浅谈工业网络架构及安全

已于 2022-04-26 21:14:10 修改
阅读量1.2w 收藏 46
点赞数 8
分类专栏: 信息安全 文章标签: 安全 安全架构 网络安全
于 2022-04-14 15:36:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46444606/article/details/124033297
版权

浅谈工控网络架构及安全

前言

长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面,预防发生工业事故造成人员、财产、或环境损失。然而,信息技术的发展已经打破了传统的“物理隔离神话”,为确保能源和关键性基础设施行业控制系统的安全稳定运行,研究工业网络安全的关键问题,建立有针对性的安全防护体系已经迫在眉睫。

一、工控网络

1.工业网络词汇扫盲

在开始介绍工控网络之前,先对工控网络中常常出现的工控网络名词进行简单的解释,以下文便理解。

SCADA:数据采集与监视控制系统,实时收集下方HMI的数据同时进行监控。

HMI:人机交互接口,最通俗易懂的定义便是“看得懂的显示+直观简易的操作控制系统”,其实最简单的HMI便是ATM机。

PLC1: :可编程逻辑控制器,专为工业控制而设计的专用控制器,依赖逻辑代码块在开销非常小的情况下操控工控设备。

RTU:远程终端装置,工控设备与工控网络物理距离较远时维持通讯,可以理解为远程的PLC。

IED:智能电子设备,包括传感器、电动机、变压器、断路器、泵等

2.工控网络架构

首先要理解工控网络与传统IT网络2不同。目前,传统IT网络几乎均使用TCP/IP协议簇进行通讯。

而OT网络3是用于连接生产现场设备与系统,不适用TCP/IP协议簇的内容,自有专用工业协议(例如Modbus)实现自动控制的通讯网络。

如同前言所提及,随着信息技术的发展迅猛,为了提高效率、工业信息化、收集实时业务信息、使用基于各类的web应用,已迫不得已打破了传统的“物理隔离神话”,目前的工业网络几乎都在原有的OT网络基础上构建,IT网络与OT网络共同存在、还有一定的交融,例如Modubus TCP,便是传统OT网络协议的可路由变种。由此在工控网络中引出一个概念“可路由”,“不可路由”。其边界通常在监控网(SCADA为核心)与控制系统之间。

由此,较常见的工控网络架构如下4

在这里插入图片描述在这里插入图片描述
目前真正的工业网络几乎不会连接到互联网,即使存在也几乎为单向传输,该拓扑主要为理解架构。

3.工业网络常见通信协议

Modbus

Modbus,最为广泛的工业控制通信协议。由施耐德旗下莫迪康公司设计,1979年发布以来,已被广泛采用,其地位几乎从协议转变为标准。

Modbus是一种应用层协议,即它工作在OSI模型的第7层,这也使得该协议极易脱离传统网络。
其核心思想为基于请求/应答方式,实现互连设备间的高效通信。传感器或电动机等简单设备也可以使用Modbus协议与更加复杂的计算机通信,后者读取测量值并进行分析与控制。

分为 Moudbus RTU、ASCII、TCP三类。
在这里插入图片描述
在这里插入图片描述

请添加图片描述
结构本质: 地址码(1byte) 功能码(1byte) 数据(Nbyte) 校验码(2byte)

地址码:可理解为Modbus协议中的IP地址,本质为从机地址,用于识别设备,类似于设备编码。
功能码:可理解为选择操作指令类型,本质为读写寄存器、线圈的数值。
数据:可理解为操作指令的程度,具体操作指令的细节。
校验码:验证
在这里插入图片描述

OPC

OPC协议常出现于总线的“上游”,也就是上述中“可路由”“不可路由”的边界区域,该协议严格来说甚至并非工业网络协议。该协议本质为Windows使用了微软的DCOM通信的API,以此达到与各类型的工业控制系统与产品通讯的目的,最常用于SCADA系统与HMI内部的数据采集、监控等功能。
在这里插入图片描述
OPC-UA 、OPC-XI均为OPC原版的变体,其安全性更高。

二、工控安全

根据本文上述提及,目前的工控网络由IT网络与OT网络共同组成。尽管IT网络的引入带来了效率的突飞,但与此同时引入了更多的安全风险。IT网络在整个工控网络中处于相对“上位”,例如SCADA、HMI。如果IT网络被攻破,便可直接或间接的下发错误指令、篡改应用配置、传递错误信息等。一发不可牵,牵之动全身

尽量避免工控网络直接或间接接入互联网,最好做到物理隔离。如若在特殊需求下,迫不得已直接或间接的接入互联网,必须使用单向隔离(二极管、光闸等)设备,仅允许工控网络侧将数据传输至互联网侧。

第一步,建立安全区域,识别功能组5,对功能组内的每一个元素(资产、系统、用户、协议等)进行最大化的分离,如果两者可以分离且不影响主要功能,那便是两个功能组。一般需要考虑到的功能组为:控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问、用户群体、工业协议组。根据功能组确定区域以及边界。

第二步,区域间的安全防护,区域必须清晰,区域间最低限度的安全防护便是防火墙,防火墙访问控制必须做到最小化原则。根据功能组的重要级别部署工业IDS、工业IPS、应用层监管设备等。

第三步,区域内的安全防护,在保证了区域边界的安全之后,区域内的安全主要关注对象为主机。
主机安全:是否使用准入系统、是否部署并使用白名单、是否部署并使用防病毒软件、身份认证的权限是否合理合规、是否存在漏洞、是否禁用所有未使用的端口和服务…

  1. 三大部分组成:输入、CPU、输出,本质为经过特殊处理的CPU,简易化编程操作,使得电器工程师能够方便控制工控系统。 ↩︎

  2. IT译为Information Technology,指信息技术。但随着IT的发展,通讯与壁垒越来越弱,上述IT网络亦可理解为ICT,Information Communication Technology,是信息技术与通讯技术的合集。 ↩︎

  3. OT(Operation Technology 操作技术),是为工厂自动化控制系统提供技术支持,确保生产正常进行的专业技术。 ↩︎

  4. 另外一种架构分为操作层、控制层、现场层,这种架构便是不考虑IT网络的情况下。
    操作层:SCADA、工程师站、操作站等。
    控制层:HMI、控制器(PLC)、工控机
    现场层:执行设备、IED ↩︎

  5. 直接参与或负责特定的某一功能。 ↩︎

灰奇同学
关注
专栏目录
工业互联网安全框架
05-28
工业互联网安全框架,工业互联网安全框架是构建工业互联网安全体系的重要指南,是业界专家在 工业互联网安全防护方面达成的共识,旨在为工业互联网相关企业应对日益增长 的安全威胁、部署安全防护措施提供指导,提升工业互联网企业整体安全防护能 力。
工业互联网安全框架-20190305.pdf
06-21
权威发布 工业互联网安全框架-20190305.pdf,下载留存
工控系统中处理大量数据时的网络拓扑结构优化
最新发布
图幻未来的博客
05-11 437
随着工业自动化和智能化的发展,工控系统中的数据处理量越来越大,这对网络拓扑结构的性能和安全性提出了更高的要求。本文分析了工控系统中处理大量数据时的网络拓扑结构优化问题,并提出了相应的解决方案。关键词:工控系统;网络拓扑结构;优化;网络安全
工业网络
01-05 280
https://wenku.baidu.com/view/05c40aa6f424ccbff121dd36a32d 7375a417c68d.html?from=search 简述CAN总线在现场控制系统的应用,包括总线基本概念及原理, 主要技术特征,应用场景。并结合具体案例,详细论述:包括...
关于工业网络
m0_62902336的博客
11-02 181
这些只是工业网络应用的一些示例,实际上,工业网络几乎涵盖了所有工业领域,为各种生产和制造过程提供了智能化、自动化的解决方案。工业网络是指在工业环境中使用的网络系统,用于连接各种工业设备、传感器、控制系统和其他相关设备,以实现数据交换、监控、控制和自动化。1.实时性要求高: 在工业环境中,许多应用需要实时的数据传输和响应,例如生产线的监控和控制系统,对网络的实时性要求非常高。总的来说,工业网络的发展历程是一个不断演进、融合新技术的过程,它推动了工业生产方式的转型和升级,为各种工业应用提供了强大的支持。
研究背景及意义
m0_73803866的博客
10-30 859
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。目 前,工业控制系统已广泛应用于电力、水力、石化、医药、食品制造、交通运输、航空航天 等工业领域,其中,超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动 化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关 系到国家的战略安全
浅谈工业互联网网络信任体系建设.pdf
07-16
工业互联网网络信任体系建设是工业互联网发展的关键基础设施之一,它涉及到安全通信、身份认证、权限控制以及数据保护等多个方面。在当前的技术发展阶段,构建有效的网络信任体系对于确保工业互联网安全、提升系统...
浅谈中小国有工业企业网络安全域划分思路.pdf
09-20
浅谈中小国有工业企业网络安全域划分思路.pdf
浅谈网络安全态势感知架构在企业中的建设思路.pdf
09-20
随着信息技术的快速发展,尤其是工业4.0的深入推进,企业对网络安全的需求不断提高,传统的被动防御模式已无法满足日益复杂的网络攻击。态势感知技术便应运而生,它融合了数据挖掘、数据分析、数据融合、智能分析等...
浅谈5G时代下的网络安全问题及防护措施.pdf
09-19
借助SDN/NFA技术,可以构建起更加安全的通信架构,提高5G网络的整体安全性。 其次,强化个人隐私的技术保护措施。在5G环境下,终端安全与云端协同防御体系密不可分。移动运营商可以通过采用基于混合云的处理方法,...
工业互联网平台安全框架白皮书
05-07
工业互联网安全框架(讨论稿),工业互联网产业联盟(AII)编制。2018 年2 月
工业控制网络技术
07-05
令牌环网的概念以及关于令牌网的具体访问控制
工控网络安全
10-18
详解工控网络安全,分析工业控制网络易受到的攻击面。
基于工控网络拓扑结构的可视化分层方法
10-16
为了实现工控网络组态的拓扑结构到二维平面的无交叉映射显示,从自主可控PLC的网络拓扑出发,提出按照广度优先生成树的高度对拓扑结构进行分层,根据层次的划分,每个界面只显示该层组态界面信息,简化了组态画面的复杂性,强化了组态拓扑的逻辑划分。通过统计每个节点可连通的叶节点数量分析节点的关键度,利用关键度分析网络组态中的节点,并提示预警。
浅谈中小型水电站计算机监控系统网络结构设计
10-20
中小型水电站计算机监控系统网络结构设计是电力工业自动化领域的一个重要组成部分。随着计算机技术的发展,中小型水电站为了提高安全性和自动控制水平,越来越依赖于计算机监控系统。在设计这些系统时,有几个基本...
工业网络网络
追求。
03-18 883
网络层 子网技术 路由技术 其它相关 多播 NAT VPN 硬件设备 三层交换机 路由器(router)
企业工业网络搭建
小小猪的博客
11-10 2879
企业工业网络搭建以及配置 网络拓扑图: 局域网分配: IP地址段确认 生产网络:192.168.1.0/24 边端网络:192.168.2.0/24 维护网络:192.168.3.0/24 服务区: 192.168.8.0/24 生产网络: 设备名 设备信息 数量 备注 IP地址 路由器 ..
工业互联网的主要技术架构与实施策略
程序员光剑
12-27 639
1.背景介绍 工业互联网(Industrial Internet)是一种将互联网技术应用于工业领域的新兴技术,它通过将物联网、大数据、人工智能等技术与传统工业生产系统相结合,实现了工业生产系统的智能化、网络化和可控化。工业互联网的主要目标是提高工业生产系统的效率、可靠性和灵活性,降低成本,提高产品质量,实现绿色、低碳排放的生产模式。 工业互联网的主要技术架构包括物联网、大数据、人工智能、云计算...
第五讲:工业网络——网络设备及其功能
VsitorZL的博客
05-11 3782
网络设备及其功能1. 网络设备与层级对应关系2. 交换机功能2. 交换机的种类4. 交换机MAC表(地址学习时记录的表格)4. 路由器功能 1. 网络设备与层级对应关系                      2. 交换机功能                 (1)网线最大传输距离100M,网线连接长度不足时,作为中间连接器。                 (2)多台设备连接时作连接器。                 (3)交换机优缺点:    优点:可以实现用户同时访问,支持全双工(同时接收和发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灰奇同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值