工业控制网络安全

1.什么是工业控制系统和工业控制网络？二者之间又有怎样的联系？

答：(1)工业控制系统(Industrial Control System,ICS)是指由计算机和工业过程控制部件组成的工业自动控制系统，它由控制器、传感器、传动器、执行器和输入/输出接口等部分组成。

(2)工业控制网络指以具有通信能力的控制器、传感器、执行器、测控仪表作为网络节点，以现场总线或以太网等作为通信介质，连接成为开放式、数字化、多节点通信，从而完成测量控制任务的网络。

(3)工业控制网络是工业控制系统中的网络部分，是一种把工厂各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。工业控制系统包括工业控制网络和所有的工业生产设备，而工业控制网络只侧重工业控制系统中组成通信网络的元素，包括通信节点(包括上位机、控制器等)、通信网网络(包括现场总线、以太网以及各类无限通信网络等)、通信协议(包括Modbus、Profibus等)。

2.通用的工业控制系统系统可以划分为哪几层？每一层的功能单元和包含的资产组件分别是什么？

(1)企业资源层主要通过ERP系统为企业决策及员工提供决策运行手段。该层次应重点保护与企业资源相关的财务管理、资产管理、人力资源管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。

(2)生成管理层主要通过MES为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块。该层次应重点保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。

(3)过程控制层主要通过分布式SCADA系统采集和监控生产过程控制，并利用HMI系统实现人机交互。该层次应重点保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏，同时应保护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取。

(4)现场控制层主要通过PLC、DCS控制单元和RTU等进行生产过程的控制。该层次应重点保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制单元内的控制程序或组态信息不被恶意篡改。

(5)现场设备层主要通过传感器对实际生产过程的数据进行采集，同时，利用执行器对生产过程进行操作。该层次应重点保护各类变送器、执行机构、保护装置等不被恶意破坏。

 

3.请简述工业控制网络与传统IP信息网络在网络边缘、体系结构和传输内容三大方面的不同。谈一谈二者产生不同类型的安全问题的原因。

答：

(1)网络边缘不同：工控系统在低于上分布广阔，其边缘部分是智能程度不高的含传感和控制功能的运动装置，而不是IT系统边缘的通用计算机，两者之间在物理安全需求上差异很大。

(2)体系结构不同：工业控制网络的结构纵向高度集成，主站点和终端节点之间是主从关系。传统IT信息网络则是偏向的对等管理，两者之间在脆弱节点分布上差异很大。

(3)传输内容不同：工业控制网络传输的是工业设备的“四遥信息”，即遥测、遥信、遥控、遥调。