工控安全标准溯源与入坑指引

2019-06-27 388361人围观 ,发现 3 个不明物体 工控安全

2018年中因为新等保的意见稿和报批稿的内容,我当时才注意到工控安全的相关。所以利用琐碎时间去了解相关的知识,工控安全行业不仅仅是“蓝海” 还是个“深坑”。

此文仅对工控行业进行入门知识梳理,精细协议分析未做涉及。

大纲

image.png

一、工控安全标准

其实真正基于工控安全标准并不多不过找到几个相对靠谱的:

工信部

2011年10月(工信部协【2011】451号)《关于加强工业控制系统信息安全管理的通知》

2016年10月《 工业控制系统信息安全防护指南》

工业控制信息安全产业联盟

2014年9月《工业企业信息系统安全技术指引》

国家标准化管理委员会(SAC)工业二部

2014年10月GB/T 30976.1-2014—工业控制系统信息安全评估规范

2014年10月GB/T 30976.2-2014—工业控制系统信息安全验收规范 

等保就不说了大家最近都应该熟悉。

确实等保之前,多龙治水情况比较明显。

回顾一下,一般行业有等级保护,运营商有符合性评测,(规范YD/T),金融行业有金融行业标准(规范JR/T),工控行业有工业控制信息安全产业联盟和工信部。

工信部大家都知道,工业控制信息安全产业联盟是什么?好吧我也是才知道。。 

image.png

工业控制系统信息安全产业联盟英文译名为”Industrial Control Systems Information Security Industry Alliance “,英文缩写”ICSISIA”,网址www.ICSISIA.com

看了几个标准看是觉得工信部的比较靠谱于是整理了一下。

以下为《工业控制系统信息安全防护指南》整理内容(部分总共 129项要求)

image.png

从这个标准来看也有评分考虑估计是当初纳入等保,也有评分机制,不过为什么没有落实无从解答。可能是因为工控行业特殊性导致的。

二、工控行业的特点

行业特点简单说,工控行业特点:

1.内网专网

网络结构封闭,N年都不会上互联网,工控系统也有众多WINDOWS linux 嵌入式版本,也就导致很多工控系统,补丁更新无法修复,漏洞越来越多,一旦U盘或内部网络病毒入侵,会毫无抵抗能力。

2.技术人员短缺

工控行业很少有专职安全技术人员,也导致了很多安全制度,策略,日常安全工作无法落实。因为你都听不懂上面安全要求又从何做起呢?

3.经费和安全意识

工控行业不会把网络安全问题当做主要问题,所以安全经费嘛(国字头除外)没有转款专项没人愿意主动做。大多内网没得发生故障的情况都会觉得自己是安全的,一旦安全出事那一定是出大事了。

4.通信协议不同

跟互联网TCP/IP协议不同,工控协议相对更简单,物联网协议也在工控系统有所应用,而且种类繁多。

5.不仅仅是等保对象还是关键基础设施

如能源、交通行业,水利发电站、国家电网、一些生产线,收费站,轻轨站的出入闸门都属于工控行业而且是关键基础设施。稍有差错就是人命关天。

三、工控系统的种类

尽量烦琐事简单讲。

1.DCS分布式控制系统

u=2816213084,2623537002&fm=173&s=9C82783

如果PLC是单一控制系统,DCS就是拥有多个控制接口的控制系统,称为分布式控制系统。

特点:分散控制,控制数据多种多样,分阶段的控制方式,具有计算机通信协议(TCP/IP)和其他协议相结合方式提供人机接口。

image.png

典型举例:多入口,多出口,产品数据的生产线。

2.PLC可编程逻辑控制器

PLC也是一种独立的工业编程控制语言(感觉这部分内容去学个电工、数控编程技术可能好理解一点,笑~)

image.png

专为工业生产设计的一种数字运算操作的电子装置,它采用一类可编程的存储器,用于其内部存储程序,执行逻辑运算,顺序控制,定时,计数与算术操作等面向用户的指令,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。是工业控制的核心部分。

典型举例:拥有可编程单一接口的数控机床。或其他单一可编程接口的设备。

3.DTU(数据传输单元)

DTU (数据传输单元),是专门用于将串口数据转换为IP数据或将IP数据转换为串口数据通过无线通信网络进行传送的无线终端设备。DTU广泛应用于气象、水文水利、地质等行业。

DTU特点:无线传输(通过手机3G/4G卡 按流量计费)用于采集数据。如温湿度,水温,地层运动等。采集数据统一发送到机房分析平台或类似系统,也可以认为是数据采集的一种,由于户外气候环境条件恶劣,外壳一般都比较结实。

image.png

image.png

image.png

4.RTU (远程终端控制系统)

主要功能:现场信号及工业设备的监测、控制与报警。例如数据采集及处理、现场控制、数据传输(网络通信)、现场及远程报警等等;某些RTU还具备流量累计等一系列针对特定应用领域的计量功能等等。

跟DTU功能类似,但是有查询和控制、报警的功能。

5.变频器(VFD)

变频器,可能说模块比较合适。比如某水利发电站,本月计划多发电,变频器就调快,通过发电机水量、发电机转速调整等。

6.继电保护器(模块)

继电保护简单理解,为过压保护,就是当运行时异常或者电流过大,会自行切断电路,保护生产设备。

只是工控级的继电保护器相对较大,功能也更多,大体如下:

image.png

主要作用:监控工控电力输出是否正常,过电保护,实现电力远程开关闸控制。

7.数据采集器(模块)

跟上面DTU、RTU不同,数据采集模块,可能依附于什么设备上。比如,高速公路摄像头的车速采集模块,安装于动物身上的GPRS小型定位装置(用于研究动物迁徙地与习性)。

数据采集模块是个很大的类,一般来说使用物联网协议,或其他相对功耗较低的协议,因为无法接通电源,大多数据采集模块自带电力需要支撑很长时间数据采集工作,低能耗对于这种设备来说很重要,也需要应付外面多变复杂的环境。

四、用于工控的系统

总体来说,有基于linux、windows、嵌入式版本,也还有另外的一些系统,也有厂家基于某些系统二次开发的,已经形成一个行业圈。

1.OpenWRT 

一种基于嵌入式的linux发行版,主要我看到的是OpenWRT Kamikaze(从2007年6月开始发布Kamikaze 7.06,一直更新到2010年1月的Kamikaze 8.09.2结束),目前成为算是成为了一种稳定的工控系统。

2.VxWorks

也基于嵌入式系统,大名鼎鼎VxWorks用处不要太广。

数据网络。如:以太网交换机、路由器、远程接入服务器等;

远程通讯。如:电信用的专用分组交换机和自动呼叫分配器,蜂窝电话系统等;

医疗设备。如:放射理疗设备;

消费电子。如:个人数字助理等;

交通运输。如:导航系统、高速火车控制系统等; 

工业。如:机器人;

航空航天。如:卫星跟踪系统;

多媒体。如:电视会议设备;

计算机外围设备。如:X终端、I/O系统等。

3.NetWare

NetWare在早期网吧见过这个系统,没想到还有工控系统在用,NetWare早期是基于服务器系统,主流版本netware 5。

主要协议:IPX、SPX、NCP、NetBIOS。

五、工控系统的协议

写这个标题的我,发掘真心是个坑,工控协议不要太多。。而且还没收集完。

AMS/ADS

BACNET

CIRMSON V3

CSPV 4   no AB PLC5

dnp3.0

ECOM

FINS

IEC104

………………………………………………

而且很多存在一个厂家一个协议的情况,简单说你用别家产品~不~互~通~。而且对于一般人来讲,经费和条件限制也不可能买一堆工控设备回来研究,协议的分析就此别过……

完。

参考

中国工控网:http://www.chinakong.com/

工业控制系统信息安全产业联盟  http://icsisia.com

*本文原创作者:redhatd,本文属于FreeBuf原创奖励计划,未经许可禁止转载

发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php