的入侵攻擊，攻擊者將自己放置在兩個(gè)設(shè)備之間，攔截或修改兩者之間的通信，然后收集信息并模擬這兩個(gè)設(shè)備中的任何一個(gè)。語義攻擊包括序列攻擊和過程攻擊，通過向被控設(shè)備發(fā)送順序錯(cuò)誤或時(shí)序錯(cuò)誤的控制命令，導(dǎo)致設(shè)備狀態(tài)偏離正常行為軌道，使系統(tǒng)處于“臨界狀態(tài)”。1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御（2）工業(yè)設(shè)備攻擊工業(yè)防火墻攻擊與傳統(tǒng)防火墻類似，工業(yè)防火墻采用加密、VPN、深度包檢測(cè)等技術(shù)，通過監(jiān)控和控制網(wǎng)絡(luò)內(nèi)部、網(wǎng)絡(luò)之間的流量抵御網(wǎng)絡(luò)攻擊。但工業(yè)防火墻本身帶有的漏洞使其在防護(hù)工業(yè)控制系統(tǒng)安全的同時(shí)，也成為安全隱患，如2016年，施耐德電子的ConneXium防火墻產(chǎn)品中存在的緩沖區(qū)漏洞；未經(jīng)身份驗(yàn)證的攻擊者利用防火墻中的已知漏洞觸發(fā)導(dǎo)致設(shè)備不斷重啟的DoS條件，導(dǎo)致美國(guó)西部一家未具名的公用事業(yè)公司“電力系統(tǒng)運(yùn)行中斷”。部署在控制網(wǎng)的不同安全區(qū)域間的工業(yè)防火墻1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御PLC攻擊一般從通信協(xié)議漏洞和PLC自身漏洞等兩個(gè)方面實(shí)現(xiàn)對(duì)PLC的攻擊。例如利用網(wǎng)絡(luò)協(xié)議存在的漏洞可實(shí)施拒絕服務(wù)攻擊、啟動(dòng)/停止攻擊、中間人攻擊等方式。一般情況下，基于ModBus、DNP3、IEC61850、Profinet等協(xié)議規(guī)范實(shí)現(xiàn)漏洞的利用。PLC的控制邏輯程序與固件是攻擊者最直接的攻擊目標(biāo)，攻擊者通過修改PLC控制邏輯程序?qū)崿F(xiàn)病毒注入，或直接挖掘PLC固件中存在的漏洞，利用漏洞發(fā)起攻擊。PLC廠商在自己的網(wǎng)站上提供了固件的更新版本，因此，不少攻擊者通過篡改存放在網(wǎng)站上的PLC固件或?qū)ο螺d途中的固件進(jìn)行篡改的方式達(dá)到攻擊的目的。1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御傳感器攻擊工業(yè)控制系統(tǒng)中的測(cè)量值，如壓力、溫度、高度等數(shù)據(jù)通過傳感器獲取，一旦傳感器受到攻擊，輸入到控制設(shè)備，如PLC，則數(shù)據(jù)就不再準(zhǔn)確，甚至?xí)c實(shí)際真實(shí)數(shù)據(jù)發(fā)生很大偏差，從而導(dǎo)致控制設(shè)備發(fā)出錯(cuò)誤的控制命令，引發(fā)嚴(yán)重安全事故。任意針對(duì)傳感器的攻擊都是遠(yuǎn)距離的攻擊，無法訪問傳感器硬件，而敵手只能訪問傳感器使用的物理/模擬介質(zhì)-磁波等，因此，此處的傳感器感知物理世界，不支持遠(yuǎn)程固件更新，不接受來自遠(yuǎn)處操作者的命令。模擬傳感器上的信號(hào)注入攻擊,通過向模擬線圈中注入信號(hào)可實(shí)現(xiàn)傳感器的讀數(shù)篡改。除了向模擬線圈中注入信號(hào)之外，還可以在傳感器轉(zhuǎn)換和數(shù)字化之前惡意改變物理模擬信號(hào)，比如磁波、聲波或者可見波,實(shí)現(xiàn)隱匿惡意行為、注入信號(hào)、信號(hào)隱藏的目的PyCRA。1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御HMI攻擊Stuxnet（震網(wǎng)）在實(shí)施攻擊過程中，以攻擊HMI為跳板，最終達(dá)到攻擊特定PLC的目的：Hooks7tgtopx.exe進(jìn)程（WinCC西門子管理器）內(nèi)部打開工程文件的API，感染西門子WinCC系統(tǒng)中的Step7工程文件，使用惡意文件s7otbxdx.dll替換西門子的正常文件以截獲編程設(shè)備（工程工作站）與PLC之間的通信。此外，也有成功利用4592/TCP上WebAccess（基于網(wǎng)絡(luò)瀏覽器的HMI產(chǎn)品）網(wǎng)絡(luò)服務(wù)中的RPC漏洞，執(zhí)行遠(yuǎn)程代碼注入攻擊的實(shí)例存在。震網(wǎng)病毒結(jié)構(gòu)與運(yùn)行流程1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御OPC服務(wù)器攻擊開放平臺(tái)通信(OPC)標(biāo)準(zhǔn)是一個(gè)基于遠(yuǎn)程過程調(diào)用(RPC)服務(wù)的Microsoft分布式組件對(duì)象模型(DCOM)接口的工業(yè)標(biāo)準(zhǔn)。它越來越多地用于人機(jī)界面(HMI)、工作站、數(shù)據(jù)歷史數(shù)據(jù)庫(kù)和控制網(wǎng)絡(luò)上的其他主機(jī)與企業(yè)數(shù)據(jù)庫(kù)、企業(yè)資源規(guī)劃(ERP)系統(tǒng)和其他面向業(yè)務(wù)的軟件的互連。遠(yuǎn)程訪問木馬Havex的目標(biāo)是控制系統(tǒng)中廣泛使用的OPC標(biāo)準(zhǔn)。它枚舉所有已連接的網(wǎng)絡(luò)資源，并使用基于OPC標(biāo)準(zhǔn)的分布式組件對(duì)象模型(DCOM)來收集關(guān)于網(wǎng)絡(luò)中已連接控制系統(tǒng)資源的信息。這是對(duì)協(xié)議的巧妙使用。1.4.1

工業(yè)控制系統(tǒng)攻擊1.4

工業(yè)控制安全與防御面向工控系統(tǒng)的各種攻擊方式與攻擊原理，工控系統(tǒng)防御技術(shù)涉及PLC固件加固、蜜罐系統(tǒng)、工控協(xié)議安全分析、資產(chǎn)探測(cè)、漏洞掃描、異常檢測(cè)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)等多方面內(nèi)容。后續(xù)章節(jié)中再詳細(xì)講解工控協(xié)議安全分析、資產(chǎn)探測(cè)、漏洞掃描、異常檢測(cè)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)等方面的內(nèi)容。PLC固件加固面向PLC固件傳輸途中遭受篡改的情況，可以通過監(jiān)控固件更新命令，提取傳輸?shù)墓碳畔?，通過自動(dòng)化的工具識(shí)別和阻止被篡改的固件或采用集成的加密模塊對(duì)固件包進(jìn)行身份驗(yàn)證，以保證固件更新過程的完整性與真實(shí)性。蜜罐系統(tǒng)蜜罐用于捕獲攻擊數(shù)據(jù)，幫助安全研究人員更好地了解當(dāng)前或最新的攻擊方法和策略。HoneyPLC是一款專用于工業(yè)控制系統(tǒng)的蜜罐，可以被部署在本地和公共環(huán)境中。為了保持隱蔽的操作和欺騙攻擊者和惡意軟件，多種廣泛使用的偵察工具識(shí)別為真實(shí)設(shè)備，包括Namp、Shodan、SiemensStep7Manager等。HoneyPLC實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)服務(wù)和TCP/IP棧的復(fù)雜模擬；針對(duì)不斷變化的惡意軟件，引入了獨(dú)有的梯形邏輯捕獲功能、PLC配置文件和Profiler工具，以適應(yīng)異構(gòu)的ICS。1.4.2

工業(yè)控制系統(tǒng)防御1.4

工業(yè)控制安全與防御1.5

習(xí)題一、選擇題：1、工業(yè)控制系統(tǒng)是指什么？A.用于家庭娛樂的電子設(shè)備B.用于工業(yè)生產(chǎn)的電子設(shè)備C.用于醫(yī)療行業(yè)的電子設(shè)備D.用于通信行業(yè)的電子設(shè)備2、工業(yè)控制系統(tǒng)安全是指什么？A.保護(hù)工業(yè)控制系統(tǒng)不受黑客攻擊B.保護(hù)工業(yè)控制系統(tǒng)不受病毒感染C.保護(hù)工業(yè)控制系統(tǒng)不受自然災(zāi)害影響D.保護(hù)工業(yè)控制系統(tǒng)不受機(jī)器故障影響3、工業(yè)控制系統(tǒng)中的SCADA是什么意思？A.工業(yè)控制系統(tǒng)的傳感器和執(zhí)行器B.工業(yè)控制系統(tǒng)的編程語言C.工業(yè)控制系統(tǒng)的數(shù)據(jù)采集和監(jiān)控系統(tǒng)D.工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防御系統(tǒng)1.5

習(xí)題4、工業(yè)控制系統(tǒng)安全的挑戰(zhàn)主要包括以下哪些方面？A.缺乏足夠的技術(shù)安全措施B.員工安全意識(shí)不夠C.第三方供應(yīng)商的安全問題D.所有以上答案二、簡(jiǎn)答題1、工業(yè)控制網(wǎng)絡(luò)分層拓?fù)浒◣讓?，各層有什么功能?、工業(yè)物聯(lián)網(wǎng)自上而下有哪幾層，各層有什么功能。3、簡(jiǎn)述工業(yè)控制網(wǎng)絡(luò)和工業(yè)設(shè)備的攻擊方式4、簡(jiǎn)述工控系統(tǒng)防御相關(guān)技術(shù)工業(yè)控制設(shè)備安全55456面向PLC的攻擊本章小結(jié)習(xí)題第二章

工業(yè)控制設(shè)備安全123可編程邏輯控制器可編程自動(dòng)化控制器遠(yuǎn)程終端單元562.1可編程邏輯控制器可編程控制器PLC定義可編程控制器是一種數(shù)字運(yùn)算操作的電子系統(tǒng)，專為在工業(yè)環(huán)境下應(yīng)用而設(shè)計(jì)。它采用可編程序的存儲(chǔ)器，用來在其內(nèi)部存儲(chǔ)執(zhí)行邏輯運(yùn)算、順序控制、定時(shí)、計(jì)數(shù)和算術(shù)運(yùn)算等操作的指令，并通過數(shù)字式和模擬式的輸入和輸出，控制各種類型的機(jī)械或生產(chǎn)過程。可編程控制器及其有關(guān)外圍設(shè)備，都應(yīng)按易于與工業(yè)系統(tǒng)聯(lián)成一個(gè)整體，易于擴(kuò)充其功能的原則設(shè)計(jì)。572.1.1組成PLC的硬件由電源、CPU、存儲(chǔ)器、輸入/輸出接口等組件組成。582.1.1組成l電源：電源用于為PLC供電，將交流電轉(zhuǎn)換成PLC內(nèi)部所需的直流電。l中央處理單元：中央處理器（CPU）是PLC的控制中樞，負(fù)責(zé)協(xié)調(diào)和控制整個(gè)可編程控制器系統(tǒng)的操作，由控制器、運(yùn)算器和寄存器組成，這些電路都集中在一塊芯片上，通過地址總線、控制總線與存儲(chǔ)器的輸入/輸出接口電路相連。592.1.1組成l存儲(chǔ)器：PLC的存儲(chǔ)器包括ROM（只讀存儲(chǔ)器）和RAM（隨機(jī)存儲(chǔ)器）兩種類型，ROM用來存儲(chǔ)系統(tǒng)程序，RAM用來存儲(chǔ)用戶程序和程序運(yùn)行時(shí)產(chǎn)生的數(shù)據(jù)。l輸入/輸出接口：輸入/輸出接口又稱I/O接口或I/O模塊，是PLC與外圍設(shè)備之間的連接部件。PLC通過輸入接口檢測(cè)輸入設(shè)備的狀態(tài)，以此作為對(duì)輸出設(shè)備控制的依據(jù)，同時(shí)PLC又通過輸出接口對(duì)輸出設(shè)備進(jìn)行控制。602.1.2工作原理PLC的工作過程第一步：上電初始化PLC通電后，首先進(jìn)行系統(tǒng)初始化，將內(nèi)部電路恢復(fù)到起始狀態(tài)。第二步：自我診斷，與外設(shè)通信進(jìn)行自我診斷，檢測(cè)內(nèi)部電路是否正常，以確保系統(tǒng)能正常運(yùn)行，診斷結(jié)束后對(duì)通信接口進(jìn)行掃描，若接有外設(shè)則與其通信。第三步：輸入采樣通信接口無外設(shè)或通信完成后，系統(tǒng)開始進(jìn)行輸入采樣，檢測(cè)輸入設(shè)備(開關(guān)、按鈕、傳感器數(shù)據(jù)等)的狀態(tài)。612.1.2工作原理PLC的工作過程第四步：執(zhí)行用戶程序根據(jù)輸入采樣結(jié)果依次執(zhí)行用戶程序，程序運(yùn)行結(jié)束后對(duì)輸出進(jìn)行刷新，即輸出程序運(yùn)行時(shí)產(chǎn)生的控制信號(hào)。第五步：輸出刷新以上過程完成后，系統(tǒng)又返回，重新開始自我診斷，以后不斷重新上述過程。PLC有兩個(gè)工作狀態(tài)：RUN(運(yùn)行)狀態(tài)和STOP(停止)狀態(tài)。當(dāng)PLC工作在RUN狀態(tài)時(shí)，系統(tǒng)會(huì)完整執(zhí)行；當(dāng)PLC工作在STOP狀態(tài)時(shí)，系統(tǒng)不執(zhí)行用戶程序。PLC正常工作時(shí)應(yīng)處于RUN狀態(tài)，而在編制和修改程序時(shí)，應(yīng)讓PLC處于STOP狀態(tài)。PLC的兩種工作狀態(tài)可通過開關(guān)進(jìn)行切換。622.1.3基本指令系統(tǒng)(1)數(shù)據(jù)的存取方式：S7-200將數(shù)據(jù)存于不同的存儲(chǔ)器單元,每個(gè)單元都有唯一的地址。位存儲(chǔ)單元(如開關(guān)量輸入/輸出)的地址由字節(jié)地址和位地址組成。(2)輸入/輸出映象寄存器：輸入/輸出映象寄存器的標(biāo)示符分別為I(I0.0-I7.7)和Q(Q0.0-Q7.7)。(3)變量存儲(chǔ)器(V)：變量存儲(chǔ)器用來保存用戶程序執(zhí)行過程中控制邏輯操作的中間結(jié)果,也可以用它來保存與工序或任務(wù)有關(guān)的其它數(shù)據(jù)。632.1.3基本指令系統(tǒng)(4)位存儲(chǔ)器(M)：用內(nèi)部存儲(chǔ)器標(biāo)志位(M)保存控制繼電器的中間操作狀態(tài)或其它控制信息。(5)順序控制繼電器(S)：順序控制繼電器用于設(shè)計(jì)順序控制程序,它與SCR指令一起使用,可將順序控制程序劃分為與被控系統(tǒng)工作順序相對(duì)應(yīng)的程序段。(6)特殊存儲(chǔ)器(SM)標(biāo)志位：特殊存儲(chǔ)器用于CPU與用戶之間交換信息。642.1.3基本指令系統(tǒng)(7)定時(shí)器(T)存儲(chǔ)區(qū)：S7-200有1ms、10ms、100ms3種時(shí)基增量的定時(shí)器,其當(dāng)前值為16位有符號(hào)整數(shù),定時(shí)時(shí)間到時(shí)定時(shí)器位被置為“1”。(8)計(jì)數(shù)器(C)存儲(chǔ)區(qū)：計(jì)數(shù)器的當(dāng)前值為16位有符號(hào)整數(shù),用來存放累計(jì)的脈沖數(shù)。當(dāng)計(jì)數(shù)器的當(dāng)前值大于等于預(yù)置值時(shí),計(jì)數(shù)器位被置為“1”。(9)模擬量輸入(AI)尋址：模擬量輸入電路將模擬量轉(zhuǎn)換為1個(gè)字長(zhǎng)的數(shù)字量。必須用偶數(shù)字節(jié)地址(如AIW2,W表示字)來存取這些數(shù)據(jù),模擬量輸入值為只讀數(shù)據(jù)。65(10)模擬量輸出(AO)尋址：模擬量輸出電路將1個(gè)字長(zhǎng)的數(shù)字量轉(zhuǎn)換為與之成

比例的電流和電壓信號(hào),必須用偶數(shù)字節(jié)地址(如AOW4)來存取數(shù)字量,模擬量輸出值為只寫數(shù)據(jù)。(11)累加器(AC)尋址：累加器(Accumulator)可以用來向子程序傳遞參數(shù),或從子程序返回參數(shù),以及用來存儲(chǔ)計(jì)算的中間值等。(12)高速計(jì)數(shù)器(HSC)尋址：高速計(jì)數(shù)器用來累計(jì)比CPU掃描速率更快的事件,高速計(jì)數(shù)器的32位有符號(hào)整數(shù)累計(jì)值(即當(dāng)前值)為只讀值,可作為雙字來尋址。

2.1.3基本指令系統(tǒng)66(13)常數(shù)：常數(shù)可以是字節(jié)、字和雙字。CPU以二進(jìn)制形式來存儲(chǔ)常數(shù),在程序中可以用二進(jìn)制、十進(jìn)值、十六進(jìn)制和ASCII碼的形式來表示常數(shù)。(14)間接尋址：間接尋址用指針來存取I、Q、V、M、S和T、Q當(dāng)前值存儲(chǔ)器中的數(shù)據(jù)。間接尋址的指針為雙字,用“&”,表示某一存儲(chǔ)單元的地址,而不是它的值。2.1.3基本指令系統(tǒng)672.1.4PLC與PC的區(qū)別可編程邏輯控制器在設(shè)計(jì)之初被稱為可編程控制器，即PC。為了避免混淆，可編程控制器行業(yè)在標(biāo)題中加入了邏輯一詞，產(chǎn)生了PLC的新術(shù)語--可編程邏輯控制器。PLC與PC的區(qū)別在于以下幾點(diǎn)：（1）PLC處理器有一個(gè)微處理器芯片，通過并行地址、數(shù)據(jù)和控制總線連接到內(nèi)存和I/O芯片。（2）PLC沒有可移動(dòng)或固定的存儲(chǔ)介質(zhì)，如軟盤和硬盤驅(qū)動(dòng)器，但它們有固態(tài)存儲(chǔ)器來存儲(chǔ)程序。（3）PLC沒有顯示器，但是它可以通過連接或集成人機(jī)界面(HMI)的平面屏幕來顯示控制過程或生產(chǎn)機(jī)器的狀態(tài)。（4）PLC配備了輸入和輸出現(xiàn)場(chǎng)設(shè)備的終端和通信端口。682.1.4PLC與PC的區(qū)別

（5）PC同時(shí)執(zhí)行多個(gè)程序或任務(wù)；PLC以有序或連續(xù)的方式形成指令并執(zhí)行一個(gè)任務(wù)，實(shí)現(xiàn)生產(chǎn)機(jī)器和過程的控制。（6）PLC易于安裝和維護(hù)，在操作員屏幕上顯示的故障指示器，簡(jiǎn)化了故障排除。（7）PLC采用原理圖或梯形圖編程，并將程序語言內(nèi)置在內(nèi)存中；PC采用常用的計(jì)算機(jī)語言編程，可執(zhí)行程序存放在硬盤中，運(yùn)行時(shí)再加載到內(nèi)存中。692.2可編程自動(dòng)化控制器可編程自動(dòng)化控制器PAC定義PAC是在一種開放靈活的軟件構(gòu)架下，由一個(gè)輕便的控制引擎支持，且對(duì)多種應(yīng)用使用同一種開發(fā)工具，PAC將PLC的穩(wěn)定性和PC的多功能相結(jié)合，保證了控制系統(tǒng)功能的統(tǒng)一集成，使控制系統(tǒng)更具有靈活性、開放性和高效性。702.2可編程自動(dòng)化控制器五種特征和性能

1）滿足在一個(gè)平臺(tái)上的多領(lǐng)域控制需要，包括邏輯控制、運(yùn)動(dòng)控制、人機(jī)界面和過程控制。2）符合國(guó)際標(biāo)準(zhǔn)的一體化系統(tǒng)設(shè)計(jì)和集成的開發(fā)平臺(tái)。3）允許OEM廠商和用戶在統(tǒng)一平臺(tái)上擴(kuò)展的開放的系統(tǒng)結(jié)構(gòu)。4）開放的模塊化結(jié)構(gòu)，適應(yīng)高度分布性的工廠環(huán)境。5）應(yīng)用未經(jīng)標(biāo)準(zhǔn)機(jī)構(gòu)通過，但卻被業(yè)界廣泛采用的標(biāo)準(zhǔn)的網(wǎng)絡(luò)與通信，使數(shù)據(jù)在不同系統(tǒng)間順利交換。712.2可編程自動(dòng)化控制器722.2.1PAC的構(gòu)成方式一體化的軟件開發(fā)平臺(tái)嵌入式版運(yùn)行在各種嵌入式操作系統(tǒng)環(huán)境下的基于EPC（嵌入式PC）即市場(chǎng)上的PC-BASED控制器。該版本具有實(shí)時(shí)性好、控制器結(jié)構(gòu)開放的優(yōu)點(diǎn)，是PACs理想的系統(tǒng)平臺(tái)?；谕ㄓ肞C或工業(yè)控制計(jì)算機(jī)，運(yùn)行在WindowsNT/2000/XP操作系統(tǒng)環(huán)境下，結(jié)合PC硬件平臺(tái)和一定的I/O設(shè)備，組成基于PC的控制系統(tǒng)，其控制框圖如圖所示。PC控制版732.2.1PAC的構(gòu)成方式ME結(jié)構(gòu)View：是實(shí)現(xiàn)SCADA/HMI功能的人機(jī)界面工具包。LogicDeveloper：是Soft-Logic控制解決方案，提供所有開發(fā)、監(jiān)控和調(diào)試程序必須的工具。MotionDeveloper：是運(yùn)動(dòng)控制開發(fā)包，支持運(yùn)動(dòng)控制程序開發(fā)功能。742.2.1PAC的構(gòu)成方式開放式模塊化硬件平臺(tái)PC-BASED，也稱嵌入式控制器，是一個(gè)獨(dú)立的基于嵌入式PC技術(shù)的專用系統(tǒng)，適用于小型SCADA系統(tǒng)。除了具有網(wǎng)絡(luò)系統(tǒng)的基本特性，符合PACs的要求之外，工業(yè)PC或PC-BASED控制器具有內(nèi)存容量大、網(wǎng)絡(luò)連接開放、處理速度快的特點(diǎn)，而PC-BASED控制器體積更小，可靠性更高的優(yōu)勢(shì)，因此PC-BASED控制器一出現(xiàn)就體現(xiàn)出較強(qiáng)的競(jìng)爭(zhēng)力，發(fā)展極為迅速，被證明是很好的傳統(tǒng)可編程控制器的替代方案，也是PACs的理想硬件平臺(tái)。752.2.2PAC系統(tǒng)技術(shù)優(yōu)勢(shì)

降低系統(tǒng)運(yùn)行成本：通用、標(biāo)準(zhǔn)的架構(gòu)與網(wǎng)絡(luò)設(shè)計(jì)，降低了系統(tǒng)運(yùn)行成本。

提高企業(yè)生產(chǎn)效率：一體化的軟件開發(fā)平臺(tái)縮短了開發(fā)、升級(jí)周期。

提升用戶體驗(yàn)效果：統(tǒng)一平臺(tái)和開發(fā)環(huán)境為用戶提供靈活性與便捷性，提升用戶體驗(yàn)效果。762.2.3PAC與PLC區(qū)別性能基礎(chǔ)不同

PLC的操作系統(tǒng)通常都是各PLC廠家的專用操作系統(tǒng)，與目前流行的實(shí)時(shí)操作系統(tǒng)不兼容。PAC的操作系統(tǒng)采用通用的實(shí)時(shí)操作系統(tǒng)，即采用通用的、成熟的WindRiver公司的VxWorks實(shí)時(shí)操作系統(tǒng)，其可靠性已經(jīng)得到全球大量的應(yīng)用的證實(shí)。PAC的性能是基于輕便的控制引擎、標(biāo)準(zhǔn)、通用、開放的實(shí)時(shí)操作系統(tǒng)、嵌入式硬件系統(tǒng)設(shè)計(jì)以及背板總線。與其之前的PLC等控制系統(tǒng)的用戶應(yīng)用程序依靠硬件實(shí)現(xiàn)原理不同，PAC設(shè)計(jì)了一個(gè)通用的、軟件形式的、與硬件平臺(tái)無關(guān)的控制引擎用于應(yīng)用程序的執(zhí)行，控制引擎位于實(shí)時(shí)操作系統(tǒng)與應(yīng)用程序之間，可以在不同平臺(tái)的PAC系統(tǒng)間移植。操作系統(tǒng)不同772.2.3PAC與PLC區(qū)別CPU性能不同編程軟件與開發(fā)環(huán)境不同PAC系統(tǒng)的硬件結(jié)構(gòu)采用標(biāo)準(zhǔn)的，通用的嵌入式系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，這樣其處理器可以使用最新的高性能CPU，小型PLC的CPU多采用單片機(jī)或?qū)Ｓ肅PU，中型PLC的CPU大多采用16位微處理器或單片機(jī)，大型PLC的CPU多用高速位片式處理器，具有高速處理能力。PAC系統(tǒng)的編程軟件為統(tǒng)一平臺(tái)，集成了包括邏輯控制、運(yùn)動(dòng)控制、過程控制和人機(jī)界面等多領(lǐng)域功能。PLC采用傳統(tǒng)的梯形邏輯編程對(duì)于處理模擬I/O、運(yùn)動(dòng)或視覺來說，這種編程方式則十分麻煩。78RTU功能與應(yīng)用隨著電子通信技術(shù)的不斷發(fā)展，從最初的只有一臺(tái)機(jī)器設(shè)備的所有儀表接入PLC實(shí)行控制，到后來發(fā)展至有更多的設(shè)備統(tǒng)一控制、分散式控制、統(tǒng)一集中控制的遞進(jìn)式需求，此時(shí)DCS系統(tǒng)應(yīng)運(yùn)而生。現(xiàn)代PLC和DCS功能越來越接近，如西門子PLCS400與艾默生、霍尼韋爾、?？怂共_的DCS基本沒有太大的區(qū)別，有些行業(yè)應(yīng)用既可以用DCS，也可以用S400，因此S400也已不被稱為PLC，而只被稱為控制器。與之類似地，ABB同類產(chǎn)品不再區(qū)分PLC或DCS，也只稱控制器。2.3遠(yuǎn)程終端單元當(dāng)前PLC和DCS之間已沒有嚴(yán)格的界限，難以對(duì)二者進(jìn)行嚴(yán)格區(qū)分。在這二者發(fā)展的過程中產(chǎn)生了另一類控制器--遠(yuǎn)程終端單元（RemoteTerminalUnit，RTU）。RTU是隨著PLC的應(yīng)用才有這樣的一個(gè)概念，在網(wǎng)絡(luò)通訊技術(shù)發(fā)達(dá)的今天，RTU能夠適用于很多PLC達(dá)不到的領(lǐng)域。79RTU功能RTU負(fù)責(zé)對(duì)現(xiàn)場(chǎng)信號(hào)、工業(yè)設(shè)備監(jiān)測(cè)和控制。它與主終端單元(MasterTerminalUnits,MTU)、人機(jī)界面軟件(HumanMachineInterfacesoftware,HMI)以及與物理系統(tǒng)連接的傳感器和驅(qū)動(dòng)器等一樣，是SCADA控制系統(tǒng)的重要組成部分。MTU通過通信鏈路與RTU相連，MTU定期輪詢RTU以讀取被控制系統(tǒng)的物理量，如電壓、壓力、水位等。通常，這些信息顯示在人機(jī)界面(HMI)上，以便操作人員監(jiān)控物理進(jìn)程。HMI通常允許操作人員與物理流程進(jìn)行交互。RTU可以由幾個(gè)、幾十個(gè)或幾百個(gè)I/O點(diǎn)組成，可以放置在測(cè)量點(diǎn)附近的現(xiàn)場(chǎng)。RTU至少具備數(shù)據(jù)采集及處理、數(shù)據(jù)傳輸（網(wǎng)絡(luò)通信）等兩個(gè)功能，此外，RTU還可具備PID控制或邏輯控制、流量累計(jì)等功能。水源井RTU應(yīng)用于水源井控制系統(tǒng)，采集水源井的運(yùn)行數(shù)據(jù)，遠(yuǎn)程控制水源井的啟停2.3遠(yuǎn)程終端單元80RTU應(yīng)用RTU依賴于通信技術(shù)的快速發(fā)展，在廣域范圍內(nèi)，如石油天然氣長(zhǎng)輸管線和油氣田等領(lǐng)域有杰出應(yīng)用表現(xiàn)。在油氣田自動(dòng)化控制應(yīng)用中，RTU基本覆蓋從井口、計(jì)量站、聯(lián)合站、中心控制室至輸送到外面的全線自動(dòng)化控制應(yīng)用，只有在天然氣站使用的是DCS。國(guó)內(nèi)“西氣東輸”項(xiàng)目中從新疆到上海的輸氣管線，包括閥池站、中間站等一整套控制都是基于通訊系統(tǒng)的完善，在站內(nèi)可以用PLC，在控制閥池部分，更多的應(yīng)用遠(yuǎn)程控制單元RTU。整套控制體系化就是一個(gè)完整的SCADA系統(tǒng)。隨著SCADA系統(tǒng)、通訊系統(tǒng)的發(fā)展，RTU逐步走向更廣泛的應(yīng)用，具有較大的市場(chǎng)需求。氣井加熱爐--防爆井口數(shù)據(jù)采集器，采集氣井井口壓、溫度和控制加熱爐2.3遠(yuǎn)程終端單元81PLC與RTU的區(qū)別

RTU工業(yè)通訊與環(huán)境適應(yīng)能力相比于PLC更強(qiáng)，因此可以使用PLC的行業(yè)領(lǐng)域，也可以用RTU代替PLC；而某些PLC無法適用的行業(yè)領(lǐng)域，RTU是可以使用的。RTU具有更強(qiáng)的存儲(chǔ)量與寬溫（RTU不需要任何的裝置保護(hù)，沒有任何的溫度限制，在戈壁灘或是極寒地帶的各種特高溫和特低溫下都可以正常工作）環(huán)境適應(yīng)能力，更適用于遠(yuǎn)距離或惡劣環(huán)境下過程控制、數(shù)據(jù)采集、信息收集和PID控制、模擬量領(lǐng)域。PLC適用于在有限距離內(nèi)實(shí)現(xiàn)整個(gè)系統(tǒng)邏輯控制與邏輯順序持續(xù)控制環(huán)境；

有專家將RTU和PLC之間的關(guān)系比作兩個(gè)相交的圓，既有公共部分又有非公共部分。他們?cè)趹?yīng)用范圍與產(chǎn)品本質(zhì)技術(shù)方面有明顯差別。2.3遠(yuǎn)程終端單元82PLC與RTU的區(qū)別（1）RTU惡劣環(huán)境適應(yīng)能力強(qiáng)于PLC，工作地點(diǎn)不受地理環(huán)境限制。

一個(gè)RTU可以就地控制幾個(gè)、幾十個(gè)或幾百個(gè)I/O測(cè)量點(diǎn)，其室外現(xiàn)場(chǎng)工作溫度要求一般在-40℃--85℃，電池組供電工作時(shí)間可維持長(zhǎng)達(dá)數(shù)月；PLC一般主要用于廠站內(nèi)工業(yè)流水線的控制，工作環(huán)境溫度要求0℃--55℃，空氣濕度應(yīng)小于85%。超過溫度55要安裝風(fēng)扇通風(fēng)，高于溫度60要安裝風(fēng)扇或冷風(fēng)機(jī)降溫。（2）RTU模擬功能遠(yuǎn)比PLC強(qiáng)大。RTU數(shù)據(jù)存儲(chǔ)量大，模擬量采集能力強(qiáng)(最多24路)，因此，模擬功能遠(yuǎn)比PLC更強(qiáng)大。（3）RTU通信功能強(qiáng)于PLC。RTU具有較強(qiáng)的遠(yuǎn)程通訊功能，可將采集的模擬量、開關(guān)量、數(shù)字量信息傳輸給遠(yuǎn)在千里之外的調(diào)度中心。PLC的通訊功能僅支持廠站內(nèi)部近距離傳送數(shù)據(jù)。RTU與PLC相比具有以下幾點(diǎn)優(yōu)勢(shì)2.3遠(yuǎn)程終端單元83PLC與RTU的區(qū)別（4）RTU編程運(yùn)算能力強(qiáng)于PLC。RTU具備可編程運(yùn)算、PID控制、邏輯控制、流量累計(jì)等功能，可通過梯形圖、C語言、屏幕組態(tài)軟件等實(shí)現(xiàn)編程，具有較強(qiáng)運(yùn)算能力強(qiáng)。（5）RTU使用功能強(qiáng)于PLC。RTU具有遠(yuǎn)方功能、當(dāng)?shù)毓δ芤约白詸z與自調(diào)功能。遠(yuǎn)方功能指RTU與調(diào)度中心通過遠(yuǎn)距離信息傳輸所完成的監(jiān)控功能；當(dāng)?shù)毓δ苤窻TU通過自身或連接的顯示、記錄設(shè)備，就地對(duì)網(wǎng)絡(luò)監(jiān)視和控制；RTU的程序自恢復(fù)能力指在受到某種干擾影響而使程序“走飛”時(shí)，能夠自行恢復(fù)正常運(yùn)行的能力。而PLC僅有當(dāng)?shù)毓δ堋TU與PLC相比具有以下幾點(diǎn)優(yōu)勢(shì)2.3遠(yuǎn)程終端單元842.4面向PLC的攻擊PLC組成架構(gòu)圖

根據(jù)攻擊目標(biāo)，面向PLC的攻擊分成：固件攻擊、控制邏輯攻擊、和物理層攻擊。85固件攻擊

為什么PLC固件一般不打補(bǔ)丁？PLC固件補(bǔ)丁會(huì)中斷生產(chǎn)過程，造成負(fù)面影響；PLC的固件補(bǔ)丁可能會(huì)導(dǎo)致生產(chǎn)認(rèn)證或其他類型的質(zhì)量保證的損失這樣導(dǎo)致了針對(duì)PLC固件的攻擊日益增多。固件的更新方式：可以通過網(wǎng)絡(luò)更新；或者通過本地SD卡更新；另外攻擊者還可以使用硬件接口如JTAG連接到PLC上來篡改固件；或者是利用運(yùn)行時(shí)攻擊（run-timeattack）,利用漏洞執(zhí)行代碼重用攻擊（如ROP）繞過保護(hù)機(jī)制。2.4面向PLC的攻擊86攻擊類別描述文獻(xiàn)實(shí)現(xiàn)功能或攻擊方法前提條件或限制實(shí)施環(huán)境或?qū)嶒?yàn)環(huán)境固件攻擊對(duì)PLC固件進(jìn)行篡改以影響PLC的行為Basnight（2013）結(jié)合固件二進(jìn)制代碼對(duì)比、IDA反匯編、黑盒調(diào)試、硬件調(diào)試等技術(shù)實(shí)現(xiàn)ControlLogixL61PLC固件修改。PLC固件逆向過程手動(dòng)進(jìn)行Allen-BradleyControlLogixL61PLC上實(shí)現(xiàn)Peck和Peterson（2009）利用PLC以太網(wǎng)模塊漏洞上傳惡意的固件到PLCPLC固件逆向過程手動(dòng)進(jìn)行Rockwell1756ENBTEthernetmoduleandtheKoyoH4-ECOM100EthernetmoduleGarcia（2017）設(shè)計(jì)了一個(gè)PLCrootkit--HARVEY,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)物理電網(wǎng)控制系統(tǒng)地物理感知隱秘攻擊依賴于物理已知性，需要知道內(nèi)部物理拓?fù)浣Y(jié)構(gòu)HARVEY在AllenBradleyPLC上實(shí)現(xiàn)，作者將其稱為Man-in-the-PLC，通過截獲并修改語義上正確的PLC的輸入輸出值達(dá)到隱秘的目的Schuett（2014）修改PLC固件執(zhí)行遠(yuǎn)程觸發(fā)攻擊PLCSecurity關(guān)閉，設(shè)置PLC為Remote模式AllenBradleyControllogix1756-L61PLCs固件攻擊2.4面向PLC的攻擊87攻擊類別描述文獻(xiàn)實(shí)現(xiàn)功能或攻擊方法前提條件或限制實(shí)施環(huán)境或?qū)嶒?yàn)環(huán)境控制邏輯攻擊修改或注入PLC的控制邏輯，影響PLC的控制命令Stuxnet向PLC中惡意控制邏輯注入虛假數(shù)據(jù)了解攻擊目標(biāo)物理過程

McLaughlin

(2011)設(shè)計(jì)了一款PLC惡意軟件，可以基于對(duì)控制系統(tǒng)的過程觀測(cè)而產(chǎn)生動(dòng)態(tài)有效負(fù)載，并上傳到PLC執(zhí)行。需要攻擊目標(biāo)的先驗(yàn)知識(shí)

McLaughlin和McDaniel(2012)提出了一個(gè)SABOT，將PLC內(nèi)部的控制指令自動(dòng)映射到敵手提供的目標(biāo)控制系統(tǒng)行為規(guī)范。該映射恢復(fù)PLC內(nèi)部的足夠語義，以實(shí)例化任意惡意控制器代碼。對(duì)目標(biāo)工廠和過程有準(zhǔn)確的了解，整個(gè)物理過程的解釋說明還需要手動(dòng)完成

Klick（2015）使用PLC編程語言StatementList(STL)開發(fā)了一個(gè)端口掃描器原型系統(tǒng)、運(yùn)行在PLC上的SOCKS代理和執(zhí)行代碼注入的PLCInject針對(duì)某一用戶程序進(jìn)行代碼注入，普適性不強(qiáng)S7-314C-2PN/DP控制邏輯攻擊2.4面向PLC的攻擊88漏洞利用攻擊攻擊類別描述文獻(xiàn)實(shí)現(xiàn)功能或攻擊方法前提條件或限制實(shí)施環(huán)境或?qū)嶒?yàn)環(huán)境漏洞利用攻擊利用PLC固件中的漏洞攻擊PLCBeresford（2011）

在西門子S7系列PLC上執(zhí)行攻擊包括：ISO-TSAP上的TCP重放攻擊、S7認(rèn)證繞過、CPU停止或開啟攻擊、內(nèi)存讀寫邏輯攻擊、解密西門子固件、在PLC上執(zhí)行Shell

西門子S7系列PLC2.4面向PLC的攻擊89物理層攻擊攻擊類別描述文獻(xiàn)實(shí)現(xiàn)功能或攻擊方法前提條件或限制實(shí)施環(huán)境或?qū)嶒?yàn)環(huán)境物理層攻擊修改PLC物理層設(shè)置對(duì)工控網(wǎng)執(zhí)行攻擊Abbasi和Hashemi（2018）提出一個(gè)PLCrootkit,利用I/O引腳控制修改PLC讀寫模式，阻塞外部設(shè)備通訊、引起外圍設(shè)備物理?yè)p壞、偽造合法物理過程讀取或?qū)懭氲臄?shù)據(jù)需要預(yù)知各個(gè)引腳的功能Wago750-8202PLC從以上針對(duì)PLC攻擊中可以看出，攻擊對(duì)象從固件、控制邏輯、PLC本身漏洞延伸到物理內(nèi)存和I/O控制引腳，攻擊方式更為復(fù)雜。攻擊方法從對(duì)固件的人工逆向到對(duì)梯形邏輯的自動(dòng)反編譯，攻擊水平日趨提高。從文獻(xiàn)來源發(fā)現(xiàn)，美國(guó)黑客大會(huì)上對(duì)SCADA系統(tǒng)的攻擊文獻(xiàn)較多。2.4面向PLC的攻擊902.5本章小結(jié)本章首先介紹了工業(yè)控制系統(tǒng)中常用的控制設(shè)備：可編程邏輯控制器（PLC）、可編程自動(dòng)化控制器（PAC）、遠(yuǎn)程終端單元（RTU）的組成、功能、工作原理、技術(shù)優(yōu)勢(shì)、與其他類型控制設(shè)備區(qū)別等方面的相關(guān)知識(shí)，幫助讀者理解工業(yè)控制系統(tǒng)中控制設(shè)備的組成、工作原理、特點(diǎn)等，為理解工控系統(tǒng)相關(guān)安全知識(shí)打下基礎(chǔ)；然后從PLC組成結(jié)構(gòu)的角度介紹了面向PLC的攻擊方法及攻擊技術(shù)，除了使讀者了解PLC相關(guān)攻擊原理之外，還輔助讀者更好的理解后續(xù)第7章工業(yè)控制系統(tǒng)入侵檢測(cè)、第8章工業(yè)控制系統(tǒng)異常行為檢測(cè)等相關(guān)章節(jié)的內(nèi)容。912.6習(xí)題一、選擇題1、PLC的中文含義是（）A可編程邏輯控制器B工控設(shè)備C工控軟件D工控系統(tǒng)

2、PLC在使用過程中應(yīng)考慮的三個(gè)使用指標(biāo)中不包含（）A.工作環(huán)境B電源要求C.抗干擾D.可擴(kuò)展性3、面向PLC的攻擊不包含（）固件攻擊控制邏輯攻擊物理層共計(jì)軟件攻擊

924、PAC的技術(shù)優(yōu)勢(shì)不包含（）A．降低系統(tǒng)運(yùn)行成本B．提高企業(yè)生產(chǎn)效率C．提升用戶體驗(yàn)效果D．體積小、結(jié)構(gòu)簡(jiǎn)單二、簡(jiǎn)答題什么是PLC，簡(jiǎn)述PLC的工作流程。描述PLC與PC的區(qū)別。PAC定義了哪幾種特征和性能，并簡(jiǎn)單描述。4、RTU的功能是什么，與PLC有什么區(qū)別2.6習(xí)題93常見工業(yè)控制協(xié)議及安全性分析94第三章常見工業(yè)控制協(xié)議及安全性分析1工業(yè)控制協(xié)議發(fā)展歷程2常見工業(yè)控制協(xié)議3工業(yè)控制協(xié)議安全性分析4ModbusTCP協(xié)議數(shù)據(jù)包構(gòu)造與從站數(shù)據(jù)篡改實(shí)踐5S7Comm協(xié)議重放攻擊終止PLC運(yùn)行實(shí)踐6本章小結(jié)95工業(yè)控制協(xié)議，簡(jiǎn)稱工控協(xié)議，是指用于工業(yè)控制系統(tǒng)中各種組件之間進(jìn)行通信和交換數(shù)據(jù)的協(xié)議。這些組件可能包括傳感器、執(zhí)行器、智能儀表、PLC、RTU、HMI、DCS、SCADA系統(tǒng)等。工控協(xié)議的使用使得工業(yè)控制系統(tǒng)中的各個(gè)組件能夠相互協(xié)調(diào)工作，實(shí)現(xiàn)自動(dòng)化控制以提高生產(chǎn)效率。工控協(xié)議的種類繁多，不同協(xié)議具有不同的特點(diǎn)和適用場(chǎng)景，但總體上，根據(jù)協(xié)議依托的網(wǎng)絡(luò)類型等特點(diǎn)，可以將工控協(xié)議分為現(xiàn)場(chǎng)總線（Fieldbus）協(xié)議、工業(yè)以太網(wǎng)（IndustrialEthernet）協(xié)議以及工業(yè)無線（IndustrialWireless）協(xié)議三種。據(jù)統(tǒng)計(jì)，截至2020年，現(xiàn)場(chǎng)總線協(xié)議、工業(yè)以太網(wǎng)協(xié)議以及工業(yè)無線協(xié)議在所有工控協(xié)議中的占比分別為30%、64%、6%。三種協(xié)議包含的主要協(xié)議及所占比例如圖所示。3.1

工業(yè)控制協(xié)議發(fā)展歷程96現(xiàn)場(chǎng)總線是一種用于與傳感器、執(zhí)行器以及控制器等工業(yè)控制和測(cè)量設(shè)備進(jìn)行通信的數(shù)字化、串行、多點(diǎn)數(shù)據(jù)總線?，F(xiàn)場(chǎng)總線主要應(yīng)用在工業(yè)控制系統(tǒng)的現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層?，F(xiàn)場(chǎng)總線的概念于上世紀(jì)八十年代提出，主要目的是用于替代DCS系統(tǒng)需要單獨(dú)連線的模擬I/O通信方式。現(xiàn)場(chǎng)總線相比傳統(tǒng)模擬I/O通信的最大優(yōu)勢(shì)在于簡(jiǎn)單可靠、精確度高，經(jīng)濟(jì)實(shí)用，在工業(yè)以太網(wǎng)興起之前，它成為了工業(yè)通信網(wǎng)絡(luò)的首選?，F(xiàn)場(chǎng)總線使用的通信協(xié)議即為現(xiàn)場(chǎng)總線協(xié)議。3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.1現(xiàn)場(chǎng)總線協(xié)議97總線名稱技術(shù)特點(diǎn)主要應(yīng)用場(chǎng)合FF功能強(qiáng)大，實(shí)時(shí)性好，總線供電；但協(xié)議復(fù)雜，實(shí)際應(yīng)用少流程控制、工業(yè)過程控制、化工(如防爆環(huán)境)HART兼有模擬儀表性能和數(shù)字通信性能；允許問答式及成組通信方式現(xiàn)場(chǎng)儀表CAN采用短頓，抗干擾能力強(qiáng)；但速度較慢汽車檢測(cè)、控制LONWORKS支持OSI七層協(xié)議，實(shí)際應(yīng)用較多樓宇自動(dòng)化、工業(yè)、能源DeviceNet短幀傳輸；無破壞性的逐位仲裁技術(shù)；應(yīng)用較多制造業(yè)、工業(yè)控制、電力系統(tǒng)INTERBUS開放性好，兼容性強(qiáng)，實(shí)際應(yīng)用較多過程控制PROFIBUS總線供電，實(shí)際應(yīng)用較多，但支持的傳輸介質(zhì)較少，傳輸方式單一過程自動(dòng)化、制造業(yè)、樓宇自動(dòng)化WorldFIP具有較強(qiáng)的抗干擾能力，實(shí)時(shí)性好，穩(wěn)定性強(qiáng)工業(yè)過程控制CC-Link具有優(yōu)異的抗噪性能和兼容性，使用簡(jiǎn)單，應(yīng)用廣泛工業(yè)控制Modbus標(biāo)準(zhǔn)開放，可以支持多種電氣接口；應(yīng)用較多工業(yè)控制常見的現(xiàn)場(chǎng)總線協(xié)議如下表所示：3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.1現(xiàn)場(chǎng)總線協(xié)議98為進(jìn)一步提高現(xiàn)場(chǎng)總線的開放性、可集成性，提高傳輸速率，降低成本，實(shí)現(xiàn)控制網(wǎng)和信息網(wǎng)的融合，提高管理維護(hù)效率，人們開始將以太網(wǎng)技術(shù)應(yīng)用到工業(yè)現(xiàn)場(chǎng)，于是形成了新型的工業(yè)控制網(wǎng)絡(luò)——工業(yè)以太網(wǎng)。工業(yè)以太網(wǎng)是指在工業(yè)環(huán)境的自動(dòng)化控制及過程控制中應(yīng)用以太網(wǎng)的相關(guān)組件及技術(shù)。工業(yè)以太網(wǎng)在物理和鏈路層使用應(yīng)用廣泛的以太網(wǎng)（Ethernet，IEEE802.3）技術(shù)（或其改進(jìn)），網(wǎng)絡(luò)層和傳輸層通常會(huì)采用TCP/IP協(xié)議族，但在應(yīng)用層不同的工業(yè)以太網(wǎng)協(xié)議通常使用不同的協(xié)議。工業(yè)以太網(wǎng)協(xié)議是一個(gè)廣義的概念，包括多種不同協(xié)議。這些協(xié)議的共同特點(diǎn)是使用了以太網(wǎng)的物理層（應(yīng)用于工業(yè)現(xiàn)場(chǎng)時(shí)需要進(jìn)行安全加固）。鏈路層則根據(jù)通信實(shí)時(shí)性、確定性的要求不同分為使用原始以太網(wǎng)鏈路層協(xié)議和優(yōu)化的鏈路層協(xié)議等不同版本。目前，時(shí)間敏感網(wǎng)絡(luò)（TSN）技術(shù)的引入有望為所有實(shí)時(shí)或非實(shí)時(shí)工業(yè)以太網(wǎng)協(xié)議提供統(tǒng)一的鏈路層標(biāo)準(zhǔn)。傳輸層、網(wǎng)絡(luò)層通常使用TCP/IP協(xié)議族，追求高實(shí)時(shí)性的協(xié)議也可能省略這兩層。應(yīng)用層是工業(yè)以太網(wǎng)協(xié)議的核心，各種控制服務(wù)、信息模型等都在這一層定義。3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.2工業(yè)以太網(wǎng)協(xié)議99目前常見的工業(yè)以太網(wǎng)協(xié)議包括：ModbusTCP、PROFINET、EtherNet/IP、EtherCAT、SERCOSIII、PowerLink、OPC-UA等。常見的工業(yè)以太網(wǎng)協(xié)議如下表所示：協(xié)議名稱協(xié)議維護(hù)組織技術(shù)特點(diǎn)PROFINETPI公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性較好；實(shí)時(shí)性好；用于一般工業(yè)控制及運(yùn)動(dòng)控制POWERLINKEPSG

公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性較好；實(shí)時(shí)性好；用于一般工業(yè)控制及運(yùn)動(dòng)控制EtherNet/IPODVA

公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性好；實(shí)時(shí)性較好；用于一般工業(yè)控制及運(yùn)動(dòng)控制EtherCATETG公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性一般；實(shí)時(shí)性好；用于一般工業(yè)控制及運(yùn)動(dòng)控制SERCOSⅢIGS公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性一般；實(shí)時(shí)性好；用于運(yùn)動(dòng)控制ModbusTCPModbusOrganization公開協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性好；實(shí)時(shí)性一般；用于一般工業(yè)控制CC-LinkIECLPA私有協(xié)議；與標(biāo)準(zhǔn)以太網(wǎng)兼容性較好；實(shí)時(shí)性好；用于一般工業(yè)控制及運(yùn)動(dòng)控制3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.2工業(yè)以太網(wǎng)協(xié)議100無線技術(shù)的發(fā)展為節(jié)省網(wǎng)絡(luò)部署成本和提高網(wǎng)絡(luò)覆蓋率帶來了新的機(jī)遇。雖然這類協(xié)議仍處于發(fā)展的早期階段，但是越來越多的人認(rèn)為它會(huì)是網(wǎng)絡(luò)技術(shù)的未來。工業(yè)無線網(wǎng)絡(luò)是應(yīng)用于工業(yè)控制系統(tǒng)的一種無線通信網(wǎng)絡(luò)，用于連接工業(yè)設(shè)備、機(jī)器和系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)傳輸和控制。與傳統(tǒng)有線網(wǎng)絡(luò)相比，工業(yè)無線網(wǎng)絡(luò)具有更高的靈活性，并且可以大幅度降低布線和維護(hù)成本，適用于那些傳統(tǒng)有線網(wǎng)絡(luò)無法覆蓋的區(qū)域和場(chǎng)景。工業(yè)無線網(wǎng)絡(luò)通?；谝恍?biāo)準(zhǔn)協(xié)議和技術(shù)，例如IEEE802.11Wi-Fi標(biāo)準(zhǔn)、藍(lán)牙、Zigbee等。這些協(xié)議和技術(shù)提供了不同的數(shù)據(jù)傳輸速率、覆蓋范圍和可靠性，以適應(yīng)不同的應(yīng)用需求。此外，由于工業(yè)控制系統(tǒng)對(duì)網(wǎng)絡(luò)可靠性和安全性的要求較高，工業(yè)無線網(wǎng)絡(luò)通常還需要一些特殊的安全機(jī)制和協(xié)議來確保通信的安全性和保密性。工業(yè)無線網(wǎng)絡(luò)的應(yīng)用場(chǎng)景非常廣泛，例如智能制造、智能物流、智能能源等領(lǐng)域。在智能制造領(lǐng)域，工業(yè)無線網(wǎng)絡(luò)可以用于實(shí)時(shí)監(jiān)測(cè)和控制生產(chǎn)過程，提高生產(chǎn)效率和質(zhì)量；在智能物流領(lǐng)域，工業(yè)無線網(wǎng)絡(luò)可以用于物流過程的實(shí)時(shí)監(jiān)測(cè)和管理，提高物流效率和可靠性；在智能能源領(lǐng)域，工業(yè)無線網(wǎng)絡(luò)可以用于能源設(shè)備的實(shí)時(shí)監(jiān)測(cè)和控制，提高能源利用效率和節(jié)能減排效果。隨著數(shù)據(jù)分析和物聯(lián)網(wǎng)帶來新的可能性，無線協(xié)議將在工業(yè)環(huán)境中繼續(xù)增長(zhǎng)。3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.3工業(yè)無線協(xié)議101協(xié)議特點(diǎn)IEEE802.11（Wi-Fi）Wi-Fi協(xié)議是一種廣泛使用的工業(yè)無線協(xié)議，它通過無線局域網(wǎng)（WLAN）提供高速數(shù)據(jù)傳輸。Wi-Fi協(xié)議通常用于工業(yè)自動(dòng)化和遠(yuǎn)程監(jiān)控應(yīng)用。IEEE802.15.4（Zigbee）Zigbee協(xié)議是一種低功耗、低數(shù)據(jù)速率的無線協(xié)議，通常用于傳感器網(wǎng)絡(luò)和自組織網(wǎng)絡(luò)。它適用于短距離通信，支持多種拓?fù)浣Y(jié)構(gòu)，包括星型、樹形和網(wǎng)狀。WirelessHARTWirelessHART是一種專門為工業(yè)自動(dòng)化設(shè)計(jì)的無線傳感器網(wǎng)絡(luò)協(xié)議。它基于HART協(xié)議（高級(jí)數(shù)字通信協(xié)議），使用802.15.4標(biāo)準(zhǔn)，并提供可靠的、安全的和高效的通信。ISA100.11aISA100.11a是一種用于工業(yè)自動(dòng)化和控制應(yīng)用的無線協(xié)議。它使用IEEE802.15.4標(biāo)準(zhǔn)，支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提供可靠的數(shù)據(jù)傳輸和安全保護(hù)。BluetoothLowEnergy（BLE）BLE是一種低功耗、短距離無線協(xié)議，通常用于傳感器網(wǎng)絡(luò)和物聯(lián)網(wǎng)應(yīng)用。它提供可靠的、安全的和高效的通信，支持多種拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)傳輸速率。常見的工業(yè)無線協(xié)議及其特點(diǎn)如下表所示：3.1

工業(yè)控制協(xié)議發(fā)展歷程3.1.3工業(yè)無線協(xié)議102不同工控廠商出于排他性以及維持自身客戶群體等利益考慮，經(jīng)常制定只在自己產(chǎn)品中使用的私有工控協(xié)議，這些私有協(xié)議的規(guī)范通常不對(duì)外公開。另外，為了提高不同廠商設(shè)備之間的互操作性，各廠商及標(biāo)準(zhǔn)化組織也常制定一些公開規(guī)范的標(biāo)準(zhǔn)化協(xié)議。這就造成工控協(xié)議的種類繁多。目前常見的工控協(xié)議包括：Modbus、DNP3、S7Comm、EtherNet/IP、EtherCAT、IEC系列以及OPC等。（1）簡(jiǎn)介Modbus協(xié)議由莫迪康（Modicon）公司于1979年開發(fā)，是一種應(yīng)用廣泛的開放式工業(yè)控制協(xié)議。最初Modbus協(xié)議基于串行鏈路（RS-232/RS-422/RS-485）傳輸數(shù)據(jù)，是一種現(xiàn)場(chǎng)總線協(xié)議。后來莫迪康公司被施耐德電氣收購(gòu)，并于1996年推出基于TCP/IP和以太網(wǎng)鏈路的工業(yè)以太網(wǎng)協(xié)議Modbus/TCP。3.2.1Modbus協(xié)議3.2常見工業(yè)控制協(xié)議103（2）Modbus協(xié)議的OSI模型結(jié)構(gòu)Modbus協(xié)議的核心位于OSI模型第7層，基礎(chǔ)通信層則使用其他現(xiàn)有協(xié)議，在這個(gè)意義上可以說Modbus是一種應(yīng)用層協(xié)議。Modbus協(xié)議的基礎(chǔ)通信層可使用多種不同的通信鏈路，比較常見的有串行鏈路和TCP/IP以太網(wǎng)。在不同通信鏈路上實(shí)現(xiàn)Modbus協(xié)議通信需要根據(jù)通信鏈路特點(diǎn)對(duì)標(biāo)準(zhǔn)Modbus協(xié)議進(jìn)行映射——也即封裝，因此產(chǎn)生了不同的映射模式。映射到串行鏈路和TCP/IP以太網(wǎng)的Modbus協(xié)議的OSI模型結(jié)構(gòu)如圖所示。3.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議104（3）Modbus協(xié)議的通信模式Modbus協(xié)議采用客戶機(jī)（Client）/服務(wù)器（Server）通信模式，通信請(qǐng)求只能由客戶機(jī)發(fā)出，服務(wù)器只能被動(dòng)響應(yīng)客戶機(jī)的請(qǐng)求。如圖所示，Modbus協(xié)議的一次通信過程為：1）客戶機(jī)向服務(wù)器發(fā)送請(qǐng)求報(bào)文。2）服務(wù)器解析收到的請(qǐng)求報(bào)文并執(zhí)行相應(yīng)操作，若正常則返回正常響應(yīng)報(bào)文，否則返回錯(cuò)誤響應(yīng)報(bào)文。3.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議105（4）Modbus協(xié)議報(bào)文結(jié)構(gòu)標(biāo)準(zhǔn)的Modbus協(xié)議定義了一個(gè)與基礎(chǔ)通信層無關(guān)的報(bào)文結(jié)構(gòu)，包括功能碼和數(shù)據(jù)兩個(gè)部分。這種標(biāo)準(zhǔn)的報(bào)文結(jié)構(gòu)稱為ModbusPDU（ProtocolDataUnit/協(xié)議數(shù)據(jù)單元）。將標(biāo)準(zhǔn)ModbusPDU映射到不同通信鏈路需要對(duì)原始報(bào)文結(jié)構(gòu)進(jìn)行適當(dāng)?shù)姆庋b以適應(yīng)通信鏈路特點(diǎn)，因此產(chǎn)生了不同的報(bào)文結(jié)構(gòu)，通常將這種報(bào)文結(jié)構(gòu)稱為ModbusADU（ApplicationDataUnit/應(yīng)用數(shù)據(jù)單元）。ModbusADU包括映射到串行鏈路的ModbusASCIIADU、ModbusRTUADU和映射到TCP/IP以太網(wǎng)的ModbusTCP/IPADU。三種ADU的結(jié)構(gòu)如圖3-5和3-6所示。3.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議1063.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議ModbusADU包括映射到串行鏈路的ModbusASCIIADU、ModbusRTUADU和映射到TCP/IP以太網(wǎng)的ModbusTCP/IPADU，三種ADU的結(jié)構(gòu)如圖所示。107ModbusTCP/IPADU的MBAP頭中各字段的含義如下表所示：域長(zhǎng)度描述客戶機(jī)服務(wù)器事務(wù)標(biāo)識(shí)符2個(gè)字節(jié)Modbus請(qǐng)求/響應(yīng)事務(wù)的唯一識(shí)別碼客戶機(jī)啟動(dòng)服務(wù)器從接收的請(qǐng)求中重新復(fù)制協(xié)議標(biāo)識(shí)符2個(gè)字節(jié)Modbus協(xié)議固定為“0”客戶機(jī)啟動(dòng)服務(wù)器從接收的請(qǐng)求中重新復(fù)制長(zhǎng)度2個(gè)字節(jié)后面所有數(shù)據(jù)的字節(jié)長(zhǎng)度客戶機(jī)（請(qǐng)求）啟動(dòng)服務(wù)器（響應(yīng)）啟動(dòng)單元標(biāo)識(shí)符1個(gè)字節(jié)串行鏈路或其它總線上連接的遠(yuǎn)程從站的識(shí)別碼客戶機(jī)啟動(dòng)服務(wù)器從接收的請(qǐng)求中重新復(fù)制3.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議108（5）Modbus協(xié)議的數(shù)據(jù)模型Modbus協(xié)議將操作的數(shù)據(jù)對(duì)象從“是數(shù)字量還是模擬量”和“是輸入還是輸出”兩個(gè)維度分成數(shù)字量輸入、數(shù)字量輸出、模擬量輸入和模擬量輸出四種類型，分別稱為離散量輸入、線圈、輸入寄存器和保持寄存器。Modbus不同數(shù)據(jù)類型的特點(diǎn)如下表所示：數(shù)據(jù)類型數(shù)據(jù)格式訪問模式使用方式離散量輸入單個(gè)比特只讀I/O系統(tǒng)提供這種類型數(shù)據(jù)線圈單個(gè)比特讀寫通過應(yīng)用程序改變這種類型數(shù)據(jù)輸入寄存器16比特字只讀I/O系統(tǒng)提供這種類型數(shù)據(jù)保持寄存器16比特字讀寫通過應(yīng)用程序改變這種類型數(shù)據(jù)Modbus服務(wù)器設(shè)備可根據(jù)需要選擇一種或多種數(shù)據(jù)類型進(jìn)行實(shí)現(xiàn)，實(shí)現(xiàn)過程中可將不同類型數(shù)據(jù)映射到不同存儲(chǔ)器地址范圍，也可選擇將不同類型數(shù)據(jù)映射到相同存儲(chǔ)器地址范圍。3.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議109（6）Modbus功能碼Modbus協(xié)議使用功能碼指示服務(wù)器執(zhí)行何種操作，如讀保持寄存器、寫線圈等。通常功能碼指示的操作需要結(jié)合報(bào)文數(shù)據(jù)域附加的起始地址、讀寫數(shù)據(jù)長(zhǎng)度、子功能碼等相關(guān)信息才能執(zhí)行。Modbus功能碼使用一個(gè)字節(jié)表示（ModbusASCII模式使用兩個(gè)字節(jié)），其有效范圍為1~127，128~255為差錯(cuò)碼保留（差錯(cuò)碼=功能碼+0x80）。常用的Modbus功能碼如下表所示。功能碼操作操作數(shù)據(jù)類型操作數(shù)據(jù)數(shù)量PLC地址范圍01讀線圈狀態(tài)位單個(gè)或多個(gè)00001-0999902讀離散輸入狀態(tài)位單個(gè)或多個(gè)10001-1999903讀保持寄存器16位字單個(gè)或多個(gè)40001-4999904讀輸入寄存器16位字單個(gè)或多個(gè)30001-3999905寫單個(gè)線圈位單個(gè)00001-0999906寫單個(gè)保持寄存器16位字單個(gè)40001-4999915寫多個(gè)線圈位多個(gè)00001-0999916寫多個(gè)保持寄存器16位字多個(gè)40001-499993.2常見工業(yè)控制協(xié)議3.2.1Modbus協(xié)議110（1）簡(jiǎn)介DNP3（DistributedNetworkProtocolVersion3）是一種開放的工業(yè)控制協(xié)議，由加拿大的Harris公司在1993年開發(fā)，現(xiàn)由DNPUsersGroup負(fù)責(zé)維護(hù)。DNP3協(xié)議應(yīng)用廣泛，主要用于電力、水務(wù)、能源等領(lǐng)域的SCADA系統(tǒng)中，負(fù)責(zé)在計(jì)算機(jī)、RTU、IED等設(shè)備之間通信。（2）DNP3協(xié)議的通信模型DNP3協(xié)議遵從OSI的EPA（EnhancedPerformanceArchitecture）模型結(jié)構(gòu)。EPA模型僅包含物理層，數(shù)據(jù)鏈路層和應(yīng)用層三層，為了支持高級(jí)的RTU功能和大于最大幀長(zhǎng)的報(bào)文，DNP3在數(shù)據(jù)鏈路層之上添加了一個(gè)偽傳輸層（Pseudo-TransportLayer/TransportFunction）來實(shí)現(xiàn)長(zhǎng)報(bào)文的分解與短報(bào)文的組裝。另外，DNP3協(xié)議采用主站（Master）/外站（Outstation）式通信結(jié)構(gòu)，主站向外站發(fā)送數(shù)據(jù)請(qǐng)求，外站可被動(dòng)向主站發(fā)送響應(yīng)也可主動(dòng)向主站報(bào)送數(shù)據(jù)。3.2常見工業(yè)控制協(xié)議3.2.2DNP3協(xié)議111DNP3協(xié)議的OSI模型和通信結(jié)構(gòu)如圖所示。3.2常見工業(yè)控制協(xié)議3.2.2DNP3協(xié)議112DNP3協(xié)議初始被設(shè)計(jì)為使用直連線或串行總線傳輸數(shù)據(jù)，后來為了使用速度更快的TCP/IP網(wǎng)絡(luò)，又制定了DNP3overTCP/IP的通信規(guī)范，其通信模型如圖所示?？梢?，使用TCP/IP網(wǎng)絡(luò)實(shí)現(xiàn)DNP3協(xié)議時(shí)，就是將標(biāo)準(zhǔn)DNP3協(xié)議的應(yīng)用層、偽傳輸層以及數(shù)據(jù)鏈路層數(shù)據(jù)打包做為TCP/IP網(wǎng)絡(luò)的應(yīng)用層數(shù)據(jù)。TCP/IP網(wǎng)絡(luò)的傳輸層可使用TCP或UDP協(xié)議，默認(rèn)的TCP/UDP端口號(hào)為20000。3.2常見工業(yè)控制協(xié)議3.2.2DNP3協(xié)議113（3）DNP3協(xié)議的幾個(gè)基本概念主站（Master）和外站（Outstation）：主站被定義為發(fā)送請(qǐng)求報(bào)文的站，而外站則為從屬設(shè)備。被請(qǐng)求回送報(bào)文的RTU或智能終端(IEDS)是事先規(guī)定了的。在DNP中，只有被指定的主站能夠發(fā)送應(yīng)用層的請(qǐng)求報(bào)文，而外站則只能發(fā)送應(yīng)用層的響應(yīng)報(bào)文。源方站（發(fā)啟站，PrimaryStation）和副方站（響應(yīng)站，SecondaryStation）：在一次通訊過程中，源方站處于主導(dǎo)地位，源方站實(shí)現(xiàn)的功能有：檢測(cè)副方鏈路層是否在線，復(fù)位副方鏈路，向副方發(fā)送應(yīng)用層數(shù)據(jù)、應(yīng)用層命令以及實(shí)現(xiàn)應(yīng)用層的其它功能。與此相反，在一次通訊過程中，副方站處于被動(dòng)響應(yīng)地位，副方站實(shí)現(xiàn)的功能有：處理收到的數(shù)據(jù)及命令，在需要的時(shí)候給出對(duì)源方站鏈路層報(bào)文的鏈路層響應(yīng)。3.2常見工業(yè)控制協(xié)議3.2.2DNP3協(xié)議114（4）DNP3報(bào)文結(jié)構(gòu)下面是一包完整的DNP3協(xié)議報(bào)文：05644c4403000400d86bccf382000033010701e2437d87ff0002f8c3810000000081032805000000010000010081000002005989f303010001f3032001283b4603000000010000000001000100000000e8b9020001000000003d62整個(gè)這一包報(bào)文稱為數(shù)據(jù)鏈路層報(bào)文。其中每一行的最后兩個(gè)字節(jié)為16位的CRC校驗(yàn)碼，報(bào)文的第一行共10個(gè)字節(jié)，稱為鏈路報(bào)文頭，其中含2個(gè)字節(jié)的CRC校驗(yàn)碼，所有的DNP鏈路層報(bào)文都