鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:在兩化融合的時代背景下，面對嚴峻的工控安全形勢，為提高企業(yè)生產(chǎn)工作效率，加強企業(yè)工控安全防護能力，本文主要結(jié)合我國鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀和相關(guān)政策法規(guī)，分析鋼鐵行業(yè)生產(chǎn)系統(tǒng)安全風(fēng)險問題和需求，解決現(xiàn)階段鋼鐵行業(yè)面臨的工控安全問題并提出有針對性的安全防護措施。

關(guān)鍵詞:鋼鐵行業(yè);工業(yè)控制系統(tǒng);風(fēng)險分析;網(wǎng)絡(luò)安全

0引言

工業(yè)互聯(lián)網(wǎng)、“中國制造2025”等戰(zhàn)略概念的提出，積極促進了我國生產(chǎn)制造模式的變革、產(chǎn)業(yè)組織創(chuàng)新和升級，使得傳統(tǒng)工業(yè)行業(yè)的信息基礎(chǔ)設(shè)施能夠進行遠程智能化監(jiān)控，深度融合IT及信息技術(shù)的制造業(yè)智能化也得以廣泛應(yīng)用，而工業(yè)控制系統(tǒng)設(shè)計之初是為了完成各種實時控制功能，并沒有優(yōu)先考慮安全性問題，而內(nèi)外部網(wǎng)絡(luò)的互聯(lián)互通也帶來不小的安全風(fēng)險和隱患。鋼鐵工業(yè)企業(yè)是典型的生產(chǎn)、資金、技術(shù)密集型企業(yè)，其生產(chǎn)連續(xù)性強，生產(chǎn)系統(tǒng)耦合性高。對于鋼鐵行業(yè)工業(yè)控制系統(tǒng)而言，產(chǎn)生安全威脅的因素也是多方面的，例如系統(tǒng)終端防護漏洞、系統(tǒng)配置和軟件缺陷、協(xié)議漏洞、隱藏后門、非法外聯(lián)、違規(guī)操作、弱密碼等。如何有效地防范內(nèi)外部入侵攻擊，做好工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的防護工作，確保生產(chǎn)系統(tǒng)的穩(wěn)定運行，是鋼鐵行業(yè)信息安全所亟待解決的問題。

1鋼鐵工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)

鋼鐵行業(yè)企業(yè)信息化體系分為五級架構(gòu):一級基礎(chǔ)自動化系統(tǒng)(BAS)，如一些現(xiàn)場的數(shù)據(jù)采集儀表、PLC等設(shè)備;二級過程控制系統(tǒng)(PCS)，包括各類相對獨立的功能模塊，如計量系統(tǒng)二級、掃描發(fā)貨二級、設(shè)備管理二級系統(tǒng)等;三級車間級制造執(zhí)行系統(tǒng)(MES)，負責(zé)計劃排產(chǎn)、下達生產(chǎn)指令、倉儲管理、質(zhì)量管理、物流管理等;四級企業(yè)資源計劃系統(tǒng)(ERP);五級企業(yè)間管理決策系統(tǒng)(DSS)。鋼鐵企業(yè)內(nèi)部主要以煉鐵、煉鋼、熱軋、冷軋等大工序為區(qū)域劃分，或者以公輔類處理為綜合區(qū)域的車間。組網(wǎng)方式一般采用星型或環(huán)網(wǎng)架構(gòu)，稱為實時控制網(wǎng)，負責(zé)控制器、操作站之間的過程控制實時通訊，環(huán)網(wǎng)內(nèi)數(shù)采機、工作站、PLC等設(shè)備多使用以太網(wǎng)接口通訊，傳輸介質(zhì)通常采用光纖或網(wǎng)線。工業(yè)主機通過雙網(wǎng)卡與上下級網(wǎng)絡(luò)通訊。在鋼鐵冶煉工業(yè)自動化過程中，高精度板厚控制器、煉鋼智能控制系統(tǒng)、軋薄帶智能系統(tǒng)、高爐控制系統(tǒng)、SCADA系統(tǒng)、PLC、DCS等普遍應(yīng)用在生產(chǎn)控制系統(tǒng);MES、ERP、CIMS也被廣泛應(yīng)用于企業(yè)管理運營，使企業(yè)的生產(chǎn)管理產(chǎn)生了革命化的轉(zhuǎn)變。

2鋼鐵行業(yè)安全現(xiàn)狀分析

2．1網(wǎng)絡(luò)結(jié)構(gòu)

鋼鐵生產(chǎn)控制系統(tǒng)每一條生產(chǎn)線通過光纖或網(wǎng)線連通到上行網(wǎng)絡(luò)，操作層網(wǎng)絡(luò)同上行網(wǎng)絡(luò)間缺乏必要的邊界防護措施，如果病毒從管理網(wǎng)侵入網(wǎng)絡(luò)后，就可以長驅(qū)直入到生產(chǎn)現(xiàn)場，甚至直接威脅到PLC等設(shè)備的正常運行。另外，生產(chǎn)現(xiàn)場存在不同控制系統(tǒng)共用控制設(shè)備和網(wǎng)絡(luò)設(shè)備的情況，各區(qū)域邊界劃分不清，存在安全風(fēng)險，某條生產(chǎn)線出現(xiàn)問題，會很快傳播到其他生產(chǎn)線進而來影響整個工控系統(tǒng)網(wǎng)絡(luò)。

2．2操作主機

(1)操作系統(tǒng)漏洞風(fēng)險。出于對程序運行的兼容性和穩(wěn)定性等因素的考慮，現(xiàn)場有很多工業(yè)主機采用Windows操作系統(tǒng)，廠商在系統(tǒng)穩(wěn)定運行之后不會去更新補丁，并處于裸機運行的狀態(tài)，也因此留下安全隱患，容易受到惡意代碼、蠕蟲、病毒的攻擊。(2)防病毒軟件風(fēng)險。為提高主機安全防護能力，一些用戶僅僅是在主機上安裝黑名單殺毒軟件，但是存在較大的缺陷，原因在于需要不定期更新病毒庫，這一點并不適用于工業(yè)場景，無法及時發(fā)現(xiàn)和查殺新型病毒或是在面對未知的程序文件產(chǎn)生誤殺現(xiàn)象，導(dǎo)致每年都會爆發(fā)大規(guī)模的網(wǎng)絡(luò)安全攻擊事件。工控現(xiàn)場的主機開放TCP102、TCP135、TCP445等業(yè)務(wù)必要使用的端口。攻擊者可利用操作系統(tǒng)漏洞輕松地控制上位機，給生產(chǎn)安全帶來巨大風(fēng)險，如2018—2019年勒索病毒事件利用的就是主機開放的445端口。

2．3網(wǎng)絡(luò)入侵

工控系統(tǒng)網(wǎng)絡(luò)中缺乏網(wǎng)絡(luò)防入侵及流量審計相關(guān)措施，外界木馬、病毒等一旦突破網(wǎng)絡(luò)邊界進入現(xiàn)場工控網(wǎng)絡(luò)，系統(tǒng)不能在第一時間進行發(fā)現(xiàn)、記錄等，不能對網(wǎng)絡(luò)攻擊及時發(fā)現(xiàn)、預(yù)警、處理等。

2．4外來設(shè)備

(1)維護設(shè)備風(fēng)險。工業(yè)控制網(wǎng)絡(luò)中存在大量工控設(shè)備，很多工控設(shè)備需要定期維護、升級等，這些操作大多會依賴第三方集成商甚至是國外廠商，基本會使用到第三方軟件和相應(yīng)硬件。這些軟件和硬件的接入會直接威脅到工業(yè)控制網(wǎng)絡(luò)。(2)外設(shè)風(fēng)險。外設(shè)風(fēng)險是目前工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中公認存在的最普遍最具威脅的風(fēng)險。如“震網(wǎng)病毒”事件就是典型的依靠U盤將外界網(wǎng)絡(luò)病毒攜帶進工業(yè)控制網(wǎng)絡(luò)的典型案例。綜合區(qū)域、燒結(jié)區(qū)域、煉鐵區(qū)域、煉鋼區(qū)域，包括堿洗退火工藝工控系統(tǒng)網(wǎng)絡(luò)相關(guān)上位主機上存在使用U盤的使用痕跡。現(xiàn)場操作人員不規(guī)范使用U盤，或者使用相關(guān)USB端口為手機充電等。USB端口的管理需要使用技術(shù)手段進行管控，同時也要加強現(xiàn)場操作人員的安全管理意識。

2．5制度缺失

(1)管理制度風(fēng)險。管理人員、運維人員的技術(shù)能力和安全意識參差不齊，容易發(fā)生越權(quán)訪問、下達非法指令等行為，給生產(chǎn)系統(tǒng)帶來隱患。因此，對內(nèi)外部人員的操作訪問行為進行監(jiān)控、管理與審計是非常必要的。(2)安全意識風(fēng)險。一般而言，工業(yè)控制系統(tǒng)相對互聯(lián)網(wǎng)或傳統(tǒng)企業(yè)IT網(wǎng)絡(luò)較為封閉，在“震網(wǎng)病毒”事件發(fā)生之前少有黑客攻擊工業(yè)控制網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)在設(shè)計之初往往忽略了系統(tǒng)本身的安全性問題，更沒有制訂完善的安全防護標(biāo)準、管理制度，對人員的安全意識培養(yǎng)不重視，導(dǎo)致用戶對危險源沒有感知，出現(xiàn)網(wǎng)絡(luò)安全事件沒有應(yīng)急處理能力。

2．6安全管理

(1)威脅發(fā)現(xiàn)不及時。目前主流的工業(yè)控制系統(tǒng)大多存在安全漏洞，如SQL注入、跨站腳本攻擊XSS、網(wǎng)站掛馬、弱用戶認證、緩沖區(qū)溢出、CGI漏洞等，而且近年來公布的漏洞數(shù)量依然呈現(xiàn)增長趨勢。工業(yè)控制系統(tǒng)私有協(xié)議種類繁多、系統(tǒng)軟件升級難、設(shè)備使用周期較長且考慮可用性無法打補丁等問題，導(dǎo)致威脅漏洞處理不及時，系統(tǒng)補丁升級困難。(2)設(shè)備管理混亂及預(yù)警風(fēng)險。工控網(wǎng)絡(luò)中部署大量的安全設(shè)備和安全軟件，這些設(shè)備或軟件會來自不同廠商或集成商。如何對設(shè)備和軟件進行集中管理、策略下發(fā)、狀態(tài)監(jiān)測，發(fā)揮各個設(shè)備的優(yōu)勢為整個生產(chǎn)網(wǎng)絡(luò)提供漏洞監(jiān)測、風(fēng)險預(yù)警等最基本的技術(shù)支撐是管理者需要考慮的重要問題。此外，由于工控網(wǎng)絡(luò)中設(shè)備數(shù)量及種類眾多，導(dǎo)致資產(chǎn)統(tǒng)計不完整、不完全、不定時等，可能會造成資產(chǎn)管理混亂。(3)安全態(tài)勢缺失。很多規(guī)模較大的生產(chǎn)控制系統(tǒng)沒有對整個企業(yè)工控網(wǎng)絡(luò)安全進行頂層設(shè)計。公司在技術(shù)層面上缺少對全網(wǎng)風(fēng)險預(yù)警和對風(fēng)險的實時感知能力，無法完成對攻擊源的精準定位和研判，缺乏整體應(yīng)急指揮能力、決策能力和應(yīng)急處置能力。

3安全防護設(shè)計

本研究結(jié)合鋼鐵行業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀分析和等級保護要求，從管理中心、區(qū)域邊界、通信網(wǎng)絡(luò)、計算環(huán)境層面，構(gòu)建鋼鐵行業(yè)工控系統(tǒng)事前預(yù)警、事中防御、事后溯源的安全防護體系。圖1所示為安全防護系統(tǒng)布局。(1)數(shù)據(jù)安全交換與隔離。鋼鐵生產(chǎn)控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議，且因為前期并沒有安全層面的考慮，導(dǎo)致許多生產(chǎn)數(shù)據(jù)，如用料成分、生產(chǎn)排程、材料試驗數(shù)值等都是明文傳輸或是HEX類型的文件，通過報文監(jiān)聽手段就能輕易地獲取傳輸內(nèi)容，造成生產(chǎn)數(shù)據(jù)的外泄。所以需要在生產(chǎn)網(wǎng)與辦公網(wǎng)之間增加雙向物理隔離設(shè)備，數(shù)據(jù)包只以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進行安全“擺渡”，切斷了內(nèi)外網(wǎng)絡(luò)之間的直接連接，保證數(shù)據(jù)能夠安全、可靠、穩(wěn)定地交換。當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無信息交換時，數(shù)據(jù)交換單元、內(nèi)網(wǎng)交換單元與外網(wǎng)處理單元，三者之間不存在任何物理連接。辦公網(wǎng)若試圖對生產(chǎn)網(wǎng)發(fā)起攻擊時，可使攻擊者對目標(biāo)網(wǎng)絡(luò)不可達，無法發(fā)現(xiàn)工控網(wǎng)資產(chǎn)。(2)邊界訪問控制。按照工藝劃分安全域，主要分為煉鐵區(qū)域、煉鋼區(qū)域、綜合區(qū)域等;可分別在各安全域網(wǎng)絡(luò)邊界位置橋接部署工業(yè)級防火墻，通過對工業(yè)協(xié)議的深度解析，綜合運用工控威脅特征識別技術(shù)、機器自學(xué)習(xí)與可信白名單技術(shù)，在提供傳統(tǒng)防火墻的邏輯隔離、訪問控制等功能的同時，也可有效抵御各類針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊和惡意破壞，為生產(chǎn)控制系統(tǒng)的穩(wěn)定運行提供安全保障。(3)入侵檢測與審計。在各安全域匯聚交換機位置旁路鏡像部署流量審計或入侵檢測類設(shè)備，作為工業(yè)防火墻的補充，通過內(nèi)置的工控威脅特征庫、病毒特征庫等功能模塊，對網(wǎng)絡(luò)進行入侵攻擊檢測，提供動態(tài)保護。在病毒對網(wǎng)絡(luò)系統(tǒng)造成危害前，及時檢測到危險源，并產(chǎn)生報警事件，攻擊事件發(fā)生后，能夠給用戶提供詳細的攻擊信息，便于后期調(diào)查取證和溯源。(4)主機安全加固。應(yīng)在操作員站、工程師站、服務(wù)器等設(shè)備上安裝白名單防護軟件，通過白名單式管控技術(shù)，一鍵固化系統(tǒng)當(dāng)前運行環(huán)境，阻斷震網(wǎng)、Havex、沙蟲、已知和未知病毒木馬攻擊，細粒度管控外設(shè)接口，切斷移動介質(zhì)傳播病毒的途徑。采用雙因子認證、注冊表保護、重要文件行為審計等功能，確保主機實現(xiàn)身份鑒別、訪問控制、惡意代碼防范等功能。(5)集中管理控制。建立一個安全管理中心，對業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等相關(guān)系統(tǒng)日志、運行日志、告警日志進行采集、分析、儲存;監(jiān)控各設(shè)備的操作行為，實現(xiàn)賬號集中授權(quán)管理、身份認證、深層次訪問授權(quán)控制等功能，讓內(nèi)外部人員的操作處于可管控、可審計的狀態(tài)下，預(yù)防非法操作帶來的風(fēng)險隱患;對生產(chǎn)網(wǎng)各類安全設(shè)備進行統(tǒng)一管理配置、策略下發(fā)。打破安全孤島，幫助企業(yè)建立縱深防御體系來抵御網(wǎng)絡(luò)中的威脅攻擊。要通過大數(shù)據(jù)分析、機器學(xué)習(xí)等技術(shù)對工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)安全行為進行分析和建模，對威脅和攻擊行為進行預(yù)測、響應(yīng)和溯源，通過多維度可視化技術(shù)展示，使整體安全狀態(tài)可感知，安全態(tài)勢可預(yù)測。(6)規(guī)范管理制度。制定安全管理制度，指定專人負責(zé)管理制度的日常運營工作，包括制度存檔、制度修訂、制度維護、制度發(fā)布和制度銷毀工作，并將相關(guān)責(zé)任落實到對應(yīng)崗位人員;確立安全管理機構(gòu)和安全管理人員，明確各崗位人員職責(zé)分工;建立完善的安全培訓(xùn)體系，包括工控網(wǎng)絡(luò)安全意識培訓(xùn)、工控網(wǎng)絡(luò)安全技術(shù)培訓(xùn)、設(shè)備安全使用培訓(xùn)等。

4結(jié)語

本文通過對鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀的探討與分析，深入到鋼鐵行業(yè)工控安全技術(shù)研究，挖掘?qū)嶋H生產(chǎn)業(yè)務(wù)場景下的安全需求，提出了一系列有針對性的安全防護策略。關(guān)鍵技術(shù)可廣泛應(yīng)用于鋼鐵行業(yè)含有工業(yè)控制系統(tǒng)的企業(yè)或集團，有助于提高鋼鐵行業(yè)整體的網(wǎng)絡(luò)安全技術(shù)水平。最終達到威脅攻擊可防御、安全配置可查詢、網(wǎng)絡(luò)通信行為可管理、風(fēng)險隱患可控制、系統(tǒng)運行安全可信任。

作者:劉虹炎 于方元 曹磊 單位:江陰興澄特種鋼鐵有限公司 上海金自天正信息技術(shù)有限公司 北京珞安科技有限責(zé)任公司