第1章 绪论

1.1 工业控制系统与工业控制网络概述

工业控制系统（Industrial Control System, ICS）是指由计算机与工业过程控制部件组成的自动控制系统，它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些组成部分通过工业通信线路，按照一定的通信协议进行连接，形成一个具有自动控制能力的工业生产制造或加工系统。控制系统的结构从最初的CCS（计算机集中控制系统），到第二代的DCS（分布式控制系统），发展到现在流行的FCS（现场总线控制系统）。

图1-1 通用工业企业功能单元和资产组件映射模型

●企业资源层主要通过ERP系统为企业决策层及员工提供决策运行手段。该层次应重点保护与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。
●生产管理层主要通过MES为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块。该层次应重点保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。
●过程监控层主要通过分布式SCADA系统采集和监控生产过程参数，并利用HMI系统实现人机交互。该层次应重点保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏，同时应保护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取。
●现场控制层主要通过PLC、DCS控制单元和RTU等进行生产过程的控制。该层次应重点保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制单元内的控制程序或组态信息不被恶意篡改。
●现场设备层主要通过传感器对实际生产过程的数据进行采集，同时，利用执行器对生产过程进行操作。该层次应重点保护各类变送器、执行机构、保护装置等不被恶意破坏。

工业控制网络就是工业控制系统中的网络部分，是一种把工厂中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。工业控制系统包括工业控制网络和所有的工业生产设备，而工业控制网络只侧重工业控制系统中组成通信网络的元素，包括通信节点（包括上位机、控制器等）、通信网络（包括现场总线、以太网以及各类无线通信网络等）、通信协议（包括Modbus、Profibus等）。

1.2 工业控制系统常用术语

ICS（Industry Control System，工业控制系统）也称工业自动化与控制系统，是由计算机设备与工业过程控制部件组成的自动控制系统。广泛应用于电力、燃气、交通运输、建筑、化工、制造业等行业。
SCADA（Supervisory Control And Data Acquisition，数据采集与监视控制系统），可应用于电力、化工、冶金、燃气、石油、铁路等诸多领域的数据采集与监视控制以及过程控制等方面。
PLC（Programmable Logic Controller，可编程逻辑控制器）是一种采用一类可编程的存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。
CISO（Chief Information Security Officer，首席信息安全官）也称为IT安全主管、安全行政官等，主要负责对机构内的信息安全进行评估、管理和实现。
HMI（Human Machine Interface，人机界面）又称用户界面或使用者界面，是系统和用户之间进行交互和信息交换的媒介。它将信息的内部形式和人类可以接受的形式互相转换，凡参与人机信息交流的领域都存在着人机界面。
DCS（Distributed Control System，分布式控制系统）是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，综合了计算机、通信、显示和控制等4C技术，其基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便。
APT（Advanced Persistent Threat，高级持续性威胁）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。
NASA（National Aeronautics and Space Administration，美国国家航天局）是美国联邦政府的一个行政性科研机构，负责制定、实施美国的民用太空计划与开展航空科学暨太空科学的研究。
PID（Proportion Integral Derivative，比例-积分-微分）控制是一个在工业控制应用中常见的反馈回路部件。比例控制是PID控制的基础，积分控制可消除稳态误差，微分控制可加快大惯性系统响应速度以及减弱超调趋势。
CII（Critical Information Infrastructure，关键信息基础设施）是保障电力、电信、金融、国家机关等国家重要领域基础设施正常运作的信息网络。
信息安全（Information Security）是指能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态。基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据，也无法访问系统功能，且保证授权人员和系统不被阻止；防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。不法分子通过对生产过程中关键信息和指标的篡改、误发等造成生产安全风险的行为属于信息安全范畴。

第2章 工业控制系统基础

2.1 数据采集与监视控制系统

SCADA系统主要用于控制分散设备。

SCADA系统是工业控制网络调度自动化系统的基础和核心。SCADA负责采集和处理工控系统运行中的各种实时和非实时数据，是工业控制网络调度中心各种应用软件的主要数据来源。SCADA系统包括实时数据采集、数据通信、SCADA系统支撑平台、前置子系统、后台子系统等。

SCADA后台子系统的主要功能有数据处理和控制调节、历史数据存储、与其他子系统的计算机通信和人机界面交互等。

2.2 分布式控制系统

DCS是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，综合了计算机（Computer）、通信（Communication）、终端显示（CRT）和控制（Control）技术而发展起来的新型控制系统。其基本思想是分散控制、集中操作、分级管理、配置灵活以及组态方便。

DCS是以微处理器和网络为基础的集中分散型控制系统。它包括操作员站、工程师站、监控计算机、现场控制站、数据采集站、通信系统

（1）高可靠性

（2）开放性

（3）灵活性

（4）易于维护

（5）协调性

（6）控制功能齐全

2.3 工业控制系统中的常用控制器

控制器（Controller）是指按照预定顺序通过改变主电路或控制电路的接线和改变电路中电阻值来控制电动机的启动、调速、制动和反向的主令装置，是发布命令的“决策机构”，完成协调和指挥整个计算机系统的操作。

在工业控制系统中，常见的控制器有可编程逻辑控制器（PLC）、可编程自动化控制器（PAC）、远程终端单元（RTU）等

PLC控制系统主要有以下6个特点：
1）通信性和灵活性强，应用广泛。
2）可靠性高，抗干扰的能力极强。
3）产品系列化、规模化，功能完备，性能优良。
4）编制程序简单、容易。
5）设计、安装、调试周期短，扩充容易。
6）体积小、重量轻，维护方便。

应用领域

（1）开关量逻辑控制

（2）运动控制

（3）过程控制

（4）数据处理

（5）通信

编程自动化控制器（PAC）的定义为：由一个轻便的控制引擎支持，且对多种应用使用同一种开发工具。

PAC定义了几种特征和性能：
1）多领域的功能，包括逻辑控制、运动控制、过程控制和人机界面。
2）一个满足多领域自动化系统设计和集成的通用开发平台。
3）允许OEM（Original Equipment Manufacturer，原始设备制造商）和最终用户在统一平台上部署多个控制应用。
4）有利于开放、模块化控制架构来适应高度分布性自动化工厂环境。
5）对于网络协议、语言等，使用既定事实标准来保证多供应商网络的数据交换[7]。

远程终端单元（Remote Terminal Unit, RTU）是安装在远程现场的电子设备，用来对远程现场的传感器和设备状态进行监视和控制，负责对现场信号、工业设备的监测和控制，获得设备数据，并将数据传给SCADA系统的调度中心[10]。

RTU具有以下4个特点：
1）通信距离较长。
2）用于各种恶劣的工业现场。
3）模块结构化设计，便于扩展。
4）在具有遥信、遥测、遥控、遥调领域的水利、电力调度、市政调度等行业广泛使用。

它主要有遥信、遥测、遥控和遥调4个功能。

第3章 工业控制网络安全威胁

3.1 工业控制网络常见的安全威胁

APT攻击的主要特征是攻击持续性、信息收集广泛性、针对性、终端性、渗透性、潜伏控制性、隐蔽性与未知性，

APT攻击包含5个阶段，分别为情报收集、突破防线、建立据点、隐秘横向渗透和完成任务

3.2 工业控制系统脆弱性分析

可能因不安全的串口连接（如缺乏连接认证）或缺乏有效的配置核查，而造成PLC设备运行参数被篡改

安全威胁

1）不安全的移动维护设备

2）监控网络与RTU/PLC之间不安全的无线通信，可能被利用以攻击工业控制系统。

现场总线协议在设计时大多没有考虑安全因素，缺少认证、授权和加密机制，数据与控制系统以明文方式传递，工业以太网协议也只是对控制协议进行简单封装

第4章 SCADA系统安全分析

4.1 SCADA系统安全概述

SCADA系统主要由现场网络（Field Network）、控制网络（Control Network）和通信网络（Communication Network）三部分组成

4.2 SCADA系统安全的关键技术

1．安全域划分

安全域指同一网络系统内，根据信息属性、使用主体、安全目标划分，具有相同或相似的安全保护需求和安全防护策略，相互信任、相关关联、相互作用的网络区域。

利用功能组识别的安全域划分技术，基于网络连接、控制回路、监控系统、控制流程、控制数据存储、关联通信、远程访问、用户和角色、通信协议、重要级别等，识别SCADA系统中直接参与或者负责特定功能的功能组

2．安全域边界防护

在安全域之间部署防火墙、路由器、入侵检测、隔离网闸等设备，实现网络隔离和边界安全防护。

防火墙是实现区域隔离和边界防护的主要安全设备，包括网络层数据过滤、基于状态的数据过滤、基于端口和协议的数据过滤和应用层数据过滤等几种类型，主要可以实现如下功能。

3．防火墙部署方案

1．SCADA系统入侵检测技术分类

一个典型的入侵检测系统从功能上可以由感应器（Sensor）、分析器（Analyzer）和管理器（Manager）三部分组成

2．SCADA系统入侵检测技术

1．SCADA安全通信

SCADA系统的网络通信容易受到数据窃取、数据篡改、数据注入、中间人、重放、拒绝服务等攻击。

针对控制系统可能面临的攻击，研究人员基于安全的密码算法设计提出了各种数据安全传输方案，以提供端到端认证、数据完整性验证、机密性保护等功能

4.3 SCADA系统安全测试平台

SCADA系统安全测试平台实例——HoneyNet

第5章 工业控制网络通信协议的安全性分析

5.1 Modbus协议

1．Modbus协议设计的固有问题

（1）缺乏认证

（2）缺乏授权

（3）缺乏加密

2．Modbus协议实现产生的问题

（2）缓冲区溢出漏洞

（3）功能码滥用

（2）异常行为检测

（3）安全审计

（4）使用网络安全设备

5.2 DNP3协议

5.3 IEC系列协议

5.4 OPC协议

第6章 工业控制网络漏洞分析

6.1 工业控制网络安全漏洞分析技术

工控系统漏洞检测的关键技术

（1）构建工控系统漏洞库

（2）基于工业漏洞库的漏洞检测技术

Fuzzing技术

1）基于生成的Fuzzing算法。

2）基于突变的Fuzzing算法

6.2 上位机漏洞分析

（1）缓冲区溢出漏洞

（2）字符串溢出漏洞

（3）指针相关漏洞

（4）内存管理错误引发漏洞

（5）整数类溢出漏洞

1．上位机系统dll劫持漏洞分析

2．上位机组件ActiveX控件漏洞分析

3．上位机组件服务类漏洞分析

6.3 下位机漏洞分析

1．未授权访问

2．通信协议的脆弱性

3．Web用户接口漏洞

4．后门账号

6.4 工控网络设备漏洞分析

（1）SQL注入漏洞

（2）跨站脚本漏洞

（3）文件包含漏洞

（4）命令执行漏洞

（5）信息泄露漏洞

XSS漏洞原理

XSS又叫CSS（Cross Site Script，跨站脚本攻击），它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页时，嵌入Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。
跨站脚本攻击的危害包括窃取Cookie、放蠕虫、网站钓鱼等。
跨站脚本攻击的分类主要有存储型XSS、反射型XSS、DOM型XSS等。

第7章 工业控制网络安全防护技术

7.1 工业控制网络安全设备的引入和使用方法

1．工控网络边界安全防护

2．区域边界安全防护

1）工业防火墙：工业防火墙建立在深度数据包解析和开放式特征匹配之上，支持工控网络协议，可适用于DCS、SCADA等控制系统，不仅具备多种工控网络协议数据的检查、过滤、报警、阻断功能，同时拥有基于工业漏洞库的黑名单入侵防御功能、基于机器智能学习引擎的白名单主动防御功能以及大规模分布式实时网络部署和更新等功能。

2）安全监测平台：安全监测平台是一种实时监控和告警系统，通过监控关键设备和安全产品的日志和监控信息，快速进行安全事件的反馈和报警。

3）安全审计平台：安全审计平台是一种将工业控制系统环境中相关软硬件系统和其他安全设备的信息进行长时间记录存储，以供后续审计、分析、取证时使用的系统，一般都会有独立的数据库存储系统配套使用。

3．区域内部安全防护

7.2 对工业控制网络安全威胁的防护方法

蜜罐的核心技术主要包括三部分：数据捕获技术、数据控制技术以及数据分析技术。

●数据捕获技术：数据捕获就是在入侵者无察觉的情况下，完整地记录所有进入蜜罐系统的连接行为及其活动。捕获到的数据日志是数据分析的主要来源，通过对捕获到的日志进行分析，发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。一般来说，收集蜜罐系统日志有两种方式，即基于主机的信息收集方式和基于网络的信息收集方式。
●数据分析技术：数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理，提取入侵规则，从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。对入侵数据的分析主要是为了找出所收集的数据哪些具有攻击行为特征，哪些是正常数据流。分析的主要目的有两个：一个是分析攻击者在蜜罐系统中的活动、关键行为、使用工具、攻击目的以及提取攻击特征；另一个是对攻击者的行为建立数据统计模型，看其是否具有攻击特征，若有则发出预警，保护其他正常网络避免受到相同攻击。