要了解与工业控制系统(ICS)相关的漏洞,必须首先了解进出ICS的所有可能的通信路径。下图显示了可用于与典型过程系统组件通信的各种设备,通信路径和方法。工欲善其事必先利其器,想要了解其安全,对其有个充分了解是非常有必要的,而如果保护的东西我们都不知道是什么,做起来谈何容易呢?当然,走马观花式的去看,简单!很多时候,所谓口头上的简单都是以失去细节为代价的,而实际操作起来时就会出现感觉丢三落四一团乱顾头不顾尾的情况。
对控制系统的通信访问
如上图所示,有许多方法可以使用各种计算和通信设备与ICS网络和组件进行通信。熟悉过程设备、网络、操作系统和软件应用程序的人员可以使用这些和其他电子手段来访问ICS。存在漏洞允许未经授权连接到系统组件和网络的无线接入点。
典型的双防火墙网络架构
在利用SCADA或分布式控制系统(DCS)配置的典型大规模生产系统中,集成了许多计算机,控制器和网络通信组件以提供系统的操作需求。典型的网络架构如图上所示。
控制器单元连接到过程设备和传感器,以收集状态数据并提供设备的操作控制。控制器单元使用各种通信协议(用于传输的数据打包的结构化格式)与ICS数据获取服务器通信。系统中的数据采集服务器和控制器单元之间的通信可以使用高速线,光纤线缆或通过无线,拨号,以太网或通信方法的组合的远程控制器单元在本地提供。
操作员或调度员通过人机界面(HMI)子系统监视和控制系统。HMI提供图形显示,用于显示设备状态,警报和事件,系统运行状况以及与系统相关的其他信息。操作员可以通过HMI显示器与系统交互,以远程操作系统设备,解决问题,开发和启动报告,以及执行其他操作。
系统数据被收集,处理并存储在主数据库服务器中。该数据保留用于业务的趋势,归档,监管和外部访问需求。数据类型包括来自以下来源的数据:数据采集服务器,操作员控制交互,警报和事件,以及从其他来源计算和生成的数据。
大多数控制系统利用专用应用程序执行操作和业务相关的数据处理。这些任务通常在高级应用服务器上执行,从控制系统网络上的各种源中提取数据。这些应用程序可以实现实时操作控制调整,报告,警报和事件,主数据库服务器归档的计算数据源,或支持从工程工作站或其他接口计算机执行的实时分析工作。
工程工作站提供了一种方法来监视和排除系统操作的各个方面,安装和更新程序元素,从故障中恢复以及与系统管理相关的其他任务。
关键任务控制系统通常配置为完全冗余架构,允许从系统中各种组件的丢失中快速恢复。备用控制中心用于更关键的应用程序,以便在主系统发生灾难性损失时提供辅助控制系统。
控制系统网络通常连接到商务办公网络,以提供从控制网络到公司办公室的各种元件的实时数据传输。这通常包括维护计划,客户服务中心,库存控制,管理和管理以及依赖此数据做出及时业务决策的其他单位。
制系统的攻击者与保护者共同面临三个挑战:
1. 获得对控制系统LAN的访问权限
2. 通过发现,获得对过程的理解
3. 获得对过程的控制。
|
……往期也精彩…… 分享是美德,传播是善良 |
原文始发于微信公众号(鼎信安全):工业控制安全从了解工业控制系统(ICS)开始
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论