-12-
第2章 工业控制系统架构与漏洞分析
2.1 工业控制系统架构 2.2 工业控制系统漏洞分析
-13-
2.2.1
工业控制系统技术演变
-14-
2.2.2
工业控制系统与信息技术系统比较
工业控制系统 体系结构 信息技术系统
主要由传感器、 PLC 、 RTU 、 DCS 、 通过互联网协议组成的计算机网 SCADA等设备及系统组成 络 广泛 使用 嵌 入 式系 统 VxWorks 、 通用操作系统如 Windows 、 Linux 、 uCLinux 、 winCE 等，并根据功能及 UNIX等，功能强大 需求进行裁剪与定制
ICONICS GENESIS32 缓冲区溢 出漏洞
2012-4-19
危急
缓冲区 溢出
Siemens SIMATIC WinCC 拒绝服务漏 洞
2012-2-7
高危
Siemens SIMATIC WinCC多个版本中运行加载器中 的HmiLoad中存在拒绝服务漏洞，远程攻击者可利 用该漏洞通过越过TCP 发送特制数据，导致拒绝服 务 （ 应 用 程 序 崩 溃 ） 。 这 些 版 本 包 括 Siemens 拒绝服务 WinCC flexible 2004版本、2005版本、2007 版本、 2008版本，WinCC V11（又称为TIA portal），TP、 OP、MP、Comfort Panels和Mobile Panels SIMATIC HMI 面 板 ， WinCC V11 Runtime Advanced ，以 及 WinCC flexible Runtime
系统性能要求
可用性需求 时间敏感性 系统生命周期 信息安全意识及准备
架构安保
没有基础
较好
主要保护服务器、工作站、过程控 主要保护 IT 资产和存储或传输的信息。中 制器和现场设备 央服务器需要更多保护 人员安全至关重要，其次是过 数据的机密性和完整性至关重要。 程的保护。 容错是必要的，不能接受暂时停机。 容错不那么重要，暂时停机不是主要风险。 主要风险影响是不合规、环境、生 主要风险的影响是业务操作的延时 命、设备和产品的损失 系统是按照预期的工业工程设计， 系统具有足够的资源支持，可增加第三方 可能没有足够的存储和计算资源支 应用，如安保解决方案等 持增加的安保功能 由各系统供应商提供服务支持 较多 刚刚起步 允许多元化的支持风格 较少 很多
-6-
2.1.3
过程监控层
2．分散型控制系统（DCS）
分散型控制系统（Distributed Control System，DCS）是由过程控制级和过程监控级组成 的以通信网络为纽带的多级计算机系统，综合了计算机（Computer）、通信（Communication）、 显示（CRT）和控制（Control）等4C技术，其基本设计思路是分散控制、集中操作、分级管理、 配置灵活、组态方便。 系统组成主要由现场控制站（I/O站）、数据通信系统、人机接口单元、操作员站、工程师 站、机柜、电源等。系统具备开放的体系结构，可以提供多层开放数据接口。
-19-
-4-
2.1.2
制造执行系统（MES）层
2．先进控制系统（APC） 先进控制系统就是以先进过程控制（Advanced Process Control，APC）技术为核心的上位 机监控系统。 先进过程控制技术是具有比常规单回路PID控制更好控制效果的控制策略统称，专门用来处 理那些采用常规控制效果不好，甚至无法控制的复杂工业过程控制问题。
-10-
2.1.4
现场控制层
现场控制层包括数据采集与监控系统（SCADA）、分散型控制系统（DCS）、安全仪表控 制系统（SIS）、可编程逻辑控制系统（PLC）的控制器或控制站。 这些控制器或控制站已在上一节中详细介绍，在此不做介绍。
-11-
2.1.5
现场设备层
现场设备层包括现场仪表和其他控制设备。 现场仪表通常包括温度、压力、流量、液位、电量、位移等仪表，特种检测仪表如成分分 析仪，以及控制阀、电动阀等执行机构。 1．远程终端终端（RTU） 远程终端装置（Remote Terminal Unit，RTU）是用于监视、控制与数据采集的应用控制 设备，具有遥测、遥信、遥调、遥控等功能。 目前，远程终端装置尚无统一行业标准，一般来说符合下列技术特征的控制设备，均称为 RTU。 RTU主要特点 RTU主要功能
漏洞名称
发布时间
危害等 级
漏洞类型
漏洞简介
ICONICS GENESIS32 是由美国 ICONICS 公司研制开 发的新一代工控软件。ICONICS GENESIS32 8.05版本、 9.0版本、9.1版本、9.2版本与BizViz 8.05版本、9.0 版本、9.1版本和9.2版本中的Security Login ActiveX 控件中存在缓冲区溢出漏洞。远程攻击者可利用该 漏洞借助长密码导致拒绝服务（应用程序崩溃）或 者执行任意代码
风险管理需求
资源限制 管理支持 设备类型 无线技术应用
-16-
2.2.3
工业控制系统信息安全问题根源
工业控制系统信息安全问题根源是缺乏本质安全。
工控系统信息安全问题的根源：在设计之初，由于资源 受限，非面向互联网等原因，为保证实时性和可用性， 系统各层普遍缺乏安全性设计。 1．操作系统
2．实时数据库 3．应用软件 4．通信网络
（2）现今流行的先进控制技术：模型预测控制（MPC）、统计质量控制（SQC）、内模控制（IM C）、自适控制、专家控制、神经控制器、模糊控制、最优控制等。 （3）发展中的先进控制：非线性控制及鲁棒控制等。
-5-
2.1.3
过程监控层
过程监控层包括数据采集与监控系统（SCADA），分散型控制系统（DCS），安全仪表控制 系统（SIS），可编程逻辑控制系统（PLC）的工程师站、操作站、OPC服务器、实时数据库、监 控中心等。 1．数据采集与监控系统（SCADA）
图2-4 工业控制产品模块结构图
-17-
2.2.4
工业控制系统漏洞分析
1．通信协议漏 4．杀毒软件漏洞 5．应用软件漏洞
-18-
2.2.4
工业控制系统漏洞分析
表2-4 我国收录工业控制系统软件安全漏洞表（部分摘录） （数据来源：国家信息安全漏洞共享平台CNVD）
数据采集与监控系统（Supervisory Control And Data Acquisition，SCADA）是以计算机 为基础的生产过程控制与调度自动化系统。它可以对现场的运行设备进行监视和控制。
SCADA系统涉及到组态软件、数据传输链路（如数传电台、GPRS等）、工业隔离安全网关， 其中工业隔离安全网关是保证工业信息网络的安全，工业上大多数都要用到这种安全防护性的 网关，防止病毒入侵，以保证工业数据、信息的安全。 SCADA的应用领域很广，可以应用于电力、冶金、安防、水利、污水处理、石油天然气、化 工、交通运输、制药，以及大型制造等领域的数据采集与监视控制及过程控制等诸多领域。
从实质上来看，可编程逻辑控制器是一种专用于工业控制的计算机，其硬件结构基本上与 微型计算机相同，其外形典型图如图2-2所示。
1）PLC基本构成
2）PLC的工作原理
-9-
2.1.3
5．OPC服务器
过程监控层
OPC全称是Object Linking and Embeding（OLE）for Process Control，它的出现为基于W indows的应用程序和现场过程控制应用建立了桥梁。在过去，为了存取现场设备的数据信息， 每一个应用软件开发商都需要编写专用的接口函数。现场设备的种类繁多，且产品的不断升级， 给用户和软件开发商带来了巨大的工作负担且不能满足工作的实际需要，系统集成商和开发商 急切需要一种具有高效性、可靠性、开放性、可互操作性的即插即用的设备驱动程序。在这种 情况下，OPC标准应运而生。OPC标准以微软公司的OLE技术为基础，它的制定是通过提供一套标 准的OLE/COM接口完成的，在OPC技术中使用的是OLE 2技术，OLE标准允许多台微机之间交换文 档、图形等对象。 通过DCOM技术和OPC标准，完全可以创建一个开放的、可互操作的控制系统软件。OPC采用 客户/服务器模式，把开发访问接口的任务放在硬件生产厂家或第三方厂家，以OPC服务器的形 式提供给用户，解决了软、硬件厂商的矛盾，完成了系统的集成，提高了系统的开放性和可互 操作性。
操作系统
数据交换协议
专用的通信协议或规约（ OPC 、 Modbus TCP 、 DNP3 等），一般直 接使用或作为TCP/IP的应用层 兼容性差、软硬件升级困难
TCP/IP协议
系统升级
兼容性好、软件升级频繁
-15-
2.2.2
工业控制系统与信息技术系统比较
工业控制系统 信息技术系统 实时性要求高，不能停机或重启， 实时性要求不高，允许传输延迟，可停机 适度的吞吐量 或重启，需要高吞吐量 要求24h/7d/365d模式的可用性 允许短时间/周期性的间断或维护 要求实时响应 允许一定延时 5～20年 3～5年
安全仪表系统（SIS）主要特点（7点）
安全仪表系统（SIS）主流系统结构：有三重化（TMR）和四重化（2004D）两种。
-8-
2.1.3
过程监控层
4. 可编程控制器（PLC） 可编程逻辑控制器（Programmable Logic Controller，PLC），是一种采用一类可编程的 存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户 的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程的控制设备。
系统主要特点（9点）
-7-
2.1.3
过程监控层
3．安全仪表系统（SIS） 安全仪表系统（Safety Instrumented System，SIS），有时称为安全联锁系统（Safety I nterlocking System，SIS），主要是为了实现工厂控制系统中报警和安全联锁，对控制系统中 检测的结果实施报警动作或调节或停机控制，是工厂企业自动控制中的重要组成部分。