普渡大學ICS參考模型

普渡企業參考架構（PERA）是由西奧多·J·威廉姆斯（Theodore J. Williams）和普渡大學計算機集成制造工業大學聯盟的成員在1990年代開發的企業架構參考模型。該模型被ISA-99（現為ISA/IEC 62443）等工業安全標準所采用，并用作ICS網絡分段的關鍵概念。普渡參考模型（或簡稱“普渡模型”）在ICS社區中被廣泛用于描述一個大型ICS中所有主要組件之間的主要相互依賴性和相互作用，是理解任何OT環境的一個很好的起點。
我們將在后續章節中詳細討論普渡參考模型與安全策略和架構的關系。現在，我們將高層次地看一下其主要組件和級別，如圖所示。

• Level 5: 企業區
  企業區是管理供應鏈的地方。ERP系統如SAP和JD Edwards被用來理解和響應供應和需求。這些系統從所有下屬系統(通常跨多個站點或一個企業)獲取數據，以查看總體供應、生產和需求，從而管理工作訂單。ICS很少直接連接到這一層，但顯然需要從各種OT網絡和ICS組件獲得準確和及時的信息。

• Level 4:現場業務規劃和物流
  而第5級通常存在于公司或多站點總部
  4表示每個站點、工廠或設施用于控制本地設施運行的IT系統。該級別接受來自第5級的訂單，并監視較低級別的性能，以了解操作狀態、與生產計劃的性能、本地工廠的問題管理，以及更新第5級的企業系統。

• ICS-Demilitarized區
  非軍事區(ICS-DMZ)是IT和OT之間共享信息的層。這是一個更加現代化的結構，由NIST網絡安全框架、NIST 800-82、NERC CIP和ISA-62443等標準努力推動。通常出現在ICS-DMZ中的有復制服務器、補丁管理服務器、工程工作站和配置/變更管理系統。DMZ的目的是提供IT信息的安全交換，而不會將較低層的關鍵組件直接暴露給攻擊者。這是安全規劃的一個主要重點領域

• Level 3:現場制造與運行控制
  雖然第5層和第4層僅存在于網絡的IT側，隔離區（DMZ）就像夾心餅干中的夾心，但第3層及以下定義并構成了網絡OT側的系統。第3層通常包含SCADA的監督部分、DCS的視圖和控制訪問，或是控制室的視圖和監控功能，用于監控OT網絡的其余部分。這是操作員與系統進行交互的主要層次，操作員在該層次查看和監控過程事件和趨勢，響應警報和事件，通過工作訂單維護等功能管理過程的正常運行時間和可用性，并確保產品質量。

• Level 2:區域監督控制
  第2級具有許多與第3級相同的功能，但是在這個級別中，過程單元或線級功能主要用于對過程的各個區域進行局部控制。這個級別的區別在于實際的ics開始出現的級別，例如plc和變頻驅動器(vfd)。然而，這個級別的主要系統包括hmi。在這個級別中，您可以通過HMI面板看到實時流程事件和操作員級流程交互的本地視圖，并通過這些邏輯驅動組件看到流程的自動控制。

• Level 1:基本控制

雖然一些PLC、VFD等設備存在于第2層，但這是這些設備的主要位置。該層次包括所謂的基本過程控制系統（BPCS）。BPCS是一個通用術語，適用于非安全相關的控制系統，其中執行和管理以下功能：

1. BPCS在可配置的限制（稱為設定點）內控制過程。
2. BPCS向HMI提供實時數據，用于操作員級別的過程交互。
3. 操作員在此層次與BPCS的設定點和邏輯進行交互，以優化工廠操作。
4. 過程級別的警報和事件在此層次進行管理和響應。第2層依賴于第3層及以上層次的信息，用于日程安排、監控警報和提供反饋以管理過程。
5. BPCS還包括傳感器、執行器、繼電器和其他組件，這些組件將過程值測量并報告給PLC、DCS、SCADA和第1至5層的其他組件。

• Level 0:過程
  也稱為受控設備(EUC)級別，這是由1級控制的物理設備所在的位置。這些包括驅動、馬達、閥門和其他組成實際過程的部件。0級的完整性對于安全和高效的操作至關重要，因為這是操作過程實際物理特性的地方。如果BPCS和EUC不能正常運行，或者關于工藝狀態的信息不準確，則BPCS或操作員無法準確響應工藝條件。

結合:

圖中說明了所有這些層是如何協同工作以內聚地管理整個過程的。入侵ICS需要詳細了解所有級別的功能和相互作用，并結合工業通信協議本身的知識，以便傳播攻擊。

SCADA

當應用于更通用的ICS術語時，監控和數據采集系統可能是最被廣泛濫用的術語。SCADA主要是指在廣泛的地理區域內對多種ICS類型進行分組，如圖所示。SCADA系統是由組成整個系統的所有單獨的控制和通信組件組成的。SCADA環境的典型例子包括供水設施、天然氣管道和電力傳輸和分配系統。

DCS

分布式控制系統（DCS）通常是用于自動化大型設施（如石油和天然氣精煉廠以及化工廠）中數千個I/O點的大規模系統。DCS和SCADA之間的差異微妙，但傳統上SCADA用于地理分布更廣泛的操作，例如水/廢水或電力分配，而DCS通常局限于工廠的四面墻內。然而，DCS的特性使其有些獨特。DCS通常是高度工程化和剛性的系統，遵循供應商規定的嚴格部署和架構。

DCS結合了基于Unix、Linux或Microsoft的終端作為工作站來查看和控制過程，通常連接在一個冗余網絡中，該網絡利用多宿主計算機和網絡交換技術提供高可用性。DCS的例子包括霍尼韋爾FTE和艾默生DeltaV。

PLC

plc是工業自動化領域的主力，幾乎在每個工廠都可以找到。這些設備通常被稱為“控制器”，廣泛應用于工廠環境和看似不太可能的地方，如電梯、機場的坡道控制，甚至在我們駕駛的汽車中。plc的大小從成人拳頭的大小到小型臺式計算機的大小，它們的特點是三個主要組件:微控制器，擴展槽和背板。

微控制器是PLC的大腦，也是固件、程序(通常是梯形邏輯)和設定點存在的地方。在傳統的plc中，固件和控制器程序在很大程度上是靜態的。設定點是為運行中的程序所配置的變量，可以由進程的狀態手動或動態地更改。

在微控制器旁邊，通常有擴展槽或模塊連接，以擴展PLC的能力。這些模塊包括

• 多種網絡類型，如以太網，遠程I/O, ControlNet，
  PROFINET或其他
• 支持802.11、802.15.4或其他網絡類型的無線擴展
• 數字或模擬I/O卡連接到現場設備
• 機箱防火墻、網絡網關等其他模塊

將所有這些結合在一起的是背板，這是一個硬線接口，允許多個設備和微控制器之間的通信。這方面是最重要的，因為網絡安全分析師和攻擊者都必須了解背板的工作原理和控制器的工作原理。例如，可以部署PLC并將其用作控制傳送系統的驅動器的控制器。或者，相同的PLC具有相同的卡，但不同的程序可以簡單地用于匯集多種網絡類型。盡管后者沒有“控制”功能

HMI

人機界面（HMI）是ICS的“視圖”。HMI可能僅僅是驅動柜外部的一個小面板。大多數情況下，HMI使用鍵盤或觸摸的顯示器，以圖形方式顯示整體過程，并允許操作員通過為特定組件輸入命令來控制過程中的各個點。圖中顯示了蒸餾塔的常見圖形表示，這在許多化工廠和石油天然氣精煉廠中是一個常見的過程。

值得注意的是，對于攻擊者來說，人機界面 (HMI) 通常是一個顯示所有過程自動控制點的圖形界面。尋找輕松攻擊過程的方法的攻擊者會首先集中在這里，試圖接管 HMI 的顯示。盡管這將是一次“嘈雜”的網絡攻擊，攻擊者仍然可以部署一個遠程桌面協議 (RDP) 會話，并像在同一控制臺的操作員一樣與過程進行交互。

SIS

安全儀表系統（SIS）在事情不按計劃進行時發揮作用。SIS 是高度工程化的專業控制系統。通常，供應商會使用其現有的 PLC 平臺來創建 SIS。除了核心微控制器，SIS 還使用一系列復雜的模擬和數字投票系統（1 出 2 或 2 出 3）來監控和響應不利的過程條件。通常，SIS 只設計提供幾個核心功能，即在硬件故障發生時將過程帶入安全狀態或啟動有序關閉。

重要的是要注意，SIS 在許多工業控制系統（ICS）環境中并不廣泛使用。傳統上，SIS 僅在硬件故障發生的可預測率表明隨機故障將在給定時間段內 X 次引起危險情況時使用。如果這種隨機硬件故障發生的概率統計上不太可能足以導致不安全狀況，那么通常不會使用 SIS。這一點很關鍵，因為迄今為止，安全領域主要關注的是隨機硬件故障。盡管安全標準確實表明安全性很重要，但現在才開始認真應對這樣一個事實：盡管隨機硬件故障的概率不足以保證使用 SIS，但確定性的網絡安全威脅的可能性可能會建議使用更加穩健的 SIS 來代替或與 PLC 結合使用。

VFD

變頻驅動器（VFD）本質上是“智能”電機。它們是一種小型 PLC 的變體，稱為驅動控制器，通過維持一個程序來響應手動輸入或控制程序的需求，以改變其連接的驅動器的速度。對于工業控制系統（ICS）網絡研究人員或攻擊者來說，這種驅動控制器是主要關注點，因為它的功能類似于 PLC，可以以類似的方式進行攻擊，但由于所控制的設備是大規模的強力驅動器，往往會有立竿見影的后果。變頻驅動器通過改變施加到驅動器上的頻率和電壓來控制其速度和操作方向。你可以在圖中看到一個 VFD 的示例。

ICS 殺傷鏈

2015年10月，SANS研究所發布了“ICS殺傷鏈”，作者是
邁克爾·j·阿桑特、羅伯特·m·李(https://www.sans.org/readingroom/whitepapers/ICS/industrial-control-system-cyber-kill-chain-36297)。
ICS殺傷鏈的突出之處在于，它不僅準確地代表了我們所看到的ICS惡意軟件活動(如Stuxnet和Havex)所展示的整個方法和攻擊過程，而且還強調了一個事實，即重大ICS事件需要徹底了解目標的過程環境。

報告的作者在他們對偵察、開發和驗證/測試階段的描述中說明了這一點，并強調了“戰役”的心態和策略。換句話說，ICS Kill Chain考慮了攻擊者用來了解流程環境的方法和總體流程，開發重要的ICS特定攻擊，并在部署之前測試/驗證/調整漏洞利用。這個微分器可以在第二階段找到，如圖所示。