浅谈工业 络架构及安全

软件工具

浅谈工控 络架构及安全

  • 前言
  • 一、工控 络
    • 1.工业 络词汇扫盲
    • 2.工控 络架构
    • 3.工业 络常见通信协议
      • Modbus
      • OPC
  • 二、工控安全

前言

长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面,预防发生工业事故造成人员、财产、或环境损失。然而,信息技术的发展已经打破了传统的“物理隔离神话”,为确保能源和关键性基础设施行业控制系统的安全稳定运行,研究工业 络安全的关键问题,建立有针对性的安全防护体系已经迫在眉睫。

一、工控 络

1.工业 络词汇扫盲

在开始介绍工控 络之前,先对工控 络中常常出现的工控 络名词进行简单的解释,以下文便理解。

SCADA:数据采集与监视控制系统,实时收集下方HMI的数据同时进行监控。

HMI:人机交互接口,最通俗易懂的定义便是“看得懂的显示+直观简易的操作控制系统”,其实最简单的HMI便是ATM机。

PLC1: :可编程逻辑控制器,专为工业控制而设计的专用控制器,依赖逻辑代码块在开销非常小的情况下操控工控设备。

RTU:远程终端装置,工控设备与工控 络物理距离较远时维持通讯,可以理解为远程的PLC。

IED:智能电子设备,包括传感器、电动机、变压器、断路器、泵等

2.工控 络架构

首先要理解工控 络与传统IT 络2不同。目前,传统IT 络几乎均使用TCP/IP协议簇进行通讯。

而OT 络3是用于连接生产现场设备与系统,不适用TCP/IP协议簇的内容,自有专用工业协议(例如Modbus)实现自动控制的通讯 络。

如同前言所提及,随着信息技术的发展迅猛,为了提高效率、工业信息化、收集实时业务信息、使用基于各类的web应用,已迫不得已打破了传统的“物理隔离神话”,目前的工业 络几乎都在原有的OT 络基础上构建,IT 络与OT 络共同存在、还有一定的交融,例如Modubus TCP,便是传统OT 络协议的可路由变种。由此在工控 络中引出一个概念“可路由”,“不可路由”。其边界通常在监控 (SCADA为核心)与控制系统之间。

由此,较常见的工控 络架构如下4

3.工业 络常见通信协议

Modbus

Modbus,最为广泛的工业控制通信协议。由施耐德旗下莫迪康公司设计,1979年发布以来,已被广泛采用,其地位几乎从协议转变为标准。

Modbus是一种应用层协议,即它工作在OSI模型的第7层,这也使得该协议极易脱离传统 络。
其核心思想为基于请求/应答方式,实现互连设备间的高效通信。传感器或电动机等简单设备也可以使用Modbus协议与更加复杂的计算机通信,后者读取测量值并进行分析与控制。

分为 Moudbus RTU、ASCII、TCP三类。

OPC

OPC协议常出现于总线的“上游”,也就是上述中“可路由”“不可路由”的边界区域,该协议严格来说甚至并非工业 络协议。该协议本质为Windows使用了微软的DCOM通信的API,以此达到与各类型的工业控制系统与产品通讯的目的,最常用于SCADA系统与HMI内部的数据采集、监控等功能。

浅谈工业 络架构及安全
OPC-UA 、OPC-XI均为OPC原版的变体,其安全性更高。

二、工控安全

尽量避免工控 络直接或间接接入互联 ,最好做到物理隔离。如若在特殊需求下,迫不得已直接或间接的接入互联 ,必须使用单向隔离(二极管、光闸等)设备,仅允许工控 络侧将数据传输至互联 侧。

第一步,建立安全区域,识别功能组5,对功能组内的每一个元素(资产、系统、用户、协议等)进行最大化的分离,如果两者可以分离且不影响主要功能,那便是两个功能组。一般需要考虑到的功能组为:控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问、用户群体、工业协议组。根据功能组确定区域以及边界。

第二步,区域间的安全防护,区域必须清晰,区域间最低限度的安全防护便是防火墙,防火墙访问控制必须做到最小化原则。根据功能组的重要级别部署工业IDS、工业IPS、应用层监管设备等。

第三步,区域内的安全防护,在保证了区域边界的安全之后,区域内的安全主要关注对象为主机。
主机安全:是否使用准入系统、是否部署并使用白名单、是否部署并使用防病毒软件、身份认证的权限是否合理合规、是否存在漏洞、是否禁用所有未使用的端口和服务…

  1. 三大部分组成:输入、CPU、输出,本质为经过特殊处理的CPU,简易化编程操作,使得电器工程师能够方便控制工控系统。 ??

  2. IT译为Information Technology,指信息技术。但随着IT的发展,通讯与壁垒越来越弱,上述IT 络亦可理解为ICT,Information Communication Technology,是信息技术与通讯技术的合集。 ??

  3. OT(Operation Technology 操作技术),是为工厂自动化控制系统提供技术支持,确保生产正常进行的专业技术。 ??

  4. 另外一种架构分为操作层、控制层、现场层,这种架构便是不考虑IT 络的情况下。
    操作层:SCADA、工程师站、操作站等。
    控制层:HMI、控制器(PLC)、工控机
    现场层:执行设备、IED ??

  5. 直接参与或负责特定的某一功能。 ??

文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22593 人正在系统学习中

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年3月22日
下一篇 2022年3月22日

相关推荐

首页
软件超市
企服市场
会员中心