工业控制系统之专业术语（工业控制系统种类）

什么是工业控制系统

工业控制系统 (Industrial Control Systems,ICS, 简称工控系统), 是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。

其核心组件包括数据采集与监控系统 (Supervisory Control and Data Acquisition,SCADA)、分布式控制系统 (Distributed Control Systems,DCS)、可编程控制器 (Programmable Logic Controller,PLC)、远程终端 (Remote Terminal Unit,RTU)、人机交互界面设备 (Human Machine Interface,HMI), 以及确保各组件通信的接口技术。

工业控制网络与传统IT网络的不同

从大体上看，工业控制网络与传统 IT 信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同。

网络边缘不同：工控系统在地域上分布广阔，其边缘部分是智能程度不高的含传感和控制功能的远动装置，而不是 IT 系统边缘的通用计算机，两者之间在物理安全需求上差异很大。

体系结构不同：工业控制网络的结构纵向高度集成，主站节点和终端节点之间是主从关系。传统 IT 信息网络则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。

传输内容不同：工业控制网络传输的是工业设备的 “四遥信息”，即遥测、遥信、遥控、遥调。

此外，还可以从性能要求、部件生命周期和可用性要求等多方面，进一步对二者进行对比：

工控系统网络安全有何特点

1) 工业控制系统固有漏洞

各大厂商工控产品都或多或少存在着漏洞，工业领域存在着软、硬件的更新、升级、换代困难等问题。

工业控制系统协议在设计之初就缺乏安全性考虑，存在明文设计、缺乏认证、功能码滥用等安全威胁。

缺乏完善信息安全管理规定，存在 U 盘管理、误操作、恶意操作等安全威胁。

2) 工业控制系统建设周期长

一般一个大型工业项目建设周期长达 5-10 年，一套工业系统建设调试到稳定需要的周期很长，无法频繁升级。

3) 各种其他原因

两化融合使得工控系统而临着更多传统 IT 网络的威胁。

工业控制网络安全与传统IT网络安全的不同

工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科，同时拥有广泛的研究和应用背景。

两化融合后，IT 系统的信息安全也被融入了工控系统安全中。

不同于传统的生产安全，工控系统网络安全是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说，没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏，才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的，但是工业控制网络安全问题与传统 IT 系统的网络安全问题有着很大的区别。

工业控制系统面临哪些脆弱性

1) 工业控制系统产品漏洞

工业控制系统产品漏洞，如Emerson RS3 漏洞，SIEMENS PLC 漏洞。工业领域因软、硬件更新、升级、换代困难，漏洞不能得到及时修补。

2) 协议自身缺陷

像Modbus、IEC104、PROFINET等主流的工控协议，都存在一些通用问题。为了追求实用性和时效性，牺牲了很多安全性，因此会导致黑客的攻击。

3) 协议自身的脆弱性

例如，OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制造领域。OPC协议在带来便利的同时，存在着非常大的安全隐患。首先，OPC协议架构基于Windows平台，Windows系统所具有的漏洞和缺陷在OPC部属环境下依然存在。并且，为了实现信息交互的便捷性，所有的 Client 端使用相同的用户名和密码来读取OPC server所采集的数据。另外，只要Client端连接，所有的数据都会公布出去，极易造成信息的泄露。更有甚者，在某些不太规范的部属环境下，OPC server 一方面是为现场所采集的实时数据提供展示，另一方面又为 MES 层提供数据。相当于 MES 和现场数据共用一个 OPC 数据库，MES 一旦被攻击，就会导致 OPC 的某个参数被修改，致使现场操作也会随之变动。

工控系统普遍面临的信息安全问题有哪些

1) 未进行安全域划分，安全边界模糊

大多数行业的工控系统各子系统之间没有隔离防护，未根据区域重要性和业务需求对工控网络进行安全区域划分，系统边界不清晰，边界访问控制策略缺失，重要网段和其他网段之间缺少有效的隔离手段，一旦出现网络安全事件，安全威胁无法控制在特定区域内。

2) 操作系统存在漏洞，主机安全防护不足

工程师站和操作员站一般是基于Windows平台，包括NT4.0、2000、XP、Win7、Server2003 等，考虑到杀毒软件和系统补丁可能对控制系统的稳定运行造成影响，即便安装杀毒软件也存在病毒库过期等问题，因此通常不安装或运行杀毒软件，系统补丁在特殊情况下才进行更新或升级。同时，移动存储介质和软件运行权限管理缺失，控制系统极易感染病毒。

3) 通信协议的安全性考虑不足，容易被攻击者利用

专用的工控通信协议或规约在设计之初一般只考虑通信的实时性和可用性，很少或根本没有考虑安全性问题，例如缺乏强度足够的认证、加密或授权措施等，特别是工控系统中的无线通信协议，更容易受到中间人的窃听和欺骗性攻击。为保证数据传输的实时性，Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控协议多采用明文传输，易于被劫持和修改。

4) 安全策略和管理制度不完善，人员安全意识不足

目前大多数行业尚未形成完整合理的信息安全保障制度和流程，对工控系统规划、设计、建设、运维、评估等阶段的信息安全需求考虑不充分，配套的事件处理流程、人员责任体制、供应链管理机制有所欠缺。同时，缺乏工控安全宣传和培训，对人员安全意识的培养不够重视，工控系统经常会接入各种终端设备，感染病毒、木马等的风险极大，给系统安全可靠运行埋下隐患。

工控系统在不同行业面临的信息安全问题

• 石化行业

1) 操作站、工程师站、服务器采用通用 Windows 系统，基本不更新补丁。

2) DCS 在与操作站、工程师站系统通信时，基本不使用身份认证、规则检查、加密传输、完整性检查等信息安全措施。

3) 生产执行层的 MES 服务器和监督控制层的 OPC 服务器之间缺少对 OPC 端口的动态识别，OPC 服务器可以允许任何 OPC 客户端连接获取任何数据。

4) 工程师站权限非常大，有些是通用的工程师站，只要接入生产网络，就可以对控制系统进行运维。

5) 多余的网络端口未封闭，工控网络互连时缺乏安全边界控制。

6) 外部运维操作无审计监管措施。

• 制造业

1) 某些工控系统的默认密码和弱密码问题。

2) 使操作站感染病毒。

3) 串行网口转换，定制协议过于简单，缺乏校验，串口传输环境的风险，业务指令异常无法发现。

4) 数据传输，NC 代码等文件传输存在安全隐患。

5) DNC 服务器等与办公网放在一起，都是 Windows 系统安装的传统数据库，大量使用 FTP 等进行数据交互，操作有被渗透的可能。

6) 第三方运维人员在运维设备时缺乏审计记录，存在数据泄密或病毒侵入的威胁。

• 电力行业

1) 电网安全建设现状

①　当前正探索智能变电站的信息安全防护。

②　建立可信计算密码平台，更新调度数字证书、纵向加密认证、横向隔离装置、防火墙、入侵检测系统，搭建安全仿真平台。

③　智能变电站技术、分布式能源智能大电网，不仅有监视，还有控制。用电信息在互联网上传输，需要加密；用户的智能电器暴露在电力系统中，可能受到攻击。

④　安全区 II 的电厂和省调之间采用 IEC104 规约，框架确定，但是存在协议格式在实际应用中出现混乱的问题。

2) 发电 (水电或者火电) 面临的风险

①　所有发电控制系统连接在一区，无任何安全防护措施。

②　随着发电全厂一体化建设的推进，因联通导致的风险越来越大。

③　操作站采用通用操作系统，未安装补丁，会感染病毒。

④　OPC 问题一样突出。

⑤　远程运维问题依然存在，安全运维审计装置缺失。

工业控制系统信息安全的风险途径

1) “两网连接”带来的风险

生产网与办公网相连，虽然控制系统是一个个单独的系统，但是要建立全厂一体化控制，主控制系统和辅助控制系统全部连接到一个网络中，由于网络互连带来的风险非常显著。

2) 通过操作站带来的风险

如安装软件、U盘的使用，人为的某些误操作，都是通过操作站和工程师站端口进来的。如工程师站经常会被值班人员随意操作，出现参数被误修的情况。

3) 现场与远程运维带来的风险。

4) 工业无线带来的风险。此类风险在轨道交通行业中非常明显。

各工业系统名词释义

PLC

可编程逻辑控制器(Programmable Logic Controller，PLC)，一种具有​​微处理器​​的用于​​自动化控制​​的数字运算控制器，可以将控制指令随时载入内存进行储存与执行。

其工作过程一般分为三个阶段，即输入采样、用户程序执行和输出刷新三个阶段。完成上述三个阶段称作一个扫描周期。

HMI

​​人机接口​​，也叫​​人机界面​​(Human Machine Interface，HMI)，是系统和用户之间进行交互和信息交换的媒介， 它实现信息的内部形式与人类可以接受形式之间的转换。凡参与人机信息交流的领域都存在着人机界面。

HMI的接口种类很多，有RS232、​​RS485​​、RJ45网线接口。

RTU

远程终端单元( Remote Terminal Unit，RTU)，一种针对通信距离较长和工业现场环境恶劣而设计的具有模块化结构的、特殊的计算机测控单元。

SCADA

​​数据采集​​与监视控制系统(Supervisory Control And Data Acquisition，SCADA)，是以计算机为基础的​​生产过程控制​​与调度自动化系统。它可以对现场的运行设备进行监视和控制。

由于各个应用领域对SCADA的要求不同，所以不同应用领域的SCADA系统发展也不完全相同 。

DCS

分散控制系统，也叫​​分布式计算机控制系统​​(Distributed Control System，DCS)，是以​​微处理器​​为基础，采用控制功能分散、显示操作集中、兼顾分而自治和综合协调的设计原则的仪表控制系统。

工控系统常见漏洞威胁释义

勒索病毒

普遍被定义为计算机病毒的一种，通过妨害计算机系统的操作程序，它可以控制被感染者的电脑或者对其数据进行加密，然后向受害者索要赎金，以便恢复正常操作。比较知名的勒索病毒有NotPetya、CryptLocker、BadRabbit 和WannaCry等。

鬼机

一般泛指该设备只收集数据而没有数据流出。通常可能有两个情况：一是该设备已经停用，而上层设备没有作出改正，继续发数据给停用的设备，这可能会导致不必要的网络负载，影响生产效率；二是有可能该设备为黑客工具，在网络收集数据用作进一步攻击。

双宿/多宿网络

泛指资产拥有多张网卡，即双宿（多宿）网络属性，该网络结构如果发生在工控网内，则可能会引起：一是削弱其他安全措施，绕过安全策略；二是成为非法者进入工业控制网络的“跳板”，从事非法行为。