工控安全,是指针对工业控制系统进行网络安全保障的相关工作。由于工控系统与一般的民用办公系统、Web系统等都有很大不同,因此想要做好工控安全工作,需要掌握很多工业控制领域的专业知识和能力,具体包括资产识别、工控协议、工业安全检测(漏洞挖掘)、工业自动化、主机安全、典型应用场景安全等6大类、22小类、141项具体能力。
一、资产识别
资产识别,是指在网络系统中,能够准确的识别出工业设备或工业系统的生产厂商、系列、型号、版本、工程等关键信息。资产识别能力是工控安全策略实施的重要基础,主要包括工控嵌入式设备识别、工控网关识别、国内外主流工控厂商设备识别等4小类47项具体能力。
工控嵌入式设备:PLC、RTU、DCS。
工控网关:Moxa、Secomea、Advantech、HMS。
国外主流工控厂商设备识别:西门子、施耐德电气、罗克韦尔、艾默生电气、三菱电机、霍尼韦尔、欧姆龙、贝加莱、菲尼克斯、倍福、通用电气、横河、发那科、红狮、ABB、江森自控、赫斯曼、和泉、松下、万科思、光洋、菲尼克斯、基恩士。
国内主流工控厂商设备识别:研华科技、台达电子、北京和利时、浙江中控、汇川技术、永宏、信捷电气、上海新华、南大傲拓、大工计控、步科、安控科技、南京科远、上海宝信、华龙讯达、蓝普锋、英威腾。
二、工控协议
工控协议,是指在工业控制系统中所使用的主要协议和标准。对于工控安全的建设与运营者来说,需要掌握工控协议的解析能力,并能够根据解析出来的信息,检测出敏感的高风险操作和系统的异常运行状态等与安全相关的重要信息。工控协议能力共包括3小类、26项具体能力。
协议解析:Modbus、S7、S7 Plus、MMS、DNP3、Ethernet/IP、CIP、GOOSE、OMRON_TCP/UDP、HL7、DICOM。
敏感操作:工程上载、工程下载、设备启动、设备停止、置空置位、工程清空、CPU诊断、设置时钟。
异常检测:规约检测、畸形检测、时域分析、频域分析、值域分析、工业IPS、行为建模。
三、工业安全检测
工控安全检测,主要是指针对工业系统进行网络安全检测或漏洞挖掘的相关工作。进行工控安全检测,主要要求工程师具备固件模拟、总线安全、介质安全、模糊测试、硬件安全、工控渗透、终端测试等7个小类、30项具体能力。
固件模拟:QEMU、Unicorn。
总线安全:CAN、1553B、ARINC 429。
介质安全:USB、蓝牙、串口、ZigBee、NFC、无线电。
模糊测试:网络Fuzz、终端Fuzz、Web Fuzz、基于终端路径覆盖的网络Fuzz。
硬件安全:固件提取、硬件接口。
工控渗透:技法设计、敏感操作、工控漏洞、抵近攻击、痕迹清理、合规检测。
终端测试:VxWorks、QNX、FPGA、DSP、PLC、RTU、DCS。
四、工业自动化
工业自动化,在这里是指工业编程软件、工业组态软件和工业数据库软件等与工业自动化相关的开发与运营软件的集合。工控安全工作要求工程师能够熟练使用这3小类17款主流工业自动化相关软件,从而能够为工控系统设计安全机制、开发安全软件、挖掘系统漏洞,分析运营状态、设计应急措施。
工控编程软件:Omron CX-Programmer(简称:CX-P)、Rockwell RSLogix 5000 Professional/Network Edition(简称:RSLogix 5000)、Schneider Unity Pro XL(简称:Unity Pro XL)、Siemens Totally Integrated Automation(简称:TIA)、Siemens SIMATIC Manager STEP 7 S7/M7/C7(简称:STEP 7)、GE Proficy Machine Edition(简称:PME)。
工业组态软件:Siemens WinCC(简称:WinCC)、力控 ForceControl(简称:FC)、和利时 AutoThink(简称:AutoThink)、浙大中控 GCSContrix(简称:GCSContrix)、GE ifix(简称:ifix)、Honeywell DesignerSoftware(简称:HC Designer)。
工业数据库软件:Software Toolbox TOP Server(简称:TOP Server)、OSIsoft PI System(简称:PI)、Kepware (PTC) KEPServerEX(简称:KEPServer)、GE Digital Proficy Historian(简称:Proficy Historian)、Inductive Automation Ignition(简称:Ignition)。
五、主机安全
主机安全,是指对工业主机进行网络安全防护。主机安全要求工程师能够熟知7类最流行的工业病毒的运行原理、识别方法和查杀方法,同时掌握如何在工业主机上构建“白环境”并对其进行有效的运营和管理。主机安全共要求掌握2个小类、11项具体能力。
工业病毒:Stuxnet、Dequ、Flame、Havex、BlackEnergy2、BlackEnerty3、Triton。
白环境:进程白名单、网络白名单、文件系统白名单、外设白名单。
六、典型应用场景安全
典型应用场景安全,是指当前工控系统应用最为广泛、最为常见的行业领域和生产场景下的网络安全防护。具体场景主要包括发电、电网、核电等电力领域,汽车、飞机、轮船等的智能驾控领域,以及油气、制造、医疗设备、武器装备等其他主要应用场景,合计包括3小类、10项具体能力。
电力:发电、电网、核电。
智能驾控:汽车、飞机、轮船。
其他场景:油气、制造、医疗设备、武器装备。
原创 励行安全
![[密码管理/信息安全] 密码管理工具:KeePass vs LastPass vs 1Password [转]](https://blog-static.cnblogs.com/files/johnnyzen/cnblogs-qq-group-qrcode.gif?t=1679679148)
