浅谈工业网络架构及安全
Posted 灰奇同学
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了浅谈工业网络架构及安全相关的知识,希望对你有一定的参考价值。
浅谈工控网络架构及安全
前言
长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面,预防发生工业事故造成人员、财产、或环境损失。然而,信息技术的发展已经打破了传统的“物理隔离神话”,为确保能源和关键性基础设施行业控制系统的安全稳定运行,研究工业网络安全的关键问题,建立有针对性的安全防护体系已经迫在眉睫。
一、工控网络
1.工业网络词汇扫盲
在开始介绍工控网络之前,先对工控网络中常常出现的工控网络名词进行简单的解释,以下文便理解。
SCADA:数据采集与监视控制系统,实时收集下方HMI的数据同时进行监控。
HMI:人机交互接口,最通俗易懂的定义便是“看得懂的显示+直观简易的操作控制系统”,其实最简单的HMI便是ATM机。
PLC1: :可编程逻辑控制器,专为工业控制而设计的专用控制器,依赖逻辑代码块在开销非常小的情况下操控工控设备。
RTU:远程终端装置,工控设备与工控网络物理距离较远时维持通讯,可以理解为远程的PLC。
IED:智能电子设备,包括传感器、电动机、变压器、断路器、泵等
2.工控网络架构
首先要理解工控网络与传统IT网络2不同。目前,传统IT网络几乎均使用TCP/IP协议簇进行通讯。
而OT网络3是用于连接生产现场设备与系统,不适用TCP/IP协议簇的内容,自有专用工业协议(例如Modbus)实现自动控制的通讯网络。
如同前言所提及,随着信息技术的发展迅猛,为了提高效率、工业信息化、收集实时业务信息、使用基于各类的web应用,已迫不得已打破了传统的“物理隔离神话”,目前的工业网络几乎都在原有的OT网络基础上构建,IT网络与OT网络共同存在、还有一定的交融,例如Modubus TCP,便是传统OT网络协议的可路由变种。由此在工控网络中引出一个概念“可路由”,“不可路由”。其边界通常在监控网(SCADA为核心)与控制系统之间。
由此,较常见的工控网络架构如下4:
目前真正的工业网络几乎不会连接到互联网,即使存在也几乎为单向传输,该拓扑主要为理解架构。
3.工业网络常见通信协议
Modbus
Modbus,最为广泛的工业控制通信协议。由施耐德旗下莫迪康公司设计,1979年发布以来,已被广泛采用,其地位几乎从协议转变为标准。
Modbus是一种应用层协议,即它工作在OSI模型的第7层,这也使得该协议极易脱离传统网络。
其核心思想为基于请求/应答方式,实现互连设备间的高效通信。传感器或电动机等简单设备也可以使用Modbus协议与更加复杂的计算机通信,后者读取测量值并进行分析与控制。
分为 Moudbus RTU、ASCII、TCP三类。
结构本质: 地址码(1byte) 功能码(1byte) 数据(Nbyte) 校验码(2byte)
地址码:可理解为Modbus协议中的IP地址,本质为从机地址,用于识别设备,类似于设备编码。
功能码:可理解为选择操作指令类型,本质为读写寄存器、线圈的数值。
数据:可理解为操作指令的程度,具体操作指令的细节。
校验码:验证
OPC
OPC协议常出现于总线的“上游”,也就是上述中“可路由”“不可路由”的边界区域,该协议严格来说甚至并非工业网络协议。该协议本质为Windows使用了微软的DCOM通信的API,以此达到与各类型的工业控制系统与产品通讯的目的,最常用于SCADA系统与HMI内部的数据采集、监控等功能。
OPC-UA 、OPC-XI均为OPC原版的变体,其安全性更高。
二、工控安全
根据本文上述提及,目前的工控网络由IT网络与OT网络共同组成。尽管IT网络的引入带来了效率的突飞,但与此同时引入了更多的安全风险。IT网络在整个工控网络中处于相对“上位”,例如SCADA、HMI。如果IT网络被攻破,便可直接或间接的下发错误指令、篡改应用配置、传递错误信息等。一发不可牵,牵之动全身。
尽量避免工控网络直接或间接接入互联网,最好做到物理隔离。如若在特殊需求下,迫不得已直接或间接的接入互联网,必须使用单向隔离(二极管、光闸等)设备,仅允许工控网络侧将数据传输至互联网侧。
第一步,建立安全区域,识别功能组5,对功能组内的每一个元素(资产、系统、用户、协议等)进行最大化的分离,如果两者可以分离且不影响主要功能,那便是两个功能组。一般需要考虑到的功能组为:控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问、用户群体、工业协议组。根据功能组确定区域以及边界。
第二步,区域间的安全防护,区域必须清晰,区域间最低限度的安全防护便是防火墙,防火墙访问控制必须做到最小化原则。根据功能组的重要级别部署工业IDS、工业IPS、应用层监管设备等。
第三步,区域内的安全防护,在保证了区域边界的安全之后,区域内的安全主要关注对象为主机。
主机安全:是否使用准入系统、是否部署并使用白名单、是否部署并使用防病毒软件、身份认证的权限是否合理合规、是否存在漏洞、是否禁用所有未使用的端口和服务…
三大部分组成:输入、CPU、输出,本质为经过特殊处理的CPU,简易化编程操作,使得电器工程师能够方便控制工控系统。 ↩︎
IT译为Information Technology,指信息技术。但随着IT的发展,通讯与壁垒越来越弱,上述IT网络亦可理解为ICT,Information Communication Technology,是信息技术与通讯技术的合集。 ↩︎
OT(Operation Technology 操作技术),是为工厂自动化控制系统提供技术支持,确保生产正常进行的专业技术。 ↩︎
另外一种架构分为操作层、控制层、现场层,这种架构便是不考虑IT网络的情况下。
操作层:SCADA、工程师站、操作站等。
控制层:HMI、控制器(PLC)、工控机
现场层:执行设备、IED ↩︎直接参与或负责特定的某一功能。 ↩︎
浅谈网络安全就业前景
网络安全的重要性
西北工业大学遭受境外网络攻击
9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。报告显示,网络攻击源头系美国国家安全局(NSA)。
网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全
国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
如何入门学习网络安全
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
以上是关于浅谈工业网络架构及安全的主要内容,如果未能解决你的问题,请参考以下文章