工业控制系统有哪些_工业控制网络安全如何防护

工业控制系统有哪些？从三层架构到典型设备一次讲透

很多刚入行的工程师在搜索“工业控制系统有哪些”时，常被PLC、DCS、SCADA这些缩写绕晕。其实，只要抓住三层架构模型，就能快速理清脉络。

1. 现场层：传感器与执行器

• 传感器：温度、压力、流量、振动等物理量转换成电信号。
• 执行器：电磁阀、伺服电机、变频器等，把控制指令变成机械动作。

---

2. 控制层：PLC、DCS、RTU

• PLC（可编程逻辑控制器）：离散制造业的“大脑”，擅长高速顺序控制。
• DCS（分布式控制系统）：流程工业首选，冗余设计、模拟量处理能力强。
• RTU（远程终端单元）：油气田、泵站等广域场景，支持无线/卫星通信。

---

3. 监控层：SCADA与MES

• SCADA：实时监视与调度，提供人机界面（HMI）。
• MES：制造执行系统，衔接ERP与车间，管理工单、质量、追溯。

自问自答：为什么同一套工厂里既有PLC又有DCS？
答：PLC负责包装线的高速启停，DCS负责反应釜的连续温控，两者通过工业以太网互联，各司其职。

工业控制网络安全如何防护？从边界到芯片的七道防线

“工业控制网络安全如何防护”之所以成为高频疑问，是因为勒索软件已从IT渗透到OT。以下七道防线按由外到内、由软到硬的顺序展开。

防线一：物理隔离与DMZ区

• 单向网闸：生产网到办公网仅允许数据上报，禁止反向控制。
• DMZ区：部署补丁服务器、日志审计，避免直接访问核心控制器。

---

防线二：工业防火墙深度包检测

• 传统防火墙只看IP/端口，工业防火墙能解析Modbus、S7、CIP等协议，拦截异常功能码。
• 策略示例：仅允许工程师站对PLC写入保持寄存器地址40001-40010，其余一律丢弃。

---

防线三：白名单与主机加固

• 应用程序白名单：HMI只允许运行WinCC、RSLinx等指定进程。
• 关闭USB自启动、禁用未使用的COM口，防止BadUSB攻击。

---

防线四：可信计算与固件签名校验

• 在PLC启动时校验Bootloader签名，防止恶意固件植入。
• 采用TPM芯片存储密钥，即使攻击者拆机也无法导出。

---

防线五：加密通信与零信任接入

• OPC UA over TLS：取代明文Modbus TCP，实现端到端加密。
• 远程维护场景下，工程师需通过SDP（软件定义边界）网关，先认证再授权。

---

防线六：行为分析与AI威胁狩猎

• 利用机器学习建立“正常工况”基线，当发现PLC在非计划时段大量写操作时触发告警。
• 案例：某炼化厂AI系统检测到DCS历史库被异常读取，提前阻断勒索软件加密。

---

防线七：应急响应与备份恢复

• 黄金镜像：为每台工程师站制作离线Ghost镜像，15分钟可恢复。
• 控制器程序定期导出至加密U盘，并异地存放，确保固件被篡改后可回滚。

常见误区与实战问答

误区一：装了杀毒软件就高枕无忧
传统杀毒基于特征库，对专为PLC定制的Stuxnet变种检出率不足30%。正确做法是白名单+行为分析双管齐下。

误区二：老设备不支持加密，只能裸奔
可在老旧PLC前端串接协议安全网关，把Modbus RTU转成TLS加密的Modbus TCP，无需改动原有程序。

误区三：安全投入看不到ROI
以某汽车焊装车间为例，一次勒索停机损失高达800万元，而部署七道防线的总成本不到损失的5%。

未来趋势：从合规驱动到业务驱动

• 安全左移：在PLC编程阶段就引入静态代码扫描，避免上线后再打补丁。
• 5G+TSN：时延敏感业务下沉到边缘，安全网关需支持微秒级切片隔离。
• 量子加密：国家管网已试点QKD保护SCADA调度通道，抵御未来量子破解。

自问自答：中小企业预算有限，如何快速起步？
答：先画网络拓扑图，识别关键资产；再花两周部署开源的Security Onion做流量镜像，免费获得80%可见性。