关键词：

浅谈工控网络架构及安全

• 前言
• 一、工控网络
• • 1.工业网络词汇扫盲
  • 2.工控网络架构
  • 3.工业网络常见通信协议
  • • Modbus
    • OPC
• 二、工控安全

---

前言

长期以来，传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在，管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面，预防发生工业事故造成人员、财产、或环境损失。然而，信息技术的发展已经打破了传统的“物理隔离神话”，为确保能源和关键性基础设施行业控制系统的安全稳定运行，研究工业网络安全的关键问题，建立有针对性的安全防护体系已经迫在眉睫。

一、工控网络

1.工业网络词汇扫盲

在开始介绍工控网络之前，先对工控网络中常常出现的工控网络名词进行简单的解释，以下文便理解。

SCADA：数据采集与监视控制系统，实时收集下方HMI的数据同时进行监控。

HMI：人机交互接口，最通俗易懂的定义便是“看得懂的显示+直观简易的操作控制系统”，其实最简单的HMI便是ATM机。

PLC¹: ：可编程逻辑控制器，专为工业控制而设计的专用控制器，依赖逻辑代码块在开销非常小的情况下操控工控设备。

RTU：远程终端装置，工控设备与工控网络物理距离较远时维持通讯，可以理解为远程的PLC。

IED：智能电子设备，包括传感器、电动机、变压器、断路器、泵等

2.工控网络架构

首先要理解工控网络与传统IT网络²不同。目前，传统IT网络几乎均使用TCP/IP协议簇进行通讯。

而OT网络³是用于连接生产现场设备与系统，不适用TCP/IP协议簇的内容，自有专用工业协议(例如Modbus)实现自动控制的通讯网络。

如同前言所提及，随着信息技术的发展迅猛，为了提高效率、工业信息化、收集实时业务信息、使用基于各类的web应用，已迫不得已打破了传统的“物理隔离神话”，目前的工业网络几乎都在原有的OT网络基础上构建，IT网络与OT网络共同存在、还有一定的交融，例如Modubus TCP，便是传统OT网络协议的可路由变种。由此在工控网络中引出一个概念“可路由”，“不可路由”。其边界通常在监控网(SCADA为核心)与控制系统之间。

由此，较常见的工控网络架构如下⁴：

目前真正的工业网络几乎不会连接到互联网，即使存在也几乎为单向传输，该拓扑主要为理解架构。

3.工业网络常见通信协议

Modbus

Modbus，最为广泛的工业控制通信协议。由施耐德旗下莫迪康公司设计，1979年发布以来，已被广泛采用，其地位几乎从协议转变为标准。

Modbus是一种应用层协议，即它工作在OSI模型的第7层，这也使得该协议极易脱离传统网络。
其核心思想为基于请求/应答方式，实现互连设备间的高效通信。传感器或电动机等简单设备也可以使用Modbus协议与更加复杂的计算机通信，后者读取测量值并进行分析与控制。

分为 Moudbus RTU、ASCII、TCP三类。

结构本质： 地址码(1byte) 功能码(1byte) 数据(Nbyte) 校验码(2byte)

地址码：可理解为Modbus协议中的IP地址，本质为从机地址，用于识别设备，类似于设备编码。
功能码：可理解为选择操作指令类型，本质为读写寄存器、线圈的数值。
数据：可理解为操作指令的程度，具体操作指令的细节。
校验码：验证

OPC

OPC协议常出现于总线的“上游”，也就是上述中“可路由”“不可路由”的边界区域，该协议严格来说甚至并非工业网络协议。该协议本质为Windows使用了微软的DCOM通信的API，以此达到与各类型的工业控制系统与产品通讯的目的，最常用于SCADA系统与HMI内部的数据采集、监控等功能。

OPC-UA 、OPC-XI均为OPC原版的变体，其安全性更高。

二、工控安全

根据本文上述提及，目前的工控网络由IT网络与OT网络共同组成。尽管IT网络的引入带来了效率的突飞，但与此同时引入了更多的安全风险。IT网络在整个工控网络中处于相对“上位”，例如SCADA、HMI。如果IT网络被攻破，便可直接或间接的下发错误指令、篡改应用配置、传递错误信息等。一发不可牵,牵之动全身。

尽量避免工控网络直接或间接接入互联网，最好做到物理隔离。如若在特殊需求下，迫不得已直接或间接的接入互联网，必须使用单向隔离(二极管、光闸等)设备，仅允许工控网络侧将数据传输至互联网侧。

第一步，建立安全区域，识别功能组⁵，对功能组内的每一个元素(资产、系统、用户、协议等)进行最大化的分离，如果两者可以分离且不影响主要功能，那便是两个功能组。一般需要考虑到的功能组为：控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问、用户群体、工业协议组。根据功能组确定区域以及边界。

第二步，区域间的安全防护，区域必须清晰，区域间最低限度的安全防护便是防火墙，防火墙访问控制必须做到最小化原则。根据功能组的重要级别部署工业IDS、工业IPS、应用层监管设备等。

第三步，区域内的安全防护，在保证了区域边界的安全之后，区域内的安全主要关注对象为主机。
主机安全：是否使用准入系统、是否部署并使用白名单、是否部署并使用防病毒软件、身份认证的权限是否合理合规、是否存在漏洞、是否禁用所有未使用的端口和服务…

---

1. 三大部分组成：输入、CPU、输出，本质为经过特殊处理的CPU，简易化编程操作，使得电器工程师能够方便控制工控系统。 ↩︎

2. IT译为Information Technology，指信息技术。但随着IT的发展，通讯与壁垒越来越弱，上述IT网络亦可理解为ICT，Information Communication Technology，是信息技术与通讯技术的合集。 ↩︎

3. OT（Operation Technology 操作技术），是为工厂自动化控制系统提供技术支持，确保生产正常进行的专业技术。 ↩︎

4. 另外一种架构分为操作层、控制层、现场层，这种架构便是不考虑IT网络的情况下。
   操作层：SCADA、工程师站、操作站等。
   控制层：HMI、控制器(PLC)、工控机
   现场层：执行设备、IED ↩︎

5. 直接参与或负责特定的某一功能。 ↩︎

浅谈“韧性网络”构筑未来信息安全

腾讯中国区总经理表示：“随着大数据、云计算、物联网等创新应用的融合发展，将持续推动中国企业关键业务基础设施、架构和实践方面的变革，这对企业的网络安全防护提出了巨大的挑战。我们希望同网络安全业界进行更深... 查看详情

工业4.0架构方案介绍

      工业4.0是由德国政府《德国2020高技术战略》中所提出的十大未来项目之一。该项目由德国联邦教育局及研究部和联邦经济技术部联合资助，投资预计达2亿欧元。旨在提升制造业的智能化水平，建立具... 查看详情

工业互联网—tsn—技术架构

目录文章目录目录TSN的软件架构TSN的网络架构TSN的软件架构TSN的软件架构遵循了SDN的思想，并实现了当前的IEEEstd802.1Qcc协议要求，包含了下列三种功能单元：控制管理单元：CNC、CUC。CUC（集中用户配置）：负责用户对网络需求的... 查看详情

工业互联网—tsn—技术架构

目录文章目录目录TSN的软件架构TSN的网络架构TSN的软件架构TSN的软件架构遵循了SDN的思想，并实现了当前的IEEEstd802.1Qcc协议要求，包含了下列三种功能单元：控制管理单元：CNC、CUC。CUC（集中用户配置）：负责用户对网络需求的... 查看详情

浅谈5g及边缘计算接入网络的治理

...会上，虎牙5G首席架构师林正显受邀发表了主题为《浅谈5G及边缘计算接入网络的治理》的演讲。分享嘉宾：虎牙5G首席架构师  林正显整理编辑：上海大学 刘含出品：边缘计算社区浅谈5G及边缘计算接入网络的... 查看详情

浅谈ipv6网络安全问题及解决对策

作者：韦霞来源：《信息安全与技术》2012年第11期        【摘要】　随着科学技术的发展，越来越多的行业和领域广泛推行计算机技术，使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv... 查看详情

浅谈ipv6网络安全问题及解决对策

作者：韦霞来源：《信息安全与技术》2012年第11期        【摘要】　随着科学技术的发展，越来越多的行业和领域广泛推行计算机技术，使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv... 查看详情

浅谈物联网安全是个活动目标

经过几十年的演变，互联网早已从一个基于学术和军事的专用网络演变为全球重要的信息基础设施，渗透到各个社会领域并产生巨大的影响，同互联网使用有关的问题，包括垃圾邮件、网络安全及网络犯罪，逐步显现，互联网治... 查看详情

浅谈开发模式及架构发展

一、传统开发模式  传统的开发模式基本一般是重服务端的开发方式，大部分工作都在服务端执行，然后返回到客户端（通常是HTML）。以Asp.netMVC为例，如下图：      #1根据请求的路由定位到对应的Co... 查看详情

浅谈如何打造一个安全稳定高效的容器云平台

本文介绍了容器的现状和发展趋势，容器集群编排引擎选型，跨主机网络通信，定制化方案，公有云，私有云及混合云的场景及实现等内容，说明如何打造简单而强大的容器云平台。1.容器技术现状及发展趋势　　什么是容器？... 查看详情

5g+煤矿智能化-煤矿专用5g智能工业网关设计思路

...数据处理中心等基础设施，打造“云-边-端”的矿山工业互联网体系架构，重点应用场景包括井下巡检和安防、无人驾驶、智能采掘及生产控制等。二、5G+煤矿智能化重点应用场景1、智能采掘及生产控制基于5G网络高... 查看详情

浅谈企业网络安全设备之数据安全防护篇

 此贴介绍的设备，均为数据安全防护类产品,与之前网络安全防护设备侧重点不同，之前侧重点在于整体的网络，而此贴所以介绍的安全设备更侧重数据安全。（1）网闸    定义:全称安全隔离网闸。安全隔离网... 查看详情

浅谈网络安全问题我们却缺乏安全意识

随着互联网安全问题的增多，网络安全行业成了一个快速发展的行业。根据研究公司MarketsandMarkets的报告，网络安全行业的年增长率超过了10%，到2021年，它将是一个超2000亿美元的大产业。不过，对于互联网用户来说，这并不是... 查看详情

工业互联网—tsn—overview

目录文章目录目录IIoT引入TSN的背景从Ethernet到TSNTSN的技术优势互联互通全业务高质量承载智慧运维TSN的关键特性时间同步确定性传输动态网络管理兼容性安全性IIoT引入TSN的背景近年来，TSN（时间敏感网络）技术作为新一代以太... 查看详情

工业智能网关是做啥的及典型应用场景？

参考技术A工业智能网关叫什么？工业智能网关也叫工业物联网智能网关、无线数据采集网关、通讯采集网关，PLC无线网关，工业通讯网关，属于无线传感器网络产品。工业智能网关是一款具备挖掘工业设备数据并接入到云平台... 查看详情

lte网络架构及鉴权

LTE网络架构 如果为LTE的网络结构　　MME功能　　　　1.NAS信令以及安全性功能。　　　　2.3GPP接入网络移动性导致的CN节点间信令　　　　3.空闲模式下UE跟踪和可达性　　　　4.漫游　　　　5.鉴权　　　　6.承载和管理功能... 查看详情

浅谈卷积神经网络及matlab实现

前言，好久不见，大家有没有想我啊。哈哈。今天我们来随便说说卷积神经网络。1卷积神经网络的优点卷积神经网络进行图像分类是深度学习关于图像处理的一个应用，卷积神经网络的优点是能够直接与图像像素进行卷积，从... 查看详情

浅谈c/s和b/s架构的工作原理及优缺点

 C/S架构一、C/S架构及其背景C/S架构是一种比较早的软件架构，主要应用于局域网内。在这之前经历了集中计算模式，随着计算机网络的进步与发展，尤其是可视化工具的应用，出现过两层C/S和三层C/S架构，不... 查看详情