溫曉明，賈 斌

（山東鋼鐵集團日照有限公司，山東日照 276800）

0 引言

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展、鋼鐵行業(yè)信息化的推進，EMS（能源管理系統(tǒng)）和MES（生產(chǎn)過程執(zhí)行系統(tǒng)）建設(shè)日益增多，這些子系統(tǒng)負(fù)責(zé)原料供應(yīng)、焦化、燒結(jié)、除塵、煉鐵、煉鋼、連鑄、熱軋以及冷軋等多工序的控制任務(wù)，一旦受到惡性攻擊或者病毒的襲擊，將導(dǎo)致工業(yè)控制系統(tǒng)的控制組件和整個生產(chǎn)線停運，甚至造成傷亡等嚴(yán)重后果。工業(yè)控制網(wǎng)絡(luò)安全十分重要，第一，它的保護攻擊主題是特殊的，不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，如網(wǎng)絡(luò)欺詐和網(wǎng)絡(luò)入侵，目的是賺錢和利潤。從一般意義上說，工業(yè)入侵者不會是“黑客”，但可能是恐怖組織甚至敵對勢力支持的組織；其次，攻擊和破壞的后果嚴(yán)重。

在自動化發(fā)展的初期，工廠控制系統(tǒng)網(wǎng)絡(luò)相對封閉，工業(yè)控制系統(tǒng)一度被認(rèn)為是絕對獨立的，不可能受到外部網(wǎng)絡(luò)攻擊的。但近年來，為了實現(xiàn)實時數(shù)據(jù)采集和生產(chǎn)控制，通過邏輯隔離，滿足“ 兩化融合”的需求和管理的便利性。工業(yè)互聯(lián)網(wǎng)的興起，遠(yuǎn)程運維需求迫切，通過互聯(lián)網(wǎng)對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊也逐年增加，國內(nèi)外生產(chǎn)企業(yè)已經(jīng)加快了工業(yè)控制系統(tǒng)的安全控制措施的建設(shè)。

1 工業(yè)控制網(wǎng)絡(luò)的安全需求

1.1 網(wǎng)絡(luò)邊界防護需求

生產(chǎn)網(wǎng)絡(luò)內(nèi)邊界缺乏有效的防護措施，無法有效保護各業(yè)務(wù)系統(tǒng)的安全。

1.2 遠(yuǎn)程訪問防護需求

生產(chǎn)控制網(wǎng)絡(luò)存在遠(yuǎn)程維護通道，很多工業(yè)控制設(shè)備維護依賴提供商，由此也帶來了入侵的途徑，存在一定的安全隱患。

1.3 網(wǎng)絡(luò)監(jiān)測與審計需求

生產(chǎn)網(wǎng)絡(luò)內(nèi)缺少安全審計設(shè)備，無法對網(wǎng)絡(luò)中的攻擊行為、數(shù)據(jù)流量、重要操作等進行監(jiān)測審計，一旦出現(xiàn)安全事故無法進行事后審計。

1.4 操作系統(tǒng)漏洞管理需求

生產(chǎn)網(wǎng)絡(luò)中的工控機多數(shù)使用微軟、Linux 操作系統(tǒng)，由于生產(chǎn)控制網(wǎng)絡(luò)的封閉及控制系統(tǒng)對業(yè)務(wù)實時性要求較高，無法進行正常的系統(tǒng)漏洞升級操作，導(dǎo)致使用的微軟操作系統(tǒng)存在大量安全漏洞。

1.5 惡意代碼風(fēng)險防范需求

生產(chǎn)系統(tǒng)中工業(yè)控制主機操作系統(tǒng)沒有安裝殺毒軟件，或者安裝殺毒軟件，但限于工業(yè)網(wǎng)絡(luò)狀態(tài)，缺少惡意代碼防護功能，長期沒有代碼更新，一旦受到惡意代碼攻或感染，容易導(dǎo)致工業(yè)控制系統(tǒng)受到攻擊，引發(fā)運行事件，甚至造成人員財產(chǎn)損失。

1.6 外設(shè)接口風(fēng)險防護需求

生產(chǎn)系統(tǒng)內(nèi)等工業(yè)控制主機可以通過移動介質(zhì)傳播，如U盤等，移動介質(zhì)在管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)之間交叉使用，難免會感染病毒或惡意代碼，進而導(dǎo)致上位機被攻擊，引發(fā)安全風(fēng)險。

1.7 應(yīng)用軟件風(fēng)險需求

根據(jù)ICS-CERT（美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)中心）和CNVD（國家信息安全漏洞共享平臺）權(quán)威統(tǒng)計，目前常用的工業(yè)控制軟件（如SCADA 等），均或多或少存在安全漏洞，限于工廠實際情況又難以及時更新補丁，漏洞一旦被利用將導(dǎo)致安全事故。其次，工業(yè)軟件通常采用工業(yè)協(xié)議進行數(shù)據(jù)傳輸，網(wǎng)絡(luò)上需要開放對應(yīng)的端口，有的工業(yè)協(xié)議采用動態(tài)端口（如OPC），常規(guī)的IT 防火墻很難識別工業(yè)協(xié)議，難以保障其安全性。第三，工業(yè)軟件的維護多依靠供應(yīng)商，為了維護方便，基本采用默認(rèn)配置和默認(rèn)口令，存在一定的安全風(fēng)險。

1.8 工控安全管理需求

安全管理措施也是必不可少的手段，安全技術(shù)措施和安全管理措施互為補充，建立有效的技術(shù)措施，建立健全安全管理制度，完善安全管理措施，共同構(gòu)建全面、有效的信息安全保障體系。

2 工業(yè)控制安全防護措施

面對整個工業(yè)網(wǎng)內(nèi)的各種工業(yè)控制網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，如何有效管理，掌握各個點的風(fēng)險狀況，掌握整個工業(yè)控制系統(tǒng)的安全狀況，及時處理各種設(shè)備故障和威脅是工業(yè)安全建設(shè)的重要組成部分。

鋼鐵企業(yè)信息化系統(tǒng)一般分為4 層，L4 是面向整個企業(yè)內(nèi)部管理與計劃的ERP（企業(yè)資源計劃）系統(tǒng)，L3 是面向生產(chǎn)與執(zhí)行過程的MES 系統(tǒng)，L2 是面向生產(chǎn)過程與控制的PCS（過程控制）系統(tǒng)，L1 是生產(chǎn)設(shè)備控制系統(tǒng)。本次工業(yè)控制改進措施以評估為先導(dǎo)，實現(xiàn)3 層安全隔離，構(gòu)建一套安全監(jiān)測與審計，全覆蓋終端安全加固。現(xiàn)有生產(chǎn)網(wǎng)絡(luò)運行環(huán)境比較穩(wěn)定，系統(tǒng)更新頻率低，結(jié)合工業(yè)和信息化部發(fā)布的《工業(yè)安全系統(tǒng)信息安全保護指南》對工業(yè)控制主機安全軟件選擇和管理的要求，提出一種基于“白名單”機制的工業(yè)控制系統(tǒng)信息安全“白環(huán)境”解決措施。收集和分析工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)與軟件運行狀態(tài)，并在工業(yè)控制系統(tǒng)的正常工作環(huán)境下建立安全狀態(tài)基線和模型，然后建立一個工業(yè)安全的“白色環(huán)境”并確保：只有可信任的設(shè)備，才能接入工業(yè)控制網(wǎng)絡(luò)系統(tǒng)；只有可信任的消息，才能在工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中傳輸；只有可信任的軟件，才允許被執(zhí)行。

3.1 改進原則

3.1.1 建立高等級的安全體系結(jié)構(gòu)

建立高等級的安全體系機構(gòu)，保障信息系統(tǒng)的安穩(wěn)運行。任何信息系統(tǒng)都包括3 個層次：計算環(huán)境，區(qū)域邊界和通信網(wǎng)絡(luò)。計算環(huán)境的安全性是信息系統(tǒng)安全的核心，也是授權(quán)和訪問控制的源泉，必須定期檢查計算環(huán)境的安全性，并根據(jù)每次的檢查結(jié)果進行改進；區(qū)域邊界是計算環(huán)境的邊界，控制和保護進出計算環(huán)境的信息，阻斷非法的、偽裝、未授權(quán)的連接通過；通信網(wǎng)絡(luò)是計算環(huán)境之間的信息傳遞功能的一部分，保證網(wǎng)絡(luò)環(huán)境，阻斷網(wǎng)絡(luò)攻擊等。

3.1.2 加強源頭控制，實現(xiàn)縱深防御

終端是所有不安全問題的根源。努力消除不安全的根本原因，重要信息不會泄漏出終端，病毒，木馬無法入侵終端，內(nèi)部惡意用戶無法從網(wǎng)絡(luò)中攻擊信息系統(tǒng)安全，解決內(nèi)部用戶攻擊問題。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒有安全操作系統(tǒng)的支持，則無法保證終端安全，必須加強源頭控制，實現(xiàn)縱深防御。

3.1.3 分區(qū)分域，適度防護

在信息安全防御體系建設(shè)過程中，需要考慮對內(nèi)部的防護，突出適度防護的原則。一方面，要嚴(yán)格遵守各級保護要求，加強網(wǎng)絡(luò)、終端、應(yīng)用、數(shù)據(jù)庫等方面的積極預(yù)防措施，確保信息系統(tǒng)的機密性，完整性和可用性；另外也要從綜合成本的角度，提出針對區(qū)域業(yè)務(wù)特點的保護強度，在不影響信息系統(tǒng)整體安全性的前提下，安全防護系統(tǒng)根據(jù)區(qū)域保護強度設(shè)計和建造，有效控制成本。

3.2 改進措施

根據(jù)網(wǎng)絡(luò)安全保護要求，安全域劃分如圖1 所示。工業(yè)防火墻部署在匯聚機房，工業(yè)防火墻雙擊熱備，一旦一個防火墻有問題，不影響業(yè)務(wù)中斷。

按照自動化生產(chǎn)工序，在不同安全級別網(wǎng)絡(luò)（燒結(jié)、高爐、煉鋼、熱軋、冷軋以及爐卷）的邊界處部署工業(yè)防火墻設(shè)備，工業(yè)防火墻支持雙機熱備，通過隔離不同網(wǎng)絡(luò)、訪問控制規(guī)則、對進出的數(shù)據(jù)包進行過濾等措施，保護子網(wǎng)不被非法攻擊和訪問。同時，通過防火墻的策略，實現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)的共享與互訪設(shè)置訪問控制策略，對內(nèi)外數(shù)據(jù)進行有效防護。工業(yè)防火墻設(shè)備支持工業(yè)通信協(xié)議深度解析，支持“白名單”機制，僅允許合規(guī)數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，用于工業(yè)控制網(wǎng)絡(luò)系統(tǒng)縱向?qū)蛹壷g的安全控制。

在工業(yè)控制保護區(qū)部署網(wǎng)絡(luò)審計設(shè)備，審計網(wǎng)絡(luò)中的行為。確保觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)中，并根據(jù)存儲的記錄和操作員的權(quán)限執(zhí)行查詢，統(tǒng)計，管理和維護等操作。必要時，可以從記錄中提取必要的數(shù)據(jù)。

做好生產(chǎn)控制區(qū)和辦公區(qū)的邊界防護，避免2 個網(wǎng)絡(luò)間惡意攻擊行為的串?dāng)_。實現(xiàn)對生產(chǎn)區(qū)內(nèi)工控主機的安全防護，通過白名單機制構(gòu)建安全基線，防止病毒木馬、惡意軟件對系統(tǒng)的破壞；可實現(xiàn)對生產(chǎn)區(qū)網(wǎng)絡(luò)流量進行監(jiān)測與審計，及時發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象，提高工控網(wǎng)絡(luò)對安全威脅的反應(yīng)能力和應(yīng)對能力；可實現(xiàn)對生產(chǎn)區(qū)內(nèi)工控主機、數(shù)據(jù)庫服務(wù)器、歷史數(shù)據(jù)庫服務(wù)器、接口機等設(shè)備進行安全加固；可對生產(chǎn)區(qū)網(wǎng)絡(luò)內(nèi)入侵行為進行探測，第一時間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)入侵行為并及時可實現(xiàn)對生產(chǎn)控制系統(tǒng)內(nèi)主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序進行統(tǒng)一的安全管控，對運維和管理人員賬號使用情況進行畫面監(jiān)視和記錄，降低運維管理成本。

入侵檢測系統(tǒng)可以檢測生產(chǎn)控制區(qū)域網(wǎng)絡(luò)中的入侵行為，并在第一時間檢測到網(wǎng)絡(luò)中的入侵行為并及時報警。通過手機和網(wǎng)絡(luò)密鑰集信息的分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在違反安全策略和被攻擊跡象的行為。

通過在生產(chǎn)控制區(qū)部署堡壘主機，實時監(jiān)視整個計算機監(jiān)控系統(tǒng)內(nèi)主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序進行安全管控，監(jiān)控并記錄操作和維護人員帳戶的操作和維護。

3 結(jié)語

通過建立工控保護區(qū)并部署工控安全設(shè)備，建立合理的網(wǎng)絡(luò)邊界，通過隔離不同網(wǎng)絡(luò)、訪問控制規(guī)則和對進出的數(shù)據(jù)包進行過濾等措施，實現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)的共享與互通，保護子網(wǎng)不被非法攻擊，對工控網(wǎng)絡(luò)進行可用性、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理，保證工業(yè)控制系統(tǒng)安全穩(wěn)定運行。