信息安全工程复习

1. 信息安全工程导论

1.1 数据、信息与知识

数据：反映事物的基本事实

定义: 反映客观事物运动状态的信号通过感觉器官或观测仪器感知，形成了文本、数字、事实或图像等形式的数据

数据是最原始的记录,未被加工解释

没有回答特定的问题，反映事物的某种运动状态

与其它数据之间未建立相互联系，是分散和孤立的。

信息：对数据加工，能够对决策起辅助作用

信息价值在于:减少数据的不确定性（熵）

利用信息技术对数据进行加工处理，使数据之间建立相互联系，形成回答了某个特定问题的文本，并被解释具有某些意义的数字、事实、图像等形式的信息

它包含了某种可能的因果关系的理解

能够反映一定的事物特质或特征

回答“”“什么”“哪里”或“何时”等问题

知识：反映事先本质和规律

知识是反映事物本质和规律，可用于指导实践的信息是人们在改造世界实践中获得的认识和经验的总和。

知识又分为显性知识和隐性知识 显性知识是已经或可以文本化的知识，并易于传播 隐性知识是存在于个人头脑中的经验或知识，需要进行大量的分析、总结和展现，才能转化成显性知识

知识对于科学决策至关重要

三者的联系与区别

举例

1.2 信息系统

信息系统定义:

信息系统是采用信息技术将人员、数据、过程加以融合，具有数据采集(输入)、处理、存储、管理和信息输出功能，以支持个人、组织或行业完成特定目标和使命的系统。系统的输出具有反馈功能，以使系统更好地完成期望的目标。

信息技术 (IT) :

主要包括计算机技术(软件、硬件)、数据处理技术和通讯技术。有时又称为ICT(Info Comm Tech)。

信息系统计算方式：

1. 集中计算模式：单主机-单终端、单主机-多终端、文件服务器计算模式(早期)。
2. 分布式计算机模式：数据分布、计算分布、并行计算、网格计算(多一)模式。
3. 先进计算模式：大数据、云计算、雾计算、边缘计算、移动计算(BYOD)等。

1.3 云计算的3种基本模式

1. IaaS（基础设施即服务）：
   • 特点：提供计算基础设施，如虚拟机、存储、网络等，以供用户部署应用程序。
   • 用户对象：主要面向系统管理员和 IT 运维团队，需要更多的控制权和自定义能力。
   • 供应商职责：提供虚拟化资源、资源监控、负载管理、数据管理、资源部署、安全管理、计费管理等功能。
   • 例子：Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)。
2. PaaS（平台即服务）：
   • 特点：提供开发平台、运行环境、开发工具等，使开发人员能够轻松编写和部署应用程序。
   • 用户对象：主要面向开发人员，减轻了底层基础设施管理的负担。
   • 供应商职责：提供友好的开发环境、丰富的服务、自动的资源调度、管理和监控等功能。
   • 例子：Google App Engine、Heroku、Red Hat OpenShift。
3. SaaS（软件即服务）：
   • 特点：提供完整的应用程序作为服务，用户通过互联网浏览器访问，无需安装、配置或维护软件。
   • 用户对象：主要面向普通用户和企业，消除了软件和硬件管理的需要。
   • 供应商职责：部署应用软件、提供安全保障、多租户支持等功能。
   • 例子：Salesforce、Microsoft 365、Google Workspace。

这三种模式的异同点如下：

• IaaS提供基础计算资源，PaaS提供开发和运行环境，SaaS提供完整的应用程序。
• IaaS主要面向系统管理员，PaaS主要面向开发人员，SaaS主要面向普通用户。
• 供应商在不同模式下承担不同的职责，包括提供基础设施、开发工具、应用软件和相应的管理功能。
• 这些模式的选择取决于用户需求和技术栈，可以根据具体需求进行组合或单独使用。

云计算的3种基本模式

1.5 云计算的特征

特征：

• 按需自助服务
• 泛在接入
• 资源池化
• 快速伸缩性
• 服务可计量（付费）

1.6 边缘计算的概念和特征

边缘计算(Edge Computing)模式：设备计算

• 亦是物联网环境下的计算概念
• 物计算:贴近数据源 - 控制器、飞机、汽车、摄像头
• 设备既是数据的消费者，也是提供者: 如汽车报路况
• 设备上的专用和家用操作系统掌握计算 ( 如手机 )
• 从云推出，从设备上拉出
• 使能技术: 虚拟机( VM ) 、容器、软件定义网络( SDN) 、内容分发网络 ( CDN )

特征：

• 延迟最小
• 实时数据处理
• 运维成本低
• 侧重设备侧数据源
• 传输数据少，网络流量低

1.7 网络空间安全宏观管理机构

落实习近平主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”，阐明中国关于网络空间发展和安全的重大立场。

目标：

以总体国家安全观为指导，贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识，统筹国内国际两个大局，统筹发展、安全两件大事，积极防御、有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。

十八大后，成立了成立中央网络安全和信息化领导小组；十九大，升格中央网络安全和信息化委员会。

2. 安全能力成熟度模型（SSE-CMM）

系统安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model），描述了一个组织的系统安全工程过程必须包含的基本特征，这些特征是完善的安全工程保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。

适用范围：

• SSE-CMM涉及到可信产品或者系统整个生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。
• SSE-CMM可应用于所有安全产品开发商、安全系统开发商和集成商，以及提供安全服务提供和安全工程实施机构。
• SSE-CMM可应用于所有类型和大小的安全工程机构，如商务机构、政府机构和学术机构。

期待结果：

• 改进可预见性
• 改进可控制性
• 改进过程有效性

2.1 安全工程过程

过程（Process）：

为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发地执行。

过程域（Process Area，PA）：

由一些集成的基本措施(Base Practices，BP)组成，BP定义了实现过程域目标的必要活动，这些BP共同实施以达到PA的目标。 SSE-CMM 包含三类过程域：工程、项目和组织。

SSE-CMM将安全工程划分为三个基本的过程域：风险、工程及保证三个区域：

• 风险过程:是要确定产品或者系统的风险，并对这些风险进行优先级排序
• 工程过程:是针对面临的风险，安全工程过程与相关工程过程一起来确定并实施解决方案
• 保证过程:是建立起对解决方案的信任，并把这种信任传达给用户

系统安全过程组成

2.1.1 风险过程

风险即有害事件发生的可能性。一个有害事件由三个部分组成:威胁、脆弱性和影响。

风险管理过程

2.2.2 保障过程/保证过程

保证是指安全需要得到满足的信任程度。SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。

系统保证过程

2.2.3 工程过程

安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。

SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。

系统工程过程

2.2 安全事件

2.3 SSE-CMM体系结构 🤔

SSE-CMM体系结构采用了两维结构，通过域维描述了安全工程的各种实践活动和过程，通过能力维评估了组织的能力水平。这样的结构可以帮助组织识别其安全工程的现状，制定改进计划，并逐步提高其安全工程的成熟度。

2.3.1 “域”维

这是SSE-CMM体系结构的横轴，它包括了定义安全工程的所有实践活动。域维汇集了大约60项基本实施（BP，Base Practice），并将它们组织成11个过程域（PA）。这些过程域可能出现在安全系统生命周期的不同阶段，没有规定它们的先后顺序。在域维中，SSE-CMM总共包括130个基本实践，分布在22个过程域中。其中，62个基本实践分布在安全工程领域的11个过程中，其余68个基本实践分布在11个描述项目和组织的过程域中。

2.3.2 “能力”维

这是SSE-CMM体系结构的纵轴，代表组织的能力。它由过程管理与制度化能力构成，共设置6个能力级别。每个能力级别由一组能够反映过程能力变化的公共特征（CF，Common Feature）来定义，这些CF适用于所有过程域。每一个CF又可以由若干项通用实施（GP，Generic Practice）来描述。

2.4 各过程中包含的过程域（PA） 🤔

2.5 能力等级

SSE-CMM定义了五个能力等级：

1. 初始级、非正式实施（Level 1）：安全活动是非正式和不连贯的。
2. 可重复级、计划和跟踪（Level 2）：安全活动是可计划的、可重复的，但可能局限于单个项目。
3. 定义级、充分定义（Level 3）：安全活动是基于组织标准的，被文档化和理解。
4. 管理级、定量控制（Level 4）：使用定量的方法来衡量和改进安全过程。
5. 优化级、持续改进（Level 5）：不断优化和改进安全过程。

能力等级

能力级别（中文）

2.6 过程域的格式

过程域描述格式

3. 等级保护

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求.pdf

3.1 等保的发展历程

中国的网络安全等级保护（简称等保）制度自1994年起步，经历了从等保1.0到等保2.0的发展过程，并展望着未来的持续完善。下面是对这一发展历程及未来展望的总结：

等保1.0时代

• 1994年：《中华人民共和国计算机信息系统安全保护条例》颁布，实行安全等级保护。
• 2003年：《国家信息化领导小组关于加强信息安全保障工作的意见》发布，明确实行信息安全等级保护。
• 2004-2006年：开展等级保护基础调查和试点工作。
• 2007年：发布《信息安全等级保护管理办法》，开展全国重要信息系统安全等级保护定级工作。
• 2010年：推动信息安全等级保护测评体系建设，出台相关通知。

等保2.0工作

• 2016年：第五届全国信息安全等级保护技术大会召开，标志着等级保护进入2.0时代。
• 《中华人民共和国网络安全法》颁布，实行网络安全等级保护制度。
• 等保新标准研究启动，发布《网络安全等级保护基本要求》系列标准和《网络安全等级保护测评要求》等标准。

展望

• 法律层面的提升：《中华人民共和国网络安全法》规定国家实行网络安全等级保护制度。
• 保护对象的拓展：随着新技术的涌现，保护对象将不断拓展，包括大数据、云计算、物联网等。
• 工作内容的扩展：包括风险评估、安全监测、数据防护、灾难备份等多方面措施的实施。
• 体系的重大升级：建立完善的等级保护政策体系、标准体系、测评体系、技术体系等。

总结来说，中国的网络安全等级保护制度从最初的基础设施保护起步，经历了系统的建设和完善，逐步发展成为一个全面的网络安全管理体系。在未来，随着技术的发展和网络安全威胁的日益复杂化，等保制度将不断丰富和扩展，以应对新的挑战和需求。

3.2 等保1.0和2.0的比较

3.3 等保重要概念

1. 安全保护能力：能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
2. 云计算：通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。
3. 移动互联：在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
4. 无线接入网关：部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。
5. 物联网：将感知节点设备通过互联网等网络连接起来构成的系统。
6. 工业控制系统：工业控制系统(ICS)是一个通用术语，它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC)，现已广泛应用在工业部门和关键基础设施中。
7. 等级保护对象：等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IOT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

3.4 安全保护能力：1-5级

不同级别的安全保护能力，从第一级到第四级，主要体现在对抵御威胁的能力、恢复受损功能的能力以及安全事件的监测和处理能力。每一级的安全保护能力针对的威胁源和恢复能力有所不同。

以下是1-4级安全保护能力的总结概述：

第一级安全保护能力

• 针对威胁：个人、拥有很少资源的威胁源的恶意攻击和一般自然灾难。
• 恢复能力：在受损后能够恢复部分功能。
• 特点：基础级别的安全保护，适合面对较低级别的安全威胁。

第二级安全保护能力

• 针对威胁：外部小型组织、拥有少量资源的威胁源的恶意攻击和一般自然灾难。
• 恢复能力：能发现重要安全漏洞和处置安全事件，受损后在一定时间内恢复部分功能。
• 特点：中级防护，提供更全面的安全监测和部分恢复能力。

第三级安全保护能力

• 针对威胁：外部有组织团体、拥有较丰富资源的威胁源的恶意攻击和较严重自然灾难。
• 恢复能力：及时发现和监测攻击行为和安全事件，受损后可快速恢复绝大部分功能。
• 特点：高级防护，对抗组织化、资源丰富的威胁，具备快速恢复能力。

第四级安全保护能力

• 针对威胁：国家级别敌对组织、拥有丰富资源的威胁源的恶意攻击和严重自然灾难。
• 恢复能力：及时发现和监测攻击和安全事件，受损后迅速恢复所有功能。
• 特点：最高级防护，能够应对极端严重的安全威胁，具有全面的恢复能力。

第五级安全保护能力

• 特点：略。

安全等保能力

3.5 等保3级的基本要求

1. 物理环境
2. 计算环境
3. 区域边界
4. 通信网络
5. 管理中心
6. 管理制度
7. 管理机构
8. 管理人员
9. 建设管理
10. 运维管理

3.6 等保3级的扩展要求

1. 云计算安全
2. 移动互联安全
3. 物联网安全
4. 工控系统安全

3.7 🌟等保的标准体系

1. GB/T 22240-2020《信息系统安全等级保护定级指南》：等级划分的依据
2. GB/T 22239-2019《信息系统安全等级保护基本要求》：1-5级的通用要求、扩展要求
3. GB/T 25058-2019《信息系统安全等级保护实施指南》：定级与备案、总体安全规划、设计实施、运行维护
4. GB/T 25070-2019 《信息系统等级保护安全设计技术要求》：技术框架、1-5级系统安全计算环境设计技术要求、访问控制机制
5. GB/T 28449-2018《信息系统安全等级保护测评过程指南》：测评准备、方案编制、现场测评、报告编制
6. GB/T 28448-2019 《信息系统安全等级保护测评要求》：测评指标、测评对象、测评实施、单元判定；云、移动、物联网、工控

4. 边缘计算

4.1 边缘计算的概念

边缘计算指的是接近于事物、数据和行动源头处的计算。进行边缘计算的载体，可以是具有专项处理能力的物联网终端，具有一定运算能力的网关或路由器，或者是具有较强运算能力的部署于场景一侧的服务器。

4.2 🌟边缘计算的特征

1. 分布式和低延时

   边缘计算由于靠近数据接收源头，所以能够实时地获取数据并进行分析处理，能够更好地支撑本地业务的实时智能化处理与执行。

2. 效率更高

   边缘计算距离用户更近，可以在边缘节点处就实现对数据的过滤和分析，不需要等待数据传输的时间因此效率会更高。

3. 缓解流量压力

   边缘计算在进行云端传输时通过边缘节点进行一部分简单数据处理，当面对大量数据时，可以采用一定的压缩算法，提取到有用信息之后再进行传输，能够大量节省数据带宽的消耗。

4. 安全性更高

   边缘计算在接收到数据之后，可以对数据加密之后再进行传输，提升了数据的安全性。

5. 依赖数据端处理芯片的性能

   边缘计算在接收到数据之后，需要独立进行数据处理，如果芯片性能不足，则无法处理复杂的数据处理算法。

6. 需要规范边缘计算输出的数据

   采用边缘计算技术的设备由于会广泛的分布在各数据节点，可能会出现不同的处理算法，需要标准来规范输出的数据格式，否则不利于云端数据再处理。

4.3 云计算系统的建设方案与设备选型 🤯

以下由ChatGPT生成：

云计算系统的建设方案和设备选型是一个涉及众多技术和商业因素的复杂过程。在这个过程中，需要考虑的关键因素包括系统的规模、预期的性能、可用性、安全性、成本效益以及未来的可扩展性。以下是对云计算系统建设方案和设备选型的具体分析：

1. 系统架构设计

• 公有云、私有云还是混合云：根据业务需求和数据隐私的要求，确定是搭建私有云、使用公有云服务，还是混合云的结合。
• 多租户支持：对于提供服务的云平台，考虑是否需要多租户支持以实现资源共享和成本效率。
• 高可用性设计：确保系统的高可用性和灾难恢复能力，例如通过在多个地理位置部署数据中心。

2. 计算资源

• 服务器选型：选择高性能的服务器，考虑到处理器的核心数、内存容量和I/O性能。
• 虚拟化技术：选择适合的虚拟化平台，如VMware, Hyper-V, KVM等，根据资源需求和性能特性进行配置。

3. 存储系统

• 存储类型：根据需要选择SAN、NAS或直接附加存储（DAS）。
• 性能和容量：考虑数据存储的性能需求（如IOPS）和容量规划。
• 数据备份与恢复：确保有有效的数据备份和恢复机制，如使用RAID、镜像或快照技术。

4. 网络设备

• 带宽需求：评估网络带宽需求，确保网络架构能够满足数据传输的需求。
• 网络安全设备：包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等，确保网络的安全。

5. 安全考虑

• 物理安全：确保数据中心的物理安全，如门禁系统、视频监控等。
• 网络安全：包括加密、认证、访问控制等策略，以保护数据和交易的安全。
• 合规性：确保系统符合相关法规和标准的要求，如GDPR、PCI DSS等。

6. 运维管理

• 监控系统：部署系统监控工具以实时监控资源使用情况、性能指标和系统健康状况。
• 自动化工具：使用自动化工具进行系统部署、配置和管理，提高运维效率。

7. 成本与预算

• 成本效益分析：在满足技术需求的同时，进行成本效益分析，确保项目在预算内实施。
• 能耗管理：考虑数据中心的能源效率，采用节能技术减少运营成本。

结论

云计算系统的建设是一个需要全面考虑技术、安全、管理和成本等多个方面的综合性工程。在设备选型时，需要平衡性能、可靠性、可用性和成本等因素，确保系统既能满足当前需求，又具备未来的可扩展性和可持续性。

5. 工控系统

5.1 🌟工控系统安全：5层架构

从4-0层分别为：

1. 企业资源层：应保护与企业资源相关的财务管理资产管理、人力管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。
2. 生产管理层：应保护与生产制造相关的仓储管理先进控制、工艺管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏。
3. 过程监控层：应保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏，同时应保护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取
4. 现场控制层:应保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制单元内的控制程序或组态信息不被恶意篡改。
5. 现场设备层：保护各类变送器、执行机构、保护装置等不被恶意破坏。

5.2 工控系统的主要组成

5.2.1 可编程逻辑控制器（PLC）

基础知识与概念：可编程逻辑控制器（Programmable Logic Controller，PLC）是一种用于工业自动化的电子设备，可以根据用户编程的逻辑来控制各种机器或生产过程。它通常用于控制单个过程或机器。

特点：

• 灵活性：用户可以根据需要编程和重新编程PLC，以适应不同的应用场景。
• 稳定性和可靠性：PLC设计用于在恶劣的工业环境下运行，具有高度的稳定性和可靠性。
• 易于维护：PLC通常配备了故障诊断功能，便于维护和排错。

5.2.2 分布式控制系统（DCS）

基础知识与概念：分布式控制系统（Distributed Control System，DCS）是一种用于复杂工业过程和系统的控制和管理的自动化系统。它通过分布在整个工厂的控制单元进行集中管理和控制。

特点：

• 集中管理：在一个中心或几个小的控制中心，可以监控和控制分布在不同位置的工艺流程。
• 高度可靠：系统设计强调冗余性和故障容错能力，保证连续生产过程的稳定性。
• 适用于大型复杂系统：特别适合于需要连续运行的大型复杂工业过程，如石油炼制、化工、电力等。

5.2.3 数据采集与监视控制系统（SCADA）

基础知识与概念：数据采集与监视控制系统（Supervisory Control And Data Acquisition，SCADA）用于监视和控制工业、基础设施或设施型的过程。这些系统收集来自各种传感器的实时数据，用于监控和控制目标系统。

特点：

• 远程控制能力：SCADA系统能够远程监控和控制分布在广泛区域的设备，如管道、电网等。
• 实时数据采集和处理：提供实时的过程控制和监视，以及对数据的实时分析。
• 图形用户界面：SCADA系统通常具有图形用户界面（GUI），便于操作员监视和控制过程。

5.3 工控系统安全域的特殊要求

工控系统（工业控制系统，Industrial Control System，ICS）

目前，在工业领域中使用的工业控制系统的安全要求与传统信息系统安全要求相比具有一些特殊性，主要体现在以下几个方面：

特殊要求1

特殊要求2

5.4 工控系统常用的通信协议

工控系统中常用的通信协议包括Modbus、Profibus、EtherCAT、CANopen、DeviceNet等。这些协议被设计用于在工业自动化环境中进行设备之间的数据交换。

Modbus 协议信息帧的内容

Modbus协议支持两种传输模式：ASCII和RTU。两种模式的信息帧结构略有不同，但基本组成部分相似：

1. 起始标志：在ASCII模式中，信息帧以冒号“:”开头；在RTU模式中，信息帧的开始是由一段静默时间（3.5个字符的时长）表示。

2. 地址字段：标识信息的目标设备（在Modbus网络中的从设备）。

3. 功能码字段：指明请求的类型或从设备应执行的操作。

4. 数据字段：包含额外的数据信息，如要读取或写入的寄存器的地址和数量。

5. 错误校验字段：在ASCII模式中使用LRC（纵向冗余校验），在RTU模式中使用CRC（循环冗余校验）。

6. 终止标志：在ASCII模式中，信息帧以回车换行符结束；在RTU模式中，以3.5个字符的静默时间表示。

Modbus 协议的传输过程

1. 通信建立：在Modbus协议中，通信是基于主-从（或客户端-服务器）模型的。一台设备（主设备）发起请求，其他设备（从设备）响应这些请求。

2. 数据帧结构：数据帧包括地址字段、功能码、数据和错误检查。地址字段指定从设备的地址；功能码确定请求的类型或要执行的操作；数据部分包含额外的信息，如寄存器的地址和数量；错误检查用于验证数据的完整性。

3. 信息发送：主设备通过网络发送一个包含目标设备地址、功能码和必要数据的请求。

4. 从设备响应：被寻址的从设备执行请求的动作并返回响应。响应可能包括所请求的数据、确认或错误消息。

5. 错误处理：如果从设备检测到请求中的错误，它会返回一个错误响应。主设备需要能够处理这些错误响应。

6. 结束通信：数据传输完成后，通信结束，直到主设备发起新的请求。

在工控系统中使用Modbus协议的原因

1. 简单性和可靠性：Modbus协议简单且稳定可靠，易于实现和维护。

2. 灵活性：Modbus支持多种传输模式，包括串行通信（如RS-232、RS-485）和TCP/IP网络。

3. 开放标准：作为一个开放标准，Modbus易于与各种设备和品牌兼容。

4. 成本效益：由于其开放性和简单性，实现Modbus协议的成本相对较低。

5. 广泛应用：Modbus在工业环境中被广泛应用，因此有大量现成的工具和库可供使用。

Modbus 协议的安全隐患

尽管Modbus是一种广泛使用的工业通信协议，但它本身并不包含任何特定的安全特性，这使得它面临着几个安全隐患：

1. 无认证机制：Modbus协议不提供任何认证机制，任何知道设备地址的人都可以发送命令。

2. 无加密：数据传输没有加密，容易被拦截和篡改。

3. 易受重放攻击：由于缺乏序列号或时间戳，攻击者可以重放之前捕获的信息帧以引发不当行为。

4. 拒绝服务攻击：由于协议的简单性，攻击者可以通过发送大量请求或错误配置命令来轻松地对设备进行拒绝服务攻击。

5. Man-in-the-Middle攻击：由于数据传输未加密，攻击者可以在通信过程中修改信息帧的内容。

由于这些安全隐患，Modbus协议在使用时需要额外的安全措施，如在网络层使用VPN进行加密，或在应用层增加额外的安全机制，以确保数据的安全和完整性。在关键的工业环境中，建议结合其他安全技术和协议来弥补Modbus协议的安全不足。

5.5 工控系统的脆弱性 🤯

一下为ChatGPT生成：

工控系统的脆弱性分析是一个涉及多个方面的复杂过程，包括体系架构、运维管理、软件、通信协议、策略与过程、平台和网络等多个层面。以下是对这些方面的具体分析：

1. 体系架构

• 集中控制：许多工控系统采用集中式控制架构，一旦中心节点受损，可能会影响整个系统的运行。
• 老旧系统：许多工控系统运行的是老旧的硬件和软件，这些系统可能不支持最新的安全措施，更容易受到攻击。

2. 运维管理

• 缺乏安全意识：工控系统的操作人员可能缺乏必要的网络安全知识，容易忽视安全警告。
• 维护更新困难：由于系统的连续运行要求，对系统进行定期的安全更新和维护可能较为困难。

3. 软件

• 软件漏洞：工控系统中使用的软件可能存在漏洞，包括操作系统和应用程序。
• 第三方组件：使用的第三方软件组件可能包含安全漏洞，但却难以及时得到修复。

4. 通信协议

• 无加密通信：如Modbus、Profibus等工控协议不支持加密，数据传输容易被截获和篡改。
• 协议漏洞：一些协议本身可能存在设计上的缺陷，容易被利用执行攻击。

5. 策略与过程

• 缺乏标准化：工控系统可能缺乏统一的安全政策和标准操作程序。
• 应急响应不足：在应对网络攻击和系统故障时，可能缺乏有效的应急响应计划。

6. 平台

• 硬件平台脆弱性：工控系统中使用的硬件可能存在物理安全漏洞，如未经授权的物理访问。
• 平台依赖性：工控系统通常高度依赖特定的硬件和软件平台，一旦这些平台出现问题，整个系统可能面临风险。

7. 网络

• 网络隔离不足：工控网络与企业IT网络隔离不充分，一旦IT网络受攻击，可能会波及到工控系统。
• 无线通信漏洞：使用无线通信的工控系统可能受到信号干扰或非法接入的风险。

总结

工控系统的脆弱性是多方面的，涉及从物理层面到网络层面的多个方面。有效提升工控系统的安全性需要综合考虑这些方面，实施全面的安全策略和措施。这包括提升安全意识、加强系统的定期更新和维护、确保软件和硬件的安全性、加强通信协议的安全保护、制定标准化的操作过程和应急响应计划，以及加强网络安全和物理安全措施。

5.6 🌟对工控系统的攻击

针对信息系统（IT）和工控系统（ICS）的攻击手段，其异同点可以从以下几个关键方面进行总结比较：

目标优先级

1. 信息系统：
   • 保密性：首要目标。重点是保护用户信息，防止数据泄露。
   • 完整性：次要目标。确保数据未被未授权修改。
   • 可用性：虽重要，但优先级较低。
2. 工控系统：
   • 可用性：首要目标。系统停机或误操作会导致严重后果。
   • 完整性：次要目标，保证系统运作的正确性。
   • 保密性：通常是次要考虑。因为工业数据本身价值在于其应用，而非内容本身。

攻击目的不同

1. 信息系统攻击：
   • 针对保密性：如病毒、木马、钓鱼攻击，数据盗窃等。
   • 针对完整性：如篡改攻击，恶意软件。
   • 针对可用性：如拒绝服务攻击（DDoS）。
2. 工控系统攻击：
   • 针对可用性：攻击目的是干扰或停止生产线，如系统崩溃、逻辑炸弹等。
   • 针对完整性：攻击可能导致设备损坏或误操作，如程序篡改。
   • 针对保密性：虽然重视程度较低，但也可能存在窃取敏感操作数据的风险。

实时性和稳定性的要求

• 工控系统：对实时性的要求更高，常常需要毫秒级响应，对稳定性和持续操作的要求也更为严格。
• 信息系统：对实时性的要求相对较低，秒级响应通常可接受。

攻击技术

• 工控系统：攻击手段更倾向于利用特定协议和程序的弱点，如协议分析和程序入侵。
• 信息系统：攻击手段更多样，包括但不限于网络钓鱼、密码攻击、漏洞利用等。

总结

总的来说，针对信息系统和工控系统的攻击手段有着显著的区别。信息系统的攻击更多地集中在数据的保密性和完整性上，而工控系统的攻击则更注重对系统可用性的破坏和实时性的干扰。这些差异反映了两类系统在目标、应用场景和技术要求上的本质区别。

6. 安全事件

6.1 安全事件三要素的概念解释

1. 威胁 (Threat)：
   • 定义：任何可能利用脆弱性对信息系统造成损害的行为或事件。这些可以是故意的攻击（如黑客、内部人员破坏）或非故意的事件（如自然灾害、系统故障）。
   • 特点：威胁可以来源于内部或外部，具有不确定性和潜在的破坏性。
2. 脆弱性 (Vulnerability)：
   • 定义：在信息系统的资产或控制措施中存在的弱点，这些弱点可能被威胁利用。
   • 特点：脆弱性是系统的内在属性，可以是技术上的（如软件漏洞）、管理上的或物理上的。
3. 影响 (Impact)：
   • 定义：威胁实现后对组织或系统造成的损害程度。这可以是数据丢失、财务损失、业务中断或声誉损害。
   • 特点：影响可以是正向的（罕见，如意外的正面后果）或负向的（常见，如数据泄露导致的损害）。

6.2 PA02-PA05：4个过程

风险管理过程

PA02-评估影响

• BP02.01：对影响进行优先级排列
• BP02.02：识别系统资产
• BP02.03：选择影响的度量标准
• BP02.04：标识度量标准关系
• BP02.05：识别和特征化影响
• BP02.06：监视影响

PA03-评估安全风险

• BP03.01：选择风险分析方法
• BP03.02：识别暴露
• BP03.03：评估暴露的风险
• BP03.04：评估总体不确定性
• BP03.05：风险优先级排列
• BP03.06：监视风险及其特征

PA04-评估威胁

• BP04.01：识别自然威胁
• BP04.02：识别人为威胁
• BP04.03：识别威胁的测量块
• BP04.04：评估威胁影响的效力
• BP04.05：评估威胁的可能性
• BP04.06：监视威胁及其特征

PA05-评估脆弱性

• BP05.01：选择脆弱性分析方法
• BP05.02：识别脆弱性
• BP05.03：收集脆弱性数据
• BP05.04：合成系统脆弱性
• BP05.05：监视脆弱性及其特定

7. 数字孪生

7.1 产品数字变生模型标识

• 标识方式：采用前缀加上7位以上的标识符来唯一标识产品的数字化版本。
• 数字签名算法：用于验证产品的数字化实体、产品设计图纸和审批管理过程。数字签名确保了文件的真实性和完整性。

7.2 传输数据

加密算法：

• 单钥加密算法：用于保护数据的保密性，如使用DES（数据加密标准）加密算法对文档内容进行加密。
• 双钥加密算法：用于加密传输过程中的密钥。通常采用非对称密码加密方法（如RSA），保证密钥的安全传输。

解密过程：系统使用私钥解密出DES的密钥，然后利用这个密钥对加密的文本进行解密和解析。

7.3 控制指令生成

加密控制指令：数字化实体向物理实体发送的控制指令需要加密处理，以保证指令的安全性和保密性。

7.4 协同训练

联邦学习：在多方协作的数据模型训练中，使用联邦学习技术。在这种方法中，数据保留在本地，不需要共享给其他参与者，只有训练后的模型或模型参数被共享。这样可以保护数据的隐私，同时利用多方数据共同训练更强大的模型。

7.5 🌟数字孪生系统的身份认证和访问控制

身份认证

• 定义：身份认证是验证用户身份的过程，目的是确认用户的合法性和真实性。
• 方法：
  • 传统认证：如用户名和密码。
  • 生物识别技术：如指纹识别、面部识别。
  • 多因素认证：结合两种或以上的认证方法，例如密码加手机验证码。
• 目的：防止未授权用户冒充授权用户，保护系统和数据安全。

访问控制

• 定义：访问控制是基于用户的身份和权限来决定其是否能够访问特定系统资源的机制。
• 功能：
  • 限制资源访问：确保关键资源仅对授权用户开放。
  • 防止非法访问：阻止未授权用户访问系统，以及防止授权用户非法使用系统资源。
• 实例：文件或数据可能仅对特定用户或用户组开放，其他用户则无法访问。

身份认证与访问控制的结合

• 过程：首先，用户通过身份认证过程验证其身份。然后，访问控制机制根据用户的身份和权限决定是否允许其访问特定资源。
• 目标：确保网络系统的安全，仅允许授权用户访问和使用系统资源，防止未经授权的访问和数据泄露。

7.6 🌟区块链技术在数字孪生系统中的应用

区块链技术在数字孪生系统中的应用主要包括以下几个方面：

可信数字身份

为了实现物理设备的数字孪生，除了传统设备标识之外，对于一些高价值的设备，需要额外为每一个设备配备一个物理级别的嵌入式的身份证书一次写入到设备中。统一在设备出厂的时候，由国家级的设备身份认证中心颁发。所有由该设备产生的数据， 在上传到云端的时候都需要由该设备的身份私钥进行签名。数据的使用方可以通过统一的工业CA中心来验证设备数据的身份。

• 实现方式：为高价值设备配备物理级别的嵌入式身份证书，由国家级设备身份认证中心颁发。
• 功能：设备产生的数据在上传到云端时，通过设备的身份私钥进行签名，保证数据的真实来源。
• 验证机制：数据使用方可以通过工业CA中心验证设备数据的身份，确保数据真实性。

可信数据连接

数据从设备端发送上来以后，经过网关，数据处理，存放在云端的账本里面。在这个过程中，数据可能被有意无意的篡改，这里需要有技术协议保障数据在进入账本前不会被篡改或者删除。Hash函数验证数据的完整性。

• 数据处理：数据从设备发送到云端，在传输过程中使用Hash函数验证数据的完整性，确保数据不被篡改或删除。
• 保障措施：技术协议保护数据在进入账本前的安全，防止数据篡改。

可信边缘计算

为了更快处理延迟，减少无效数据传到云端账本，降低网络的带宽压力以及存储压力， 往往会在边缘侧进行计算。在边缘侧的计算资源的环境下，和云端的计算形成共识， 产生可信事件。该事件可以直接触发交易流程，比如支付、派工等等。

• 目的：处理延迟，减少无效数据传输，降低网络和存储压力。
• 实现方式：在边缘计算环境下，与云端计算形成共识，产生可信事件，触发交易流程如支付、派工等。

可信工业分布式账本

针对于工业应用特点的分布式账本，除了具有传统的难以篡改、共识、受限访问、智能合约等特点以外，还需要具备针对于工业数据特点的账本读写能力，比如达到10 万数据点每秒的账本读写能力，针对资产转移状态图迁移的快速读写能力等，以达到快速溯源的目的。

• 特点：结合工业应用的特点，具备快速的账本读写能力，如每秒10万数据点，快速处理资产转移状态图迁移。
• 目的：实现快速溯源，保证数据的可追踪性和不可篡改性。

可视化智能合约

通过拖拽的方式，让区块链联盟成员可以非常方便的设计相关参与者（人、机、机构）的身份权限和规则，并且自动转化为相应的智能合约部署在区块链网络上，快速的生成协作工作的应用APP。

• 功能：通过拖拽方式设计身份权限和规则，自动转化为智能合约，部署在区块链上。
• 应用：快速生成协作工作的应用APP，方便区块链联盟成员的操作。

新型工业区块链应用APP及柔性监管入口

基于可信数据，相关参与方的数据、过程和规则通过智能合约入链后，默认就达到相关参与方的链上共享。监管机构以区块链节点的身份参与到基于联盟区块链的工业互联网基础设施中，合规科技监管机制以“智能合约”的软件程序形式介入到产业联盟的区块链系统中，负责获取企业的可信生产和交易数据并进行合规性审查。

• 数据共享：相关参与方的数据、过程和规则通过智能合约入链，实现链上共享。
• 监管机构角色：监管机构作为区块链节点参与，使用智能合约形式的合规科技监管机制，获取企业的可信生产和交易数据，进行合规性审查。

在数字孪生系统中，区块链技术提供了一种高度安全、可信的解决方案。通过确保数据的真实性、不可篡改性和透明度，区块链技术有助于提高数字孪生系统的整体安全性和效率。此外，智能合约和分布式账本的应用增强了系统的自动化和监管能力，进一步推动了工业互联网的发展。

7.7 🌟数字孪生系统的模型聚合需求

模型聚合需求