《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 16-其他協(xié)議安全及防護(hù)

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第3章工控控制安全技術(shù)其他協(xié)議安全及防護(hù)目錄01020304IEC協(xié)議安全其他工控協(xié)議OPC協(xié)議安全幾種工控協(xié)議的比較一、IEC協(xié)議安全1、IEC協(xié)議概述

IEC101是國際標(biāo)準(zhǔn)對應(yīng)電子行業(yè)標(biāo)準(zhǔn)DL/T634，遠(yuǎn)動設(shè)備及系統(tǒng)傳輸規(guī)約第101篇基本遠(yuǎn)動任務(wù)問答方式，上行信息：遙測、通信、通脈、終端設(shè)備狀態(tài)，下行信息：遙控、設(shè)點、對時。特點是信息量大，傳輸機(jī)制成熟。將IEC101的鏈路報文和應(yīng)用報文用TCP/IP方式傳輸就認(rèn)為是IEC104。IEC101信息報文的頭是68LL68，尾是16；IEC104的信息報文的頭68L，沒有固定尾。一、IEC協(xié)議安全2、IEC101/104協(xié)議特點是一個利用串行口進(jìn)行傳輸?shù)囊?guī)約，可通過modem、電力載波、光纖等介質(zhì)傳輸分為平衡式和非平衡式兩種模式上行：遙測、遙信、累計量、SOE、步位置，參數(shù)上傳下行：遙控命令，遙掉設(shè)點命令，總召喚，分組召喚，電能沖脈召喚，參數(shù)下裝等IEC101規(guī)約特點一、IEC協(xié)議安全2、IEC101/104協(xié)議特點是一個利用網(wǎng)絡(luò)進(jìn)行傳輸?shù)囊?guī)約，傳輸層采用TCP/IP協(xié)議。不利用IEC的鏈路層功能而用TCP/IP傳輸層。增加應(yīng)用規(guī)約控制信息（APCI），采用啟/停的傳輸控制。采用的是平衡式的通信方式，傳輸啟動后，主站和子站都能主動發(fā)送信息。選取IEC101中定義的SADU并新增了ASDU。IEC104規(guī)約特點IEC系列協(xié)議如IEC60870-5-101、IEC60870-5-104等是電力行業(yè)的主要工控協(xié)議，在電廠、變電站等領(lǐng)域有著廣泛的應(yīng)用。優(yōu)點優(yōu)點開放、標(biāo)準(zhǔn)免費、放心通用的電力標(biāo)準(zhǔn)簡單易實現(xiàn)推廣應(yīng)用豐富的設(shè)備支持一、IEC協(xié)議安全3、IEC協(xié)議優(yōu)點一、IEC協(xié)議安全4、IEC101體系結(jié)構(gòu)示意圖

IEC104規(guī)約標(biāo)準(zhǔn)定義了開放的TCP/IP接口的使用，包含一個由傳輸IEC101ASDU的遠(yuǎn)動設(shè)備構(gòu)成的局域網(wǎng)的例子。一、IEC協(xié)議安全5、IEC101、104規(guī)約體系結(jié)構(gòu)

由圖可見，IEC104實際上是將IEC101與TCP/IP提供的網(wǎng)絡(luò)傳輸功能相結(jié)合，使得IEC101在/IP內(nèi)各種網(wǎng)絡(luò)類型均可使用，包括Xo25、FR（幀中繼）、ATM（異步傳輸模式）和ISDN（綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)）

一、IEC協(xié)議安全6、數(shù)據(jù)幀格式啟動字符（68H）APDU長度控制域8位位組1控制域8位位組2控制域8位位組3控制域8位位組4ASDUAPDU標(biāo)準(zhǔn)格式啟動字符（68H）APDU長度控制域8位位組1控制域8位位組2控制域8位位組3控制域8位位組4APCI標(biāo)準(zhǔn)格式一、IEC協(xié)議安全7、U幀

控制功能幀U幀包括啟動、停止、測試幀。控制域1的第一個bit=1，第二個bit=1定義了U幀。啟動幀：用于啟動應(yīng)用層傳輸停止幀：用于停止應(yīng)用層傳輸測試幀：元數(shù)據(jù)傳輸時候，用于維持鏈路活動狀態(tài)。一、IEC協(xié)議安全8、I幀、信息傳輸幀I幀報文格式規(guī)定控制域1和控制域3的最低位為0；其他部分用于發(fā)送序列號和接收序列號的計數(shù)；一、IEC協(xié)議安全9、S幀、確認(rèn)幀S幀報文格式規(guī)定控制域1的第0位為1，第1位為0和控制域第0位為0；S幀報文的發(fā)送序列號都為0S幀只用于APCI中（意思就是S幀的apdu報文只會有apci不會存在asdu），不能用于傳輸信息，只用給對方信息的確認(rèn)，比如子站發(fā)送8條報文，結(jié)束后主站就會給子站發(fā)送一個確認(rèn)幀（S幀），告訴子站我收到了8條報文。一、IEC協(xié)議安全10、IEC104工作原理104協(xié)議以子站為服務(wù)端，主站為客戶端。主站應(yīng)能自動判斷、切換、處理來自網(wǎng)絡(luò)和常規(guī)方式的數(shù)據(jù)信息，保證數(shù)據(jù)的唯一性。在多客戶訪問的情況下，通過MAC地址和IP地址劃分控制安全級別。如果服務(wù)端發(fā)現(xiàn)IP重復(fù)，應(yīng)拒絕控制命令的執(zhí)行為保證網(wǎng)絡(luò)方式運行的安全，穩(wěn)定，可靠，在主站端應(yīng)對以網(wǎng)絡(luò)方式通信的分站按照單獨站進(jìn)行畫面、數(shù)據(jù)庫、報表的定義。一、IEC協(xié)議安全11、IEC104基本流程IEC104規(guī)約作為網(wǎng)絡(luò)通信規(guī)約，由客戶端和服務(wù)端組成，服務(wù)端口默認(rèn)為2404。它的基本流程如下：1.由客戶端向服務(wù)器建立連接，同時，發(fā)送鏈路啟動幀。2.服務(wù)端在收到鏈路啟動幀后，向客戶端發(fā)送啟動確認(rèn)幀。3.客戶端收到啟動確認(rèn)幀后，發(fā)送總召數(shù)據(jù)請求幀。4.服務(wù)端收到總召數(shù)據(jù)請求后，發(fā)送總召數(shù)據(jù)響應(yīng)幀，然后繼續(xù)發(fā)送總召數(shù)據(jù)?？傉贁?shù)據(jù)發(fā)送完成后，發(fā)送總召數(shù)據(jù)結(jié)束幀。5.客戶端在收到總召數(shù)據(jù)結(jié)束幀后，發(fā)送對時請求幀。6.服務(wù)器收到對時請求幀后，發(fā)送對時響應(yīng)幀。7.由服務(wù)器主動向客戶端發(fā)送變化數(shù)據(jù)幀。同時，收到客戶端發(fā)送的控制類命令，回復(fù)相應(yīng)的操作結(jié)果。8.客戶端等到下一個數(shù)據(jù)總召周期，重復(fù)第4步之后的流程。一、IEC協(xié)議安全12、IEC104應(yīng)用范圍用途104規(guī)約用于調(diào)度自動化系統(tǒng)、廠站之間的通訊。傳輸數(shù)據(jù)方式104規(guī)約是用網(wǎng)絡(luò)傳輸數(shù)據(jù)。維護(hù)難度104規(guī)約是目前常用的遠(yuǎn)動及集控，該規(guī)約規(guī)定的數(shù)據(jù)量一般可以滿足現(xiàn)場的實際要求，其特點是穩(wěn)定，便于維護(hù)。保護(hù)對象104規(guī)約屬于遠(yuǎn)動通信規(guī)約，用于調(diào)度自動化系統(tǒng)，調(diào)度與廠站之間的SCADA系統(tǒng)等之間的通信。用途104是遠(yuǎn)動控制通信的。用于調(diào)度自動化系統(tǒng)、廠站之間的通訊。一、IEC協(xié)議安全13、IEC安全防護(hù)

13.1IEC安全問題竊聽攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。信息在傳輸過程中被直接或是間接地竊聽，攻擊者通過對其進(jìn)行分析得到所需的重要信息。并且數(shù)據(jù)包仍然能夠到到目的結(jié)點。

截獲攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。信息在傳輸過程中被非法中斷，并且目的結(jié)點不能收到該信息，即信息在傳輸過程中丟失了。一、IEC協(xié)議安全偽造攻擊者偽造信息在網(wǎng)絡(luò)上傳送。源節(jié)點并沒有發(fā)出任何信息，但攻擊者偽造出信息并偽裝成源結(jié)點發(fā)出信息，目的結(jié)點將收到這個偽造信息，

篡改攻擊者故意篡改網(wǎng)絡(luò)上傳送的報文。信息在傳輸過程中被攻擊者截獲，并且修改數(shù)據(jù)包，然后攻擊者再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點。在目的結(jié)點的接收者看來數(shù)據(jù)沒有問題，但其實已經(jīng)被攻擊者惡意篡改過。13、IEC安全防護(hù)

13.1IEC安全問題安全設(shè)備應(yīng)用冗余身份認(rèn)證網(wǎng)絡(luò)隔離數(shù)據(jù)加密一、IEC協(xié)議安全13、IEC安全防護(hù)

13.2IEC安全防護(hù)二、OPC協(xié)議安全1、OPC協(xié)議概述

OPC協(xié)議是一個工業(yè)標(biāo)準(zhǔn)，由標(biāo)準(zhǔn)國際組織OPC基金會進(jìn)行管理，會員遍布全球包括自動化控制系統(tǒng)，儀器儀表及過程控制系統(tǒng)等公司。OPC協(xié)議是基于微軟OLE、COM、和DCOM三大組件構(gòu)成，其中包括一整套接口、屬性和方法標(biāo)準(zhǔn)，用于過程控制和制造業(yè)自動化系統(tǒng)。OPC技術(shù)規(guī)范是由OPC基金會在1996年8月發(fā)布的簡單、一步到位的解決方案。優(yōu)點優(yōu)點開放、標(biāo)準(zhǔn)高效、方便通用的工業(yè)標(biāo)準(zhǔn)便于集成應(yīng)用廣泛主流的系統(tǒng)支持二、OPC協(xié)議分析2、OPC協(xié)議優(yōu)點二、OPC協(xié)議分析3、OPC協(xié)議不足雖然OPC標(biāo)準(zhǔn)中包含了OPCHistory標(biāo)準(zhǔn),但是多數(shù)OPC服務(wù)器并未給予支持,所以難以為實時數(shù)據(jù)庫提供數(shù)據(jù)緩存功能。OPC服務(wù)器無法提供一些常用的計算功能,如累計、濾波和幾個位號相加的綜合計算功能,增加了實時數(shù)據(jù)庫的負(fù)擔(dān),影響了實時數(shù)據(jù)庫的穩(wěn)定性和魯棒性。OPC基于微軟的COM/DCOM體系,在分布式應(yīng)用中其所用的RPC方式常常與企業(yè)級的防火墻發(fā)生沖突。不能通過防火墻。二、OPC協(xié)議安全4、OPCUA

為了應(yīng)對標(biāo)準(zhǔn)化和跨平臺的趨勢，為了更好的推廣OPC，OPC基金會近些年在之前OPC成功應(yīng)用的基礎(chǔ)上推出了一個新的OPC標(biāo)準(zhǔn)-OPCUA。OPCUA接口協(xié)議包含了之前的A&E,DA,OPCXMLDAorHDA，只使用一個地址空間就能訪問之前所有的對象，而且不受WINDOWS平臺限制，因為它是從傳輸層Scoket以上來定義的，這點后面會提到，導(dǎo)致了靈活性和安全性比之前的OPC都提升了。二、OPC協(xié)議安全5、OPCUA和OPC的區(qū)別

核心的區(qū)別是因為OPC和OPCUA協(xié)議使用的TCP層不一樣，如下圖：OPC是基于DOM/COM上，應(yīng)用層最頂層；OPCUA是基于TCPIPscoket傳輸層.二、OPC協(xié)議安全6、OPC工作原理二、OPC協(xié)議安全7、OPC通信示例二、OPC協(xié)議安全8、OPC參考模型7-應(yīng)用層6-表示層5-會話層4-傳輸層3-網(wǎng)絡(luò)層2-數(shù)據(jù)鏈路層1-物理層7-應(yīng)用層（OPC-API）6-表示層（COM/DOMC）5-會話層（RPC）4-傳輸層3-網(wǎng)絡(luò)層2-數(shù)據(jù)鏈路層1-物理層OSI模型4-應(yīng)用層3-傳輸層2-網(wǎng)絡(luò)互聯(lián)層1-網(wǎng)絡(luò)接口層TCP/IP模型OPC模型二、OPC協(xié)議安全9、OPC標(biāo)準(zhǔn)OPC標(biāo)準(zhǔn)規(guī)范由下圖的一系列標(biāo)準(zhǔn)組成，當(dāng)前應(yīng)用最成熟的規(guī)范主要是“數(shù)據(jù)訪問規(guī)范”、“報警與事件處理規(guī)范”和“歷史數(shù)據(jù)存取規(guī)范”。二、OPC協(xié)議安全10、OPC對象OPC標(biāo)準(zhǔn)規(guī)定的OPC對象有三類，OPCService(服務(wù)器對象)、OPCGroup（組對象）和OPCItem(數(shù)據(jù)項對象)二、OPC協(xié)議安全10、OPC技術(shù)應(yīng)用范圍二、OPC協(xié)議安全1、安全分析動態(tài)端口明文傳輸協(xié)議缺陷傳統(tǒng)防火墻不支持OPC協(xié)議的識別解析，為了能夠保證OPC業(yè)務(wù)的正常使用，只能開放OPC服務(wù)器的所有可開放端口，而OPC服務(wù)器可分配端口號范圍很廣，端口全部開放將使得OPC服務(wù)器受攻擊面大大增加。OPC協(xié)議架構(gòu)基于Windows平臺，Windows系統(tǒng)所具有的漏洞和缺陷在OPC部署環(huán)境下依然存在。為保證數(shù)據(jù)傳輸?shù)膶崟r性，OPCClassic協(xié)議多采用明文傳輸，易于被劫持和修改指令。二、OPC協(xié)議安全2、防護(hù)方案（1）傳統(tǒng)IT系統(tǒng)防火墻二、OPC協(xié)議安全2、防護(hù)方案（2）端口防護(hù)工業(yè)防火墻二、OPC協(xié)議安全2、防護(hù)方案（3）指令防護(hù)工業(yè)防火墻三、其他工控協(xié)議1、ETHERNET/IP 1.1概述

ETHERNET/IP使用標(biāo)準(zhǔn)以太網(wǎng)幀（以太類型OXSOE1）與通用工業(yè)協(xié)議（CommonIndustrialProtocolCIP）的套件組合與節(jié)點進(jìn)行通信。它是一種面向?qū)ο蟮膮f(xié)議，能夠保證網(wǎng)咯上隱式的實時I/O信息和顯式信息（包括用于組態(tài)參數(shù)設(shè)置、診斷等）的有效傳輸。三、其他工控協(xié)議1、ETHERNET/IP

1.2優(yōu)缺點優(yōu)點缺點EnterNet/IP實現(xiàn)了通過以太網(wǎng)提供控制，配置和數(shù)據(jù)的采集服務(wù)。大多數(shù)用戶可以利用現(xiàn)用的以太網(wǎng)技術(shù)知識和網(wǎng)絡(luò)設(shè)施，發(fā)揮最大的作用。EtherEnt/IP和現(xiàn)在的TCP/IP協(xié)議能夠共存。EthernetIP是實時以太網(wǎng)協(xié)議，容易受到以太網(wǎng)漏洞的影響。CIP未定義任何顯式或隱式的安全機(jī)制；使用通用工業(yè)協(xié)議必須對對象進(jìn)行設(shè)備標(biāo)識，為攻擊者進(jìn)行設(shè)備識別與枚舉創(chuàng)造條件；使用通用應(yīng)用對象進(jìn)行設(shè)備信息交換與控制，可能擴(kuò)大遭受工業(yè)攻擊的范圍，令攻擊者可以操縱更多的工業(yè)設(shè)備；三、其他工控協(xié)議2、PROFINET協(xié)議

2.1概述

PROFINET由PROFIBUS國際組織（PROFIBUSInternational，PI）推出，是新一代基于工業(yè)以太網(wǎng)技術(shù)的自動化總線標(biāo)準(zhǔn)。

PROFINET為自動化通信領(lǐng)域提供了一個完整的網(wǎng)絡(luò)解決方案，囊括了諸如實時以太網(wǎng)、運動控制、分布式自動化、故障安全以及網(wǎng)絡(luò)安全等當(dāng)前自動化領(lǐng)域的熱點話題，并且，作為跨供應(yīng)商的技術(shù)，可以完全兼容工業(yè)以太網(wǎng)和現(xiàn)有的現(xiàn)場總線（如PROFIBUS）技術(shù)，保護(hù)現(xiàn)有投資。三、其他工控協(xié)議2、PROFINET協(xié)議

2.2優(yōu)缺點優(yōu)點缺點PROFINET支持工具調(diào)用接口（ToolCallingInterface，簡稱TCI）。鄰近識別及設(shè)備替換。參數(shù)服務(wù)器確定性：PROFINET支援確定性的資料傳遞，可用在高準(zhǔn)確度的控制任務(wù)中。冗余：PROFINET中的冗余概念大幅提升