IIoT小课堂 | 工控安全篇 （答疑与实操大全）

JZGKCHINA工控技术分享平台
尊重原创 勿抄袭

勿私放其他平台


前言
大年26，相信还有很多剑友在出差现场，也有很多剑友在回家的路上，也有人留在异乡等待不一样的春节......无论在哪里，都请大家铭记一点。道路千万条，安全第一条，今天我们就来谈工控路上的安全。



剑指工控特邀国内IT/OT融合专家为大家开辟了一个小专栏——IIoT小课堂，每日一篇。通过5个主要的应用场景为大家展示IIoT融合和落地的实际运行成果，演示IT技术解决OT难题的魅力，以此送走老鼠，喜迎黄牛。本期共分5篇，每篇优秀留言均有礼品赠送：

1、 智慧互联篇 (Intel礼盒 5套)点击跳转

2、 数据采集篇(微软收纳包 5个)点击跳转

3、 工业云化篇(伟联笔记本 5套)点击跳转

4、 运维软件篇(磁吸数据线 5个)点击跳转

5、 工控安全篇(本篇)(磁吸数据线 5个)











同时，将从本篇小课堂中挑选出一位特别优秀的参与者，赠送高档白瓷茶具一套。



解答&颁奖
先聊聊昨天运维软件篇的精彩留言：
靳焱

关于事件中心是自动备份还是手动备份，一般对于网络设备需要设置日志服务器路径，才能将设备日志存储到事件中心；对于工控管理主机的操作审计是自动存储。

飘

确实运维软件都是辅助工具，重点设备还是要定期维护，做好网络防护，按规程操作，不执行规程之外的操作。

王亚兵

老曹也没想到王工所在环境存在如此多的机会，希望我们可以达成协作。

孙云辉

关于web发布服务器这些和生产相关的数据如果要连接外网，一定要做好网络防护，本文介绍IFZ工业安全隔离区，孙工可以好好了解下。

梦归处，余生安暖

不为别的，喜欢这个名字，哈哈哈




智慧互联篇获奖名单


：靳焱

：飘

：王亚兵

：孙云辉

：梦归处，余生安暖

第五讲

工控安全篇

记得几年前写过一篇自己亲身经历的一次工控网络中毒的案例，题目《网络安全 不容小觑》大家可以点击回顾一下。目前很多企业数据上云，孤岛联网，数据集中管控，远程访问与维护，逐渐实现了互联，但是联网后随之而来的网络问题也越来越多......

既担心网络被攻击

又担心数据被窃取


那么，到底怎样进行网络防护呢？



工业控制系统中，针对网络攻击，我们重点需要保护的设备是：


PLC、上位机、交换机

设备是如何被攻击的？



PLC

首先，告知大家的是PLC并不是只有对应的编程软件才可以让PLC启动和停止；通过很多HACK类工具均可对PLC进行停止，写值等等。



上位机

那对于上位机就简单多了，比如通过U盘传播，比如如下路径：

01

某工程师打开一封邮件，该邮件内容再正常不过，但是有一个木马程序已经进到你的操作系统。

02

当操作系统监测到计算机有U盘插入，自动复制一份副本到U盘。

03

当这个U盘拷贝了一个文件到现场工控机的时候，该文件自动复制了一份到工控机系统。

04

开始搜索注册表，该系统是否安装了Wincc。

05

如果安装：利用wincc漏洞SQL漏洞和S7otbxdx.dll进行攻击。

06

读取函数HOOK，修改Timer时间为无限长。

07

通过Step7自动下装到PLC。

这个过程大家是不是觉得很熟悉？Yes，



他就是著名的STUXNET（震网），该病毒只需要操作员协助做一个动作即可，那就是把U盘插在工控机上，这时STUXNET就会在神不知鬼不觉的情况下获取工业控制电脑的控制权。





EtherNet/IP

那么假如你的系统是AB的PLC或者施耐德PLC，通过EtherNet/IP连接远程IO，那么如果我们通过以太网发送极大的数据量到网络内，将网络带宽资源消耗尽或者我们1s发出1000次网络请求，给其中一个以太网适配器，都会导致PLC和IO之间网络出现瘫痪，导致PLC系统失控。





如何抵御攻击，避免系统失控

那对于工控人，我们怎么避免如上情况发生呢？那今天给大家推荐一款集成产品北京伟联科技有限公司的WL-650D-S工业安全隔离装置，该产品集成伟联科技WiSecurity工业防火墙，工业威胁监测，事件中心，跳板机和沙箱；



WL-650D-S硬件采用一台物理服务器，内部部署WiCloud一体化虚拟工控管理平台，在此平台上我们部署了五个虚拟机，分别为WiSecurity工业防火墙，工业威胁捕捉系统，事件中心，跳板机 以及沙箱。各项功能分别说明如下：

功能

WiSecurity工业防火墙



针对PLC具备如下功能：


强化的注入防护
• 防地址溢出攻击• 防停止/下载/重启/写值命令注入

CRC错误攻击
• 漏洞利用• 固件漏洞攻击防护• 工控软件漏洞攻击防护

同时可支持如下工业协议，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP



另外也可告诉大家目前很多的工业协议防火墙，大部分情况只是端口防护。


但是伟联科技在S7NET，EtherNet/IP和Modbus TCP/IP协议中具备协议特征识别的特性，也是防止PLC被恶意重启，恶意写值的主要防护。

功能

工业威胁捕捉系统

什么是工业威胁捕捉系统呢？该系统可以捕捉来自IT网络边界和OT网络边界的威胁和嗅探，说的更加白话一点就像放这里一个蜜罐，用来吸引攻击，分析攻击，推测攻击意图，并将结果发送到工业防火墙进行威胁阻断。工业威胁捕捉系统是典型的主动防御系统



威胁捕捉技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

该系统好比是情报收集系统。好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

通过该系统，当网络里有攻击者的时候，威胁捕捉系统会伪装成PLC系统，当攻击者攻击威胁捕捉系统后，系统捕捉到攻击信息，并进行分析，同时将分析结果补充到防火墙，通过策略阻断此攻击。



功能

事件中心

记录所有节点的事件记录，比如防火墙，交换机和计算机、服务器等；当有故障发生的时候可进入事件中心进行事件记录查询，进行故障追忆。

功能

跳板机

部署FireFox，Putty，Java SDK和录屏软件，跳板机的作用为当设备厂家要对机器进行远程维护的时候，不可以直接通过网络接入设备，而要先经过该跳板机，在跳板机上做维护操作，同时所有的操作会有录屏，如果设备操作在维护自己设备的时候做了不属于维护范围内的操作的时候，跳板机可以直接中断其操作。

功能

沙箱测试系统

沙箱测试系统，用于测试欲安装的软件是否安全，可在沙箱系统做部署测试，如果安全，则可以在实体机安装，如果有木马和病毒集成，即将其销毁。

WL-650D-S可选安装病毒服务器，病毒服务器软件用户自己部署，当现场工控机部署了杀毒软件，由于现场工控机一般不连接外网，导致病毒库无法更新，如果部署了病毒服务器，可以通过病毒服务器对现场工控机病毒库进行更新，而病毒服务器自身病毒库的更新可通过IFZ内的防火墙后进行更新。

因此，WL-650D-S工业安全隔离装置部署在OT和IT的边界，可以降低工控系统被攻击的风险。


今日互动问题：
你应用过几种PLC系统？各有何优缺点？请在文末留言哦





不仅有互动优秀奖，而且，还将从本篇留言中挑选出一位特别优秀的参与者，赠送高档白瓷茶具一套。

作 者 简 介

曹俊义

工业物联网资深构建专家
工厂智能化改造践行专家
资深工业网络通讯专家工业自动化控制系统专家ProSoft产品顶级技术专家


工业通讯领域沉浸十数年，深喑各种工业通讯协议和工业网络架构以及国内外多种主流PLC应用和操作、熟知罗克韦尔、施耐德、西门子、GE等知名品牌的冗余系统，对工业无线通讯、工业物联网、工业IT与OT的融合，有着前瞻性的独到见解和务实的实践经验。现任伟联科技董事长。努力为中国工业信息化、数字化、智能化的深入发展做出贡献。



❤留言赢礼品❤欢迎大家积极留言本篇抽取5位优秀留言：磁吸数据线
选出1位特别优秀者：白瓷茶具


▋ 活动规则规则很简单：

本文下方留言，分享您的看法或者心得（不少于30字），由作者挑选优秀留言5名（公众号只支持100条留言，所以要趁早），送精美礼品一份。（全国包邮）

本期IIoT的5篇文章，每篇都有礼品，每期礼品都有不同哦，期待大家积极参与留言讨论。

5篇文章结束后，作者将从5篇留言中，选出一位优胜者，赠送高档白瓷茶具一套。

所有礼品春节假期结束后，统一安排邮寄。

截止时间：2021年2月22日10点。


往期精选











人气推荐

more+











1.Smart200&V90伺服系统：已更新15课

2.贝加莱直播课程：已更新16课

3.力控科技产品培训：已更新5课
4.剑指工控经典公开课：已更新22课5.新品推荐：已更新3课
6.专家课堂：已更新12课