鋼鐵行業工業控制系統安全防護研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了鋼鐵行業工業控制系統安全防護研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:在兩化融合的時代背景下，面對嚴峻的工控安全形勢，為提高企業生產工作效率，加強企業工控安全防護能力，本文主要結合我國鋼鐵行業工業控制系統安全現狀和相關政策法規，分析鋼鐵行業生產系統安全風險問題和需求，解決現階段鋼鐵行業面臨的工控安全問題并提出有針對性的安全防護措施。

關鍵詞:鋼鐵行業;工業控制系統;風險分析;網絡安全

0引言

工業互聯網、“中國制造2025”等戰略概念的提出，積極促進了我國生產制造模式的變革、產業組織創新和升級，使得傳統工業行業的信息基礎設施能夠進行遠程智能化監控，深度融合IT及信息技術的制造業智能化也得以廣泛應用，而工業控制系統設計之初是為了完成各種實時控制功能，并沒有優先考慮安全性問題，而內外部網絡的互聯互通也帶來不小的安全風險和隱患。鋼鐵工業企業是典型的生產、資金、技術密集型企業，其生產連續性強，生產系統耦合性高。對于鋼鐵行業工業控制系統而言，產生安全威脅的因素也是多方面的，例如系統終端防護漏洞、系統配置和軟件缺陷、協議漏洞、隱藏后門、非法外聯、違規操作、弱密碼等。如何有效地防范內外部入侵攻擊，做好工業控制系統網絡安全的防護工作，確保生產系統的穩定運行，是鋼鐵行業信息安全所亟待解決的問題。

1鋼鐵工控系統網絡架構

鋼鐵行業企業信息化體系分為五級架構:一級基礎自動化系統(BAS)，如一些現場的數據采集儀表、PLC等設備;二級過程控制系統(PCS)，包括各類相對獨立的功能模塊，如計量系統二級、掃描發貨二級、設備管理二級系統等;三級車間級制造執行系統(MES)，負責計劃排產、下達生產指令、倉儲管理、質量管理、物流管理等;四級企業資源計劃系統(ERP);五級企業間管理決策系統(DSS)。鋼鐵企業內部主要以煉鐵、煉鋼、熱軋、冷軋等大工序為區域劃分，或者以公輔類處理為綜合區域的車間。組網方式一般采用星型或環網架構，稱為實時控制網，負責控制器、操作站之間的過程控制實時通訊，環網內數采機、工作站、PLC等設備多使用以太網接口通訊，傳輸介質通常采用光纖或網線。工業主機通過雙網卡與上下級網絡通訊。在鋼鐵冶煉工業自動化過程中，高精度板厚控制器、煉鋼智能控制系統、軋薄帶智能系統、高爐控制系統、SCADA系統、PLC、DCS等普遍應用在生產控制系統;MES、ERP、CIMS也被廣泛應用于企業管理運營，使企業的生產管理產生了革命化的轉變。

2鋼鐵行業安全現狀分析

2．1網絡結構

鋼鐵生產控制系統每一條生產線通過光纖或網線連通到上行網絡，操作層網絡同上行網絡間缺乏必要的邊界防護措施，如果病毒從管理網侵入網絡后，就可以長驅直入到生產現場，甚至直接威脅到PLC等設備的正常運行。另外，生產現場存在不同控制系統共用控制設備和網絡設備的情況，各區域邊界劃分不清，存在安全風險，某條生產線出現問題，會很快傳播到其他生產線進而來影響整個工控系統網絡。

2．2操作主機

(1)操作系統漏洞風險。出于對程序運行的兼容性和穩定性等因素的考慮，現場有很多工業主機采用Windows操作系統，廠商在系統穩定運行之后不會去更新補丁，并處于裸機運行的狀態，也因此留下安全隱患，容易受到惡意代碼、蠕蟲、病毒的攻擊。(2)防病毒軟件風險。為提高主機安全防護能力，一些用戶僅僅是在主機上安裝黑名單殺毒軟件，但是存在較大的缺陷，原因在于需要不定期更新病毒庫，這一點并不適用于工業場景，無法及時發現和查殺新型病毒或是在面對未知的程序文件產生誤殺現象，導致每年都會爆發大規模的網絡安全攻擊事件。工控現場的主機開放TCP102、TCP135、TCP445等業務必要使用的端口。攻擊者可利用操作系統漏洞輕松地控制上位機，給生產安全帶來巨大風險，如2018—2019年勒索病毒事件利用的就是主機開放的445端口。

2．3網絡入侵

工控系統網絡中缺乏網絡防入侵及流量審計相關措施，外界木馬、病毒等一旦突破網絡邊界進入現場工控網絡，系統不能在第一時間進行發現、記錄等，不能對網絡攻擊及時發現、預警、處理等。

2．4外來設備

(1)維護設備風險。工業控制網絡中存在大量工控設備，很多工控設備需要定期維護、升級等，這些操作大多會依賴第三方集成商甚至是國外廠商，基本會使用到第三方軟件和相應硬件。這些軟件和硬件的接入會直接威脅到工業控制網絡。(2)外設風險。外設風險是目前工業控制網絡系統中公認存在的最普遍最具威脅的風險。如“震網病毒”事件就是典型的依靠U盤將外界網絡病毒攜帶進工業控制網絡的典型案例。綜合區域、燒結區域、煉鐵區域、煉鋼區域，包括堿洗退火工藝工控系統網絡相關上位主機上存在使用U盤的使用痕跡。現場操作人員不規范使用U盤，或者使用相關USB端口為手機充電等。USB端口的管理需要使用技術手段進行管控，同時也要加強現場操作人員的安全管理意識。

2．5制度缺失

(1)管理制度風險。管理人員、運維人員的技術能力和安全意識參差不齊，容易發生越權訪問、下達非法指令等行為，給生產系統帶來隱患。因此，對內外部人員的操作訪問行為進行監控、管理與審計是非常必要的。(2)安全意識風險。一般而言，工業控制系統相對互聯網或傳統企業IT網絡較為封閉，在“震網病毒”事件發生之前少有黑客攻擊工業控制網絡。工業控制系統在設計之初往往忽略了系統本身的安全性問題，更沒有制訂完善的安全防護標準、管理制度，對人員的安全意識培養不重視，導致用戶對危險源沒有感知，出現網絡安全事件沒有應急處理能力。

2．6安全管理

(1)威脅發現不及時。目前主流的工業控制系統大多存在安全漏洞，如SQL注入、跨站腳本攻擊XSS、網站掛馬、弱用戶認證、緩沖區溢出、CGI漏洞等，而且近年來公布的漏洞數量依然呈現增長趨勢。工業控制系統私有協議種類繁多、系統軟件升級難、設備使用周期較長且考慮可用性無法打補丁等問題，導致威脅漏洞處理不及時，系統補丁升級困難。(2)設備管理混亂及預警風險。工控網絡中部署大量的安全設備和安全軟件，這些設備或軟件會來自不同廠商或集成商。如何對設備和軟件進行集中管理、策略下發、狀態監測，發揮各個設備的優勢為整個生產網絡提供漏洞監測、風險預警等最基本的技術支撐是管理者需要考慮的重要問題。此外，由于工控網絡中設備數量及種類眾多，導致資產統計不完整、不完全、不定時等，可能會造成資產管理混亂。(3)安全態勢缺失。很多規模較大的生產控制系統沒有對整個企業工控網絡安全進行頂層設計。公司在技術層面上缺少對全網風險預警和對風險的實時感知能力，無法完成對攻擊源的精準定位和研判，缺乏整體應急指揮能力、決策能力和應急處置能力。

3安全防護設計

本研究結合鋼鐵行業工控網絡安全現狀分析和等級保護要求，從管理中心、區域邊界、通信網絡、計算環境層面，構建鋼鐵行業工控系統事前預警、事中防御、事后溯源的安全防護體系。圖1所示為安全防護系統布局。(1)數據安全交換與隔離。鋼鐵生產控制系統通訊協議均為工業專用協議，且因為前期并沒有安全層面的考慮，導致許多生產數據，如用料成分、生產排程、材料試驗數值等都是明文傳輸或是HEX類型的文件，通過報文監聽手段就能輕易地獲取傳輸內容，造成生產數據的外泄。所以需要在生產網與辦公網之間增加雙向物理隔離設備，數據包只以專有數據塊方式靜態地在內外網絡間進行安全“擺渡”，切斷了內外網絡之間的直接連接，保證數據能夠安全、可靠、穩定地交換。當內網與外網之間無信息交換時，數據交換單元、內網交換單元與外網處理單元，三者之間不存在任何物理連接。辦公網若試圖對生產網發起攻擊時，可使攻擊者對目標網絡不可達，無法發現工控網資產。(2)邊界訪問控制。按照工藝劃分安全域，主要分為煉鐵區域、煉鋼區域、綜合區域等;可分別在各安全域網絡邊界位置橋接部署工業級防火墻，通過對工業協議的深度解析，綜合運用工控威脅特征識別技術、機器自學習與可信白名單技術，在提供傳統防火墻的邏輯隔離、訪問控制等功能的同時，也可有效抵御各類針對工控系統的網絡攻擊和惡意破壞，為生產控制系統的穩定運行提供安全保障。(3)入侵檢測與審計。在各安全域匯聚交換機位置旁路鏡像部署流量審計或入侵檢測類設備，作為工業防火墻的補充，通過內置的工控威脅特征庫、病毒特征庫等功能模塊，對網絡進行入侵攻擊檢測，提供動態保護。在病毒對網絡系統造成危害前，及時檢測到危險源，并產生報警事件，攻擊事件發生后，能夠給用戶提供詳細的攻擊信息，便于后期調查取證和溯源。(4)主機安全加固。應在操作員站、工程師站、服務器等設備上安裝白名單防護軟件，通過白名單式管控技術，一鍵固化系統當前運行環境，阻斷震網、Havex、沙蟲、已知和未知病毒木馬攻擊，細粒度管控外設接口，切斷移動介質傳播病毒的途徑。采用雙因子認證、注冊表保護、重要文件行為審計等功能，確保主機實現身份鑒別、訪問控制、惡意代碼防范等功能。(5)集中管理控制。建立一個安全管理中心，對業務系統、網絡設備、安全設備、操作系統、數據庫等相關系統日志、運行日志、告警日志進行采集、分析、儲存;監控各設備的操作行為，實現賬號集中授權管理、身份認證、深層次訪問授權控制等功能，讓內外部人員的操作處于可管控、可審計的狀態下，預防非法操作帶來的風險隱患;對生產網各類安全設備進行統一管理配置、策略下發。打破安全孤島，幫助企業建立縱深防御體系來抵御網絡中的威脅攻擊。要通過大數據分析、機器學習等技術對工業互聯網業務安全行為進行分析和建模，對威脅和攻擊行為進行預測、響應和溯源，通過多維度可視化技術展示，使整體安全狀態可感知，安全態勢可預測。(6)規范管理制度。制定安全管理制度，指定專人負責管理制度的日常運營工作，包括制度存檔、制度修訂、制度維護、制度發布和制度銷毀工作，并將相關責任落實到對應崗位人員;確立安全管理機構和安全管理人員，明確各崗位人員職責分工;建立完善的安全培訓體系，包括工控網絡安全意識培訓、工控網絡安全技術培訓、設備安全使用培訓等。

4結語

本文通過對鋼鐵行業工業控制系統安全現狀的探討與分析，深入到鋼鐵行業工控安全技術研究，挖掘實際生產業務場景下的安全需求，提出了一系列有針對性的安全防護策略。關鍵技術可廣泛應用于鋼鐵行業含有工業控制系統的企業或集團，有助于提高鋼鐵行業整體的網絡安全技術水平。最終達到威脅攻擊可防御、安全配置可查詢、網絡通信行為可管理、風險隱患可控制、系統運行安全可信任。

作者:劉虹炎 于方元 曹磊 單位:江陰興澄特種鋼鐵有限公司 上海金自天正信息技術有限公司 北京珞安科技有限責任公司