當前，我國正處在以信息技術、智能制造、新能源和新材料等戰略新興產業為代表的新一輪技術創新浪潮中，傳統工業控制系統與信息技術的結合日益緊密。工業控制網絡（簡稱工控網絡）的價值巨大，但是如果電力、石油、鋼鐵、軌道交通等行業使用的工控網絡出現問題，將造成嚴重后果。因此，工控網絡安全成為學術界、工業界關注的熱點話題。

本章首先介紹工業控制系統（簡稱工控系統）與工業控制網絡的基本概念，并將工業控制網絡與傳統IT信息網絡加以對比；其次介紹并分析國內工控行業的現狀；最后對書中的重要術語進行說明。

1.1 工業控制系統與工業控制網絡概述

為了全面理解工業控制網絡和工業控制系統，我們需要首先了解其基本概念，本節主要介紹工業控制系統和工業控制網絡的基本概念，以及二者的區別和聯系，然后介紹工業控制網絡和傳統IT信息網絡的區別。

1.1.1 什么是工業控制系統

工業控制系統（Industrial Control System, ICS）是指由計算機與工業過程控制部件組成的自動控制系統，它由控制器、傳感器、傳送器、執行器和輸入/輸出接口等部分組成。這些組成部分通過工業通信線路，按照一定的通信協議進行連接，形成一個具有自動控制能力的工業生產制造或加工系統?？刂葡到y的結構從最初的CCS（計算機集中控制系統），到第二代的DCS（分布式控制系統），發展到現在流行的FCS（現場總線控制系統）。隨著智能化工業的發展，基于以太網的工業控制系統得以迅速發展[1]。

根據中華人民共和國公共安全行業標準中的信息安全等級保護工業控制系統標準，可將通用的工業企業控制系統層次模型按照不同的功能從上到下劃分為5個邏輯層，依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層。

根據不同的層次結構劃分，各個層次在工控系統中發揮不同的功能。

在通用的工業企業控制系統中，各層次的功能單元和資產組件映射模型如圖1-1所示。

●企業資源層主要通過ERP系統為企業決策層及員工提供決策運行手段。該層次應重點保護與企業資源相關的財務管理、資產管理、人力管理等系統的軟件和數據資產不被惡意竊取，硬件設施不遭到惡意破壞。

●生產管理層主要通過MES為企業提供包括制造數據管理、計劃排程管理、生產調度管理等管理模塊。該層次應重點保護與生產制造相關的倉儲管理、先進控制、工藝管理等系統的軟件和數據資產不被惡意竊取，硬件設施不遭到惡意破壞。

●過程監控層主要通過分布式SCADA系統采集和監控生產過程參數，并利用HMI系統實現人機交互。該層次應重點保護各個操作員站、工程師站、OPC服務器等物理資產不被惡意破壞，同時應保護運行在這些設備上的軟件和數據資產，如組態信息、監控軟件、控制程序/工藝配方等不被惡意篡改或竊取。

●現場控制層主要通過PLC、DCS控制單元和RTU等進行生產過程的控制。該層次應重點保護各類控制器、控制單元、記錄裝置等不被惡意破壞或操控，同時應保護控制單元內的控制程序或組態信息不被惡意篡改。

●現場設備層主要通過傳感器對實際生產過程的數據進行采集，同時，利用執行器對生產過程進行操作。該層次應重點保護各類變送器、執行機構、保護裝置等不被惡意破壞。

1.1.2 什么是工業控制網絡

目前，工業控制網絡還沒有一個標準的定義。在一些學術文章和相關文獻中，通常將工業控制網絡定義為以具有通信能力的傳感器、執行器、測控儀表作為網絡節點，以現場總線或以太網等作為通信介質，連接成開放式、數字化、多節點通信，從而完成測量控制任務的網絡。

工業控制網絡就是工業控制系統中的網絡部分，是一種把工廠中各個生產流程和自動化控制系統通過各種通信設備組織起來的通信網絡。工業控制系統包括工業控制網絡和所有的工業生產設備，而工業控制網絡只側重工業控制系統中組成通信網絡的元素，包括通信節點（包括上位機、控制器等）、通信網絡（包括現場總線、以太網以及各類無線通信網絡等）、通信協議（包括Modbus、Profibus等）。

從前面的定義可以看出，工控網絡由多個“網絡節點”構成，這些網絡節點是指分散在各個生產現場，具有相應數字通信能力的測量控制儀器。它采用規范、公開的通信協議，把現場總線當作通信連接的紐帶，從而使現場控制設備可以相互溝通，共同完成相應的生產任務。

實現測量監控是工業控制網絡的基本任務，因此工業控制網絡特別強調數據傳輸的完整性、可靠性和實時性，這就要求工業控制網絡能夠提供相應的實時通信功能。

從發展過程來看，工控網絡經歷了從傳統控制網絡到現場總線，再到目前研究非常廣泛的無線網絡以及工業以太網的道路。

20世紀90年代以前，大多數控制系統一般采用專用硬件、軟件和通信協議，有獨立的操作系統，系統之間的互聯要求也不高，因此幾乎不存在網絡安全風險。隨著科技的發展，現場總線技術興起，并已被廣泛應用于連接現場設備，如控制器、傳感器與執行器等，其定義、規格、實現和市場等日趨成熟。

隨著應用需求的提高，現場總線的高成本、低速率、難于選擇以及難于互連、互通、互操作等問題逐漸顯露，將以太網應用于工控網絡構成工業以太網成為解決上述問題的有效手段。現有的工業以太網大致可以分為軟實時工業以太網、硬實時工業以太網、同步硬實時工業以太網以及非實時工業以太網。不同類型的以太網在傳輸率、傳輸距離、實時和非實時調度以及應用模式方面各有不同，可在不同工業場景下發揮其作用。

隨著無線通信技術的發展以及工業生產的需求，無線通信技術也逐漸進入工業控制領域，降低了設備的安裝復雜度，減少了線纜，配置靈活，使用方便。特別是在“智能制造2025”國家戰略的牽引下，智慧工廠蓬勃發展，無線工控網絡將大展拳腳。

目前，我國各領域的關鍵基礎設施、各行業的自動化控制均依賴工業控制系統和工業控制網絡。如工控網絡總線技術應用于先進的城軌交通中，它不僅被應用于牽引、制動、空調、照明和通風等系統的控制，還應用于系統的故障診斷分析以及車輛行為安全相關的一些檢測設備，如火災報警等，并能根據需要對設備進行遠程控制。因此，工控網絡的安全性是一切涉及國計民生事件平穩運行的前提。

但是，多年來企業更關注管理傳統網絡領域的安全問題，許多企業對工業控制網絡安全存在認識上的誤區：認為工業控制網絡沒有直接接入互聯網，入侵者無法通過工業控制網絡攻擊工業控制系統。而實際的情況是，企業的許多控制網絡都是“開放的”，系統之間沒有有效的隔離。進一步，采用最新技術的黑客和惡意軟件甚至可以有效入侵物理隔離的網絡。因此，隨著信息化的推動和工業化進程的加速，工廠信息網絡、移動存儲介質、因特網等其他因素導致的信息安全問題正逐漸向工業控制網絡擴散，這將直接影響工控網絡的安全與穩定，必須引起足夠的重視。

1.1.3 工業控制網絡與傳統IT信息網絡

從大體上看，工業控制網絡與傳統IT信息網絡在網絡邊緣、體系結構和傳輸內容三大方面有著主要的不同[2]。

●網絡邊緣不同：工控系統在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠動裝置，而不是IT系統邊緣的通用計算機，兩者之間在物理安全需求上差異很大。

●體系結構不同：工業控制網絡的結構縱向高度集成，主站節點和終端節點之間是主從關系。傳統IT信息網絡則是扁平的對等關系，兩者之間在脆弱節點分布上差異很大。

●傳輸內容不同：工業控制網絡傳輸的是工業設備的“四遙信息”，即遙測、遙信、遙控、遙調。

此外，還可以從性能要求、部件生命周期和可用性要求等多方面，進一步對二者進行對比，詳細內容如表1-1所示。

工業控制系統安全涉及計算機、自動化、通信、管理、經濟、行為科學等多個學科，同時擁有廣泛的研究和應用背景。

兩化融合后，IT系統的信息安全也被融入了工控系統安全中。不同于傳統的生產安全（Safety），工控系統網絡安全（Security）是要防范和抵御攻擊者通過惡意行為人為制造生產事故、損害或傷亡?？梢哉f，沒有工控系統網絡安全就沒有工業控制系統的生產安全。只有保證了系統不遭受惡意攻擊和破壞，才能有效地保證生產過程的安全。雖然工業控制網絡安全問題同樣是由各種惡意攻擊造成的，但是工業控制網絡安全問題與傳統IT系統的網絡安全問題有著很大的區別。